vServer - Wie fange ich an?

[server001]

Erstmal ein großes HALLO an die Community.

Ich bin schon einige Male auf euer Forum gestoßen und habe meistens die Antworten gefunden die ich gesucht habe.

Da ich mich nun mit einem größeren Thema beschäftige (vServer) wollte ich die Gelegenheit nützen mich hier zu registrieren.

Zuerst möchte ich mich entschuldigen falls es dieses Thema bereits gibt, habe mich zwar in der Suche versucht schlau zumachen, habe aber leider nicht wirklich was gefunden was mir hilft oder fand nur zu alte Threads (2008 ).
Des weiteren bitte ich andere User inständig darum diesen Thread nicht schlecht zu machen. Ich habe offen und ehrlich zugegeben, daß ich ein Server-Noob bin. Wenn du diesen Thread nervig findest dann bitte behalt es für dich, damit dieser übersichtlich und informativ (auch für andere Noobs) bleibt.

Ich habe mir vor einigen Tagen einen vServer gemietet und möchte mit diesem nun ein Netz von Resellern und Kunden anlegen. Bitte nicht falsch verstehen: Ich nutze es rein privat.

Meine Probleme sind jetzt folgende:

Mein Interface (ispCP) wurde bereits installiert und ich kann somit verschiedene Einstellungen vornehmen. (Anm.: vServer ist nicht managed).

Ich wurde vor kurzem auf mögliche Sicherheitslücken hingewiesen. Der Support von meinem Anbieter hat mich darauf hingewiesen. Da ich mich nicht besonders mit vServer (o. Server generell) auskenne, tappe ich jetzt natürlich im Dunkeln. Der Support ist zwar sehr unterstützend aber ich will ihnen nicht zur Last fallen da sie mir bereits über Ihr Angebot hinaus geholfen haben. Deshalb wollte eigene Recherchen machen.

Zu meinen Rechten:
Ich habe die Macht. Zumindest wurde mir das gesagt. Ich habe sämtliche Usernamen und PW's erhalten.

Zu meinen Kenntnissen:
Server= 0
webspace= ja
programmierung= nein (html, php, css usw kenn ich ich mich recht gut aus wird mir in diesem Fall aber nicht wirklich helfen)
linux= gering (ubuntu)
aufnahmefähigkeit= bis zu 90% abhängig davon wieviel Fachchinesisch dabei ist




Wirtssystem Intel® Core™ i5-750 Quad Core 4 x 2,66 GHz (RAID1)
CPU Kerne 1 vCPU
RAM Garantiert 768 MB
RAM Dynamisch 1536 MB
Festplatte 30 GB
Snapshot Backup 1
Traffic Inklusive
Anbindung 100 MBit/s
Betriebssysteme debian-6.0-x86_64
IPv4 Adressen 1
IPv6 ready ja
Root Zugriff (SSH) ja
Webinterface ja
Start/Stop/Reboot ja
Neuinstallation ja
Rescue Console ja
Quick Backup ja
Reverse DNS ja
Statistiken ja
Client API ja
TUN/TAP Device ja
Upgrade möglich ja

(Ich hoffe ich habe nichts vergessen)



Zu meiner Frage:

Wie kann ich am besten ein System absichern? Was wird dazu benötigt?
Ich habe bereits Dr. Google gefragt und er spuckte auch recht viele Möglichkeiten aus. Angefangen von SSH, RootLogin sperren, erlaubte Ports reduzieren usw.
Das ist alles schön und gut und sicher auch recht einfach durchzuführen WENN ich nur wüsste wo ich diese Befehle eingeben soll. Sieht mir nach Linux aus -aptget usw. Ich habe einen 2ten Rechner wo ich Ubuntu reinstallieren kann aber würde eine Bearbeitung unter Windows vorziehen.

Ich wäre für jede Hilfe dankbar.

Lg.


PS: Da scheinbar auf Rechtschreibung großen Wert gelegt wird habe ich mich bemüht nicht alles Klein zu schreiben. Kleinere Fehler werden mir hoffentlich verziehen

 

[svenr]

Aaaaalso, um von Windows aus auf deinen Server zu kommen, den geheimnisumworbenen Ort in welchem die Befehle dann landen sollen gibt es das Programm Putty. Wenn Du mal eine Config auf den Server schieben willst oder vom Server holen willst. Dazu gäbe es dann WinSCP.
Ich denke damit kannst Du nun erstmal mit deinen gefundenen Tutorials weitermachen. Bei weiteren Fragen kannste ja weiterschreiben.

Gruß Sven

 

[server001]

Putty/winSCP

Hallo Sven und danke für deine Antwort.

Ich habe winSCP bereits installiert, habe es bis jetzt nur als FTP-Programm genützt.

Putty habe ich folgendes Problem:

Fatal Error
Connection Refused

Ich habe meine IP eingetragen, Port: 22, Connectiontype: SSH genommen und verbinden wollen.

Kann es sein, dass ich keine Rechte auf root mehr habe?
Wenn ich über winSCP in root einsteige sehe ich nur durchsichtige dateien wie config und einen durchsichtigen Folder.

Wenn es nicht daran liegen kann. Was könnte sonst das Problem sein?

 

[svenr]

Verbindest Du Dich mit WinSCP denn nun per ssh oder per ftp?
Schau mal in /etc/ssh/sshd_config welcher Port dort für SSH eingetragen ist.
Welches Linux läuft überhaupt auf dem Server? Centos, Debian etc pp..

 

[server001]

Hallo Sven,

Danke. Bei putty war der falsche Port eingerichtet.

VIELEN DANK

 

[MauriceM]

Hi,

grundsätzlich ist es ja so, dass Linux von sich her schon ein sehr sicheres Betriebssystem ist. Erst die Programme die man auf dem Server installiert und konfiguriert machen ihn unsicher. Gibt es z.B. irgendwo eine falsche Konfiguration auf dem Webserver, dazu eine Sicherheitslücke in irgend einem CMS auf dem Server, dann machts KRABUM.. und der Server kann geknackt werden.

Hier im Forum gibt es ein gutes "How to":

[Howto] Secure your Webserver

Hallöchen, Da ich in letzter Zeit immer mal wieder lese, dass Server gesperrt werden wegen DDos oder weil sich jemand Zugang zum Server verschafft hat. Habe ich mir gedacht, ich schreibe mal ein kleines Howto, wie man seinen Server ein kleines bisschen sicherer macht. Dieses Howto ist...

serversupportforum.de

Weiter wird hier z.B. beschrieben wie du den Rootlogin verbieten tust & einem neuen Benutzer dem System hinzufügst: http://www.webhostlist.de/forum/security/89982-v-server-sicher-machen-so-gehts.html

Wie gewünscht verzichte ich hier auf die üblichen Standardsprüche wie: Man übt nicht auf einem Livesystem, etc.

Aber: Bitte versuche dir das Thema so schnell wie möglichst wenigstens grundlegend beizubringen..!

LG

 

[PapaBaer]

Des weiteren bitte ich andere User inständig darum diesen Thread nicht schlecht zu machen. Ich habe offen und ehrlich zugegeben, daß ich ein Server-Noob bin.

Ich verstehe sowas ja immer nicht. Dir ist also vollkommen bewusst, dass dein Ansatz totaler Bockmist ist und willst mal eben sicherstellen, die Kritik nicht hören zu müssen? Sorry, das funktioniert nicht. Genau so wenig wie bei den 26531 Leuten, die mit der Tour hier einschlagen.

Du hast die Foren-Suche benutzt und dich eingelesen? Dann kennst du die Antwort! EIN SERVER IST NICHT ZUM SPIELEN ODER LERNEN DA!!! Also gleiche Antwort wie immer: Server abschalten, zu Hause üben!

http://root-und-kein-plan.ath.cx/

Mann, mann, mann ...

 

[Centro]

Also sorry Kumpel, du kannst nicht mal stabil per Putty auf deine Kiste und willst ernsthaft nen Server betreiben? - Ich erinnere mich da immer an einen user der was mit Wasser und frisch zu tun hatte. (Insider wissen wen ich mein )

Das du keine neueren Threads gefunden hast liegt wahrscheinlich daran, das keiner seither auf die Idee kam, sich ein Servergrundwissen an zu eignen.
Ist natürlich nicht so, also denk mal nach!

Ich möchte dir dein Vorhaben sicher nicht madig machen, schon garnicht möchte ich dir den Spaß an deinem Server nehmen. Wir haben hier alle mal klein angefangen. Aber so ziemlich Alle hier werden dir bestätigen, das ein Server, in Form eines ausrangierten Rechners im Keller an deinem DSL Anschluss, dich um längen besser voran treibt. Sicherer natürlich auch, aber naja... ich weis, man kanns immer nur schwer glauben. Dir fallen sicher jetzt schon mindestens fünf Gründe ein, wieso es ein Server im Net sein muss. Glaub mir, keiner der Gründe rechtfertigt einen Spamserver oder einen Hack der alle deine Resellerkonten auf einmal in Schall und Rauch übergehen lässt.

Mein erster "Server" war ein Notebook (P3 256 MB RAM 40 GB HDD). Von da aus gings los. Ich habs nie bereut, wenn ich hier auf einige Leute blicke.

Tu dir, und uns einen Gefallen. Be noob and learn! - Keine Kiste mit nem 100Mbit Anschluss!

Danke!

- In diesem Sinne, herzlich Willkommen in diesem Forum. Wir helfen dir gern wenn du einigermasen verständlich dein Problem schilderst. "Ich hab keine Ahnung wie ich mit Putty oder so auf meine 100Mbit Kiste komme" wird dir keiner ernsthaft beantworten!

Greetz Centro

 

[server001]

Hallo,

Danke Maurice für die 2 Tutorials. Da mich Sven aber schon etwas weitergebracht hat, habe ich nun folgendes schon hinter mir (nicht falsch verstehen - natürlich werde ich es mir trotzdem durchlesen):

apt-get install fail2ban
apt-get install whois

zusätzlich dazu habe ich ein Firewall-Script hinzugefügt und meine benötigten Ports in eine Textfile gespeichert.

Der Script startet automatisch bei jedem Start und lässt auch fail2ban neustarten.


Beim restart der Firewall kommen 2 Meldungen welche mich etwas beunruhigen:

WARNING: Deprecated config file /etc/modprobe.conf, all config fiels belong into /etcmodprobe.d/

und

FATAL: Module ip_conntrack_ftp not found

Diese kommen 3 mal hintereinander glaube ich.

Der Rest scheint in Ordnung zu sein, die Ports die ich angegeben habe funktionieren. Hab mir auch die iptables angesehen. Soweit ich das mit meinen untrainierten Augen sehen kann sieht es gut aus.

Nur die oberen 2 Quotes machen mir sorgen.
Auf dieser Seite habe ich scheinbar eine Lösung gefunden:
http://blog.lowkey.net.my/tag/warning-deprecated-config-file-etcmodprobe-conf/

Bevor ich es umsetze möchte ich ein Backup machen, davor aber testen ob der Server nun sicher ist oder nicht. Wenn ja werde ich die Änderungen wie im Link beschrieben vornehmen auch wenn es heißt "Never touch a running system".

Ich habe es mal mit Zenmap getestet:

Starting Nmap 5.51 ( http://nmap.org ) at 2011-12-27 23:21 Mitteleuropäische Zeit
NSE: Loaded 57 scripts for scanning.
Initiating Parallel DNS resolution of 1 host. at 23:21
Completed Parallel DNS resolution of 1 host. at 23:21, 0.06s elapsed
Initiating SYN Stealth Scan at 23:21
Scanning <<bla bla.com>> (123.12.12.12) [1000 ports]
SYN Stealth Scan Timing: About 29.60% done; ETC: 23:22 (0:01:14 remaining)
SYN Stealth Scan Timing: About 59.05% done; ETC: 23:22 (0:00:42 remaining)
Completed SYN Stealth Scan at 23:22, 101.47s elapsed (1000 total ports)
Initiating Service scan at 23:22
Initiating OS detection (try #1) against <<bla bla.com>> (123.12.12.12)
Retrying OS detection (try #2) against myadmin.group-unleashed.com (123.12.12.12)
Initiating Traceroute at 23:23
Completed Traceroute at 23:23, 9.04s elapsed
Initiating Parallel DNS resolution of 5 hosts. at 23:23
Completed Parallel DNS resolution of 5 hosts. at 23:23, 3.41s elapsed
Nmap scan report for <<bla bla.com>> (123.12.12.12)
Host is up.
All 1000 scanned ports on <<bla bla.com>> (123.12.12.12) are filtered
Too many fingerprints match this host to give specific OS details
TRACEROUTE (using proto 1/icmp)
HOP RTT ADDRESS
1 ...
2 10.00 ms IP
3 ...
4 26.00 ms ADDRESS (IP)
5 ...
6 24.00 ms IP
7 22.00 ms ADDRESS (IP)
8 33.00 ms ADDRESS (IP)
9 ... 30



Read data files from: C:\Program Files (x86)\Nmap
OS and Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 121.67 seconds
Raw packets sent: 2131 (96.996KB) | Rcvd: 259 (11.231KB)

Ich habe IP's verändert:

bla bla.com (123.12.12.12) <- MEINS
ADDRESS (IP) <- FREMD waren immer andere IPs

Ich kann mit der Ausgabe von Zenmap leider nicht viel anfangen und suche bereits eine Erklärung dazu. Vielleicht seid ihr ja schneller.


Nochmal vielen Dank für eure Hilfe.

 

[server001]

- In diesem Sinne, herzlich Willkommen in diesem Forum. Wir helfen dir gern wenn du einigermasen verständlich dein Problem schilderst. "Ich hab keine Ahnung wie ich mit Putty oder so auf meine 100Mbit Kiste komme" wird dir keiner ernsthaft beantworten!

Greetz Centro

Ich weiss es wirklich zu schätzen, danke dir.

 

[server001]

Du hast die Foren-Suche benutzt und dich eingelesen? Dann kennst du die Antwort! EIN SERVER IST NICHT ZUM SPIELEN ODER LERNEN DA!!! Also gleiche Antwort wie immer: Server abschalten, zu Hause üben!

http://root-und-kein-plan.ath.cx/

Mann, mann, mann ...

Danke dir für den Link. Ich werd es mir durchlesen. Linuxforen bin ich bereits angemeldet aber da bekommt man im Gegensatz zu hier NUR unbrauchbare Kommentare. Ich glaube ein richtiges Forum gewählt zu haben.

Lg.

 

[virtual2]

Danke dir für den Link. Ich werd es mir durchlesen. Linuxforen bin ich bereits angemeldet aber da bekommt man im Gegensatz zu hier NUR unbrauchbare Kommentare.

Du hast den Sinn anscheinend nicht verstanden!

PapaBaer meint ist nur gut mit dir, er will dir (denk ich) sicherlich nichts böses, er will dich nur vor einem großen Fehler bewahren der für dich sehr schlimm ausgehen kann.

Ich selbst habe klein angefangen, vor 3 1/2 Jahren mit Windows Server, dann vor 3 Jahren mit Debian Lenny. Zuerst habe ich hauptsächlich Zuhause auf einem P4 mit 2,4Ghz und 512MB Ram gelernt, nach gut 6 Monaten hatte ich dann meinen ersten virtuellen OpenVZ vServer.

Mein Rat: Büchse abschalten, kündigen, Zuhause einen alten PC hinstellen (solltest du keinen haben, kannst du dir auf eBay oder anderen Plattformen sicherlich einen günstigen für 50 Euronen kaufen), Bücher kaufen, Lesen und Live lernen, als Distro eignet sich vorallem Debian sehr gut, da es meiner Meinung nach sehr Einsteigerfreundlich ist

Bei Fragen helf ich gerne weiter (nicht wie diverse Personen mit einsen im Nickname behaupten, nicht weiter)

Möglicherweise für dich interessant: http://www.debian-blog.de/?p=22 & http://www.debian-blog.de/?p=18 (unbedingt vorher nach neuster release suchen)

 

[server001]

Du hast den Sinn anscheinend nicht verstanden!

Ich muss dich leider enttäuschen. Ich habe den Sinn der Posts verstanden. Ich weiss auch dass PapaBaer es nicht böse meint sonst hätte ich auch dementsprechend geantwortet. Was mein Kommentar mit der Hilfe betrifft habe ich nicht diesen Thread gemeint sondern andere wenige. Wie schon am Anfang erwähnt, ich bin nicht das erste mal in diesem Forum nur habe ich mich erst heute registriert.

Zum Quote:
Ich habe die Gefahren verstanden und habe mich bereits per Ticket an meinen Anbieter gewendet den Server zumindest teils zu managen. Man hat mir diesbezüglich auch schon ein Angebot unterbreitet, welches ich durchsetzen lassen werde.

Jetzt im Moment bin ich dabei lokal meinen alten pc aufzustellen und einen Linux server darauf zu installieren. Es werden mir einige gepostete LInks behilflich sein die sich trotz Widerstands hier angesammelt haben.

Ich hoffe dass dieser Thread offen bleibt damit ich immer wieder darauf zurückgreifen kann wenn ich eine Frage habe.

Vielen Dank.

 

[Joe User]

Auch wenn Du offenbar lernwillig bist und somit http://www.rootservice.org/howtos/general/getting_started.html nur zum Teil auf Dich zutrifft, solltest Du dort insbesondere die Punkte 7 und 8 lesen, wobei der Rest ebenfalls lesenswert ist.

 

[server001]

Hi Joe,

Danke. War auf der Debian Seite fündig (hat aber lange gedauert) und bin gerade dabei einen lokalen Server aufzusetzen. Dort kann ich mich dann eh austoben.

lg

 

[Burny]

Ganz ehrlich? Also...

... vor wenigen Jahren bin ich auch auf die Idee gekommen mir einen VServer zu zulegen. Ich bin mittlerweile um einiges schlauer und muss sagen dass es mit keinen bis wenig Kenntnissen nicht gerade ein guter Schritt ist, sich eine solch hohe Verantwortung zu zutrauen. Es gibt so vieles dass man auch nicht mit Tutorials etc. hin bekommt und extrem auf die Hilfe der netten User in Foren wie dieses angewiesen ist.

Nach dieser Erkenntnis hatte ich mir einen kleinen Rechner zusammen gebastelt und diesen zuhause aufgestellt. Da konnte ich un beruhigt üben, üben und üben ohne Gefahr zu laufen, irgendwelchen bösartigen Typen unterschlupf gewähren zu müssen, ohne es selbst zu wissen und geschweige den es zu verhindern.

Ich denke dass mindestens gute bis erweiterte Linux-Kenntnisse erforderlich sein sollten, um die volle Verantwortung auch tragen zu können.

 

[garfield]

Lass Dich mal nicht verrückt machen, ich habe angefangen wie Du nur gleich mit einem dedizierten Root.
Ohne große Ahnung, eigentlich keiner, klar hatte ich mal Suse auf meinem Rechner zuhause installiert, hat mich aber nicht groß beschäftigt.
Bescheid wußte ich nur über Windows, allerdings auch nichts über Windows Server.
Da stand ich dann mit meinem Suse Root dediziert, funktionierte auch alles soweit mit Plesk kein Problem.
Hatte dann meine Foren installiert, meine nicht bei meinem Serverhoster untergebrachten Domains auf den Server gepointet, alles funktionierte.
Dann habe ich mal an Sicherheit gedacht, Putty und WinSCP damit hatte ich mich vorher schon etwas beschäftigt, kam ich zurecht.
Hab mich dann mal so durchgelesen im Internet, nicht viel verstanden, von der Grundproblematik mal abgesehen.
Habe mich dann in einem anderen Forum angemeldet, fängt mit R an und dort so korrekt und konkret formulierte Fragen gestellt wie es mir ohne Detailwissen zu Linux möglich war. In den richtigen Unterforen wohlgemerkt.
Diese Fragen wurden kommentarlos gelöscht von den Moderatoren dort
Es ist ein Schrottforum, also mußte ich mir erstmal selber helfen, habe dann alles gelesen was ich so fand, mit der Zeit mehr verstanden und konnte mich dann auch mal mit der Sicherheit beschäftigen.
Eines Tages habe ich es dann übertrieben, mich mit der Firewall meines Suse servers ausgesperrt und kam nicht mit der Rescue Konsole zurecht.
Da habe ich dann hierher gefunden und DjRick hat mir problemlos geholfen, ohne nutzlose Hinweise was man können sollte. Ich hatte einen 30 Euro je Monat Server für 2 Jahre Laufzeit am Hals, da interessieren keine Philosophien, nur praktikable Lösungen.
Die gab es hier, also lese ich hier oft, fragen muß ich nicht mehr soviel.
Habe jede Menge Bücher gelesen, gemietet habe ich den Server übrigens im Oktober 2005 und bisher habe ich noch viele weitere gehabt, ich bin nie gehackt worden, es ist nie irgendwas passiert.
So wie es manche hier darstellen ist es einfach nicht, ich weiß auch heute nicht über alles super Bescheid, ich kenne die wichtigsten Dinge die zu machen sind, das genügt auch.
Also keine Angst, kümmer Dich um den Server und lerne das was wichtig ist. Du mußt kein Linux Guru werden um einen Server zu betreiben, nur die sicherheitsrelevanten Sachen im Auge behalten.
Dazu viel lesen und dabei automatisch viel lernen, irgendwann hat man das drauf.
Viel Spaß dabei und nochmal keine Angst, es funktioniert schon.

 

[Nuck Nuck]

http://root-und-kein-plan.ath.cx/

Ohne jemandem was zu wollen und auch offtopic:

Den Link kann man sich mittlerweile auch fast sparen.
Zumindest sind fast alle Links auf dieser Seite, die man sich mit Sicherheit vor einiger Zeit hätte ansehen sollen, nicht mehr gültig.

Somit ist die Seite bestimmt nicht der Hit als Verweis.

Anbei: frohes neues Jahr!

 

[PapaBaer]

habe dann alles gelesen was ich so fand, mit der Zeit mehr verstanden und konnte mich dann auch mal mit der Sicherheit beschäftigen. [...] ich bin nie gehackt worden, es ist nie irgendwas passiert.

Ja, das ist schön für dich. Nur sagt das mehr über verantwortungsloses Handeln als über einen sinnvollen Umgang mit Servern aus.

Ich fahre seit über 10 Jahren Auto und hab noch nie einen Sicherheitsgurt gebraucht. Also, Leute, das olle Ding braucht ihr gar nicht, vollkommen überbewertet ...

Hier schlagen in einer Tour Noobs ein, die wie du ohne Wissen an einen Server gegangen sind und die einfach nur Pech hatten, dass es sie erwischt hat mit einem Hack. Und ein Hack ist kein kleiner Patzer, der mal passieren kann. Sowas kann juristisch und finanziell richtig vor die Wand gehen. Also hör bitte auf hier so ein Bullshit zu erzählen, nur weil du in deiner Naivität das Glück hattest, nicht auf die Nase zu fallen. Ich lese nahezu täglich die Hilferufe von Leuten, denen es anders erging.

 

[Joe User]

Habe mich dann in einem anderen Forum angemeldet, fängt mit R an und dort so korrekt und konkret formulierte Fragen gestellt wie es mir ohne Detailwissen zu Linux möglich war. In den richtigen Unterforen wohlgemerkt.
Diese Fragen wurden kommentarlos gelöscht von den Moderatoren dort
Es ist ein Schrottforum,

Bitte verdrehe hier nicht die Wahrheit! Du hast damals mit enormer Lernresistenz geprotzt und zudem sowohl die Moderatoren als auch einige andere User beleidigt, obwohl sie Dir angemessen geholfen haben. Desweiteren hast Du die Inhalte Deiner Beiträge selbst gelöscht und nicht die Moderatoren.

Ist Alles noch in der Datenbank nachvollziehbar...