Dedicated Root Server, Richtlinien

[sebastian2443]

Hallo,

ich versuche mich kurz zu halten, da gleich feierabend ist

Ich bin Mieter eines Gameservers (Kein Root!). Lief auch alles flüssig, wenn da nicht nur der ständige Weg zum Support wäre der Probleme beheben soll, die ich nicht beheben kann. Leider löst sich dieses Problem nur mit einem eigenen Root.

Deshalb habe ich mir gedacht, warum bestellst du dir keinen Root. Ich hatte erst versucht Angebote einzuholen und sehe im Moment nichts günstigeres als Hetzner's 4XS. VIelleicht habt ihr ja was besseres, dann gebt es preis

Ich hatte nebenläufig noch die Idee vllt selber ein Host zuerstellen und den ins Rechenzentrum zu stellen, aber die Idee ist wohl eher doof, oder?

Jetzt habe ich aber das Problem, dass ich bisher recht wenig in Kontakt mit Linux Betriebssystemen kam. Ich weiß noch nicht einmal so recht, wo alle Logs im Einzelnen liegen. Jedoch kann ich schon einen SSH Zugang erstellen und eine VNC Verbindung habe ich auch schon geschafft.

Ich fange theoretisch mit meinem Wissen bei 0 an. Weder kenne ich die Programme um einen Root von der Ferne zu administrieren (Kenne bisher nur Weboberflächen ala ESXi oder UCS3) noch habe ich überhaupt einen Plan wie ich ein Linux zu sichern habe (Linux Firewall?)

Wie ist das aber eigentlich, kann ich auf einem Hetzner 4xs eigentlich auch ein eigenes Windows installieren? Oder geht das gar nicht? Vielleicht lösen sich da einige Probleme.

Welche Programme sollte ich für einen Root auf alle Fälle haben? Aus dem Betrieb kenne ich das man bei IBM Servern auf eine RAS Schnittstelle zugreift. Das ist bei Rootservern doch dann etwas anders?

Ich habe dazu also noch keine Vorstellung wie das ganze funktioniert, zu mal mir die gesamten Produkte wie Plesk etc. gar nichts sagen.

Was ich aber habe ist ein VmPlayer mit einer virtuellen Maschine in der OpenSuse läuft.

Ich würde aber gerne einmal von den Profis hören, was ich bei einem Root beachten sollte. Die eine Seite mit der Sicherheit und dem Anwalt kenne ich schon.

Gibt es Seiten in denen man sich hinein arbeiten kann?

(Zumal ich auch für die Leistung bei Hetzner bei meinem jetzigen Anbieter min. das doppelte zahlen müsste.)

Ich freue mich schon mal auf die Antworten und hoffe dadurch in meinem Kopf etwas Licht ins dunkele zu bringen!

 

[PapaBaer]

Lernen, lernen, lernen. Das braucht seine Zeit. Auf keinen Fall auf einen Rootserver, bevor du fit bist. Nicht dem Irrtum verfallen, dass man am lebendem Objekt schon lernt.

Du hast ja bereits ein sehr gutes Gefühl für die Problematiken. Es sollte klar sein, dass man etwas, für das Profis nicht ohne Grund höhere Stundensätze aufrufen, nicht mal eben zwischendurch lernt. Das ist wie genau Coden lernen.

Ich empfehle für den Einstieg immer: http://openbook.galileocomputing.de/unix_guru/

Und: Ja, Windows geht da natürlich auch. Aber hier gilt das selbe.

 

[Deleted member 14422]

Wie ist das aber eigentlich, kann ich auf einem Hetzner 4xs eigentlich auch ein eigenes Windows installieren? Oder geht das gar nicht? Vielleicht lösen sich da einige Probleme.

Prinzipiell möglich ist auch dies - allerdings ist, wie PapaBaer schon sagte, nicht zu vergleichen mit einem Windows XP/Vista/7. Unterschätz das bitte nicht und miete dir, im schlimmsten Fall, einen Managed Server.

 

[sebastian2443]

Morgen,

das mit dem eigenen Windows meinte ich so:
Windows 7 aufm Root installieren
Version registrieren durch vorhandenen Schlüssel

Für Windows Server2008R2 bezahlt man ja unterschiedliche Preise. Ich hätte als Firewall ja noch Avg Security 12 herum liegen (Family Pack), die würde für genug Schutz sorgen. Zu mal ich da ja alles verriegeln machen kann

Dadurch entfallen auch viele Anwendungsprobleme. Besonders meine ich die Installationsroutinen von dem was alles auf dem Root gebraucht wird. Unter Windows kenne ich das prozedere unter Linux nicht.

Ansonsten kann ich ja mal beschreiben was auf dem Root laufen soll:

Teamspeak 3 Server
Minecraft Server
Webspace für ein paar Plugins vom MC Server
Evtl eine kleine Homepage
Team Forum


Wobei aber nur die ersten zwei Punkte wichtig sind. Der Rest kann nach und nach importiert werden.


Achja, die Managed Server von Hetzner sind mir zu teuer! Haben nur die hälfte der Leistung und kosten 3 mal so viel.


Ist es denn im realen echt so, dass diese Root Server unter ständigen Attacken leiden?

Theoretisch kann Hetzner doch auch gar nicht davon leben, wenn nur wirkliche Linux Guru's sich einen mieten. Ich habe ja gar nicht vor einen FTP Dienst oder sowas zu gewährleisten, bzw. eine Austauschplattform von Programmen.

Eine Teampage mit Forum, ein kleiner TS3 Server und ein Gameserver ala Minecraft sollen auf dem laufen. Da lohnt es sich doch gar nicht den anzugreifen?!

 

[Ben.]

Angreifen im Sinne von Stilllegen wird sich nicht lohnen, das ist korrekt. Aber angreifen und eigene Programme installieren, die in deinem Namen Software verteilen, andere Systeme angreifen etc. sind durchaus interessant.

 

[Deleted member 14422]

Windows 7 aufm Root installieren

Prinzipiell möglich ist das natürlich - aber willst du wirklich ein Desktopsystem auf einem Server einsetzen? Die Windows Server-Reihe wurde nicht aus Spaß entwickelt.

Ist es denn im realen echt so, dass diese Root Server unter ständigen Attacken leiden?

Mal ein kurzer Auszug aus meinem auth.log mit fehlgeschlagenen Loginversuchen:

Jul 15 15:14:47 bestewogibt sshd[14345]: Invalid user admin from 218.232.104.219
Jul 15 15:14:47 bestewogibt sshd[14345]: input_userauth_request: invalid user admin [preauth]
Jul 15 15:14:47 bestewogibt sshd[14345]: pam_unix(sshd:auth): check pass; user unknown
Jul 15 15:14:47 bestewogibt sshd[14345]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=218.232.104.219 
Jul 15 15:14:49 bestewogibt sshd[14345]: Failed password for invalid user admin from 218.232.104.219 port 59306 ssh2
Jul 15 15:14:49 bestewogibt sshd[14345]: Received disconnect from 218.232.104.219: 11: Bye Bye [preauth]
Jul 15 15:14:53 bestewogibt sshd[14366]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=218.232.104.219  user=root
Jul 15 15:14:55 bestewogibt sshd[14366]: Failed password for root from 218.232.104.219 port 34304 ssh2
Jul 15 15:14:55 bestewogibt sshd[14366]: Received disconnect from 218.232.104.219: 11: Bye Bye [preauth]
Jul 15 15:14:59 bestewogibt sshd[14376]: Invalid user stud from 218.232.104.219
Jul 15 15:14:59 bestewogibt sshd[14376]: input_userauth_request: invalid user stud [preauth]
Jul 15 15:14:59 bestewogibt sshd[14376]: pam_unix(sshd:auth): check pass; user unknown
Jul 15 15:14:59 bestewogibt sshd[14376]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=218.232.104.219 
Jul 15 15:15:01 bestewogibt sshd[14376]: Failed password for invalid user stud from 218.232.104.219 port 35100 ssh2
Jul 15 15:15:01 bestewogibt sshd[14376]: Received disconnect from 218.232.104.219: 11: Bye Bye [preauth]
Jul 15 15:15:05 bestewogibt sshd[14378]: Invalid user trash from 218.232.104.219
Jul 15 15:15:05 bestewogibt sshd[14378]: input_userauth_request: invalid user trash [preauth]
Jul 15 15:15:05 bestewogibt sshd[14378]: pam_unix(sshd:auth): check pass; user unknown
Jul 15 15:15:05 bestewogibt sshd[14378]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=218.232.104.219 
Jul 15 15:15:07 bestewogibt sshd[14378]: Failed password for invalid user trash from 218.232.104.219 port 36618 ssh2
Jul 15 15:25:28 bestewogibt sshd[14793]: Invalid user admin from 218.232.104.219

Und hier laufen auch "nur" ein paar Websiten. Was sich lohnt anzugreifen, ist der Server an sich. Und ein Windows-Server lohnt sich gleich noch mal, da hier auch die Scriptkiddies, die nicht mit Linux umgehen können, Spaß haben.

Ich habe ja gar nicht vor einen FTP Dienst oder sowas zu gewährleisten, bzw. eine Austauschplattform von Programmen.

Du hast das nicht vor, der Angreifer eventuell schon.

Denk bitte daran, dass du für die Schindluder gerade stehen musst, die mit deinem Server veranstaltet werden.

Ich empfehle immer noch einen managed Server - kostet auch nicht die Welt, ist dafür aber ordentlich konfiguriert und abgesichert.

 

[PapaBaer]

Achja, die Managed Server von Hetzner sind mir zu teuer! Haben nur die hälfte der Leistung und kosten 3 mal so viel.

Rechne deine Arbeitszeit gegen, dann relativiert sich das schnell. Und wenn du auf Grund eines Cracks in die Haftung gerätst, wird ein eigener Root schnell richtig teuer.

Ist es denn im realen echt so, dass diese Root Server unter ständigen Attacken leiden?

Jep, immer und ständig.

Theoretisch kann Hetzner doch auch gar nicht davon leben, wenn nur wirkliche Linux Guru's sich einen mieten.

Stimmt. Daher klingt das ja auch so schön einfach mit Plesk. Die Haftung wird ganz klein hinten in den AGB ausgeschlossen. Am Ende stehen tausende schlecht administrierte Server im Rechenzentrum. Gerade daher gibt es ja so viele Angriffe auf die IP-Ranges von Hostern. Kann man kritikwürdig finden, aber so lange es nicht verboten ist, wird dieses Geschäftsmodel aufrecht erhalten werden.

Eine Teampage mit Forum, ein kleiner TS3 Server und ein Gameserver ala Minecraft sollen auf dem laufen. Da lohnt es sich doch gar nicht den anzugreifen?!

Deine Inhalte spielen doch überhaupt keine Rolle. Die Rescourcen des Servers sind begehrt. Da kann man schön mit spammen oder warez verteilen.

 

[sebastian2443]

Hallo an alle



Die Arbeitszeit kann ich nicht dagegen rechnen weil ich das Privat mache! Für Privatearbeitszeit gibt es keinen Lohn


Diese Haftung gilt doch auch für die Rechner die Zuhause stehen? Wenn sich jemand auf meinem Rechner einhackt und die Leistung für illegale Taten nutzt, mach ich mich doch auch strafbar? Oder zahlt für sowas dann Windows wegen ihrer super Firewall und Defender? Wäre ja nicht so, dass sei mein Homerechner Leistungsschwächer als ein 4xs.


Ok, dass die Hacker auf Ip-Ranges von den Anbietern eingehen war mir nicht klar. So suchen sie einfach das schwächste Glied und da findet sich sicherlich eines.


Aber was muss man alles sichern?

Ich weiß nicht ob es eine Linux-Firewall gibt, vllt kann mir jemand eine nennen? Oder schützen die Betriebssystem schon vor Ort ihre Ports mit mitgelieferten Programmen? Gegen Sicherheitslücken in Programmen kann man eh nichts machen außer auf einem Fix zu warten oder gegebenfalls auf ein anderes Programm umzuschwenken. Sowieso Updates aktuell halten.

Das mit den Logs bekomme ich sicherlich auch schnell auf die Reihe. Sind ja eigentlich an der Hand abzählbar.

Was aber auch klar sein dürfte, ist das jedes Betriebssystem Lücken hat.
Im Endeffekt geht es eh nur darum, einen Angriff wenn er statt findet in die Länge zu ziehen um so unattraktiv zu sein.

Was noch zu machen wäre ist doch root umzubenennen und diesem ein starkes Passwort zu vergeben. Andererseits sollte man sich ein zweiten User anlegen welcher keine Rootrechte hat, sondern nur das administriert was er darf.

Kann man bei Hetzner nicht auf eine starke Firewall hoffen?


Auf was achtet ihr denn alles um euren Server sicher zu halten, bzw. vor Angreifern zu schützen.

 

[Joe User]

Windows 7 aufm Root installieren

Bitte den Lizenzvertrag (EULA) beachten, denn der erlaubt diese Nutzungsart nicht.

 

[Neogreen]

Virtualbox ziehen und eine Distro deiner wahl ich empfehle für einsteiger ubuntu statt Debian, Ubuntu dort ist mehr kommentiert und es ist einfacher. Lad dir via google ubuntu 10.04LTS oder 12.04LTS und binde die iso in virtualbox ein.

Probier eben etwas ja und es gibt eine Firewall: Iptables
Zum Thema angreifer: Nur Dienste laufen lassen die du brauchst/abgesichert hast und mit dennen du umgehen kannst.

 

[Spinx]

Hallo an alle
Ok, dass die Hacker auf Ip-Ranges von den Anbietern eingehen war mir nicht klar. So suchen sie einfach das schwächste Glied und da findet sich sicherlich eines.

Genau, durch Angriffe suchen sie so nach Sicherheitslücken auf deinem Server. Dabei ist es egal was du für Programme (TS, Forum etc) drauf hast. Alleine das es ein Server ist ist schon Anreiz genug.

Aber was muss man alles sichern?

SSH, Apache (falls der eingesetzt wird), Email Server, PHP, MySQL und und und. Kommt immer drauf an was du alles Installierst.

Ich weiß nicht ob es eine Linux-Firewall gibt, vllt kann mir jemand eine nennen? Oder schützen die Betriebssystem schon vor Ort ihre Ports mit mitgelieferten Programmen? Gegen Sicherheitslücken in Programmen kann man eh nichts machen außer auf einem Fix zu warten oder gegebenfalls auf ein anderes Programm umzuschwenken. Sowieso Updates aktuell halten.

Und dann wartest du zu lange bzw. ziehst den Angriff in die Länge raus und dann? Dann ist dein Server überlastet.
Oder du Ziehst den Angriff in die Länge heraus und am Ende bekommen Sie doch Zugriff. Dann hast du ein viel Größeres Problem zwecks Strafe weil du nicht sofort etwas unternommen hast.
Der Beste Weg ist immer es es gar nicht zu einem Angriff kommen zu lassen den am Ende musst du beweisen das du alles Unternommen hast diesen Abzuwehren.

Das mit den Logs bekomme ich sicherlich auch schnell auf die Reihe. Sind ja eigentlich an der Hand abzählbar.

Dann schau mal in den Ordner /var/logs, Ich habe alleine 40 Files dort und betreibe nur 2 Foren und einen E-Mail Server
Was aber auch klar sein dürfte, ist das jedes Betriebssystem Lücken hat.
Im Endeffekt geht es eh nur darum, einen Angriff wenn er statt findet in die Länge zu ziehen um so unattraktiv zu sein.

Was noch zu machen wäre ist doch root umzubenennen und diesem ein starkes Passwort zu vergeben. Andererseits sollte man sich ein zweiten User anlegen welcher keine Rootrechte hat, sondern nur das administriert was er darf.

Du kannst den User "root" nicht umbennen. Diesen musst du mit einem starken Passwort sichern, ebenfalls das Login über Root verbieten und wie du schon sagtest einen angelegten User nutzen und dir mittels su Anschliessend die Root Rechte geben.

Kann man bei Hetzner nicht auf eine starke Firewall hoffen?

Nein, du alleine bist für die Sicherheit verantwortlich. Hetzner stellt dir lediglich deinen Server zur Verfügung. Es bietet sich zb iptables an

Auf was achtet ihr denn alles um euren Server sicher zu halten, bzw. vor Angreifern zu schützen.

Bezüglich Software und Wissen immer auf dem neusten Stand zu sein. Diverse Sicherheits Tools einsetzen

 

[danton]

Diese Haftung gilt doch auch für die Rechner die Zuhause stehen? Wenn sich jemand auf meinem Rechner einhackt und die Leistung für illegale Taten nutzt, mach ich mich doch auch strafbar?

Prinzipiell ja. Der Punkt ist aber, daß PCs daheim nicht ganz so interessant sind, da sie oft nur einen geringen Upload haben (DOS-Attacken, Warez verteilen) und viele Dialup-IP-Ranges auf diversen Blacklists stehen (Spamversand). Außerdem haben die meisten PCs daheim keine (oder kaum) Serveranwendungen laufen und zumindest bei DSL & Co. hängen diese oft auch noch hinter einem NAT-Router.
Ein Root-Server bei einem Hoster wie z.B. Hetzner ist aber mit vollen 100MBit angebunden, teilweise sogar mit GBit.

 

[Marentis]

Ich schließe mich da an. Das "Interessante" an Rootservern ist sicher nicht ihre Rechenleistung (da sind viele Desktoprechner deutlich potenter) sondern vielmehr ihre (im Vergleich zu Desktoprechnern) enorm schnelle Anbindung.

Symmetrisch 100mbit/1Gbit ist eben wesentlich interessanter, als eine asymmetrische DSL Leitung mit einem Upstream von 1mbit.

Abgesehen davon werden natürlich auch Privatrechner missbraucht, dort ist aber die Ermittlung des Inhabers wesentlich schwerer, aufgrund von wechselnden IPs und meistens werden diese "nur" für Spam missbraucht.

Zumal hier die Frage ist, welchen Anspruch die Gerichte an die Sachverständigkeit einer Privatperson mit einem Desktoprechner stellen würden.
Denn haften muss man "nur" für Fahrlässigkeit.

Bei einem Rootserver stellt sich diese Frage aber häufig nicht: wer einen Server betreibt, muss zwangsläufig einen höheren Sachverstand aufweisen und kann daher "schneller" in Schwierigkeiten geraten.

Also: Hol dir lieber einen Managed Server, dann musst Du dir den Schuh der Haftung nicht anziehen, dafür haftet dann Dein Hoster.

Um praktische Tipps zu geben:
Übe in einer VM, damit Du dich erstmal mit dem jeweiligen OS auseinandersetzen kannst. Ich weiß nicht was Du beruflich machst aber Studenten erhalten häufig MSDNAA Lizenzen für Server. Diese dürfen dann für den Privatgebrauch auch gerne in einer VM zerpflückt werden (allerdings darf man damit keine (öffentlichen?!) Server betreiben).

Mit der Installation von Windows lösen sich jedenfalls gar keine Probleme, es besteht ein himmelweiter Unterschied zwischen Windows als Desktop-OS und Windows als Server-OS. Gruppenrichtlinien, ggfls. Webserver (man möchte sicher auch eine Clanpage/Forum?), zusätzliche Dienste, etc...

Und in der freien Wildbahn erst langsam starten, zum Beispiel erstmal nur den nackten Webserver/Gameserver. Die Konfiguration muss 100% sitzen, danach dann den nächsten Dienst.

Es hat beispielsweise gar keinen Sinn, wenn man in einem Rutsch Gameserver, Webserver, PHP, MYSQL und co installiert. Die meisten Dienste stehen in der Defaultconfig offen wie ein Scheunentor und während man gemütlich am Gameserver schraubt, wird über den Rest schon hergefallen.

 

[PapaBaer]

Ich weiß nicht ob es eine Linux-Firewall gibt, vllt kann mir jemand eine nennen? Oder schützen die Betriebssystem schon vor Ort ihre Ports mit mitgelieferten Programmen? Gegen Sicherheitslücken in Programmen kann man eh nichts machen außer auf einem Fix zu warten oder gegebenfalls auf ein anderes Programm umzuschwenken.

Allein diese Statements zeigen, dass du noch gaaaanz viel lernen solltest. Firewall ist nichts, was man installiert und dann ist alles sicher. iptables bringt dir auf einem einzelnen Server gar nix. Welche Ports willst du denn sichern? Und wie? Gegen Sicherheitslücken kann man nicht nur warten. Und die ganze Thematik Intrusion-Detection ist dir vollkommen fremd.

Ich wiederhole mich nochmal:

Lernen, lernen, lernen. Das braucht seine Zeit. Auf keinen Fall auf einen Rootserver, bevor du fit bist. Nicht dem Irrtum verfallen, dass man am lebendem Objekt schon lernt.

 

[sebastian2443]

Abend,


klar muss ich noch viel lernen! Bin stetig jung und wissbegierig

Das es eine Firewall unter Linux gibt, weiß ich. Jedoch war meine Frage, ob die erst heruntergeladen werden müssen, oder ob standard mäßig schon welche im Yast abrufbar sind?

Eine Minimal-Installation heißt doch, dass keine grafische Oberfläche dabei ist? Oder sind in dieser auch sehr viele Dienste unter dem jeweiligen Betriebssystem deaktiviert?

Bietet Hetzner eigentlich auch HardwareFirewalls an?

Ok, um einfach kurz zusammenzufassen was ich machen muss:

Benutzer Root ein Passwort vergeben,
SSH Verbindung für Root verhindern, (nutzt ihr Putty? Oder gibts da was besseres?)
neuen Benutzer anlegen (gleich schwere Passwort)
und über SU arbeiten.

Log-Dateien regelmäßig prüfen, es werden ja nicht nur welche unter var/log liegen, je nach dem ob ich die von weiteren Anwendungen da lagern lasse

Dann brauche ich eine Firewall die ich dahingehend konfiguriere, dass erst einmal alle Ports zu sind bis auf die, die ich brauche. (SSH, SQL, etc.)
Nebenbei noch die Ping-Anfrage blockieren

Aktuelle Updates ziehen
Software die zusätzlich genutzt wird auf den aktuellen Stand bringen.

Programme muss man auch noch absichern? Oh, mein Gott
In wie weit meint ihr das? Meint ihr die Benutzerauthentifizierung oder gibt es Einstellungen bei einer SQL Datenbank die sie dahingehend noch weiter absichern?


Es gibt für Firewalls doch sicherlich eine Liste der aktuell gesperrten Ip-Adress-Anfragen?

Der Besitz für die Software um sein System selber auf schwachstellen zu prüfen ist erlaubt? Wenn ja, welcher Art von Angriff müsste der Server standhalten? Bruteforce, DDos, was gibts da noch?

Natürlich muss der eigene Rechner der auf den Server zugreift selber gut geschützt sein

Auch wenn ich derzeit noch nicht das wissen besitze, einschüchtern lasse ich mich nicht


Managed Server sind einfach zu teuer für meinen Geldbeutel. Gleicher Preis und die Hardware hat einen Bruchteil der Leistung von denen der selbigen Preisklasse nur als Root.



Ich verstehe gar nicht, wie kleine Firmen das machen, die gerade aus dem Boden stampfen. Wahrscheinlich noch Welpenschutz aber irgendwann gehen die ja dann auch in die Knie...


edit: Ganz vergessen, ich bin gerade frisch ausgelernter Fachinformatiker für Systemintegration!
Ihr würdet mir nie glauben, wenn ich euch sage, dass die Sicherheit der Systeme während meiner Ausbildung nie beleuchtet wurde

 

[Spinx]

Eine Minimal-Installation heißt doch, dass keine grafische Oberfläche dabei ist? Oder sind in dieser auch sehr viele Dienste unter dem jeweiligen Betriebssystem deaktiviert?

Bei einem Linux Server egal ob Suse oder Debian etc machst du alles über die Console (putty, SSH) eine Grafiosche Oberfäsche gibt es da nicht und wird auch nicht laufen

Bietet Hetzner eigentlich auch HardwareFirewalls an?

Nein

Benutzer Root ein Passwort vergeben,
SSH Verbindung für Root verhindern, (nutzt ihr Putty? Oder gibts da was besseres?)
neuen Benutzer anlegen (gleich schwere Passwort)
und über SU arbeiten.

Log-Dateien regelmäßig prüfen, es werden ja nicht nur welche unter var/log liegen, je nach dem ob ich die von weiteren Anwendungen da lagern lasse

Für den Anfang ja

Dann brauche ich eine Firewall die ich dahingehend konfiguriere, dass erst einmal alle Ports zu sind bis auf die, die ich brauche. (SSH, SQL, etc.)
Nebenbei noch die Ping-Anfrage blockieren

Fail2Ban

Aktuelle Updates ziehen
Software die zusätzlich genutzt wird auf den aktuellen Stand bringen.

Programme muss man auch noch absichern? Oh, mein Gott
In wie weit meint ihr das? Meint ihr die Benutzerauthentifizierung oder gibt es Einstellungen bei einer SQL Datenbank die sie dahingehend noch weiter absichern?

zb PHP, da sind noch einige Einstellungen Notwendig um das wichtigste zu deaktivieren

Ich verstehe gar nicht, wie kleine Firmen das machen, die gerade aus dem Boden stampfen. Wahrscheinlich noch Welpenschutz aber irgendwann gehen die ja dann auch in die Knie...

Die haben das Wissen vermutlich erstmal auf einer Linux Home Kiste Jahrelang erlernt und Hunderte von Howtos etc gelesen. Einen eigenen Server zu betreiben bedeutet täglich einige Stunden zu Opfern.

 

[Marentis]

Benutzer Root ein Passwort vergeben,
SSH Verbindung für Root verhindern, (nutzt ihr Putty? Oder gibts da was besseres?)
neuen Benutzer anlegen (gleich schwere Passwort)
und über SU arbeiten.

Dazu kann man geteilter Meinung sein. Ich verhindere den SSH login per Passwort und authe über einen Key. Ansonsten natürlich den SSH port ändern. Eigener User ist sicherlich nett, wenn dieser aber Sudo verwenden kann ist ein Hack dieses Users genauso gefährlich wie wenn Root direkt gehackt wird. Vorteil dieser Methode: ein Angreifer muss auch noch den Namen des privilegierten Accounts erraten.

Aktuelle Updates ziehen
Software die zusätzlich genutzt wird auf den aktuellen Stand bringen.

Ja und nein. Das ist ein Server und kein Heimrechner. Updates sind natürlich sehr wichtig aber eben nicht jedes. Manche Updates bringen Änderungen mit sich, die dann wiederum Inkompatibilitäten und Probleme erzeugen können. Anders gesagt: es gehört eben auch dazu, dass man sich informiert was das jeweilige Update verändert. Security Bulletins sollte man sowieso lesen (setze ich voraus).

Programme muss man auch noch absichern? Oh, mein Gott
In wie weit meint ihr das? Meint ihr die Benutzerauthentifizierung oder gibt es Einstellungen bei einer SQL Datenbank die sie dahingehend noch weiter absichern?

Wie soll man das pauschal beantworten? Was bei dem jeweiligen Programm eben zu tun ist. Ich denke ZUM BEISPIEL an Memcached, sehr schlecht wenn das aus dem Netz erreichbar ist.

Ansonsten gilt: Möglichst die Programme unter einem eigenen User laufen lassen, dann kann man - falls Exploits dafür auftauchen - den Schaden eindämmen. Und NIEMALS, ich wiederhole: NIEMALS, ich wiederhole: NIEMALS, ich wiederhole: NIEMALS Programme mit einem privilegierten Account laufen lassen (Root/User in wheel). Manche Programme starten als Root damit sie Ports unter 1000 binden können, dann droppen sie aber die Rechte und laufen als nicht privilegierter User weiter. Ein Gutes Beispiel dafür sind Webserver.

Der Besitz für die Software um sein System selber auf schwachstellen zu prüfen ist erlaubt? Wenn ja, welcher Art von Angriff müsste der Server standhalten? Bruteforce, DDos, was gibts da noch?

Sorry aber Du wirfst hier gerade schön mit Begriffen um Dich. Was willst Du denn gegen eine DDOS machen? Klar, Du kannst die Pakete droppen aber Dein Hoster wird reagieren, um die restliche Kundschaft an dem jeweiligen Router zu schützen, denn da kommen die Pakete auch weiterhin an.

Eine DDOS schlägt man nur mit Bandbreite, Bandbreite und noch mehr Bandbreite tot, leider.

Gegen eine Bruteforce helfen sichere Passwörter, bzw. IP ban nach einer gewissen Anzahl von X ungültigen Versuchen.

edit: Ganz vergessen, ich bin gerade frisch ausgelernter Fachinformatiker für Systemintegration!
Ihr würdet mir nie glauben, wenn ich euch sage, dass die Sicherheit der Systeme während meiner Ausbildung nie beleuchtet wurde

Wie soll man das auch beleuchten? Es gibt soviele verschiedene Programme auf diesem Planeten, es gibt keinen Schalter X für "jetzt ist das Programm sicher".

 

[virtual2]

Abend,


klar muss ich noch viel lernen! Bin stetig jung und wissbegierig

Das es eine Firewall unter Linux gibt, weiß ich. Jedoch war meine Frage, ob die erst heruntergeladen werden müssen, oder ob standard mäßig schon welche im Yast abrufbar sind?

Gut das du anscheinend zu den Personen gehörst die auch wirklich lernen wollen und nicht erst daher kommen wenn das Kind schon in den Brunnen gefallen ist.

Jop, die gibt es - iptables, kann man aber eher weniger als Firewall bezeichnen, eher als Paketfilter

Eine Minimal-Installation heißt doch, dass keine grafische Oberfläche dabei ist? Oder sind in dieser auch sehr viele Dienste unter dem jeweiligen Betriebssystem deaktiviert?

Minimal heißt id.R. soviel wie du bekommst ein blankes System nur mit vorinstalliertem OpenSSH Server, mehr nicht.

Bietet Hetzner eigentlich auch HardwareFirewalls an?

Leider nein (aus Kostengründen), ist aber id.R. auch nicht notwendig.

Benutzer Root ein Passwort vergeben,
SSH Verbindung für Root verhindern, (nutzt ihr Putty? Oder gibts da was besseres?)
neuen Benutzer anlegen (gleich schwere Passwort)
und über SU arbeiten.

Root hat standartmäßig ein Passwort zumindest wüsste ich nicht bei welchem Hoster du einen Server ohne root Passwort bekommst?

Sinnvoller ist es du belässt es bei root und arbeitest mit Key Authentifizierung, alles andere ist meiner Meinung nach sinnfrei.

Log-Dateien regelmäßig prüfen, es werden ja nicht nur welche unter var/log liegen, je nach dem ob ich die von weiteren Anwendungen da lagern lasse

Empfiehlt sich da du so schneller auf Abnormalitäten reagieren kannst.

Dann brauche ich eine Firewall die ich dahingehend konfiguriere, dass erst einmal alle Ports zu sind bis auf die, die ich brauche. (SSH, SQL, etc.)
Nebenbei noch die Ping-Anfrage blockieren

Das ist sinnfrei und nicht notwendig, heutzutage ist kein gescheites System mehr mit ping of death Anfragen angreifbar (zumindest fast keins)

Aktuelle Updates ziehen
Software die zusätzlich genutzt wird auf den aktuellen Stand bringen.

Nutze hierfür am besten die Maillinglist deiner Distribution, damit bleibst du immer sehr gut auf dem neusten Stand.

Programme muss man auch noch absichern? Oh, mein Gott
In wie weit meint ihr das? Meint ihr die Benutzerauthentifizierung oder gibt es Einstellungen bei einer SQL Datenbank die sie dahingehend noch weiter absichern?

Die sogenannten Dienste oder Dämons genannt musst du je nach Service absichern, deshalb arbeite dich hier am besten in einer VM ein.

Es gibt für Firewalls doch sicherlich eine Liste der aktuell gesperrten Ip-Adress-Anfragen?

http://64-bit.de/dokumentationen/netzwerk/e/002/DE-IPTABLES-HOWTO.html

Lies dir das am besten mal durch, habe ich mir vor ein paar Jahren mal zu nutze gemacht als ich am selben Punkt wie du stand.

Der Besitz für die Software um sein System selber auf schwachstellen zu prüfen ist erlaubt? Wenn ja, welcher Art von Angriff müsste der Server standhalten? Bruteforce, DDos, was gibts da noch?

http://dejure.org/gesetze/StGB/202c.html

Gilt nur für fremde Systeme, mit deinen Kisten kannst du machen was du willst, du solltest es aber besser unterlassen die Netzwerkinfrastruktur deines Hosters zu gefährden, das kann teuer und gleichzeitig auch böse enden.

Natürlich muss der eigene Rechner der auf den Server zugreift selber gut geschützt sein

Sollte er, am besten du arbeitest mit einem Zweitrechner den du nur zur Administration nutzt.

edit: Ganz vergessen, ich bin gerade frisch ausgelernter Fachinformatiker für Systemintegration!
Ihr würdet mir nie glauben, wenn ich euch sage, dass die Sicherheit der Systeme während meiner Ausbildung nie beleuchtet wurde

Hm, in der Berufsschule ist das doch ein Punkt der soweit ich mich nicht irre im 3. Jahr drankommt, zumindest wird das bei mir so sein.

 

[danton]

Dann brauche ich eine Firewall die ich dahingehend konfiguriere, dass erst einmal alle Ports zu sind bis auf die, die ich brauche. (SSH, SQL, etc.)
Nebenbei noch die Ping-Anfrage blockieren

Port, auf denen keine Anwendung lauscht, sind ohnehin zu, die brauchst nicht nicht extra per Firewall zu schließen.
Ping blockieren ist IMHO Unsinn. Du nimmst dir die Möglichkeit, selber einfach prüfen zu können, ob der Server netzwerkseitig erreichbar ist.

Programme muss man auch noch absichern? Oh, mein Gott
In wie weit meint ihr das? Meint ihr die Benutzerauthentifizierung oder gibt es Einstellungen bei einer SQL Datenbank die sie dahingehend noch weiter absichern?

Abhängig von der eingesetzten Software ist die Liste beliebig lang. Ein Benutzer- und Rechtemanagement in SQL gehört da sicherlich zu, ist aber nur ein ganz kleiner Teil.
Und ja, in vielen Fällen ist eine zu offene Serveranwendung das Einfallstor für einen Server. Schon ein schlecht programmiertes PHP-Script auf einem Webserver kann diesen in eine Spamschleuder verwandeln.

Ich verstehe gar nicht, wie kleine Firmen das machen, die gerade aus dem Boden stampfen. Wahrscheinlich noch Welpenschutz aber irgendwann gehen die ja dann auch in die Knie...

Was sollen die machen? Welpenschutz gibt es bei Servern im Internet nicht, nur Glück, wenn ein schlecht gepflegter Server noch nicht kompromitiert wurde.

 

[Deleted member 14422]

Lernen: ja. Allerdings nicht im Internet, sondern auf einem alten Rechner oder in einer VM.