VPS Firewall-allgemeine Sicherheit etc.

D

Don75

New Member
Da unser altes Hostingpaket totaler Mist war, wollte ich auf eine günstige aber auch Preisleistung effizienteren vServer wechseln (unmanaged). Zur Info beim alten Paket zahlten wir 15 Euro und der Server brauchte gut 700ms+ um die html Datei vom Shop bereitzustellen :( (200-600 ms für unserer Homepage die ich simpel mit php geschrieben habe).

Allerdings habe ich leider kaum Wissen und Erfahrung über Linux usw. würde es aber unbedingt gerne lernen, deshalb wäre ich für weitere Lektüre offen.

Ich habe mich schon in den letzten beiden Tagen mit Sicherheit beschäftigt, allerdings bin ich nicht wirklich überzeugt eine ansatzweise "professionelle" Arbeit geleistet zu haben, deshalb bitte ich hier um Rat, um den Umzug etwas zu beschleunigen.

-Zuallererst habe ich mehrere Module die ich nicht unbedingt benötige im Plesk installer entfernt und andere installiert. Zu sehen in den ersten beiden Bildern. Sind noch einige dabei bei denen ich nicht weis ob ich sie brauche.
-Ich habe mehrere kleinere Einstellungen unternommen wie z.b. nur ftps erlaubt, mysql nur vom eigenen Server aus, es gibt nur einen Benutzer (mich) / anderen haben keine Rechte, Symlinks follow eingeschränkt, Begrenzung für ausgehende Emails
-Firewall installiert, allerdings habe ich noch keine Ahnung welche Ports ich hier blockieren sollte dazu auch noch ein Bild von nmap
-Fail2ban mit folgenden Jails (Bild), allerdings weis ich nicht ob die richtigen logs ausgelesen werden.
-Web application Firewall(Modsecurity) - Atomic Basic ModSecurity - ausgewogen
-Habe auch versucht die email mit Virenschutz abzusichern und benutze auch Spam Module. + externe Module wie KernelCare Tool, Opsani scanner, Patchman, Google Authenticator, watchdog installiert.

Aber in großen und ganzen wie man habe ich kaum Ahnung was ich mache, versuche aber so viel wie möglich zu lernen.

Konnte leider noch keine Verbindung über SSH mit PuTTY herstellen, bekomme immer "access denied". Habe auch in Fail2ban unsere ip gewhitelistet so wie in der Firewall. Die angegebene Ip ist unsere Fix Ip und bleibt immer gleich.
Habe auch versucht beide Dienste auszuschalten, vermutlich muss ich die Domain zuerst mit einem SSL absichern ? Lets Encrypt läuft momentan nicht weil in dieser Woche bereits 20 ausgestellt wurden über die vmi__.contaboserver.net domain.

EDIT: Ich würde gerne mehrere Seiten hosten auf diesem Server.

EDIT: ups es gibt noch einen Thread für Sicherheit oO. Könnte der Beitrag bitte verschoben werden.
 

Attachments

  • Unbenannt2.png
    Unbenannt2.png
    23.7 KB · Views: 302
  • Unbenannt3.png
    Unbenannt3.png
    36.7 KB · Views: 269
  • Unbenannt4.png
    Unbenannt4.png
    62.9 KB · Views: 345
  • Unbenannt5.png
    Unbenannt5.png
    40.3 KB · Views: 273
  • Unbenannt6.png
    Unbenannt6.png
    14.8 KB · Views: 281
Last edited by a moderator:
Sorry, aber
Aber in großen und ganzen wie man habe ich kaum Ahnung was ich mache, versuche aber so viel wie möglich zu lernen.
Click to expand...
ist genau das, warum Du sofort auf einen managed-Server wechseln solltest. Oder einen anderen WebHosting-Provider.
 
Für 15 Euro bekommt man sehr gute Hostingpakete, bei denen man sich um nichts kümmern muss.
Stattdessen bürdest Du Dir jetzt zusätzliche Arbeit auf, die Du dann scheinbar nicht einmal vergütet bekommst?

Da bezweifle ich stark, dass Du lediglich 15 Euro im Monat bezahlst, denn Arbeitszeit kostet.
 
marce said:
Sorry, aber ist genau das, warum Du sofort auf einen managed-Server wechseln solltest. Oder einen anderen WebHosting-Provider.
Click to expand...

Ich bin mir sicher dass jeder einmal klein anfangen musste und ich möchte es lernen.

Ich habe schon sehr viele Jahre damit verbracht css html php js usw zu lernen. Möchte auch später selbst Webseiten für Geld erstellen und hosten. Da hilft mir ein Hostingpaket nicht viel, vorallem da mir auch nötige root Rechte dort fehlen um externe Pakete zu installieren.

Orebor said:
Stattdessen bürdest Du Dir jetzt zusätzliche Arbeit auf, die Du dann scheinbar nicht einmal vergütet bekommst?

Da bezweifle ich stark, dass Du lediglich 15 Euro im Monat bezahlst, denn Arbeitszeit kostet.
Click to expand...

Ich lebe für diese Arbeit. Ich träume jeden Tag davon, lerne zu Hause und auf der Arbeit. Das macht mir nichts aus ;D.
 
Last edited by a moderator:
Ok, Lernen ist natürlich ein Motiv. In dem Fall würde ich allerdings erst mal in einer VM daheim spielen, was mehrere greifbare Vorteile hat:

1) Snapshots ermöglichen es Dir, dass Du jederzeit wieder einen definierten Zustand herstellst.
2) Aus 1 folgt dann eben, dass Du sehr leicht Pakete installieren und "spielen" kannst, ohne das Du lange Backups wieder einspielen musst.
3) Fehlerhaft konfigurierte Dienste sind dank NAT nicht ohne weiteres aus dem WAN erreichbar.
4) Es ist sehr leicht, verschiedene Ressourcenszenarien durchzuspielen.
5) Hardware ist ohnehin vorhanden, von daher sind die Kosten extrem gering.

Ansonsten würde ich mir erst einmal Bücher oder Ebooks über Linux kaufen und die entsprechende Dokumentation der gewünschten Distribution lesen. Danach würde ich mich an die einzelnen Services wagen, in dem ich deren Dokumentation lese. Ab hier merkt man dann auch sehr schnell, was alles an Basiswissen fehlt, das Du Dir dann auch aneignen solltest.

Ansonsten wird das hier halt schwer, Dir einen "Einstieg" zu geben, maximal wird man Dir auf spezifische Fragen antworten können aber selbst da wird es häufig so sein, dass Leute keine Lust haben, absolute Anfängerfragen zu beantworten, die häufig schon im Forum behandelt wurden.

Das Hauptproblem sind eben *immer* die fehlenden Grundlagen. Wer solides Basiswissen hat, der erlernt sehr, sehr leicht Neues aber ohne dieses Wissen fehlen Zusammenhänge und meistens endet es mit dem blinden Befolgen von Tutorials.
 
Auch wenn Autovergleiche immer hinken: Aber Du hast Dir gerade ein Auto gekauft, das Du selbst reparieren, tunen und in Stand halten willst. Als Erfahrung kannst Du aber maximal vorweisen, daß Du schon mal ein Auto gewaschen hast. Du hast noch nicht mal einen Führerschein.

... und mit dem Auto, von dessen technischen Innereien und der Bedienung Du keine Ahnung hast willst Du dann auch noch ein Taxi-Unternehmen aufmachen.
 
Webseiten hosten und erstellen werde ich natürlich erst machen, sobald ich mich perfekt auskenne.

Ich habe bereits ein Buch gelesen über Linux und kenne bereits einige Befehle.

Aber momentan geht es mir eigentlich nur um die Sicherheit. Was ich noch tun kann/muss.

Edit:
@Orebor
Ich habe mir vor ein paar Monaten bereits Ubuntu 16 in eine VM gebunden. Allerdings habe ich dort nur in der Konsole herumgespielt. Verzeichnisse rauf runter, Verzeichnisse anzeigen, kopieren verschieben. Nichts bedeutendes =).
Habe aber fast alle Befehle bereits wieder vergessen :(. Wenn ich nicht etwas aktive öfters benutzte tu ich mich extrem schwer es zu merken.
 
Last edited by a moderator:
Sicherheit ist immer eine Mischung aus eigenen Erfahrungen, persönlichen Ansprüchen und dem zu vertretenen Komfortverlust.
Einfaches Beispiel: Man kann den SSH-Port natürlich verschieben und das wird auch die Logs etwas sauberer halten, aber der Sicherheitsgewinn ist IMHO marginal (wer gezielt den SSH-Zugang sucht, wird ihn auch auf einem anderen als dem Standard-Port finden). Einige schören darauf, anderer nicht - ich gehöre zu letzteren Gruppe und nutze die Key-Authentisierung statt eines Passworts.
DIese Liste mit Beispielen läßt sich beliebig fortsetzen...
Für mich wichtige Punkte sind:
- zeitnahe Updates (täglich)
- Konfiguration von außen ereichbarer Dienste so restriktiv wie möglich und so offen wie notwendig.
- regelmäßige Logchecks (täglich) - hier gibt es gute Programme, die diesen Job einfach machen
- bei Bedarf zusätzliches Monitoring der installierten Dienste auf Auffälligkeiten
Firewall und Virenscanner stehen übrigens ganz am Ende der Liste...
 
Ok, danke.
Backup planer hab ich momentan wöchentlich gesetzt.
Bringt es was den ssh port zu verschieben wenn nmap die ports in wenigen sekunden abcheckt ?

Ich habe ssh zugang in meiner Firewall eigentlich nur für meiner ip zugelassen. Muss ich eventuell den port seperat auch nur für meine ip öffnen ? Denn bei nmap steht er ist offen,bzw ist das noch notwendig wenn ssh selbst nur für meine ip funktioniert.

Edit: Achja die Ports durch nmap werden ja über meiner ip geprüft.

Meinst du fail2ban, als Log checker ?
Mit ausen erreichbare Dienste meinst du sftp -stmp - postfix pop3 usw ?

Ich denke auch dass es auf kurzer zeit nicht viel helfen wird dutzende von büchern usw zu studieren. Denn um ein guter admin zu sein sind mehrere Jahre an Erfahrung notwendig. Aber ich denke wenn ich die software aktuell halte und mit den kleinen Änderungen ist bereits viel getan ?
Ich kann mir kaum vorstellen dass heutzutage viele noch rumsitzen und den ganzen tag Befehle in die cmd knallen.
 
Last edited by a moderator:
root sftp deaktivieren bei aktivierten root ssh möglich

Ich wollte nicht einen weiteren Thread öffnen.

Ist es möglich den root sftp zu deaktivieren, aber dennoch root Zugriff über SSH zu ermöglichen.

Denn ich möchte sftp nur einen Benutzer erlauben, der nur auf den Hosting Pfad bzw Ort an dem ich die Seiten hoste Zugriff hat.
In das Root Verzeichnis muss ich sowieso nur über ssh.

Bzw ist ssh und sftp das selbe ?

(hab heute nur 3 stunden geschlafen, sorry wenn mein Ausdruck etwas Konfus ist =))
 
SSH-Login für Root komplett verbieten und per SSH mit einem unpriviligierten User einloggen. Danach kannst du dir dann die Root-Rechte mit su oder sudo holen.
 
danton said:
SSH-Login für Root komplett verbieten und per SSH mit einem unpriviligierten User einloggen. Danach kannst du dir dann die Root-Rechte mit su oder sudo holen.
Click to expand...

Vielen Dank für den Tipp,
das habe ich bereits gemacht.

Aber der neu erstellte Nutzer hat eben auch root und ich möchte root sftp für diesen verbieten und nur Zugang über SSH(root) gewähren, falls das möglich ist.
 
Wenn dein neuer Benutzer sofort root-Rechte hat, ist es kein unpriviligierter Benutzer. Du sollst einen unpriviligierten Benutzer nehmen - mit su kannst du dann zum Root-User wechseln. SFTP ist dann nur mit den normalen Userrechten möglich.
 
danton said:
Wenn dein neuer Benutzer sofort root-Rechte hat, ist es kein unpriviligierter Benutzer. Du sollst einen unpriviligierten Benutzer nehmen - mit su kannst du dann zum Root-User wechseln. SFTP ist dann nur mit den normalen Userrechten möglich.
Click to expand...

Ist er schon, bzw ich muss in die Konsole su und anschließend das Password eingeben um Root zu bekommen, aber dennoch kann ich über FileZilla mit diesen Benutzer in das Root-Verzeichnis wechseln.

Edit: Achso aber ich kann keine Datein hochladen bearbeiten etc.
Richtig ?
 

Attachments

  • Unbenannt.png
    Unbenannt.png
    25.8 KB · Views: 247
Last edited by a moderator:
You must log in or register to reply here.
Back
Top