• Diese Seite verwendet Cookies. Indem du diese Website weiterhin nutzt, erklärst du dich mit der Verwendung von Cookies einverstanden. Erfahre mehr

Linux VServer

EEK

Well-Known Member
Themenstarter #1
Hallo zusammen,

meine Frage gehört zwar wohl eher in ein Linux-Forum, aber da mir hier immer gut und freundlich geholfen wurde, und mir ehrlich gesagt das „elitäre“ Getue in den Linux-Foren auf die Nerven geht, stelle ich meine Frage einfach hier.

Kurze Vorgeschichte:
Ich bin jetzt seit knapp 12 Jahren in der IT. Erst als Programmierer, dann Hauptsächlich im Support für Windows (hört sich schlimmer an als es war :) ). Seit etwas über zwei Jahren bin ich zwar auf dem „Papier“ noch in der IT, mache aber hauptsächlich Kaufmännische Dinge. Ich wollte das nie machen und bin in dem Bereich leider wegen Firmenübernahme gelandet.

Jedenfalls will ich aus dem Bereich wieder weg, und in Richtung Linux/Unix-Admin gehen, und beschäftige mich jetzt seit etwa 1,5 Jahre mit MacOS (dem Unix-Teil), FreeBSD und Linux. Ich bin sicherlich kein Profi, aber Anfänger auch nicht mehr.

Ich habe mir zu Hause einen Debian-Printserver eingerichtet, habe 3 Raspberry Pi‘s und mehrere VM‘s zum üben. Das ganz ist am Anfang und zum Üben schön und gut, aber natürlich ist es jetzt nicht ganz damit zu vergleichen, vor allem was Sicherheit betrifft, wie einen „echten“-Server zu haben, der direkt im Internet hängt.

Daher habe ich mir vor Woche einen Linux VServer angemietet.
Ich habe SSH-Root Login untersagt bzw. SSH-Login nur für einen Benutzer ohne Admin-Rechte eingerichtet (Port 22 war auch der einzige offene Port. Mit nmap kontrolliert). Fail2ban installiert und eingerichtet, sichere Passwörter verwendet und auch so konfiguriert, dass diese alle 60 Tage geändert werden müssen. Sudo war nur für einen Nutzer erlaubt, der aber auch nur Updates damit installieren durfte, ansonsten durfte nur „root“ ändernungen am Sytstem vornehmen. Und ich habe, zumindest soweit möglich, die Logfiles auch täglich kontrolliet.
Mir ging es nicht darum, gleich Apache-, Datenbank-, Mailserver… zu installieren, sondern erst mal einfach einen „nackten“ Server zum üben, und nach und nach das was ich auf meinem Server/VM‘s zu Hause gelernt habe, unter realen Bedingungen auf diesem Server zu „testen“.

Ich habe heute den VServer wieder gekündigt (war ehrlich gesagt eine Kurzschlussreaktion) weil ich mir nicht sicher bin ob ich „gut genug“ bin und ich keine Lust darauf habe, mich finanziell zu ruinieren, wenn der Server doch gehackt wird und ich dafür haftbar gemacht werde.
Ich muss auf der anderen Seite aber auch sagen, dass ich in der Woche sehr viel gelernt habe und ich es daher jetzt doch bereue.

So, nun zu meiner eigentlichen Frage: Mir ist schon klar, dass mich hier keiner kennt/weiß was ich kann. Dass man nie sicher sein kann ob der Server nicht gehackt wird… und daher eine Antwort zumindest nicht gerade einfach ist. Aber vielleicht hat ja doch der eine oder andere einen Tipp, was man können sollte bzw. ab wann man sich einen eigenen Server zutrauen kann?

Danke schon mal an alle, die sich den jetzt doch längeren Text durchgelsen haben.

Gruß
 
#2
Ich habe vor einigen Jahren einige Zeit einen FreeBSD Server betrieben, nur um zu sehen wie das funktioniert und wie aufwendig das ist. Wenn man die üblichen, angemessenen Vorsichtsmaßnahmen trifft braucht man m.E. keine Angst wg.rechtlicher Konsequenzen haben. Absolute Sicherheit wird es eh nicht geben und überteiben braucht man es auch nicht. Bei mir sah das so aus dass ich den direkten Root-Zugang und PW für den user ganz gesperrt habe und dann via ssd (Putty von Win aus) und su den Server (mit Hilfe dieses Forums) gemanaged habe. Zwar habe ich dabei einge Grundlagen gelernt, aber mir ist auch klar geworden dass das mit ernsthafter Administration wenig zu tun hat, dazu gehört eine ganze Menge mehr...

Wenn du dich also im prefessionellen Sinne weiter entwicklen willst wird dich das, abgesehen einmal von den Gundlagen, nicht allzu weit bringen. Vielleicht wäre eine Praktikum in einem professionellen Umfeld zunächst das richtige. Von Linux habe ich keine Ahnung, aber da wird auch nur mit Wasser gekocht denke ich. :rolleyes:
 

Yamagi

Possessed With Psi Powers
Mitarbeiter
#3
Nun, einfach einen nacken Server im Netz stehen zu haben ist kein großes Risiko. Solange man sich denn an einige recht simple und dir sicher auch klare Grundregeln hält:
  • Man sollte mit Passworten generell vorsichtig sein. Wenn man wie du sichere Kennwörter nutzt und sie regelmäßig ändert, ist es an sich ausreichend. Besser ist es aber Passwörter gleich komplett zu deaktivieren und SSH nur über SSH-Keys zu erlauben. Die Schlüssel idealerweise auch noch mit einem Kennwort sichern (ssh-keygen bietet das an), sodass nicht gleich alles verlorenen ist, wenn ein Schlüssel abhanden kommt.
  • Konfiguriere einen Paketfilter, in dem nur die Ports offen sind, die auch wirklich gebraucht werden. Das klingt erstmal sinnlos, schließlich sind ungenutzte Ports auch nicht offen. Es verhindert aber menschliche Fehler, wie z.B. ein falsch konfiguriertes Mail-Relay. Und es hilft auch gegen dumme Lücke in schlechter Software. Ein gutes Beispiel ist da ntpd, der vor einiger Zeit durch seine für die ganze Welt erreichbaren Management-Schnittstellen für Angriffe benutzt werden konnte.
  • Spiele regelmäßig Updates ein. Man kann (fast) alle Systeme dazu bringen einem täglich Berichte über potentiell angreifbare Pakete zuzuschicken. Unter FreeBSD geht das z.B. ganz von alleine in den Mails des root-Users. Aber eigentlich reicht es auch sich einen festen Updatetag vorzumerken. Also "Jeden zweiten Sonntag spiele ich Updates ein und mache anschließend meine Backups".
Das eigentliche Risiko ergibt sich aus den Anwendungen. Und das ist natürlich ganz stark von der Art der Anwendung abhängig. Ein reiner Webserver ist fast risikolos, im schlimmsten Fall kann jemand Daten einsehen, die er nicht sehen soll. Ein Webserver mit PHP ist schon kritischer, je nach Art der PHP-Anwendung. Einige haben nur selten Lücken, andere (als Negativbeispiel z.B. Wordpress) haben häufiger hochriskannte Probleme. Die erlauben es denn auch schon mal Code auf deinen Server einzuschleusen. Die Kür sind Mailserver. Da kann (und wird) man wirklich viele fatale Fehler machen, wenn man sich nicht ausgiebig mit dem Thema befasst.

Aber wir leben nicht mehr im Jahr 2000, wo dann gerne Mal durch eine Lücke in FTP-Server installiert und Kinderpornografie ausgeliefert wurde. Sowas mag in obskuren Einzelfällen noch vorkommen, aber der absolute Großteil bewegt sich heute in anderen, strafrechtlich wesentlich weniger kritischen Bereichen. Es werden Daten deiner Nutzer abgefischt. Man manipuliert die Website um durch Lücken in Browsern deine Besucher zu infizieren. Ein Spambot wird installiert und beginnt Spam-Mails in Massen zu verschicken. Das führt dann zu einer bösen Abuse-Mail deines Providers, der schlimmstenfalls den Stecker zieht. Und damit ist die Sache dann auch gegessen.

Mein Tipp: Mietet dir bei Digital Ocean oder Vultr eine Billig-VM und leg los, lasse aber zu Beginn die Finger von dem wirklichen anspruchsvollen Kram wie den ja schon erwähnten Mailservern. Ansonsten stimme ich @rubricanis zu. Das ist leider letztendlich Spielzeug. Interessant wird es aus professioneller Sicht erst, wenn du den Cloud-Server automatisch über die API des Anbieters erstellst und anschließend mit Ansible, Saltstack oder einen ähnlichen System automatisiert durchkonfigurierst. Das ist ein schönes Projekt für lange Winterabende. :)
 
#4
Einige haben nur selten Lücken, andere (als Negativbeispiel z.B. Wordpress) haben häufiger hochriskannte Probleme
OT: Ich meine das Problem bei Wordpress sind vor allem die Plugins von denen es jede Meng gibt. Wenn man bei einer einfachen Installation bleibt und keine besonderen Ansprüche stellt ist m.E. WP inzwischen akzeptabel. Klar, es gibt besseres, sicheres etc, aber kaum bequemeres...
 

EEK

Well-Known Member
Themenstarter #6
Dachte ich es mir doch, dass meine Kündigung des Servers doch etwas vorschnell war.
Ich danke euch für die mehr als ausführlichen Antworten! Ich weiß schon, warum ich lieber hier als in einem anderen forum meine Fragen stelle.
 

datasmurf

Happy FreeBSD User
#7
Hallo,
ich bin vor ein paar Tagen über https://www.arubacloud.com gestolpert. Es gibt eine große Auswahl von VPS auch mit FreeBSD 10.3. Kostet 1 Euro + Steuer macht 1,19 Euro. Mit VMware als Hypervisor 1 Core, 1 GB Ram, 20 GB HDD. ZFS Dateisystem Kann man bequem via PayPal zahlen. Einziger Nachteil kein rDNS.

Code:
Copyright (c) 1992-2016 The FreeBSD Project.
Copyright (c) 1979, 1980, 1983, 1986, 1988, 1989, 1991, 1992, 1993, 1994
   The Regents of the University of California. All rights reserved.
FreeBSD is a registered trademark of The FreeBSD Foundation.
FreeBSD 10.3-RELEASE #0 r297264: Fri Mar 25 02:10:02 UTC 2016
  root@releng1.nyi.freebsd.org:/usr/obj/usr/src/sys/GENERIC amd64
FreeBSD clang version 3.4.1 (tags/RELEASE_34/dot1-final 208032) 20140512
CPU: Intel(R) Xeon(R) CPU E5-2650L v4 @ 1.70GHz (1700.00-MHz K8-class CPU)
  Origin="GenuineIntel"  Id=0x206d2  Family=0x6  Model=0x2d  Stepping=2
  Features=0xf83fbff<FPU,VME,DE,PSE,TSC,MSR,PAE,MCE,CX8,APIC,SEP,MTRR,PGE,MCA,CMOV,PAT,PSE36,MMX,FXSR,SSE,SSE2,SS>
  Features2=0x9e982203<SSE3,PCLMULQDQ,SSSE3,CX16,SSE4.1,SSE4.2,POPCNT,AESNI,XSAVE,OSXSAVE,AVX,HV>
  AMD Features=0x28100800<SYSCALL,NX,RDTSCP,LM>
  AMD Features2=0x1<LAHF>
  TSC: P-state invariant
Hypervisor: Origin = "VMwareVMware"
real memory  = 1073741824 (1024 MB)
avail memory = 1006751744 (960 MB)
Event timer "LAPIC" quality 600
ACPI APIC Table: <PTLTD     APIC  >
random: <Software, Yarrow> initialized
MADT: Forcing active-low polarity and level trigger for SCI
ioapic0 <Version 1.1> irqs 0-23 on motherboard
kbd1 at kbdmux0
acpi0: <INTEL 440BX> on motherboard
acpi0: Power Button (fixed)
Timecounter "HPET" frequency 14318180 Hz quality 950
cpu0: <ACPI CPU> on acpi0
attimer0: <AT timer> port 0x40-0x43 irq 0 on acpi0
Timecounter "i8254" frequency 1193182 Hz quality 0
Event timer "i8254" frequency 1193182 Hz quality 100
atrtc0: <AT realtime clock> port 0x70-0x71 irq 8 on acpi0
Event timer "RTC" frequency 32768 Hz quality 0
Timecounter "ACPI-fast" frequency 3579545 Hz quality 900
acpi_timer0: <24-bit timer at 3.579545MHz> port 0x1008-0x100b on acpi0
pcib0: <ACPI Host-PCI bridge> port 0xcf8-0xcff on acpi0
pci0: <ACPI PCI bus> on pcib0
pcib1: <ACPI PCI-PCI bridge> at device 1.0 on pci0
pci1: <ACPI PCI bus> on pcib1
isab0: <PCI-ISA bridge> at device 7.0 on pci0
isa0: <ISA bus> on isab0
atapci0: <Intel PIIX4 UDMA33 controller> port 0x1f0-0x1f7,0x3f6,0x170-0x177,0x376,0x1060-0x106f at device 7.1 on pci0
ata0: <ATA channel> at channel 0 on atapci0
ata1: <ATA channel> at channel 1 on atapci0
pci0: <bridge> at device 7.3 (no driver attached)
vgapci0: <VGA-compatible display> port 0x1070-0x107f mem 0xec000000-0xefffffff,0xfe000000-0xfe7fffff irq 16 at device 15.0 on pci0
vgapci0: Boot video device
mpt0: <LSILogic 1030 Ultra4 Adapter> port 0x1400-0x14ff mem 0xfeba0000-0xfebbffff,0xfebc0000-0xfebdffff irq 17 at device 16.0 on pci0
mpt0: MPI Version=1.2.0.0
pcib2: <ACPI PCI-PCI bridge> at device 17.0 on pci0
pci2: <ACPI PCI bus> on pcib2
pcib3: <ACPI PCI-PCI bridge> at device 21.0 on pci0
pci3: <ACPI PCI bus> on pcib3
vmx0: <VMware VMXNET3 Ethernet Adapter> port 0x4000-0x400f mem 0xfd5fb000-0xfd5fbfff,0xfd5fc000-0xfd5fcfff,0xfd5fe000-0xfd5fffff irq 18 at device 0.0 on pci3
vmx0: Ethernet address: 00:50:56:9e:e6:b6
pcib4: <ACPI PCI-PCI bridge> at device 21.1 on pci0
pci4: <ACPI PCI bus> on pcib4
pcib5: <ACPI PCI-PCI bridge> at device 21.2 on pci0
pci5: <ACPI PCI bus> on pcib5
pcib6: <ACPI PCI-PCI bridge> at device 21.3 on pci0
pci6: <ACPI PCI bus> on pcib6
pcib7: <ACPI PCI-PCI bridge> at device 21.4 on pci0
pci7: <ACPI PCI bus> on pcib7
pcib8: <ACPI PCI-PCI bridge> at device 21.5 on pci0
pci8: <ACPI PCI bus> on pcib8
pcib9: <ACPI PCI-PCI bridge> at device 21.6 on pci0
pci9: <ACPI PCI bus> on pcib9
pcib10: <ACPI PCI-PCI bridge> at device 21.7 on pci0
pci10: <ACPI PCI bus> on pcib10
pcib11: <ACPI PCI-PCI bridge> at device 22.0 on pci0
pci11: <ACPI PCI bus> on pcib11
vmx1: <VMware VMXNET3 Ethernet Adapter> port 0x5000-0x500f mem 0xfd4fb000-0xfd4fbfff,0xfd4fc000-0xfd4fcfff,0xfd4fe000-0xfd4fffff irq 19 at device 0.0 on pci11
vmx1: Ethernet address: 00:50:56:9e:57:98
pcib12: <ACPI PCI-PCI bridge> at device 22.1 on pci0
pci12: <ACPI PCI bus> on pcib12
pcib13: <ACPI PCI-PCI bridge> at device 22.2 on pci0
pci13: <ACPI PCI bus> on pcib13
pcib14: <ACPI PCI-PCI bridge> at device 22.3 on pci0
pci14: <ACPI PCI bus> on pcib14
pcib15: <ACPI PCI-PCI bridge> at device 22.4 on pci0
pci15: <ACPI PCI bus> on pcib15
pcib16: <ACPI PCI-PCI bridge> at device 22.5 on pci0
pci16: <ACPI PCI bus> on pcib16
pcib17: <ACPI PCI-PCI bridge> at device 22.6 on pci0
pci17: <ACPI PCI bus> on pcib17
pcib18: <ACPI PCI-PCI bridge> at device 22.7 on pci0
pci18: <ACPI PCI bus> on pcib18
pcib19: <ACPI PCI-PCI bridge> at device 23.0 on pci0
pci19: <ACPI PCI bus> on pcib19
vmx2: <VMware VMXNET3 Ethernet Adapter> port 0x6000-0x600f mem 0xfd3fb000-0xfd3fbfff,0xfd3fc000-0xfd3fcfff,0xfd3fe000-0xfd3fffff irq 16 at device 0.0 on pci19
vmx2: Ethernet address: 00:50:56:9e:38:8e
pcib20: <ACPI PCI-PCI bridge> at device 23.1 on pci0
pci20: <ACPI PCI bus> on pcib20
pcib21: <ACPI PCI-PCI bridge> at device 23.2 on pci0
pci21: <ACPI PCI bus> on pcib21
pcib22: <ACPI PCI-PCI bridge> at device 23.3 on pci0
pci22: <ACPI PCI bus> on pcib22
pcib23: <ACPI PCI-PCI bridge> at device 23.4 on pci0
pci23: <ACPI PCI bus> on pcib23
pcib24: <ACPI PCI-PCI bridge> at device 23.5 on pci0
pci24: <ACPI PCI bus> on pcib24
pcib25: <ACPI PCI-PCI bridge> at device 23.6 on pci0
pci25: <ACPI PCI bus> on pcib25
pcib26: <ACPI PCI-PCI bridge> at device 23.7 on pci0
pci26: <ACPI PCI bus> on pcib26
pcib27: <ACPI PCI-PCI bridge> at device 24.0 on pci0
pci27: <ACPI PCI bus> on pcib27
pcib28: <ACPI PCI-PCI bridge> at device 24.1 on pci0
pci28: <ACPI PCI bus> on pcib28
pcib29: <ACPI PCI-PCI bridge> at device 24.2 on pci0
pci29: <ACPI PCI bus> on pcib29
pcib30: <ACPI PCI-PCI bridge> at device 24.3 on pci0
pci30: <ACPI PCI bus> on pcib30
pcib31: <ACPI PCI-PCI bridge> at device 24.4 on pci0
pci31: <ACPI PCI bus> on pcib31
pcib32: <ACPI PCI-PCI bridge> at device 24.5 on pci0
pci32: <ACPI PCI bus> on pcib32
pcib33: <ACPI PCI-PCI bridge> at device 24.6 on pci0
pci33: <ACPI PCI bus> on pcib33
pcib34: <ACPI PCI-PCI bridge> at device 24.7 on pci0
pci34: <ACPI PCI bus> on pcib34
acpi_acad0: <AC Adapter> on acpi0
atkbdc0: <Keyboard controller (i8042)> port 0x60,0x64 irq 1 on acpi0
atkbd0: <AT Keyboard> irq 1 on atkbdc0
kbd0 at atkbd0
atkbd0: [GIANT-LOCKED]
psm0: <PS/2 Mouse> irq 12 on atkbdc0
psm0: [GIANT-LOCKED]
psm0: model IntelliMouse, device ID 3
ppc0: <Parallel port> port 0x378-0x37b irq 7 on acpi0
ppc0: Generic chipset (NIBBLE-only) in COMPATIBLE mode
ppbus0: <Parallel port bus> on ppc0
lpt0: <Printer> on ppbus0
lpt0: Interrupt-driven port
ppi0: <Parallel I/O> on ppbus0
uart0: <16550 or compatible> port 0x3f8-0x3ff irq 4 flags 0x10 on acpi0
uart1: <16550 or compatible> port 0x2f8-0x2ff irq 3 on acpi0
fdc0: <floppy drive controller> port 0x3f0-0x3f5,0x3f7 irq 6 drq 2 on acpi0
fd0: <1440-KB 3.5" drive> on fdc0 drive 0
orm0: <ISA Option ROMs> at iomem 0xc0000-0xc7fff,0xca000-0xcafff,0xcb000-0xcbfff,0xcc000-0xccfff,0xdc000-0xdffff,0xe0000-0xe7fff on isa0
sc0: <System console> at flags 0x100 on isa0
sc0: VGA <16 virtual consoles, flags=0x300>
vga0: <Generic ISA VGA> at port 0x3c0-0x3df iomem 0xa0000-0xbffff on isa0
ZFS NOTICE: Prefetch is disabled by default if less than 4GB of RAM is present;
  to enable, add "vfs.zfs.prefetch_disable=0" to /boot/loader.conf.
ZFS filesystem version: 5
ZFS storage pool version: features support (5000)
Timecounters tick every 1.000 msec
random: unblocking device.
cd0 at ata1 bus 0 scbus1 target 0 lun 0
cd0: <NECVMWar VMware IDE CDR10 1.00> Removable CD-ROM SCSI device
cd0: Serial Number 10000000000000000001
cd0: 33.300MB/s transfers (UDMA2, ATAPI 12bytes, PIO 65534bytes)
cd0: Attempt to query device size failed: NOT READY, Medium not present
cd0: quirks=0x40<RETRY_BUSY>
da0 at mpt0 bus 0 scbus2 target 0 lun 0
da0: <VMware Virtual disk 1.0> Fixed Direct Access SCSI-2 device
da0: 320.000MB/s transfers (160.000MHz, offset 127, 16bit)
da0: Command Queueing enabled
da0: 20480MB (41943040 512 byte sectors)
da0: quirks=0x40<RETRY_BUSY>
Timecounter "TSC" frequency 1699999000 Hz quality 1000
Trying to mount root from zfs:zroot/ROOT/default []...
vmx0: link state changed to UP
VMware memory control driver initialized
Waiting (max 60 seconds) for system process `vnlru' to stop...done
Waiting (max 60 seconds) for system process `bufdaemon' to stop...done
Waiting (max 60 seconds) for system process `syncer' to stop...
Syncing disks, vnodes remaining...0 0 0 0 done
All buffers synced.
Uptime: 22h56m56s