Hi all,

habe ca. 3 Tage einen 1und1 Root Sevrer L64, nach anfänglichen Schwierigkeiten und einigen Telefonaten mit dem Support (welches vor lauter inkompetenz mir doch nicht helfen konnte, zumindest einige es auch nicht wollten) habe ich nach dem Rest meiner Probleme gegoogelt und konnte das System (Suse & Plesk) wieder "Reboot-fähig" machen so das der Server nicht mehr hängenblieb bei Neustart. Backups auf nem anderen FTP und alles läuft wieder Prima. Auf dem Rootserver existieren ca. 6 versch. Kunden mit ca. der doppelten Anzahl Domains + einige Domain-Aliase und dann noch ca. 20 EMail adressen.

Nun zum meinen eig. Problem :

1. Gestern bin ich via PuTTy über SSH auf meinem Server und führe den Befehl "tail -f /var/log/messages" aus um zu sehen was sich da so tut (das ganze einfach mal auf einen kleinen Monitor zum mitverfolgen). Neben den ganzen Cronjobs, EMail Logins meinerseits wie auch einigen Kunden wie auch vielen "relaylock /var/qmail/.../... mail from IP ***.***.***.*** (not defined)" sehe ich auf einmal wie sich jemand versucht über den Port 22 (SSH) auf dem Server einzuloggen und scheinbar eine Liste mit bestimmten Namen durchgeht und jedesmal dabei rauskommt "Login inccorect - failed" Also nehm ich an es ist jemand der versucht Zugang zu meinem Rootserver zu erlangen.

- Laut Plesk kann ich ja leider nur ein feste IP für das Einloggen verschiedener Serverdienste wählen, kann ich evtl. auch irgendwo ein DynDNS eintrag wählen (da ich hier eine wechslende IP habe 24h Trennung) ? Habe z.b: eine DynDNS Adresse, die auch auf meiner FritzBox konfiguriert ist, damit müsste ich es doch eig. schaffen diesen Eintrag dort einzutragen, dass nur aus meiner Leitung auf die Dienste wie "Plesk, SSH, etc... " zugegriffen werden darf?

- Überlege auch evtl. diese Dienste aus dem Autostart herauszunehmen und bei bedarf über Plesk einzuschalten, damit verringere ich sicherlich auch das Risiko wenn diese Dienste nicht laufen oder? Habe zwar lange nach einer HowTo gesucht, bin doch aber auf nix brauchbares bisher gestoßen.

- Würde mir gerne eure Meinungen und Erfahrungen zu Sicherheit von Rootservern anhören. Meine Linux Kenntnisse bewegen sich so im Grundstadium habe zwar schon mit einigen versch. Versionen zutun gehabt, jedoch würde ich mich sicherlich jetzt auch nicht als "Pro" bezeichnen, deswegen wäre ich über jede Hilfe dankbar.

Vielen Dank

greetz MS-Networker

1. Gestern bin ich via PuTTy über SSH auf meinem Server und führe den Befehl "tail -f /var/log/messages" aus um zu sehen was sich da so tut (das ganze einfach mal auf einen kleinen Monitor zum mitverfolgen). Neben den ganzen Cronjobs, EMail Logins meinerseits wie auch einigen Kunden wie auch vielen "relaylock /var/qmail/.../... mail from IP ***.***.***.*** (not defined)" sehe ich auf einmal wie sich jemand versucht über den Port 22 (SSH) auf dem Server einzuloggen und scheinbar eine Liste mit bestimmten Namen durchgeht und jedesmal dabei rauskommt "Login inccorect - failed" Also nehm ich an es ist jemand der versucht Zugang zu meinem Rootserver zu erlangen.
http://www.linuxforen.de/forums/showthread.php?t=241007


Meine Linux Kenntnisse bewegen sich so im Grundstadium habe zwar schon mit einigen versch. Versionen zutun gehabt, jedoch würde ich mich sicherlich jetzt auch nicht als "Pro" bezeichnen, deswegen wäre ich über jede Hilfe dankbar.
Und auch mal reinschauen : http://www.root-und-kein-plan.ath.cx

Greeez Oli

Vielen Dank schonmal für die schnelle Antwort, die ersten Schritte habe ich bereits gelesen, natürlich den Port von SSH ändern, ist schonmal ein großer schritt, ist den etwas über 10000 schon recht sicher oder sollte man auch evtl. noch höher gehen ?

Werde mal verstärkt nach Rootserver Sicherheit googeln, was meine Linux Kenntnisse angeht, so werden die auch wieder frisch :)

greetz MS-Networker

Noch höher legen bringt keinen besseren Effekt!
Hauptsache nicht auf den Standartport!
Schau dir nun noch fail2ban an, den erst dies bringt wirklich ein Stück mehr Sicherheit.

Greeez Oli

- Überlege auch evtl. diese Dienste aus dem Autostart herauszunehmen und bei bedarf über Plesk einzuschalten, damit verringere ich sicherlich auch das Risiko wenn diese Dienste nicht laufen oder? Habe zwar lange nach einer HowTo gesucht, bin doch aber auf nix brauchbares bisher gestoßen.
Und was machst Du, wenn Dir jemand über einen Fehler in Plesk einbricht?
Was machst Du, wenn Dir jemand über einen Fehler in den Kundensites einbricht?
Was machst Du, wenn Dir jemand über ein Kundenlogin einbricht?

Ein Glück, dass ich kein Kunde von Dir bin. De tun mir jetzt schon leid.

Schau dir nun noch fail2ban an, den erst dies bringt wirklich ein Stück mehr Sicherheit.
s/ein Stück mehr Sicherheit/einen neuen Angriffsvektor/

http://www.ossec.net/en/attacking-loganalysis.html

Und was machst Du, wenn Dir jemand über einen Fehler in Plesk einbricht?
Was machst Du, wenn Dir jemand über einen Fehler in den Kundensites einbricht?
Was machst Du, wenn Dir jemand über ein Kundenlogin einbricht?

Ein Glück, dass ich kein Kunde von Dir bin. De tun mir jetzt schon leid.

Ja danke nochmal für deine Aussgekräftige Hilfe, bei solcher Kompetenz bin ich froh das Du mir sinnvole Tipps gibst (tut mir leid, aber genau sowas brauche ich im moment einfach weniger, hilfreicher wären wirklich links zur Tips oder HowTo's oder eigene Erfahrungen!)


@ Roger Wilco

Vielen Dank werde mich da gleich mal durchforsten, das fail2ban werde sofort auch durchforsten :)

Vielen Dank für die Hilfe

greetz MS-Networker

Sorry, Kochrezepte können kein Wissen ersetzen.

Aus eigener Erfahrung kann ich nur sagen, ich nutze kein Plesk, kein Confixx, kein Webmin, kein irgendwas Tool für Dinge, die ich auch von Hand erledigen kann.

Für den Rest gibt es die guten alten Handbücher. Aber für Dich als Admin eines bereits gemieteten Root-Servers sollte das bereits alles bekannt sein. Denn gespielt hast Du sicherlich bereits auf Deinem Server, der in Deiner gesicherten Umgebung steht. Damit hast Du praktisch das Wissen, dass ein root-Server Admin benötigt.

.... Pingu, der sich fragt, ob der Aufwand gerechnet in Geld in einem managed Server nicht besser angelegt gewesen wäre.

Werde das mal jetzt nicht wieder Kommentieren, läuft mir zuweit alles weg und bringt recht wenig zur Lösung bei.

Natürlich besitze ich einige Kenntnisse zu Webserver, FTP Server, (Mailserver leider nicht genügend, da es mir nicht möglich war diesen so zu konfigurieren das er auch EMails verschickt, da viele anbieter dynamische IP's nciht zulassen, und mir der Webserver wie auch FTP wichtiger waren, weils halt n Heimnetzwerk war / ist)

Sicherlich kann man dennoch sinnvolle funktionen von Plesk, Confixx etc... nutzen die das arbeiten ja um einiges erleichtern, sicherlich wirst auch für standard sachen deine Scripte haben, die du selbst geschriben, geändert oder sonstwo her hast, die Dir das Verwalten / Administrieren erleichtern.

Nochmals zur einfachen Verständigung, falls jemand solche "guten HowTo's" hat bzw. Links zu diesen, wäre ich sehr dankbar, denn dann könnte ich mir dieses Wissen welches ich brauche um meinen 1und1 Rootserver abzusichern, aneignen / erlesen oder abgucken, ich möchte es ja auch Lernen & Verstehen damit der Server sicherer wird und vielleicht kann ich dann auch jemanden Sinnvoll helfen.

Vielen Dank

greetz MS-Networker

Ich weiss, Du willst solche Ratschläge wie oben nicht hören, aber glaub mir, und da sprech ich aus eigener Erfahrung *schäm*, wenn Dein System mal kompromitiert wurde, was sogar recht wahrscheinlich ist bei Deinem aktuellen Kenntnisstand, dann kann das sehr schnell, seeehr teuer werden! Ich bin mit nem blauen Auge und 80 Euro davongekommen und hab danach die Finger von nem Root Server gelassen. Man muss wirklich erst viel lernen und vllt. auch mal bissl Lehrgeld zahlen um die Sache *wirklich* ernsthaft angehen zu können... Seit damals hab ich nen Managed Webspace und komm damit genausogut zurande und zahl auch noch weniger...

Nein das soll nicht heissen das ich keine Ratschläge hören möchte, natürlich sind solche Ratschläge und Erfahrungen genauso sinnvoll. Der Server den ich derzeit gemietet hab von 1und1 Rootserver L64, habe ich gewählt um diesen selbst verwalten zu können, leider kenn ich nicht die spezifikationen einens Managed Server *schäm* Der Hauptgrund warum ich einen Rootserver gewählt habe war einfach das ich zb. Typo3 installationen selbst vornehmen kann welche weitere eingriffe in die Systemeinstellungen erfordern.

- Bevor ich mich jetzt abe zuweit aus dem Fenster lehne gehe ich lieber ein wenig lesen, glaube nämlich schon bald an falsche denkweise meinerseits, was natürlich immer noch nicht zu besseren Sicherheit (m)eines Rootserver Beiträgt.

Vielen Dank

greetz MS-Networker

....da es mir nicht möglich war diesen so zu konfigurieren das er auch EMails verschickt, da viele anbieter dynamische IP's nciht zulassen....
Stichwort: relayhost
http://www.schiessle.org/howto/debian-imap-howto/node7.html

Bitte keine weiteren Belehrungen mehr zum Thema Rootserver und keine Ahnung, in dem 2. Link in #2 wurde alles
gesagt was zu sagen ist!

Greeez Oli

Was den SSH Zugang angeht würde ich eher den Port nicht verlegen, sondern ewntweder root den Zugang per ssh verwehren, einen User mit stark eingeschränkten Rechten anlegen der z.B. nur ssh darf und mich nach dem einloggen dann zum root machen oder mit keys arbeiten.

fail2ban find ich schon cool wenn ich das mal anmerken darf ;-)

Die weiteren Sachen will ich hier garnicht anführen, würde den Thread sprengen.

So ich muss weg. Vielleicht gibt dir das ja mal ein paar Anregungen, ansonsten kann ich mich nur der Gemeinde anschließen -- Finger weg von Rootservern die Produktiv am Internet hängen.

Peter

Also als erstesmal schalte das ganze plesk gedöns ab.

Dann verlege den ssh-port.
Verbiete root den login über ssh.
Lege eine gruppe ssh-user (oder auch anders) an, und nur user in dieser gruppe dürfen sich per ssh einlogen.
Dann lege dir Keys an mit passphrase. Die Keys machst du dan am besten auf einen USB-Stick.

ssh ist doch so einfach....

MFG manuel (caba)

wow, danke das ist natürlich schon cool, das sind sehr gute anregungen, werde sehr wahrscheinlich mich für die:

- Portänderung von SSH
- root den ssh login verwhren
- Neue Gruppe nur für ssh login mit einem user
- über den user su erreichen
- wahrscheinlich dann noch fail2ban (das wäre dann alles erstmal)

hoffentlich bekomme ich das hin ^^, also wäre es sicherlich sinnvoler plesk erst über ssh zu starten wenn man es braucht. Werde es gleich morgen früh realisieren. Interessant finde ich auch das mit den keys (passphrase), wenn man erstmal wieder liest was es doch nicht so alles gibt, ist es schon viel heller im dunkeln (vieles davon auch logisch).

Vielen Dank, Ihr habt mir schon sehr geholfen, werde mich auch noch in die ganzen logfiles auswertungen einlesen, sind ja auch reichlich. Ich finde die kombination dort oben schon recht gut, damit wäre die der login über ssh (evtl. auch plesk, vl. sogar noch ftp) nur noch erschwert zugänglich, und für root in weite ferne gerückt.

werde noch sicher schreiben wie das so verläuft, eure Anregungen sind top :)

greetz MS-Networker

moin zusammen,

aktueller stand ist nun folgender:

- Plesk ist abgeschaltet via console (/etc/init.d/psa/psa stop)
- SSH liegt nicht mehr auf Port 22 (ist auch nicht erreichbar)
- eigene Gruppe mit einem SSH-User angelegt (sshd_config durch "AllowUsers SSH-User" erweitert) den Root zugriff in der config auf "no" gesetzt, rechte werden nach SSH login durch "su -l" erreicht.

jetzt möchte ich noch das mit dem "fail2ban" & den trick mit den keys hinbekommen :) dann bin ich schon um ein vielfaches glücklicher (als noch vor kurzem, was nicht bedeutet das ich mich jetzt ausruh) :) Ihr habt mir da sehr geholfen.

Sicherlich muss ich auch bald schon wieder nerven ^^ und zwar die lästigen Einträge in "/var/log/messages" wo noch zu oft die Einträge mit "relaylock: /var/qmail/bin/relaylock: mail from **.**.**.**:**** (pool oder not defined) zu beginn stehen. Ist das normal und warum ist das so, kann ich dem auch relativ einfach vorbeugen?

Übrigens auch eine sehr hilfreiche Seite (http://www.huschi.net/index.html) zu diesem Thema wie ich finde. Viele einfache HowTo's zu Linux-Servern, Security, Plesk etc.

greetz MS-Networker

Hi all,

habe ca. 3 Tage einen 1und1 Root Sevrer L64, nach anfänglichen Schwierigkeiten und einigen Telefonaten mit dem Support (welches vor lauter inkompetenz mir doch nicht helfen konnte, zumindest einige es auch nicht wollten) habe ich nach dem Rest meiner Probleme gegoogelt und konnte das System (Suse & Plesk) wieder "Reboot-fähig" machen so das der Server nicht mehr hängenblieb bei Neustart.

.....

greetz MS-Networker

Hi,

wenn du mir sagen könntest wie du ihn wieder rebootfähig gemacht hast würdest du mir einen riesen Gefallen tun. Ich bin gerade am verzweifeln :(
Warum kann 1und1 nicht eine vernünftige Vorkonfiguration rausgeben? :mad:

Desweiteren habe ich ein Problem mit Plesk-Backup, wenn ich eine domain sichern möchte die relativ viel Speicherplatz belegt (22GB) werde ich mit Errors überschüttet. Unmittelbar davor hat das Backup einer kleineren Domain aber noch funktioniert. Nach dem Versuch die 'größere' DOmain zu sichern geht das Backuptool überhaupt nicht mehr.

mfg

Du kannst dir auch überlegen ob du ftp wirklich brauchst.
Das kannst du auch über ssh regeln.

Stichworte: scp, rsync

Also, /etc/init.d/$DEINFTPD stop ;)

Hi,

wenn du mir sagen könntest wie du ihn wieder rebootfähig gemacht hast würdest du mir einen riesen Gefallen tun. Ich bin gerade am verzweifeln :(
Warum kann 1und1 nicht eine vernünftige Vorkonfiguration rausgeben? :mad:

Desweiteren habe ich ein Problem mit Plesk-Backup, wenn ich eine domain sichern möchte die relativ viel Speicherplatz belegt (22GB) werde ich mit Errors überschüttet. Unmittelbar davor hat das Backup einer kleineren Domain aber noch funktioniert. Nach dem Versuch die 'größere' DOmain zu sichern geht das Backuptool überhaupt nicht mehr.

mfg

Hi,

also um die kiste wieder reboot fähig zu schaumal hier http://serversupportforum.de/forum/dedizierte-server/19136-1-1-rootserver-l64-im-rescue-system-wie-weiter.html so hat es zumindest bei mir wieder funktioniert.

Für das Backup habe ich bei den jeweiligen Plesk / Kunden / Backup / FTP-Repository (Zugangsdaten sind im Kontrolcenter von deinem Server unter Serverbackup) ein Cronjob erstellt und lasse die Domains mit allen Daten und den Daten des Kunden dazu sichern. Einmal für jeden Kunden die Backup Daten eintragen, Backup als CronJob und fertig.

@tucer

habe den FTP auch schon ausgeschaltet, starte die Dienste jetzt nur noch wenn ich Sie brauche über SSH, damit sind die Risiken schon wesentlich weniger geworden als zuvor.

greetz MS-Networker

s/ein Stück mehr Sicherheit/einen neuen Angriffsvektor/

http://www.ossec.net/en/attacking-loganalysis.html

Vielen Dank fuer diesen Link!

Das wird wohl noch ( oder ist schon :ugly: ) viel komplexer.
Mankoennte doch solcherart Userinput durch einen fixen String in der
Software ersetzen ( und den User spezifizierten Content in ein Extra Log)

Edit: Immerhin gibt es Patches.

Gruss 403