1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

Linux VServer

Dieses Thema im Forum "Geplauder, Fun und Chillzone" wurde erstellt von EEK, 4 August 2017.

  1. EEK

    EEK Member

    Registriert seit:
    20 Januar 2017
    Beiträge:
    38
    Ort:
    München
    Hallo zusammen,

    meine Frage gehört zwar wohl eher in ein Linux-Forum, aber da mir hier immer gut und freundlich geholfen wurde, und mir ehrlich gesagt das „elitäre“ Getue in den Linux-Foren auf die Nerven geht, stelle ich meine Frage einfach hier.

    Kurze Vorgeschichte:
    Ich bin jetzt seit knapp 12 Jahren in der IT. Erst als Programmierer, dann Hauptsächlich im Support für Windows (hört sich schlimmer an als es war :) ). Seit etwas über zwei Jahren bin ich zwar auf dem „Papier“ noch in der IT, mache aber hauptsächlich Kaufmännische Dinge. Ich wollte das nie machen und bin in dem Bereich leider wegen Firmenübernahme gelandet.

    Jedenfalls will ich aus dem Bereich wieder weg, und in Richtung Linux/Unix-Admin gehen, und beschäftige mich jetzt seit etwa 1,5 Jahre mit MacOS (dem Unix-Teil), FreeBSD und Linux. Ich bin sicherlich kein Profi, aber Anfänger auch nicht mehr.

    Ich habe mir zu Hause einen Debian-Printserver eingerichtet, habe 3 Raspberry Pi‘s und mehrere VM‘s zum üben. Das ganz ist am Anfang und zum Üben schön und gut, aber natürlich ist es jetzt nicht ganz damit zu vergleichen, vor allem was Sicherheit betrifft, wie einen „echten“-Server zu haben, der direkt im Internet hängt.

    Daher habe ich mir vor Woche einen Linux VServer angemietet.
    Ich habe SSH-Root Login untersagt bzw. SSH-Login nur für einen Benutzer ohne Admin-Rechte eingerichtet (Port 22 war auch der einzige offene Port. Mit nmap kontrolliert). Fail2ban installiert und eingerichtet, sichere Passwörter verwendet und auch so konfiguriert, dass diese alle 60 Tage geändert werden müssen. Sudo war nur für einen Nutzer erlaubt, der aber auch nur Updates damit installieren durfte, ansonsten durfte nur „root“ ändernungen am Sytstem vornehmen. Und ich habe, zumindest soweit möglich, die Logfiles auch täglich kontrolliet.
    Mir ging es nicht darum, gleich Apache-, Datenbank-, Mailserver… zu installieren, sondern erst mal einfach einen „nackten“ Server zum üben, und nach und nach das was ich auf meinem Server/VM‘s zu Hause gelernt habe, unter realen Bedingungen auf diesem Server zu „testen“.

    Ich habe heute den VServer wieder gekündigt (war ehrlich gesagt eine Kurzschlussreaktion) weil ich mir nicht sicher bin ob ich „gut genug“ bin und ich keine Lust darauf habe, mich finanziell zu ruinieren, wenn der Server doch gehackt wird und ich dafür haftbar gemacht werde.
    Ich muss auf der anderen Seite aber auch sagen, dass ich in der Woche sehr viel gelernt habe und ich es daher jetzt doch bereue.

    So, nun zu meiner eigentlichen Frage: Mir ist schon klar, dass mich hier keiner kennt/weiß was ich kann. Dass man nie sicher sein kann ob der Server nicht gehackt wird… und daher eine Antwort zumindest nicht gerade einfach ist. Aber vielleicht hat ja doch der eine oder andere einen Tipp, was man können sollte bzw. ab wann man sich einen eigenen Server zutrauen kann?

    Danke schon mal an alle, die sich den jetzt doch längeren Text durchgelsen haben.

    Gruß
     
  2. rubricanis

    rubricanis Homo ludens

    Registriert seit:
    22 August 2011
    Beiträge:
    658
    Ort:
    Ottendorf, Niederösterreich
    Ich habe vor einigen Jahren einige Zeit einen FreeBSD Server betrieben, nur um zu sehen wie das funktioniert und wie aufwendig das ist. Wenn man die üblichen, angemessenen Vorsichtsmaßnahmen trifft braucht man m.E. keine Angst wg.rechtlicher Konsequenzen haben. Absolute Sicherheit wird es eh nicht geben und überteiben braucht man es auch nicht. Bei mir sah das so aus dass ich den direkten Root-Zugang und PW für den user ganz gesperrt habe und dann via ssd (Putty von Win aus) und su den Server (mit Hilfe dieses Forums) gemanaged habe. Zwar habe ich dabei einge Grundlagen gelernt, aber mir ist auch klar geworden dass das mit ernsthafter Administration wenig zu tun hat, dazu gehört eine ganze Menge mehr...

    Wenn du dich also im prefessionellen Sinne weiter entwicklen willst wird dich das, abgesehen einmal von den Gundlagen, nicht allzu weit bringen. Vielleicht wäre eine Praktikum in einem professionellen Umfeld zunächst das richtige. Von Linux habe ich keine Ahnung, aber da wird auch nur mit Wasser gekocht denke ich. :rolleyes:
     
  3. Yamagi

    Yamagi Possessed With Psi Powers Mitarbeiter

    Registriert seit:
    14 April 2004
    Beiträge:
    8.747
    Ort:
    Schleswig-Holstein
    Nun, einfach einen nacken Server im Netz stehen zu haben ist kein großes Risiko. Solange man sich denn an einige recht simple und dir sicher auch klare Grundregeln hält:
    • Man sollte mit Passworten generell vorsichtig sein. Wenn man wie du sichere Kennwörter nutzt und sie regelmäßig ändert, ist es an sich ausreichend. Besser ist es aber Passwörter gleich komplett zu deaktivieren und SSH nur über SSH-Keys zu erlauben. Die Schlüssel idealerweise auch noch mit einem Kennwort sichern (ssh-keygen bietet das an), sodass nicht gleich alles verlorenen ist, wenn ein Schlüssel abhanden kommt.
    • Konfiguriere einen Paketfilter, in dem nur die Ports offen sind, die auch wirklich gebraucht werden. Das klingt erstmal sinnlos, schließlich sind ungenutzte Ports auch nicht offen. Es verhindert aber menschliche Fehler, wie z.B. ein falsch konfiguriertes Mail-Relay. Und es hilft auch gegen dumme Lücke in schlechter Software. Ein gutes Beispiel ist da ntpd, der vor einiger Zeit durch seine für die ganze Welt erreichbaren Management-Schnittstellen für Angriffe benutzt werden konnte.
    • Spiele regelmäßig Updates ein. Man kann (fast) alle Systeme dazu bringen einem täglich Berichte über potentiell angreifbare Pakete zuzuschicken. Unter FreeBSD geht das z.B. ganz von alleine in den Mails des root-Users. Aber eigentlich reicht es auch sich einen festen Updatetag vorzumerken. Also "Jeden zweiten Sonntag spiele ich Updates ein und mache anschließend meine Backups".
    Das eigentliche Risiko ergibt sich aus den Anwendungen. Und das ist natürlich ganz stark von der Art der Anwendung abhängig. Ein reiner Webserver ist fast risikolos, im schlimmsten Fall kann jemand Daten einsehen, die er nicht sehen soll. Ein Webserver mit PHP ist schon kritischer, je nach Art der PHP-Anwendung. Einige haben nur selten Lücken, andere (als Negativbeispiel z.B. Wordpress) haben häufiger hochriskannte Probleme. Die erlauben es denn auch schon mal Code auf deinen Server einzuschleusen. Die Kür sind Mailserver. Da kann (und wird) man wirklich viele fatale Fehler machen, wenn man sich nicht ausgiebig mit dem Thema befasst.

    Aber wir leben nicht mehr im Jahr 2000, wo dann gerne Mal durch eine Lücke in FTP-Server installiert und Kinderpornografie ausgeliefert wurde. Sowas mag in obskuren Einzelfällen noch vorkommen, aber der absolute Großteil bewegt sich heute in anderen, strafrechtlich wesentlich weniger kritischen Bereichen. Es werden Daten deiner Nutzer abgefischt. Man manipuliert die Website um durch Lücken in Browsern deine Besucher zu infizieren. Ein Spambot wird installiert und beginnt Spam-Mails in Massen zu verschicken. Das führt dann zu einer bösen Abuse-Mail deines Providers, der schlimmstenfalls den Stecker zieht. Und damit ist die Sache dann auch gegessen.

    Mein Tipp: Mietet dir bei Digital Ocean oder Vultr eine Billig-VM und leg los, lasse aber zu Beginn die Finger von dem wirklichen anspruchsvollen Kram wie den ja schon erwähnten Mailservern. Ansonsten stimme ich @rubricanis zu. Das ist leider letztendlich Spielzeug. Interessant wird es aus professioneller Sicht erst, wenn du den Cloud-Server automatisch über die API des Anbieters erstellst und anschließend mit Ansible, Saltstack oder einen ähnlichen System automatisiert durchkonfigurierst. Das ist ein schönes Projekt für lange Winterabende. :)
     
    Sickboy, Rakor und foxit gefällt das.
  4. rubricanis

    rubricanis Homo ludens

    Registriert seit:
    22 August 2011
    Beiträge:
    658
    Ort:
    Ottendorf, Niederösterreich
    OT: Ich meine das Problem bei Wordpress sind vor allem die Plugins von denen es jede Meng gibt. Wenn man bei einer einfachen Installation bleibt und keine besonderen Ansprüche stellt ist m.E. WP inzwischen akzeptabel. Klar, es gibt besseres, sicheres etc, aber kaum bequemeres...
     
  5. Yamagi

    Yamagi Possessed With Psi Powers Mitarbeiter

    Registriert seit:
    14 April 2004
    Beiträge:
    8.747
    Ort:
    Schleswig-Holstein
    Ja, das stimmt.
     
  6. EEK

    EEK Member

    Registriert seit:
    20 Januar 2017
    Beiträge:
    38
    Ort:
    München
    Dachte ich es mir doch, dass meine Kündigung des Servers doch etwas vorschnell war.
    Ich danke euch für die mehr als ausführlichen Antworten! Ich weiß schon, warum ich lieber hier als in einem anderen forum meine Fragen stelle.
     
  7. datasmurf

    datasmurf Happy FreeBSD User

    Registriert seit:
    9 April 2014
    Beiträge:
    58
    Ort:
    /boot
    Hallo,
    ich bin vor ein paar Tagen über https://www.arubacloud.com gestolpert. Es gibt eine große Auswahl von VPS auch mit FreeBSD 10.3. Kostet 1 Euro + Steuer macht 1,19 Euro. Mit VMware als Hypervisor 1 Core, 1 GB Ram, 20 GB HDD. ZFS Dateisystem Kann man bequem via PayPal zahlen. Einziger Nachteil kein rDNS.

    Code:
    Copyright (c) 1992-2016 The FreeBSD Project.
    Copyright (c) 1979, 1980, 1983, 1986, 1988, 1989, 1991, 1992, 1993, 1994
       The Regents of the University of California. All rights reserved.
    FreeBSD is a registered trademark of The FreeBSD Foundation.
    FreeBSD 10.3-RELEASE #0 r297264: Fri Mar 25 02:10:02 UTC 2016
      root@releng1.nyi.freebsd.org:/usr/obj/usr/src/sys/GENERIC amd64
    FreeBSD clang version 3.4.1 (tags/RELEASE_34/dot1-final 208032) 20140512
    CPU: Intel(R) Xeon(R) CPU E5-2650L v4 @ 1.70GHz (1700.00-MHz K8-class CPU)
      Origin="GenuineIntel"  Id=0x206d2  Family=0x6  Model=0x2d  Stepping=2
      Features=0xf83fbff<FPU,VME,DE,PSE,TSC,MSR,PAE,MCE,CX8,APIC,SEP,MTRR,PGE,MCA,CMOV,PAT,PSE36,MMX,FXSR,SSE,SSE2,SS>
      Features2=0x9e982203<SSE3,PCLMULQDQ,SSSE3,CX16,SSE4.1,SSE4.2,POPCNT,AESNI,XSAVE,OSXSAVE,AVX,HV>
      AMD Features=0x28100800<SYSCALL,NX,RDTSCP,LM>
      AMD Features2=0x1<LAHF>
      TSC: P-state invariant
    Hypervisor: Origin = "VMwareVMware"
    real memory  = 1073741824 (1024 MB)
    avail memory = 1006751744 (960 MB)
    Event timer "LAPIC" quality 600
    ACPI APIC Table: <PTLTD     APIC  >
    random: <Software, Yarrow> initialized
    MADT: Forcing active-low polarity and level trigger for SCI
    ioapic0 <Version 1.1> irqs 0-23 on motherboard
    kbd1 at kbdmux0
    acpi0: <INTEL 440BX> on motherboard
    acpi0: Power Button (fixed)
    Timecounter "HPET" frequency 14318180 Hz quality 950
    cpu0: <ACPI CPU> on acpi0
    attimer0: <AT timer> port 0x40-0x43 irq 0 on acpi0
    Timecounter "i8254" frequency 1193182 Hz quality 0
    Event timer "i8254" frequency 1193182 Hz quality 100
    atrtc0: <AT realtime clock> port 0x70-0x71 irq 8 on acpi0
    Event timer "RTC" frequency 32768 Hz quality 0
    Timecounter "ACPI-fast" frequency 3579545 Hz quality 900
    acpi_timer0: <24-bit timer at 3.579545MHz> port 0x1008-0x100b on acpi0
    pcib0: <ACPI Host-PCI bridge> port 0xcf8-0xcff on acpi0
    pci0: <ACPI PCI bus> on pcib0
    pcib1: <ACPI PCI-PCI bridge> at device 1.0 on pci0
    pci1: <ACPI PCI bus> on pcib1
    isab0: <PCI-ISA bridge> at device 7.0 on pci0
    isa0: <ISA bus> on isab0
    atapci0: <Intel PIIX4 UDMA33 controller> port 0x1f0-0x1f7,0x3f6,0x170-0x177,0x376,0x1060-0x106f at device 7.1 on pci0
    ata0: <ATA channel> at channel 0 on atapci0
    ata1: <ATA channel> at channel 1 on atapci0
    pci0: <bridge> at device 7.3 (no driver attached)
    vgapci0: <VGA-compatible display> port 0x1070-0x107f mem 0xec000000-0xefffffff,0xfe000000-0xfe7fffff irq 16 at device 15.0 on pci0
    vgapci0: Boot video device
    mpt0: <LSILogic 1030 Ultra4 Adapter> port 0x1400-0x14ff mem 0xfeba0000-0xfebbffff,0xfebc0000-0xfebdffff irq 17 at device 16.0 on pci0
    mpt0: MPI Version=1.2.0.0
    pcib2: <ACPI PCI-PCI bridge> at device 17.0 on pci0
    pci2: <ACPI PCI bus> on pcib2
    pcib3: <ACPI PCI-PCI bridge> at device 21.0 on pci0
    pci3: <ACPI PCI bus> on pcib3
    vmx0: <VMware VMXNET3 Ethernet Adapter> port 0x4000-0x400f mem 0xfd5fb000-0xfd5fbfff,0xfd5fc000-0xfd5fcfff,0xfd5fe000-0xfd5fffff irq 18 at device 0.0 on pci3
    vmx0: Ethernet address: 00:50:56:9e:e6:b6
    pcib4: <ACPI PCI-PCI bridge> at device 21.1 on pci0
    pci4: <ACPI PCI bus> on pcib4
    pcib5: <ACPI PCI-PCI bridge> at device 21.2 on pci0
    pci5: <ACPI PCI bus> on pcib5
    pcib6: <ACPI PCI-PCI bridge> at device 21.3 on pci0
    pci6: <ACPI PCI bus> on pcib6
    pcib7: <ACPI PCI-PCI bridge> at device 21.4 on pci0
    pci7: <ACPI PCI bus> on pcib7
    pcib8: <ACPI PCI-PCI bridge> at device 21.5 on pci0
    pci8: <ACPI PCI bus> on pcib8
    pcib9: <ACPI PCI-PCI bridge> at device 21.6 on pci0
    pci9: <ACPI PCI bus> on pcib9
    pcib10: <ACPI PCI-PCI bridge> at device 21.7 on pci0
    pci10: <ACPI PCI bus> on pcib10
    pcib11: <ACPI PCI-PCI bridge> at device 22.0 on pci0
    pci11: <ACPI PCI bus> on pcib11
    vmx1: <VMware VMXNET3 Ethernet Adapter> port 0x5000-0x500f mem 0xfd4fb000-0xfd4fbfff,0xfd4fc000-0xfd4fcfff,0xfd4fe000-0xfd4fffff irq 19 at device 0.0 on pci11
    vmx1: Ethernet address: 00:50:56:9e:57:98
    pcib12: <ACPI PCI-PCI bridge> at device 22.1 on pci0
    pci12: <ACPI PCI bus> on pcib12
    pcib13: <ACPI PCI-PCI bridge> at device 22.2 on pci0
    pci13: <ACPI PCI bus> on pcib13
    pcib14: <ACPI PCI-PCI bridge> at device 22.3 on pci0
    pci14: <ACPI PCI bus> on pcib14
    pcib15: <ACPI PCI-PCI bridge> at device 22.4 on pci0
    pci15: <ACPI PCI bus> on pcib15
    pcib16: <ACPI PCI-PCI bridge> at device 22.5 on pci0
    pci16: <ACPI PCI bus> on pcib16
    pcib17: <ACPI PCI-PCI bridge> at device 22.6 on pci0
    pci17: <ACPI PCI bus> on pcib17
    pcib18: <ACPI PCI-PCI bridge> at device 22.7 on pci0
    pci18: <ACPI PCI bus> on pcib18
    pcib19: <ACPI PCI-PCI bridge> at device 23.0 on pci0
    pci19: <ACPI PCI bus> on pcib19
    vmx2: <VMware VMXNET3 Ethernet Adapter> port 0x6000-0x600f mem 0xfd3fb000-0xfd3fbfff,0xfd3fc000-0xfd3fcfff,0xfd3fe000-0xfd3fffff irq 16 at device 0.0 on pci19
    vmx2: Ethernet address: 00:50:56:9e:38:8e
    pcib20: <ACPI PCI-PCI bridge> at device 23.1 on pci0
    pci20: <ACPI PCI bus> on pcib20
    pcib21: <ACPI PCI-PCI bridge> at device 23.2 on pci0
    pci21: <ACPI PCI bus> on pcib21
    pcib22: <ACPI PCI-PCI bridge> at device 23.3 on pci0
    pci22: <ACPI PCI bus> on pcib22
    pcib23: <ACPI PCI-PCI bridge> at device 23.4 on pci0
    pci23: <ACPI PCI bus> on pcib23
    pcib24: <ACPI PCI-PCI bridge> at device 23.5 on pci0
    pci24: <ACPI PCI bus> on pcib24
    pcib25: <ACPI PCI-PCI bridge> at device 23.6 on pci0
    pci25: <ACPI PCI bus> on pcib25
    pcib26: <ACPI PCI-PCI bridge> at device 23.7 on pci0
    pci26: <ACPI PCI bus> on pcib26
    pcib27: <ACPI PCI-PCI bridge> at device 24.0 on pci0
    pci27: <ACPI PCI bus> on pcib27
    pcib28: <ACPI PCI-PCI bridge> at device 24.1 on pci0
    pci28: <ACPI PCI bus> on pcib28
    pcib29: <ACPI PCI-PCI bridge> at device 24.2 on pci0
    pci29: <ACPI PCI bus> on pcib29
    pcib30: <ACPI PCI-PCI bridge> at device 24.3 on pci0
    pci30: <ACPI PCI bus> on pcib30
    pcib31: <ACPI PCI-PCI bridge> at device 24.4 on pci0
    pci31: <ACPI PCI bus> on pcib31
    pcib32: <ACPI PCI-PCI bridge> at device 24.5 on pci0
    pci32: <ACPI PCI bus> on pcib32
    pcib33: <ACPI PCI-PCI bridge> at device 24.6 on pci0
    pci33: <ACPI PCI bus> on pcib33
    pcib34: <ACPI PCI-PCI bridge> at device 24.7 on pci0
    pci34: <ACPI PCI bus> on pcib34
    acpi_acad0: <AC Adapter> on acpi0
    atkbdc0: <Keyboard controller (i8042)> port 0x60,0x64 irq 1 on acpi0
    atkbd0: <AT Keyboard> irq 1 on atkbdc0
    kbd0 at atkbd0
    atkbd0: [GIANT-LOCKED]
    psm0: <PS/2 Mouse> irq 12 on atkbdc0
    psm0: [GIANT-LOCKED]
    psm0: model IntelliMouse, device ID 3
    ppc0: <Parallel port> port 0x378-0x37b irq 7 on acpi0
    ppc0: Generic chipset (NIBBLE-only) in COMPATIBLE mode
    ppbus0: <Parallel port bus> on ppc0
    lpt0: <Printer> on ppbus0
    lpt0: Interrupt-driven port
    ppi0: <Parallel I/O> on ppbus0
    uart0: <16550 or compatible> port 0x3f8-0x3ff irq 4 flags 0x10 on acpi0
    uart1: <16550 or compatible> port 0x2f8-0x2ff irq 3 on acpi0
    fdc0: <floppy drive controller> port 0x3f0-0x3f5,0x3f7 irq 6 drq 2 on acpi0
    fd0: <1440-KB 3.5" drive> on fdc0 drive 0
    orm0: <ISA Option ROMs> at iomem 0xc0000-0xc7fff,0xca000-0xcafff,0xcb000-0xcbfff,0xcc000-0xccfff,0xdc000-0xdffff,0xe0000-0xe7fff on isa0
    sc0: <System console> at flags 0x100 on isa0
    sc0: VGA <16 virtual consoles, flags=0x300>
    vga0: <Generic ISA VGA> at port 0x3c0-0x3df iomem 0xa0000-0xbffff on isa0
    ZFS NOTICE: Prefetch is disabled by default if less than 4GB of RAM is present;
      to enable, add "vfs.zfs.prefetch_disable=0" to /boot/loader.conf.
    ZFS filesystem version: 5
    ZFS storage pool version: features support (5000)
    Timecounters tick every 1.000 msec
    random: unblocking device.
    cd0 at ata1 bus 0 scbus1 target 0 lun 0
    cd0: <NECVMWar VMware IDE CDR10 1.00> Removable CD-ROM SCSI device
    cd0: Serial Number 10000000000000000001
    cd0: 33.300MB/s transfers (UDMA2, ATAPI 12bytes, PIO 65534bytes)
    cd0: Attempt to query device size failed: NOT READY, Medium not present
    cd0: quirks=0x40<RETRY_BUSY>
    da0 at mpt0 bus 0 scbus2 target 0 lun 0
    da0: <VMware Virtual disk 1.0> Fixed Direct Access SCSI-2 device
    da0: 320.000MB/s transfers (160.000MHz, offset 127, 16bit)
    da0: Command Queueing enabled
    da0: 20480MB (41943040 512 byte sectors)
    da0: quirks=0x40<RETRY_BUSY>
    Timecounter "TSC" frequency 1699999000 Hz quality 1000
    Trying to mount root from zfs:zroot/ROOT/default []...
    vmx0: link state changed to UP
    VMware memory control driver initialized
    Waiting (max 60 seconds) for system process `vnlru' to stop...done
    Waiting (max 60 seconds) for system process `bufdaemon' to stop...done
    Waiting (max 60 seconds) for system process `syncer' to stop...
    Syncing disks, vnodes remaining...0 0 0 0 done
    All buffers synced.
    Uptime: 22h56m56s
    
     
  8. midnight

    midnight OpenBSD

    Registriert seit:
    1 Januar 2007
    Beiträge:
    214
  9. EEK

    EEK Member

    Registriert seit:
    20 Januar 2017
    Beiträge:
    38
    Ort:
    München
    Ging das an mich, oder an die Allgemeinheit?
     
  10. mogbo

    mogbo Does it run under Windows? Who cares?

    Registriert seit:
    12 September 2016
    Beiträge:
    351
    Höchste Sicherheitsstandarts
     
  11. datasmurf

    datasmurf Happy FreeBSD User

    Registriert seit:
    9 April 2014
    Beiträge:
    58
    Ort:
    /boot
    Sowohl als auch.
     
  12. zyon

    zyon Rule Zero

    Registriert seit:
    7 Mai 2006
    Beiträge:
    421
    Ort:
    Hannover
    Mit "RS 1000 G7 SE" also OpenBSD Server von https://www.netcup.de/ sehr zufrieden. Linux sollte somit kein Problem sein. Fertige Images von Debian bis FreeBSD haben sie da