Ein Traum wird wahr. Eine eigene Firewall, ein eigenes IDS mit einer zentralen Adblock Liste, mit eigenem WLAN, VLANs und und und… Die Liste lässt sich fast endlos erweitern. In diesem Artikel möchte ich euch meine Schritte zum Aufbau des APU 1D4 mit IPFire vorstellen.

Mit der APU Plattform hat mir der Hersteller PC Engines ein günstige Alternative zu den ganzen Plaste-Routern angeboten, welches ich gerne in Anspruch nehmen möchte. Ich denke, dass es viele Paranoiker und Bastler gibt, die sich ihr eigenes Netzwerk aufbauen möchten, ohne auf closed source oder ähnlichem zurück greifen zu müssen.

Viele Webserver und deren Webapplikation laufen ohne tiefgreifendere Konfigurationen. Dabei verpasst man die Chance sich und seine Besucher besser vor Angriffen zu schützen. Nur wenige Einstellungen erwarten eine wirklich tief gehende Kenntnis über deren Funktion und ermöglicht somit den meisten Admins recht einfach eine ordentlich robusten Webserver zu betreiben.

Die Konfigurationen sind in den Distributionen leider alle unterschiedlich strukturiert d.h. man sollte seinen Apache schon etwas kennen gelernt haben. Letztlich hat man eine Apache-Konfiguration, die z.B. bei Debian/Ubuntu unter /etc/apache2/apache2.conf liegt und unter RedHat/CentOS unter /etc/httpd/conf.d/httpd.conf. Dort sollten nur Apache relevante Einstellungen erfolgen, keine Modulkonfigurationen! Die Modulkonfigurationen wie z.B. TLS, Caching, FCGI usw. erfolgen in der Regel in den eigenen Konfigurationen. Doch nicht alle nötigen Einstellungen sind zwingen in diesen Dateien zu erfolgen, sondern können auch in einer VirtualHost speziell für eine (Sub)Domain hinterlegt werden. Wie ihr seht müsst ihr etwas flexibel sein und die jeweilige Konfiguration in eurem System suchen bzw. explizit dort setzen wo ihr sie benötigt.

Lynis ist eine weitere Entwicklung von Michael Boelen, der unter anderem auch für den beliebten Rootkit Hunter (rkhunter) bekannt ist. Lynis analysiert das Betriebssystem auf bekannte Dienste und testet deren Einstellungen auf typische Verfehlungen. Am Ende jedes Scans erhält man ein Ergebnis der Analyse und einen Gesamtwert als sogenannten Härtegrad. Lynis ist bei mir unter Debian, Ubuntu und RedHat/CentOS im Einsatz und funktioniert dort tadellos. Die Installation ist sehr einfach, der Scan ist sehr schnell.

Wer einen Linux Server betreibt und bei seinem Provider keine vorgeschaltetet Firewall erhält, hat es in der Regel recht schwer Attacken auf den SSH-Port zu unterbinden. Mit dem Dienst Knock ist es möglich Ports nach außen zu sperren und erst bei einem korrekten Anklopfen einer vorher festgelegten Port-Sequenz, wird der Port für die anklopfenden freigeschaltet.

Die Verwendung von Knock macht den versteckten Dienst nicht sicherer, da die Anklopfsequenz mitgeschnitten werden könnte, allerdings bleiben standard Bruteforce-Attacken aus den Logdateien und ernsthafte Attacken werden einfacher zu erkennen. Ein deutlich größerer Sicherheitsgewinn ist da schon eher, dass der Header des SSH-Ports nicht mehr adhoc lesbar ist, da dieser schon viel über die verwendet Distribution und über deren Patchlevel verrät.

Kontakt

homepage@cais.de

Quellenangaben für die verwendeten Bilder und Grafiken

Fotolia – 40120448 – alphaspirit
Fotolia – 41572179 – Anton Balazh
Fotolia – 40726761 – vege
Fotolia – 39053413 – freshidea
Fotolia – 34471268 – Pavel Ignatov
Fotolia – 41283468 – F.Schmidt
Fotolia – 42024043 – Mopic
Fotolia – 83008674 – GKSD
Apache Software Foundation
OpenSSH
IPFire
PHP.net
Nginx
Microsoft
TomTom
Purism

Content-Managment-System

https://gohugo.io/

Template based on

https://github.com/vimux/mainroad/

Create_swap

draft: false title: “Create Swapfile” date: 2021-10-08T00:04:25+02:00 description: “Create an swapfile” #thumbnail: “img/wafe.png” # Optional, thumbnail disable_comments: false # Optional, disable Disqus comments if true authorbox: false # Optional, enable authorbox for specific post toc: false # Optional, enable Table of Contents for specific post toc_sidebar: true # Optional, enable Table of Contents for specific post mathjax: false # Optional, enable MathJax for specific post categories:

• “Linux”
• “Misc” tags:
• “RAM”
• “Linux”

---

Create file with 1Gbyte