IP Freigabe

[michael-08]

Hallo,

kurze Frage. Falls man einen 2. Server benutzt um dort seine Backups zu hinterlegen, ist es doch recht simple, einfach die einzelne IP Adresse des Server einzutragen, die dort Backups rauflegen will und alles andere sperren!

Wenn man dann selbst auf das System draufgehen will, kann man sich dann irgendwie kurz von dem einen ssh auf den anderen ssh connecten um temporär die eigene IP freizugeben?

 

[blupp1]

Und wie greifst du auf deinen Backup Server zu, wenn der ander Server down ist?

 

[Armadillo]

Hi,

gefährliche Sache, vor allem wenn du dich beim Einrichten vertust und dich komplett aussperrst. Aber im Prinzip kannst du nur die eine IP freischalten und dich immer per SSH vom andern Server aus verbinden. Einfach mit:

ssh username@backupip

Dann musst du nicht extra deine eigene IP freigeben.

Probleme gibts natürlich dann wenn der erste Server weg is.

//EDIT: Da war schon jemand schneller.

 

[michael-08]

Hört sich vielversprechend an

Das mit dem Aussperren ist auch eine Gefahr

Ich habe gestern

iptables -I INPUT, FORWARD und OUTPUT testweise meine Home IP also demnach in alle Richtungen freigegeben und beim letzten Befehl vergeblich auf eine Antwort gewartet musste das dann Neuinstallieren.

Wieso allerdings bei Input, Forward und Output noch was gefehlt haben soll, ist mir unklar !!!

Aber im Grunde doch die sicherste Lösung für einen reinen Backupserver? Und wenn der erste Server down ist und ich auf den Backupserver muss um die Backups zu holen, muss der erste Server ja erstmal an sein. Oder überseh ich etwas?!!

 

[blupp1]

Du übersiehst nix, aber wenn du einen neuen Server holst, weil der alte schlecht, zu lang down ist, oder warum auch immer eine neue IP bekommst, kannst es vergessen deine Backups zu holen.

(Aufgrund der Neuinstallation gehe ich davon aus, dass du kein Rescue System hast)

 

[wstuermer]

Hört sich vielversprechend an

Das mit dem Aussperren ist auch eine Gefahr

Eine große sogar

Ich habe gestern

iptables -I INPUT, FORWARD und OUTPUT testweise meine Home IP also demnach in alle Richtungen freigegeben und beim letzten Befehl vergeblich auf eine Antwort gewartet musste das dann Neuinstallieren.

Was genau hast Du gemacht?

Wieso allerdings bei Input, Forward und Output noch was gefehlt haben soll, ist mir unklar !!!

Lässt sich verstehen, wenn die vorherige Frage geklärt ist.

Aber im Grunde doch die sicherste Lösung für einen reinen Backupserver? Und wenn der erste Server down ist und ich auf den Backupserver muss um die Backups zu holen, muss der erste Server ja erstmal an sein. Oder überseh ich etwas?!!

Öhm... so wie ich das verstehe, siehst Du das richtig. Also wenn der Backupserver nur noch von deinem Server erreichbar ist, dann muss dein Server in jedem Fall wieder erreichbar sein, damit Du an die Daten auf dem Backupserver kommst.

 

[michael-08]

Ehm, ja. Ist denke ich schon bedenklich!

Die Idee ist, es einfach unmöglich zu machen, dass auf dem Backup Server jemand rankommt! Ich weiß nur nun nicht, ob ein Hacker auch die Firewall umgehen kann. Als Windowsuser sollte man glauben es geht, dennoch weiß ich nicht wie das mit einer Linuxfirewall ist, die alles blockt und eben nur die eine IP zu dem FTP port und SSH port freigibt um vom ausgangssystem drauf zu zu greifen!

Falls meine alte IP Adresse sich aus irgendeinem Grund mal ändern sollte, denke ich weiß ich ja früh genug bescheid!

Besteht auch nicht die Möglichkeit dem Techniker vor Ort auf den Server zugreifen zu lassen? Würde etwas kosten, kommt aber denke ich auch nicht vor!

edit: für dieses rsync bräuchte ich nur den ssh port!

 

[wstuermer]

Die Idee ist, es einfach unmöglich zu machen, dass auf dem Backup Server jemand rankommt!

Stell den Backupserver zuhause in einen Safe. Zieh Netzwerk- und Stromkabel raus. Werf den Safeschlüssel weg und versenk den Safe danach im Meer.

Sorry, aber Zugriffsunmöglichkeit ist unmöglich

Ich weiß nur nun nicht, ob ein Hacker auch die Firewall umgehen kann.

Wenn Dein Server gehackt ist, bringt dir die Firewall auf dem Backupserver auch nichts mehr.

...nur die eine IP zu dem FTP port und SSH port freigibt um vom ausgangssystem drauf zu zu greifen!

Warum denn gleich zwei Datenübertragungsprotokolle? Eins tuts doch auch.

Besteht auch nicht die Möglichkeit dem Techniker vor Ort auf den Server zugreifen zu lassen?

Ehm... wie? Ob die Möglichkeit besteht, dass jemand vor Ort auf den Backupserver zugreift? auf deinen Server? Oder lokale Zugriffe verhindern?
Siehe dazu wieder meinen ersten Satz in diesem Post

 

[michael-08]

wstuermer:

ich bin so vorgegangen!

iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

iptables -F

iptables -I INPUT -s 123.456.78.90 -j ACCEPT
iptables -I FORWARD -s 123.456.78.90 -j ACCEPT
iptables -I OUTPUT -s 123.456.78.90 -j ACCEPT

iptables -P INPUT DROP
iptables -P FORWARD DROP bis hier hin konnt ich noch schreiben
iptables -P OUTPUT DROP nach der Enter Taste ging ab hier nichts mehr!

 

[wstuermer]

Du hättest bei deiner Output-Regel vielleicht ein '-d' statt '-s' verwenden sollen

 

[michael-08]

Ehm... wie? Ob die Möglichkeit besteht, dass jemand vor Ort auf den Backupserver zugreift? auf deinen Server? Oder lokale Zugriffe verhindern?
Siehe dazu wieder meinen ersten Satz in diesem Post

Naja, wenn die vor Ort am Rechner sind, können die sich doch auch irgendwie connecten?!?

Und wegen deinem ersten Satz, ich betreibe das als Hobby. Ich finde, dass das Hobby viel Spass macht und erst mit einem Server wirklich Spass macht, aber wenn man dann auch 2 Server gleichzeitig hat, wirds auch fast zu viel!

Wenn jemand meinen Server hackt, besteht natürlich auch die Gefahr, dass er irgendwie von dem Backupserver erfährt. Aber der Server muss ja auf jeden Fall auf einen Server zugreifen, ob der nun mit der Firewall komplett dicht gemacht wurde oder nicht???? Also erfahren werden es die, die es wollen, doch in jedem Falle?

 

[blupp1]

Ein Hacker bekommt immer das was er will...

 

[wstuermer]

Wer physikalischen Zugang zum Server hat, der kann sich daran auch anmelden. Entweder, weil derjenige die Zugangsdaten hat oder aber indem er den Server mit einem USB-Stick, übers Netzwerk oder sonstwie in ein Rescuesystem startet.

Hobby? Mooooment...
Du betreibst einen Server als Hobby? Ok... oberflächlich erstmal nichts verwerfliches dran.
Das macht erst mit einem Server richtig Spass? Logisch. Hobby ohne Grundstein wäre langweilig.
Mit 2 Servern ist schon zuviel? Hier steigt meine Logik gerade aus. Das ist ja wie einhändig.... *Nein*. Sorry, den Gedanken verfolge ich mal nicht weiter.

Also prinzipiell: Wer Zugang hat, hat auch Zugriff. Sei mal nicht ganz so paranoid

 

[blupp1]

Abgesehen davon, wieso willst du dir als Hobby deinen Serverfarm so sichern, wie eine Bank?

 

[michael-08]

!

Ehm, die Autotür auflassen wenn man ins Kino geht würdet ihr als Vergleich denke ich mal durchgehen lassen oder? Als Systemadministrator geht man viel mehr doch eher ganz strikt vor!

Also ich finde die Idee mit einem Backupserver hat mich wegen dem Geld und wegen der Pflege abgeschreckt! 2 Server sind eben doppelt so hohe Risiken! 5 oder 100 Server machen das glaube ich erst merkbar aber wenn ich diese Idee in der Praxis auch so anwenden kann und es funktioniert habe ich ein sicheres Gefühl!

 

[michael-08]

Einfach mit:

ssh username@backupip

Kurze Frage, ist es denn möglich ein 2. Fenster zu öffnen? Oder wie wechslen ich denn wieder zurück?

 

[wstuermer]

Autotür ist ein gutes Stichwort
Deine Idee klingt aber eher nach "Autotür abschließen, Tür festschweißen, Schlüssel zerbrechen, Räder abmoniteren und verbrennen.".

Klar ist Sicherheit ein sehr hohes Gebot, man sollte jedoch immer Nutzen gegen Aufwand abwägen.



Du könntest die Verbindung im 'screen' starten. Dann kannst du diese in den Hintergrund schieben und normal weiterarbeiten. Dazu gabs erst die Tage noch einen Thread hier im Forum.
Alternativ kannst Du auch eine zweite Verbindung zu deinem ersten Server aufbauen, sodass Du dann bei dir lokal zwei Fenster/Tabs offen hast. Das Verhalten ist halt auch wieder abhängig von der verwendeten Umgebung.

 

[michael-08]

Sicher, danke!

Manuell ein 2. Fenster aufmachen ist ja am einfachsten um die User auch wieder mit logout abzumelden!

Danke, ich denk mal hier weiß ich nun das was ich wissen wollte .

eidt:
Der logout Command bringt mich übrigens wieder zurück, ohne das sich PuTTY schliesst!

 

[michael-08]

Ich hab noch eine abschliessende Frage:

Ich hab auf meinen Server eigentlich seit ich das 1. mal Public Key anwende immer PPK. Nur das connecten von einem ssh zum anderen ssh scheint so nicht zu funktionieren?!?

Hat dazu jemand eine Idee? Google konnt mir noch nicht helfen!

Kann man da eventuell die sshd_config anpassen? Quasi Passwort Verbindungen einer einzelnen IP zulassen?