[10.9 Mavericks] Sicherung des Servers

[Ludwigsonline]

Hallo,

ich benz noch mal

Meine Frage an euch, wie schütz ihr euren Server? Vor Eingriffen von aussen, von innen, vor Viren und Trojanern? Gibt es irgendwelche Sicherheitsfeatures die Ihr den anderen (mir) Empfehlen könnt? Was ist überflüssig?

Ich selbst habe (da der Server hinter ner Fritzbox hängt) im Moment alle Ports auf den Server umgeleitet. Sobald alles stabil läuft, will ich aber nur die "wichtigen" Ports weiterleiten und den Rest abblocken.
Ausserdem läuft Little Snitch drauf. Hier die richtigen Einstellungen zu treffen ist nicht ganz so einfach (wenn man es richtig machen will).

Das war es bei mir schon. Einen Virenscanner halte ich für unnötig.

Freue mich auf eure Anregungen.
Jens

 

[Scotch]

Also wie man auf die Idee kommen kann, die Ports zum Server erst dicht zu machen, wenn alles stabil läuft erschliesst sich mir nicht. Das wäre für mich der Zeitpunkt, wo man darüber nachdenken kann, Ports auf zu machen.

Auf einem Server auf einen Virenscanner zu verzichten halte ich für grob fahrlässig, sobald auch nur ein Windows-Client im Netz ist.

In deiner Aufzählung fehlen:

• Serverbasierte Konten
• Starke Passwortrichtlinien serverseitig
• Intelligente und durchdachte Gruppen
• Serverseitige Zertifikate für Netzwerkdienste (SSH, SFTP...)
• Deaktivierung aller notorisch unsicheren Dienste (Telnet, FTP...)

Alles zu unbequem und umständlich? Jo mei, warum dann über Serversicherheit reden?

 

[Ludwigsonline]

Kurz zur Erklärung:

Die Ports sind deshalb geöffnet, weil mein Problem mit dem SSL noch nicht gelöst ist (http://www.apfeltalk.de/community/t...ebseite-carddav-caldav-webdav-und-vpn.462319/). Nur so kann ich eine falsche Port-konfiguration ausschließen.. Sobald das Problem behoben ist, werden sie natürlich sofort geschlossen (Hoffe Little Snitch regelt den Rest).

Die Aufgezählten Punkte sind durchaus sinnvoll, die ersten drei betreffen aber nur Open Directory.

Und ein eigener Server zu Hause ist alles andere als Bequem...so leicht man es sich auch macht.

 

[stk]

Little Snitch hat auf einem Server nix zu suchen!

LS ist eine Reverse Firewall, die ausgehende Verbindungen untersucht und zur rechten Zeit eine Freigabe (oder einen Deny) für den angestrebten Verbindungsaufbau haben will. An der Ecke gibt es dann 2 (3) Szenarien:

a) der Server läuft unter einem Benutzer und liefert seinen Schirm permanent per ARD o.ä. ab (was nicht sehr serverlike ist, aber das nur am Rande), damit auf solche Anfragen reagiert werden kann. Da liegt der eigentliche Knackpunkt, da ein Server - anders als ein Client - 7/24 läuft und die Anfragen von LS jederzeit auftreten können, wenn ein Prozess eine Verbindung nach außen braucht.

b) es gibt eine Voreinstellung die nach Zeitablauf eine Anfrage wahlweise bestätigt oder ablehnt (je nach dem wie man das zählen mag kommt man zu o.g. 2 oder 3 Szenarien). Egal wie: Entweder erlaubst Du dann an der Ecke auch ungewollte Verbindungen (dann kann man sich LS auch gleich sparen) oder Du verhinderst gewollte Verbindungen, was da zu führt, das der Server mittelfristig nicht mehr arbeitsfähig ist.

Meine Server sind von außen i.d.R. nur via (L2TP/IPSec) VPN erreichbar. Hat den charmanten Vorteil, das nur 3 UDP-Ports geöffnet werden müssen und die Verbindung verschlüsselt ist. Ausnahmen für definierte Ports nur bei sehr starker PW-Policy. Und ja: das ist unbequem, das man seine eMails erst abholen kann, nachdem man sich ins VPN eingewählt hat.

 

[Ludwigsonline]

Danke für die Kritik. Dazu zwei Fragen:
So wie du es schreibst, ist es (bei MacOS) möglich, den Server aktiv zu haben, ohne einen Benutzer angemeldet zu haben. Also kann der Rechner im "Benutzeranmelden-Modus" sein und trotzdem funktionieren...oder?
Ich habe mir einen "Server-Benutzer" angelegt, der nur für das laufen lassen des Servers gedacht ist. Auf diesem Benutzer laufen dann Plex, die Wetterstation, etc... Das dürfte dann alles nicht laufen, ohne angemeldeten Benutzer, oder?

zu LS.: Du hast recht, es ist Arbeit die Firewall so einzurichten, dass alles was ich möchte läuft. Die ersten Wochen schaue ich täglich mehrfach auf den Server um eventuelle Anfragen von LS zu erlauben / abzulehnen. Wenn das alles einmal eingerichtet ist, kann der Rest komplett abgelehnt werden. Fertig.

VPN-Only kann ich leider nicht machen, da auch zwei-drei "externe" (meine Frau z.B.) die Funktionen nutzen können müssen. Sie kann so also einen Kontakt / Kalendereintrag hinzufügen und hat ihn gleich auf den anderen Rechner verfügbar. Sicherer wäre es....stimmt.

Was ist ARD? Ich habe meinen Server im Moment per Screensharing im internen Netz hängen und kann ihn so administrieren. Bin damit nicht wirklich zufrieden. Über eine Alternative wäre ich dankbar.

Jens

 

[Marcel Bresink]

So wie du es schreibst, ist es (bei MacOS) möglich, den Server aktiv zu haben, ohne einen Benutzer angemeldet zu haben.

Das ist nicht nur "möglich", das ist der Normalfall. Einige ältere Mac-Server (bestimmte Xserve-Baureihen) hatten deshalb noch nicht einmal eine Grafikkarte eingebaut.

Auf diesem Benutzer laufen dann Plex, die Wetterstation, etc... Das dürfte dann alles nicht laufen, ohne angemeldeten Benutzer, oder?

Wenn das "richtige" Server-Software ist, dann muss keine grafische Sitzung angemeldet sein.

zu LS.: Du hast recht, es ist Arbeit die Firewall so einzurichten, dass alles was ich möchte läuft.

Nochmal: Little Snitch ist keine übliche Firewall, sondern eine Reverse Firewall. So eine Software brauchst Du nur, falls Du verhindern willst, dass Programme auf dem Server von selbst ungewünschte Verbindungen nach außen aufbauen.

OS X enthält bereits zwei voneinander unabhängige Firewalls, eine port-basierte (ipfw) und eine anwendungsbasierte (alf). Da braucht man eigentlich nicht noch eine, die für ganz andere Zwecke gedacht ist.

Was ist ARD? Ich habe meinen Server im Moment per Screensharing im internen Netz hängen und kann ihn so administrieren.

ARD heißt "Apple Remote Desktop". Bis einschließlich Mac OS X Tiger (2007) war Screen Sharing von Apple ein Teil dieser Software. Seit den Zeiten von Mac OS X 10.5 braucht man ARD für Screensharing aber nicht mehr. Das Programm hat sich seitdem in eine etwas andere Richtung entwickelt und ist eigentlich nur noch für sehr große Netze sinnvoll.

Wenn Du nur die reinen Funktionen von OS X Server konfigurieren musst, brauchst Du kein Screen Sharing, sondern kannst Server.app im Fernbetrieb nutzen, bzw. die Befehlszeile per SSH ("Entfernte Anmeldung") erreichen.

 

[Ludwigsonline]

Mmmmm....sehr interessant. Auch wenn z.B. ARD für meine Verhältnisse Overkill sind.

Fazit für mich:

• LS auf dem Server deinstallieren, in Apple Firewall einlesen (nur an und läuft scheint mir ein wenig naiv).
• Server muss weiterhin im Benutzermodus laufen (Wetterstationssoftware ist keine richtige Serverapp...braucht Programm was läuft).

Jens

PS.: Nur für's Protokoll...braucht der Server weniger Strom, wenn kein Benutzer angemeldet ist / nur der Server läuft? Sollte ja, solange der Benutzer keine Stromfresser-Apps offen hat, das selbe sein.

 

[Wuchtbrumme]

LS ist nicht mal auf Desktop-Rechnern eine sinnvolle Entscheidung...
Auf meinem Mini, den ich wider Apples Willen als HTPC benutze, läuft automatisch angemeldet der Plex user mit entsprechender Applikation. Ideal ist das nicht, weise wohl auch nicht, aber es geht solala (mitunter tauchen bei Updates aber die Meldungen der Application- und Portfirewall beim jeweils anderen Benutzer auf. Dumm, wenn man nicht regelmäßig nachguckt und sich wundert, warum was nicht geht.) Ein besonderes Einlesen in die Apple Firewall halte ich nicht für nötig; das ist dafür gemacht, dass es einfach funktioniert. Allerdings gab es kürzlich ARD-Komponenten, deren Installier buggy war und die die Firewall ganz schön kaputtgemacht haben (wurde dann aber auch wieder repariert). So oder so, für Firewalls braucht man Netzwerkverständnis; ein einzelnes Buch über die jeweiligen Port- und Applikationsfilter hilft da exakt gar nichts. Soweit ich das verstehe, sind das eigentlich auch Standardkomponenten (ipfw jedenfalls). Anyway, dass Du alle Ports umleitest auf Deinem Router erweckt in mir nicht das Gefühl, dass Du weißt, was Du da tust. Dein SSL-Problem hatte ich schon an anderer Stelle abschließend mit Lösung kommentiert. Sichere Konzepte sind, Ports komplett zu vermeiden und VPN zu verwenden.

ARD braucht man nicht wirklich, es ist für größere Netze und die Implementation von Apples VNC-Variante darin gefällt mir nicht besonders. Die normale Screensharing.app reicht völlig; will man es a bisserl besser haben, dann empfehle ich einen Blick auf Remotix. An RDP von MS kommt das aber alles nicht ran; Remotix ist aber sehr Mac-like und flott.

Deine Einschätzung mit dem Strom teile ich. Allerdings ist ein Mini kein Stromfresser.