Firewall auf vserver?

Hallo zusammen

@effect-energy

bei mir war #PermitRootLogin yes auch auskommentiert. Einfach das kommentar-zeichen weg, aus yes ein no gemacht und es funktioniert bestens.

@huschi
Ich habe jetzt (fast) alle deine Tipps zur Absicherung des Servers durchgeführt:

- User root ist gesperrt
- confixx über ssl

Nur dasmit dem FTP-Zugang schließen blicke ich nicht ganz. Im Verzeichnis /etc/xinetd.d/ weiß ich nicht welche "ftpd-Datei" du meinst. Ich finde da nichts.

Was auch noch wichtig wäre um sein Projekt abzusichern: Den Standarduser WEB1 nicht benützen, sondern sich auch hier einen neuen anlegen, oder?

Du sagtest auch noch was bezüglich "Webmin". Warum könnte es sich lohnen das auch noch zu installieren?

Gruß,
Carsten
 
cretter said:
Im Verzeichnis /etc/xinetd.d/ weiß ich nicht welche "ftpd-Datei" du meinst.
Click to expand...
Vieleicht hast Du auch nur den inetd (also /etc/inetd.conf) oder Dein FTP-Server ist als Standalone Konfiguriert. Versuch mal 'ps ax|grep ftp'. Wenn dabei was rauskommt, dann mußt Du sowas o.ä. machen: '/etc/init.d/ftpd stop' und 'chkconfig ftpd off'. (ftpd mußt Du durch das Programm ersetzen, was beim ps-grep gefunden wurde.)

Den Standarduser WEB1 nicht benützen, sondern sich auch hier einen neuen anlegen, oder?
Click to expand...
Eher in Confixx als Admin die Standard-Domain ausschalten. Damit die einzelnen webs nicht als web1.xxxyyy.vserver.de ansprechbar sind. Oder z.B. die allgemeine Confixx-Fehlermeldungsseite mit einem eigenen Design ausstatten, so daß nicht mehr erkennbar ist, das es ein Confixx-System ist.

Du sagtest auch noch was bezüglich "Webmin". Warum könnte es sich lohnen das auch noch zu installieren?
Click to expand...
Weil man damit viele systemnahe Einstellungen machen kann, die Confixx nicht macht, aber man dennoch eine webbasierte klicki-bunti-Oberfläche hat.
Insbesondere hat man mit Webmin eine gewisse 'Normalisierung' der verschiedenen Linux-Distributionen und -Versionen. Das erleichtert evtl. die Arbeitsweise und Tips, die man hier im Forum lesen kann.

huschi.
 
Hallo,

'ps ax|grep ftp' liefert

21188 ? S 0:00 /usr/libexec/openssh/sftp-server
14210 pts/0 S 0:00 grep ftp

Und wenn aktuell jemand mit FTP connected ist, dann wird

21188 ? S 0:00 /usr/libexec/openssh/sftp-server
26881 ? SN 0:00 [in.ftpd]
5121 pts/0 S 0:00 grep ftp

angezeigt.
Ich habe versucht das alles irgendwie zu stoppen, leider ohne Erfolg. :(
 
Ok, es ist also wu-ftp der über den xinetd kontrolliert wird.
Du mußt die Datei /etc/xinetd.d/wu-ftpd bearbeiten und 'disable = yes' setzen und xinetd restarten.

huschi.
 
Jetzt hab ich's entdeckt:
Es handelt sich um "proftpd".

Jetzt hab ich disable=yes gesetzt. 2 Fragen hab ich hierzu noch:

1. Wie starte ich proftpd dann neu? Wenn ich meinen Server mal reboote, bleibt FTP dann nach dem neustart auch aus?

2. Wie kann ich in WinSCP3 den befehl "su -" eingeben, damit ich als root das recht hab dateien upzuloaden? Alternativ wär's auch gut zu wissen, wie Dateien im PUTTY auf den Server hochlade :):)
Bis jetzt mach ich das nämlich immer im WinSCP3

DANKE
 
Last edited by a moderator:
cretter said:
2. Wie kann ich in WinSCP3 den befehl "su -" eingeben, damit ich als root das recht hab dateien upzuloaden? Alternativ wär's auch gut zu wissen, wie Dateien im PUTTY auf den Server hochlade :):)
Bis jetzt mach ich das nämlich immer im WinSCP3

DANKE
Click to expand...
Hallo,

In WINSCP3 gibt es dieses kleine schwarze Icon "Terminal öffnen". Darin kannst Du Befehle eingeben, die keine Antwort geben müssen.
Das ist irgendwie beschränkt. Aber einen Restart oder so kannst Du immer da machen.

Seit ich WINSCP3 habe, muß ich Putty nur noch selten öffnen.

Gruß

Martin
 
zu 1) indem Du 'disable=no' setzt und xinetd restartest.
zu 2) kenn mich mit winscp nicht so gut aus. Nutze es nur gelegendlich, da ich fast alles direkt über die Shell mache.

huschi.
 
Aber grad das geht bei mir in WinSCP nicht. Entdeckt habe ich diese Funktion auch schon. Aber die ist immer grau ausgeblendet. ich kann es nicht benützen :(
 
@huschi

wie kopiere ich eine datei von platte auf den server in der shell? sag mal kurz den befehl bitte. (ich bin doch ein brutaler linux-anfänger)

wie starte ich xinetd neu? ich gehe wieder in "etc/init.d"....und dann???
 
cretter said:
wie kopiere ich eine datei von platte auf den server in der shell?
Click to expand...
Auf den Download-Seiten von putty gibt es auch einen scp-Ersatz für die Commandozeile.

wie starte ich xinetd neu? ich gehe wieder in "etc/init.d"....und dann???
Click to expand...
/etc/init.d/xinetd restart

huschi.
 
Guten Morgen,

also das mit dem Kommandozeilen Tool hab' ich leider nicht hinbekommen :(
Kann mir jemand sagen wie ich den Terminal-Modus im WinSCP freischalte???
Oder wie ich direkt in PUTTY Files kopiere?
 
cretter said:
also das mit dem Kommandozeilen Tool hab' ich leider nicht hinbekommen :(
Click to expand...
Du hast pscp.exe runter geladen? Dann so:
Code: 
#einzelne Datei vom lokaler Rechner auf Server:
pscp.exe index.html [email][email protected][/email]:/var/www/web1/html/.
#ganzes Verzeichnis vom Server auf lokalen Rechner:
pscp.exe -r [email][email protected][/email]:/var/www/web1/html .
Ohne Parameter schmeist pscp seine Parameter aus.

Kann mir jemand sagen wie ich den Terminal-Modus im WinSCP freischalte???
Click to expand...
[Ctrl]-T oder im Menü unter 'Commands'->'Open Terminal'.
Wenn das bei Dir nicht geht, prüf mal, ob Du eine aktuelle Version hast.
Meine ist 3.1.0 build 165. Damit funzt das jedenfalls ohne weitere Einstellungen.

Oder wie ich direkt in PUTTY Files kopiere?
Click to expand...
Ich nehme an, Du meinst zwischen Deinem Rechner und dem Server. Das ist nur möglich, wenn Dein lokaler Rechner einen ssh-Server fährt. Z.B. mit cygwin, einer Linux-Emulation unter Windows. Dann ist das Selbe wie oben auch vom Server aus möglich.

huschi.
 
Ja, ich hab die Exe runtergeladen...

#einzelne Datei vom lokaler Rechner auf Server:
pscp.exe index.html [email protected]:/var/www/web1/html/.
#ganzes Verzeichnis vom Server auf lokalen Rechner:
pscp.exe -r [email protected]:/var/www/web1/html .

Und wie mach ich das wenn mein rrot-account gesperrt ist??? Ich hab das doch nach deiner Anleitung so eingerichtet, dass ich jetzt immer erst mit meinem neuen Login über PUTTY mich anmelde und dann "su -" eingebe.

Das mit CTRL+T im menü ist schon klar.....nur leider ist diese Funktion bei mir deaktiviert.... Ich kanns nicht ausführen und weiß auch nicht wo ich das Einstellen kann. Ich glaub ich muß echt mal ne andere Version downloaden
 
cretter said:
Und wie mach ich das wenn mein rrot-account gesperrt ist???
Click to expand...
Dann nimm halt den neu eingerichteten Benutzer, schmeiß ihn zusätzlich in die Gruppe von ftpuser, und schon sollte es auch damit klappen.

huschi.
 
Willst Du faul oder sicher sein, das ist hier die Frage.

PS: Den User einfach statt den angegebnen root einsetzen.

huschi.
 
Ich will eher sicher sein als faul....Von daher ist die Absicherung so okay, dass ich mich erst mit einem User der weniger Rechte einlogge und dann von dem User auf den ROOT-User wechsel.

Das klappt ja im PUTTY super einfach und ohne Probleme. Nur kann ich eben so keine Dateien mehr ins etc/ verzeichnis kopieren. Ich müsste also in WinSCP das selbe machen wie in putty. Erst als eingeschränkter user anmelden und dann zum root wechsel.

Und das bekomm ich eben nicht hin :(
 
Also... ich mache das immer so: mit WinSCP oder pscp oder was auch immer die Dateien auf Deinen User-Account schieben. Zum Bleistift /home/user/etc_neu/blah.txt. Dann mit putty einloggen (auch als User "user"), dann einen
Code: 
su -
absetzen, und schwupps bist Du root. Nun folgt ein
Code: 
cp /etc/blah.txt /root/backup/
cp /home/user/etc_neu/blah.txt /etc
(das mit dem Backup sollte man im /etc immer tun... eventuell musst Du das Backup-Verzeichnis erst anlegen mit "mkdir /root/backup/"). Heisst also im Klartext, Dateien kommen nur als user auf den Server, den Rest machst Du mit der Kommandozeile im putty.

Wenn Du im Kommando-Terminal von WinSCP oder pscp einen su - eingibst, ändert das nix daran, dass Du als "user" scp/sftp machen darfst und nur die Rechte von "user" zum Hoch- und Runterladen hast.

Müsste bei Dir so auch tun, oder?

"Sicher" eben. Nicht "faul". ;)
 
DANKE. So dürfte das bei mir klappen.... echt klasse. Den Backup mach ich nicht auf dem Server, sondern lokal auf meiner Platte. Da sicher ich immer alte Versionen von etc/ files.
 
You must log in or register to reply here.
Back
Top