[HowTo] Absicherung und Administration eines Linux-Servers (Stand: 29. 11. 2015)

[Jimini]

Ich würde ebenfalls dringend empfehlen noch Fail2Ban zu installieren: apt-get install fail2ban

Stimmt, fail2ban nutze ich ebenfalls. Allerdings sollten für den Anfang Maßnahmen wie "Dienste wie SSH nicht auf Standardports laufen lassen" ausreichen - meine Server leiten SSH-Anfragen von einigen wenigen Adressen automatisch auf den richtigen Port um, so dass ich nicht immer den Port angeben muss. Alle anderen Anfragen laufen ins Leere.

Der Grund, warum ich fail2ban bewusst nicht in den Guide aufgenommen habe, ist der, dass fail2ban bei einer fehlerhaften Konfiguration sehr viel Schaden anrichten kann. Fehlgeschlagene Logins beispielsweise können durchaus mal passieren und dann kann es (ohne entsprechende Hintertüren) sehr nervig sein, wieder aufs System zu kommen. Wenn die eigene IP-Adresse dann direkt an andere Blacklists weitergereicht wird, kann das ein dicker Schuss in den Fuß werden.
Grundsätzlich ist fail2ban aber eine nützliche Sache, wenn auch eher für erfahrene Anwender.

Ich hatte mich bei deinem Guide etwas gewundert warum du empfohlen hast den Postfix als MTA zu nutzen, daß macht ja keinen Sinn wenn der User keinen Mailserver betreibt und sich dafür nen TB bzw. Evolution installiert.

Postfix habe ich in diesem Guide nur für den Versand von E-Mails installiert. Da ich bislang nur mit Postfix gearbeitet habe, habe ich mich in dieser Anleitung darauf berufen.

Ansonsten für die, die nen Postfix betreiben empfehle ich noch ein Hardening in /etc/postfix/main.cf:

In diesem Fall würde es wahrscheinlich ausreichen, Verbindungsaufbauten mit Postfix nicht zu gestatten, da ja nur versendet werden soll.
Vielen Dank aber für die Parameter, die werde ich mir definitiv mal näher anschauen und eventuell auf meinem Mailserver hinzufügen

MfG Jimini