Wichtige fragen. ServerSicherheit

[xtreme1]

Hallo,

ich habe da einige wichtige fragen an euch.

Ersteinmal vorweg. Ich möchte mir einen Rootserver zulegen (Strato o.ä). Da ich Webdesigner bin und meinen Kunden alles aus einer Hand anbieten will, also auch das Hosting, würde ich mir gerne einen Rootserver zulegen. Meine Linuxkentnisse sind durchschnittlich, mit Apache und PHP konfiguration kenne ich mich noch garnicht aus (was save_mode ist usw. weis ich natührlich).

Strato z.B. biete einen Rootserver mit vorinstalliertem Suse9.0, MySQL, PHP4, Apache2. Das sit ja alles was ich brauche.

Nun zu meinen Fragen.

• Wie sieht es mit der Sicherheit solcher Server aus ?? Ich habe ja schon einiges hier im Forum gelesen zum Thema Server gehackt usw...
• Was würden zum Thema Sicherheit für aufgaben auf mich zukommen?
• Was muß man alles absichern oder sicher konfigurieren? (Apache, Php, Firwall, MySQL, Suse ... ?)

Domains einzurichten bzw. diese zu Hosten da mache ich mir keine sorgen aber ich mach mir große sorgen um die Sicherheit. Denn versuch mal einem Kunden zu erklähren das der Server 3Tage Offline ist weil er gehackt wurde und illegale Warez darüber verbreitet wurden und Online wird er auch nicht mehr gehen da die Polizei ihn Sichergestellt hat, ihre daten können wir ihnen somit leider auch nicht aushändigen.... . ?!?

Das währe überhaut nicht gut ganz zu schweigen von Schadensersatzklagen einiger Kunden.

Ich bitte euch um eine ehrliche und sachliche meinung sowie ratschläge.

Danke im vorraus

xtreme1

Ps. vieleicht könnt ihr mir ja noch ein paar Bücher zum thema Serversicherheit empfehlen ?

[dodolin]

Sorry, aber ich weiss echt nicht, was man auf solch allgemeine Fragen antworten soll. Was die Literatur betrifft, sollten im gepinnten Thread hier im Security-Forum bereits mehr als genug Hinweise sein, oder?

Ich finde es sehr loeblich, dass du dir soviele Gedanken um die Sicherheit machst, _bevor_ du dir einen Rootserver holst und auch bevor du Kunden drauf hast!

IMHO gibts nur zwei Alternativen fuer dich: Ganz viel lesen und Erfahrung sammeln (letzteres geht leider nicht von heute auf morgen, sondern benoetigt viel Zeit) und wenn du es dir zutraust, den Server richtig abzusichern, lege los. Alternativ wuerde ich dir vorschlagen, suche einen Kumpel/Freund/etc. der in Sachen Server-Administration schon sicherer ist und der dir am Anfang zur Hand geht und zeigt, was Sache ist. Ich denke, dadurch koenntest du recht schnell lernen und es dann auch irgendwann selbst uebernehmen. Wenn du keinen solchen Bekannten kennst, bleibt als Alternative jemand Professionelles, der das gegen Geld macht.

[bungeebug]

Hi,

naja Sicherheit is son Ding ... Sicher gibts nich ( hast du bestimmt schon 100 mal hier gelesen ). Du musst regelmäßig Sicherheitsupdate installiern, nach Bugs und Exploits suchen usw.

In ganzen kann man sagen dass du erstmal zuhause üben solltest. Zumindest solange bis du weißt wo man auf einem Linuxsystem alles findet. Wo Configfiles, wo Binarys usw. Dann kann es nicht schaden wenn du weißt wie man sich selber nen Kernel macht oder andere Programme selber kompiliert. ( Obwohl es das meiste als Packet gibt ).

MIt der Server "ausfall" duch Hack ... is eigendlich einfacher als du denkst. Du machst einfach regelmäßig Backups. Wenn du keinen 2ten Server hast oder zuhause nen Rechner der immer an ist, bietet eigendlich jeder Provider "Backup Space" an. Sollte der Server jetzt ( wieso auch immer ) down gehen, kannst du einfach das Backup auf nen andern Rechner spielen und schon is wieder alles beim alten.

Ich hoffe da sind ein zweit Tipps bei.

[christian-wf]

Hallo xtreme1,
was spricht gegen einen "managed Server", wie ihn fast alle Provider anbieten? Das Ganze wird dann etwas teurer, Du brauchst dich dafür aber auch nicht um die Softwareaktualisierungen zu kümmern.

Mfg. Christian

[wgot]

Hallo,

was save_mode ist usw. weis ich natührlich

aber nicht wie man ihn schreibt. :evil:

Denn versuch mal einem Kunden zu erklähren das der Server 3Tage Offline ist

Das kann Dir auch bei einem Hardwaredefekt passieren, die Billiganbieter erlauben sich in den AGB üblicherweise 4 Tage für die Reparatur.

ganz zu schweigen von Schadensersatzklagen einiger Kunden.

Die gibt es nicht wenn Du Deinen Vertrag einhalten kannst und einhälst. Den Kunden also nur zusichern was mit dem gemieteten Server auch wirklich eingehalten werden kann.

Tägliche Backups die außerhalb des Servers gelagert werden sollten selbstverständlich sein wenn zahlende Kunden auf dem Server sind.

Gruß, Wolfgang

[xtreme1]

Hi @ all.

Als erst einmal danke ihr habt mir schon sehr weitergeholfen!

@dodolin
Leider habe ich keinen der sich in soetws auskennt. Ich bin Hauptberuflich Systemadministrator allerdings in einem Windowsnetzwerk und leider wird unserer Webserver nicht von uns administriert, somit auch keine erfahrung mit Apache und sicherheit des Webservers... .Jemanden dafür zu bezahlen kann und will ich mir nicht leisten also muß ich mal einige Bücher durchlesen :)

@BungeeBug
Mit kompilieren hab ich schon ein wenig erfahrung (hat bis jetzt auch immer geklappt). Ich nehme an das mit dem Backup Space kann man ja dann per Script lösen? Und dieses jede nacht laufen lassen ?!? DANKE!

@christian-wf
Habe leider bei keinen Managed Server mit Confixx gefunden, des weiteren empfehlen Provieder wie Strato nur den Hight End server (root) für Reseller. Warum auch immer?

@wgot
Sorry mit schreiben hab ichs nicht so ;)
Das mit dem Vertrag (AGBs) werde ich sowieso mit einem Anwalt durchgehen (wenn es soweit ist), habe halt gedacht ich könnte trotzdem haftbar gemacht werden da ich mich nicht um die sicherheit des Servers gekümmert habe blablabla... :). Ich will halt kein Risiko eingehen. DANKE!

Habt mir alle schon mal ein stück weiter geholfen, werde mir Jetzt erst einmal ein paar Bücher kaufen und mich in das Thema einlesen.

Gruß
xtreme1

ps: @Mods, Admins & Webmaster: Habt hier eine Tolle Community hinbekommen weiter so!.

[mc5000]

ich hab Dir mal ne PN geschickt mit nem Provider der zu nem Managed Server auch Confixx3 bietet und auch nicht viel teurer ist als die anderen - ich kann Dir aber nix über deren Leistungen sagen - ich habe keine Erfahrungswerte - ist mir nur bekannt was deren Angebot ist ...



CU
MC

[xtreme1]

Hi,

danke werd ich mir mal anschauen.

Gruß

xtreme1

[wassup]

schau dir mal reseller - tarife an. z.b. von Domainfactory (http://cms.domainfactory.de/ResellerTarife.225.0.html).

Macht meiner Meinung nach wirklich Sinn, solange man keine speziellen Services oder Serverapplikationen benötigt. Ist auf jedenfall sehr sicher und performancemäßig auch top!

[Anonymous]

Hallo,
Kunden bekommen auf meinem Server prinzipiell niemals Zugriff auf diesen. Ich erstelle für meine Kunden Internetpräsenzen mit Hilfe von Typo3 bzw. Mambo und meine Kunden bekommen Zugang als Redakteur zu ihrem CMS. Das ist alles. Wer meint, dass er ohne mich Webseiten online stellen kann, und nur an reinem Webspace interessiert ist, der ist bei den grossen Anbietern ohnehin günstiger dran.
Viele vergessen die einfachste Vorkehrung zu treffen: Eine Trafficgrenze einzustellen, bei welcher der Server automatisch vom Netz genommen wird !
Als ich mit meinem rootserver angefangen habe, hatte ich einfache Linux-Desktop-Kenntnisse. Mir waren einige Befehle wie ls, cd, cp, mv, rm, rmdir bekannt und der Umgang mit Yast, vi und joe. Ich veränderte an der Konfiguration des Servers und der Firewall angangs überhaupt nichts. Kenntnisse über Apache und tiefergehende Linuxkenntnisse ergaben sich aus der täglichen Arbeit und meinem Bestreben den Server Stück für Stück immer weiter zu optimieren. Weiterhin hilft eine grosse Disziplin, um den Server sicher zu halten: Passwörter, die man nicht erraten kann, Passwörter regelmässig ändern, niemanden Zugang zum Server geben, keine unsinnigen Spielereien wie IRC, ftp-Zugänge oder Gameserver einrichten, regelmässige Backups, ständiges Beobachten der Logfiles und regelmässig hier im Forum lessen, permanentes Verbessern der Kenntnisse.
Die meisten Probleme dürfte es geben, wenn man ohne tiefere Kenntnisse in die Konfiguration des Servers eingreift, oder Spielsachen wie Gameserver betreibt.

[lord_pinhead]

Denn versuch mal einem Kunden zu erklähren das der Server 3Tage Offline ist weil er gehackt wurde und illegale Warez darüber verbreitet wurden und Online wird er auch nicht mehr gehen da die Polizei ihn Sichergestellt hat, ihre daten können wir ihnen somit leider auch nicht aushändigen.... . ?!?

1) Macht man seine Kiste nach einen Hack wieder dicht, macht einen kompletten Festplattendump von den verschiedenen Partitionen (ro mounten) um Sie mit Sleuthkit zu untersuchen und wenn man seine Beweise hat geht, geht man zu den Grünen. Erst nachdem alles angerollt ist sollte man sein Server neu aufspielen (wenn noch fragen kommen). Vorrausgesetzt man weiß wie der Angreifer reingekommen ist und das kein Rootkit läuft. Selten bei Warezkiddies, die nehmen gleich nen FTP mit SSH. Aber in der Zeit am besten immer eine SSH offen haben und ab und zu mal reinkucken was passiert und was für Dienste laufen bzw. Ports offen sind.

2) Der Server wird NICHT von den Bullen beschlagnahmt, die nehmen nur:

a) deine Anzeige auf
b) eine CD mit den Logfiles entgegen

mehr machen die nicht. Also keine Angst das der Server plötzlich nicht mehr erreichbar ist, ausser dein Hoster schaltet Ihn wegen Ã?bertraffic oder massig Beschwerden ab. S4Y macht da z.b. überhaupt nichts und lässt die Server laufen. Wenn du Downloader hast, macht die Polizei z.b. überhaupt nichts (Begründung: die wurden dazu verleitet weil jemand gesagt hat Saug mal :evil:). Also die GVU bei Warez Kontaktieren, die brauchen nur die Logsfiles und kümmern sich um den Rest :-D

Such im Netz nach:
- safe_mode (wurde schon angesprochen)
- open_basedir
- suPHP/suExec
- Temp/Session Verzeichniss in PHP
- disabled_functions (zur Sicherheit)
- allow_url_fopen = Off
- GRSec Kernel
- Prelude IDS
- IPTables
- Chroot Jail
- Quota

Mehr fällt mir im Moment erstmal nicht ein, aber darüber solltest du dich auf jeden Fall einmal Informieren. Ohne das Hintergrundwissen gehts einfach nicht. Wenn man dir alles runterbetet, lernst du halt nix :)
Buch zur Serversicherheit, hui.

Linux Server Hacks

Linux Firewall, praktischer Einstieg

Kenne deinen Feind - Fortgeschrittene Sicherheitstechniken soll ganz gut sein, ich habs noch nicht.

Das wäre nur ein kleiner Teil. Aber Bücher von Addison Wesley, Markt und Technik, O´Reilly, Opensouce Press sind eigentlich selten ein Fehlgriff. Einfach mal bei Amazon suchen oder Terrashop. Grundlagen Linux muss auf jeden Fall sitzen und wie man damit arbeitet. Wenn du das noch net weißt, lies die Manpages durch.

MFG

[velo]

Hi,

IMHO möchte ich dir abraten einen rootserver zu nehmen, zumindest bei deinem jetzigen Kenntnisstand. Ich arbeitete schon seit einigen Jahren mit Linux als Server und weiss mitlerweile wie Stressig es sein kann (viele lange Nächte). Gehackt wurde ich leider auch schon mal und das bei einem Server, bei dem ich doch schon so einiges beachtet habe.

Jetzt verwende ich schon ein wesentlich komplexeres System mit chroot-jails und diversen Mechanismen, aber so 100% sicher fühle ich mich nicht. Und ich lerne auch ständig Neues zum Thema Sicherheit kennen (also alles was ich bis dato nicht weiss ist gefährlich). Die default-Konfiguration der Server sind praktisch eine Einladung zum gehackt werden, MUSS man also überarbeiten.

So ein root-server ist schon recht Zeitintensiv und wenn du nicht irgendwelche Specials brauchst, dann würde ich an deiner Stelle zu einem managed Server greifen, die paar Euro wirst du gerne zahlen, wenn du weißt wieviel Zeit drauf gehen wird.

Aber lass dich nicht ganz entmutigen! Wenn du die Herausforderung liebst und mehr aus dir machen willst ;-), dann wage den Schritt (vielleicht aber erst mal vorsicht mit Kundenverantwortung)

[lord_pinhead]

@velo
Also wenn du nur einmal gehackt wurdest, ist das noch net so extrem, wurde ich auch mal wegen einer zu laschen Config. Aber mit der Arbeit hast du auf jeden Fall recht. Egal ob ich in der Arbeit bin oder daheim, im Hintergrund läuft immer eine Shell mit Top um zu sehen ob plötzlich ein eigenartiger Prozess auftaucht. Seit längeren überleg ich wo ich einen Logginghost aufmachen könnte. Ein Server via PHP und XSS zu knacken ist eine Sache, ein Server ohne offene Ports und IDS dahinter das bei jemanden daheim ist eine andere. Chrootjails, Quotas etc. sind ja schon fast standard (denk ich jedenfalls). Oder deaktivierte Funktionen: z.b.: CGI Scripte braucht kein Kunde ;) Jedenfalls nicht, wenn er mir nicht einen super Grund nennt das ich das bei Ihm Freischalte.

Ich weiß nicht, nennt mich Blauäugig. Aber ich denke jeder kann einen Rootserver betreiben wenn er seine Software up-to-date hällt, die Kernel immer aktuallisiert und die Sicherheitsregeln beachtet die man eigentlich hier im Forum an jedem Eck findet, sowie auch ein bischen Googeln kann. Das schlimmste wäre, wenn einer seiner Kunden Software ala AWStats aufspielt. Ich weiß das den Leuten die Server geknackt werden weil Sie a) Ihre Software nicht richtig Configurieren oder b) einfach nichts updaten, egal ob man damit sofortigen Rootzugang bekommt.

Aso, xtreme1: Hast du dich eigentlich um eine Vertretung gekümmert :D Machs lieber, ich hab die Woche Rechner neuaufsetzen bereut und hab seitdem doch lieber ein zweites Auge drauf :)

[captaincrunch]

Chrootjails, Quotas etc. sind ja schon fast standard (denk ich jedenfalls).

Darf ich dann der Erste sein, der dich zurück in die Realität holt?

Aber ich denke jeder kann einen Rootserver betreiben wenn er seine Software up-to-date hällt, die Kernel immer aktuallisiert und die Sicherheitsregeln beachtet die man eigentlich hier im Forum an jedem Eck findet, sowie auch ein bischen Googeln kann.

Ich nenn dich blauäugig...

SCNR ;)

[lord_pinhead]

Chrootjails, Quotas etc. sind ja schon fast standard (denk ich jedenfalls).

Darf ich dann der Erste sein, der dich zurück in die Realität holt?

Hm, also stimmt schon wenn ich mir das hier so durchlesen :) Aber für mich und ich denke, jeden der sein Hirn nicht nur zum Kopfwärmen nutzt, ist sowas selbstverständlich. Eigentlich könnte man ja doch mal ne Zählung der Thrads machen wo Server übernommen wurden, aber ich denke das ist dann wirklich zu erschreckend.

Ich nenn dich blauäugig...

SCNR ;)

Hehe, manchmal denke ich einfach zu gut von den Leuten :D Spätestens seit gestern abend aber nimmer. Kurz nach 12 kamen 4 Rechner mit Synflood an *fg* Das hab ich aber auch nur mitbekommen weil Prelude mir ne Mail zugeschickt hat das die IP´s jetzt geblockt werden, hab das net mal beim Arbeiten aufn Server gemerkt. Woher? 1 mal S4Y, 2 * Strato ein 1 Schlundroot. Mails sind schonmal an Schlund und Co. raus, meinst du das hat Erfolg? Jedenfalls sprechen die Snifferlogs für sich :)

[captaincrunch]

meinst du das hat Erfolg? Jedenfalls sprechen die Snifferlogs für sich

Wenn's sich hierbei um kleine Scriptkiddies handelt, vermutlich. Wahrscheinlicher jedoch ist, dass es ein oder mehrere PCs eine Botnets war(en), darüber hinaus ist es heutzutage selbst für die Kiddies einfach, Synfloods einfach zu spoofen.

[xtreme1]

Hallo,

also ersteinmal danke für die vielen tips!!

@Lord_Pinhead
Danke für deinen Tread werd mich da mal schlauer machen!

Ich werde das mit dem Serve in angriff nehmen, und ich seh das erst mal als hobby(werde auch nur meine eigenen Domains drauf laufen lassen und wenn mal was passiert ... meine güte ich habe ja backups :)).

Ich glaube ich werde auch kein vorinstalliertes system nehmen sonden es selbst machen (da ich oft gelesen habe das vorinstallierte webserver oft schrott sind, auserdem lehrne ich da mehr dabei und weis wie das alles funktioniert).

Gibt es eine bestimmte linux Distibution die am besten geeignet währe (Thema Sicherheit)?? Mir schwebt Suse im kopf rum da ich da die besten kentnisse habe.

Also nochmals vielen dank und ich denke ihr werde mich noch öfters hier im Forum sehen ;)

Gruß

xtreme1

[Joe User]

Mir schwebt Suse im kopf rum da ich da die besten kentnisse habe.

Dann solltest Du auch bei Novell/SuSE bleiben und keine Dir unbekannte Distribution wählen. Erspart Dir viel Ã?rger...

[lord_pinhead]

Jo, kann ich Joe erstmal nur zustimmen. Im laufenden Betrieb ein unbekanntes System kann tödlich sein. Aber ein vorinstalliertes System ist aber auch nicht immer gerade sicher, also zerlege das System mal kräftig um die Schwachstellen zu finden.

@CaptainCrunch
Der waren nur Script Kiddies, aber da der Server leider bei S4Y steht bekomm ich so ne super Antwort ala man iptables. Die sind net mal fähig den Verkehr zu stoppen am Router. Aber was erwarte ich eigentlich auch schon von dennen.

[nyxus]

Die sind net mal fähig den Verkehr zu stoppen am Router. Aber was erwarte ich eigentlich auch schon von dennen.

Faehig waeren sie vermutlich schon, aber bei einem Discount-Angebot solltest Du halt keine Extra-Wuerste erwarten.