Erbitte Hilfe bei Einrichten und Absicherung eines neuen V-Servers

[DanielX4]

Hallo Community,

wir (Verein) haben uns einen V-Server zugelegt und der ist nun ganz frisch reingekommen. Es ging nicht anders als direkt einen zu kaufen da er dringend nötig war und nun hab ich [als einziger im Verein, welcher was in dieser Richtung macht (aber eher CMS zeug) die Aufgabe bekommen den V-Server einzurichten, abzusichern und ein CMS (in unserem Falle Webspell) einzurichten]

Bekannte Problemstellung: Ich kann es nicht.

Ich würde mich persönlich nicht als totalen "Checker" ausweisen muss aber eher not- und zwangsgedrungen das ganze einrichten. (Ich habe lediglich mindere Kenntnisse speziell zu solchen Angelegenheiten!)

Meine Frage ist nun wie gehe ich das ganze an? Welche Schritte müssen getan werden um am ende ein CMS laufen zu haben das auf einem abgesicherten V-Server liegt?

Ich hab im moment folgende Control-Panels zur Verfügung:

Nummer 1

Nummer 2

Nummer 3

Entschuldigt mein außerordentlich "n00b"-iges Verhalten so dumm zu sein sowas nicht vorher "auszuchecken"

Wenn ihr mir helfen würdet und über mein unwürdiges Erscheinungsbild hinweg seht wäre ich sehr dankbar

Ja, ich nuzte die Macht von Google , meine Passwörter heißen auch nicht "password" oder "123pw" also die Fähigkeit Brain.exe bringe ich schon mit denke ich...

Kurze Anmerkung: als Distributionen habe ich in SysCP Debian 5.0/4.0; Ubuntu 8.04; Gentoo; Suse Linux 10.0 und bei dem anderen das hier: ...klick für Bild

Danke schonmal an alle Mithelfer und ich freue mich auf ne gute Community

DanielX4

edit: ein paar links zu (vollständigen!) brauchbaren Anleitungen, da dies ja sehr komplex ist wäre nicht schlecht, finde grade nur unvollständige

Bearbeitet 18. Oktober 2010 von DanielX4
s. edit:

[lupo49]

Was erwartest du jetzt hier? Eine Step-by-Step Anleitung die von Anfang bis Ende durcharbeitest und dann ist der Server sicher?

Vorweg: Auch wenn vServer eine geringe finanzielle Bestellhürde besitzen, laufen dort meistens Linux-Systeme, die nicht ohne Wissen bedient werden können. Wenn der Server kompromittiert wird, bist du der Dumme, auch wenn er vielleicht auf den Vereinsnamen registriert ist. Des Weiteren benötigt man um ein CMS laufen zu lassen kein vServer!

Wenn du einen vServer administrierst, musst du das als Prozess sehen, der so lange Arbeitsaufwand generiert, bis du ihn nicht mehr benötigst. Da dein Beitrag den Eindruck erweckt, dass du in dem Bereich kein Vorwissen hast, empfehle ich dir zeitnah mehrere Howto/Tutorials oder Bücher [1] zu lesen. Des Weiteren solltest du Befehle aus den o.g. Quellen nicht blind in deine Shell abtippen, sondern parallel ein Testsystem installieren um dort die Auswirkungen abschätzen zu können.

[1] Root-Server einrichten und absichern: Amazon.de: Stefan Schäfer: Bücher

[DanielX4]

Der Server läuft nicht auf meinen Namen, und ich habe das ganze in der Art und Weise geregelt das ich nicht "der Dumme" sein werde.

Freehoster wie Funpic usw gingen nicht da Webspell immer wieder Probleme bereitete und wir auch andere Features wie E-Mail Adressen nutzen würden

Ein V-Server ist ein fortlaufender Prozess das ist durchaus richtig klar, und er benötigt auch immer wieder Updates usw usf

Und ja, im Prinzip erwartete ich eine Step by Step Anleitung - da will ich keinem was vormachen; nur ich besitze einfach noch nicht die Ausbildung das ganze zu überblicken wie du ja auch richtig gesagt hast, die aufgabe ging eher notgedrungen an mich

[unbenannt]

Mit Freehostern wird man selten glücklich, das ist allseits bekannt. Aber es gibt genügend Möglichkeiten des bezahlten Webhostings, welche Deine/ Eure Wünsche wahrscheinlich vollkommen abdecken würden und Dir weniger Verantwortung aufhalsen.

[DanielX4]

hatten wir auch schon durch bei Strato und konnten dort diverse CMS nicht nutzen weil versch. PHP Services abgeschaltet waren und dies laut denen nur durch/mit einem V-Server gingen würde

[mido5090]

Ohne vielleicht jetzt rücksichtslos zu wirken,

aber es wird dir hier niemand eine "Anleitung" zum Einrichten&Absichern eines V-Servers posten.

Alleine mit dem Thema absichern beschäftigen sich einige richtig dicke Wälzer :/.

Was ich dir sehr ans Herz legen kann ist folgendes Buch.

Linux-Server mit Debian GNU/Linux: Das umfassende Praxis-Handbuch: Amazon.de: Eric Amberg: Bücher

Es ist (meiner Meinung nach) das beste "Newbie"-Buch auf dem Markt, mit einem sehr großen praktischen Anteil.

Wenn du das durchgeackert hast, solltest du auf deinem V-Server halbwegs klarkommen.

Was die Absicherung angeht. Evtl. weiterführende Literatur lesen und 1-2 Dienste besser nicht nutzen, wenn es an Know-How mangelt.

Sprich: E-Mail-gedöhns oder Apache2. Es gibt nichts ärgerlicheres wie ein Open-Mail-Relay oder einen unsicheren Webserver, der kompromittiert wird.

Ansonsten, 1-2 kleine Tipps zur Authentifikation.

1. SSH benutzen

2. Am besten Schlüssel zur Authentifikation nutzen

3. Privatschlüssel mit einem Passphrase versehen

4. Direkter Root-Login verbieten

5. Keine unnötigen Benutzer anlegen

6. Lass X-Window weg und installier wirklich nur die Pakete, die du wirklich brauchst. Ich möchte kein Distri-Bashing starten, aber schmeiß Suse in die Mülltonne und nehm debian

Damit sollte zumindest der Zugriff auf die Machine halbwegs sicher sein.

Den SSH-Server kannste auf einem Debian-System mit "apt-get install sshd" installieren. Die Konfigurationsdatei müsste /etc/ssh/sshd.conf sein.

Der Public-Key wird in /home/benutzer/.ssh/ gelegt (Tutorial durchlesen).

just my 2 cent

Viel Erfolg

[unbenannt]

hatten wir auch schon durch bei Strato und konnten dort diverse CMS nicht nutzen weil versch. PHP Services abgeschaltet waren und dies laut denen nur durch/mit einem V-Server gingen würde

Der Strato-Support ist leider allgemein nicht bekannt dafür, besonders hilfreich zu sein. Dass ein (V)Server empfohlen, wurde ist doch ganz klar: höhere Einnahmen für Strato und die gesamte Verantwortung für die Konfiguration des Servers wird auf den Kunden abgewälzt. Ein Strato-Kunde, der keine Ahnung von Servern hat, sich aber trotzdem einen aufschwatzen lässt, ist dann natürlich doppelt angeschmiert: es läuft noch immer nichts, weil eben die Ahnung fehlt, und Support kann er auch vergessen.

Allerdings hatte ich selbst einmal ein Webhosting-Paket bei Strato und hatte nie Probleme, die ich nicht mit geringem Aufwand lösen konnte.

[DanielX4]

ich habe nun Permit Root Login auf No statt Yes gesetzt, Protocol 2 war schon drin, ich hab die Passwörter für Root(/und alles andere) geändert, einen User geaddet mit dem ich mich dann auf Root mit "su root" hochhangele erstellt

so nun wollte ich noch den ssh port von 22 verlegen...aber wenn ich mich mittels WinSCP einlogge geht das nur mit dem user und nicht mit root was bedeutet ich kann die config datei für ssh nicht ändern

wie bekomme ich in so einem filemanager für den server also die root rechte? mit dem der Console von WinSCP ging es irgendwie nicht und als root einloggen ging auch nicht

danke nochmals für die bisherigen tipps und belehrungen

[unbenannt]

wie bekomme ich in so einem filemanager für den server also die root rechte?

WinSCP :: How do I change user after login (e.g. su root)?

Scheinbar ist das Erlangen von Root-Rechten aber nur passwortlos möglich, was imho aber das Verbieten des direkten Root-Logins unsinnig erscheinen lässt. Übertrage die Datei lieber mit normalen Benutzer-Rechten und kopiere sie anschließend auf der Konsole mit Root-Rechten. Letztere brauchst Du ja ohnehin, um sshd neustarten zu können.

[DanielX4]

Also ich hab nun folgendes gemacht:

Permit Root Login ->no

Port für SSH von 22 verlegt nach oben

debian geupdatet

fail2ban installiert(hab nichts konfiguriert! - standarteinstellungen also quasi gelassen)

vim editor installiert (hoffe ich verwechsl. grade nichts mit den namen)

denyhosts installiert (hab nichts konfiguriert! - standarteinstellungen also quasi gelassen)

...wäre es wirklich so vorteilhafter das ganze mit public key und private key zu managen oder reicht ein gutes pw und die tatsache das ich als einziger daran rumfummele aus bezogen auf die sicherheit des servers?

und hab ich nun noch was wichtiges vergessen oder übersehen oder so?

[flashpixx]

...wäre es wirklich so vorteilhafter das ganze mit public key und private key zu managen oder reicht ein gutes pw und die tatsache das ich als einziger daran rumfummele aus bezogen auf die sicherheit des servers?

Einen Key zu bekommen ist schwieriger, als ein Passwort. Je nachdem wie Dein Passwort gewählt ist kann man mit BruteForce bzw Rainbow Tabellen es ermitteln. Da Du Fail2ban nicht passend konfiguriert hast, kann man einfach prüfen. Ein Dienst unter Linux muss konfiguriert und auch aktiviert werden. Das ist nicht wie unter Windows, dass da alles für einen hergerichtet wird!

Generell: Lass den Server von jemanden warten, der Ahnung von der Materie hat oder steige auf ein Webspaceangebot um, ich kann mir beim besten Willen nicht vorstellen, dass Du so exotische Systemanforderungen hast, falls doch, wäre evtl man zu überlegen, ob Du nicht ein anderes CMS verwendest.

[DanielX4]

Okay also Fail2ban und Denyhosts noch konfigurieren und aktivieren

[unbenannt]

Wendest Du eigentlich gerade blind Tutorials auf ein Livesystem an oder informierst Du Dich auch und testest erstmal in Ruhe auf einem Testsystem? Der Sinn, fail2ban _und_ denyhosts zu installieren, mag sich mir nämlich nicht erschließen, da beide im Bereich SSH das gleiche leisten, wobei sich fail2ban jedoch auch auf andere Bereiche ausdehnen lässt.

[DanielX4]

Ich informiere mich zurzeit in versch. Quellen und hab über Teamspeak mich mit einem Unterhalten der auch einen Server betreibt und das schon etwas länger und erfolgreicher als ich macht

Zurzeit teste ich das ganze nicht auf einem Testsystem sondern direkt auf meinem V-Server der allerdings noch nicht genutzt wird/verwendet wird als Webserver oder Emailserver o.Ä sondern erst dann wenn ich sage das es einigermaßen für unsere Verhältnisse okay sei

ich wollte noch sagen: ich fang im Oktober mit Informatikstudium an also wird sich das mit der Zeit sowie so noch verbessern und ich werde das also langsam von totalem Anfängerniveau auf ein etwas höheres legen, aber iwo muss ich ja anfangen und wenn ich es nicht gemacht hätte würde die webseite und alles andere was der verein so plant auf dem trockenen liegen was so ziemlich bedeuten würde das wir da was wichtiges verlieren (ganz abgesehen von der tatsache das die alte webseite schrott war) aber die PR muss halt weitergehen und da haben die Cheffes halt gesagt auch im Internet muss man was neues aufbauen; und da Geld knapp ist/wird - naja wie auch immer)

[lupo49]

Zurzeit teste ich das ganze nicht auf einem Testsystem sondern direkt auf meinem V-Server der allerdings noch nicht genutzt wird/verwendet wird als Webserver oder Emailserver o.Ä sondern erst dann wenn ich sage das es einigermaßen für unsere Verhältnisse okay sei

Das ist eine hervorragende Vorgehensweise! Erstmal alles kaputt frickeln auf dem vServer und dann hinterher, wenn die Testphase abgeschlossen ist, weiter ****eln, bis das Produktivsystem läuft.

Virtualisierungssoftware eignet sich hervorragend um eine Plattform für Testsysteme zu schaffen und gemäß den späteren Produktivsystemen anzupassen.

ich wollte noch sagen: ich fang im Oktober mit Informatikstudium an also wird sich das mit der Zeit sowie so noch verbessern und ich werde das also langsam von totalem Anfängerniveau auf ein etwas höheres legen, [...]

Ein Informatikstudium beschäftigt sich nicht mit der Administration von Servern.

[DanielX4]

1) ich würde mein aktuelles vorgehen eher weniger als frickeln und zerstören bezeichnen, da ich meiner ansicht nach doch alles mir mögliche tue um mich zu informieren und meine schritte auch hinterlegt/gut durchdacht wie möglich durchzuführen (auch wenn es euch nicht so vorkommt)

2) welche virtualisierungssoftware würdet ihr mir empfehlen? (ja ich nuzte gerade google)

3) bitte sei nicht so herabwürdigend, ich bin ja auch nicht unfreundlich nur weil ich euch nicht kenne, und nur weil ich noch neu dabei bin und gerade erst beginne heißt das nicht das du gleich darüber ausschweifen musst wie dumm ich doch sei

4) an der Uni werden ergänzende Vorlesungen bei uns angeboten die sich mit Serveradministration beschäftigen - außerdem gehe ich nicht in ein normales Infostudium rein sondern in ein was spezielles (dazu aber nun nichts näheres)

[mido5090]

Hi Daniel,

die Aussagen der anderen Forenteilnehmer haben nichts mit herabwürdigung zu tun. Die meißten möchten einfach nur verhindern, dass du massive Schwierigkeiten bekommst.

Jede Woche gibt es Themen in Foren ala "Ich hab nen Root/V-Server gemietet, kenn mich null aus, will aber nen Ts2 & CS Server drauf laufen lassen".

Dann wird wild irgendwelche Pakete installiert und der "Admin" hofft, dass es irgendwie läuft.

Was er nicht weis, ist die Tatsache, dass er dann ein Open-Relay gebaut hat oder eben ein extrem unsichere Webseite usw.

Nach nem Monat bekommet er dann im ungünstigsten Fall direkt einen Brief der Staatsanwaltschaft, da über ihren V-Server kinderpornografische Inhalte verbreitet werden (gab es auch schon häufiger).

Du solltest dir am besten auf deinem Windows-Rechner eine VM installieren (z.b VirtualBoX (sehr einfach in der Bedienung) oder von VM-Ware etwas.

Bei VM-Ware hast du je nach Produkt, mehr Einstellmöglichkeiten. Danach installierst du dir die Linux-Distribution auf der VM und erstellt nach dem installieren einen "Snapshot". Falls du dann die Maschine abschießt, kannste sie mit dem Snapshot wieder recovern.

Teste IMMER alles in einer Testumgebung, sonst gibt es (unter Garantie) früher oder später ein böses Erwachen.

Btw: Ein Info-Studium mit der Praxis nichts zu tun. Auch Studiengänge wie "angewandte Informatik" die sowas propagieren. Ich kenne von der Sorte, die keinen Pc formatieren können.

[DanielX4]

okay okay okay - v-sever ist/wird grade gekündigt

und info studium hat was mit praxis zu tun..vorallem an der FH (dort gehe ich zu erst hin stichwort: praxissemester und danach in einen speziellen studiengang an der uni dazu)

whatever...danke

[unbenannt]

1) ich würde mein aktuelles vorgehen eher weniger als frickeln und zerstören bezeichnen, da ich meiner ansicht nach doch alles mir mögliche tue um mich zu informieren und meine schritte auch hinterlegt/gut durchdacht wie möglich durchzuführen (auch wenn es euch nicht so vorkommt)

Du installierst und konfigurierst direkt auf einem Livesystem, ohne große Erfahrung zu haben. Direkt an einem Produktivsystem zu lernen ist aber generell ein schlechter Weg, da immer wieder Fehler passieren können, die man unter Umständen nicht direkt wahrnimmt. Fehler sind nun einmal menschlich und wenn sie geschehen, sind sie in einem Testsystem definitiv besser aufgehoben. Vor allem, weil man dort ohne Probleme auch wieder bei Null starten kann. Ein Livesystem möchte man natürlich ungern wieder komplett neu aufsetzen, frickelt so lange rum bis man zumindest die Symptome beseitigt hat und macht die ganze Sache möglicherweise unwissentlich schlimmer.

Es ist immer wieder erschreckend, wie viele Menschen (auch solche, die es besser wissen sollten) ein Live- als Testsystem missbrauchen. Glaub mir, dass Root-Passwort "root" ist häufiger anzutreffen als man glauben mag. Schön wird es auch, wenn man die Versionsangaben eingesetzter Software anzeigen lässt, denn es kommt gelegentlich vor, dass eine gewisse Version fehlerhaft ist und sich diese Fehler für böse Absichten ausnutzen lassen. Der Apache ist beispielsweise in der Standardkonfiguration sehr gesprächig.

2) welche virtualisierungssoftware würdet ihr mir empfehlen? (ja ich nuzte gerade google)

VMWare oder VirtualBox. Wobei ich persönlich VirtualBox aufgrund der Performance bevorzuge (mit VMware hatte ich da in der Vergangenheit eher negative Erfahrungen).

3) bitte sei nicht so herabwürdigend, ich bin ja auch nicht unfreundlich nur weil ich euch nicht kenne, und nur weil ich noch neu dabei bin und gerade erst beginne heißt das nicht das du gleich darüber ausschweifen musst wie dumm ich doch sei

Betrachte es bitte nicht als Herabwürdigung oder Unterstellung von Dummheit, sondern eher als gutgemeinte Rätschläge und Warnungen. Es gibt halt zu viele (V)Server auf dieser Welt, die zwar nach bestem Wissen eingerichtet wurden, aber der Besitzer keine Ahnung hat, was sein Server den ganzen Tag so treibt - bis er plötzlich böse Post bekommt. Spamschleuder oder Lagerplatz für Kinofilme sind nicht ungewöhnlich.