Nachdem nun einige Freunde von mir ebenfalls auf die Schnapsidee gekommen sind das ein vServer die richtige Wahl ist und natürlich prompt Probleme auftraten möchte Ich hier mal ein paar Sachen zu etwas größerer Sicherheit zusammenfassen.
Ob die Wahl eines vServer nun richtig ist liegt bei euch und ist euer Risiko aber bitte bringt etwas Eigeninitiative und Lernbereitschaft mit. So ein Server ist eine tickende Zeitbombe bei laienhafter Benutzung. Seit Ihr euch darüber im Klaren könnt ihr weiterlesen. Falls euch das bereits langweilt lasst es einfach mit dem Server.
Mail Schleuder Risiko minimieren
Unglaublich aber wahr innerhalb von Sekunden könnt ihr als Spam Schleuder enden. Deshalb solltet ihr zuerst ein Mal einen Test auf Open Relay starten (http://www.mailradar.com/openrelay/). Open Relay bedeutet das jeder euren Mail Server selbst ohne Login nutzen kann. Sehr gerne für SPAM genutzt. Bekommt ihr dort einen Fehler schleunigst herunterfahren und erst einmal Recherchieren wie ein Open Relay wieder geschloßen werden kann.
Zweiter Punkt den Ich immer häufiger Beobachte die Attacken auf z.B. courier pop und imap. Dabei lässt sich die Anzahl der Attacken deutlich reduzieren in dem z.B. nur ssl genutzt wird. Dazu einfach /etc/courier/pop3d und /etc/courier/imap die Einträge : ..START=NO damit starten pop3 und imap schonmal nicht. Als nächstes einfach /etc/courier/pop3-ssl und imap-ssl öffnen .. START = YES und .._TLS_REQUIRED=1 damit werden schon die meisten Angriffe verhindert da seltener meiner Erfahrung nach SSL Angriffe gestartet werden. Natürlich auch keine Sicherheit aber zumindest nutzt ihr und eure Benutzer jetzt auch Verschlüsselung beim Mail Abrufen und damit schützt Ihr euch auch selbst vor Account Diebstahl ein wenig. Am Ende übernehmt ihr die Einstellungen mit service courier-imap restart. Ihr könnt auch die Standardports ändern und z.B. gen 1000 legen aber vergesst euer E-Mail Programm dabei nicht, das will auch eingestellt werden.
Apache ... Wordpress
Sehr gerne wird einfach der Apache der Standard (Plesk Konfiguration) genutzt und schon stehen Tür und Tor offen für die Scriptkiddies. Was wollen wir nun zuerst tun? Erst einmal sollte euch bewusst sein das Apache gerne mit mod_php läuft, das bedeutet das auch alle php Scripte als www-data Benutzer laufen. Schlechte Idee. Als stellt hier erst einmal auf Php als Fast-CGI um. Viele von euch Nutzen Plesk deshalb hier kurz die Erklärung -> Einloggen in Plesk -> Website&Domain -> Domain anklicken dann könnt ihr PHP unten als Fast-CGI auswählen. Damit läuft php dann auch als eigener User.
Als nächstes wäre eine Möglichkeit sich mit mod_security modul einzuarbeiten. Das ganze geht relativ simpel aber gerade die PHP Buden wie WordPress und phpBB3 haben gerne Probleme damit. Dafür schützt es schon einwenig vor XSS, SQL-Inj. und so weiter. Bitte googlet es, irgendwann seit Ihr dankbar es zu haben natürlich bietet das auch keine 100% Sicherheit aber viele Angriffe sind nunmal auf ungeschützte Ziele ausgelegt. Wer reinkommen will findet immer einen Weg.
Was nun noch? Wordpress ist ein mächtiges Tool aber auch hier gibt es gerne Angriffe auf die Admin Oberflächen oder SPAM in Kommentaren.
Gegen den SPAM habe ich gute Erfahrungen mit dem Plugin "MP Spam be Gone" gemacht es gibt aber sicherlich Alternativen. Als zweites solltet ihr mal eure wp-config.php öffnen und den Admin Bereich mit SSL laufen lassen.
Fügt die Zeile : define('FORCE_SSL_ADMIN', true);
gleich nach dem <?php hinzu. Dasselbe geht natürlich auch für andere CMS und sollte meiner Meinung nach immer gemacht werden.
Ich will Gameserver, TS3 .....
Auch hier gibt es einige Sachen zu beachten,
erstens immer einen eigenen Linux User dafür erstellen niemals mit root die Sachen laufen lassen. Sonst ist die Bude ganz schnell nich mehr eure. Wie man einen Linux user anlegt setze ich hier einmal vorraus.
Bei TS3 solltet ihr außerdem Passwörter aussreichender Länge für euren TS Server nutzen (z.B. Clan TS3) sinn und Zweck der Sache in der Regel wollt ihr ja nicht jeden auf dem TS3. Außerdem ist TS3 eine Schöne Fileschleuder und kann zum Filesharen missbraucht werden ohne das ihr es merkt.
GameServer allgemein auf vServern finde ich nur bei guten Ressourcen Garantien halbwegs sinnvoll. Aber das könnt ihr entscheiden.
DenyHosts
Tja kaum ist der Server online fliegen schon die ersten SSH Attacken ins Haus. Wie kann man zumindest die Wörterbuch Attacken etwas minimieren? Richtig mit einem Tool wie z.B. DenyHosts. Selbst in der Standard Installation ist DenyHosts schon halbwegs brauchbar. http://wiki.carrot-server.com/userdokus/denyhosts_einrichten
Hier mal ein Link. In der Regel sperrt man über ssh auch gleich den root User mit aus und legt sich stattdessen einen normalen Benutzer an und loggt sich dann im Terminal auf den Root wenn man ihn denn braucht.
in der /etc/ssh/sshd_config:
AllowUsers [username]
oder:
AllowGroups users
Damit kann man sshd Zugang nur für die genannten Benutzer/Gruppen zulassen. Ich empfehle dafür auch etwas andere Namen zunutzen die nicht in Wörterbüchern stehen anstelle von webmaster, gameserver oder sonstige Namen für Benutzer.
Passwörter
Eigentlich sollte es mit gesunden Menschverstand klar sein aber viele vergessen einfach ein Server ist keine E-Mail Adresse. Passwörter sind hier unglaublich wichtig. Im Notfall schreibt es euch an eurem Computer auf PAPIER und legt es neben euch. Sobald ihr es auswendig gelernt habt verbrennt das Papier . Aber mal im Ernst nutzt ordentliche Passwörter unter 12 Zeichen sowieso nicht und schon gar nicht normale Wörter wie MeineKatzeIstToll <-- Selbst wenn das ja sogar schon etwas länger dauert.
Am besten wären natürlich 20 Zeichen bestehend aus Zeichen, Zahlen und Sonderzeichen. Im Notfall lasst ihr euch über einen Passwortgenerator ein paar mit entsprechender Länge generieren und nutzt das wenn euch nix einfällt.
Das Gilt übringens auch eure Mail/FTP sonst was Accounts auf dem Server!
Updates, updates, updates
Die Updates eurer Distributionen sind keine Spaß an der Freunde updates hier geht es um Sicherheit selten um neue Funktionen. Deshalb nutzt sie. Wenn schon keine Security mailing Listen durchgeschaut werden haltet eurer System wenigstens aktuell. Die meisten ausgenutzten Sicherheitslücken kommen von alten Paketen.
Bei Debian z.b. reicht einfach: apt-get update && apt-get upgrade
Logs
Auch wenn ihr nicht alles versteht schaut öfters unter /var/log nach und sucht nach massenhaften Fehlermeldungen/E Mail versand/Login etc.
Habt ihr Bedenken postet es. Mit Logs kann euch immer geholfen werden bei Fragen. Mit der Zeit versteht ihr dann auch was da steht.
Ich glaube ich bin Opfer geworden
Fahr die Bude herrunter und fertig.
Es gibt kein Warten bei ich Glaube. Bis das Gegenteil bewiesen ist Bude unten lassen. Es macht keinen Sinn, Auch nicht für Backups hochfahren etc. Die Bude bleibt unten Basta. Auch wenn ihr denkt ihr bekommt es hin lasst es einfach. Lieber ein Kontakt zum Support falls es um wichtige Daten geht und eine Analyse durchführen lassen. Die kennen sich aus und schließen für euch auch Sicherheitslücken das wird auf jedenfall günstiger als eine Klage.
Aber mein Freund kennt sich damit aus ...
In der Regel kann man sagen euer Freund hat keine Ahnung. Ein Linux mal installiert zu haben qualifiziert hier in der Regel keinen. Ist es ein Ausgebildeter Informatiker/System Administrator kann man ihn natürlich zu Hilfe rufen aber bitte nix mit Freunden die mal einen Computer zusammen gebaut haben und sich als Experte darstellen das bringt euch im Endeffekt meistens sogar noch mehr Sicherheitslücken als vorher
Firewall einstellen
Lasst es. Beziehungsweise regelt vielleicht ein paar denys über euer Plesk oder cPanel. Die meisten Hoster haben bereits eine halbwegs ordentlich eingestellte Firewall für euch. Wenn ihr euch unsicher seit ladet euch einen Portscanner und testet euren Server auf offene Ports und schließt ungewünschte in Plesk (z.B. MySQL und Samba Windows File Sharing sind sehr oft offen ist mir aufgefallen). Lasst es mit der Shell bitte bleiben.
So Ich hoffe ich konnte ein bisschen Anregungen geben. Bitte fasst das hier nicht als umfassendes und 100% Sicherungskonzept auf. Es handelt sich um relativ einfach bewältigende Aufgaben um zumindest die Standard Attacken einwenig einzudämmen und das Risiko zu dämpfen. Also nocheinmal wer rein möchte schafft dies auch.
Ob die Wahl eines vServer nun richtig ist liegt bei euch und ist euer Risiko aber bitte bringt etwas Eigeninitiative und Lernbereitschaft mit. So ein Server ist eine tickende Zeitbombe bei laienhafter Benutzung. Seit Ihr euch darüber im Klaren könnt ihr weiterlesen. Falls euch das bereits langweilt lasst es einfach mit dem Server.
Mail Schleuder Risiko minimieren
Unglaublich aber wahr innerhalb von Sekunden könnt ihr als Spam Schleuder enden. Deshalb solltet ihr zuerst ein Mal einen Test auf Open Relay starten (http://www.mailradar.com/openrelay/). Open Relay bedeutet das jeder euren Mail Server selbst ohne Login nutzen kann. Sehr gerne für SPAM genutzt. Bekommt ihr dort einen Fehler schleunigst herunterfahren und erst einmal Recherchieren wie ein Open Relay wieder geschloßen werden kann.
Zweiter Punkt den Ich immer häufiger Beobachte die Attacken auf z.B. courier pop und imap. Dabei lässt sich die Anzahl der Attacken deutlich reduzieren in dem z.B. nur ssl genutzt wird. Dazu einfach /etc/courier/pop3d und /etc/courier/imap die Einträge : ..START=NO damit starten pop3 und imap schonmal nicht. Als nächstes einfach /etc/courier/pop3-ssl und imap-ssl öffnen .. START = YES und .._TLS_REQUIRED=1 damit werden schon die meisten Angriffe verhindert da seltener meiner Erfahrung nach SSL Angriffe gestartet werden. Natürlich auch keine Sicherheit aber zumindest nutzt ihr und eure Benutzer jetzt auch Verschlüsselung beim Mail Abrufen und damit schützt Ihr euch auch selbst vor Account Diebstahl ein wenig. Am Ende übernehmt ihr die Einstellungen mit service courier-imap restart. Ihr könnt auch die Standardports ändern und z.B. gen 1000 legen aber vergesst euer E-Mail Programm dabei nicht, das will auch eingestellt werden.
Apache ... Wordpress
Sehr gerne wird einfach der Apache der Standard (Plesk Konfiguration) genutzt und schon stehen Tür und Tor offen für die Scriptkiddies. Was wollen wir nun zuerst tun? Erst einmal sollte euch bewusst sein das Apache gerne mit mod_php läuft, das bedeutet das auch alle php Scripte als www-data Benutzer laufen. Schlechte Idee. Als stellt hier erst einmal auf Php als Fast-CGI um. Viele von euch Nutzen Plesk deshalb hier kurz die Erklärung -> Einloggen in Plesk -> Website&Domain -> Domain anklicken dann könnt ihr PHP unten als Fast-CGI auswählen. Damit läuft php dann auch als eigener User.
Als nächstes wäre eine Möglichkeit sich mit mod_security modul einzuarbeiten. Das ganze geht relativ simpel aber gerade die PHP Buden wie WordPress und phpBB3 haben gerne Probleme damit. Dafür schützt es schon einwenig vor XSS, SQL-Inj. und so weiter. Bitte googlet es, irgendwann seit Ihr dankbar es zu haben natürlich bietet das auch keine 100% Sicherheit aber viele Angriffe sind nunmal auf ungeschützte Ziele ausgelegt. Wer reinkommen will findet immer einen Weg.
Was nun noch? Wordpress ist ein mächtiges Tool aber auch hier gibt es gerne Angriffe auf die Admin Oberflächen oder SPAM in Kommentaren.
Gegen den SPAM habe ich gute Erfahrungen mit dem Plugin "MP Spam be Gone" gemacht es gibt aber sicherlich Alternativen. Als zweites solltet ihr mal eure wp-config.php öffnen und den Admin Bereich mit SSL laufen lassen.
Fügt die Zeile : define('FORCE_SSL_ADMIN', true);
gleich nach dem <?php hinzu. Dasselbe geht natürlich auch für andere CMS und sollte meiner Meinung nach immer gemacht werden.
Ich will Gameserver, TS3 .....
Auch hier gibt es einige Sachen zu beachten,
erstens immer einen eigenen Linux User dafür erstellen niemals mit root die Sachen laufen lassen. Sonst ist die Bude ganz schnell nich mehr eure. Wie man einen Linux user anlegt setze ich hier einmal vorraus.
Bei TS3 solltet ihr außerdem Passwörter aussreichender Länge für euren TS Server nutzen (z.B. Clan TS3) sinn und Zweck der Sache in der Regel wollt ihr ja nicht jeden auf dem TS3. Außerdem ist TS3 eine Schöne Fileschleuder und kann zum Filesharen missbraucht werden ohne das ihr es merkt.
GameServer allgemein auf vServern finde ich nur bei guten Ressourcen Garantien halbwegs sinnvoll. Aber das könnt ihr entscheiden.
DenyHosts
Tja kaum ist der Server online fliegen schon die ersten SSH Attacken ins Haus. Wie kann man zumindest die Wörterbuch Attacken etwas minimieren? Richtig mit einem Tool wie z.B. DenyHosts. Selbst in der Standard Installation ist DenyHosts schon halbwegs brauchbar. http://wiki.carrot-server.com/userdokus/denyhosts_einrichten
Hier mal ein Link. In der Regel sperrt man über ssh auch gleich den root User mit aus und legt sich stattdessen einen normalen Benutzer an und loggt sich dann im Terminal auf den Root wenn man ihn denn braucht.
in der /etc/ssh/sshd_config:
AllowUsers [username]
oder:
AllowGroups users
Damit kann man sshd Zugang nur für die genannten Benutzer/Gruppen zulassen. Ich empfehle dafür auch etwas andere Namen zunutzen die nicht in Wörterbüchern stehen anstelle von webmaster, gameserver oder sonstige Namen für Benutzer.
Passwörter
Eigentlich sollte es mit gesunden Menschverstand klar sein aber viele vergessen einfach ein Server ist keine E-Mail Adresse. Passwörter sind hier unglaublich wichtig. Im Notfall schreibt es euch an eurem Computer auf PAPIER und legt es neben euch. Sobald ihr es auswendig gelernt habt verbrennt das Papier . Aber mal im Ernst nutzt ordentliche Passwörter unter 12 Zeichen sowieso nicht und schon gar nicht normale Wörter wie MeineKatzeIstToll <-- Selbst wenn das ja sogar schon etwas länger dauert.
Am besten wären natürlich 20 Zeichen bestehend aus Zeichen, Zahlen und Sonderzeichen. Im Notfall lasst ihr euch über einen Passwortgenerator ein paar mit entsprechender Länge generieren und nutzt das wenn euch nix einfällt.
Das Gilt übringens auch eure Mail/FTP sonst was Accounts auf dem Server!
Updates, updates, updates
Die Updates eurer Distributionen sind keine Spaß an der Freunde updates hier geht es um Sicherheit selten um neue Funktionen. Deshalb nutzt sie. Wenn schon keine Security mailing Listen durchgeschaut werden haltet eurer System wenigstens aktuell. Die meisten ausgenutzten Sicherheitslücken kommen von alten Paketen.
Bei Debian z.b. reicht einfach: apt-get update && apt-get upgrade
Logs
Auch wenn ihr nicht alles versteht schaut öfters unter /var/log nach und sucht nach massenhaften Fehlermeldungen/E Mail versand/Login etc.
Habt ihr Bedenken postet es. Mit Logs kann euch immer geholfen werden bei Fragen. Mit der Zeit versteht ihr dann auch was da steht.
Ich glaube ich bin Opfer geworden
Fahr die Bude herrunter und fertig.
Es gibt kein Warten bei ich Glaube. Bis das Gegenteil bewiesen ist Bude unten lassen. Es macht keinen Sinn, Auch nicht für Backups hochfahren etc. Die Bude bleibt unten Basta. Auch wenn ihr denkt ihr bekommt es hin lasst es einfach. Lieber ein Kontakt zum Support falls es um wichtige Daten geht und eine Analyse durchführen lassen. Die kennen sich aus und schließen für euch auch Sicherheitslücken das wird auf jedenfall günstiger als eine Klage.
Aber mein Freund kennt sich damit aus ...
In der Regel kann man sagen euer Freund hat keine Ahnung. Ein Linux mal installiert zu haben qualifiziert hier in der Regel keinen. Ist es ein Ausgebildeter Informatiker/System Administrator kann man ihn natürlich zu Hilfe rufen aber bitte nix mit Freunden die mal einen Computer zusammen gebaut haben und sich als Experte darstellen das bringt euch im Endeffekt meistens sogar noch mehr Sicherheitslücken als vorher
Firewall einstellen
Lasst es. Beziehungsweise regelt vielleicht ein paar denys über euer Plesk oder cPanel. Die meisten Hoster haben bereits eine halbwegs ordentlich eingestellte Firewall für euch. Wenn ihr euch unsicher seit ladet euch einen Portscanner und testet euren Server auf offene Ports und schließt ungewünschte in Plesk (z.B. MySQL und Samba Windows File Sharing sind sehr oft offen ist mir aufgefallen). Lasst es mit der Shell bitte bleiben.
So Ich hoffe ich konnte ein bisschen Anregungen geben. Bitte fasst das hier nicht als umfassendes und 100% Sicherungskonzept auf. Es handelt sich um relativ einfach bewältigende Aufgaben um zumindest die Standard Attacken einwenig einzudämmen und das Risiko zu dämpfen. Also nocheinmal wer rein möchte schafft dies auch.