Debian 12 : System Härten - Netzwerk

Über Kernelparameter kann die Sicherheit des Systems noch etwas verbessert werden.
Wichtig ist das die Einstellungen zu der eingesetzten Software passen !
Ein OpenVPN Server z.B. würde mit den folgenden Einstellungen nicht laufen. Ein Apache Webserver hingegen schon.
Erstmal legen wir uns ein Backup der Default Config an
sudo sysctl -a > /tmp/default_sysctl.txt
dann legt man diese Datei an (sollte sie nicht bereits existieren) /etc/sysctl.d/98_ip.conf und fügt diese Zeilen ein.
net.ipv4.ip_forward=0
net.ipv4.conf.all.send_redirects=0
net.ipv4.conf.default.send_redirects=0
net.ipv4.conf.all.accept_source_route=0
net.ipv4.conf.default.accept_source_route=0
net.ipv4.conf.all.secure_redirects=0
net.ipv4.conf.default.secure_redirects=0
net.ipv4.conf.all.log_martians=1
net.ipv4.conf.default.log_martians=1
net.ipv4.icmp_echo_ignore_broadcasts=1
net.ipv4.icmp_ignore_bogus_error_responses=1
net.ipv4.conf.all.rp_filter=1
net.ipv4.conf.default.rp_filter=1
net.ipv4.tcp_syncookies=1
net.ipv4.conf.all.accept_redirects=0
net.ipv4.conf.default.accept_redirects=0
net.ipv6.conf.all.forwarding=0
net.ipv6.conf.all.accept_source_route=0
net.ipv6.conf.default.accept_source_route=0
net.ipv6.conf.all.accept_redirects=0
net.ipv6.conf.default.accept_redirects=0
net.ipv6.conf.all.accept_ra=1
net.ipv6.conf.default.accept_ra=1
Nach einem Neustart werden die Kernelparameter aktiv, wer nicht solange warten möchte kann diese mit
service procps force-reload
sofort einlesen. Hier kann nachgelesen werden was hier überhaupt konfiguriert wurde. ip-sysctl.txt

Debian 12 : weiteres Absichern ssh Zugang

In einem diesem Artikel habe ich erklärt wie man mfa für ssh konfiguriert. Jedoch ist hier noch der Zugriff aus allen IP Ranges möglich (solange die FW nicht anderweitig konfiguriert ist).

Es gibt die Möglichkeit den Zugang in den den beiden Dateien /etc/hosts.allow und /etc/hosts.deny einzuschränken.

Ich gehe mal davon aus das das Netzwerk die Mask 192.168.10.0/24 verwendet. Um jetzt nur Rechner aus dem Netzbereich eine ssh Verbindung zu ermöglich trägt man in die Datei /etc/hosts.allow folgende Werte ein. Die Loopback Adressen sind aus Gründen der Kompatibilität mit aufgeführt.
sshd: 192.168.10.
sshd : localhost
sshd : 127.0.0.1
sshd : ::1
und in der Datei /etc/hosts.deny kann man Verbindungen die auf den ssh Deamon von allen anderen Adressen verbieten. Das erreicht man mit diesem Eintrag :
sshd: ALL

Debian 12 : MFA für ssh/su/sudo aktivieren

Unter Windows ist es recht einfach einen MFA Schutz zu realisieren. Hier haben wir Windows Hello oder das Azure AD das uns das abnimmt.
Für den Mac gibt es TouchID aber für Linux muss man hier selbst etwas bauen.

Installation des benötigten Pakets
apt install libpam-google-authenticator -y
Konfigurieren von libpam-google-authenticator
google-authenticator
Jetzt kommen einige Fragen zur Konfiguration
Do you want authentication tokens to be time-based (y/n) y
An dieser Stelle wird der QR Code Angezeigt, dieser kann kann jetzt gescannt werden und in der Authenticator App deiner Wahl eingepflegt werden. Und dann gehts weiter mit folgenden Fragen
Do you want me to update your "/chris/.google_authenticator" file? (y/n) y

Do you want to disallow multiple uses of the same authentication
token? This restricts you to one login about every 30s, but it increases
your chances to notice or even prevent man-in-the-middle attacks (y/n) y

By default, a new token is generated every 30 seconds by the mobile app.
In order to compensate for possible time-skew between the client and the server,
we allow an extra token before and after the current time. This allows for a
time skew of up to 30 seconds between authentication server and client. If you
experience problems with poor time synchronization, you can increase the window
from its default size of 3 permitted codes (one previous code, the current
code, the next code) to 17 permitted codes (the 8 previous codes, the current
code, and the 8 next codes). This will permit for a time skew of up to 4 minutes
between client and server.
Do you want to do so? (y/n) n

If the computer that you are logging into isn't hardened against brute-force
login attempts, you can enable rate-limiting for the authentication module.
By default, this limits attackers to no more than 3 login attempts every 30s.
Do you want to enable rate-limiting? (y/n) y

Jetzt ist die Konfiguration abgeschlossen. Der Zeitpunkt ist gekommen in der wir die zu sichernden Dienste konfigurieren.
Hier als Beispiel ssh

Öffnen der Datei /etc/pam.d/common-auth und das PAM Modul aktivieren.
Dazu diese Zeilen einfügen in der config einfügen.
# google mfa
auth required pam_google_authenticator.so nullok
Nachdem alle User die Konfiguration durchlaufen haben muss nullok aus der Zeile entfernt werden. Das sorgt dafür das nur noch User mit MFA eine Authentifizierung möglich ist.


Und jetzt noch die Datei /etc/ssh/sshd_config anpassen.
KbdInteractiveAuthentication yes
UsePAM yes
Jetzt noch den sshd Service neu starten und wir müssen uns mit einem MFA Token anmelden.
systemctl restart sshd


Noch sicherer wäre das ganze wenn man das Login auf pubkey umstellt. Hierzu muss VOR der Einrichtung ein Pubkey erzeugt und hinzugefügt werden. Dann kann man in der Datei /etc/pam.d/sshd den Part @include common-auth auskommentieren (# davor) und danach die Zeilen einfügen.
# google mfa
auth required pam_google_authenticator.so
Hintergrund ist das wir hier das common-auth modul deaktivieren , dieses ist für die Passwort Anmeldung zuständig. Wechseln wir auf das Pubkey Verfahren wird dieses Modul nicht mehr angezogen , was die Einstellung die oben erwähnt wurde deaktivert.

Da wir die Einstellungen im common-auth Modul setzen sind alle Dienste davon betroffen die dieses verwenden. d.h. jetzt sind alle Dienste über MFA abgesichert die dieses PAM Modul verwenden.

Debian 12 : Apache2 entfernen des Server Headers

Nachdem ich erklärt habe wie man das für den nginx umsetzt wurde ich gefragt ob ich das auch für Apache erklären könnte. Ja kann ich ;-)

Problem : Entfernen des Apache Server Headers aus dem Response des Webservers



Lösung :

als erstes installieren & aktivieren wir die benötigten Module.
apt install libapache2-mod-security2 -y
a2enmod headers
systemctl restart apache2

In der Konfigurationsdatei /etc/apache2/conf-available/security.conf folgende Werte setzen
ServerTokens Prod
ServerSignature Off
Header set X-Content-Type-Options: "nosniff"
Header set Content-Security-Policy "frame-ancestors 'self';"
gefolgt von einem Neustart des Services
systemctl restart apache2


Um auch den Servernamen aus dem Response zu entfernen muss die Konfiguration angepasst werden.
SecRuleEngine DetectionOnly
ServerTokens Full
SecServerSignature "Gameboy"
gefolgt von einem Neustart des Services
systemctl restart apache2



Hier gibts mehr Informationen :
https://return42.github.io/handsOn/apache_setup/mod_security2.html
https://github.com/coreruleset/coreruleset
Hier hatte ich mal Ärger mit Grafana und mod_security

Debian 12 : nginx Server Header entfernen

Problem : Entfernen des nginx server headers aus dem response des webservers

nginx default config

Lösung : Aus dem Security Aspekt sollte man diese Informationen entfernen.

Um nur die Server Version zu entfernen , reicht es in der config Datei /etc/nginx/nginx.conf den configparameter "server_tokens off;" zu setzen.
nginx without version
Will man den Namen nginx komplett aus den Headern entfernen , müssen noch einige Packete installiert werden.
apt install libnginx-mod-http-headers-more-filter
nach der Installation setzt man in der config noch folgende Parameter :
more_clear_headers Server;
more_set_headers 'Server: Gameboy';

remove nginx from headers

Auszug aus der Config:
http {

        ....
        
        server_tokens off;
        more_clear_headers Server;
        more_set_headers 'Server: Gameboy';

        ...
“Das einzig sichere System müsste ausgeschaltet, in einem versiegelten und von Stahlbeton ummantelten Raum und von bewaffneten Schutztruppen umstellt sein.”
Gene Spafford (Sicherheitsexperte)