PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : VServer einrichten - suche generelle Hilfestellun



CrUpf
11.01.12, 05:25
Hallo!

Ich miete mir seit heute nachmittag einen VServer, der ohne die gängigen Config-Tools wie Confixx, Plesk, Webmin etc. etc. angeboten wurde. Das heißt, ich verfüge über eine völlig unberührte Minimal-Installation (bzw. VM-Image). Das OS ist Debian 6.0 Squeeze.
Ich persönlich habe im Desktopbereich mittlerweile zweijährige Erfahrung mit Gentoo und all den Problemen, die als Desktop-User eben anfallen (X, 3D-Beschleunigung, Drucker, WLAN, wine, ....). Leider musste ich heute Abend feststellen, das mir das alles bei der Administration eines Servers nur dahingehen hilft, dass ich mit der Shell zurechtkomme, und sonst überhaupt nicht :ugly:

An die Paketverwaltung kann man sich zwar gewöhnen, auch wenn mir eine von FreeBSD, Gentoo oder Arch Linux besser gefallen hätte, aber die standen nunmal leider nicht zur Auswahl...

Verwendungszweck des Servers:
- Webserver für eine ~zweistellige Anzahl kleinerer Webseiten basierend auf Joomla, phpBB/wbblite u.ä. (höchste Priorität)
- TS3 Server (bereits fertig)
- Mumble/Murmur Server (sehr geringe Priorität, da TS3 bereitsteht)
- Gameserver für diverse Games (sehr geringe Priorität)
- Einrichtung als Proxy (hohe Priorität) basierend auf IP-Whitelist und Authentifizierung
- IRC Server und Bouncer (geringe Priorität)
- Jabber Server (sehr geringe Priorität)
- Mailserver inkl. POP3/SMTP/IMAP, Webmail ist voraussichtlich nicht von nöten (mittlere Priorität)
- evtl. ein VPN-Netzwerk mittels OpenVPN (allerniedrigste Priorität)

Nun, ich habe heute versucht, einfach mal etwas unorganisiert drauflos zu installieren. Dabei hatte gab mir apt-get failed wieder, als ich für squid eine Abhängigkeit installieren wollte (exim paniclog) und squid lies sich so nicht starten.
Nach Recherche bezügl. Apache bin ich darauf gestoßen, dass es mehrere Lösungen gibt, PHP zu realisieren: mod_php (im Moment installiert), fastcgi und suphp. Lohnt es sich für sagen wir knapp 10 User eine der anderen Lösungen einzusetzen oder bringen diese Nachteile mit sich bzw. einen unverhältnismäßigen Mehraufwand? Ich habe heute auch zum ersten mal von vhosts erfahren. Wie funktionieren diese denn - wird einfach eine weitere Apache-Instanz unter anderem Username gestartet mit individuellen Einstellungen oder sind diese in einer MySQL-Datenbank verwaltbar? Google bringt hier leider nur Step by Step Installationsanweisungen ohne das dort wirklich erklärt wird, wo z. B. der Nutzen von vhosts ist, wer davon profitieren kann oder wie man diese Nutzer in andere Softwares integrieren kann.
Zum Beispiel habe ich festgestellt, dass von pure-ftpd auch eine Version mit mysql Support angeboten wird, allerdings bin ich noch nicht dahintergestiegen, wie ich zum Beispiel den einzelnen Usern, die ich dort in einer MySQL-DB gespeichert habe, nun Berechtigungen geben kann, in ihren jeweiligen Ordnern Dateien zu speichern - dafür benötige ich ja dann doch wieder angelegte User im OS...
Und wie kann ich Dienste als User starten, statt als root? Z. B. apache2 ...
Wie kann ich das vhost System von apache2 (mit z.b. suexec und fastcgi) verbinden mit dem Accountsystem von pure-ftpd (gerne lasse ich mir auch eine andere Software empfehlen, mit der das eventuell leichter wäre) und am besten auch mit einem entsprechenden SQL User für Datenbanken - so ähnlich wie bekannte kostenfreie Webhoster es anbieten (z.B. funpic.de , ohost.de , bplaced.net usw.)?
Ist es generell auch möglich diese Verwaltungstools wie ispcp Omega, webmin, ISPConfig 3 etc. zu installieren? Welche Grundvoraussetzung benötigen diese? Lohnt es sich überhaupt für knapp 10 User, während ich die Server-Administration fast völlständig selbst übernehme?
Wie behebe ich dann am Ende die bekanntesten Sicherheitslücken? chmod-Berechtigunen, MySQL-Berechtigungen, Passwörter usw. sind doch nicht alles, oder doch?

Hilfe, wo fange ich an :eek:

Danke, Grüße

marce
11.01.12, 07:53
Hilfe, wo fange ich an :eek:
Die Antwort, die Du sicher nicht hören willst ist: Damit, den Server zu kündigen und erst mal die Grundlagen zu Hause an einem ded. PC / VM zu erlernen.

Ansonsten wirst Du um viel Lesen nicht herumkommen - die Doku-Seiten des jeweiligen Projektes sind da für den Einstieg meist geeigneter als vieles, was Google findet. Da wird auch z.B. erklärt, was Apache-vHosts sind, warum der Apache gerne als root gestartet werden will und vieles anderes...

Wenn Du das nicht willst - dann mach zu jedem Problem einen eigenen Thread auf - so "Rundumschlag-Threads" mit Problemen aus vielen Bereichen sind eher sinnlos, da man sich darin verzettelt und hinterher keiner mehr die Übersicht hat.

sam600
11.01.12, 08:48
Hilfe, wo fange ich an :eek:


wie @mark schon beschrieben:

entweder du liest dich in das thema erstmal ein.

oder

du suchst dir einen freelancer für linux (http://www.google.de/search?client=opera&rls=de&q=freelancer+linux&sourceid=opera&ie=utf-8&oe=utf-8&channel=suggest)

CrUpf
11.01.12, 20:50
marce hätte sich seine Antwort "lass es sein, wenn du es nicht kannst" auch sparen können.

DrunkenFreak
11.01.12, 20:58
Wer soll dir denn diese Antwort am liebsten geben?

derRichard
11.01.12, 21:28
marce hätte sich seine Antwort "lass es sein, wenn du es nicht kannst" auch sparen können.



Ansonsten wirst Du um viel Lesen nicht herumkommen - die Doku-Seiten des jeweiligen Projektes sind da für den Einstieg meist geeigneter als vieles, was Google findet. Da wird auch z.B. erklärt, was Apache-vHosts sind, warum der Apache gerne als root gestartet werden will und vieles anderes...


genau das wirst du machen müssen.
sonst kommt sehr bald auch sowas raus:
http://www.linuxforen.de/forums/showthread.php?t=272562

//richard

CrUpf
11.01.12, 22:13
Vielleicht sollte ich noch dazu sagen, dass ich jederzeit das System auf Werkszustand resetten kann und mit einer neuen minimal-Installation anfangen. Es handelt sich bei dem Server nicht um kommerziell genutzte Dienste, es ist eher ein Freizeitprojekt, bei dem ich lernen möchte.
Ich lese schon seit Stunden kreuz und quer irgendwelche Docs...

kreol
11.01.12, 22:19
Sorry, aber diese Diskussion wird hier jeden Tag neu geführt. Das massgebliche ist bereits genannt: Es gibt keine Anleitung "Tausend taugliche Tipps zum Serverbau". Das ist ein Zusammenspiel vieler Komponenten.

Vllt. ist es auch geschickt, etwas Baum zu investieren und sich ein papierenes Buch zu erwerben. Hier hat (u.a.) der Amberg (ISBN 978-3-8266-5520-3) gute Dienste geleistet.

Und nochmal: Schön wenn Du lernen/üben willst, aber dafür eignet sich zunächst ein Rechner im LAN besser und gefahrloser. Wenn Dein Server nur 12h nicht mehr Deiner Kontrolle unterliegt kann da jede Menge Spam/Pr0n/Warez und Malware verteilt werden. Und Du haftest für alles, was Dein Server anstellt. Sowohl zivil- als auch strafrechtlich.

Denk nochmal drüber nach.

Kreol

DrunkenFreak
11.01.12, 22:22
Vielleicht sollte ich noch dazu sagen, dass ich jederzeit das System auf Werkszustand resetten kann und mit einer neuen minimal-Installation anfangen. Es handelt sich bei dem Server nicht um kommerziell genutzte Dienste, es ist eher ein Freizeitprojekt, bei dem ich lernen möchte.
Ich lese schon seit Stunden kreuz und quer irgendwelche Docs...

"Ich möchte gerne Formel 1 fahren. Ich kann auch jedes Mal mein Visier nach einem Unfall wechseln".

Dämliche Aussage, die zeigt, dass du keine Ahnung hast und du dringenst die Finger von dem Server lassen solltest. Gelernt wird zu Hause und nicht in der freien Wildbahn.

CrUpf
11.01.12, 22:39
Äpfel und Birnen.

derRichard
11.01.12, 22:46
Äpfel und Birnen.

okay, wie du meinst.
aber bitte nicht heulen, wenn auf die nase fällst.

//richard

kreol
11.01.12, 22:47
Auch wenn DrunkenFreak (wieder mal) etwas undiplomatisch ist, weist sein Vergleich auf das eigentliche Problem hin: Du kannst vllt. alles wieder resetten, aber was tut Dein evtl. gekaperter Server bis dahin anderen Internetteilnehmern an?

Ein Server ist mit enormer Verantwortung auch für andere verbunden und keinesfalls ein Übungsmittel oder Spielzeug.

Setz was im LAN oder in einer VM auf. Wenn dann ein Problem auftritt mach (wie schon in #2 steht) für jedes Prob einen eigenen Thread auf und die Hilfsbereitschaft hier ist ungleich grösser als bei den zahllosen Threads, die es hier schon gibt und in denen ein Anfänger glaubt, es sei doch harmlos, mal eben einen Server ins Netz zu stellen. Das stösst den meisten hier halt bitter auf, nichts für ungut.

Kreol

CrUpf
11.01.12, 22:52
@kreos, ich bin bereit jedes Buch und jede Dok zu jedem Thema zu lesen, wenn es denn für das jeweilige Thema relevant ist.

Ich werde keine Dienste einfach starten, wenn ich nicht weiß, ob sie sicher sind. Derzeit habe ich alle Ports gesperrt, außer die für TS3 notwendig sind. TS3 ist sicher eingestellt. Im Moment läuft absolut keine andere Software und TS3 selbst mit minimalen Rechten.
Die wichtigen Daten, die für die Websites online kommen sollen liegen alle auf mehreren Rechnern bereit.
Als nächstes würde ich einfach nur gerne wissen, wo ich mich zum Beispiel über VHosts, deren systemrechtliche Beschränkung informieren kann und wie ich apache2 als User statt als root oder/und in einer eingeschränkten chroot-Umgebung starten kann.
Weiterhin würde ich wissen, ob ich diese vhost-User auch in einer SQL-Datenbank verwalten kann, und wenn ja, ob das Vorteile bringt, da ich deren Konfiguration da vielleicht ja zentral verwalten könnte?

Gut, was vhosts sind, und wie ich sie einrichte, weiß ich mittlerweile selbst...

DrunkenFreak
11.01.12, 22:55
Oh keine Dienste, bei denen du nicht weißt, ob sie sicher sind und dann TS3? Respekt...

Zu deinen Fragen: Apachedoku, ApacheDoku, gibt keine "vhost-User"

CrUpf
11.01.12, 23:04
Mein TS3 ist sicher. Genug.

derRichard
11.01.12, 23:07
Mein TS3 ist sicher. Genug.

dann darf ich dich mal bitte nach "teamspeak vulnerabilities" zu googeln.
das ist proprietärer dreck der gespickt mit bugs/sicherheitslücken ist.

//richard

kreol
11.01.12, 23:08
@kreos, ich bin bereit jedes Buch und jede Dok zu jedem Thema zu lesen, wenn es denn für das jeweilige Thema relevant ist.

Ich werde keine Dienste einfach starten, wenn ich nicht weiß, ob sie sicher sind. Derzeit habe ich alle Ports gesperrt, außer die für TS3 notwendig sind. TS3 ist sicher eingestellt. Im Moment läuft absolut keine andere Software und TS3 selbst mit minimalen Rechten.
Die wichtigen Daten, die für die Websites online kommen sollen liegen alle auf mehreren Rechnern bereit.
Als nächstes würde ich einfach nur gerne wissen, wo ich mich zum Beispiel über VHosts, deren systemrechtliche Beschränkung informieren kann und wie ich apache2 als User statt als root oder/und in einer eingeschränkten chroot-Umgebung starten kann.
Weiterhin würde ich wissen, ob ich diese vhost-User auch in einer SQL-Datenbank verwalten kann, und wenn ja, ob das Vorteile bringt, da ich deren Konfiguration da vielleicht ja zentral verwalten könnte?

Gut, was vhosts sind, und wie ich sie einrichte, weiß ich mittlerweile selbst...*seufz*

Du hast ja nichtmal das gelesen bzw. umgesetzt, was Dir bislang geschrieben wurde.
...
Wenn Du das nicht willst - dann mach zu jedem Problem einen eigenen Thread auf - so "Rundumschlag-Threads" mit Problemen aus vielen Bereichen sind eher sinnlos, da man sich darin verzettelt und hinterher keiner mehr die Übersicht hat.
...
Wenn dann ein Problem auftritt mach (wie schon in #2 steht) für jedes Prob einen eigenen Thread aufUnd nochmal: Es schreibt Dir niemand hier ein HowTo (würde mich zumindest sehr wundern) weil es die schon gibt. Zahllos.

Stelle eine konkrete Frage, mit Konfiguration und Systemmeldungen und Du bekommst (vermutlich) eine konkrete Antwort. Meine Sig enthält einen weiteren Hinweis, wie Systemmeldungen und Dateien hier lesbar gepostet werden können.

Solange sich das hier jetzt auf "ich will doch nur wissen wie das geht" beschränkt ist für mich erstmal EOT.

Kreol

CrUpf
11.01.12, 23:15
Ja toll, dann finde ich einen Haufen Threads, von Leuten, die nicht wissen, was für Funktionen TS nun hat oder den Server schlicht falsch eingestellt haben. Für beides gibt es eine Lösung: a) lernen, b) eine bessere Empfehlung geben

TheDarkRose
12.01.12, 00:11
Alter Schwede, kündige deinen Server wenn du keine Erfahrungen hast!!!11elf Immer wieder der selbe Dreck. Sorry, ist aber wahr. Solche Leute wie du machen uns Serveradmins das Leben schwer mit euren gekaperten Maschinen. Und ein gehackter Server mit 100 MBit/s Direktanbindung ist eine Gefahr. Auf Servern im Internet wird nicht gelernt, sondern man kann es schon. Gelernt wird zuhause in ner VM oder ner alten Schabracke. Ende. Punkt. Aus.

Und solltest du auf irgendeinen Dienst im öffentlich angewiesen sein, schau dich nach entsprechenden Managementangeboten um. Sind zwar ein bisschen teuerer, aber insgesamt sicher billiger, als Strafkosten für deinen gekaperten Server mit dem illegale Tätigkeiten ausgeführt wurden. Denn du bist dafür haftbar. Kapiert?!

Ein BOfH

CrUpf
14.01.12, 02:31
In gewisser Weise habt ihr ja recht...
Ich habe heute mal /var/log/auth.log durchgesehen und etwa ~10000 Attempts root zu knacken bemerkt... im Anschluss eine wohl für euch selbstverständliche Einstellung vorgenommen: den root login völlig zu deaktivieren.
Wie gesagt, andere Services als TS laufen im Moment nicht, und TS ist sehr sicher eingestellt, als User gestartet, auf der aktuellsten Version etcetcetc.

Ich werde den Server so lassen wie er ist (nur TS und ssh) - so lange es eben braucht bis ich mir z.B. ein Verständnis angeeignet habe, wie genau die Apache-Software und andere funktionieren - und täglich Logs und Traffic checken...
Ich habe noch mehrere Rechner zu Hause, herumspielen ist da nicht so das Problem...

Sorry falls ich erst etwas prüde reagiert habe, aber es ist ja auch nicht die feine englische Art direkt zu schreiben "hey du bist dumm, lass es sein, geh nach Hause".

Newbie314
14.01.12, 02:37
Die Leute haben nicht geschrieben "du bist dumm", sondern "was du da vorhast ist dumm". Das ist ein Riesenunterschied.. Allerdings nehmen die meisten stolzen Besitzer eines Mietservers solche Kommentare persönlich.

Hast du jemanden der sich die Logs anschaut wenn du mal in Urlaub oder krank bist ? Und der den Server bei Auffälligkeiten auch vom Netz nehmen kann ? Wäre insgesamt eine gute Idee...

spychodelics
14.01.12, 10:20
Ist wie nen BWM mieten oder leasen, dann wird man immer automatisch besser, und nimmt alles persoenlich.

Dein aktuelles Problem und dein Angriffspunkt auf deinem neugemieteten Schmuckstück
ist Teamspeak3, solange der nicht in einer chroot läuft.

Zu deiner Liste an Sachen die du realisieren moechtest.

Apache und Mail Server sind noch wundere Punkte als TS3, da wird noch mehr
KnowHow vorausgesetzt.

Ein PermitRootLogin no ist nicht das einzige was man mit SSH machen muss um es sicherer zu kriegen. Ein Portwechsel auf einen sehr hohen Port entspannt das ganze
gehacke sichtlich.

Also erstmal viel lesen und dann installieren.

marce
14.01.12, 10:24
Ein Portwechsel auf einen sehr hohen Port entspannt das ganze gehacke sichtlich.
... sorgt aber rein gar nicht für mehr Sicherheit.

DrunkenFreak
14.01.12, 10:25
Ein Portwechsel auf einen sehr hohen Port entspannt das ganze
gehacke sichtlich.
Security by obscurity ist auch nicht das Wahre. Das unterdrückt nur das Hintergrundrauschen der Skriptkiddies, die meiner Meinung nach wenig Gefahr darstellen. Wenn jmd ernsthaft vor hat per SSH draufzukommen, wird er den Port auch finden.

CrUpf
14.01.12, 12:44
Ist wohl ein bisschen untergegangen, weil ich das im edit nachgefügt hatte, nachdem schon eine Antwort geschrieben wurde:

Ich habe per nmap meinen Server gescannt und hatte beim ersten Versuch die offenen Ports (22, 9987(udp), 10011, 30033) als Ergebnis erhalten + Debian 6.0 Squeeze als OS und die Versionen von sshd und dem TS3 Server.
Bei einem etwas aktuelleren Scan jedoch hat nmap keine Resultate geliefert, auf -Pn verwiesen (so wie ich die manpage dazu verstehe, heißt -Pn testen ohne die einzelnen Ports anzupingen), und mit dieser Option ebenfalls keine Resultate geliefert, sondern schlicht:

nmap -T4 -A -v -Pn ***ip***

Nmap scan report for ***ip.dnsname*** (***ip***)

Host is up.

All 1000 scanned ports on ***ip.dnsname*** (***ip***) are filtered

Too many fingerprints match this host to give specific OS details

Heißt das, der Server blockiert automatisch wiederholte Portscans? Wenn ja, gut...

ssh sollte auch auf Port 22 sicher sein, habe mittlerweile dank RSA Keys und IP-Beschränkung (habe fixe IP) und dennoch Passwörter ein m.M.n. recht einbruchssicheres Remote-Loginverfahren...
edit: auch mit faillog / pam_tally.so

...

Wie auch immer, das ist dann der Plan für heute abend:
xen erlernen/TS3 virtualisiert laufen lassen...

@Newbie314
Ja, ich habe jemanden, der mich vertreten könnte und der Zugang hat.
Wobei ich auch immer unterwegs online sein kann, egal ob krank oder Urlaub :).

spychodelics
14.01.12, 12:45
richtig, und das ihr jetzt nicht auf mir rumreiten koennt, sage ich gleich an dieser stelle ich bin raus!

DrunkenFreak
14.01.12, 12:49
Heißt das, der Server blockiert automatisch wiederholte Portscans? Wenn ja, gut...

Wäre mir neu. Normalerweise sollte man sowas über iptables regeln, was du aber mit hoher Wahrscheinlichkeit nicht gemacht hast.


Wie auch immer, das ist dann der Plan für heute:
xen erlernen/TS3 virtualisiert laufen lassen...

Das bedeutet doppelter Aufwand in der Administration. Du musst schließlich (mindestens) einen zweiten Server mit absichern, was nicht sonderlich sinnvoll ist, wenn der erste schon nicht vernünftig gesichert ist.

CrUpf
14.01.12, 12:51
Was hat dann diese nmap Aussage zu sagen?

spy hat etwas von über chroot laufen lassen gesagt? Ist damit denn einfach nur eine UNIX-chroot, ohne besondere Virtualisierung gemeint?

TheDarkRose
14.01.12, 13:39
Wie auch immer, das ist dann der Plan für heute abend:
xen erlernen/TS3 virtualisiert laufen lassen...


Ahahaha, du willst auf einen vServer virtualisieren? :ugly:


Ispy hat etwas von über chroot laufen lassen gesagt? Ist damit denn einfach nur eine UNIX-chroot, ohne besondere Virtualisierung gemeint
ja, es ist ein normales UNIX-chroot gemeint gewesen. Einfach nach ts3 chroot googlen.