• This forum has a zero tolerance policy regarding spam. If you register here to publish advertising, your user account will be deleted without further questions.

Unsicher ob vServer das richtige ist

Anonymouse

New Member
Schönen Guten Tag miteinander,

ich hoffe ich hab hier das richtige Forum für mich gefunden :) Hab mich schon einmal etwas eingelesen, schaut ganz gut aus bisher.

Es geht um folgendes.

Ich bin Admin eines Clans und möchte folgendes zur Verfügung stellen:

- Homepage mit CMS
- vBulletin 3.8.3 Forum
- TeamSpeak 3 Server

Derzeit habe ich das Forum auf einem "normalen" Webspace liegen und auch installiert. Läuft soweit super, Homepage wird auch hier zur Verfügung gestellt.

Ich habe einem TeamSpeak 3 Server bei 4Players gemietet mit 50 Slots für 14€ monatlich. Hier stößt mir aber sauer auf das man hier das Banner nicht verändern kann, schlimmer ist noch das 4 Players in diesem banner Werbung für sich macht. Ich sehe es nicht wirklich ein etwas monatlich zu bezahlen, und trotzdem Werbung bezahlen zu müssen. Außerdem wird das ganze mit der Zeit ziemlich teuer da der Preis mit steigender Slotanzahl natürlich steigt. So würden 150 Slots bereits 26€ monatlich kosten, auch wieder mit der Werbung...

Nun habe ich etwas recharchiert und bin auf die Idee eines eigenen vServers gestoßen. Genauer bin ich bei netcup hängen geblieben.

vServer Neptun Pro
vServer Uranus Pro

Warum Pro? Weil ich hier Snapshots anlegen kann. Bei ersten Angebot einen, beim zweiten zwei :D
Als OS würde ich denke ich zu einem Ubuntu minimal greifen. Mit 2008 R2 kenne ich mich zwar etwas besser aus, aber ich denke Linux ist allgemein schon was sicherer und stabiler.

Ich habe mir vorab einmal einen 4 Tage Testserver bei Server4you gemietet und mal nen bissl rumprobiert, lief auch alles soweit. Gibt ja genügend HowTos zur TS3 Installation.
Zur Sicherheit würde ich das Forum und die Homepage allerdings seperat hosten, einfach um so wenig Dienste wie möglich auf dem vServer laufen zu lassen und damit Ports geschlossen zu halten.

Natürlich wäre die vServer Lösung die günstigste und individuellste. Hier hätte ich 512 Slots (TS3 non-profit Lizenz) für gerade einmal 9€ monatlich :eek:

Nun die eigentliche Problematik. Ich wäre ja verantwortlich für die gesamte Kiste, und ich hab noch etwas Bauchschmerzen dabei was das absichern angeht. Daher wollte ich mal hören was Ihr dazu meint.
Bisher schweben mir folgende Maßnahmen vor:

  • SSH Port umlegen auf einen anderen Port
  • weiteren Benutzer anlegen und root SSH Zugang verbieten
  • ggf. SSH Zugang per Public Key
  • TeamSpeak 3 Port umlegen
  • weiteren Benutzer anlegen unter dem TeamSpeak 3 läuft.
  • Mit der Anbieterfirewall alle Ports droppen außer den 3 benötigten (SSH, Teamspeak, Teamspeak FileTransfer)
  • Linuxdistribution aktuell halten
  • TeamSpeak 3 Server aktuell halten
  • Einsatz von fail2ban
  • SSH Zugangsversuche auf 10 limitieren


Was meint Ihr allgemein dazu? Insbesondere zur Absicherung des Servers?

Vielen Dank schon einmal für eure Unterstützung!

Schönen Gruß
Anon
 
Last edited by a moderator:
Wenn auf dem vServer wirklich nur TS und SSH laufen und du deine Linuxkenntnisse noch ein wenig erweiterst/aktuell hältst, sehe ich da keine Probleme.

Das Haupteinfallstor für Hacker sind imho Webserver(vor allem PHP), Mailserver, FTP...
In SSH selbst gab es meines Wissens bisher erst einmal eine Lücke.


Die Hauptgefahr dürfte sein, dass der vServer, der ja eh vorhanden und wohl kaum ausgelastet ist, schnell mal für mehr benutzt wird...hier n Webserverchen...da die ersten Versuche mit nem Mailserver...
 
Hi,

naja SSH muss ja laufen oder wie soll ich das Ding sonst warten? ^^

Wenn ich mal mehr machen möchte, kann ich jederzeit auf ein größeres Angebot switchen. Aber ich denke erstmal geht es um ein stabiles TeamSpeak zu einem vernünftigem Preis.

Ich tendiere derzeit zum kleinen Server mit 1Ghz und 1GB RAM, sollte reichen für Teamspeak denke ich. Allerdings kann ich hier nur einen Snapshot anlegen und hab eine zahlungsperiode von 3 Monaten.
Bei dem nächst größeren hätte ich 2 Snapshots und 1 Monat Zahlungsperiode.

Schönen Gruß & Dank
Anon
 
Ganz grundsätzlich erstmal kann ich netcup sehr empfehlen, leistungsstarke Produkte und der Support ist nicht schlecht.

Meine Frage wäre jetzt: Wieso brauchst du Snapshots? Der Grund dafür liefert sicher auch die Antwort auf die Frage ob das sinnvoll ist.

Mit drei Monaten Laufzeit oder Zahlungsintervall kann man bei den Preisen meiner Meinung nach leben. :)


Grüße
 
snapshots sind nie verkehrt ^^ So kann ich immer wieder auf einen Stand zurück wenn ich mal was versaubeutelt habe :D
 
Sicherheit ist keine Liste, die man abarbeitet und gut ist. Um einen hohen Grad an Sicherheit herzustellen, musst du wirklich wissen, was es für mögliche Angriffe gibt, was warum wie auf deinem Server genau passiert und wie man sich unter den gegebenen Umständen absichert. Es ist offensichtlich, dass dafür eine Menge Erfahrung mit den eingesetzten Technologien erforderlich ist.

Ich halte es für fahrlässig zu sagen, wenn du keine Websites betreibst, wird das schon passen. Richtig ist, dass du dann um einiges weniger absichern musst. Aber es kann immernoch passieren, dass nächste Woche eine neue Lücke oder ein neuer Angriff bekannt wird, der dich betrifft. Und dann musst du einfach sicher mit deinem Server regieren können.

Den Webspace würde ich auf jeden Fall behalten. Das spart dir unendlich viele Nerven. Für Teamspeak würde ich mich einfach nochmal umsehen, ob es nicht irgendwo bessere Anbieter gibt. Falls du wirklich mit einem eigenen Server starten willst, nimm dir unbedingt vorher richtig viel Zeit zum üben. Spiele alles zu Hause auf einem alten PC oder in einer VM durch. Besorg dir Bücher und lerne Linux wirklich zu verstehen. Du wirst selbst merken, wann du wirklich verstanden hast, wie das alles funktioniert. Dann kannst du an der 100MBit/s Leitung starten, ohne in kurzer Zeit viel Ärger zu haben.
 
Ich schliesse mich PapaBaer an: Die sinnvolle Erstinstallation ist eine Kiste, kontinuierlich dranbleiben und den Level halten eine andere.

Keine Ahnung, in welcher Lebenssituation Du gerade bist, jedoch solltest Du Dich jetzt schon fragen, was passiert, wenn Du

• keine Zeit mehr hast
• keine Lust mehr hast
• oder anderweitig verhindert bist

Was passiert dann mit dem vServer? Wer reagiert auf Probleme? Wer bekommt überhaupt noch administrativen Zugang? Was passiert mit dem Vertragsverhältnis?
 
Servus,

also ich würde dann wöchtentlich nach Updates schauen und mir mal die logs ansehen.

\\€dit: Was wären den noch Maßnahmen die man treffen könnte und sollte.
Ich hab auch nicht gesagt das ich sicher bin ohne Webdienst, aber umso weniger Dienste, umsoweniger offene Ports.

Schönen Gruß
Anon
 
Last edited by a moderator:
Wöchentlich Logs lesen reicht nicht. Du kannst dir ja mal kurz ausrechnen, wieviel GB an Daten in einer Woche über einen 100MBit/s-Anschluss gehen.

Es gibt viele Maßnahmen. Manche sind sinnvoll, andere nicht, wieder andere sind nur in deinem speziellen Setup nötig.

Es gibt nur eine wirklich wichtige Maßnahme: Lernen und Verstehen, was vor sich geht, bevor der eigene Server im Rechenzentrum ans Netz geht. Und ja, das dauert leider und geht nicht von heute auf morgen. Diese Geduld solltest du aber im eigenen Interesse aufbringen.
 
Hi,

naja ich weiss nicht ob es wirklich so schwierig ist, hört sich vielleicht alles etwas böser an als es eigentlich ist.

Eigentlich denke ich das wenn ich nur 2 Dienste laufen habe, SSH (über ssh public key) und TS3 und ich max. 3Ports offen habe (SSH, TS3, TS3 ServerQuery) und ich alle anderen Ports zu habe und per Firewall blocke das das ganze schon recht zuverlässig sein sollte.
Grade wenn der TS3 Dienst nicht unter root läuft sollte das ganze schon recht abgesichert sein. Vielleicht pack ich das ganze sogar noch in eine chroot-Umgebung.

Klar sollte ich täglich den Traffic im Auge haben und auch den verbrauchten Festplattenspeicher. Aber ich glaube eigentlich nicht das ich jeden Tag mindestens. 2 Stunden an dem Server verbringen muss :eek:


Schönen Gruß & Dank
Anon
 
Aber ich glaube eigentlich nicht das ich jeden Tag mindestens. 2 Stunden an dem Server verbringen muss :eek:

Lass es mich mal etwas anschaulicher Beschreiben, vielleicht wird es so etwas verständlicher für Dich andere Betroffene:
Ein Server ist wie ein kleines Kind, man muss dafür die volle Verantwortung übernehmen und man muss sich auch intensiv und kompromisslos darum kümmern. Anders als bei Kindern, gibt es für Server keine KiTa, kein unterstützendes Jugendamt und im schlimmsten Fall auch kein Kinderheim. Der Server-Admin muss all diese Aufgaben selbst übernehmen und dafür obendrein auch noch rechtlich geradestehen. Soetwas macht man nicht nebenbei, das ist und bleibt ein 24h-Job, auch wenn es viele Admins leider nicht akzeptieren möchten.

Ja, das ist eine drastische Wortwahl, aber es kommt der Realität nunmal sehr nahe und daran ändert sich auch durch rosarote Brillen nichts.


/me: Vielleicht sollte ich den Vergleich in meinen Artikel übernehmen?
 
Ich als jemand, der aufgrund hier unwichtiger Umstände recht schnell das Administrieren eines Servers lernen musste, will auch mal kurz meinen Senf dazu geben.

Du musst nicht grundsätzlich zwei Stunden am Tag vor der Shell hängen. Wenn doch, machst du vermutlich irgendwas falsch. Du musst schließlich nicht alle Logfiles lesen oder so, denn für alle wichtigen Dinge, die zu überprüfen sind, hast du schließlich in mühevoller Kleinarbeit ein funktionierendes Monitoring aufgesetzt.
Du musst allerdings sehr wohl darauf vorbereitet sein, auf Probleme umgehend zu reagieren. Ein Problem kann ein simples Fehlverhalten wie eine gecrashte Anwendung sein, genauso gut ist es denkbar, dass du morgens um vier aus dem Schlaf gerissen wirst, weil es ein größeres Problem gibt. Ebenso musst du auf bekannt gewordene Sicherheitslücken reagieren (in welcher Form auch immer).

Das Punkt ist: Der Server richtet sich mit seinen Problemen nicht nach deinem Zeitplan. Wenn was ist, musst du ran. ;)


Grüße
 
@Joe User: Auch Kinder werden irgendwann groß und man muss nicht 24/7 bei ihnen sein.

@s24 ich stimme dir hierbei zu.
 
Anders als bei Kindern, gibt es für Server keine KiTa, kein unterstützendes Jugendamt und im schlimmsten Fall auch kein Kinderheim.

Bei einem Server, der - wie hier - zwar produktiv aber nicht kritisch ist, gibt es aber notfalls einen Aus-Knopf.
Dann steht der TS mal für n paar Tage nicht zur Verfügung, aber der Admin muss keine wichtigen Termine/Arbeit absagen, wie es bei einem Kind wäre.


So lange nur ein TS-Server läuft, ist (fast) das einzig Wichtige, dass der Server nicht gehackt wird oder, falls doch, dass du es schnell merkst.
Dafür reicht es imho die Security-Maillingliste deiner Distribution und ggf von Pro-Linux o.Ä. zu abonieren und alle 1-2 Tage mal die Logs checken und Updates zu machen.
 
Bei einem Server, der - wie hier - zwar produktiv aber nicht kritisch ist, gibt es aber notfalls einen Aus-Knopf.
Es gibt keine unkritischen Produktivserver mit Internetanbindung und auch Aus-Knöpfe muss Jemand drücken können, wenn der Admin nicht da ist.
Was passiert denn, wenn der Admin verhindert ist (z.B. Unfall) und Murphy zuschlägt? Wer ist dann verantwortlich und drückt dann den roten Knopf?
Hacker/Cracker nehmen keine Rücksicht auf die Befindlichkeiten des Admins und auch ein TS ist ein sehr lukratives Ziel und hat (un)bekannte Lücken. Von den diversen Libraries (zlib, libpng, libc (ungefixt!) um nur die letzten weitverbreiteten remote-exploitable Lücken zu nennen) oder vom Linux-Kernel und deren potentiellen Lücken fange ich gar nicht erst an.

Sorry, aber Server sind keine Spielzeuge!
 
Eigentlich denke ich das wenn ich nur 2 Dienste laufen habe, SSH (über ssh public key) und TS3 und ich max. 3Ports offen habe (SSH, TS3, TS3 ServerQuery) und ich alle anderen Ports zu habe und per Firewall blocke das das ganze schon recht zuverlässig sein sollte.

Nein! Es ist egal, ob du 2 oder 20 Dienste laufen hast. Wenn dein Dienst abgeschossen wird, musst du professionell reagieren. Es gibt keine absolute Sicherheit. Joe User hat die Bibiliotheken und den Kernel bereits angesprochen. Ja, das betrifft dich in jedem Fall auch. Du denkst nach wie vor, dass du eine definierte Liste runter arbeiten kannst und alles ist gut. Wenn ich hier lese, dass du geschlossene Ports mit einer Firewall blocken willst, dann bestärkt mich das noch viel mehr in der Aussage, dass du erstmal noch viel lernen solltest.

Warum auch nicht? Es ist doch vollkommen normal, dass man erstmal die Theorie lernt. Wieso geht das für dich nicht?
 
Naja,

dann miete ich mir wohl doch lieber nen fertigen TeamSpeak Server für 25€ im Monat :(

Vielen Dank für eure Unterstützung!

Schönen Gruß
Anon
 
hat irgendjemand Statistiken darüber wieviel Prozent der Root und vServer Nutzer schonmal unangenehme Konsequenzen aufgrund ihres Servers zu tragen hatten?

Kennt ihr Berichte, Freunde, Verwandte oder euch selbst, denen sowas widerfahren ist?

Wenn ja, bitte posten.
 
Back
Top