Absicherungsfragen

[Diggo]

Hallo Board. Ich mal wieder...

ich habe ein Frage bezüglich der "Abhärtung" von ISPCP.
Ich möchte meinen Server so sicher wie möglich betreiben (klar wer will das nicht). Ich habe aber einen recht "freundlichen" Kundenstamm, den ich schon stark beinflussen kann. Es wäre kein Problem für mich, alle Leute drauf zu trimmen Verschlüsselung wo nur irgend möglich einzuseten.

Ich muss allerdings gestehen, dass ich zwar ein wenig Root-erfahrung habe, aber dennoch kein Serverguru bin. Gibt es irgendwo passende Howtos, wie man z.B. FTP durch FTPs in Kombination mit ISPcp ersetzen kann?
Gleiches gilt für Mailempfang und Versand.
Vielleicht gehöre ich zu der "paranoid" Gruppe, aber Ich würde mich freuen, wenn ich alles, abgesehen von HTTP irgendwie loswerden kann, was wichtige Daten im Klartext überträgt.


Gruß,
Diggo

[joximu]

Hi Diggo

Quote:Ich möchte meinen Server so sicher wie möglich betreiben (klar wer will das nicht).

ohhh... da gibt's einige, da ist es egal... sind ja nur ein paar persönliche Seiten...

Hat eigentlich mit ispCP nicht direkt was zu tun - und hast du schon mal im Forum gesucht und in der Doku gewühlt - da gibt's nämlich schon eine gute Zusammenstellung.
Im Fall von POP3/IMAP4 reicht es, wenn du die entsprechenden Pakete installierst (courier-imap-ssl und courier-pop-ssl, ggf. courier-ssl) - und ein Zertifikat erstellst.

Für FTPS gibt's leider verschiedene Dinge, ftpgrabber und FileZilla bieten an "FTPS: über SSL/TLS implizit", "FTPES: über SSL/TLS explizit" und "SFTP: über SSH"... da musst du mal bei proftpd in der Doku wühlen.

Wichtig wäre auch mindestens das Interface zu ispCP (und webmail, pma, webftp) über HTTPS laufen zu lassen.

SMTPS bringt auch was, wobei das nur für die Kunden wichtig ist (SMTP Auth verschlüsselt) - die Mailserver untereinander machen oft auch nur normales SMTP...

[Diggo]

Hm... Doku lesen habe ich zumindest auf meiner ToDo Liste

Hätte ja sein können, dass es spezielle Sachen gibt, die man im Zusammespiel von ISPCP und den Diensten beachten muss. Trotzdem vielen Dank für die Infos

[RatS]

joximu Wrote:SMTPS [...] die Mailserver untereinander machen oft auch nur normales SMTP...

Das ist so nicht richtig. Die Mailserver handeln das Protokoll aus, das am sichersten ist und von beiden unterstützt wird. Es wäre auch möglich SMTP zu verbieten und nur SMTPS zu nutzen, jedoch wird da kaum ein Mailserver deine eMails weiterleiten oder gar annehmen.

[joximu]

RatS Wrote:

joximu Wrote:SMTPS [...] die Mailserver untereinander machen oft auch nur normales SMTP...

Das ist so nicht richtig. Die Mailserver handeln das Protokoll aus, das am sichersten ist und von beiden unterstützt wird. Es wäre auch möglich SMTP zu verbieten und nur SMTPS zu nutzen, jedoch wird da kaum ein Mailserver deine eMails weiterleiten oder gar annehmen.

Naja, ich habe nicht viel anderes geschrieben, aber deins ist genauer:

der kleinste gemeinsame Nenner wird benutzt. Auf Port 465 wird jedoch selten versendet - aber SMTP + TLS wird doch immer mehr benutzt...

/J

[Diggo]

Also TLS habe ich gerade mal implementiert, das war ein recht schmerzfreies Unterfangen.

Das Howto von Howtoforge passt sich da gut ein. Man muss nur ein paar Variablen anpassen.
Als nächstes werde ich mich dann dem Courier widmen, anschließend dem HTTPS für das Controlpanal (das wäre m.E. auch ein wichtiger Punkt) - evtl. werde ich da noch ein wenig Hilfe benötigen *wernichtfragtbleibtdumm*.

Wenn ich damit durch bin, fasse ich das ganze mal in einem Howto zusammen (für Etch+IspCP RC3 - in der Final wird sich da wohl nicht soviel drehen).

[joximu]

Schau mal in den Howtos nach - auch in den alten - die sache mit HTTPS war vor x Monaten auch mal ein Thema - ist dann wieder eingeschlafen - obwohl es eigentlich wichtig wäre...

[gOOvER]

Es hab mal nen Branch für https für das Panel. Leider wurde der nie in den Trunk übernommen und ist leider sehr alt. Im SVN aber noch vorhanden.

[FeG]

Hi..

ich habe vor ein paar Monaten ein HowTo geschrieben, um eine eigene SSL-Zertifizierungsstelle zu erstellen und damit ispCP, Mail und FTP abzusichern.

Betreibe das auf meinem Server auch ganz erfolgreich.

Hier der Link zum HowTo.

Gruß
FeG

[ZooL]

Wunderbares Tut sowas brauch Deutschland *lach*
im ernst es ist verständlich...


mfg