Archives for : Oktober 2013

Linux Server absichern

Linux Server

Eine Sache vorab, dies soll nur einige Ideen aufzeigen, wie man Linux Server absichern kann, bzw. in der Fachsprache abhärten.

Solange ein Linux Server keine Verbindung zum Internet hat, besteht nicht unbedingt die Notwendigkeit, einen Linux Server abzuhärten.

SSH absichern

Wenn ein Linux Server mit dem Internet verbunden ist, sollte man als aller erstes den SSH Daemon absichern. Hierzu kann man den SSH Port umbiegen vom Standardport 22 auf einen beliebigen anderen Port umleiten. Hierfür muss man auf dem Linux Server folgende Konfigurationsdatei bearbeiten:

nano /etc/ssh/sshd_config

Wobei nano den Editor beschreibt,den man benutzen möchte(Ihr könnt stattdessen z.b. auch vim oder andere Editoren eingeben) und /etc/ssh/sshd_config ist der Pfad der Konfigurationsdatei.

Nun seht Ihr die geöffnete Konfigurationsdatei.

SSH Konfigurationsdatei

SSH Konfigurationsdatei

Unter dem Eintrag Port, könnt Ihr in der Konfigurationsdatei den Port auf den der SSH Daemon reagiert ändern. Etwas weiter unten in der Konfigurationsdatei findet Ihr den Eintrag:

PermitRootLogin   yes

Dies müsst Ihr auf no ändern, damit über SSH kein root login mehr möglich ist.(Wichtig! Vorher solltet Ihr einen neuen Benutzer erstellen, damit Ihr euch mit diesem Benutzer über SSH weiter einloggen könnt.)

Dies hat den Vorteil, dass z.B. diverse Angriffe auf SSH auf den root Benutzer abzielen, da dieser standardmäßig bei allen Linux Servern existiert.

Nachdem Ihr die Konfiguration bearbeitet habt, müsst Ihr den SSH Daemon neustarten. Dies macht Ihr unter Ubuntu beispielsweise so:

/etc/init.d/ssh restart

fail2ban

Bei fail2ban handelt es sich um ein in Phyton geschriebenes Intrusion Prevention System. Ihr installiert es z.b unter Ubuntu mit folgendem Befehl:

apt-get install fail2ban

Mit fail2ban könnt Ihr die Login Versuche für verschiedene services beschränken und die IP-Adresse automatisch für eine von euch festgelegte Zeit sperren lassen.

Um die entsprechenden Einstellungen vornehmen zu können, müsst Ihr mit eurem gewünschten Editor die Konfigurationsdatei öffnen. In meinem Fall ist der Editor nano:

nano /etc/fail2ban/jail.conf

Im Anschluss öffnet sich die Konfigurationsdatei. Diese ist in bestimmte Bereiche unterteilt, ganz oben findet ihr unter default die Bannzeit,wie lange die IP Adressen gesperrt sein sollen und Ihr könnt hier auch bestimmte IP-Adressen ausschließen.

fail2ban Konfigurationsdatei

fail2ban Konfigurationsdatei

Wenn Ihr weiter runter geht, findet Ihr schon viele vorgefertigte Bereiche, unter anderem für ssh,apache oder postfix. Nachdem Ihr fertig seid mit der Konfiguration, müsst Ihr den fail2ban Daemon neu starten. Dies macht Ihr z.b. unter Ubuntu folgendermaßen:

/etc/init.d/fail2ban restart.

Windows 7 automatisch anmelden

Windows 7 automatisch anmelden über die Registry

In Windows 7 besteht die Möglichkeit, einem Benutzer ein Passwort zu vergeben und Windows mitzuteilen, dass es sich bei jedem Neustart mit diesem Benutzer und seinem Passwort anmelden soll.

Dies kann man zum Beispiel nutzen, damit man sich auf Messen nicht noch ein weiteres Passwort merken muss für ein extra angelegten Messe Benutzer oder allen anderen Möglichkeiten, die euch noch so einfallen.

Wie funktioniert das ganze?

Um Windows 7 automatisch anmelden zu lassen, muss man 3 Einträge in der Registry ändern. Beim Bearbeiten der Registry ist jedoch Vorsicht geboten, da hier eine falsche Konfiguration an der falschen Stelle für massive Probleme auf euren Rechner führen kann.

Um die Registry aufzurufen, klickt Ihr unten auf den Start Button und tippt unter Programme Dateien durchsuchen „regedit“ ein und drückt Enter.

Nun sollte der Registry Editor als ein neues Fenster erscheinen. Der Registry Editor sieht erstmal so aus:

RegEditor

 

Was Ihr in der linken Fensterhälfte seht, sind quasi Ordnerpfade. Um jetzt Windows 7 automatisch anmelden zu lassen, müsst Ihr euch durch die Pfade klicken, bis Ihr folgenden Pfad geöffnet haben:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

Nachdem Ihr auf Winlogon geklickt habt, findet Ihr zwei von drei benötigten Einträgen(auch Schlüssel genannt) bereits vor, den dritten müsst Ihr selber hinzufügen. Die Einträge sind:

AutoAdminLogon

DefaultUserName

und DefaultPassword müsst ihr selber anlegen

AutoAdminLogon müsst Ihr von 0 auf 1 ändern, um das Autologin von Windows zu aktivieren. Bei DefaultUserName schreibt Ihr einfach den benötigten Benutzernamen, mit dem Ihr euch bei Windows 7 automatisch anmelden möchtet rein.

Um DefaultPassword anzulegen, müsst Ihr in der Menüleiste oben auf Bearbeiten klicken, dann auf Neu und auf Zeichenfolge klicken. Ihr schreibt einfach DefaultPassword rein und schreibt nach einem Doppelklick auf DefaultPassword einfach das benötigte Password rein. Achtung! Das Password wird in Klarschrift gespeichert!

Wenn Ihr alles richtig gemacht habt, meldet sich Windows 7 automatisch bei jedem Neustart an.

Wenn Ihr Probleme dabei habt oder Fragen,Anmerkungen usw. schreibt mir eine Nachricht oder hinterlasst ein Kommentar.

Windows PowerShell Einführung

Windows PowerShell Einführung:

Als ersten Beitrag möchte ich euch einen Einblick in die Windows PowerShell geben.

Die Windows PowerShell gehört seit Windows 7 zur Standardinstallation und man findet Sie im Startmenü unter Alle Programme\Zubehör. Ab Windows XP/Windows Server 2003 kann man Version 1.0 oder 2.0 unter anderem hier zu finden, nachinstallieren. Die aktuelle Version 3.0 gibt es jedoch nur für Windows 7/Windows 8 und Windows Server 2008.

Bei der Windows PowerShell handelt es sich um eine neue Alternative zur alten cmd.exe. In der Windows PowerShell können alle Befehle der alten cmd.exe eingesetzt werden.

Die wohl nützlichsten Befehle sind: get-command und get-help. Durch get-command werden alle zur verfügung stehenden Befehle aufgelistet und nachdem man sich einen benötigten Befehl ausgesucht hat, kann man mit get-help „Befehl“ sich entsprechend anzeigen lassen, welche Funktion der Befehl hat.

Um Windows PowerShell Skripts auszuführen, muss man zuerst in dem Windows PowerShell Fenster den Befehl: „Set-ExecutionPolicy“ ausführen. Hierfür gibt es verschiedene Parameter. Um Skripts ausführen zu können, könnt Ihr beispielsweise den Befehl so eintippen: „Set-ExecutionPolicy RemoteSigned -Scope CurrentUser“.

Der Beispielbefehl legt fest, dass Skripts die aus vertrauenswürdigen Quellen stammen vom aktuellen Benutzer ausgeführt werden dürfen. Andere Skripte müssen eine gültige Digitale Signatur verfügen.

Die Windows PowerShell lässt sich außerdem mit verschiedenen Modulen oder Snap-Ins erweitern. Dadurch ist es z.b. möglich jedes Microsoft Produkt über die Windows PowerShell zu administrieren. Um Module zur Windows PowerShell hinzufügen zu können, muss man sich das entsprechende Modul herunterladen und installieren. Danach kann man im Powershell Fenster den Befehl: „Get-Module -ListAvailable“ ausführen. Dieser Befehl listet alle Module auf, die Verfügbar sind.Im Anschluss kann man sich ein Modul aus der Liste aussuchen und mit dem Befehl:“Import-Module (Modulname)“ in die Windows PowerShell Sitzung importieren.

Später gibts noch mehr über die Powershell.