Server besser absichern

Hinweis: In dem Thema Server besser absichern gibt es 27 Antworten auf 3 Seiten. Der letzte Beitrag () befindet sich auf der letzten Seite.
  • Beim Versuch es manuell zu installieren erhalte ich folgenden, für mich nichts-sagenden Fehler:


    Code
    ~/psad/psad-2.4.6 # ./install.pl
    [*] systemd init directory /lib/systemd/system does not exist, use --systemd-init-dir <path> at ./install.pl line 256.

    systemd ist doch als Init System installiert, deswegen verstehe ich die Fehlermeldung nicht. Laut Google liegt das bei anderen Distris an irgendwelchen Konfigurationsdateien.

    Moin zusammen,


    die Fehlermeldung ist doch sehr eindeutig und das Tool gibt auch einen Lösungsvorschlag.
    Es steht doch explizit da, dass das Tool unter dem erwähnten Pfad die systemd Dateien nicht finden kann. Das ist täglich Brot eines Admins, Probleme mit Verzeivhnissen zu lösen, die da gesucht werden wo sie auf dem aktuellen System halt mal nicht stehen.
    Ach ja, bei der weiteren Install sucht das Teil ein whois_psad, gibbet auf keinem System ... nicht mal auf Debian *gg*. Ergo, man suche das normale whois, gehe in das Verzeichnis und linke das nach whois_psad und jut is. :D

    Viele Grüße,
    T.

    Für den Inhalt des Beitrages 128698 haftet ausdrücklich der jeweilige Autor: Tamerlain

  • Moin zusammen,
    die Fehlermeldung ist doch sehr eindeutig und das Tool gibt auch einen Lösungsvorschlag.
    Es steht doch explizit da, dass das Tool unter dem erwähnten Pfad die systemd Dateien nicht finden kann. Das ist täglich Brot eines Admins, Probleme mit Verzeivhnissen zu lösen, die da gesucht werden wo sie auf dem aktuellen System halt mal nicht stehen.
    Ach ja, bei der weiteren Install sucht das Teil ein whois_psad, gibbet auf keinem System ... nicht mal auf Debian *gg*. Ergo, man suche das normale whois, gehe in das Verzeichnis und linke das nach whois_psad und jut is. :D

    Naja, prinzipiell schon, aber ich bin nunmal nicht tief in systemd drin, um zu wissen, was mir die Fehlermeldung sagen soll.
    Danke @Tamerlain und @Berichtigung mit dem Pfad ohne system hinten dran lief die Installation durch. Ich musste noch das Paket "psmisc" installieren, welches den Befehl killall enthält, aber das war das geringste Problem. Eine Frage hätte ich noch zum Thema Einrichtung und iptables. In der Anleitung (GitHub README.md) steht, man solle die folgenden Befehle ausführen:


    Code
    iptables -A INPUT -j LOG
    iptables -A FORWARD -j LOG

    Habe ich gemacht. Allerdings frage ich mich, ob die Befehle persistent sind, oder ob die noch irgendwie in iptables dauerhaft gespeichert werden müssen?

    Diese Signatur ist derzeit nicht verfügbar.

    Für den Inhalt des Beitrages 128703 haftet ausdrücklich der jeweilige Autor: derwunner

  • Drei Sachen noch:
    1. Die Installation von psad lief erfolgreich durch, allerdings fehlt das systemd init Skript, um den Daemon zu starten. Kann mir da einer weiterhelfen (gesamte (Kompilier-)Ausgabe siehe spad-Ausgabe.txt)?
    2. @Berichtigung kannst Du bitte das mal mit VPN und Certificate Authority genauer erläutern für das Autorisierungsmanagement? Ich kann mir nämlich aktuell wenig Sinn und Nutzen des Ganzen vorstellen. Gerne auch mit Lektüre / Bücher zum Nachlesen.
    3. Ich verstehe noch nicht so ganz den Mehrnutzen, den man durch cryfs / Truecrypt gegenüber KeePass haben sollte, außer vielleicht EU Datenschutzkonform Kundendaten auf der Festplatte abzulegen. Ich meine, welchen Mehrnutzen habe ich mit cryfs / Truecrypt in Bezug auf das bisherige Passwort-, Schlüssel- und Zertifikatsmanagement via KeePass?

  • psad ist ein ziemlich altes Tool, weil dieses Problem ja auch schon länger existiert.
    Es kommt also noch mit seinen ganzen SysteV init Scripten.
    Du kannst dir einfach die in systemd eingebaute Kompatabilitätsschicht zunutze machen.
    Probiere einfach ein systemctl enable psad und systemd wir dir ein dafür benötigtes Unitscript miterstellen (du findest das dennoch nicht auf der Platte; es bleibt "innerhalb" dieser Schicht) und dieser Dienst wird beim nächsten Boot auch automatisch gestartet.


    Aber du kannst nach dem enable schon ganz normal mit systemctl start psad oder systemctl stop psad oder systemctl status -l psad operieren.



    VPN verwende ich, um mich mit unserem Server zu verbinden.
    Es erzeugt über das normale Internet ein verschlüsseltes, scheinbar lokales Netzwerk, innerhalb dessen ich dann mit meinem Server so spielen kann, als stünde er neben mir, und wäre innerhalb meines lokalen LANs und für alle draußen im bösen Internet nicht sichtbar.


    Wenn ich meinen Desktop starte, wird dieses VLAN automatisch aktiviert, ein paar Verzeichnisse dort über dieses VPN mit SSHFS in den lokalen Verzeichnisbaum eingehängt.
    Damit arbeite ich dann auf dem Server so, als wäre alles lokal, wobei die Verbindung zweifach verschlüsselt ist. Einmal durch den VPN Tunnel innerhalb dessen die einzelnen Verbindungen mit SSH verschlüsselt werden.


    Die für dein VPN benötigten Server- und Client Zertifikate könntest du dir (teuer) kaufen,
    oder eben mit openSSL selbst basteln.


    Da openVPN für seine Schlüsselpaare, wie halt unter Linux üblich, dazu openSSL verwendet, kannst du dir diese ganzen Zertifikate auch selber basteln.
    Du erstellst dir erst selbst eine CA, eine CertificateAuthority, die Root-Zertifikate erstellen kann, legst alle Verschlüsselungsparameter fest.
    Und damit dann für deinen openVPN Server selbst ein Zertifikat. Und für jeden Client, dem du den Zugriff auf diese VPN Netz gestatten möchtest.
    Du kannst damit den Rechner deiner Freundin virtuell in dein lokales Netz gut verschlüsselt holen, obwohl die sich vor deiner Frau im übernächsten Bundesland versteckt.


    Weil das ganze Verschlüsselungsgedöns anfangs doch heikel ist, gibt es eine Sammlung von Shellscripten, die die Erstellung aller benötigten Teile zum Kinderspiel macht.
    Diese Sammlung gibt es fertig zum Installieren in den Repos. Das Ding heißt schlicht "easy-rsa".


    Ballere dir einfach auf den Server openVPN und easy-rsa drauf und folge einfach der sehr guten Community- Doku

  • Drei Sachen noch:
    1. Die Installation von psad lief erfolgreich durch, allerdings fehlt das systemd init Skript, um den Daemon zu starten. Kann mir da einer weiterhelfen (gesamte (Kompilier-)Ausgabe siehe spad-Ausgabe.txt)?

    Moin zusammen,


    na dann schreibe Dir doch schnell selber eins.
    Schau Dir an, wie die Scripte im systemd generell aufgebaut sind und bau eins für den psad. Das ist superleicht, bekommt man mit etwas Doku lesen und den Gockel fragen easy hin.


    'Eigengewächse' liegen im systemd unter /etc/systemd/system/.


    Im Übrigen hat Dein Verzeichnisproblem nichts mit systemd oder psad zu tun, sondern mit dem generell fehlenden Linux Skill bei Dir. Das Verzeichnisproblem ist grundsätzlich in das Thema OS Wissen, Manpage und Fehlermeldung interpretieren einzuordnen.


    Wenn Du wirklich ins Linux reinkommen willst, nimm Dir die Literatur vor, die als Vorbereitung zu den LPI-C1 und 2 Zertifizierungsprüfungen überall kursiert und acker die gründlich durch. Danach weisst Du im System erst mal soweit Bescheid. Den Rest macht Erfahrung und aktives Arbeiten als Admin mit dem System.


    Wenn Du tatsächlich beruflich mit Linux arbeiten musst und das auch noch unter Admin, dann wirst Du genau an der Ecke nicht ums Lernen rumkommen.

    Viele Grüße,
    T.

    Für den Inhalt des Beitrages 128708 haftet ausdrücklich der jeweilige Autor: Tamerlain

  • Wenn Du wirklich ins Linux reinkommen willst, nimm Dir die Literatur vor, die als Vorbereitung zu den LPI-C1 und 2 Zertifizierungsprüfungen überall kursiert und acker die gründlich durch. Danach weisst Du im System erst mal soweit Bescheid. Den Rest macht Erfahrung und aktives Arbeiten als Admin mit dem System.



    Wenn Du tatsächlich beruflich mit Linux arbeiten musst und das auch noch unter Admin, dann wirst Du genau an der Ecke nicht ums Lernen rumkommen.

    Ja, die GalileoPress Computing Bücher zu LPIC-1 und LPIC-2 habe ich da Heim (ja, zu dem Zeitpunkt hieß der Verlag wirklich noch so). Nur beim Lesen scheitert es meistens aus Gründen der Bequemlichkeit :saint:


    Naja, beruflich brauche ich Linux, aber kann durchaus sein, dass ich da managed Hosting verwöhnt bin. Ich muss dort den Webserver und die Backups / Wartung eher als Anwender betreiben, den Rest machen i. d. R. die Admins. Und falls es dabei zu Problemen kommt, dann ist es ein Support Ticket beim Hoster...


    Also, psad läuft nun. Ich musste noch mailx nachinstallieren, sowie ein paar Perl Module, dabei gaben mir die folgenden Links den richtigen Tipp (danach hatte ich wie empfohlen nochmal install.pl ausgeführt):

    Muss sonst noch etwas gemacht werden zum Thema psad? Die Doku auf GitHub ist ja recht schlank...

    Diese Signatur ist derzeit nicht verfügbar.

    Für den Inhalt des Beitrages 128716 haftet ausdrücklich der jeweilige Autor: derwunner

  • Ok, also psad ist nun konfiguriert, läuft und startet bei OS Start. Fail2Ban war schon da, habe eben noch den SSH Port konfiguriert und es anschließend gestartet sowie enabled. Das könnte noch von dem eingespielten Ubuntu / Plesk Backup gewesen sein.

    Diese Signatur ist derzeit nicht verfügbar.

    Für den Inhalt des Beitrages 129228 haftet ausdrücklich der jeweilige Autor: derwunner