Lighttpd usw.

Servus,

bin gerade dabei meinen Server neu einzurichten. Und will den richtig gut absichern (so gut wie möglich).

Was ist dabei zu beachten und was sollte ich unbedingt tun? Als Webserver will ich Lighttpd mit Fcgi einsetzten, da er sehr schlank ist.

Sonstige Dienste wären:
- ejabberd
- Teamspeak
- Mailserver (Postfix) wegen logwatch
- Mysql
- SSH
- wenn alles läuft, auch mal FTP mit TLS (oder Sftp, sollte aber an Verzeichnis gebunden)


Meine Arbeiten bis jetzt:
- Updates eingespielt
- Unnötige Dienste weg
- kein rootlogin
- SSH Key
- SSH: nur Protokoll 2
- Mysql an localhost gebunden

Es läuft Debian ohne Plesk etc. Komme mit der Konsole gut zurecht und hab schon einige Jahre Linux Erfahrung auf dem Buckel.

Könntet ihr mir Tipps geben? Vorallem für Lighttpd, PHP, Mysql und Postfix.

mfg krumme

Hallo krumme,
ich denke das ist eine Thema wo man nie wirklich zu einem Ende kommt,
hier ein paar Tips mit steigendem Aufwand:

Für Webdienste wo es geht von der Standardinstallation abweichende Einstellungen/Pfade verwenden
sudo einrichten
Regelmäßig rkhunter und chkrootkit laufen lassen
logdateien kontrollieren
mod_security verwenden
Eine Firewall mit IPtables einrichten
Eine sichere php.ini, PHPsuexec und Suhosin verwenden
AIDE verwenden um die Integrität wichtiger Binärdateien zu überwachen
Den Server mit Hilfe von Nagios und Cacti überwachen
Sandboxing/Virtualisierung mit einer chroot-Umgebung, Vservern oder XEN
SNORT als IDS oder besser zusammen mit IPtables als IPS laufen lassen
RSBAC und GRSecurity einsetzen um die Sicherheit auf Kernelebene zu verbessern
SELinux einsetzen

Da es ein Webserver ist würde ich vor allem schauen ob mod_security Sinn macht.
Nachteil dabei ist dass es die Performance runterzieht und es je nach Größe/Komplexität
des Webportals zu irrtümlichem Blocken kommen kann.