Sicherheit für 1&1 Rootserver

Lesenswerte Artikel, Anleitungen und Diskussionen
kgiebel
Posts: 6
Joined: 2004-05-23 19:58

Sicherheit für 1&1 Rootserver

Post by kgiebel » 2004-05-25 17:53

Hallo,

ich lese hier oft über den unsicheren Zustand von
1und1 Rootservern (Auslieferungszustand)

Gibt es eine zusammengefasste Anleitung über
die Konfiguration/Ã?nderungen, die sofort gemacht
werden sollte. (für Halbwissende)

Welche Dienste sofort aus, wenn nicht benötigt usw.

Oder kann jemand kurz die relevanten Punkte auflisten.

Wäre echt nett.

Danke

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Sicherheit für 1&1 Rootserver

Post by dodolin » 2004-05-25 17:57

Nein, das geht nicht "kurz". Das geht auch nicht für "halbwissende". Das geht nur durch "nachdenken" und mit dem Einsatz von "Hirnschmalz", vulgo "Eigeninitiative".

User avatar
Joe User
Project Manager
Project Manager
Posts: 11583
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Sicherheit für 1&1 Rootserver

Post by Joe User » 2004-05-25 18:20

kgiebel wrote:ich lese hier oft über den unsicheren Zustand von
1und1 Rootservern (Auslieferungszustand)
Beispiel?
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

kgiebel
Posts: 6
Joined: 2004-05-23 19:58

Re: Sicherheit für 1&1 Rootserver

Post by kgiebel » 2004-05-25 19:00

Joe User wrote:
kgiebel wrote:ich lese hier oft über den unsicheren Zustand von
1und1 Rootservern (Auslieferungszustand)
Beispiel?

Beispiel:

In einigen Beiträgen habe ich gelesen:

" Wenn Du deinen Server nur mit Confixx konfiguriert hast
und sonst nichts am System gemacht hast ist es kein Wunder
das dein System angegriffen werden kann"

kgiebel
Posts: 6
Joined: 2004-05-23 19:58

Re: Sicherheit für 1&1 Rootserver

Post by kgiebel » 2004-05-25 19:01

dodolin wrote:Nein, das geht nicht "kurz". Das geht auch nicht für "halbwissende". Das geht nur durch "nachdenken" und mit dem Einsatz von "Hirnschmalz", vulgo "Eigeninitiative".

Hey dodolin,

deine Antwort ist echt gut, lasst uns die Lehrer abschaffen.
Wozu gibt es denn Bücher - Schau doch selber nach.

Wollte keinen kompletten Lehrgang für Linux....

Wollte einfach mal eine Anregung und ein bischen Hilfe...

Wenn das nicht in Foren geht, wo dann...

oder sind Fragen von Anfängern hier nicht erwünscht ??

Wenn ich jemandem helfen kann, dann gerne. Denn auch
aus vorgefertigten Lösungen kann man lernen sogar schneller
und der Weg ist dann nicht so steinig.

Gruß

darkspirit
RSAC
Posts: 568
Joined: 2002-10-05 16:39
Location: D'dorf

Re: Sicherheit für 1&1 Rootserver

Post by darkspirit » 2004-05-25 19:08

kgiebel wrote:Wollte keinen kompletten Lehrgang für Linux....
Wollte einfach mal eine Anregung und ein bischen Hilfe...
Wenn das nicht in Foren geht, wo dann...
Wenn ich jemandem helfen kann, dann gerne. Denn auch
aus vorgefertigten Lösungen kann man lernen sogar schneller
und der Weg ist dann nicht so steinig.
Du hast leider nicht verstanden, was dodolin ausdrücken wollte. Es gibt einfach keine Schritt-für-Schritt Anleitung zum Absichern eines Servers. Du brauchst ein genaues Konzept, was du vor was absichern möchtest und das geht nicht ohne Erfahrung und genaue Kenntnis der Elemente in diesem Konzept.
oder sind Fragen von Anfängern hier nicht erwünscht ??
Seit die neuen Rules gelten, ist das tatsächlich so.

kgiebel
Posts: 6
Joined: 2004-05-23 19:58

" Konzept "

Post by kgiebel » 2004-05-25 19:43

Mein Konzept ist eigendlich "nur":

- Apache soll laufen /PHP/MYSQL (für Postnuke)

- Confixx damit ich mal einen Virtuellen Host/Mail anlegen kann.

Kann ich zwar auch über die .conf aber so ist es bequemer,
und die Leute, deren Sites mit auf den Server gehen, können
sich auch mal eine Mailadresse selbst anlegen.

Mehr brauche ich nicht.

Bekomme ich auch zum laufen, aber ich möchte halt nichts
übersehen, damit mir das Ding nicht sofort abgeschossen wird.


Gruß

arty
Userprojekt
Userprojekt
Posts: 761
Joined: 2002-06-12 10:11

Re: " Konzept "

Post by arty » 2004-05-25 19:45

kgiebel wrote:Postnuke
Warum nimmst nicht was gescheites?

arty

antondollmaier
Posts: 485
Joined: 2004-03-30 10:06

Re: Sicherheit für 1&1 Rootserver

Post by antondollmaier » 2004-05-25 20:01

was gescheites, sowas wie phpkit?? :D


typo3 wird da wohl etwas übers ziel hinausgeschossen sein, wenn sich jemand für n postnuke nen rootie holt ... :?

User avatar
Joe User
Project Manager
Project Manager
Posts: 11583
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Sicherheit für 1&1 Rootserver

Post by Joe User » 2004-05-25 20:52

antondollmaier wrote:wenn sich jemand für n postnuke nen rootie holt ...
..., braucht er sich um Security keine Gedanken mehr zu machen...
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

silentfog
Posts: 55
Joined: 2003-09-16 03:39

Re: Sicherheit für 1&1 Rootserver

Post by silentfog » 2004-05-25 23:30

:) :) @kgiebel
Also irgendwie hatten wir das alles doch schon ... :wink:
Aber das ist IMHO 'nicht' das eigentliche Problem, denn das Thema 'security' muß uns ja permanent beschäftigen, zumindest, wenn wir einen solchen Server betreiben, haben, wie auch immer ...

Hättest Du 'mal zusammengefasste Anleitung und kurz die relevanten Punkte weggelassen :wink: , denn nett sind wir ja eigentlich alle hier :) ( :oops: oder :) )

Ich verstehe eigentlich nicht, warum viele der Rootserver-Starter gleich immer so 'ungeduldig' sind und 'schnell' das Eine oder Andere 'abhaken' wollen ? - :o --> Na, eigentlich doch, ist doch schon etwas, wenn man schnell einmal ein 'Boardchen' oder 'Forum', 'Clan' drauf hat - ist ja auch FUN :)

ABER: Damit dieser FUN etwas anhält und auch kontinuierlich wachsen kann, müßt Ihr halt 'auch' etwas investieren: Zeit !

Aber nicht nur Zeit, um die 'neuesten' Mods oder Hacks für's NuKe einzupflegen, oder die Seite selbst aufzupeppeln, sondern vielmehr in die Systemadminsitration.

Und logischerweise ist es besser, so früh wie möglich damit anzufangen ! :)
Du schreibst ja, daß Du schon einiges gelesen hast - dann weißt Du ja welche Probleme auftreten können und werden, wenn der Rootie 'vernachlässigt' wird.

Seht den 'Rootie' wie Euer Auto :lol: -
Ihr putzt und schrubbt daran rum und natürlich kümmert Ihr Euch , daß der Motor, Reifen, etc. ok ist, damit Ihr dann beim nächsten 'Meeting' auch
glänzen könnt.

So und beim Rootie ist es nicht anders.
1. Man sollte ihn 'fahren' können, was heißt, ich muß halt 'mal wissen, wie man bremst, lenkt und Gas gibt. (Linux)
2. Wenn ich ihn 'tunen' will, muß ich dementsprechend auch sehen, daß das Zubehör (scripte, Portale) was taugt und nicht Schrott ist.
3. Wenn ich mich nicht um den Rootie kümmere, nach dem Ã?l sehe, sind die Reifen abgefahren ?, (Kernel, Systemprogramme) dann zerlege ich ihn selbst, oder andere(s) werden/wird dies für mich tun.
4. Mein Rootie ist wie ein Auto, er ist nicht deshalb gefährlich, weil er ein Rootie ist, vollgetankt, neue Reifen und Ã?l im Motor. (Grundsetup Linux)
5. Er kann aber gefärlich sein, wenn der falsche Fahrer (ich/Du/wir), ihn falsch bedienen, zu schnell fahren oder ihn nicht pflegen. (Spamrelay, Nuke oder Forks, Bad coded scripts, keine Systemupdates etc.)

Also ist es uns allen klar, daß wir für unseren Rootie eigentlich auch einen 'Führerschein' bräuchten. Jedenfalls bildlich gesprochen. :)

So ist es doch nicht zuviel Arbeit, sich wenigstens intensiv mit unserem Rootie zu beschäftigen, oder :wink:

Und bestimmte Dinge kann man leider nicht 'mal schnell eben erledigen, leider - Ich würde mich auch oft freuen, wenn ich etwas schneller verstehen würde, oder nicht 'wieder' auf der Leitung sitze... :wink:

Gerade das Thema Sicherheit ist eines der 'krassesten' und 'resourcenmordensten' Aufgaben überhaupt.
Aber, wenn man die 'Früchte seiner Arbeit' auch 'ernten' will, dann muß man da durch ...

Zu 100% können wir Unfälle nicht vermeiden, aber Vorsorge können wir zumindest treffen.
Und 'vorausschauend fahren' , sprich informieren und verstehen, was wir auf unserem Rootie tun, und was andere tun können, um uns unseren Spass damit zu verderben.

@kgiebel - :) Im Forum sind super Links zu Sec.Themen - Du mußt da durch ! :) - Mußten andere + ich auch :)
Aber glaube mir, es 'rentiert' sich und Du wirst es niemals bereuen !!

Also, die Grundlagen meine ich natürlich ... es gibt dann genug spezielle Themen, wo man sich ausgiebigst 'streiten' kann :lol:

Greets Stef. :)

silentfog
Posts: 55
Joined: 2003-09-16 03:39

Re: Sicherheit für 1&1 Rootserver

Post by silentfog » 2004-05-25 23:32

BTW kgiebel :wink:

Alles was sich nach Nuke anhört, anfühlt oder danach riecht, lass es ... :)

antondollmaier
Posts: 485
Joined: 2004-03-30 10:06

Re: Sicherheit für 1&1 Rootserver

Post by antondollmaier » 2004-05-26 00:06

könnte man den obigen post von SilentFog ned in die FAQ / Tipps+Hinweise etc aufnehmen? triffts 100% ...

btw: wo kann ich theoretische+praktische prüfung machen? :-D

Joe User wrote:.., braucht er sich um Security keine Gedanken mehr zu machen...
er braucht sich keine gedanken machen, weil das ding eh schon fürn *rsch is?

oder braucht er sich keine gedanken machen, weil nuke so sicher is??

steh irgendwie grad aufm schlauch ... wie des öfteren ...

majortermi
Userprojekt
Userprojekt
Posts: 930
Joined: 2002-06-17 16:09

Re: Sicherheit für 1&1 Rootserver

Post by majortermi » 2004-05-26 00:46

antondollmaier wrote:er braucht sich keine gedanken machen, weil das ding eh schon fürn *rsch is?

oder braucht er sich keine gedanken machen, weil nuke so sicher is??
Eine Kette ist immer so stark, wie ihr schwächstes Glied. Ein System ist immer so sicher, wie seine unsicherste Komponente. Das dürfte die Frage wohl beantworten.

BTW: Die JBoss Jungs haben doch eine Alternative zu *Nuke entwickelt. Da könnte ich mir sogar vorstellen, dass die einigermaßen etwas taugt (JBoss ist ja ansonsten dafür bekannt, ganz gut zu sein - auch wenn ich eher JOnAS bevorzuge).
Erst nachlesen, dann nachdenken, dann nachfragen... :)
Warum man sich an diese Reihenfolge halten sollte...

kgiebel
Posts: 6
Joined: 2004-05-23 19:58

RE

Post by kgiebel » 2004-05-26 04:47

Hey Leute, wollte keine Gross-Diskussion lostreten,

ich bin nur ein kleiner Selbständiger, der Windows-Netzwerke aufbaut,
Serverschränke einrichtet, Verkabelung macht, Rechner repariert und
StandardSoftware einrichtet (Sage usw.).
(und dat kann der echt gut)
Eine Internetanbindung per Com-Server/Router ist auch dabei.
Die Ports zumachen und das Netz etwas gegen "draussen" absichern
geht auch noch.

Auch Internet-Seiten kann der Jung erstellen (ist echt kreativ).

Nur Linux, da arbeitet er noch dran. (sorry, das meine Fragen etwas
simpel und dumm klingen)

Als alter Windows-Hasser von der Dos-Ebene ab Ende Win3.11 dann
doch damit angefreundet. (Ging ja leider kein weg dran vorbei),
habe ich vor einem Jahr mal so den Weg zu Linux gefunden und
war total begeistert - und nach einer Weile auch gefrustet.

Aber man muss sich ja ein bischen durchbeissen. Ist toll das System!

Nur Zeit ... ja Zeit... die finde ich leider zu selten.
Ich arbeite täglich ca. 14 Stunden und danach krempele ich noch ein
bischen mit Buchhaltung und ggf. auch noch mit dem was man Leben
nennt, rum.

Hey ich wollte eigendlich nur für mich einen Server haben, auf dem ich
meine Seiten pflegen kann, jo, mit Postnuke, da das meinem Bedürfniss
nach Ergebnis in kurzer Zeit sehr entgegen kam. (besser als PHP-Nuke)

Was für ein Ding sollte ich denn nehmen.???
Typo3 ist ja OK, aber ich habe leider keine Zeit das Ding zu studieren.
Habe eine Menge getestet, den kompletten Nuke Bereich, Zope ... usw. usw.

Post-Nuke war einfach - Nimm es verstehe es und los, dann passt alles,
mit (Halbwissen und "ich denke das könnte funktionieren") ein bischen
im PHP rumbasteln und man kann fast alles für sich anpassen.
schnell und unkompliziert. (Schön, 777 ist nie gut)

Kennt jemand etwas Besseres bei gleicher Einfachheit ?
Wäre dankbar für Hinweise.

Brauche den Rootie eigendlich nur um für mich und ein paar meiner
Kunden Webspace zu schaffen auf dem Postnuke läuft und auf dem
ich halt irgendwie mein eigener Provider bin. Biete Kundenlogin (Confixx) usw.
muss mich an keine Beschränkungen halten.

Das alles klang toll für mich. Und... hey - ein eigener Webserver.

Aber so wie Ihr das alles beschreibt, ist das dann doch wohl nichts für mich.

Wollte auch schon einen managed Server nehmen, aber da gibt es leider die
"Reseller Funktion" nicht (Confixx) - würde mir reichen.

Ich lerne gerne was dazu, weil Linux mir eigendlich super gefällt und ich arbeite ja
auch dran. Mein Linux Test-Server gefällt mir schon besser als der Win-Server.
Ich habe das Ding auch einigermaßen im Griff. Aber die Sache wasserdicht zu
machen - gegen Angriffe, das kann ich dann doch noch nicht.
Ich kann ja manche Fehlermeldungen noch nicht mal zuordnen, ist ja im eigenen
Netz nicht das grösste Problem.

Habe eigendlich am Anfang auch nur eine Antwort erwartet wie:

Beim 1und1 Server starten standardmäßig folgende wichtigen Dienste:
xxxx
Bei deinen Bedürfnissen nimm die Dienste xxxx raus.

Ã?ndere die . conf für xxxx und xxxx wie folgt ab.

Dann hast Du das Meiste abgesichert.
Achte auf aktuelle Updates.


Ich kann mir nicht erlauben, dass da kein Mail mehr läuft oder die
Seiten für ein paar Tage weg sind.

Also soll ich es doch versuchen ohne Zeit und Wissen???
oder lieber die Finger davon ?

Und was für ein CMS wäre denn empfehlenswert?

Hoffe ich habe euch nicht zu sehr genervt mit meinen Fragen,
aber alleine ohne Rat ist es nunmal schwer.

Danke an alle, die etwas dazu geschrieben haben

Gruß

arty
Userprojekt
Userprojekt
Posts: 761
Joined: 2002-06-12 10:11

Re: Sicherheit für 1&1 Rootserver

Post by arty » 2004-05-26 07:35

Hi,

relative gute CMS wären da noch Mambo und Contenido.

bye
arty

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Sicherheit für 1&1 Rootserver

Post by dodolin » 2004-05-26 09:38

Also soll ich es doch versuchen ohne Zeit und Wissen???
oder lieber die Finger davon ?
Wenn du mich fragst: Unter diesen Voraussetzungen, Finger weg davon. Aber du wärest wohl der erste, der auf einen solchen Rat hört. :?

User avatar
Joe User
Project Manager
Project Manager
Posts: 11583
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Sicherheit für 1&1 Rootserver

Post by Joe User » 2004-05-26 11:36

antondollmaier wrote:btw: wo kann ich theoretische+praktische prüfung machen?
http://127.0.0.1/
antondollmaier wrote:
Joe User wrote:.., braucht er sich um Security keine Gedanken mehr zu machen...
er braucht sich keine gedanken machen, weil das ding eh schon fürn *rsch is?
Ja! Wie bereits geschrieben: mv *nuke* /dev/null
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

thomas80
Posts: 20
Joined: 2004-05-23 14:12

Re: Sicherheit für 1&1 Rootserver

Post by thomas80 » 2004-05-26 12:39

arty wrote:
relative gute CMS wären da noch Mambo und Contenido.
Moin,

ich plane gerade ein kleines Projekt mit Mambo, habs bisher aber nur auf meiner Workstation installiert...als wie sicher gilt dieses CMS?

Gruß, Thomas

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Sicherheit für 1&1 Rootserver

Post by captaincrunch » 2004-05-26 12:40

Mambo tauchte zwar in letzter Zeit auch ein paar Mal in den zuständigen Security-Mailinglisten auf, darf aber wohl immer noch als erheblich sicherer als die Nukes gelten.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

compositiv
Posts: 193
Joined: 2003-01-22 14:58
Location: Hamburg

Re: RE

Post by compositiv » 2004-05-26 13:57

kgiebel wrote: Brauche den Rootie eigendlich nur um für mich und ein paar meiner
Kunden Webspace zu schaffen auf dem Postnuke läuft und auf dem
ich halt irgendwie mein eigener Provider bin.
Zu dem Thema finde ich übrigends den Vortrag (wenn man ihn verpasst hat, halt die Unterlagen) von Michael Hönnig von Hostsharing e.G. ziemlich treffend:

http://www.hostsharing.net/downloads/ho ... i-DZUG.pdf
kgiebel wrote:Kennt jemand etwas Besseres bei gleicher Einfachheit ?
Wäre dankbar für Hinweise.
Nen Managed Server, ist vermutlich auch wirtschaftlich günstiger.
Ohne Dich davon abhalten zu wollen, nur meiner Erfahrung nach klingt Dein "Arbeitsprofil" nicht danach, als wolltest Du Dich in Deiner knappen Freizeit noch mit sowas rumschlagen ,)

silentfog
Posts: 55
Joined: 2003-09-16 03:39

Re: Sicherheit für 1&1 Rootserver

Post by silentfog » 2004-05-26 15:31

relative gute CMS wären da noch Mambo...
Mambo tauchte zwar in letzter Zeit auch ein paar Mal in den zuständigen Security-Mailinglisten auf, darf aber wohl immer noch als erheblich sicherer als die Nukes gelten.
100 % ACK, im Rahmen von verschiedensten Tests rund um opensourceCMS Systeme, haben wir sehr positive Erfahrungen gemacht :)

Das Core-Developer Team ist zwar manchmal "etw. schwierig", aber mittlerweile noch mehr Sec.Orientiert.
Spätestens nachdem aber Exploits für 4.5 1.0.5 augetreten sind, haben die Cores sofort reagiert, und sind seither etwas "aufgeschlossener" gegenüber Kritik.

Ein weiteres sehr populärer Vertreter ist XOOPS, von XOOPS.org .
Gilt das Gleiche wie oben.

Eines, der zahlreichen Verzeichnisse für opensourceCMS ist opensourceCMS

Bitte den Link gleich 'mal klicken - seine Seite wurde erst gerade Defaced :?
Die Seite ist sehr frequentiert, und ich habe mit dem Betreiber auch schon öfter gechatted und gemailt.
Trotz zahlreicher und intensivster "Bitte Scott, hau' das Nuke runter - Deine Seite wird irgendwann "defaced" - hatte er wohl auch die Gefahr verkannt ... :?

Jetzt mußte er es 'bitter' einsehen . Ironie :wink:

Das Hauptproblem bei MAMBO und XOOPS sind z.Zt. nicht der Core, sondern 3.rd Party Erweiterungen, wie HTML-Area etc.
Aber darüber wird in den beiden Foren ausgiebigst diskutiert.

Für beide CMS gilt, den Mehraufwand in Kauf nehmen, und sie so zu installieren, daß sie unter "safe_mode" on laufen.

Entgegen der Meinung einiger Cores, vertrete ich die Meinung, daß der Mehraufwand gerechtfertigt ist, und nach dementsprechender Anpassung, laufen beide ohne wesentliche Einschränkungen sehr sicher.

Greets Stef. :)

dea
RSAC
Posts: 619
Joined: 2002-08-13 12:05

Re: Sicherheit für 1&1 Rootserver

Post by dea » 2004-05-26 16:54

Bei dem ganzen Gefasel ums CMSe frage ich mich eins:

Wer benötigt zwingend ein CMS/PHP/Geraffels auf einem Bastion Host?

In meinen Augen ist es das dümmste, was man sich antun kann, vor allem, da genügend andere Konzepte verfügbar sind (wenn es einem schon an Phantasie mangelt).

arty
Userprojekt
Userprojekt
Posts: 761
Joined: 2002-06-12 10:11

Re: Sicherheit für 1&1 Rootserver

Post by arty » 2004-05-26 17:19

SilentFog wrote:Für beide CMS gilt, den Mehraufwand in Kauf nehmen, und sie so zu installieren, daß sie unter "safe_mode" on laufen.
Das Problem hat man mit mod_php aber immer, deswegen sollte man bei CMS, die ins Filesystem schreiben (das macht ja eigentlich jedes) PHP als CGI nutzen.

bye
Thorsten

silentfog
Posts: 55
Joined: 2003-09-16 03:39

Re: Sicherheit für 1&1 Rootserver

Post by silentfog » 2004-05-26 18:04

arty wrote:
SilentFog wrote:Für beide CMS gilt, den Mehraufwand in Kauf nehmen, und sie so zu installieren, daß sie unter "safe_mode" on laufen.
Das Problem hat man mit mod_php aber immer, deswegen sollte man bei CMS, die ins Filesystem schreiben (das macht ja eigentlich jedes) PHP als CGI nutzen.

bye
Thorsten
ACK - besserer Weg :)