Praktisches Lernen im Bereich eigenen (v)Server

  • Servus,


    Mir ist bewusst, dass es Google und möglichweise (!) viele Beiträge hier im Forum darüber gibt;


    Aber da sich Erfahrungen, Möglichkeiten und Verfahrensweisen schnell ändern können, würde ich das Thema (erneut) aufgreifen.


    Meine Beobachtung zeigt, dass, wenn ein Kunde hier im Forum hier Probleme mit seinem Server hat, es schnell heißt "wenn man keine Ahnung vom Server hat, sollte man lieber zum Webspace greifen."


    Allerdings - Jeder hat Mal mit dem ersten Schritt angefangen, wir alle haben uns über unsere erstes laufenden Skript, die erste erfolgreiche Forum-Installation und möglicherweise über unseren ersten erfolgreichen FTP-Upload gefreut.

    Wenn man es geschafft hat, dass erste Mal per CSS den Hintergrund zu ändern, hat das bestimmt bei vielen zu einem Erfolgserlebnis geführt.


    Meine Frage und Situation ist nun:


    Ich habe meinen ersten eigenen vServer gemietet, dieser wurde lediglich mit dem Betriebssystem ausliefert - Ich habe mich bewusst gegen eine Administrations-Oberfläche entschieden - Kein Plesk, CPanel, LiveConfig oder ähnliches.


    Meine Fragen sind nun:


    • Wie steht es um das Thema Sicherheit - Übernimmt alleine der Hoster schon eine großen Teil der Sicherheit?
    • Wenn man die Programmiersprache (In diesem Fall PHP) installiert, inwiefern müssen die noch angepasst werden?
    • Was gilt es alles zu installieren eurer Erfahrung nach?


    Es gibt sicherlich noch vieles weitere einzurichten.


    Daher stellt sich die Frage - Wenn man keine Erfahrung hat, mit was fängt man am besten an?


    Und ja, mir ist bewusst das ein eigener Server nichts für Anfänger sind, aber jede Reise beginnt mit dem ersten Schritt und wir alle standen Mal an dem Punkt, an dem wir uns mit Situationen rumschlagen mussten, welche wir heute vermutlich im Schlaf lösen.



    :)

    In Hoffnung auf positiven Verbleib gehen Grüße raus

  • Wie steht es um das Thema Sicherheit - Übernimmt alleine der Hoster schon eine großen Teil der Sicherheit?

    Wahrscheinlich nicht. Das heißt: Vermutlich hat sich der Hoster nur um die Sicherheit seines Netzwerkes gekümmert, aber das wiederum ist etwas, was du wirksam sowieso nicht selbst machen könntest. Aber was "nicht unbefugt auf den Server kommen" angeht, hilft das nur bedingt. Da wirst du schon selbst abdichten müssen.


    Beispielsweise mit dem Verbieten des Root-Logins in ssh (vorher einen Benutzer erstellen, der es darf, aber sonst nicht viel kann). SSH-Port verschieben hilft dabei, die Logs von offensichtlichen Script-Kiddies freizuhalten, aber das ist kein Allheilmittel.

    Neben dem Verbot vom root-Login würde ich noch Login via Key aktivieren. Google hilft. Allgemein sollte man viel Google bemühen (allerdings direkte Fragen, nicht "hilfe ich habe neuen Server und das noch nie gemacht, was soll ich tun", sondern eher "ssh login nur mit key")

    Wenn man die Programmiersprache (In diesem Fall PHP) installiert, inwiefern müssen die noch angepasst werden?

    Dass PHP nicht nur "ein" Paket ist, sondern viele. Beispielsweise php-curl ist einzeln. Hier sollte man sich dringend daran orientieren, was die einzusetzende Software braucht.

    Ich habe meinen ersten eigenen vServer gemietet, dieser wurde lediglich mit dem Betriebssystem ausliefert - Ich habe mich bewusst gegen eine Administrations-Oberfläche entschieden - Kein Plesk, CPanel, LiveConfig oder ähnliches.

    Ich würde dir als Anfänger dennoch empfehlen, ein Panel wie Froxlor zu verwenden. Ich habe mit den anderen keine Erfahrung, aber ich würde explizit Froxlor nehmen, weil du hierfür erstmal nur das aller notwendigste selbst machen musst:

    - ssh abdichten (das ist Froxlor egal)

    - Webserver installieren

    - PHP installieren

    - MySQL/MariaDB installieren


    Alles weitere erklärt dir Froxlor dann selbst. Du "darfst" die Dienste weiterhin manuell einrichten, aber Froxlor sagt dir, wie du es machen sollst - sei es nur aus Eigennutz, weil ansonsten das UI nicht funktioniert - aber hey, als Bonus bekommst du am Ende eben auch ein UI.


    "Wenn" du dich darauf einlässt und versuchst zu verstehen, warum Froxlor dich machen lässt, was du machen sollst, lernst du schon viel über die Dienste, die du verwenden willst.

    Milestones:

    • 18.02.2022 19:14 CET: Erste PWA installiert (und es war ausgerechnet YouTube Music)
    • Official Post

    Beispielsweise mit dem Verbieten des Root-Logins in ssh (vorher einen Benutzer erstellen, der es darf, aber sonst nicht viel kann).

    Und das bringt dir genau welchen Mehrwert, wenn du ausschließlich eine Authentifizierung per Public Key erlaubst? Wenn du dann einen eigenen Benutzer hast, der aber durch sudo wieder alles kann, hast du keine echte Sicherheit geschaffen.

  • Und das bringt dir genau welchen Mehrwert, wenn du ausschließlich eine Authentifizierung per Public Key erlaubst?

    Alte Gewohnheit. 🙈

    Milestones:

    • 18.02.2022 19:14 CET: Erste PWA installiert (und es war ausgerechnet YouTube Music)
  • Es ist dann halt nur, wie beim Port, mehr raten, welcher der richtige ist.

    „If you can only do one thing, hone it to perfection. Hone it to the utmost limit!“ – Zenitsu Agatsuma

  • Naja schaden tuts halt auch nicht, und für den Angreifer wäre es eine weitere Hürde.

    (Ob das natürlich den eigenen Komfort, den man dadurch einbüßt, rechtfertigt, muss man dann individuell entscheiden. Weil root sollte trotzdem ein starkes Passwort haben)


    Ich habe übrigens nicht gesagt, dass der User per sudo alles darf. Ich habe gesagt, dass der User nichts darf (oder halt Standard-User ist), außer sich per su zum root zu machen.

    Milestones:

    • 18.02.2022 19:14 CET: Erste PWA installiert (und es war ausgerechnet YouTube Music)
  • Wenn man in Ruhe testen will, kann ich nur eine VM empfehlen, und einfach mal dort austoben.

    Vielleicht nach Installation des Basis-Systems ein Snapshot, und dann mal schauen.


    Vorteile: Du hast kein Live-System im Netz hängen, machst du mal was kaputt bist du binnen Sekunden wieder zurück

    Nachteile: Es ist nun mal am Ende nur eine VM


    Ich habe das früher aber auch gerne so gemacht, lokal in einer VM alles einzustellen und dann via Image direkt auf dem Server so installiert.

    Projekte:

    XIVDATA - Eorzea Database


    A red dragon falls from the heavens... Ah, that memory has been lost. A shame. It was a favorite of mine...


  • kann ich nur eine VM empfehlen

    Alternativ zu Drittanbieter VM Programme wie Virtualbox: Windows Subsystem. Das ist super und grade für anfängliche Dinge ausreichend.

    „If you can only do one thing, hone it to perfection. Hone it to the utmost limit!“ – Zenitsu Agatsuma

  • Also Anfänger haben nix im Internet zu suchen und dabei bleibe auch und diese Ausrede man muss ja auch mal anfangen also Miete ich mir ein vserver lasse ich so auch nicht stehen.


    Wenn man Anfangen will erstellt man sich eine VM die nicht übers Internet zu erreichen ist, oder man macht es wie ich früher. Habe einfachen einen alten pc umfunktioniert zum Server und daran geübt gemacht und getan und alles im eigenen Netzwerk belassen. Habe mir aber auch einiges an Lektüre gekauft sowas wie Unix für Anfänger usw. Man sollte da quasi ein selbst Studium machen.


    Habe sogar früher im eigenen Netzwerk meine erste Homepage gemacht und damals auch Teamspeak und Gamserver uvm. Das alles hatte keine Verbindung zum Internet ich habe es einfach nur zum lernen und testen gemacht.


    Genau so fängt man an und nicht anders. Alles andere ist Grob fahrlässig.

  • Schwimmen lernt man auch im Schwimmbad und nicht auf hoher See bei Seegang. Ob man sich jetzt lokal eine VM installiert (Hyper-V, Virtualbox oder VMWare Workstation), auf einen alten PC Linux installiert oder sich einen Raspberry zulegt. Alles kann man erst mal in Ruhe bei sich im eigenen Heimnetz installieren testen und erste Erfahrungen sammeln. Und hier kannst du dir dann nebenbei auch Artikel oder/und Bücher durchlesen, wie du die Dinger härtest. Googlen kann auch helfen, kann aber ohne Vorwissen auch manchmal mehr schaden als helfen.

  • Ich fand es ganz schön interessant, aber nun ist hier Ruhe.

    Die Arroganz mancher Schreiber ist schon erabschreckend. :D

    Gruß, Peter

  • Ich fand es ganz schön interessant, aber nun ist hier Ruhe.

    Die Arroganz mancher Schreiber ist schon erabschreckend. :D

    Wo ist es Arroganz wenn man Leuten empfiehlt sich erstmal in einer sicheren Umgebung mit den Dingen bekannt zu machen?
    Fährst du etwa auch ohne Vorwissen Auto?

    Projekte:

    XIVDATA - Eorzea Database


    A red dragon falls from the heavens... Ah, that memory has been lost. A shame. It was a favorite of mine...


  • Ich fand es ganz schön interessant, aber nun ist hier Ruhe.

    Die Arroganz mancher Schreiber ist schon erabschreckend. :D

    Mich schreckt eher die Naivität mancher Beitreiber ab.

  • Syntafin

    Nein, schon weil ich das nicht darf.
    Einen Server zu mieten ist jetzt aber wirklich nicht vergleichbar.

    Rhetorisch gefragt, darf man eigentlich eine Website ohne Impressum oder Kontaktmöglichkeit betreiben.


    Aze

    Was ist daran naiv, die Server stehen doch nicht mit offenen Tor im Internet.

    Aber ab welchen Punkt hört die Naivität auf, ab welchen Wissensstand wäre es denn verantwortungsvoll?

    Ab wann würdest du das festlegen?

    Gruß, Peter

  • Was ist daran naiv, die Server stehen doch nicht mit offenen Tor im Internet.

    Aber ab welchen Punkt hört die Naivität auf, ab welchen Wissensstand wäre es denn verantwortungsvoll?

    Ab wann würdest du das festlegen?

    Naivität beginnt ab dem Zeitpunkt, wo man sich entscheidet, sich eine vServer Kiste ohne entsprechendes Basiswissen zu mieten, denn dann sind jedem Angreifer Tür und Tor geöffnet. Wer lernen will, lernt lokal.

  • Ok, Basiswissen, was genau gehört dazu, dass Tür und Tor geschlossen sind?

    Meinst du das ein langes und kompliziertes Zugangspasswort, eine Firewall mit schnellen Sperrmechanismen erstmal reichen?

    Mal angenommen es wäre so, wie kann ich dann testen ob es sicher genug ist, also lokal.

    Gruß, Peter

  • Meinst du das ein langes und kompliziertes Zugangspasswort

    Und da fängt es schon an. Da wäre bspw. eine SSH Public Key - Authentifizierung sinnvoll. Aber ja, ein kompliziertes Passwort kann nicht schaden.


    Auch das "ausmisten" von Paketen, die man nicht braucht wäre, zumindest für mich, auch ein Must-Do - Punkt.

  • Ok, Basiswissen, was genau gehört dazu, dass Tür und Tor geschlossen sind?

    Ich würde sagen: Zunächst einmal ein Verständnis darüber, wie das eingesetzte Betriebssystem überhaupt funktioniert. Beispielsweise wie die Zugriffsrechte funktionieren. Dass man das System aktuell halten soll. Welche möglichen Löcher entstehen, wenn man bestimmte Funktionen "bequem" nutzt.

    Meinst du das ein langes und kompliziertes Zugangspasswort

    Da fängt es nämlich schon mal an. Wenn man beispielsweise weiß (oder relativ sicher annehmen kann), dass der Benutzer "root" Zugang hat, dann muss man nur noch das Passwort erraten. Sicherer wäre es hier beispielsweise, wenn sich root überhaupt nicht einloggen darf, sondern wenn man den Umweg über einen User geht, der nichts darf (auch kein sudo, Herr Ebert ;) ) - dann müsste man nämlich wenigstens noch den Usernamen erraten. Dazu das Passwort. Und dann noch das root-Passwort. Je mehr Hürden, umso besser.


    Firewall und schnelle Sperrmechanismen helfen dir nur solange, wie eine einzige IP den Angriff versucht. Bei einem Botnetz hilft dir das nicht mehr. Da muss man Bruteforce-Angriffe anders totschlagen. Davon abgesehen, dass die Firewall tendenziell eher etwas ist, was der Hoster machen sollte, und zwar in Form einer Hardware-Firewall. (Aber weniger um dein System zu schützen, als viel mehr sein Netzwerk)

    Mal angenommen es wäre so, wie kann ich dann testen ob es sicher genug ist, also lokal.

    Nun, am besten, indem du erstmal grundsätzliche Konzepte des Betriebssystems kennst, das du einsetzen willst, und dann selbst zum Hacker wirst. Da gibt es virtuelle Maschinen im Internet, die sich zum Üben eignen, wo "Flags" versteckt sind, also quasi Checkpoints auf dem Weg zur Übernahme eines Systems. Eine bekannte Seite hierfür ist

    Vulnerable By Design ~ VulnHub


    Wenn du des Englischen mächtig bist, dann ist hier eine Demonstration (die erste Stunde reicht), wie ein solches CTFing aussehen könnte. Und wie man mit git zu root-Rechten gelangt, wenn man git per sudo aufrufen darf. (Was ich erwähne, weil ich das interessant fand, weil es erstmal auch nicht direkt offensichtlich ist)

    External Content www.youtube.com
    Content embedded from external sources will not be displayed without your consent.
    Through the activation of external content, you agree that personal data may be transferred to third party platforms. We have provided more information on this in our privacy policy.


    Also nur mal so als Anlaufstelle. Oder als Gedankengang.


    Also man kann sicher nicht alles wissen, aber es ist dann eben doch so, dass man nicht "den Familien-PC" hat, bei dem es reicht, wenn die Kinder nicht wissen, wie man Admin wird. Ein Server ist ein Computer, der öffentlich im Internet herumsteht und Hacker dazu einlädt, sich daran zu bedienen. Und entsprechend viel Respekt vor der Aufgabe sollte man auch mitbringen.

    Milestones:

    • 18.02.2022 19:14 CET: Erste PWA installiert (und es war ausgerechnet YouTube Music)
  • Was ist daran naiv, die Server stehen doch nicht mit offenen Tor im Internet.

    Du hast eine Haustür, ziehst sie zu, schließt sie nicht ab. Deine Tür ist kein offenes Tor, oder? Auch wenn du weißt, dass man sie einfach mit einer Scheckkarte öffnen könnte. Aber wie viele versuchen dies schon an deiner Tür. Wüsstest du hingegen dass täglich hunderte Anfragen aus u.a. China kommen, um zu prüfen, ob sich deine Tür nicht einfach mit ein paar Tricks öffnen lässt, würdest du dir das mit dem abschließen sicherlich noch mal überlegen? Wenn du deinen Server hinter deinen Autoforen selbst betreibst, dann erzähl uns doch mal wie viele Anfragen du pro Tag so auf deinen OpenSSH-Server erhält.

    • Official Post

    Sicherer wäre es hier beispielsweise, wenn sich root überhaupt nicht einloggen darf, sondern wenn man den Umweg über einen User geht, der nichts darf (auch kein sudo, Herr Ebert ;) ) - dann müsste man nämlich wenigstens noch den Usernamen erraten.

    woltlab.com erlaubt den direkten Login mit root und wir betreiben auch kein „Security Theater“ der Marke Port-Änderung.


    root mit public key stellt kein Problem dar, change my mind.

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!