Debian Squeeze & Apache2, Performance verbessern und absichern

[Snees]

Ich möchte gerne die Leistung meines Haupt-Servers verbessern und diesen absichern. Dazu habe ich heute von meinem alten 512MB RAM-Server zu einem 6GB RAM-Server gewechselt.

Auf dem Server läuft aktuell:

• Apache2 (inkl. mod_pagespeed)
• MariaDB
• Teamspeak

Folgendes habe ich bereits gemacht:

• php5-xcache installiert
• mod_pagespeed installiert
• phpMyAdmin-Verzeichnis geändert
• ServerTokens Prod
• ServerSignature Off
• Module info,userdir,status,dav,autoindex,proxy ausgeschaltet
• Modul headers eingeschaltet
• in der .htaccess: Header unset "X-Powered-By"
• default vHost gelöscht

Jetzt ist meine Frage an euch, gibt es noch potenzielle Sicherheitslücken, die euch bekannt sind, mir aber nicht?
Was kann ich generell am Apache an der Konfiguration ändern, damit dieser besser läuft?

Würde mich über jeden sinnvollen Beitrag freuen, der mir weiterhelfen könnte.

Falls noch Fragen offen sind, einfach fragen

[Devon]

• MySQL bzw. MariaDB Konfiguration anpassen/tunen. Also die my.cnf im MySQL Ordner.
• Firewall zwischen "hauen" wie z.B. CSF.

[Ta1lor]

phpmyadmin weg
htaccess weg xpowered geht auch in der php ini aus
->mod headers weg
allgemein keine htaccess, kannste in den vhosts machen
Kannst noch an StartServers, MinSpareServers, MaxSpareServers, MaxClients, MaxRequestsPerChild, Timeout und keepalive drehen
Access log aus machen (Falls gewünscht)
upgrade auf debian 7
phpmyadmin weg
phpmyadmin weg
phpmyadmin weg
phpmyadmin weg
phpmyadmin weg
phpmyadmin weg
phpmyadmin weg
phpmyadmin weg
phpmyadmin weg
phpmyadmin weg
phpmyadmin weg
phpmyadmin weg
chroot umgebung
caching für statische inhalte, bzw. static domain einrichten

[Gelöschter Benutzer]

Ich würde dir raten, alle eingehenden Verbindungen von außen zu blockieren, bis auf ausgewählte Ports, wie zum Beispiel Port 80 für deinen Webserver.
Vorher installierst du dir am besten einen VPN-/Proxy Server (ich habe mich für einen Proxy Server entschieden, Squid in diesem Falle, weil mir die VPN Installation aufm Server zu umständlich war ) und erlaubst alle eingehenden Verbindungen von der IP. Danach einfach KiTTY/Putty/w.e. durch den Server tunneln.

So kann keiner von außen auf deinen Server zugreifen

[Ta1lor]

Ich würde dir raten, alle eingehenden Verbindungen von außen zu blockieren, bis auf ausgewählte Ports, wie zum Beispiel Port 80 für deinen Webserver.
Vorher installierst du dir am besten einen VPN-/Proxy Server (ich habe mich für einen Proxy Server entschieden, Squid in diesem Falle, weil mir die VPN Installation aufm Server zu umständlich war ) und erlaubst alle eingehenden Verbindungen von der IP. Danach einfach KiTTY/Putty/w.e. durch den Server tunneln.

Prinzipiell guter Ansatz, aber zu kompliziert. Kannst doch einfach direkt mit Putty/whatever durch einen anderen Server tunneln.

[Devon]

Ein CDN (Content Delivery Network) kannste noch vorklatschen bezüglich Caching und Co. Cloudflare, sagt dir sicher was.

[Asmo]

Den meisten dünpfiff den hier geschrieben wurde kanste auch mal gut in die Tonne Kloppen!

Erstmal für Performanc:
- Apache weg und bsp nginx nutzen!
- Für SQL gibt es GreenSQL als FW um SQLInjections weitgehenst ungef#rlich zu machen
- nginx kann mitlerweile auch mit mod_securty umgehen aber es gibt auch andere ansätze!
- Gegen Portscan's hilt portsentry
- SSH Port Ändern
- SSH Auth via Keyfile
- Logwatch und logcheck installieren für gescheites logfile monitoring!
- mysql via shell administieren oder phpmyadmin restriktiv in einer chroot umgebung betreiben!
- nginx und auch sonst sogut wie alle wenn möglich öffentlichen dienste in ne chroot!
- Wenns nen Diticate Server wäre SELinux nutzen einschalten und ggf gr-kernel
- uvm!

Sicherheit ist ein fortlaufender prozess und somit ist das Absichern eines Servers auch nie abgeschlossen!

Für nen 50er würd ich dir die kiste zumindest ansatzweise dicht machen!

PS:
iptables können auch ne mänge scheiße rausfiltern!

[Devon]

Kannst auch vor apache einfach nginx als Reserve Proxy nutzen um z.B.: statische Inhalte (was ja Ta1lor schon genannt hat) ausliefern zu können. Damit nimmst du viel Last vom Apache weg. Oder du nimmst lighty als Webserver.

Diticate? Was ist das?

[Ta1lor]

- SSH Port Ändern
- SSH Auth via Keyfile

Welchen Vorteil hat das gegenüber Tunneln durch andere Server um den eigentlichen SSH Port des Systems "dicht von außen" zu machen?
Public/privatekey nutzen ist klar, das sollte man sowieso machen.

[Snees]

MySQL bzw. MariaDB Konfiguration anpassen/tunen. Also die my.cnf im MySQL Ordner.

Worauf sollte man da genau achten? Was kann ich da genau einstellen?

Firewall zwischen "hauen" wie z.B. CSF

Besondere Vorteile?

phpmyadmin weg
htaccess weg xpowered geht auch in der php ini aus
->mod headers weg
allgemein keine htaccess, kannste in den vhosts machen
upgrade auf debian 7

Erledigt.

Ich würde dir raten, alle eingehenden Verbindungen von außen zu blockieren, bis auf ausgewählte Ports, wie zum Beispiel Port 80 für deinen Webserver.

Mache ich sowieso.

Kannst doch einfach direkt mit Putty/whatever durch einen anderen Server tunneln

Mache ich auch schon.

Ein CDN (Content Delivery Network) kannste noch vorklatschen bezüglich Caching und Co. Cloudflare, sagt dir sicher was

Da habe ich auch schon drüber nachgedacht und mich gestern auch schon bei Cloudflare angemeldet, muss nur noch die Nameserver umstellen, wenn ich die neue Domain habe.

Für nen 50er würd ich dir die kiste zumindest ansatzweise dicht machen!

Ich bezahle keine 50€ damit mein Server nach 2 Wochen aufgrund ausgehender DoS-Attacken vom Netz genommen wird. Außerdem will ich doch selber wissen, worauf man achten muss und jeden Punkt mind. ein mal selber umgesetzt haben.

Kannst auch vor apache einfach nginx als Reserve Proxy nutzen um z.B.: statische Inhalte (was ja Ta1lor schon genannt hat) ausliefern zu können.

Habe ich auf meinem alten Server auch gemacht, gibt ja ein Tut von ihm dazu hier, werde ich auch wieder machen



Danke erstmal für die ganzen Tipps