Server security

Security is een erg uitgebreid topic dat zich niet zomaar in enkele tips laat vatten. Toch reiken we hier een aantal tools aan, die jouw server misschien weer nét iets veiliger maken. Heb je zelf nog een goede suggestie? Laat het ons weten op redactie@linuxmag.nl!

1. Mail voor root

Voor verschillende tips hieronder is het noodzakelijk dat e-mails voor de root-gebruiker geforward worden naar jouw persoonlijk e-mailadres. Maak daarvoor een alias aan in /etc/aliases en voer daarna het commando ‘newaliases‘ uit. Uiteraard moet er ook een SMTP-server geconfigureerd zijn op je server. Voor uitgaande mail volstaat het als, die enkel luistert op localhost (dit is de optie “Satellite system” bij het installeren van het postfix-pakket op een Ubuntu- of Debian-systeem).

 2. Pwgen

Als sysadmin moet je voortdurend wachtwoorden bedenken: voor systeemgebruikers, voor database-gebruikers (zowel eindgebruikers als accounts voor applicaties), voor e-mailgebruikers, enzovoorts. Geen inspiratie voor een veilig wachtwoord? Gebruik dan pwgen, dat je telkens 160 nieuwe willekeurige wachtwoorden toont. Standaard genereert pwgen wachtwoorden, die nog enigzins gemakkelijk te onthouden zijn: 8 karakters lang met minstens één hoofdletter en één cijfer. Met de -y-optie gooit pwgen er nog een speciaal karakter tussen. Langere wachtwoorden krijg je door de gewenste lengte mee te geven, bijvoorveeld 12. Mag het nog wat moeilijker? Voeg dan de -s-optie toe. We raden je wel af om wachtwoorden voor eindgebruikers te genereren met ‘pwgen -sy 12’. Wie onthoudt er immers het wachtwoord b^h%[o!N1c9J?

3. logwatch

Een typische Linux-server schrijft heel wat logs weg op een dag. Denk maar aan succesvolle en mislukte login-pogingen, statistieken van de iptables-firewall, pakket-upgrades, opgevraagde pagina’s en foutmeldingen van Apache of gedetailleerde informatie over verzonden of ontvangen e-mails. Meestal ga je pas snuffelen in de logfiles als het misloopt. Veel problemen zijn echter te voorkomen door je logfiles preventief te screenen op foutmeldingen. Maar dat is toch onbegonnen werk? Niet met logwatch! Logwatch analyseert alle logfiles en presenteert de resultaten in een overzichtelijk geformatteerd rapport. Zo zie je in één oogopslag wat er allemaal gebeurt op je server. Na installatie wordt logwatch standaard éénmaal per dag gestart en wordt het rapport naar de root-user gemaild. Logwatch bevat tientallen scripts om de meest uiteenlopende logfiles en services te analyseren. Ontbreekt jouw favoriete service? Dan kun je Logwatch uitbreiden met nieuwe Perl-scripts.

 4. swatch

Terwijl logwatch de logs van je server samenvat over een langere periode (meestal één dag), reageert swatch onmiddellijk op bepaalde gebeurtenissen. Om te beginnen stel je één of meerdere filters in voor log messages, waarin je geïnteresseerd bent. Vervolgen start je swatch als daemon. Komt er nu zo’n entry in een logfile, dan forward swatch dit meteen naar je mailbox. Swatch is dus uitermate geschikt om snel in te grijpen bij terugkerende problemen. De precieze syntax voor de filters vind je in de manpage van swatch. Wil je log entries opvolgen, die meermaals in een kort tijdsbestek voorkomen? Gebruik dan zeker de threshold-optie om te vermijden dat je mailbox gespamd wordt door honderden identieke berichten!

 5. apticron

Op je desktop verschijnt er een notificatie in de taakbalk, zodra er updates beschikbaar zijn. Op een headless server is dat natuurlijk onmogelijk. Voor een beperkt aantal servers kun je apticron gebruiken om updates op te volgen. Apticron is een eenvoudig bash-script, dat via cron gestart wordt en jou via e-mail verwittigt als er updates beschikbaar zijn. Standaard draait het script éénmaal per dag. Wil je vaker controleren op updates? Maak dan je eigen cronjob aan, die pakweg elk uur draait en vergeet niet om volgende optie aan te passen in /etc/apticron/apticron.conf:

 *** LISTING ***

DIFF_ONLY=”1″

*** EINDE LISTING ***

Apticron stuurt dan enkel een e-mail als er nieuwe updates zijn sinds de laatste controle. Zonder die optie krijg je elk uur opnieuw een mail met alle updates, die nog niet geïnstalleerd zijn.