PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Sicherheit Rootserver



Silli
17.09.09, 22:14
Guten Tag.

Mein Ziel ist es einen Rootserver zu mieten. Auf dem Root sollen Gameserver, Teamspeak und ein Webinterface und eventuell noch en Webserver laufen.

Als Betriebsystem dachte ich an Debian oder eventuell Ubuntu (hab ich zu Hause als Virtuelle Maschiene zum testen installiert)

Bei dem Anbieter ist es möglich einen vorkonfiguriertes Debian mit LAMP zu installlieren. Ist dies ratsam oder eher nicht. Dazu muss ich sagen das ich noch nicht all zu lange mit Linux arbeite und noch recht weit am Anfaang stehe.

Aber das ist nicht das größte Problem, sondern eher die Frage nach der Sicherheit, die ich vorweg geklärt haben möchte.

Danach hab ich heute schon den halben Tag gegooglet und gesucht auf was man achten muss und wie man seinen Server bestmöglichst schützen kann. Leider nicht bsonders erfolgreich wie ich finde.

Was ich rausgefunden habe ist, das man alle unnötigen Ports schließen muss, genausi das man alle Dienste , die nicht unbedingt benötigt werden beenden sollte.
Außerdem sollte man die instllierten Pakte immer auf dem aktuellsten Stand halten. Außderm soll man noch eine Firewall einrichten und noch mit iptables arbeiten. Doch hier muss ich zugeben das ich da noch nicht ganz durchgeblickt habe.

Auf was muss man sonst achten? Habt ihr sonst Tips zu Sicherheit?
Könnt ihr mir hilfreiche Links oder Tips etc zu IPtables geben.

Und bitte nicht wieder so Aussagen wie ich sie zu hunderte bei google gefunden habe. Das man wenn man noch nicht den vollen durchblick hat die Finger von einem Root lassen soll. Ich will ja im Vorfeld alles abklären und zu Hause ausprobieren um nachher nicht auf dem Schlauch zu stehen oder großen Mist zu bauen.

Viele Grüße und in der Hoffnung auf zahlreiche, hilfreiche Antworten

Silli

Iluminat23
17.09.09, 23:12
naja, ich gebe mal den obligatorischen link raus. es wäre gut wenn du dir diesen auch anschauen würdest ohne dich gleich angegriffen zu fühlen: http://root-und-kein-plan.ath.cx

und es liegt nicht daran, dass wir nicht helfen wollen nur, dass es nicht wirklich möglich ist jemanden in kurzer zeit über ein forum fit für einen eigenen root server zu machen. das ding kann man eben nicht einmal sicher aufsetzen und dann läuft der für immer. nun ziehe ich mich aber zurück da ich mich selbst auch von root-servern fern halte.

achja, es ist aber sicher nicht verkehrt sich mit iptables zu beschäftigen aber erwarte nicht, dass du nach "kurzer" einarbeitungszeit einen root administrieren kannst.

hier aber mal ein link zu einem thread dort rfindest du einen link zu büchern zu sicherheitsrelefanten themen: http://linuxforen.de/forums/showthread.php?t=206281

gruß iluminat23

int 80h
18.09.09, 04:21
Gut, dass du dich im Voraus informierst. :) (Auch wenn es wirklich keine gute Idee ist, ohne Ahnung einen V/Root-Server zu mieten.)

Erst mal: Sicher gibt es nicht. (Zumindest nicht in meiner Welt. :p )

Mein Tipp: Immer bevor du einen neuen Server/Service installierst/in Betrieb nimmst google mal nach "hardening $SERVICE".
Sprich "hardening sshd", "hardening httpd", "hardening teamspeak", etc.

Damit bist du imho schon gegen Skids und ihre Scripte relativ gut geschützt. (Wenn du das Gefundene auch umsetzt versteht sich. ;) )

Davor am Besten auch nach "hardening Debian" googlen, wenn du Debian verwenden willst.

Ich hoffe ich konnte Hilfen und Denkanstöße geben!

Grüße,
int 80h, der selber keinen root-Server haben sollte. :D

sysop
18.09.09, 08:13
das könnte bei deinem vorhaben hilfreich sein. viel spass und glück.
http://www.debian.org/doc/manuals/securing-debian-howto/index.de.html

Newbie314
18.09.09, 11:03
Ein Rootserver ist mir auch eine Stufe zu riskant. Deine Liste oben ist schon ziemlich vollständig, einen Desktop würdest du so sehr sicher "einmauern".

Was mir noch auffiel: viele Angriffe gingen (laut Presse) in letzter Zeit direkt über Admin / Webserver Passwörter. Hier im Forum wurde beschrieben wie du Logins nur noch über ssh Authentification zulässt ... die ist (mit sicherem Schlüssel) sehr sicher....

Sobald du Skripte mit Benutzereingaben anbietest bieten die wieder eine Angriffsfläche, aber das weißt du bestimmt.

Silli
19.09.09, 15:15
Ich hab mir jetzt mal die Anleitung zur Absicherung von Debian angeguckt (http://www.debian.org/doc/manuals/securing-debian-howto/index.de.html).

Allerdings steht hier so viel, wie man irgendetwas absichern kann, das ich kaum denke, dass ich hier alles umsetzen muss.

Deshalb die Frage, was wirklich sinnvoll ist zu tun, bei dem was ich vorhabe. Weil im moment Blick ich bei so vielen möglichkeiten nicht mehr ganz durch.

Viele Grüße

Rain_maker
19.09.09, 16:57
Nun ja, ein Teil ergibt sich eigentlich automatisch, namentlich der Abschnitt, der die einzelnen Dienste behandelt, da sollte man sich die Unterabschnitte ansehen, die auf einen zutreffen.

Zum allgemeinen Teil drüber braucht man sich die Dinge nicht anzusehen, die einen physikalischen Zugriff erfordern, den du eh nicht hast.

Beispiel:

Selbst wenn man die Kiste im RZ mit einem BIOS Passwort "sichern" (wie sicher das ist, sei auch mal dahingestellt) könnte, würdest Du Dir nur Probleme damit einhandeln, sofern es überhaupt eine Möglichkeit gäbe z.B. per serieller Konsole das BIOS Passwort einzugeben (keine Ahnung, ob das geht).

Passwort für LILO/GRUB ist eine ähnliche Sache, geht sehr wahrscheinlich mit serieller Konsole, aber gegen jemand, der physikalischen Zugriff auf die Kiste hat, hilfts auch nix, da musst Du eben Deinem Anbieter vertrauen.

Mag sein, daß echte Profis (ich bin sicher keiner) hier fertige Lösungsansätze haben und verwenden, aber da die Kiste im Normalfall (und das willst Du sicher auch) eher läuft als (re)bootet, sind das sicher Schritte, die niedrigere Priorität als die haben, mit denen man das _laufende_ System absichert.

Ansonsten sind die Abschnitte 3 und 4 als "allgemeine Maßnahmen" sicherlich ernst zu nehmen.

Und ausserdem, was kostet es Dich, das Ganze der Reihe nach auf einem lokalen Testsystem (alte Kiste oder VM) durchzuprobieren?

Learning by doing auf einem Testsystem zu Hause dürfte der effektivste Weg sein und auch aus vielleicht sich später als "brauch ich eigentlich nicht" erweisenden Schritten kann man lernen.

Wene
19.09.09, 17:58
Ich will ja im Vorfeld alles abklären und zu Hause ausprobieren um nachher nicht auf dem Schlauch zu stehen oder großen Mist zu bauen.

Den allerwichtigsten Punkt hast Du offensichtlich bereits erkannt.
Führe dies aus, lerne Dein Betriebssystem kennen, experimentiere damit und stelle konkrete Fragen zu konkreten Problemen. Man kann niemals im Vorfeld alles theoretisch abklären, Du musst Fehler begehen um daraus zu lernen. Solange dies in einer einigermassen sicheren Umgebung zuhause passiert besteht auch keine grössere Gefahr. Du kannst also ruhig alles ausprobieren.

Bei Fragen zu einzelnen Konfigurationen, Bedrohungsszenarien etc. stehen wir hier gerne zur Verfügung.

L00NIX
20.09.09, 11:09
Ist dies ratsam oder eher nicht. Dazu muss ich sagen das ich noch nicht all zu lange mit Linux arbeite und noch recht weit am Anfaang stehe.

Alleine dieser Satz schließt die Empfehlung zur Anmietung eines Rootservers komplett aus.

Sei ehrlich zu dir selbst:

Wenn du bei Basiskommandos, der Paketverwaltung und Konfiguration der gewünschten Dienste und deren Absicherung hier fragen stellen müsstest: Lass es sein.

Oder mach es einfach und trage die Verantwortung, wenn dir das Ding gehijackt wird und Botnetze steuert und du dafür eine Anzeige kassierst.

Gruß
L00NIX

Silli
20.09.09, 12:47
Über Basiskommandos, der Paketverwaltung und Konfiguration der gewünschten Dienste muss ich auch keine Fragen stellen. Das ist nicht das Problem.

Ich wollte mich halt nur über die Absicherung erkundigen BEVOR ich einen Root anmiete, was ich allerdings auch schon oben beschrieben habe.

Weißt du das sind dann immer die Posts die einen so unheimlich weiter bringen. Irgendwo muss man doch Anfangen und wenn man dann immer hört, lass es besser...

Außerden probiere ich alles im Vorraus zu Hause auf meinem Rechner aus, bevor der root angemietet wird.

Stormbringer
20.09.09, 12:49
und du dafür eine Anzeige kassierst.
Die Anzeige wird das kleinste Übel sein ... die möglichen Schadensersatzansprüche brechen so manches Genick ;)

L00NIX
20.09.09, 14:19
Hi,



Ich wollte mich halt nur über die Absicherung erkundigen BEVOR ich einen Root anmiete, was ich allerdings auch schon oben beschrieben habe.


Aber wie alle Teilnehmer hast du eine sehr offene Frage gestellt, die man in einem Forum nicht oder nur unzureichend beantworten kann. Stelle konkrete Fragen und du wirst antworten geholfen.

Wenn in einem Posting "ich will mir 'nen Rootserver mieten, bin aber totaler Anfänger" o.s.ä steht, bekommt man stets den obigen Link gepostet und die "Diskussion" schweift ab, genau so wie jetzt auch.

Das war auch das erste und letzte Mal, dass ich einen Ratschalg bezüglich Rootserver hier gebe... es nützt ja eh nix und wer nur mit Schmerzen lernen will, der bekommt das dann auch.

Jetzt lasse ich das mal auf sich beruhen und gehe weiter auf die Fragen ein, sofern diese denn kommen.



Außerden probiere ich alles im Vorraus zu Hause auf meinem Rechner aus, bevor der root angemietet wird.

Ich frage mich, was du da genau ausprobieren willst, aber es sei.

Gruß
L00NIX