ich hoffe ich hab hier das richtige Forum für mich gefunden Hab mich schon einmal etwas eingelesen, schaut ganz gut aus bisher.
Es geht um folgendes.
Ich bin Admin eines Clans und möchte folgendes zur Verfügung stellen:
- Homepage mit CMS
- vBulletin 3.8.3 Forum
- TeamSpeak 3 Server
Derzeit habe ich das Forum auf einem "normalen" Webspace liegen und auch installiert. Läuft soweit super, Homepage wird auch hier zur Verfügung gestellt.
Ich habe einem TeamSpeak 3 Server bei 4Players gemietet mit 50 Slots für 14€ monatlich. Hier stößt mir aber sauer auf das man hier das Banner nicht verändern kann, schlimmer ist noch das 4 Players in diesem banner Werbung für sich macht. Ich sehe es nicht wirklich ein etwas monatlich zu bezahlen, und trotzdem Werbung bezahlen zu müssen. Außerdem wird das ganze mit der Zeit ziemlich teuer da der Preis mit steigender Slotanzahl natürlich steigt. So würden 150 Slots bereits 26€ monatlich kosten, auch wieder mit der Werbung...
Nun habe ich etwas recharchiert und bin auf die Idee eines eigenen vServers gestoßen. Genauer bin ich bei netcup hängen geblieben.
Warum Pro? Weil ich hier Snapshots anlegen kann. Bei ersten Angebot einen, beim zweiten zwei
Als OS würde ich denke ich zu einem Ubuntu minimal greifen. Mit 2008 R2 kenne ich mich zwar etwas besser aus, aber ich denke Linux ist allgemein schon was sicherer und stabiler.
Ich habe mir vorab einmal einen 4 Tage Testserver bei Server4you gemietet und mal nen bissl rumprobiert, lief auch alles soweit. Gibt ja genügend HowTos zur TS3 Installation.
Zur Sicherheit würde ich das Forum und die Homepage allerdings seperat hosten, einfach um so wenig Dienste wie möglich auf dem vServer laufen zu lassen und damit Ports geschlossen zu halten.
Natürlich wäre die vServer Lösung die günstigste und individuellste. Hier hätte ich 512 Slots (TS3 non-profit Lizenz) für gerade einmal 9€ monatlich
Nun die eigentliche Problematik. Ich wäre ja verantwortlich für die gesamte Kiste, und ich hab noch etwas Bauchschmerzen dabei was das absichern angeht. Daher wollte ich mal hören was Ihr dazu meint.
Bisher schweben mir folgende Maßnahmen vor:
SSH Port umlegen auf einen anderen Port
weiteren Benutzer anlegen und root SSH Zugang verbieten
ggf. SSH Zugang per Public Key
TeamSpeak 3 Port umlegen
weiteren Benutzer anlegen unter dem TeamSpeak 3 läuft.
Mit der Anbieterfirewall alle Ports droppen außer den 3 benötigten (SSH, Teamspeak, Teamspeak FileTransfer)
Linuxdistribution aktuell halten
TeamSpeak 3 Server aktuell halten
Einsatz von fail2ban
SSH Zugangsversuche auf 10 limitieren
Was meint Ihr allgemein dazu? Insbesondere zur Absicherung des Servers?
Wenn auf dem vServer wirklich nur TS und SSH laufen und du deine Linuxkenntnisse noch ein wenig erweiterst/aktuell hältst, sehe ich da keine Probleme.
Das Haupteinfallstor für Hacker sind imho Webserver(vor allem PHP), Mailserver, FTP...
In SSH selbst gab es meines Wissens bisher erst einmal eine Lücke.
Die Hauptgefahr dürfte sein, dass der vServer, der ja eh vorhanden und wohl kaum ausgelastet ist, schnell mal für mehr benutzt wird...hier n Webserverchen...da die ersten Versuche mit nem Mailserver...
naja SSH muss ja laufen oder wie soll ich das Ding sonst warten? ^^
Wenn ich mal mehr machen möchte, kann ich jederzeit auf ein größeres Angebot switchen. Aber ich denke erstmal geht es um ein stabiles TeamSpeak zu einem vernünftigem Preis.
Ich tendiere derzeit zum kleinen Server mit 1Ghz und 1GB RAM, sollte reichen für Teamspeak denke ich. Allerdings kann ich hier nur einen Snapshot anlegen und hab eine zahlungsperiode von 3 Monaten.
Bei dem nächst größeren hätte ich 2 Snapshots und 1 Monat Zahlungsperiode.
Sicherheit ist keine Liste, die man abarbeitet und gut ist. Um einen hohen Grad an Sicherheit herzustellen, musst du wirklich wissen, was es für mögliche Angriffe gibt, was warum wie auf deinem Server genau passiert und wie man sich unter den gegebenen Umständen absichert. Es ist offensichtlich, dass dafür eine Menge Erfahrung mit den eingesetzten Technologien erforderlich ist.
Ich halte es für fahrlässig zu sagen, wenn du keine Websites betreibst, wird das schon passen. Richtig ist, dass du dann um einiges weniger absichern musst. Aber es kann immernoch passieren, dass nächste Woche eine neue Lücke oder ein neuer Angriff bekannt wird, der dich betrifft. Und dann musst du einfach sicher mit deinem Server regieren können.
Den Webspace würde ich auf jeden Fall behalten. Das spart dir unendlich viele Nerven. Für Teamspeak würde ich mich einfach nochmal umsehen, ob es nicht irgendwo bessere Anbieter gibt. Falls du wirklich mit einem eigenen Server starten willst, nimm dir unbedingt vorher richtig viel Zeit zum üben. Spiele alles zu Hause auf einem alten PC oder in einer VM durch. Besorg dir Bücher und lerne Linux wirklich zu verstehen. Du wirst selbst merken, wann du wirklich verstanden hast, wie das alles funktioniert. Dann kannst du an der 100MBit/s Leitung starten, ohne in kurzer Zeit viel Ärger zu haben.
Ich schliesse mich PapaBaer an: Die sinnvolle Erstinstallation ist eine Kiste, kontinuierlich dranbleiben und den Level halten eine andere.
Keine Ahnung, in welcher Lebenssituation Du gerade bist, jedoch solltest Du Dich jetzt schon fragen, was passiert, wenn Du
• keine Zeit mehr hast
• keine Lust mehr hast
• oder anderweitig verhindert bist
Was passiert dann mit dem vServer? Wer reagiert auf Probleme? Wer bekommt überhaupt noch administrativen Zugang? Was passiert mit dem Vertragsverhältnis?
also ich würde dann wöchtentlich nach Updates schauen und mir mal die logs ansehen.
\\€dit: Was wären den noch Maßnahmen die man treffen könnte und sollte.
Ich hab auch nicht gesagt das ich sicher bin ohne Webdienst, aber umso weniger Dienste, umsoweniger offene Ports.
Wöchentlich Logs lesen reicht nicht. Du kannst dir ja mal kurz ausrechnen, wieviel GB an Daten in einer Woche über einen 100MBit/s-Anschluss gehen.
Es gibt viele Maßnahmen. Manche sind sinnvoll, andere nicht, wieder andere sind nur in deinem speziellen Setup nötig.
Es gibt nur eine wirklich wichtige Maßnahme: Lernen und Verstehen, was vor sich geht, bevor der eigene Server im Rechenzentrum ans Netz geht. Und ja, das dauert leider und geht nicht von heute auf morgen. Diese Geduld solltest du aber im eigenen Interesse aufbringen.
naja ich weiss nicht ob es wirklich so schwierig ist, hört sich vielleicht alles etwas böser an als es eigentlich ist.
Eigentlich denke ich das wenn ich nur 2 Dienste laufen habe, SSH (über ssh public key) und TS3 und ich max. 3Ports offen habe (SSH, TS3, TS3 ServerQuery) und ich alle anderen Ports zu habe und per Firewall blocke das das ganze schon recht zuverlässig sein sollte.
Grade wenn der TS3 Dienst nicht unter root läuft sollte das ganze schon recht abgesichert sein. Vielleicht pack ich das ganze sogar noch in eine chroot-Umgebung.
Klar sollte ich täglich den Traffic im Auge haben und auch den verbrauchten Festplattenspeicher. Aber ich glaube eigentlich nicht das ich jeden Tag mindestens. 2 Stunden an dem Server verbringen muss
Aber ich glaube eigentlich nicht das ich jeden Tag mindestens. 2 Stunden an dem Server verbringen muss
Lass es mich mal etwas anschaulicher Beschreiben, vielleicht wird es so etwas verständlicher für Dich andere Betroffene:
Ein Server ist wie ein kleines Kind, man muss dafür die volle Verantwortung übernehmen und man muss sich auch intensiv und kompromisslos darum kümmern. Anders als bei Kindern, gibt es für Server keine KiTa, kein unterstützendes Jugendamt und im schlimmsten Fall auch kein Kinderheim. Der Server-Admin muss all diese Aufgaben selbst übernehmen und dafür obendrein auch noch rechtlich geradestehen. Soetwas macht man nicht nebenbei, das ist und bleibt ein 24h-Job, auch wenn es viele Admins leider nicht akzeptieren möchten.
Ja, das ist eine drastische Wortwahl, aber es kommt der Realität nunmal sehr nahe und daran ändert sich auch durch rosarote Brillen nichts.
/me: Vielleicht sollte ich den Vergleich in meinen Artikel übernehmen?
Ich als jemand, der aufgrund hier unwichtiger Umstände recht schnell das Administrieren eines Servers lernen musste, will auch mal kurz meinen Senf dazu geben.
Du musst nicht grundsätzlich zwei Stunden am Tag vor der Shell hängen. Wenn doch, machst du vermutlich irgendwas falsch. Du musst schließlich nicht alle Logfiles lesen oder so, denn für alle wichtigen Dinge, die zu überprüfen sind, hast du schließlich in mühevoller Kleinarbeit ein funktionierendes Monitoring aufgesetzt.
Du musst allerdings sehr wohl darauf vorbereitet sein, auf Probleme umgehend zu reagieren. Ein Problem kann ein simples Fehlverhalten wie eine gecrashte Anwendung sein, genauso gut ist es denkbar, dass du morgens um vier aus dem Schlaf gerissen wirst, weil es ein größeres Problem gibt. Ebenso musst du auf bekannt gewordene Sicherheitslücken reagieren (in welcher Form auch immer).
Das Punkt ist: Der Server richtet sich mit seinen Problemen nicht nach deinem Zeitplan. Wenn was ist, musst du ran.
Anders als bei Kindern, gibt es für Server keine KiTa, kein unterstützendes Jugendamt und im schlimmsten Fall auch kein Kinderheim.
Bei einem Server, der - wie hier - zwar produktiv aber nicht kritisch ist, gibt es aber notfalls einen Aus-Knopf.
Dann steht der TS mal für n paar Tage nicht zur Verfügung, aber der Admin muss keine wichtigen Termine/Arbeit absagen, wie es bei einem Kind wäre.
So lange nur ein TS-Server läuft, ist (fast) das einzig Wichtige, dass der Server nicht gehackt wird oder, falls doch, dass du es schnell merkst.
Dafür reicht es imho die Security-Maillingliste deiner Distribution und ggf von Pro-Linux o.Ä. zu abonieren und alle 1-2 Tage mal die Logs checken und Updates zu machen.
Hab mich schon einmal etwas eingelesen, schaut ganz gut aus bisher.
