Hi Leute,

ich würde mir gerne einen RootServer mieten und hätte da mal gerne ein paar Tipps von euch.
Was muss ich alles beachten? Welche Vorkehrungen muss ich treffen, damit mein Root Server nicht als Datenschleuder benutzt wird oder werden kann? Wie kann ich den Server sicher halten?

Ich würde gerne erst einmal die wichtigsten Sachen wissen. Ich weiss, das man einen Server nie ganz sicher machen kann, aber welche Vorkehrungen sollte man treffen?

Ich habe hier einen Desktop PC als Testserver stehen, probiere also schon ziemlich viel vorher aus.

Ich wäre euch sehr dankbar, wenn Ihr mir ein paar Anregungen geben könntet. :)

PS: Kennt Ihr vielleicht auch noch gute Angebote? Ich habe nämlich nicht gerade ein Vermögen über. :)
Ich hoffe dann mal, das ich das richtige Forum getroffen habe, sollte dies nicht der Fall sein, bitte ich einen Mod, diesen Thread zu verschieben. :)

Danke schon einmal im vorraus.

Moin,

ich habe einen und fahre seit ca. 3 Jahren mit folgenden Mitteln sehr gut:

1. Security/Updates immer aktuell halten
2. Sicher einrichten (Postfix sauber einrichten,Relays ausschalten, httpd saubereinrichten, Dienste abschalten die keiner braucht, kein Webmin oder sowas, Skripte vermeiden und wenn möglich PERL und PHP einschränken)
3. Gute Passwörter(diese auch regelmässig ändern)
4. Backups (man merkt meist erst sehr spät das das letzte Backup sehr alt war)
5. Regelmässige Kontrolle der Logs, Trafficmenge, Prozesse und Userverzeichnisse
6. chkrootkit desöfteren mal laufen lassen.
7. WICHTIGES: TRAFFIC-HARDLIMIT einrichten (ich hab 75 GB inkl. mein Hardlimit liegt bei 75,5 GB, werde 10 GB vorher gewarnt)

Wenn Du das einhälst, dann ist schon mal ein sicheres Betreiben möglich, aber denke immer daran, es gibt kein 100% Sicherheit!

Gruß Malte

Was meinst Du mit

... Skripte vermeiden
???

Ansonsten, ich hab meine SSH-Keys hinterlegt und alle Passworte disabled.

Er meint mit scripten sicher dinge die er automatisieren möche und dafuer bash sripte geschrieben hat. Diese sind jedoch oft anfällig deswegen sollte man sie besser ganz sein lassen und es in einen cronjob packen! ;)

mfg eSpo

Was mir grad einfaellt geh dir nen root server besorgen wo freebsd drauf rennt ;). Is extrem praktisch. Richtest dir Jails ein (chroots mit eigener ip) und kannst da deine dienste drin laufen lassen so kann man dir nie den ganzen root server zerhauen fals du mal einem hacker in die finger fällst! Somit halt jeder dienst seine eigene umgebung und aus dieser kommt der Angreiffer auch nicht mehr herraus, wenn er einmal eindringen sollte.

So far

mfg eSpo

Er meint mit scripten sicher dinge die er automatisieren möche und dafuer bash sripte geschrieben hat. Diese sind jedoch oft anfällig deswegen sollte man sie besser ganz sein lassen und es in einen cronjob packen! ;)

mfg eSpo
Haeh? Warum ist ein Script anfaelliger als die "von Hand"-MEthode? Und warum ist ein Script dann wieder sicher, wenn es per cron gestartet wird?

Was mir grad einfaellt geh dir nen root server besorgen wo freebsd drauf rennt ;). Is extrem praktisch. Richtest dir Jails ein (chroots mit eigener ip) und kannst da deine dienste drin laufen lassen so kann man dir nie den ganzen root server zerhauen fals du mal einem hacker in die finger fällst! Somit halt jeder dienst seine eigene umgebung und aus dieser kommt der Angreiffer auch nicht mehr herraus, wenn er einmal eindringen sollte.

So far

mfg eSpo
Ist soetwas nicht auch auf einem Debian System möglich?

Und das mit den Scripten habe ich auch noch nicht wirklich verstanden, warum das nicht sicher sein soll.

Hat vielleicht noch jemand ein gutes billiges Angebot?

Was meinst Du mit


Ich meine Skripte für User.

Ich "hoste" einige kleine HPs für Bekannte und denen habe ich die Möglichkeit genommen Perlskripte zu benutzen. PHP geht weiterhin.
Durch schlechte Skripte kann einige des Systems sichtbar werden was man lieber verbergen möchte.
Da ich wenige HPs hosten habe ich mir mal den Aufwand gemacht die meisten Skripte anzusehen.
Ob die alle 100% i.O. sind weiss ich nicht, aber grobe Schnitzer waren da nicht zu sehen.

Desweiteren hat keiner von denen Shellzugriff.

Gruß Malte

Ah ok. War fuer mich vor allem deshalb unklar, weil fuer mich rootserver!=webserver...

1. Security/Updates immer aktuell halten
2. Sicher einrichten (Postfix sauber einrichten,Relays ausschalten, httpd saubereinrichten, Dienste abschalten die keiner braucht, kein Webmin oder sowas, Skripte vermeiden und wenn möglich PERL und PHP einschränken)
3. Gute Passwörter(diese auch regelmässig ändern)
4. Backups (man merkt meist erst sehr spät das das letzte Backup sehr alt war)
5. Regelmässige Kontrolle der Logs, Trafficmenge, Prozesse und Userverzeichnisse
6. chkrootkit desöfteren mal laufen lassen.
7. WICHTIGES: TRAFFIC-HARDLIMIT einrichten (ich hab 75 GB inkl. mein Hardlimit liegt bei 75,5 GB, werde 10 GB vorher gewarnt)

[...], aber denke immer daran, es gibt kein 100% Sicherheit!


Also das es keine 100%ige Sicherheit gibt ist mir klar und das habe ich ja auch schon geschrieben, ich möchte nur nicht, das ich mir einen Root Server hole und das der dann im Netz steht für alle offen. :)

zu 1 - selbstverständlich
zu 2 - werde ich mir merken. Ich werde mir das mal genauer anschauen.
zu 3 - Passwort sollte sicher sein, klar, aber wie oft sollte man es wechseln?
zu 4 - Wohin mit den Backups? Auf CD brennen?
zu 5 - Worauf muss man in den Logs genau achten? Oder einfach nur auf unregelmäßigkeiten schauen?
zu 6 - wird gemacht...
zu 7 - Wie macht man das?


Ich danke Dir schon mal für die Tipps...

Gibt es noch weitere Sachen, die man unbedingt beachten sollte?

Tybalt0125,
also das is mit debian sicherlich auch moeglich wenn du genug power hast kannst du uml usen sonst musst du gsecurity patches einspielen und kannst damit auf irgendeine weise deinen chroots ips zuweisen nur wie! Don't ask me! Deswegen use ich bsd auf servern der einfachhalber!

mfg espo

...
zu 3 - Passwort sollte sicher sein, klar, aber wie oft sollte man es wechseln?
zu 4 - Wohin mit den Backups? Auf CD brennen?
...
3. Naja, mach halt ein Aging mit 90 Tagen oder. Besser aber: Passwoerter disablen und ssh-Keys hinterlegen...
4. Langt im Prinzip auch auf deinem eigenen Rechner zu Hause hinzulegen, da hast es dann auch bei dir im Backup. FAlls Du selbst kein Backup hast: Grundkonfig einmal auf CD braennen, danach bei grossen Updates oder viel Engineering. Regelmaessig zumindest eine Backupversion (die aktuellste) auf deinem Rechner lagern.

ja, das mit dem Passwort ist klar, aber wie man das mit dem ssh-key macht, weiss ich noch nicht genau, das muss ich mir noch anschauen.
Sollte man das mit dem Passwort für jeden User machen oder ist es auch bei den anderen usern wichtig?

Grundkonfig erstmal sichern und dann am bestem immer das aktuellste.
Dazu sollte man dann auch immer so die logs sichern, oder?

Wenn Du die Logs brauchst, sicher sie dir, wenn nicht, dann nicht.
Was die User angeht: Niemals root-Passwort vergeben, sondern disablen. User, die Admins sind (Also Dich) in /etc/sudoers aufnehmen. USers in sudoers sollten schon Aging haben oder ssh-Key-Auth machen.

Wie das mit den Keys geht: Benutz mal die Suchfunktion, ich hab da keine Lust zu... GAnz in Kuerze: ssh-keygen aufrufen, den oeffentlichen Schluessel in das .ssh-Verzeichnis des Zielusers in das File authorized-keys tun.

Ist soetwas nicht auch auf einem Debian System möglich?
Ja, z. B. mit UserModeLinux. In einer etwas älteren c't gab es einen Artikel darüber. Darin ging es um die Einrichtung eines UML, in dem ein Gameserver lief.

Hallo Tybalt0125,

beschreibe mal etwas genauer wofür Du den server nutzen möchtest und von welchem Anbieter Du ihn haben möchtest.

Dann kann man Dir genauere Auskünfte geben. Wenn Du z.B. 1&1 Deinen Server hostet bekommst Du kostenlosen FTP-Backupspace in der Größe Deiner Platten - sehr praktisch und schnell :)

mfg
cane

Hallo Tybalt0125,

beschreibe mal etwas genauer wofür Du den server nutzen möchtest und von welchem Anbieter Du ihn haben möchtest.

Dann kann man Dir genauere Auskünfte geben. Wenn Du z.B. 1&1 Deinen Server hostet bekommst Du kostenlosen FTP-Backupspace in der Größe Deiner Platten - sehr praktisch und schnell :)

mfg
cane
Hi Cane,

also als erstes einmal möchte ich meine Homepage und die von meinen Kollegen drauf hosten. Mailserver sollte laufen und dann vielleicht noch ein paar Dienste wie CVS Server und GameServer. Denke ich.
Ich weiss es noch nicht genau.

Und von welchem Anbieter kann ich noch nicht sagen, da ich noch am suchen bin, denn ich habe wie schon gesagt, kein Vermögen übrig. :)
Bis jetzt hänge ich hier fest --> http://www.strato.de/server/index_leistungen.html

Die Frage nach dem richtigen Webhoster ist schwer zu beantworten - kann leicht ein flamewar draus werden ;)

Du solltest vor allem beim Emaildeamon sorgfältig konfigurieren (kein Relay!) und ansonsten auch sehr sorgfältig vorgehen.

Ein RootServer ist kein Spielzeug und wenn über deinen Server illegale Sachen laufen machst Du Dich strafbar, bedenke das!

Es gibt viele gute Anleitungen im Netz und spezielle Foren die HowTos anbieten.
Hier in den linuxforen findest Du viel zu den einzelnen Diensten. Ansonsten schau Dir rootserver-forum.de an.

mfg
cane

Wenn Du die Logs brauchst, sicher sie dir, wenn nicht, dann nicht.

Die logs sollten immer gesichert und gelegentlich überprüft werden!

cane

Ein RootServer ist kein Spielzeug und wenn über deinen Server illegale Sachen laufen machst Du Dich strafbar, bedenke das!
Deswegen habe ich dieses thread aufgemacht. :)


Die logs sollten immer gesichert und gelegentlich überprüft werden!
Das werde ich natürlich machen...


Du solltest vor allem beim Emaildeamon sorgfältig konfigurieren (kein Relay!) und ansonsten auch sehr sorgfältig vorgehen.
Werde ich mir anschauen.
Also am besten einrichten das er mit auth arbeitet? Richtig verstanden?


Ansonsten schau Dir rootserver-forum.de an.
schaue ich mir jetzt mal an...
kann es sein, das die adresse nicht funzt?


Danke schon mal...

Noch jemand ein paar Anregungen?

Die URL ist korrekt:

http://www.rootserver-forum.de/

cane

Die URL ist korrekt:

http://www.rootserver-forum.de/

cane
Hatte mich ein bisschen irritiert, das mit dem winserver... :)

Die URL ist korrekt:

http://www.rootserver-forum.de/

cane

Ist ja der Wahnsinn, wie voll das ist ;)

Ist ja der Wahnsinn, wie voll das ist ;)

Oops... :rolleyes:

Der richtige Link ist http://www.rootforum.de/forum/

Danke Blackhawk!

cane

Ist ja der Wahnsinn, wie voll das ist ;)
genau das habe ich auch gedacht. :)

Danke Cane für den neuen Link. :)

Das war eine Mail an Alturo:



>>Eine weitere für mich relevante Frage wäre, ob es möglich ist, den
>> Server automatisch vom Netz nehmen zu lassen wenn der inklusive Traffic
>> verbraucht wurde.
>> Auch wenn ich jederzeit den bereits verbrauchten Traffic einsehen kann,
>> ist es mir doch lieber wenn ich dieses Risiko nicht eingehen müsste.


Eine automatische Sperre gibt es bei uns nicht, nein.


Kann ich mir evtl. ein Script schreiben, welches bei einem traffic von 99% alle ports außer 22 (SSH) sperrt?

So ein Script kann ich leider nicht schreiben, aber wenn es jemand kann, wuerde ich es auch gerne haben.

Bei dem Angebot oben ( http://www.strato.de/server/index_leistungen.html ) ist soetwas eingebaut. Dort kann man eine traffic grenze angeben, wenn ich das richtig gelesen habe. :)

Jetzt habe ich noch einige Fragen.
Wozu benutzt Ihr eure Rootserver?
Wuerde mich einfach mal interessieren.

dazu gibbet schon nen ziemlich dicken Thread:

also ich benutze ihn fürs sftp'en, apache2 mit php, mysql, postfix, courier, evtl. noch teamspeak - ma guggn...

stimmt da gibbet schon einen Thread. :)
Sorry. Naja, ich habe wenigstens keinen neuen eroeffnet. :)

Hi.
Falls du dir Debian aussuchst würd ich dir folgendes Howto empfehlen: http://www.debian.org/doc/manuals/securing-debian-howto/index.de.html

Als MTA würde ich Postfix benutzen und mir das Postfixbuch zulegen.

Ja, ...dann viel Spaß. ;)

Achso: Mein Rootserver macht: Web, Mail.

PS: Geil, 1500 Klicks gehen echt schnell rum. :ugly: