Sicherheit für 1&1 Rootserver

[kgiebel]

Hallo,

ich lese hier oft über den unsicheren Zustand von
1und1 Rootservern (Auslieferungszustand)

Gibt es eine zusammengefasste Anleitung über
die Konfiguration/Ã?nderungen, die sofort gemacht
werden sollte. (für Halbwissende)

Welche Dienste sofort aus, wenn nicht benötigt usw.

Oder kann jemand kurz die relevanten Punkte auflisten.

Wäre echt nett.

Danke

[dodolin]

Nein, das geht nicht "kurz". Das geht auch nicht für "halbwissende". Das geht nur durch "nachdenken" und mit dem Einsatz von "Hirnschmalz", vulgo "Eigeninitiative".

[Joe User]

ich lese hier oft über den unsicheren Zustand von
1und1 Rootservern (Auslieferungszustand)

Beispiel?

[kgiebel]

ich lese hier oft über den unsicheren Zustand von
1und1 Rootservern (Auslieferungszustand)

Beispiel?

Beispiel:

In einigen Beiträgen habe ich gelesen:

" Wenn Du deinen Server nur mit Confixx konfiguriert hast
und sonst nichts am System gemacht hast ist es kein Wunder
das dein System angegriffen werden kann"

[kgiebel]

Nein, das geht nicht "kurz". Das geht auch nicht für "halbwissende". Das geht nur durch "nachdenken" und mit dem Einsatz von "Hirnschmalz", vulgo "Eigeninitiative".

Hey dodolin,

deine Antwort ist echt gut, lasst uns die Lehrer abschaffen.
Wozu gibt es denn Bücher - Schau doch selber nach.

Wollte keinen kompletten Lehrgang für Linux....

Wollte einfach mal eine Anregung und ein bischen Hilfe...

Wenn das nicht in Foren geht, wo dann...

oder sind Fragen von Anfängern hier nicht erwünscht ??

Wenn ich jemandem helfen kann, dann gerne. Denn auch
aus vorgefertigten Lösungen kann man lernen sogar schneller
und der Weg ist dann nicht so steinig.

Gruß

[darkspirit]

Wollte keinen kompletten Lehrgang für Linux....
Wollte einfach mal eine Anregung und ein bischen Hilfe...
Wenn das nicht in Foren geht, wo dann...
Wenn ich jemandem helfen kann, dann gerne. Denn auch
aus vorgefertigten Lösungen kann man lernen sogar schneller
und der Weg ist dann nicht so steinig.

Du hast leider nicht verstanden, was dodolin ausdrücken wollte. Es gibt einfach keine Schritt-für-Schritt Anleitung zum Absichern eines Servers. Du brauchst ein genaues Konzept, was du vor was absichern möchtest und das geht nicht ohne Erfahrung und genaue Kenntnis der Elemente in diesem Konzept.

oder sind Fragen von Anfängern hier nicht erwünscht ??

Seit die neuen Rules gelten, ist das tatsächlich so.

[kgiebel]

Mein Konzept ist eigendlich "nur":

- Apache soll laufen /PHP/MYSQL (für Postnuke)

- Confixx damit ich mal einen Virtuellen Host/Mail anlegen kann.

Kann ich zwar auch über die .conf aber so ist es bequemer,
und die Leute, deren Sites mit auf den Server gehen, können
sich auch mal eine Mailadresse selbst anlegen.

Mehr brauche ich nicht.

Bekomme ich auch zum laufen, aber ich möchte halt nichts
übersehen, damit mir das Ding nicht sofort abgeschossen wird.

Gruß

[arty]

Postnuke

Warum nimmst nicht was gescheites?

arty

[antondollmaier]

was gescheites, sowas wie phpkit?? :D


typo3 wird da wohl etwas übers ziel hinausgeschossen sein, wenn sich jemand für n postnuke nen rootie holt ... :?

[Joe User]

wenn sich jemand für n postnuke nen rootie holt ...

..., braucht er sich um Security keine Gedanken mehr zu machen...

[silentfog]

:) :) @kgiebel
Also irgendwie hatten wir das alles doch schon ...
Aber das ist IMHO 'nicht' das eigentliche Problem, denn das Thema 'security' muß uns ja permanent beschäftigen, zumindest, wenn wir einen solchen Server betreiben, haben, wie auch immer ...

Hättest Du 'mal zusammengefasste Anleitung und kurz die relevanten Punkte weggelassen , denn nett sind wir ja eigentlich alle hier :) ( :oops: oder :) )

Ich verstehe eigentlich nicht, warum viele der Rootserver-Starter gleich immer so 'ungeduldig' sind und 'schnell' das Eine oder Andere 'abhaken' wollen ? - :o --> Na, eigentlich doch, ist doch schon etwas, wenn man schnell einmal ein 'Boardchen' oder 'Forum', 'Clan' drauf hat - ist ja auch FUN :)

ABER: Damit dieser FUN etwas anhält und auch kontinuierlich wachsen kann, müßt Ihr halt 'auch' etwas investieren: Zeit !

Aber nicht nur Zeit, um die 'neuesten' Mods oder Hacks für's NuKe einzupflegen, oder die Seite selbst aufzupeppeln, sondern vielmehr in die Systemadminsitration.

Und logischerweise ist es besser, so früh wie möglich damit anzufangen ! :)
Du schreibst ja, daß Du schon einiges gelesen hast - dann weißt Du ja welche Probleme auftreten können und werden, wenn der Rootie 'vernachlässigt' wird.

Seht den 'Rootie' wie Euer Auto :lol: -
Ihr putzt und schrubbt daran rum und natürlich kümmert Ihr Euch , daß der Motor, Reifen, etc. ok ist, damit Ihr dann beim nächsten 'Meeting' auch
glänzen könnt.

So und beim Rootie ist es nicht anders.
1. Man sollte ihn 'fahren' können, was heißt, ich muß halt 'mal wissen, wie man bremst, lenkt und Gas gibt. (Linux)
2. Wenn ich ihn 'tunen' will, muß ich dementsprechend auch sehen, daß das Zubehör (scripte, Portale) was taugt und nicht Schrott ist.
3. Wenn ich mich nicht um den Rootie kümmere, nach dem Ã?l sehe, sind die Reifen abgefahren ?, (Kernel, Systemprogramme) dann zerlege ich ihn selbst, oder andere(s) werden/wird dies für mich tun.
4. Mein Rootie ist wie ein Auto, er ist nicht deshalb gefährlich, weil er ein Rootie ist, vollgetankt, neue Reifen und Ã?l im Motor. (Grundsetup Linux)
5. Er kann aber gefärlich sein, wenn der falsche Fahrer (ich/Du/wir), ihn falsch bedienen, zu schnell fahren oder ihn nicht pflegen. (Spamrelay, Nuke oder Forks, Bad coded scripts, keine Systemupdates etc.)

Also ist es uns allen klar, daß wir für unseren Rootie eigentlich auch einen 'Führerschein' bräuchten. Jedenfalls bildlich gesprochen. :)

So ist es doch nicht zuviel Arbeit, sich wenigstens intensiv mit unserem Rootie zu beschäftigen, oder

Und bestimmte Dinge kann man leider nicht 'mal schnell eben erledigen, leider - Ich würde mich auch oft freuen, wenn ich etwas schneller verstehen würde, oder nicht 'wieder' auf der Leitung sitze...

Gerade das Thema Sicherheit ist eines der 'krassesten' und 'resourcenmordensten' Aufgaben überhaupt.
Aber, wenn man die 'Früchte seiner Arbeit' auch 'ernten' will, dann muß man da durch ...

Zu 100% können wir Unfälle nicht vermeiden, aber Vorsorge können wir zumindest treffen.
Und 'vorausschauend fahren' , sprich informieren und verstehen, was wir auf unserem Rootie tun, und was andere tun können, um uns unseren Spass damit zu verderben.

@kgiebel - :) Im Forum sind super Links zu Sec.Themen - Du mußt da durch ! :) - Mußten andere + ich auch :)
Aber glaube mir, es 'rentiert' sich und Du wirst es niemals bereuen !!

Also, die Grundlagen meine ich natürlich ... es gibt dann genug spezielle Themen, wo man sich ausgiebigst 'streiten' kann :lol:

Greets Stef. :)

[silentfog]

BTW kgiebel

Alles was sich nach Nuke anhört, anfühlt oder danach riecht, lass es ... :)

[antondollmaier]

könnte man den obigen post von SilentFog ned in die FAQ / Tipps+Hinweise etc aufnehmen? triffts 100% ...

btw: wo kann ich theoretische+praktische prüfung machen? :-D

.., braucht er sich um Security keine Gedanken mehr zu machen...

er braucht sich keine gedanken machen, weil das ding eh schon fürn *rsch is?

oder braucht er sich keine gedanken machen, weil nuke so sicher is??

steh irgendwie grad aufm schlauch ... wie des öfteren ...

[majortermi]

er braucht sich keine gedanken machen, weil das ding eh schon fürn *rsch is?

oder braucht er sich keine gedanken machen, weil nuke so sicher is??

Eine Kette ist immer so stark, wie ihr schwächstes Glied. Ein System ist immer so sicher, wie seine unsicherste Komponente. Das dürfte die Frage wohl beantworten.

BTW: Die JBoss Jungs haben doch eine Alternative zu *Nuke entwickelt. Da könnte ich mir sogar vorstellen, dass die einigermaßen etwas taugt (JBoss ist ja ansonsten dafür bekannt, ganz gut zu sein - auch wenn ich eher JOnAS bevorzuge).

[kgiebel]

Hey Leute, wollte keine Gross-Diskussion lostreten,

ich bin nur ein kleiner Selbständiger, der Windows-Netzwerke aufbaut,
Serverschränke einrichtet, Verkabelung macht, Rechner repariert und
StandardSoftware einrichtet (Sage usw.).
(und dat kann der echt gut)
Eine Internetanbindung per Com-Server/Router ist auch dabei.
Die Ports zumachen und das Netz etwas gegen "draussen" absichern
geht auch noch.

Auch Internet-Seiten kann der Jung erstellen (ist echt kreativ).

Nur Linux, da arbeitet er noch dran. (sorry, das meine Fragen etwas
simpel und dumm klingen)

Als alter Windows-Hasser von der Dos-Ebene ab Ende Win3.11 dann
doch damit angefreundet. (Ging ja leider kein weg dran vorbei),
habe ich vor einem Jahr mal so den Weg zu Linux gefunden und
war total begeistert - und nach einer Weile auch gefrustet.

Aber man muss sich ja ein bischen durchbeissen. Ist toll das System!

Nur Zeit ... ja Zeit... die finde ich leider zu selten.
Ich arbeite täglich ca. 14 Stunden und danach krempele ich noch ein
bischen mit Buchhaltung und ggf. auch noch mit dem was man Leben
nennt, rum.

Hey ich wollte eigendlich nur für mich einen Server haben, auf dem ich
meine Seiten pflegen kann, jo, mit Postnuke, da das meinem Bedürfniss
nach Ergebnis in kurzer Zeit sehr entgegen kam. (besser als PHP-Nuke)

Was für ein Ding sollte ich denn nehmen.???
Typo3 ist ja OK, aber ich habe leider keine Zeit das Ding zu studieren.
Habe eine Menge getestet, den kompletten Nuke Bereich, Zope ... usw. usw.

Post-Nuke war einfach - Nimm es verstehe es und los, dann passt alles,
mit (Halbwissen und "ich denke das könnte funktionieren") ein bischen
im PHP rumbasteln und man kann fast alles für sich anpassen.
schnell und unkompliziert. (Schön, 777 ist nie gut)

Kennt jemand etwas Besseres bei gleicher Einfachheit ?
Wäre dankbar für Hinweise.

Brauche den Rootie eigendlich nur um für mich und ein paar meiner
Kunden Webspace zu schaffen auf dem Postnuke läuft und auf dem
ich halt irgendwie mein eigener Provider bin. Biete Kundenlogin (Confixx) usw.
muss mich an keine Beschränkungen halten.

Das alles klang toll für mich. Und... hey - ein eigener Webserver.

Aber so wie Ihr das alles beschreibt, ist das dann doch wohl nichts für mich.

Wollte auch schon einen managed Server nehmen, aber da gibt es leider die
"Reseller Funktion" nicht (Confixx) - würde mir reichen.

Ich lerne gerne was dazu, weil Linux mir eigendlich super gefällt und ich arbeite ja
auch dran. Mein Linux Test-Server gefällt mir schon besser als der Win-Server.
Ich habe das Ding auch einigermaßen im Griff. Aber die Sache wasserdicht zu
machen - gegen Angriffe, das kann ich dann doch noch nicht.
Ich kann ja manche Fehlermeldungen noch nicht mal zuordnen, ist ja im eigenen
Netz nicht das grösste Problem.

Habe eigendlich am Anfang auch nur eine Antwort erwartet wie:

Beim 1und1 Server starten standardmäßig folgende wichtigen Dienste:
xxxx
Bei deinen Bedürfnissen nimm die Dienste xxxx raus.

Ã?ndere die . conf für xxxx und xxxx wie folgt ab.

Dann hast Du das Meiste abgesichert.
Achte auf aktuelle Updates.

Ich kann mir nicht erlauben, dass da kein Mail mehr läuft oder die
Seiten für ein paar Tage weg sind.

Also soll ich es doch versuchen ohne Zeit und Wissen???
oder lieber die Finger davon ?

Und was für ein CMS wäre denn empfehlenswert?

Hoffe ich habe euch nicht zu sehr genervt mit meinen Fragen,
aber alleine ohne Rat ist es nunmal schwer.

Danke an alle, die etwas dazu geschrieben haben

Gruß

[arty]

Hi,

relative gute CMS wären da noch Mambo und Contenido.

bye
arty

[dodolin]

Also soll ich es doch versuchen ohne Zeit und Wissen???
oder lieber die Finger davon ?

Wenn du mich fragst: Unter diesen Voraussetzungen, Finger weg davon. Aber du wärest wohl der erste, der auf einen solchen Rat hört. :?

[Joe User]

btw: wo kann ich theoretische+praktische prüfung machen?

http://127.0.0.1/

.., braucht er sich um Security keine Gedanken mehr zu machen...

er braucht sich keine gedanken machen, weil das ding eh schon fürn *rsch is?

Ja! Wie bereits geschrieben: mv *nuke* /dev/null

[thomas80]

relative gute CMS wären da noch Mambo und Contenido.

Moin,

ich plane gerade ein kleines Projekt mit Mambo, habs bisher aber nur auf meiner Workstation installiert...als wie sicher gilt dieses CMS?

Gruß, Thomas

[captaincrunch]

Mambo tauchte zwar in letzter Zeit auch ein paar Mal in den zuständigen Security-Mailinglisten auf, darf aber wohl immer noch als erheblich sicherer als die Nukes gelten.

[compositiv]

Brauche den Rootie eigendlich nur um für mich und ein paar meiner
Kunden Webspace zu schaffen auf dem Postnuke läuft und auf dem
ich halt irgendwie mein eigener Provider bin.

Zu dem Thema finde ich übrigends den Vortrag (wenn man ihn verpasst hat, halt die Unterlagen) von Michael Hönnig von Hostsharing e.G. ziemlich treffend:

http://www.hostsharing.net/downloads/ho ... i-DZUG.pdf

Kennt jemand etwas Besseres bei gleicher Einfachheit ?
Wäre dankbar für Hinweise.

Nen Managed Server, ist vermutlich auch wirtschaftlich günstiger.
Ohne Dich davon abhalten zu wollen, nur meiner Erfahrung nach klingt Dein "Arbeitsprofil" nicht danach, als wolltest Du Dich in Deiner knappen Freizeit noch mit sowas rumschlagen ,)

[silentfog]

relative gute CMS wären da noch Mambo...

Mambo tauchte zwar in letzter Zeit auch ein paar Mal in den zuständigen Security-Mailinglisten auf, darf aber wohl immer noch als erheblich sicherer als die Nukes gelten.

100 % ACK, im Rahmen von verschiedensten Tests rund um opensourceCMS Systeme, haben wir sehr positive Erfahrungen gemacht :)

Das Core-Developer Team ist zwar manchmal "etw. schwierig", aber mittlerweile noch mehr Sec.Orientiert.
Spätestens nachdem aber Exploits für 4.5 1.0.5 augetreten sind, haben die Cores sofort reagiert, und sind seither etwas "aufgeschlossener" gegenüber Kritik.

Ein weiteres sehr populärer Vertreter ist XOOPS, von XOOPS.org .
Gilt das Gleiche wie oben.

Eines, der zahlreichen Verzeichnisse für opensourceCMS ist opensourceCMS

Bitte den Link gleich 'mal klicken - seine Seite wurde erst gerade Defaced :?
Die Seite ist sehr frequentiert, und ich habe mit dem Betreiber auch schon öfter gechatted und gemailt.
Trotz zahlreicher und intensivster "Bitte Scott, hau' das Nuke runter - Deine Seite wird irgendwann "defaced" - hatte er wohl auch die Gefahr verkannt ... :?

Jetzt mußte er es 'bitter' einsehen . Ironie

Das Hauptproblem bei MAMBO und XOOPS sind z.Zt. nicht der Core, sondern 3.rd Party Erweiterungen, wie HTML-Area etc.
Aber darüber wird in den beiden Foren ausgiebigst diskutiert.

Für beide CMS gilt, den Mehraufwand in Kauf nehmen, und sie so zu installieren, daß sie unter "safe_mode" on laufen.

Entgegen der Meinung einiger Cores, vertrete ich die Meinung, daß der Mehraufwand gerechtfertigt ist, und nach dementsprechender Anpassung, laufen beide ohne wesentliche Einschränkungen sehr sicher.

Greets Stef. :)

[dea]

Bei dem ganzen Gefasel ums CMSe frage ich mich eins:

Wer benötigt zwingend ein CMS/PHP/Geraffels auf einem Bastion Host?

In meinen Augen ist es das dümmste, was man sich antun kann, vor allem, da genügend andere Konzepte verfügbar sind (wenn es einem schon an Phantasie mangelt).

[arty]

Für beide CMS gilt, den Mehraufwand in Kauf nehmen, und sie so zu installieren, daß sie unter "safe_mode" on laufen.

Das Problem hat man mit mod_php aber immer, deswegen sollte man bei CMS, die ins Filesystem schreiben (das macht ja eigentlich jedes) PHP als CGI nutzen.

bye
Thorsten

[silentfog]

Für beide CMS gilt, den Mehraufwand in Kauf nehmen, und sie so zu installieren, daß sie unter "safe_mode" on laufen.

Das Problem hat man mit mod_php aber immer, deswegen sollte man bei CMS, die ins Filesystem schreiben (das macht ja eigentlich jedes) PHP als CGI nutzen.

bye
Thorsten

ACK - besserer Weg :)