Rootserver paar Fragen ;)

[jure]

hi @ all

ich bin grad im begriff einen rootserver mit anzulegen, dazu hätte ich nun ein paar Fragen die mir hier vielleicht beantwortet werden. (schon mal im voraus danke@all)

Ich habe in Linux noch keinen großén Erfahrung, würde mir aber vor dem einrichten von einem root server mit büchte kaufen, damit ich die wichtigsten einstellungen richtig vornehme.

Ich habe gelesen das ich für meinen root server verantwortlich bin, nun die frage.

Bin ich schuld, wenn durch mein "schlampiges" einstellen, ein hacker in das providersystem meines anbieters gerät und dort schaden verursagt?

Oder bin ich nur für meinen Server verantwortlich?!

welches bs würdet ihr mir für einen server empfehlen?!

thx, weitere fragen, werden sicherlich noch folgen

[Amstelchen]

Ich habe in Linux noch keinen großén Erfahrung, würde mir aber vor dem einrichten von einem root server mit büchte kaufen, damit ich die wichtigsten einstellungen richtig vornehme.

was ist "büchte", meinst du bücher?

wenn du dich noch darüber mitteilst, was du denn überhaupt mit einer fully driven, mit root ausgestatteten kiste vorhast, kann man dir vielleicht näheres sagen. es gibt hier im forum auch einige threads über die rootserver thematik, schau dir die vielleicht auch mal an.

Ich habe gelesen das ich für meinen root server verantwortlich bin, nun die frage.

Bin ich schuld, wenn durch mein "schlampiges" einstellen, ein hacker in das providersystem meines anbieters gerät und dort schaden verursagt?

der rootserver steht zwar in einem rechenzentrum, ist aber üblicherweise mit zumindest einer eigenen IP-adresse ausgestattet und somit in bezug auf die verwaltungsrechner des providers autark. dass du darüber, dass andere kisten von deinem server aus hijacked werden könnten nachdenkst, ist aber gut.

Oder bin ich nur für meinen Server verantwortlich?!

ich behaupte ich jetzt einmal: ja. denn aus der eigenen sicherheit folgt, dass andere systeme dich nichtmehr betreffen.

welches bs würdet ihr mir für einen server empfehlen?!

linux, freebsd, netbsd. oder meinst du, welche distribution?

s'Amstel

[gertscha]

Hallo,

ich habe ein Jahr bei Strato als Support-Mitarbeiter im Bereich dedizierte Server gearbeitet und kann Dir sagen, dass Du vollkommen für Deinen Root-Sever selbst verantwortlich bist. Dies gilt in administrativer als auch in rechtlicher Verantwortung.

Üblicherweise wird ein Root-Server mit einem (oder mehreren) Standard Images ausgeliefert. Hat ein Image ein providerseitiges Problem, kannst Du Dich an den Support wenden, andernfalls nicht. Eine Fehleinstellung kann zu dem totalen Datenverlust führen, da der Server eventuell neu installiert werden muss. Der Support wird Dir dabei zurecht auch nicht helfen, da Supportmitarbeiter einerseits keine Hellseher sind und für individuelle Konfigurationen Consultants von Systemhäusern zuständig sind, wo die Stunde mal so locker 120,- Euro kostet. Bei durchschnittlich 50,- Euro Monatsmiete ist dieser Service natürlich nicht inbegriffen.

Falls Du keine Ahnung von Linux oder Windows 2003 hast würde ich sehr stark von der Anmietung eines eigen Servers abraten. Denn wenn Dein Server aus welchen Gründen auch immer gehackt werden sollte, würdest Du auch die rechtliche Verantwortung tragen. Der Provider selbst erkennt, wenn seine eigenen Server von deinem Server angegriffen werden, beispielsweise durch eine Denial of Service Attacke (DoS) und sperrt deinen Server und spricht Dir diskret die Kündigung aus und wird die anderen Kunden beschwichtigen. In diesem Fall wirst Du wenig rechtliche Konsequenzen zu befürchten haben.

Ein anderer Fall wäre, dass Dein Server eine DoS gegen ein auswärtiges Netzwerk fährt, hier kann der Provider nur anhand der IP-Pakete, die pro Sekunde gesendet werden, präventiv eingreifen und den Server wegen DoS Verdacht sperren, was in der Regel Relativ schnell geschieht aber im Ernstfall zu spät sein kann.

Eine DoS Attacke gegen ein großes Unternehmen, dass selbst nur für einige Minuten einige Server dadurch verliert, kann extrem hohe zivilrechtliche Forderungen nach sich ziehen. In diesem Fall kann man auch nur hoffen, dass der Staatsanwalt die nachfolgende Strafanzeige einstellt und genügend Geld in der Haushaltskasse vorhanden ist.

Um es auf den Punkt zubringen, wenn ich keine Ahnung vom Autofahren und keinen Führerschein habe, werde ich auch kein Auto fahren. Wenn ich nicht weiß wie man ein Flugzeug fliegt oder Pilot bin, werde ich auch kein Flugzeug fliegen. Wenn ich kein Gehirnchirurg bin, werde ich auch keinem Menschen am geöffneten Schädel mit einem Skalpell bearbeiten. Wenn ich von der Administration von Root-Servern keine Ahnung habe, werde ich keine Root-Server administrieren.

Wenn man diese Regeln befolgt, wird man keine zivilrechtlichen Forderungen oder strafrechtlichten Konsequenzen zu befürchten haben.

So einfach ist das Leben, und wenn sich alle an die Regeln halten sind wir alle glücklich.

Viele Grüße,

Gert

[Joe Kinley]

@gertscha

Wird hier ein Unterschied gemacht, ob es selbstverschuldet ist (selbst keine Updates gezogen wo moeglich waere... oder sowas) oder nicht (Bug in der Software wo der Admin auch nix fuer kann)... oder bist du grundsaetzlich als Besitzer Schuld?

[Whatever]

99,99% der Softare die man für Geld kaufen kann und jede Art von OpenSource Software hat einen Haftungsausschluss seitens des Herstellers.

Will sagen: Ja, du bist in jedem Fall der Depp.

[gertscha]

Strafrechtlich gesehen, kannst Du nur für Taten verurteilt werden, die du mit Vorsatz begangen hast. Hier wäre also der Hacker der zu verurteilen ist. Im Zweifelsfall ist es jedoch schwer Deine Unschuld zu beweisen. Andererseits werden die meisten Verfahren in solchen fällen eingestellt. Jedoch hat man erst einmal eine Weile den ganzen Ärger am Hals.

Falls beispielsweise Dritte durch Deinen Server geschädigt werden, interessiert das Warum und Weshalb den Geschädigten wenig und wer wird seine zivilrechtlichen Forderungen erst einmal gegen Dich geltend machen und hat vor Gericht auch gute Chancen mit seinen Forderungen durchzukommen. Es wird davon ausgegangen, dass neben der allgemeinen technischen Absicherung (Firewall, regelmäßige Updates etc.) auch noch eine Administrative Absicherung erfolgen muss. D.h., dass Du eigentlich Deinen Server 24 Stunden überwachen müsstest und abcheckts ob komisch Ports geöffnet sind Logfiles auswertest etc. Falls Du dies nicht tust kann rechtlich von grober Fahrlässig ausgegangen werden. Dies ist für einen Privatmann kaum machbar.

Große Sicherheitslücken bieten beispielsweise viele Open Source und E-Commerce Systeme, die unter PHP laufen und explizit verlangen den Safe Mode auszuschalten. Hier ist es dann relativ einfach diesen Systemen PHP-Skripte unter zu jubeln, die dann mit Schreib- Leseberechtigungen Shellskripte ausführen können.

Allgemeine Sicherheitstipps kann man nicht geben, da es viele Sicherheitslücken gibt.

[geloescht_JesterDay]

Große Sicherheitslücken bieten beispielsweise viele Open Source und E-Commerce Systeme, die unter PHP laufen und explizit verlangen den Safe Mode auszuschalten. Hier ist es dann relativ einfach diesen Systemen PHP-Skripte unter zu jubeln...

Ist aber eine gewagte Behauptung, IMHO.

Auch ohne SafeMode ist es nicht zwingend leicht möglich, einem Server PHP-Skripte unterzujubeln. Andererseits ist es auch im SafeMode nicht unmöglich irgendwelche Lücken auszunutzen.

Safe Mode ist der Versuch, Sicherheitsprobleme bei gemeinsam genutzten Servern zu lösen. Bezogen auf die Systemarchitektur, ist es der falsche Ansatz, diese Probleme innerhalb der PHP Schicht lösen zu wollen. Da es auf Ebene des Webservers bzw. des Betriebssystems keine praktischen Alternativen gibt, wird Safe Mode nunmehr von vielen Leuten, vor allem von Providern, eingesetzt.

Mit dem SafeMode wird vorallem erstmal verhindert, dass du von deinem Account die Dateien von einem anderen Account (oder im System) lesen kannst. Bei einem allein genutzten Root-Server kannst du aber eh alle Dateien lesen.

Injections gehen auch im SafeMode, aber Code-Injections für PHP-Code sind nicht gerade einfach zu machen (wenn auch nicht unmöglich). Da muss es schon ein sehr schlechter Code sein.

Bei guten Skripten ist der SafeMode unnötig und allenfalls dazu gut, die User am Ausspähen der anderen Dateien zu hindern (wenn man das nicht auf Berechtigungsebene tut, wie z.B. per suphp o.ä.).

[jure]

@ gretscha

das klingt ja schon sehr krass würde ich mal sagen mit dem rechtlichen gesetzen etc.

jedoch

passiert es oft, das solche server gehackt werden, uns so bößwillig ausgenutzt werden?

Was ist mit managed server, diese werden ja teilweise vom provider gemanaged, die Frage ist jedoch darf der provider meine dateien einsehen, die ich dort gespeichert habe?

und was wenn dieser server gehackt wird und für bößwillige sachen benutzt wird wie DoS attacken,

bin ich dann wieder der sünderbock?

[IT-Shrek]

Strafrechtlich gesehen, kannst Du nur für Taten verurteilt werden, die du mit Vorsatz begangen hast.

Hallo,

das hier ist und darf keine Rechtsberatungsstelle sein, dennoch möchte ich den Begriff Fahrlässigkeit in den Raum werfen, was insbesondere eine Problematik in Sachen "Nicht-Updaten" darstellen könnte.

Shrek

[aLeXL]

Sicherlich besteht immer die Möglichkeit, dass sich jemand in dein System hackt und Schaden verursacht. Selbst wenn du immer schön Updates fährst.

Das Risiko hast du allerdings überall.

Solange wie du dein System aktuell hälst und ein bisschen aufpasst, sehe ich kein all zu großes Problem. Ich selbst habe mir einen Root Server für 1 Jahr gemitet gehabt, als ich noch blutiger Linux Anfänger war. Hatte während des gesamten Jahres kein einziges Update gemacht und ich wurde nie gehackt.

Jetzt sagen sicher viele "Ja, das war nur glück oder zufall" aber mal angenommen er hält sein System auf dem aktuellen Stand und gibt nur Kommandos ein, die er versteht und weiss, was diese machen, so sehe ich wirklich kein Problem.

Empfehlen würde ich dir Linux Debian, da du über apt-get sehr einfach Pakete installieren kannst. Hatte ich damals auch und habe sehr schnell gelernt, hat mir viel gebracht.