vServer-eine tickende Zeitbombe, oder nur Panikmache?

[Muluske]

Hallo!
Es gibt eine Menge Leute, welche einen vServer mieten oder gern einen vServer mieten würden.
Kein Wunder, bei diesen tollen Preisangeboten gegenüber Webspace und noch dazu unabhänig und man kann (fast) machen was man will-eben ein echter Admin sein.
Und wenn keine Benutzersoft dazugeliefert wird, kann man diese nach ein paar Minuten Einlesezeit auch noch mehr oder weniger schnell installieren, gehts in die Hose installiert man eben mal schnell den vServer neu-ist ja alles kostenlos!
Soweit das Schöne...
Viele gestandene Admins hier in diesem Forum warnen allzu oft vor den Gefahren, welche auf einen vServer-Besitzer zukommen können, wenn es alleine nur um das Thema absichern geht.
Horrorzenarien werden hier berichtet von Millionenforderungen und letztlich auch Knast, wenn man nicht die nötige Kohle hat.

Es stellt sich nun die Frage was kann es nun wirklich bedeuten, sich einen vServer zu mieten?

Viele teilen die Ansicht, das man einen (v)Server nicht zu 100% sicher vor äußeren Bedrohungen machen kann, somit ist für jeden hier die Gefahr, dass man irgendwann zum Straftäter wird...egal ob Noob oder Profi.
Es gibt viele Anleitungen, auch hier, somit sollte man doch meinen, dass ein Angriff zu 99% abgewehrt werden kann.
Doch muß wirklich alles sein und wird nicht bei dem Thema Sicherheit zum Teil etwas übertrieben?
Hier geht es aber ersteinmal nicht darum, was alles passieren kann und wielange man mit irgendwetwas Erfahrung hat.

Schön wäre mal gerade auch für Neulinge eine Art Checkliste zu erstellen, was notwendig ist um auch mit wenig Erfahrung einen vServer zu betreiben und mit diesem zu wachsen.
Vielleicht könnten hier gerade mal User, welche noch nicht so lange einen vServer betreiben berichten, was sie für die Sicherheit unternommen haben und unternehmen.
Gibt es auch User, welche durch mangelnde Sicherheit und den daraus entstandenen Schaden schon zur Rechenschaft gezogen wurden?

Berichtet doch einfach mal eure Erfahrungen...

 

[Lord Gurke]

Es gibt so ein paar Grundregeln und dann noch erweiterte Features, um die Kiste noch etwas mehr abzusichern.

Erstmal sollten natürlich nur die Dienste laufen, die auch wirklich laufen sollen. Wenn ein Dienst garnicht gestartet ist, ist er auch nicht anfällig für Angriffe.
Das passiert gerne mal, wenn man rumexperimentiert und hier und da was installiert und hinterher völlig vergisst, dass da Software XY in der Uralt-Version von siebzehnhunderpiefendeckel läuft.

Dienste die zwar laufen, aber nicht von außen erreichbar sein sollen, kann man entweder (wenn sie es denn unterstützen) direkt an die 127.0.0.1 binden (damit lauscht das Programm nur noch dort und nimmt keine Anfragen von außen entgegen) oder man baut eine Firewall davor. Oder am Besten beides.

Unter Linux sollte man den SSH-Zugang zusätzlich dadurch absichern, dass niemals der Benutzer root sich direkt anmelden kann - denn den Benutzernamen kennt jeder
Lieber einen eigenen, unpriveligierten Account anlegen und bei Bedarf mit "su" zum Root machen - der Account sollte aber natürlich dennoch ein vernünftiges Passwort haben!

Unter Windows kann man den Benutzer "Administrator" ebenfalls über die Gruppenrichtlinien umbenennen, das erhöht auch die Sicherheit etwas.

Das Logfile schonen kann man, indem der SSH- bzw. RDP-Port verlegt wird. Die meisten automatisierten Einbruchversuche werden damit an einem vorüberziehen und müllen definitiv nicht das Logfile zu.


Wer auf Nummer Sicher gehen will, kann auch zusätzlich so bekannte Befehle wie "wget", "w3m", "lynx" u.s.w. einfach umbenennen. Das hilft gegen bösartige Scripte, die über exakt diese Wege versuchen, sich Futter aus dem Netz nachzuladen. Statt wget gibt man dann eben wehgett oder 4711-wget o.ä. ein - der Phantasie sind keine Grenzen gesetzt.
Zusätzlich könnten ausführbare Dummy-Dateien unter den originalen Namen angelegt werden, dann merkt ein Script garnicht, dass da was fehlt

Falls du z.B. Freunden/Verwandten/Bekannten FTP- oder Mail-Accounts anlegst, solltest du auch hier immer mahnend sichere Passwörter fordern - notfalls mit Gewalt in Form von Komplexitätsprüfungen.
Was nützt dir ein supersicher konfigurierter Mailserver, wenn jemand das Passwort "geheim" zum Abrufen der E-Mails nutzt und dieser Account dann missbraucht wird?


Achja: Und zwischendurch mal durch ein paar Logfiles stöbern macht mitunter langweilige Fernsehabende etwas spannender und gibt dir einen kurzen Überblick über das Geschehen auf dem Schlachtfeld.
Für fast alle Serverdienste gibt es außerdem interessante Monitoring-Tools, die dir wundervolle Graphen erstellen können. Auffällige Nadeln sollte man sich dann mal genauer angucken

Hier spreche ich aus Erfahrung. Nachdem das ultraschwere 4-Stellige Passwort des FTP-Accounts eines Kollegen geknackt wurde, war der Server fast zwei Tage lang eine Zero-Day-Warez-Schleuder. Aufgefallen war das eigentlich nur durch die Tatsache, dass der Traffic auffällig in die Höhe ging und dieser eine FTP-Account fast zu 100% daran Schuld war. Auf solchen Graphen sieht man eben viel besser mal eben schnell, ob alles im normalen Bereich liegt.

 

[Valentin]

Ich finde im Allgemeinen, dass man nicht vorsichtig genug sein kann, wenn es um Server geht (insbesondere bei Kundenservern).

Die Panikmache ist also in meinen Augen gerechtfertigt, denn tatsächlich ist es so, dass sich mittlerweile "jedes Kind" durch Exploits und Co. Zugriff zu Servern verschaffen kann. Auf Deutsch: Wenn man Pech hat, kann jemand ohne große Kenntnisse und ohne viel Aufwand den eigenen Server knacken.

Von daher ist es definitiv gerechtfertigt, wenn wer in einem Forum postet
"Hallo, ich habe keine Ahnung, aber seit heute einen vServer mit Linux!"
und entsprechende Antworten von der Community kommen.
Die Community will den Anwender dann nicht nieder machen, sondern nur vor sich selbst schützen.

Das Rechtliche ist so eine Sache (ich kann hier keine Rechtsberatung geben), denn du bist für deinen Server verantwortlich und wenn sich wer Zugriff verschafft und beispielsweise bestimmtes Schmuddelmaterial hoch lädt, dann musst du dir später schon unangenehme Untersuchungen/Fragen gefallen lassen.

Eine Checkliste.. hm.

- BEVOR man sich einen vServer holt erst einmal auf dem eigenen Rechner üben, man kann sich ja eine VM mit Virtual Box und Co. anlegen.
- Lernen, wie man das OS administriert.
- Sich darüber klar werden, was man mit dem Server machen möchte und sich entsprechend informieren: Wie schütze ich die Kiste richtig?
- Aktuell halten, aktuelle Security-Seiten lesen und überprüfen, ob nicht von dir eingesetzte Software seit kurzem Sicherheitslücken aufweist oder ein Bug gefunden wurde.
- Firewall, bestimmte Filter/Blockmechanismen installieren (z.B. falls notwendig Fail2Ban oder mod_evasive).
- SSH-Port verlegen und sichere Kennwörter verwenden.
- Regelmäßige Überwachungen der eigenen Dienste, wie Lord Gurke schon schreibt. Log-Files ständig prüfen.
- Ruhig mal selbst versuchen, den eigenen Server zu "hacken" und Penetration-Tests durchführen.
- Und und und...

Ich hoffe, das hilft dir zumindest ein klein wenig weiter. Die Liste ist bei weitem nicht vollständig, aber hier im Forum gibt es genug erfahrene Administratoren, die sicherlich noch den ein oder anderen Tipp geben können.

 

[Thorsten]

Hallo!
Ich vermisse immer eine gewisse Differenzierung bei Neulingen im Servergeschäft. Es ist nichts schlimmes, wenn man sich einen Server mietet (ich unterscheide hier auch nicht zwischen Root- oder Dedicated Servern und sog. vServern). Oft wird vom fragenden das Argument man könne schließlich nicht alles wissen und jeder hätte mal klein angefangen gebracht. Absolut legitim - entscheidend ist die Reaktion auf gestellte Fragen - gerade hier im Forum. All zu oft interessiert das Hintergrundwissen überhaupt nicht! Man will ein akutes Problem gelöst bekommen. Möglichst schnell, möglichst kompetent. Nach mir die Sinnflut!

Und das sind meiner Meinung nach Anwender, die ihr Root Kennwort besser entsorgen sollten. Denn diese Server sind über kurz oder lang eine echte Gefahr für das Netz.

Alle andern lernen am lebenden Objekt. Das kann man gut oder schlecht finden. Mir ist aber der lernwillige Serveradmin um einiges lieber als der Ignorant.

BTW: Einen Server zu 99% sicher halten, halte ich für eine gewagte These - dafür haben die richtig Bösen Jungs ( und Mädels) zu viel auf dem Kasten .

mfG
Thorsten

 

[Thunderbyte]

Ahhhh! Danke!!! Das ist doch der ideale Thread um eine meiner Lieblingsseiten was Rootserver betrifft loszuwerden:

http://root-und-kein-plan.ath.cx/​

Insbesondere auch http://www.linuxforen.de/forums/showthread.php?t=178731 halte ich für sinnvoll und nur allzuwahr!

 

[Muluske]

Gute Darstellung bisher!
Ich gebe euch in allen Punkten ersteinmal Recht, genauso zu der Tatsache, dass man wie ich schon gesagt habe, eine 100%ige Sicherheit ausgeschlossen ist.
Hier wäre natürlich die Anschlußfrage gleich an euch, was macht ihr, wenn eure Server von "Schmuddelmaterial" befallen sind und noch schlimmer, wenn es bereits an der Tür klingelt...?
Die Tatsache "Ich habe einen Server, aber von Linux keine Ahnung" ließt man wirklich sehr oft. Ich stehe auch noch am Anfang dieser Geschichte, habe aber keinen eigenen Server (außer mal Testweise), ich gebe mich mit der VirtualBox zufrieden
Auch ließt man oft, ich habe SSH, Passwörter sicher gemacht, den Port verlegt und einen Dummy angelegt.
Ich finde persönlich, dass es zwar die mindeste Grundveraussetzung sein sollte, aber sich mit diesen Kenntnissen nicht überschätzen sollte und noch lange nicht reif für einen Server ist. Was meint Ihr dazu?
Gerade die wirklichen Gefahren über FTP,SQL oder Mail sind hier noch nicht abgedeckt.

Was ist aber mit den Leuten, welche nun schreien-"Dann hol ich mir eben einen Windows-Server" Geht es denen mit der Sicherheit besser/leichter?

 

[Thunderbyte]

Dass Du Dir über solche Dinge Gedanken machst, anstatt Dir so ein Ding "schnell mal" zu besorgen halte ich für SUPER, damit unterscheidest Du Dich schonmal positiv von 95% der "Rooteigentümer".

Das Testen bei sich lokal in der virtuellen Maschine halte ich für sehr ehrbar und sinnvoll. Das ist wohl die beste Herangehensweise an die Thematik.

Zu Windows Server: man beachte, dass Windows Server KEIN Windows XP ist. Nur weils ähnlich aussieht, ists beileibe nicht das gleiche! Wenns nämlich an die erweiterten Funktionen oder auch nur die Websiteeinrichtung geht, wirds schnell komplex, wenn man sich nicht alles von Adminsoftware wie Plesk vorstricken lässt. für Ungeübte "Admins" mag es einfacher sein, einen Windows Server zu betreiben, da man grafisch mehr machen kann und Patches automatisch eingespielt werden. Allerdings darf man auch nicht übersehen, dass es >300.000 Viren für Windows gibt (die auch wunderbar auf Windowsservern laufen) und für Linux quasi keine. Dass Bedrohungen meist eher durch schwache oder nicht aktuelle Websites kommen (Foren, CMS, etc.), steht auf einem anderen Blatt. Hier sind beide Systeme gleich anfällig.