|
Barry Burton
aus Würzburg
offline
OC God
23 Jahre dabei !
AMD Ryzen 5
3600 MHz @ 4150 MHz
|
     
Mahlzeit!
Ich hab seit etwa einem Jahr jetzt einen eigenen Rootserver bzw. VServer.
Mein Host führt dazu ein recht großes Forum, in dem sich die Kunden untereinander austauschen können.
Was mit immerwieder auffällt ist folgende Situation:
Kunde K hat sich einen VServer gemietet, betreibt dort seit einigen Monaten eine Homepage. Nun möchte K einen neuen Webmail-Clienten installieren da Horde doof aussieht.
K fragt in dem Forum also welche Alternativen es zu Horde oder AtMail gibt.
K erhält von einem Langjährigen Rootserverbereiber "A" folgende Antwort
A:
Wie üblich gilt: man sollte keinen Server im Internet betreiben, wenn man keine Ahnung davon hat. Wenn Du schon Schwierigkeiten hattetst, Horde zu installieren und selbst Plesk zu kompliziert für Dich ist, dann bist Du mit dem sicheren und zuverlässigen Betrieb eines Servers im Internet garantiert völlig überfordert.
Frag deshalb bitte jemanden, der sich damit auskennt, oder schau Dir die Managed Servers an. Es gibt schon genügend Bots, Spamschleudern, und sonstige verseuchte Server im Internet.
Man brauchst schon einige Kenntnisse und Erfahrung, um das alles, was Du willst sicher und richtig aufzusetzen. Deshalb: lass es bitte bleiben und frag jemanden, der es für Dich einrichtet und betreibt. Alles andere ist grob fahrlässig und es wäre nur eine Frage der Zeit, bis dein Host Dir den Server ausschaltet und vielleicht sogar die Polizei vor Deiner Tür steht. Ist alles schon vorgekommen...
|
Nachfolgend äußerten sich hier weitere 17 "langjährige" Kunden, dass Kunde K bitte verschwinden soll. 
Im Prinzip haben die Leute ja Recht, wer absolut keine Ahnung hat und seinen Server nicht aktuell hält läuft gefahr, dass eben gleicher von bösen Leuten genutzt wird um Blödsinn zu betreiben.
Aber warum gibt denn da niemand mal gescheite Anweisungen, was den gernerell zu tun wäre?
Ich habe jetzt länger Google gequält um da einige Antworten zu finden, jedoch scheint niemand wirklich mal was tolles schreiben zu wollen im Bezug auf die Sicherheit eines VServers bzw. Rootservers!?
Ich selbst update alle paar Tage meinen Server per "apt-get update && apt-get upgrade".
Dazu läuft bei mir per cron alle 24 Stunden einmal "rkhunter" durch system.
Was sollte man noch tun um den Server zu sichern?
lg
|
Beiträge gesamt: 5906 | Durchschnitt: 1 Postings pro Tag
Registrierung: Jan. 2002 | Dabei seit: 8409 Tagen | Erstellt: 12:22 am 29. Sep. 2010
|
|
razzzzia
aus Sektion 31
offline
OC God
21 Jahre dabei !
AMD Ryzen 9
|
Grundsätzlich ne ordentliche Firewall.
Auch wenn bei Linux eigentlich keine Ports offen sind, die man nicht selber aufgemacht hat, bringt eine ordentlich eingerichtete Iptables noch so einiges, da kaputte Pakete rausfliegen, Verbindungslimits gemacht werden können, Priviligierung von Ports, etc.
(Der Kram ist jetzt nicht mit Desktop-Firewall-Snakeoil zu verwechseln)
Ansonsten, wenns ein rootserver ist und der mit der Leistung hinkommt, kannst Du deine Serverdienste alle in jeweils virtuelle Maschinen stecken.
Damit stellst du sicher, dass ein gepwnter Serverdienst nur die maschine wo der dienst drin läuft kompromitiert.
die host-maschine übernimmt dann lediglich das routing und bietet selber keine dienste an.
Ansonsten haben Jungs da leider vollkommen recht, viel zu viele Leute, die mit einem dicken Webspacepaket oder einem managed Server vollkommen hinkommen würden, meinen unbedingt einen Rootserver mieten zu müssen und wundern sich zwei Wochen später über Post vom BSI und der Staatsanwaltschaft...
(Geändert von razzzzia um 14:26 am Sep. 29, 2010)
NON EX TRANSVERSO SED DEORSUM
|
Beiträge gesamt: 8062 | Durchschnitt: 1 Postings pro Tag
Registrierung: Juli 2003 | Dabei seit: 7883 Tagen | Erstellt: 14:22 am 29. Sep. 2010
|
|
|
|
|
|
wakko0816
offline
OC God
20 Jahre dabei !
Intel Core i5
3500 MHz @ 4200 MHz
55°C mit 1.18 Volt
|
Ich glaube, ich weiss, von welche Foren Barry da meint. 
Das mit dem Umgangston ist mir da auch schon aufgefallen,
allerdings kann man durchaus feststellen, dass es da jede Menge
Anfragen von Leuten gibt, die mit der Server-Administration
schlicht überfordert sind, hauptsächlich, weil sie sich nicht
die Mühe gemacht haben, vorher mal Offline zu "üben",
und dann nach Hilfe schreien, wenn bereits die Havarie
eingetreten ist.
Und wenn man dann zum 100. mal die gleichen Ratschläge
gibt, kann es durchaus etwas genervt klingen.
razzzias Tip mit dem Offline-Test der Firewall ist schon echt
vernünftig.
Wobei ich seit Jahren Server ohne FW betreibe.
Stattdessen laufen bei mir
- AIDE (Feststellen von Veränderungen im Dateisystem)
- denyhosts (Blockieren von SSH-Bruteforce Attacken nach
x Fehlversuchen)
- logwatch (Übersichtliche Logfile-Auswertung als Email)
Wenn man dann noch auf phpmyadmin verzichtet und auch
sonstige (PHP-)Skript-basierten Dienste frisch hält und vor allem
jegliches Mail-Relaying verhindert ist man imho auf der
sicheren Seite.
|
Beiträge gesamt: 1146 | Durchschnitt: 0 Postings pro Tag
Registrierung: Aug. 2004 | Dabei seit: 7467 Tagen | Erstellt: 15:43 am 2. Okt. 2010
|
|
|
|
wakko0816
offline
OC God
20 Jahre dabei !
Intel Core i5
3500 MHz @ 4200 MHz
55°C mit 1.18 Volt
|
Diese Programme jetzt von Hand zu Fuß updaten (configure, make, make install, make RoyalTS mit exta Käse....) ist schon kniffelig.
Macht dass überhaupt Sinn da von Hand dran zu fummeln?
|
Nee. Ich würde es eher vermeiden, an der Paketverwaltung
vorbei zu arbeiten. Denn solange die Distribution noch unterstützt
wird kriegt man ja wenigstens Security-Fixes. Auch wenn man
dann auf neue Features verzichten muss.
Das mit dem up2date halten bezog sich auch eher auf die auf
dem Server laufenden Web-Apps, z.B. CMS, Foren, Webmailer
(Wordpress, HordeMail, etc.). Denn in den meisten Fällen
erfolgt die Kompromittierung des Servers durch löchrige
PHP-Skripte. Gerade phpmydmin und das Horde Framework
machen immer mal wieder durch eklatante Sicherheitslücken
auf sich aufmerksam. Die werden zwar meist schnell gefixt,
allerdings muss man dann teils selbst Hand anlegen, um die
aktuell zu halten.
Die verwendete Version des OS von der Plesk-Unterstützung
abhängig zu machen ist aber auch nicht das gelbe vom Ei. 
|
Beiträge gesamt: 1146 | Durchschnitt: 0 Postings pro Tag
Registrierung: Aug. 2004 | Dabei seit: 7467 Tagen | Erstellt: 19:53 am 2. Okt. 2010
|
|
|
|
|
|
|
|
|
|
