» Willkommen auf Internet und Netzwerk «

Barry Burton
aus Würzburg
offline



OC God
22 Jahre dabei !

AMD Ryzen 5
3600 MHz @ 4150 MHz


Mahlzeit!




Ich hab seit etwa einem Jahr jetzt einen eigenen Rootserver bzw. VServer.
Mein Host führt dazu ein recht großes Forum, in dem sich die Kunden untereinander austauschen können.

Was mit immerwieder auffällt ist folgende Situation:


Kunde K hat sich einen VServer gemietet, betreibt dort seit einigen Monaten eine Homepage. Nun möchte K einen neuen Webmail-Clienten installieren da Horde doof aussieht.

K fragt in dem Forum also welche Alternativen es zu Horde oder AtMail gibt.



K erhält von einem Langjährigen Rootserverbereiber "A" folgende Antwort

A:


Wie üblich gilt: man sollte keinen Server im Internet betreiben, wenn man keine Ahnung davon hat. Wenn Du schon Schwierigkeiten hattetst, Horde zu installieren und selbst Plesk zu kompliziert für Dich ist, dann bist Du mit dem sicheren und zuverlässigen Betrieb eines Servers im Internet garantiert völlig überfordert.

Frag deshalb bitte jemanden, der sich damit auskennt, oder schau Dir die Managed Servers an. Es gibt schon genügend Bots, Spamschleudern, und sonstige verseuchte Server im Internet.

Man brauchst schon einige Kenntnisse und Erfahrung, um das alles, was Du willst sicher und richtig aufzusetzen. Deshalb: lass es bitte bleiben und frag jemanden, der es für Dich einrichtet und betreibt. Alles andere ist grob fahrlässig und es wäre nur eine Frage der Zeit, bis dein Host Dir den Server ausschaltet und vielleicht sogar die Polizei vor Deiner Tür steht. Ist alles schon vorgekommen...




Nachfolgend äußerten sich hier weitere 17 "langjährige" Kunden, dass Kunde K bitte verschwinden soll. :D





Im Prinzip haben die Leute ja Recht, wer absolut keine Ahnung hat und seinen Server nicht aktuell hält läuft gefahr, dass eben gleicher von bösen Leuten genutzt wird um Blödsinn zu betreiben.

Aber warum gibt denn da niemand mal gescheite Anweisungen, was den gernerell zu tun wäre?

Ich habe jetzt länger Google gequält um da einige Antworten zu finden, jedoch scheint niemand wirklich mal was tolles schreiben zu wollen im Bezug auf die Sicherheit eines VServers bzw. Rootservers!?



Ich selbst update alle paar Tage meinen Server per "apt-get update && apt-get upgrade".
Dazu läuft bei mir per cron alle 24 Stunden einmal "rkhunter" durch system.


Was sollte man noch tun um den Server zu sichern?




lg

Beiträge gesamt: 5906 | Durchschnitt: 1 Postings pro Tag
Registrierung: Jan. 2002 | Dabei seit: 8096 Tagen | Erstellt: 12:22 am 29. Sep. 2010
razzzzia
aus Sektion 31
offline



OC God
20 Jahre dabei !

AMD Ryzen 9


Grundsätzlich ne ordentliche Firewall.
Auch wenn bei Linux eigentlich keine Ports offen sind, die man nicht selber aufgemacht hat, bringt eine ordentlich eingerichtete Iptables noch so einiges, da kaputte Pakete rausfliegen, Verbindungslimits gemacht werden können, Priviligierung von Ports, etc.
(Der Kram ist jetzt nicht mit Desktop-Firewall-Snakeoil zu verwechseln)


Ansonsten, wenns ein rootserver ist und der mit der Leistung hinkommt, kannst Du deine Serverdienste alle in jeweils virtuelle Maschinen stecken.
Damit stellst du sicher, dass ein gepwnter Serverdienst nur die maschine wo der dienst drin läuft kompromitiert.
die host-maschine übernimmt dann lediglich das routing und bietet selber keine dienste an.

Ansonsten haben Jungs da leider vollkommen recht, viel zu viele Leute, die mit einem dicken Webspacepaket oder einem managed Server vollkommen hinkommen würden, meinen unbedingt einen Rootserver mieten zu müssen und wundern sich zwei Wochen später über Post vom BSI und der Staatsanwaltschaft...


(Geändert von razzzzia um 14:26 am Sep. 29, 2010)


NON EX TRANSVERSO SED DEORSUM

Beiträge gesamt: 8062 | Durchschnitt: 1 Postings pro Tag
Registrierung: Juli 2003 | Dabei seit: 7571 Tagen | Erstellt: 14:22 am 29. Sep. 2010
Barry Burton
aus Würzburg
offline



OC God
22 Jahre dabei !

AMD Ryzen 5
3600 MHz @ 4150 MHz


:lol:

Stimmt schon.
Ruck zuck sitzt da irgentwo nen Floodscript rum und spammt fleißig durch die Gegend.

Nur ich denke irgentwo muss ja jeder Interessent mal anfangen was zu "lernen". Und wenn man keine Ahnung hat wo man anfangen soll frägt man ja halt gerne mal in der zuständigen Community nach. Da wird man dann aber schnell ausgebuht. Seltsam.

IPTables hab ich selbst jetzt noch keine.
Nutze da die Standarteinstellung von PLesk, aber das guck ich mir gleich nochmal an.


lg

Beiträge gesamt: 5906 | Durchschnitt: 1 Postings pro Tag
Registrierung: Jan. 2002 | Dabei seit: 8096 Tagen | Erstellt: 13:22 am 2. Okt. 2010
razzzzia
aus Sektion 31
offline



OC God
20 Jahre dabei !

AMD Ryzen 9


boah ich hab keine ahnung von plesk..:noidea:

aber wenn du mit iptables rumspielen willst, guter tip und mach das vorher auf irgendner schrabbelkiste zu hause bzw. auf ner vm zu hause.
man kann sich da sehr einfach aussperren :D
wenn man einmal gerafft hat, wie der kram funzt, ist das ding aber eigentlich ziemlich geil.


NON EX TRANSVERSO SED DEORSUM

Beiträge gesamt: 8062 | Durchschnitt: 1 Postings pro Tag
Registrierung: Juli 2003 | Dabei seit: 7571 Tagen | Erstellt: 14:01 am 2. Okt. 2010
wakko0816
offline



OC God
19 Jahre dabei !

Intel Core i5
3500 MHz @ 4200 MHz
55°C mit 1.18 Volt


Ich glaube, ich weiss, von welche Foren Barry da meint. :lol:
Das mit dem Umgangston ist mir da auch schon aufgefallen,
allerdings kann man durchaus feststellen, dass es da jede Menge
Anfragen von Leuten gibt, die mit der Server-Administration
schlicht überfordert sind, hauptsächlich, weil sie sich nicht
die Mühe gemacht haben, vorher mal Offline zu "üben",
und dann nach Hilfe schreien, wenn bereits die Havarie
eingetreten ist.
Und wenn man dann zum 100. mal die gleichen Ratschläge
gibt, kann es durchaus etwas genervt klingen.

razzzias Tip mit dem Offline-Test der Firewall ist schon echt
vernünftig.
Wobei ich seit Jahren Server ohne FW betreibe.
Stattdessen laufen bei mir
- AIDE (Feststellen von Veränderungen im Dateisystem)
- denyhosts (Blockieren von SSH-Bruteforce Attacken nach
x Fehlversuchen)
- logwatch (Übersichtliche Logfile-Auswertung als Email)

Wenn man dann noch auf phpmyadmin verzichtet und auch
sonstige (PHP-)Skript-basierten Dienste frisch hält und vor allem
jegliches Mail-Relaying verhindert ist man imho auf der
sicheren Seite.

Beiträge gesamt: 1146 | Durchschnitt: 0 Postings pro Tag
Registrierung: Aug. 2004 | Dabei seit: 7154 Tagen | Erstellt: 15:43 am 2. Okt. 2010
Barry Burton
aus Würzburg
offline



OC God
22 Jahre dabei !

AMD Ryzen 5
3600 MHz @ 4150 MHz


Also mit dem up2date halten ist so ne Sache.

Auf meinem vServer läuft Ubuntu 8.04.
Ein Upgrade auf 10.04 macht für mich keinen Sinn, da Plesk nicht auf 10.04 läuft.

Dann gibts mittlerweile diverse Neuerungen bei Apache, PHP5 und proFTPd.
Allerdings gibts da keine stable-Pakete die ich per apt-get installieren könnte.

Diese Programme jetzt von Hand zu Fuß updaten (configure, make, make install, make RoyalTS mit exta Käse....) ist schon kniffelig.


Macht dass überhaupt Sinn da von Hand dran zu fummeln?




Mail-Replaying ist aus und SSH ist sicher. (soweit)
AIDE  und logwatch schau ich mir mal an.


thx

Beiträge gesamt: 5906 | Durchschnitt: 1 Postings pro Tag
Registrierung: Jan. 2002 | Dabei seit: 8096 Tagen | Erstellt: 19:02 am 2. Okt. 2010
wakko0816
offline



OC God
19 Jahre dabei !

Intel Core i5
3500 MHz @ 4200 MHz
55°C mit 1.18 Volt



Diese Programme jetzt von Hand zu Fuß updaten (configure, make, make install, make RoyalTS mit exta Käse....) ist schon kniffelig.


Macht dass überhaupt Sinn da von Hand dran zu fummeln?


Nee. Ich würde es eher vermeiden, an der Paketverwaltung
vorbei zu arbeiten. Denn solange die Distribution noch unterstützt
wird kriegt man ja wenigstens Security-Fixes. Auch wenn man
dann auf neue Features verzichten muss.
Das mit dem up2date halten bezog sich auch eher auf die auf
dem Server laufenden Web-Apps, z.B. CMS, Foren, Webmailer
(Wordpress, HordeMail, etc.). Denn in den meisten Fällen
erfolgt die Kompromittierung des Servers durch löchrige
PHP-Skripte. Gerade phpmydmin und das Horde Framework
machen immer mal wieder durch eklatante Sicherheitslücken
auf sich aufmerksam. Die werden zwar meist schnell gefixt,
allerdings muss man dann teils selbst Hand anlegen, um die
aktuell zu halten.

Die verwendete Version des OS von der Plesk-Unterstützung
abhängig zu machen ist aber auch nicht das gelbe vom Ei. ;)

Beiträge gesamt: 1146 | Durchschnitt: 0 Postings pro Tag
Registrierung: Aug. 2004 | Dabei seit: 7154 Tagen | Erstellt: 19:53 am 2. Okt. 2010
razzzzia
aus Sektion 31
offline



OC God
20 Jahre dabei !

AMD Ryzen 9


Jo Phpadmin isn bisschen reudig. kann man sich aber ganz gut mit behelfen, wenn das nach außen nicht offen ist, und man einfach mit ssh reintunnelt. weil missen will man das tool ja auch nicht.

alternativ kann man noch mit mysqlworkbench über ssh reingehen, das tuts genauso


NON EX TRANSVERSO SED DEORSUM

Beiträge gesamt: 8062 | Durchschnitt: 1 Postings pro Tag
Registrierung: Juli 2003 | Dabei seit: 7571 Tagen | Erstellt: 1:38 am 3. Okt. 2010
Barry Burton
aus Würzburg
offline



OC God
22 Jahre dabei !

AMD Ryzen 5
3600 MHz @ 4150 MHz


Joa Horde hab ich ganz von meinem Server geschmissen.
Benutze AtMail und Roundcube. (Roundcube nur für mich, geschützt mit .htaccess)

Ansonsten schau ich schon möglichst wenige PHP-Applikationen zu nutzen und die auch aktuell zu halten.

phpmyadmin ist bei mir noch zugänglich, das muss auch mal noch ändern. ^^




lg

Beiträge gesamt: 5906 | Durchschnitt: 1 Postings pro Tag
Registrierung: Jan. 2002 | Dabei seit: 8096 Tagen | Erstellt: 11:49 am 3. Okt. 2010
Barry Burton
aus Würzburg
offline



OC God
22 Jahre dabei !

AMD Ryzen 5
3600 MHz @ 4150 MHz


Moin.


Hat hier wer bissi Ahnung von Plesk?
Ich will ne IP-Range über die Pleskfirewall blocken.

Jedoch nimmt die FW die Eingabe nicht an.


Sollte so aussehen: 58.xxx.xx.0/24



Edit:
Geht das auch so?

58.xxx.xx.0/255.255.255.0


lg



Edit2:
Mal anders, wenn ich Asien ausschließen will, müsste das ja so aussehen:
58.0.0.0/255.0.0.0
59.0.0.0/255.0.0.0
60.0.0.0/255.0.0.0
61.0.0.0/255.0.0.0
121.0.0.0/255.0.0.0
122.0.0.0/255.0.0.0
123.0.0.0/255.0.0.0
124.0.0.0/255.0.0.0
125.0.0.0/255.0.0.0
126.0.0.0/255.0.0.0
202.0.0.0/255.0.0.0
203.0.0.0/255.0.0.0
210.0.0.0/255.0.0.0
211.0.0.0/255.0.0.0
218.0.0.0/255.0.0.0
219.0.0.0/255.0.0.0
220.0.0.0/255.0.0.0
221.0.0.0/255.0.0.0
222.0.0.0/255.0.0.0
200.0.0.0/255.0.0.0
201.0.0.0/255.0.0.0


oder? ^^


(Geändert von Barry Burton um 20:48 am Okt. 7, 2010)

Beiträge gesamt: 5906 | Durchschnitt: 1 Postings pro Tag
Registrierung: Jan. 2002 | Dabei seit: 8096 Tagen | Erstellt: 20:18 am 7. Okt. 2010