iptables blockt mail - bin am verzweifeln

**karx11erx** · 18.03.08, 16:56

Hallo,

ich habe mir (notgedrungen) einen V-Server für meinen Internet-Auftritt zugelegt (debian 4/confixx 3). Da ich für die Absicherung selber zuständig bin, habe ich mir ein iptables-Script aus einem Tutorial zurechtgeschnitzt. Leider funktionieren meine Mail Services nicht mehr, sobald ich das Script ausführe. Das Mail-Programm ist postfix.

Ich bekomme folgende Fehlermeldung:

Host or domain name not found. Name service error for name=hotmail.com type=MX: Host not found

Das gilt für jede E-Mail-Adresse die ich verwendet habe, nicht nur hotmail.

/etc/resolv.conf enthält folgende Einträge:

Code:

nameserver 88.80.192.118
nameserver 88.80.192.119

Hier mein iptables-Script:

Code:

#!/bin/sh
#
# iptables firewall script v1.0
#
# http://www.online-tutorials.net/
# 

# Siehe: ifconfig oder ip addr
# In meinem Fall:
# - läuft das VPN zum Internet Provider über device eth1
# - heißt das VPN device default
# - läuft interne Netzwerk in das ich routen will über device eth0
EXT_NET_DEV=eth1
EXT_DEV=default
INT_DEV=eth0

#Der Pfad zur iptables
IPTABLES=/sbin/iptables

#TCP ports
# 21 FTP
# 25 SMTP (Emails verschicken)
# 587 SMTP (alternativ)
# 80 HTTP
# 110 POP3 (Email per POP3)
# 143 IMAP (Email per IMAP)
# 993 IMAP SSL (Email per IMAP verschlüsselt)
# 443 HTTPS
# 1863 MSN
# 5190 ICQ
# 5222 Jabber
# 6667 IRC
# 6668 IRC 

NAT_FORWARDING_TCP_PORT="21,25,80,110,143,443,587,993,5190,5222,6667,6668,1863"

#SSH, Mail, HTML-Ports
INPUT_INTERNET_TCP_PORT="22,25,80,110,143,443,587,993" 
OUTPUT_INTERNET_TCP_PORT="22,25,80,110,143,443,587,993" 
INPUT_INTERNET_UDP_PORT="9424"
OUTPUT_INTERNET_UDP_PORT="9424"
NAMESERVER1="88.80.192.118/32"
NAMESERVER2="88.80.192.119/32"

#echo "Drop corrupt packets (need module, otherwise turn statement into a comment)"
#$IPTABLES -A FORWARD -m unclean -j DROP
#$IPTABLES -A INPUT  -m unclean -j DROP
#echo "Drop packets from the external network that have an internal address"
#$IPTABLES -t nat -A PREROUTING -i $EXT_DEV -s 192.168.0.0/16 -j DROP
#$IPTABLES -t nat -A PREROUTING -i $EXT_DEV -s 10.0.0.0/8 -j DROP
#$IPTABLES -t nat -A PREROUTING -i $EXT_DEV -s 172.16.0.0/12 -j DROP
#$IPTABLES -t nat -A PREROUTING -i $EXT_DEV -s 127.0.0.0/8 -j DROP

echo "Defining the INPUT rules"
echo "   vpn"
$IPTABLES -A INPUT -i $EXT_NET_DEV -j ACCEPT 
echo "   accept each lo connection"
$IPTABLES -A INPUT -i lo -j ACCEPT 
echo "   icmp"
$IPTABLES -A INPUT -p icmp -j ACCEPT
$IPTABLES -A INPUT -s 0.0.0.0/0 -p tcp -m multiport --dport $INPUT_INTERNET_TCP_PORT -j ACCEPT  
echo "   syn packages"
$IPTABLES -A INPUT -p tcp ! --syn -j ACCEPT 
echo "   internal"
$IPTABLES -A INPUT -s 0.0.0.0/0 -p udp --dport $INPUT_INTERNET_UDP_PORT -j ACCEPT   
echo "   internet"
iptables -A INPUT -p udp -s $NAMESERVER1 --sport 53 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT 
iptables -A INPUT -p tcp -s $NAMESERVER1 --sport 53 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -p udp -s $NAMESERVER2 --sport 53 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT 
iptables -A INPUT -p tcp -s $NAMESERVER2 --sport 53 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
# mail relay
$IPTABLES -A INPUT -i $EXT_DEV -s 212.227.15.169/32 -p tcp -j ACCEPT     #mx01.kundenserver.de
$IPTABLES -A INPUT -i $EXT_DEV -p udp --dport 53 -j ACCEPT   

echo "Defining the OUTPUT rules"
echo "   vpn"
$IPTABLES -A OUTPUT -o $EXT_NET_DEV -j ACCEPT
echo "   icmp"
$IPTABLES -A OUTPUT -p icmp -j ACCEPT
echo "   accept each lo connection"
$IPTABLES -A OUTPUT -o lo -j ACCEPT  
echo "   internal tcp"
$IPTABLES -A OUTPUT -d 0.0.0.0/0 -p tcp -m multiport --sport $OUTPUT_INTERNET_TCP_PORT -j ACCEPT 
echo "   internal udp"
$IPTABLES -A OUTPUT -p udp --sport $OUTPUT_INTERNET_UDP_PORT -j ACCEPT 
#echo "   internet"
#$IPTABLES -A OUTPUT -o $EXT_DEV -d 0.0.0.0/0 -p tcp -m multiport --dport $NAT_FORWARDING_TCP_PORT -j ACCEPT 
echo "   syn packages"
#$IPTABLES -A OUTPUT -p tcp ! --syn -j ACCEPT 
echo "   internet"
iptables -A OUTPUT -p udp --sport 1024:65535 -d $NAMESERVER1 --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT 
iptables -A OUTPUT -p tcp --sport 1024:65535 -d $NAMESERVER1 --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT 
iptables -A OUTPUT -p udp --sport 1024:65535 -d $NAMESERVER2 --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT 
iptables -A OUTPUT -p tcp --sport 1024:65535 -d $NAMESERVER2 --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT 
# mail relay
$IPTABLES -A OUTPUT -o $EXT_DEV -d 212.227.15.169/32 -p tcp -j ACCEPT     #mx01.kundenserver.de

echo "Define the NAT rules"
#$IPTABLES -A POSTROUTING -t nat -p tcp -o $EXT_DEV -s $INT_NET -j MASQUERADE
#echo "   UDP forwarding"
#$IPTABLES -A POSTROUTING -t nat -p udp -o $EXT_DEV -s $INT_NET -j MASQUERADE
#$IPTABLES -A POSTROUTING -t nat -p icmp -o $EXT_DEV -s $INT_NET -j MASQUERADE
$IPTABLES -A FORWARD -p tcp ! --syn -j ACCEPT
#echo "   reject any unwelcome addresses here"
#Wir machen REJECT, damit der Browser nicht lange für die Antwort braucht
#$IPTABLES -A FORWARD -p tcp -d malicious-domain.com -j REJECT   
echo "   tcp"
$IPTABLES -A FORWARD -i $INT_DEV -o $EXT_DEV -s $INT_NET -p tcp -m multiport --dport $NAT_FORWARDING_TCP_PORT -j ACCEPT
#$IPTABLES -A FORWARD -i $INT_DEV -o $EXT_DEV -s $INT_NET -d www.example.com -p tcp --dport 442 -j ACCEPT   
echo "   icmp"
$IPTABLES -A FORWARD -m state --state NEW -p icmp -j ACCEPT
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT   

echo "Dropping everything else"
iptables -A INPUT -j DROP
iptables -A OUTPUT -j DROP
iptables -A FORWARD -j DROP

echo "Firewall & Routing activated"

Hier ist der Output von iptables -L -n:

Code:

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     0    --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     0    --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           multiport dports 22,25,80,110,143,443,587,993 
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp flags:!0x17/0x02 
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:9424 
ACCEPT     udp  --  212.12.114.14        0.0.0.0/0           udp spt:53 dpts:1024:65535 state ESTABLISHED 
ACCEPT     tcp  --  212.12.114.14        0.0.0.0/0           tcp spt:53 dpts:1024:65535 state ESTABLISHED 
ACCEPT     udp  --  213.160.92.82        0.0.0.0/0           udp spt:53 dpts:1024:65535 state ESTABLISHED 
ACCEPT     tcp  --  213.160.92.82        0.0.0.0/0           tcp spt:53 dpts:1024:65535 state ESTABLISHED 
ACCEPT     tcp  --  212.227.15.169       0.0.0.0/0           
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:53 
DROP       0    --  0.0.0.0/0            0.0.0.0/0           

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp flags:!0x17/0x02 
ACCEPT     tcp  --  192.168.0.0/16       0.0.0.0/0           multiport dports 21,25,80,110,143,443,587,993,5190,5222,6667,6668,1863 
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           state NEW 
ACCEPT     0    --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED 
DROP       0    --  0.0.0.0/0            0.0.0.0/0           

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     0    --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     0    --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           multiport sports 22,25,80,110,143,443,587,993 
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp spt:9424 
ACCEPT     udp  --  0.0.0.0/0            212.12.114.14       udp spts:1024:65535 dpt:53 state NEW,ESTABLISHED 
ACCEPT     tcp  --  0.0.0.0/0            212.12.114.14       tcp spts:1024:65535 dpt:53 state NEW,ESTABLISHED 
ACCEPT     udp  --  0.0.0.0/0            213.160.92.82       udp spts:1024:65535 dpt:53 state NEW,ESTABLISHED 
ACCEPT     tcp  --  0.0.0.0/0            213.160.92.82       tcp spts:1024:65535 dpt:53 state NEW,ESTABLISHED 
ACCEPT     tcp  --  0.0.0.0/0            212.227.15.169      
DROP       0    --  0.0.0.0/0            0.0.0.0/0

Ein weiteres Problem ist, dass "iptables -t nat" zurückgewiesen wird, weshalb ich externe Aufrufe mit internen Adressen nicht blocken kann (ginge das auch anders?), aber das ist zweitrangig.

Ausserdem sind mir die 2 ACCEPT 0/0 0/0 bei INPUT nicht koscher, und ich denke diese VPN und lo-Geschichten brauche ich gar nicht ... ?

Wenn ich ausserdem zu Beginn als POLICIES DROP definiere (auskommentiert), ist der V-Server komplett dicht - häh?

Ich habe Stunden um Stunden iptables-Dokus und Tutorials gelesen, aber ich bin hier schlicht überfordert. Bitte helft mir, Leute.

**eule** · 18.03.08, 21:59

Irgentwie sieht das nach einem Skript aus, das fuer einen Router geschrieben wurde. Anschliessend wurde dann noch wild herumgebastelt.
Lass es einfach weg. Du brauchst sowas nicht.
Steck die Arbeit in eine gute Absicherung deiner Dienste, das bringt mehr.

**zyrusthc** · 18.03.08, 22:03

Oder benutze den iptables-Generator von Harry.
http://www.harry.homelinux.org/modul...bles_Generator

Greeez Oli

**karx11erx** · 18.03.08, 23:24

Das hilft mir überhaupt nicht weiter. Was ich brauche ist ein iptables-Script, das nur SSH, E-Mail, HTML und mein phpbb-Forum sowie ein kleines Tracker-Programm arbeiten lässt und alles andere blockt. Ich nehme an, dass auch die FORWARD-Chain sinnvoll eingestellt sein muss, habe aber keine Ahnung ob das so ist, oder wie das auszusehen hätte.

Ich habe keine Ahnung wie ich meine "Dienste sichern" soll. Mit einem so pauschalen Hinweis kann ich rein gar nicht anfangen (oder meinst Du etwas wie das hier: http://www.debian.org/doc/manuals/se.../index.de.html ? Das ist mir zu hoch. Wahrscheinlich würde ich meinen V-Server schlicht unbrauchbar machen).

Ich würde auch gerne mit "offiziellen" oder gängigen Tools auskommen, denn ich habe nur einen SSH-Zugang zu dem V-Server und kann damit (nehme ich an) nur in einem text-basierten Terminal arbeiten.

Rain_maker · 19.03.08, 00:17

OK, anders gefragt:

1. Welche zusätzlich zu den oben genannten Serverdiensten laufen denn, die die Firewall blocken _soll_?

2. Soll die Firewall irgendwelchen ausgehenden Traffic blocken?

3. Wenn 2. = ja, welchen denn?

Sollte die Antwort "1. keine" und "2. nein" lauten, dann wozu überhaupt ein FW-Script?

**marce** · 19.03.08, 07:15

Zitat von karx11erx

Ich habe keine Ahnung wie ich meine "Dienste sichern" soll. Mit einem so pauschalen Hinweis kann ich rein gar nicht anfangen (oder meinst Du etwas wie das hier: http://www.debian.org/doc/manuals/se.../index.de.html ? Das ist mir zu hoch. Wahrscheinlich würde ich meinen V-Server schlicht unbrauchbar machen).

Sorry, aber mit der Aussage disqualifizierst Du Dich eigentlich für den Besitzt eines Root-Servers.

Aber mal anders gefragt: Warum bist Du denn der Meinung, dass Du auch notgedrungen einen eigenen Server brauchst?

**zyrusthc** · 19.03.08, 08:05

Zitat von karx11erx

Das hilft mir überhaupt nicht weiter. Was ich brauche ist ein iptables-Script, das nur SSH, E-Mail, HTML und mein phpbb-Forum sowie ein kleines Tracker-Programm arbeiten lässt und alles andere blockt. Ich nehme an, dass auch die FORWARD-Chain sinnvoll eingestellt sein muss, habe aber keine Ahnung ob das so ist, oder wie das auszusehen hätte.

Siehe meinen Post! Damit kannst Du so ein Script erstellen...
Wer lesen kann , ist klar im Vorteil ...

Zitat von karx11erx

Ich habe keine Ahnung wie ich meine "Dienste sichern" soll. Mit einem so pauschalen Hinweis kann ich rein gar nicht anfangen (oder meinst Du etwas wie das hier: http://www.debian.org/doc/manuals/se.../index.de.html ? Das ist mir zu hoch. Wahrscheinlich würde ich meinen V-Server schlicht unbrauchbar machen).

Ich würde auch gerne mit "offiziellen" oder gängigen Tools auskommen, denn ich habe nur einen SSH-Zugang zu dem V-Server und kann damit (nehme ich an) nur in einem text-basierten Terminal arbeiten.

Dazu fällt mir blos http://www.root-und-kein-plan.ath.cx ein!

Greeez Oli

**karx11erx** · 19.03.08, 11:44

Ich habe keine Zeit, monate- oder jahrelang zu Hause mit (m)einem Linux-Rechner rumzuspielen bis ich den Kernel-Code rückwärts runterbeten kann. Der Keks ist gevespert, denn ich habe bereits einen V-Server und ich muss ihn einigermassen absichern. Der Link zu root-und-kein-plan ist für mich deshalb wertlos. Ich bin mir ziemlich sicher, dass es ein paar wenige zentrale Massnahmen gibt, um gute Sicherheit zu erreichen, und der erste Schritt sind denke ich ein paar brauchbare iptables-Regeln.

Ich habe deshalb eine klare, eng eingegrenzte Frage gestellt: Ich will wissen, wie iptables-Regeln aussehen müssen, die auf einem (V-) Server nur SSH, Mail, HTML und ein phpbb-Forum laufen lassen. Ich verstehe nicht ganz, wieso es Euch solche Mühe macht, darauf einzugehen.

Wieso ich einen V-Server brauche? Weil ein Webhosting-Paket mir die von mir benötigten Leistungen nicht bietet. Ich werde garantiert nicht anfangen, alle Services auf meinem V-Server in chroot jails zu sperren, denn wahrscheinlich hat er gar nicht die ausreichende Leistung (ich musste schon auf das grösste V-Server-Paket aufstocken, damit Forum und Internet-Auftritt rund laufen). Ich werde auch nicht anfangen, irgendwelche Dienste teilweise oder ganz abzuklemmen, denn wenn ich das tue und einen Fehler mache, muss ich den ganzen Server neu aufsetzen, alle Inhalte wieder hochspielen (1,5 GB), das Forum-Backup wieder einspielen, und das dauert locker einen Tag.

zyrus, Du bist schlicht und einfach unhöflich. Ich will keinen iptables-Konfigurator den sich irgendjemand zusammengebastelt hat. Es gibt ein paar solche Tools wie z.B. firestarter (für mich nicht interessant, da graphisch), die mehr oder weniger "offziellen" Status haben, d.h. sie sind anerkannt und weit verbreitet. Das hatte ich geschrieben. Am liebsten würde ich für so einen Minimalsatz an iptables-Regeln aber ohne Tool auskommen. Ausserdem wäre es interessant gewesen, solche iptables-Regeln erklärt zu bekommen, denn trotz aller Tutorien und Docs die ich gelesen habe komme ich ja nicht weiter. Vielleicht bemühst Du Dich also selber mal um die Vorteile der Fähigkeit zu lesen.

Ich disqualifiziere mich also. Mag sein. Mit der Art Hilfe, die mir hier bislang geboten wurde, wird das bedauerlicherweise wohl so bleiben. Woran liegt Euch? Zu helfen, oder zu demonstrieren dass der Olymp der Linux-Götter auf dem Ihr Euch befindet für Normalsterbliche wie mich weder zu erreichen noch zu haben ist?

Noch eins zum Abschluss. Ich bin schon lange kein Teenager mehr, und ich bin zwar kein Linux, aber IT-Pro. Bitte berücksichtigt das wenn Ihr mit mir redet. Ich würde es sehr zu schätzen wissen, wenn der Tonfall hier sachlich und höflich bliebe.

**marce** · 19.03.08, 11:50

Lesen kann ich, danke der Nachfrage und des Tipps hierzu.

Das Wissen zu "Systemadministration von Linux" habe ich mir erlernt. An Systemen, die dafür geeignet waren. Und davor habe ich keinen Server, der frei im Netz steht, betreut und verwaltet. Erst, nachdem ich die notwendigen Kentnisse hierfür hatte habe ich mich an sowas gewagt, nicht vorher.

Das nur als Kommentar zu Deinen Äußerungen. Und Dir noch ein "möge Dein Server möglichst lange Dir gehören und Dir keine negativen Folgen aus Deinem Tun erwachsen" gewünscht.

Punkt.

4me: EOD.

**eule** · 19.03.08, 11:58

Du willst ein sicheres System, faengst aber am falschen Ende an.

Ich habe keine Ahnung wie ich meine "Dienste sichern" soll.

Deine Dienste sind z.B. SSH, E-Mail (smtp/pop), HTML (http)
Diese Dienste muessen sicher konfiguriert werden, damit sie nicht missbraucht werden koennen und das System darueber nicht angegriffen werden kann.
Wenn dein Webserver unsicher konfiguriert ist oder fehlerhafte Skripte dort herumliegen, nuetzt dir dein Paketfiter nichts.
Wenn dein sshd unsicher konfiguriert ist, nuetzt die dein Paketfiter nichts.
Falls das System Dienste anbietet, die nicht benoetigt werden, sollten diese abgeschaltet werden.

Wenn die Dienste ordentlich dicht sind, kann man ueber weitere Massnahmem wie einen Paketfilter nachdenken. Unbedingt notwendig ist er nicht.
Die Leute hier reagieren so grantig, weil sie teilweise die Folgen schlecht konfigurierter Rechner ausbaden muessen, z.B. Spam auf ihren Mailservern.
Der Umgang mit einem solchen System uebt sich besser auf einer Testmaschine im heimischen Netz.

**karx11erx** · 19.03.08, 12:18

Ich denke, dass die Masse des Spams aus Windows-Botnets kommt. Ausserdem gibt es für Unhöflichkeit keine Entschuldigung. Schlimmstenfalls bekommen die Leute von meinem Server irgendwann tatsächlich Spam, weil sie Leute wie mich lieber runterlaufen lassen als Ihre Zeit in eine Anleitung zu stecken, wie man seine wesentlichen Dienste absichert.

Ich denke übrigens doch, dass ein Paketfilter Sinn macht, denn damit kann ich z.B. FTP von vorneherein abklemmen, was gibt es da dann noch zu sichern?

Bislang habe ich keine einzige nützliche Antwort bekommen, sondern bin fast nur angemosert worden!

Was glaubt Ihr erreicht Ihr mit sowas? Dass Linux beliebter wird? Dass sich Leute wie ich schneller mit ihrem Server auskennen und damit Schaden vermieden wird? Ich habe immerhin begriffen, dass ich mich um die Sicherheit meines Servers kümmern muss und bin deshalb hier - wieviele haben das nicht?!

Vielleicht fangt Ihr langsam mal an, darüber nachzudenken statt mich hier abzuwatschen!

Marc,

Du warst zwar gar nicht gemeint, aber es scheint doch mit dem Lesen zu hapern. Dein Prinzipienvortrag in Ehren, aber ich hatte keine andere Wahl als einen V-Server zu nehmen. Für Dich ist EOD? Na gut, dann war Dein Ziel hier wohl vor allem, Dich ein bisschen zu profilieren ohne dass irgendetwas Nützliches dabei rauskommt. Applaus.

Eule,

wie? Es kann doch nicht die Welt sein, ssh, smtp/pop, html und ein phpbb-Forum abzusichern? Sagt mir wie!

**marce** · 19.03.08, 12:45

Zitat von karx11erx

Schlimmstenfalls bekommen die Leute von meinem Server irgendwann tatsächlich Spam, weil sie Leute wie mich lieber runterlaufen lassen als Ihre Zeit in eine Anleitung zu stecken, wie man seine wesentlichen Dienste absichert.

Eine Anleitung (übrigens an sich sehr guten und recht einfach gehaltene) hast Du schon bekommen. Die war Dir zu hoch.

-> Das zeigt für mich eindeutig: Du bist nicht in der Lage, einen Server zu betreiben.

Zitat von karx11erx

Ich denke übrigens doch, dass ein Paketfilter Sinn macht, denn damit kann ich z.B. FTP von vorneherein abklemmen, was gibt es da dann noch zu sichern?

Wenn Du keinen FTP-Server brauchst - dann lass keinen laufen. Dann musst Du auch keine Firewallregel dafür schreiben.

Wenn Du einen ftp-Server brauchst, dann musst Du (lt. Dir) eine entsprechende Regel dafür schreiben. Sprich - der ftp-Server ist offen und damit angreifbar. Er muss also abgesichert werden.

-> Eine Firewall bringt Dir diesbezüglich (also für die eh' (da benötigt) offenen Ports) keine Sicherheit.

Zitat von karx11erx

Bislang habe ich keine einzige nützliche Antwort bekommen, sondern bin fast nur angemosert worden!

Doch hast Du. Und Du hast die Antworten abgewiesen bzw. nicht auf sie reagiert.

Zitat von karx11erx

Was glaubt Ihr erreicht Ihr mit sowas? Dass Linux beliebter wird?

Ist weder unser Ansinnen noch hat es etwas mit dem Thema zu tun.

Zitat von karx11erx

Dass sich Leute wie ich schneller mit ihrem Server auskennen und damit Schaden vermieden wird!

Ja, das wollen wir. Aber es wäre toll, wenn die Leute sich erst auskennen würden und sich dann einen Server mieten würden.

So ähnliche wie Chirurgen, die erst nach der Ausbildung eine Herz-OP machen oder Leute erst nach dem Erwerb des Führerscheins alleine im Straßenverkehr teilnehmen dürfen.

Zitat von karx11erx

Ich habe immerhin begriffen, dass ich mich um die Sicherheit meines Servers kümmern muss und bin deshalb hier - wieviele haben das nicht?!

Zugegeben - stimmt.

Aber: Es fehlt trotzdem der Schritt oder die Erkentniss davor.

Zitat von karx11erx

Na gut, dann war Dein Ziel hier wohl vor allem, Dich ein bisschen zu profilieren ohne dass irgendetwas nützliches dabei rauskommt. Applaus.

*verbeug*

Wenn ich damit erreicht habe, dass Du darüber nachdenkst, ob Du _wirklich_ einen Server brauchst und ob Du ihn jetzt schon brauchst (anstatt z.B. noch 1/2 Jahr daheim zu üben, wie so ein System funktioniert und was es an Hinterhältigkeiten für Dich bereithält) - dann habe ich mein Ziel erreicht.

Und profilieren - sorry, aber das habe ich nicht nötig.

Zitat von karx11erx

wie? Es kann doch nicht die Welt sein, ssh, smtp/pop, html und ein phpbb-Forum abzusichern? Sagt mir wie!

Doch, ist es. Und das meiste davon ist in vielen HowTos bereits beschrieben. Auffindbar über Google - oder hier im Forum über die Suchfunktion. Und es ist nicht trivial und in ein paar Sätzen erklärt. Vor allem, wenn das Gegenüber _keine_ Ahnung vom System hat.

Entsprechende Vergleiche zur Veranschaulichung aus dem Straßenverkehr oder sonstige, mehr oder weniger passende Allegorien erspare ich mir.

**karx11erx** · 19.03.08, 12:48

marc,

wo ist denn der Hinweis auf die einfache Anleitung gewesen?

Ein verletzlicher Server wie meiner kostet keine Menschenleben. Ich glaube, ich begebe mich langsam mal auf Dein Niveau zwischenmenschlichen Umgangs herunter: Erst Denken, dann posten.

Dass ich einen V-Server brauche hat nichts damit zu tun ob ich ihn absichern kann, sondern welche Leistungen er bietet. Ist Dir dieser Gedankengang bereits zu hoch, oder kannst Du noch folgen?

**marce** · 19.03.08, 12:50

Du hast ihn sogar selbst gegeben:

http://www.linuxforen.de/forums/show...89&postcount=4

**karx11erx** · 19.03.08, 12:56

Schreib nicht ich hätte hier etwas bekommen was ich mir selbst ergooglet habe!

Meine Aussage ist also korrekt: Ich habe bis hier jetzt keine brauchbare Hilfestellung bekommen, sondern habe vor allem herablassende Vorträge von offensichtlichen Besserwissern wie Dir ertragen müssen.

Es ist einfach ein Unterschied, ob ich an einem Server rumspiele, dessen Hardware mir zugänglich ist, wo ich eine Tastatur und einen Monitor physikalisch dranhängen habe und direkt und ohne Netzwerk auf den Server kann, oder ob ich einen Remote-Zugang per SSH habe, der nicht mehr funktioniert, sobald ich einen schwerwiegenden Fehler mache! Ich kann mir keine Experimente leisten, was ich ändere muss sitzen!

Deshalb ein Wort zu Deinen "Howtos": Das sind erfahrungsgemäss entweder Hammer-Dokumente auf (zu) hohem Niveau und mit Sachen die ich nicht brauche (also quatsch hier nichts von "einfach"!), wie das von mir verlinkte, oder z.T. widersprüchliches Stückwerk, bei dessen Anwendung man Gefahr läuft, mehr kaputt zu machen als in Ordnung zu bringen.