Sicherheitsstrategie??

D

danibert

New Member
Hallo,

mal eine ganz generelle Frage, die sich mir als Anfänger stellt.
Mal angenommen, ich möchte auf meinem Server nur per Browser Webseiten aufrufen und per FTP Files hochladen können. Auch mal angenommen, ich schließe alle ports, bis auf Port 80 und 21.
Weiter spiele ich regelmäßig alle System-Updates ein und achte auf Dinge wie PHP save_mode.

Hätte ich dann nicht ein sicheres System, daß trotzdem macht was es soll?

Danke im Voraus
Danibert
 
Den ssh Port moechtest du bestimmt auch offen lassen.

Wenn du nur html Seiten nutzt (kein Perl, PHP, SSI), dann ist es einigermassen sicher (Updates vorausgesetzt).
Sichere Passwoerter brauchst du natuerlich auch.

100prozentig ist der Schutzt natuerlich nicht. Aber je weniger Softwaere auf dem Server laeuft, desto "schwieriger wird es, Loecher zu finden.


Hätte ich dann nicht ein sicheres System, daß trotzdem macht was es soll?
Click to expand...
Pauschal erst mal nein. Ein Server ist nur vor Hacking sicher, wenn der Netzstecker gezogen wird :)
 
danibert said:
Auch mal angenommen, ich schließe alle ports, bis auf Port 80 und 21.
Click to expand...

Meist will man noch DNS (Port 53 TCP und UDP) zur Namensauflösung.

Weiter spiele ich regelmäßig alle System-Updates ein und achte auf Dinge wie PHP save_mode.

Hätte ich dann nicht ein sicheres System, daß trotzdem macht was es soll?
Click to expand...

Grundsätzlich ist das richtig. Allerdings hängt die Sicherheit eines Systems mit PHP stark von den eingesetzten Scripts ab. Ein unsicheres Script kann trotz aktiviertem safe_mode Schaden anrichten. Da können weitere Massnahmen wie das Verbieten der Funktion "url_fopen", das Entziehen des Execute-Rechts auf wget für den Apache-User, das Mounten von /tmp mit der Option noexec oder mod_security helfen. In erster Linie aber solltest Du eingesetzte Scripts so schnell wie möglich nach Bekanntwerden einer Lücke updaten.
 
Un meist will man auch noch weitere Non-Privileged Ports für FTP, da sonst nur PASV Ftp möglich is ... ;) Aber nur die Ports schließen bringt nix, weil was bringt ein offener Port wenn eh kein Dienst darauf lauscht?
 
Hallo,

danibert said:
ich schließe alle ports, bis auf Port 80 und 21.
Click to expand...
die Mühe kannst Du Dir sparen, wenn nichts drauf lauscht ist ein Port ohnehin "zu", und wenn's ein Außenstehender schafft, was drauf lauschen zu lassen ist die Neuinstallation ohnehin fällig.
achte auf Dinge wie PHP save_mode.
Click to expand...
Der war noch nie wirklich safe, und kürzlich wurde wieder ein Loch gefunden mit welchem der Safemode umgangen werden kann.

PHP bzw die damit programmierten Scripts sind das Hauptproblem, und gegen unsichere Scripts hilft nix, (erst recht keine Firewall), außer Korrekter und sicherer Programmierung.

Das Wichtigste überhaupt, ist sich regelmäßig um den Server zu kümmern, regelmäßig Updates einzuspielen und regelmäßig geeignete Foren und Mailverteiler zu lesen um schnell über neue Bugs informiert zu werden, insbesondere in den eingesetzten PHP-Paketen.

Einen Server einmalig absichern und das war's dann geht nicht, er ist (bestenfalls) solange sicher, bis das nächste Update erforderlich ist.
 
OK, das scheint doch komplizierter zu sein als ich dachte.
Ich glaube es wird besser sein, wenn ich mich für ein gemanagtes System entscheide.
Trotzdem danke für Eure Hilfe.
 
Wer würde sich darum kümmern, also Serverpflege, Sicherheit etc.?

Es ist ein bestehender ded. Server.

Und was würde das kosten?
 
Hallo,

am kostengünstigsten der Provider indem man einen managed Server bestellt (sofern darauf die benötigten Anwendungen möglich sind).

Ansonsten gibt es Leute die leben davon, daß sie Server betreuen, dürften aber nicht wesentlich unter 50 Euro die Stunde zu bekommen sein.
 
Hi,

managed is klar soweit. Hab aber unmanaged und suche noch jemanden der mir die betreut.

50€ / Stunde? Leuchtet mir nicht ganz ein, wie meinste das, reine Arbeitszeit oder alle Stunden im Monat? Also 24x30x50=36k / Monat...das kann nich sein, soviel weiss ich. :)

Also ich arbeite bereits mit einem zusammen der Server betreut und der is 18 Stunden täglich online, hat so 3 Monitore laufen. Auf einem läuft die Überwachung für alle Server die er betreut, auf dem anderen arbeitet er und der dritte zeigt eben irgendwas an.. :)

Das ist sein Fulltimejob und damit verdient er nicht schlecht, abgerechnet wird pauschal / monatlich.

Jemanden der so arbeitet suche ich noch, das ist was ich meine, falls ich mich da falsch ausgedrückt haben sollte.
 
Hallo,

ich meinte natürlich 50 Euro je echter Arbeitsstunde, die er tatsächlich an deinem Server arbeitet.

Ein Angestellter arbeitet ca. 145 Stunden im Monat (40-Stunden-Woche, Urlaub, Feiertage, krank umgelegt). Rechnet man den Arbeitgeberanteil zur Sozialversicherung und die Betriebskosten (Büro usw) ab, steht der Selbständige mit 50 Euro die Stunde etwa gleich da wie ein Angestellter mit 5000 Euro Bruttogehalt bzw 4300 wenn man davon ausgeht, daß in den 50 Euro die MwSt enthalten ist.

In der Praxis weniger, weil der Selbständige nicht jede Arbeitsstunde abrechnen kann, die Zeit für seine Buchführung, Kundenwerbung und Fortbildung und noch vieles andere mehr kann er keinem Kunden auf die Rechnung schreiben, also steht er bei 50 Euro die Stunde entweder da wie ein Angesteller mit 3000-3500 Euro / Monat brutto, oder er arbeitet mehr als der Angestellte.

Kein Server braucht Rund-um-die-Uhr-Überwachung durch einen Menschen, tägliche Kontrolle und Updates bei Bedarf schafft ein geübter aber die Sache genau nehmender Hobbyadmin in ca. 20 Monatsstunden, der Selbständige der den ganzen Tag nichts anderes macht und verschachtelt arbeiten kann (beim nächsten Server Logfiles lesen während der andere compiliert) dürfte mit 10 Stunden auskommen.

Macht nach meiner Kalkulation also grob über den Daumen 500 Euro im Monat pauschal - was verlangt der Dir bekannte Serverbetreuer?

Auch wenn der ganz anders kalkuliert und mit Miniverdienst zufrieden ist, teurer als der Aufpreis für einen managed Server ist ein indivueller professioneller Servermanager immer.
 
Hallo,

hatte den Thread hier nicht abonniert, dachte schreibt keiner - daher späte Antwort. :)

Also ich zahle 300€ / Monat pauschal und habe 2 Server die er betreut.

Allerdings passiert bei mir auch (fast) nie etwas, sodass kaum Arbeitsleistung anfällt.

Ab und zu updated er was und wenn ich was installiert haben will auf dem Server ist das innerhalb einer Stunde getan.

Wenn bei mir nun mehr zu tun wäre monatlich als die paar Stunden würden wir den Pauschbetrag einfach erhöhen aber so sind wir beide zufrieden.

Geht mir mehr um das Prinzip Sicherheit, wenn mal was ist, hab ich jemanden der den Server immer betreut, daher gleich weiss was los ist und etc. und Handlungsfähig ist.

Davon abgesehen suche ich noch jemanden der Serverseitig ab und zu Scripte installiert und vielleicht auch eigene nach exakten Vorgaben Coden kann, alles auf Auftragsbasis.

Grüsse
Hermes
 
Last edited by a moderator:
Moin Hermes,

um welche Scriptsprache handelt es sich? (Frage bezieht sich auf Deinen letzten Satz).

Grüße,
marneus
 
You must log in or register to reply here.
Back
Top