Ab wann ist man eigentlich gut genug um die Haftung für einen Server zu übernehmen?

Exploit

Member
Ich bin mir jetzt nicht sicher ob das hier das richtige Unterforum ist, aber da das Thema Monitoring(Überwachung) sicherlich ein wesentlicher Grundpfeiler ist, stelle ich die Frage einmal hier.

Und zwar würde ich gerne wissen, ab wann man gut genug ist, um z.b. einen vServer, root Server etc. selber zu warten und die Verantwortung dafür zu übernehmen.
Oder anders gefragt welches Wissen sollte man da auf jeden Fall abdecken können?

Nehmen wir einmal an, bezüglich dem Umgang mit der Bash und Linux im allgemeinen hat man schon viele Jahre (> 10) Erfahrung gesammelt, wie man ein System updated und Updatekonflikte löst weiß man auch.
Wie man Dienste beendet und neu startet ist auch bekannt, ebenso kann man die nötigen von den unwichtigen Diensten unterschieden.
Auch ist klar, dass man wissen sollte, wie man die Dienste, die man benötigt, konfiguriert.
Wie man iptables Regeln anlegt und was die genau tun ist auch bekannt.
Diverse Security Mailingliste und Meldungen des CERT würde man abonnieren und täglich lesen, wenn man einen Server verwalten würde.
Wie man Shell und Pythonskripte schreibt, weiß man auch.
Wie man Tripwire und ein IDS einrichtet ist ebenfalls bekannt.

Aber wie wertet man die Logdateien aus, wie gut muss man darin sein?
Das IDS meldet z.B. ein paar Portscans und vielleicht noch vermeintlich nicht geglückte
Einbruchversuche, Tripwire sagt, alles wäre okay. Aber ist der Hacker vielleicht doch eingebrochen und kann sich nur besonders gut verstecken? Falls ja, wie spürt man das dann auf? Etwa mit Wireshark und dann aktiv gucken was für Traffic über den Server läuft?
Wie findet man also heraus, dass der Server noch sicher ist? Ist eine Gewissheit diesbezüglich überhaupt möglich?
Muss man vielleicht gar selber Hacken können damit man die Angriffe versteht und den Server schützen kann, in dem man sich in die Sicht des Angreifers versetzt?

Wie gut sollte man die diversen Internetprotokolle kennen? Etwa so gut, dass man sie in Software selber implementieren könnte oder reicht ein grober Überblick?

Das sind so die Fragen, die mir bezüglich der Frage im Threadtitel durch den Kopf gehen und ich mich würde interessieren, was ihr dazu sagen könnt.
 

Guin

Registered User
Moin,
ich betrachte es mal von der nicht-technischem Seite:
Wenn man bereit ist, das Risiko einzugehen und die daraus folgenden Konsequenzen zu tragen, ist man bereit.

Foraussetzung ist, dass man das Risiko einschätzen kann und die Konsequenzen kennt.
 

ServerSide

New Member
Hallo.

Ich hab mir die Frage auch gestellt und ich musste mich erst einige Monate intensiv mit dem Thema beschäftigen um mich auch "sicher" zu fühlen. Ich habe an die 10 Jahre Linux Erfahrung. Allerdings hauptsächlich Desktop und weniger Server Wissen.
Das was Du über Deine Erfahrung schreibst hört sich gut an. Du solltest es wagen wenn Du Dich sicher fühlst.

Die gängigen Absicherungsmaßnahmen kennst Du sicher.
 

d4f

Müder Benutzer
Insbesondere was erweiterte Sicherheitsverfahren (IDS, ...) und Mailinglisten angeht bist du, wenn es konsequent durchgezogen wird, deutlich weiter als die Administratoren so einiger Firmen und (kleinerer) Webanbieter.

Wie @Guin absolut zutreffend sagt: wenn man die Probleme sowie Risiken kennt, einschätzen kann und bereit ist entsprechend viel Zeit zu opfern dann ist man "bereit". Wenn eins davon nicht zutrifft ist man imho schlicht fahrlässig.
Empfehlenswert für zumindest den Anfang wäre dass man einen Administrator kennt den man bei Problemen mit Fragen löchern kann - Foren o.ä. sind dafür schlicht zu langsam und bei spezifischen Fragen oft zu still :D
 

nexus

Active Member
Eine in meinen Augen ebenso wichtige Voraussetzung wurde bisher noch nicht genannt...der zweite Admin.
Da man selber aus den verschiedensten Gründen (Beruf, Urlaub, Krankheit, etc.) in die Situation kommen kann, die notwendigen administrativen Aufgaben nicht selber erledigen zu können, sollte immer ein zweiter Admin vorhanden sein, der a) verfügbar ist, b) einen ähnlichen Wissensstand in allgemeinen Fragen und auch zu den betreuten Projekten besitzt und c) dem man auch weit genug vertraut, daß er einen vertreten kann.
 

Exploit

Member
Das ist ein wichtiger Hinweis mit dem zweiten Admin, danke dafür.

Daraus ergibt sich noch eine weitere Frage und zwar, wäre nicht auch noch eine rund um die Uhr Betreuung notwendig? Das Internet schläft ja nicht und die Angriffe erfolgen aus der ganzen Welt zu allen Tageszeiten.
Wie bewältigt man das privat?
Man kann ja schlecht alle 2 h in der Nacht aufstehen und nach dem Server schauen.
Und wenn man sich erst am nächsten Morgen wieder um den Server kümmert, wäre das dann nicht fahrlässig?

Bei Firmen ist es klar, da gehe ich mal davon aus, dass die Admins in der Nachtschicht haben.
 

storvi

New Member
Das regelt man mit einem Monitoringsystem, welches einen über notwendige Arbeiten hinweist.

Das kann von vorhandenen Sicherheitsupdates, über Einbruchsversuche, voll laufende Festplatten, abgestürzte Prozesse alles sein, was für einen sicheren und reibungslosen Betrieb notwendig ist.

Gruß
Markus
 

Exploit

Member
Du meinst, das Monitoringsystem weckt dich auch aus dem Schlaf?
Okay, prinzipiell wäre das machbar. Ein kleiner Arduino könnte lüfterlos betrieben werden und dann einem zur entsprechenden Urzeit wecken.
Dann steht man kurz auf und fährt den Server runter.
Um Details kann man sich dann am nächsten Tag kümmern.
Anderseits, wenn das Monitoringsystem einem schon wecken kann, wenn bestimmte Ereignisse eingetreten sind, dann wäre es vielleicht sinnvoller, auch den Server automatisiert runterfahren zu lassen. Natürlich von einem zweiten Rechner aus, der den Server steuert. Auch hier würde ich wieder einen Arduino oder vergleichbares denken, damit man in der Nacht auch seine Ruhe hat.
 

PHP-Friends

Blog Benutzer
In der Praxis möchte man seinen Server aber nicht herunterfahren, sondern wird sich damit anfreunden müssen, sofort aufzustehen :) Wobei das meines Erachtens Gewöhnungssache ist - wenn man ein paar spontane Nachtschichten hatte, ist es gar nicht mehr so schlimm :p

Anbei halte ich es auch rein technisch nicht für sinnvoll, den Server im Problemfall herunterzufahren; insbesondere wenn es sich um einen Security-Vorfall handelt, nimmt man sich so unter Umständen die Möglichkeit der Analyse direkt weg. Dass eine Erstanalyse zum Schluss führen kann, den Server herunterzufahren und über's Rescuesystem weiterzuarbeiten, steht auf einem anderen Papier und ist beispielsweise bei Kompromittierung des root-Zugangs unausweichlich.
 

nexus

Active Member
Wobei das meines Erachtens Gewöhnungssache ist - wenn man ein paar spontane Nachtschichten hatte, ist es gar nicht mehr so schlimm :p
Außerdem kommt sowas ja nicht 2-3 mal pro Woche vor. Wenn man ein vernünftig konfiguriertes System hat, passiert das nur relativ selten.
Ich hatte wegen meinen Servern in den letzten 5 Jahren vielleicht 5 oder 6 SMS vom Monitoring bekommen.
Zumal man das ja im Monitoring auch ziemlich gut einstellen kann, wann und wie man benachrichtigt wird. Bei kurzzeitigem Packetloss muß es ja nicht gleich eine SMS sein, da reicht auch eine normale Mail.
Erst bei größeren Problemen sollte einen das Monitoring überhaupt aus dem Bett holen müssen ;)
 

Exploit

Member
In der Praxis möchte man seinen Server aber nicht herunterfahren, sondern wird sich damit anfreunden müssen, sofort aufzustehen :) Wobei das meines Erachtens Gewöhnungssache ist - wenn man ein paar spontane Nachtschichten hatte, ist es gar nicht mehr so schlimm :p
Gut, vielleicht ist es Gewöhnungssache, aber ich hätte keine Lust im Halbschlaf am Rechner herumzuwerkeln oder mich im Tiefschlaf wecken zu lassen, wenn es mit einem automatisierten Herunterfahren vermeidbar ist. Im Worst Case Fall führt nach Murphys Gesetz so ein Eingriff dann sowieso zu einer 3-4 h langen Sitzung, weil das Problem vielleicht komplexer ist als gedacht, oder weil es nicht wie geplant auf Anhieb klappt und dann ist man noch Müde und baut noch mehr Fehler ein.

Dann lieber den Rechner runterfahren, ausschlafen und in aller Ruhe am nächsten Morgen nach dem Frühstück sich den Rechner bei voller Konzentration entspannt ganz genau ansehen. :)




Anbei halte ich es auch rein technisch nicht für sinnvoll, den Server im Problemfall herunterzufahren; insbesondere wenn es sich um einen Security-Vorfall handelt, nimmt man sich so unter Umständen die Möglichkeit der Analyse direkt weg.
Das mag sein, aber wie schon gesagt, im Halbschlaf Fehler einzubauen oder zu übersehen ist auch nicht besser.
Dann ist es besser, man macht Kompromisse.
 

greystone

Member
PHP-Friends said:
sondern wird sich damit anfreunden müssen, sofort aufzustehen Wobei das meines Erachtens Gewöhnungssache ist - wenn man ein paar spontane Nachtschichten hatte, ist es gar nicht mehr so schlimm
Da spricht der Selbständige :)

Ich bin da dankbar, dass so etwas bei mir seit einiger Zeit bei mir kaum noch stattfindet. Die Lobhudeleien, die man als Admin bekommt, wenn man mal wieder die Welt gerettet hat, gebe ich gerne dafür auf, dass solche Katastrophen durch gute Vorsorge erst gar nicht entstehen.

Am Anfang hatte ich ein Kraut-und-Rüben-Nagios, dass ca. 500 Alarmmails pro Tag gesendet hat für einen grösseren Server-Pool. Also vollkommen nutzlos. Meine Einweisung in die Festplattenüberwachung war der Rundgang durch die Racks. "1-2 x am Tag durch die Racks gehen. Wenn's piept, dann musst Du was tun!". Auf Empfehlung habe ich das dann mit Check_MK(ein absolut grandioses Stück OSS) abgelöst. Mittlerweile ist die Situation aber so etwas von entspannter geworden. Fein abgestimmte Alarmierungsregeln halten die Alarmierung niedrig und die Admins ausgeruht. Detaillierte Systemüberwachung und grafisch präsentierte Leistungsdaten lassen Probleme lange erkennen, bevor die Auswirkungen entstehen. Bis ich das hatte hingen da einige Server mit degraded RAIDs rum und keiner hat's gemerkt. Mittlerweile sehe ich wildgewordene Prozesse sogar daran, dass einzelne Temperatursensoren in CPU-Nähe hochgehen.

Weitere Entspannung bringen automatische Aktionen, die man bei Eintreten von Störungen durch das Monitoring auslösen kann. (Webseite offline? Dann starte dochmal den Webserver neu. Am nächsten Morgen kann man sich dann mal die Logs nochmal durchschauen.)

Neben dem Monitoring ist ein praktikables und zuverlässiges Backup der 2. Pfeiler der Systemadministration, was unnötige Blutdruckerhöhungen nachhaltig vermeidet.

Ansonsten denke ich, dass man bei einem Server auch mal den Ball flach halten darf und vielleicht kein 24/7-Monitoring haben muss und auf das ein oder andere verzichten kann. Muss halt jeder selber wissen, was er braucht.
 
Last edited by a moderator:
Top