1. vServer was muss ich absichern?

[Fredooo]

Hi Leute,
also ich habe mir so eben mal einen TestvServer bestellt bei S4Y (server4your)
nun ist meine Frage, was genau muss ich denn beachten?
Also was genau muss ich sichern (und wie mach ich das am dümmsten?).

Denn ich habe gehört, dass die vServer/Rootserver als Drohnen oder ähnliches benutzt werden können wenn man sie nicht rechtzeitig "abschottet".
Ich habe mir extra erst einmal einen TestvServer bestellt damit ich mal reinschauen kann und mich Sachkundig machen kann was genau für Aufgaben auf mich zu kommen würden.

Also nochmal direkt:
Was genau muss ich beachten um meinen vServer gegen Hackerattacken zu schützen und somit zu gewährleisten, dass keine, mir unbekannten, Aktionen über meinen vServer laufen?!

mit freundlichen Grüßen
Fredooo

 

[Mordor]

Also zum einen mal der Hinweis, wie immer an dieser Stelle, dass man sich eigentlich zuerst mal daheim nen Server zum Spielen hinstellen sollte, und dies nicht im Internet machen sollte, wo jeder darauf zugreiffen kann, und mist bauen kann, sofern der Server nicht richtig abgesicher ist.

Was gibt es abzusichern:
1. Denn SSH-Zugang
Dieser sollte nicht für Root erlaubt sein, sondern für einen unpreviligierten User, mit einem vernünftigen Passwort und eventuell einem Key, der dann auf deinem Rechner liegt

2. Der Mailserver
Dieser sollte kein offenes Relay darstellen. Bei einem offenen Relay kann jeder über deinen Server irgendwas verschicken, eben auch Spam.
Ausserdem sollten die bestehenden Zugänge vernünftig abgesichert werden, und die Passwörter sauber gesetzt werden. Zum Schluss kann man sich überlegen, ob man den Zugang nur noch über SSL erlauben will, denn sonst könnte jemand den gesammten Netzwerkverkehr mitlesen.

3. Der Webserver
Hier sollten die Zugriffsrechte für Verzeichnisse sauber gesetzt sein, so dass man nicht einfach irgendwohin auf dem Server gelangen kann. Ausserdem sollten wichtige Bereiche, wie Adminbereiche, mit einem Passwort geschützt sein.
Ausserdem sollte man darauf achten, dass einzelne Skriptsprache wie bespielsweise PHP richtig abgesichert sind. Denn hier gibt es Konfigurationen die das System nicht wirklich sicher machen.

4. FTP-Server
Falls du einen FTP-Server betreibst sollte man diesen auch richtig absicher, zum Beispiel anonymen Zugang nicht erlauben.

5. Zum Rest
Das System sollte regelmäsig geupdatet werden, und immer auf dem neuesten Stand sein. Ausserdem könnte man IPTables bemühen (was hingegen eine glaubensfrage ist). Ausserdem sind Tools wie Tripwire interessant, die einen Einbruch melden können.

Zu all diesen Punkten gibt es schon einige Beiträge hier im Forum, oder auch bei Google. Ausserdem gbit es einige gute Bücher zu diesem Thema, und eben auch hier im Forum eine ziemlich gute Bücherliste, eben genau über diese Bücher.

Ein bisschen Arbeit musst du dir also noch selber machen

Und ich hoff mal für dich, dass du das alles hinbekommst, bevor jemand das System angreift.

Gruß Mordor

PS Man merke, Serveradministration lernt man nicht über Nacht!!!

 

[Fredooo]

Juti.. also erstmal großes Dankeschön für die Mühe
Ich hab hier son kleines Büchlein über Linux mal schauen ob da was drinne steht.

Im Moment ist es ja eh erstmal nur Testphase (4Tage)
ABer sich da reinzuarbeiten macht schon mal fun.


Aber sollte ich den Mail- und Webserver nicht einrichten können die den
dann missbrauchen?
Denn wir wollen eigentlich nur bissel TS drauf laufen lassen und
paar Scripte die die sharedserver überlasten würden.

Also eben kein Web/Mailserver einrichten.
Kann man den dann trotzdem missbrauchen?

mfg Fredooo

 

[mr_brain]

Wenn Mailserver, dann bitte auch testen, ob er kein offenes Relay ist: Mail relay testing

 

[Mordor]

Wenn du Mail- und Webserver nicht benötigst, dann deinstalliere sie, denn dann können sie auch keinen Schaden anrichten.

 

[Firewire2002]

Den Mailserver auf einem Linux System zu deinstallieren würd ich nicht empfehlen.
Es gibt diverse Programme die lokal Mails an root senden. Ohne MTA geht das nicht.
Der MTA sollte somit mindestens für die lokale Mailzustellung konfiguriert werden.

Man könnte sich hier aber recht leicht vor Fehlkonfigurationen schützen indem man den Mailserver nur an 127.0.0.1 bindet bzw. via IPTables den Traffic auf Port 25 eingehend blockt.
Letzteres ist keine schöne und saubere Lösung, schützt aber erstmal vor dem großen Übel bis man eine saubere Config hat.

 

[Fredooo]

ich bedanke mich mal für die schnellen
und sehr einfach verständlichen Antworten

Werde mal schauen wie es sich einrichten lässt und wie ich weiter verfahren werde

Danke an alle die mir geholfen haben.

mfg
Fredooo

 

[noto]

wenn dein root Password mindestens 8 Stellen hat, aus Klein- Großbuchstaben und Zahlen besteht, dann könnte man auch 'nur' den SSH Port ändern. Das wäre aber das Mindeste was man tun sollte!

Sicherer ist es natürlich direkten root Login per SSH nicht zu erlauben (allerdings auch etwas aufwendiger in der Konfiguration).

Ach ja und nur SSH2 erlauben! (Einstellung Serverseitig und bei Putti (SSH Client).

SSH konfigurieren

# Änderungen ind der /etc/init.d/sshd
[B]
Port[/B] Zahl zwischen 2000 und 4000[COLOR="Red"] (auf Papier notieren!)[/COLOR]

[B]ListenAddress[/B]

[B]Protocol[/B] 2

# SHH neu starten

/etc/init.d/sshd restart

 

[Mordor]

Sicherer ist es natürlich direkten root Login per SSH nicht zu erlauben (allerdings auch etwas aufwendiger in der Konfiguration).

Das sollte man denk ich auf jedenfall machen. Und wo ist das aufwendig? Das sind zwei oder drei Zeilen in der sshd.conf und zwei oder drei zeilen in der Shell um den neuen User anszulegen.

 

[keksausmainz]

Vielleicht hilft am Anfang auch ein Post von mir aus der Webhostlist.
(v)Server sicher machen - so geht's! - WHL Community Foren

Da steht auch noch mal Schritt-für-Schritt wie das z.B. mit dem root-Login verbieten über SSH geht

 

[robind]

Hi. Ich hab hier ein Link gefunden, bei dem dir Schritt für Schritt erklärt wird, wie du das PHP-Modul gegen Hacker absichern kannst. Vielleicht hilft es dir ja.
PHP effektiv gegen Hacker-Angriffe absichern