Nuetzliche Tipps fuer Backup:
Benutz einfach amanda - Kostenlos und es reicht zum backupen
Platten spiegeln: Naja Hardware-Raid - empfehlenswert sind die 3ware Controller im unteren Preissegment - aeh und bei viel Platenzugriffen empfehle ich ganz klar SCSI.
S-ATA Platten werden auf langlebigkeit bei 20% Last getestet. SCSI-Platten bei 100%...
Softwareraid funktioniert auch ganz vernuenftig. (Verdammt billig - aber eben SOFTWARE-Raid mit allen Nachteilen, die das so mit sich bringt!)
Sicherheit/Firewall: Aeh. Es gibt ein paar Grundsätze zu Netzwerksicherheit - will Dir mal zwei, drei nennen:
- VIELSCHICHTIGKEIT der Verteidigung
Bedeutet fuer Dich: Nutze diese Symantec-Box UND!!! eine Firewall auf Deinem Gateway-Server
- KLEINER PFAD der Verteidigung
Bedeutet fuer Dich: zweite NIC ins Gateway und die eine NIC ("external") ist die einzige Verbindung zum Symantec
DSL....
- ALLES ist verboten, ausser das was ich explizit erlaube
Bedeutet fuer Dich folgende FW-default-Rules:
# Default policies:
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP
Nun einige weitere Firewall-Tipps...baue in Dein Firewall-Skript nicht nur Forward, Input und Output-Regeln ein - sondern modifiziere auch folgende TCP/IP-Settings:
# ACTIVATE routing:
echo "1" > /proc/sys/net/ipv4/ip_forward
# Modify TCP-Settings
# max 500/Second
echo 5 > /proc/sys/net/ipv4/icmp_ratelimit
# malloc(mem) und mem-timing for IP-De/-Fragmenting
echo 262144 > /proc/sys/net/ipv4/ipfrag_high_thresh
echo 196608 > /proc/sys/net/ipv4/ipfrag_low_thresh
echo 30 > /proc/sys/net/ipv4/ipfrag_time
# TCP-FIN-Timeout (against DOS-attack)
echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout
# max 3 responses to a TCP-SYN:
echo 3 > /proc/sys/net/ipv4/tcp_retries1
# max 15 repeats of a packets
echo 15 > /proc/sys/net/ipv4/tcp_retries2
# Now it's save to route outside....
route add -net 0.0.0.0 netmask 0.0.0.0 gw 62.128.12.1 eth2
route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.10.1.2 eth0
}
Lehne je nach Anfrage und Protokoll ab, dafuer nimmt man ein paar eigene DENY,DROP - Rules, siehe hier:
# the right answer for every protocoll (sorry for a own chain)
# MY_REJECT-Chain
$IPTABLES -N MY_REJECT
$IPTABLES -A MY_REJECT -p tcp -m limit --limit 7200/h -j LOG --log-prefix "REJECT T:"
$IPTABLES -A MY_REJECT -p tcp -j REJECT --reject-with tcp-reset
$IPTABLES -A MY_REJECT -p udp -m limit --limit 7200/h -j LOG --log-prefix "REJECT U:"
$IPTABLES -A MY_REJECT -p udp -j REJECT --reject-with icmp-port-unreachable
$IPTABLES -A MY_REJECT -p icmp -m limit --limit 7200/h -j LOG --log-prefix "DROP I :"
$IPTABLES -A MY_REJECT -p icmp -j DROP
$IPTABLES -A MY_REJECT -m limit --limit 7200/h -j LOG --log-prefix "REJECT ?:"
$IPTABLES -A MY_REJECT -j REJECT --reject-with icmp-proto-unreachable
# MY_DROP-Chain
iptables -N MY_DROP
iptables -A MY_DROP -m limit --limit 7200/h -j LOG --log-prefix "PORTSCAN DROP "
iptables -A MY_DROP -j DROP
MAILS:
Ok, Du hast einen externen Mailer, der auch Dein MX-Record etc. hat. Dann empfehle ich folgendes:
Nimm "fetchmail" um Deine Mails dort abzuholen; und nutze den als POP3, SMTP-Server fuer internal
Kind regards,
Bernd