vServer Tutorial/Handbuch
lima-city → Forum → Die eigene Homepage → Internet Allgemein
applikation
dienst
forum
haus
hinsicht
http
jemand
laufen
login
niemand
paket
port
server
software
system
tag
url
verantwortung
vorgehen
warnung
-
Hallo,
ich werde bald in den Genuss kommen einen vtag/server">Server zu administrieren.
Ich weiß das das kein Kindergarten ist und man auf jeden Fall das System bombenfest absichern sollte. Also bitte keine Warnungen in der Hinsicht. Ich bin mir der Verantwortung bewusst.
Auf dem Server läuft Ubuntu.
Ich hab bisher allerdings noch kein so wirklich gutes Tutorial gefunden.
Ich habe Grundkenntnisse und weiß auch was SSH usw ist. Möchte mein Wissen allerdings möglichst nochmal auffrischen.
ubuntuusers.de als Anlaufstelle für spezifische Fragen ist klar. Aber ein komplettes Tut wär schon toll. (Notfalls auch ein Buch)
Habt ihr Empfehlungen? -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
imho schrieb:
Also bitte keine Warnungen in der Hinsicht. Ich bin mir der Verantwortung bewusst.
1. Ich lass mir nicht den Mund verbieten, denn:
2. bezweifle ich schon, dass du dir der Verantwortung bewusst bist, aber hast du schonmal ausgerechnet, was dich das kosten kann, wenn du nen Fehler machst?
Das wird teuer!
3. Wenn du nur bissl Erfahrung mit SSH hast und nicht mal nen Server zu Hause im eigenen Netz in Betrieb genommen hast solltest du es erst recht lassen.
4. Bezweifle ich, dass du so spezielle Anforderungen hast, dass du keinen Anbieter für nen Managed findest.
Für die Unverbesserlichen gibt es aber auch Google:
https://forum.netcup.de/administration-eines-server-vserver/vserver-server-kvm-server/775-wie-sichere-ich-einen-vserver-richtig-ab/
http://serversupportforum.de/forum/security/28079-die-abschottung-wie-geht-es-nun-weiter.html
Grundsätzlich kann man natürlich noch sicherer fahren, indem man Software zum Beispiel selbst kompiliert und dadurch Sicherheitspatches sofort einspielen kann, ohne auf die Pakete zu warten etc.
Jeden Tag Logs durchgucken etc. ist natürlich auch Pflicht und das kostet auch Zeit etc. Weiß nicht wofür das alles gut sein soll. o.o
Achso PS: "Könnte ich mal brauchen" ist dein absoluter Todfeind. Alles was du jetzt nicht brauchst wird dichtgemacht/deinstalliert/abgeschaltet.
PPS: Warum überhaupt Ubuntu und nicht Debian oder CentOS?
Beitrag zuletzt geändert: 22.10.2013 19:05:22 von reimann -
Du kannst kein Tutorial finden denn es gibt schlicht keins.
Sicherheitsmaßnahmen sind von System und eingesetzter Software abhänig, da die so vielfältig ist wie die zugehörigen Risiken muss man sich wohl oder übel ein eigenes Konzept ausadenken.
Weiter ist Sicherheit kein Zustand sondern ein Prozess, und dieser Prozess benötigt ständige konzentrierte Arbeit, die dafür nötige Eigenmotivation, Zuverlässigkeit und Verantwortungsbewußtsein sind durch ein tutorial nicht zu vermitteln.
Auch wenn demnächst Haloween ist: Zombies sind kein Kavaliersdelikt.
Protip: Es ist noch nie jemand in einen Server eingedrungen der ausgeschaltet war.
Beitrag zuletzt geändert: 22.10.2013 19:10:52 von fatfox -
Irgendwo fängt man immer an, und sei dir gesagt sein: auch wenn die Leute meinen "mach das alles erstmal zu Hause", des haben nicht alle die es predigen selbst auch gemacht. Aber, es ist leider so, ein solches Tutorial gibt es nicht.
Meine Einstellung ist: Was nicht an ist, kann nicht geknackt werden. Hab ich garkeinen FTP Server laufen, kann er auch nicht angegriffen werden. Da ist halt was wahres dran. Darum möcht ich dir mein Vorgehen beim einrichten mal kurz erklären:
Erstmal, wird ALLES abgeschaltet, ausn autostart verbannt und sonst was, was nicht SSH ist. SSH ist erstmal das einzige Tool, was du brauchst. Mittels SFTP hast du auch einen FTP Client für dich. Für dritte vllt nicht, die muss man dann erst in eine directory locken usw, geht zu weit. Erstmal: Sperren. Dannach, wenn alles unnötige aus ist, hast du nurnoch SSH laufen. Was ist jetzt das Einfallstor? Genau, SSH. Also hieran setzen. Zuerst wird der Root-Access über SSH gesperrt. Dafür findest du normalerweise Tutorials wie Sand am Meer. Wenn du nebenbei noch eine Absicherung über ein Private-Key verfahren findest, ist gut, AAAABER, deaktiviere den Passwortschutz NIEMALS! Es gibt Tutorials wo drin steht, dass man den dann ja getrost deaktivieren könnte, da ist aber weit gefehlt. Bei nem kollegen sind die schon eingebrochen, als er das mit Private-Keys gesichert hatte. kA wie, aber es ist passiert. Doppelt hält besser. Nun hätte ein Angreifer schonmal keinen Root Access mehr. Aber, es wäre ja schon schlimm genug wenn er überhaupt rein kommt. Was ist, wenn er mal glücklich ist, und wirklich rein kommt? Wie käme er rein? Es gibt 2 Wege: Einen direkten Exploit und Bruteforce. Für ersteres: Halte die Software immer aktuell. Mach das aber nicht automatisch, auf einmal steht deine Applikation nicht mehr und du weißt nicht warum^^ Schau lieber selbst alle 3 Tage oder so rein, und mach das von Hand. Es ist ärgerlich wenn ein Automatisches Update gefahren wird, und das Konfiguration bedarf, die natürlich nicht automatisch passiert... Seltend aber passiert. Und wie gehen wir gegen BruteForce vor? Man kann die Logs durchschauen, klar, aber das ist eine Sache, wenn du in den Logs was findest kann es schön zu spät sein. Also? Was nu? Für Wordpress gibt es "Limit Login Attempts", und für SSH gibt es... DenyHosts http://denyhosts.sourceforge.net/. Das durchschaut die Logs automatisch und blockt die IP vom SSH Zugang, die zu viele falsche Versuche hatte. Achtung: Das kann auch DICH betreffen!
Zwischenstand: Du hast nichts außer SSH aktiv (nagut, die std Prozesse, ohne die des System nicht läuft natürlich auch, sind insgesamt ich glaub 10 oder 11 Prozesse so), und der SSH ist durch deaktivieren des Root-Access, aktuelle Software, vllt auch Private Keys und Denyhosts gesichert. Man kann sicher noch mehr machen, aber das ist das Minimum würde ich sagen.
Das ist dein Server. Alles was dannach noch kommt hat Applikationsspezifisch zu sein. Und hier musst du für jede Applikation, jedes Ziel was auf dem Server laufen soll jede einzelne Komponente auseinander nehmen, analysieren und absichern. Hier kann dir aber niemand helfen, weil es gibt Millionen von Applikationen, und die kann niemand alle durchgehen.
Das ist mein Vorgehen. Denk dran: Um so weniger Angriffsfläche du bietest (weniger Dienste), desto schwerer ist es einen passenden Exploit zu finden. Gibt bestimmt Kritik an diesem Vorgehen, und perfekt ist es nicht, ich hab aber nen vServer über 2 Jahre betrieben, und trotz einiger Angriffe ist nie jemand reingekommen (heißt nicht, dass er Bombensicher war, aber, dass es ausreichend war).
Vllt hilfts.
Liebe Grüße -
Nochmals Danke für die Warnungen. Aber jeder hat mal angefangen. Ich hatte sowieso erstmal geplant mir einen im Netzwerk einzurichten. Aber auch da gibts ja sicher Anleitungen im Internet und die Grundvorgehenesweise ist dann ja ähnlich.
Ich meine ihr habt das ja auch nicht in die Wiege gelegt bekommen. Und da ich mich hier erstmal schlau mache bevor ich mich dann an die Maschine wage zeigt ja auch einen gewissen Willen den Server nachher auch einigermaßen sicher zu betreiben.
Es geht hier nicht darum irgendeinen Gameserver hinzustellen der dann in nullkommanix zur Spamschleuder wird.
Das der Rootuser nicht über SSH zugreifen darf ist klar, habe ich auch schon mehrmals so gelesen. Auch Denyhosts sagt mir was.
Wie ist das mit Fail2Ban`? Darüber liest man ab und zu auch was. Das ist ja im Prinzip dasselbe wie Denyhosts ?
Was haltet ihr von Froxlor als adminpanel für Einsteiger? Spart man sich da viel Arbeit oder ist das nur wieder eine zusätzliche Lücke?
P.S Ubuntu hat mir der Hoster empfohlen. Wollte mich da auch nochmal belesen. Debian soll ja anscheinend sparsamer und besser getestet sein. Bei Ubuntu dagegen die Pakete aktueller. Die zwei schenken sich doch eig. sowieso nicht viel? Ubuntu basiert doch auf Debian? -
Hallo
Wie schon angemerkt wurde hängt das alles von der verwendeten Software ab. Was für Dienste laufen denn auf dem Server?
Ich bin ein Freund von Minimallösungen. Je weniger auf dem Server läuft, desto weniger kann exploitet werden.
SSH Port ändern und ein langes, komplexes Passwort wählen, schon kommt keiner mehr rein. Nach einem geänderten Port hatte ich noch nicht einen Loginversuch auf ~50 IPs.
Man kann natürlich auch paranoid sein und nur Login über Schlüssel+VPN+google auth mit fail2ban ohne rootlogin erlauben, das ist halt dann sehr umständlich. Für mich wäre es jedenfalls nichts. (bei Firmen ist sowas jedoch gang und gäbe)
Es gibt außerdem viel zum Feintunen, z.B. iptables, automatische Updates, Antivirensoftware undsoweiterundsofort. Braucht man aber alles nicht unbedingt.
Wird es ein Minecraftserver?
mfg -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage