Basics. Administration eines virtuellen oder dedizierten Linux Servers

  • 1. Vorwort


    Servus.


    Da es hier im Forum desöfteren vorkommt, dass diverse Anfragen gestellt werden, welche vermuten lassen, dass die Erfahrung im Umgang und der Administration von Linux-Systemen zu Wünschen übrig lässt, dachte ich daran eine kleine Sammlung an nützlichen und hilfreichen Verlinkungen, Guides und Hilfestellungen zu erstellen auf die wir im Zweifel hinweisen können.


    Wenn du also durch einen Link in deinem Thread hier gelandet bist, lies dir nachfolgende Passagen bitte genau durch. Auch wenn es anfangs so klingen mag als möchte dir niemand helfen, wirst du Irgendwann während deiner Laufbahn zum Linux-Profi herausfinden, dass es eventuell nicht Verkehrt war / gewesen wäre.


    --


    2. Allgemeines




    Aufgrund der Tatsache, dass du hier gelandet bist möchte ich dich darüber aufklären, dass du noch kein augenscheinlich fähiger Administrator bist. Dementsprechend hier der oftmals unbeachtete und belächelte Hinweis: Bitte versuche dein Glück in einer VM bevor du einen Server mietest. Wir möchten keine Spaßverderber sein, jedoch kannst du mit deinem Unwissen und einem öffentlichen Server großen Schaden anrichten. Nebst der Tatsache, dass bei mangelnder Kenntnis und Absicherung unsere Systeme mitunter durch genanntes Unwissen beeinträchtigt werden können (Stichwort Spamschleuder, Botnetz) kann es auch ganz schnell zu rechtlichen Konsequenzen für dich kommen. Wer einen Server betreibt, ist auch dafür verantwortlich was mit diesem passiert. Ähnlich wie bei "Eltern haften für ihre Kinder" verhält es sich auch hier.


    Solltest du diese Hinweise routiniert ignoriern, kommen wir nun zum eigentlichen Sinn dieses Themas.


    --


    3. Verlinkungen


    3.1 Absicherung deines Systems

    Eine gutes Grundgerüst erarbeitest du dir mit nachfolgender Anleitung. Zu beachten sind mindestens die Schritte 2, 3, 6, 7. Wünschenswert ist natürlich in deinem und unserem Sinne die vollständige Abarbeitung der Anleitung. https://www.thomas-krenn.com/d…rung_eines_Debian_Servers


    3.2 SSL Verschlüsselung bei Webservern

    Bitte tue dir und deinen Besuchern den Gefallen und sichere deine Webseiten mittels SSL (HTTPS) ab. Dies sorgt dafür, dass etwaige Passwörter nicht im Klartext durch das Weltweite Netz flattern, sondern schön verschlüsselt beim Client abgesendet und beim Server empfangen werden. All das funktioniert auch kostenlos. Das Zauberwort heißt in dem Fall Let's Encrypt. Der oftmals angesprochene "certbot" ist hierbei der Gute, der sich um die fortlaufende Gültigkeit deiner Zertifikate kümmert. https://dominicpratt.de/lets-encrypt-certbot-apache/


    3.3 Weiterleitung zur via SSL abgesicherten Version deiner Webseite

    Falls du den Webserver "Apache2" verwendest, kannst du dir folgenden Link ansehen um eine funktionierende Weiterleitung auf die Beine zu stellen. http://www.sysadminslife.com/l…via-apache-oder-htaccess/

    Für Nginx gibt's das auch. https://blog.buettner.xyz/http…tisch-https-weiterleiten/


    3.4 Vorgefertigte Images

    Ja, vorgefertigte Images sind hier bei netcup ein gutes Hilfsmittel um Server schnell installieren zu können. Dennoch solltest du dich um die Absicherung des Systems kümmern, wie es der Punkt "3.1 Absicherung deines Systems" erklärt.


    --


    4. Videos


    Lesefaul sollte man als Administrator eines Linux-Systems nicht sein. Dennoch seh auch ich mir lieber Bewegtbild an.


    4.1 Absicherung deines Systems

    Es ist definitiv zu empfehlen, die Anleitung aus 3.1 zu verwenden. Dennoch hier ein Video zur Absicherung deines SSH-Servers.

    https://www.youtube.com/watch?v=64XS0HzoS_U


    4.2 Erkennung von Brute Force Angriffen

    Um das Risiko zu minimieren, dass dein System durch erfolgreiche Brute Force Angriffe kompromittiert wird, ist Fail2Ban ein gutes Mittel zur Absicherung.

    https://www.youtube.com/watch?v=8r8WlMqR5aY


    4.3 Mailserver

    Mailserver sind ein sehr heikles Thema. "Mal eben aufsetzen" ist hier definitiv keine gute Idee. Bitte verinnerliche nachfolgenden Beitrag und überlege dir anschließend erneut ob du dir das wirklich antun möchtest.

    https://www.youtube.com/watch?v=PTiyIdVB8KQ&t=22s


    4.4 Was kann passieren?

    Da wir schon beim Thema Vorträge sind, kann ich es mir nicht verkneifen das nachfolgende Video als Warnung anzuhängen. Das kann auch mit deinem Server passieren, solltest du nicht aufpassen!!!11!1elf!1

    https://www.youtube.com/watch?v=2bu_T8vUs4I


    --


    5. @all


    Falls ich etwas essentielles vergessen habe oder ihr Verbesserungsvorschläge habt, immer her damit.


    lg.

  • Aufgrund der Tatsache, dass du hier gelandet bist möchte ich dich darüber aufklären, dass du noch kein augenscheinlich fähiger Administrator bist.


    Ich fühle mich durch diesen Satz irgendwie angesprochen :/


    Schöner Beitrag. Ich denke aber die Zielgruppe wird nicht präventiv erreicht.



    Die Klassiker kennt ihr unter https://web.archive.org/web/20…nichts-fuer-dich-lass-es/ und https://web.archive.org/web/20…/dein-neuer-linux-server/ ?

  • Absichern eines Servers ist wirklich kein Hexenwerk und schnell gemacht. Für mich gehört:


    1. Nach möglichkeit ein blankes Image nehmen (keine Dienste vorinstalliert)

    2. Benutzer zum deployen anlegen, in sudo-Gruppe aufnehmen

    3. SSH nur via Key ermöglichen

    4. Root den login entziehen

    5. Mit UFW SSH erlauben und dann alles andere erstmal sperren.


    Nach diesen 5 Minuten kann ich anfangen die Dienste auf dem Server zu installieren, die ich wirklich benötige.

  • 5. Mit UFW SSH erlauben und dann alles andere erstmal sperren.


    Nach diesen 5 Minuten kann ich anfangen die Dienste auf dem Server zu installieren, die ich wirklich benötige.

    Nutze zwar IPtables direkt und hab keine Erfahrungen mit UFW. Aber wenn du bei IPtables alles dropst input/output, ... funktioniert nix mehr, nicht mal APT :D ... DNS Lookup sei dank - haha

    Meine Produkte: Webhosting 2000 | RS 1000 SSD G7SE NY18 | RS 1000 G8 SAS | VPS OsterEi 2018

  • Nutze zwar IPtables direkt und hab keine Erfahrungen mit UFW. Aber wenn du bei IPtables alles dropst input/output, ... funktioniert nix mehr, nicht mal APT :D ... DNS Lookup sei dank - haha

    Basissachen wie dport 53 zu deinen DNS Servern (IPv4 wie IPv6) sollten eigentlich Standard sein. Genauso wie dport 80 zum Paketmanagementserver.

    Im übrigen empfehle ich nicht die Pakete per Policy zu droppen. Eine Dienste haben insbesondere im Dual-Stack ein Problem damit. Zumindestens im Output sollte man rejecten - im Input kann man sich darüber streiten, aber auch hier sind Rejects sinnvoller als Drops.

  • hier meine iptables (IPv4), bei IPv6 kommen ein paar Regeln hinzu, kann nicht 1:1 übertragen werden;

    Grüße / Greetings

    Walter H.


    RS 1000 SAS G7SE / RS 500 G8 / VPS 100 G7SE / RS 2000 SAS Ostern 2018

  • Sorry wenn ich hier wieder die Töne der schlechten Melodie anschlage, aber wäre es möglich das wir solche Threads einfach sein lassen? Die IT existiert nicht seit gestern und darüber hinaus haben es hier schon viele Leute probiert solche Guides zu machen.


    Die Ergebnisse sind meistens die gleichen die Leute springen blind auf den Zug auf und der Maintainer hat keine Lust den Guide zu pflegen. Darüberhinaus ist es doch schon alles gesagt wenn du zum Entschluss kommst, dass du keine Ahnung von Administration, Linux und was sonst mit IT zu tun hat, hast.


    Noch dazu hier einfach irgendwelche Konfigurationen zu posten die kaum ein Ahnungsloser ohne weiteres validieren kann. Ja das macht das Internet gleich viel sicherer!


    So und jetzt lasst es krachen!

  • Die Konzepte beim Betreiben von Diensten/Server haben sich im letzten Jahrzehnt geändert.


    Ich sehe als ein Problem, dass ich mich nach dem Lesen der Anleitung sicher fühlten könnte bzw. als fähiger Administrator die Server verwalte. Es wird hier sicherlich jeder noch einen Link, etc in den Raum werfen. Und nach 1 Monat stößt jemand auf das Thema und wirft eine bessere Idee bzw. anderes Konzept rein.


    Du erwähnst z.B. weder EOL oder Webanwendungen allgemein. Was nützt mir ein SSL-Zertifikat, wenn ich ein altes Wordpress auf einem Debian Wheezy mit SSL 3.0 mit Plugins mit Sicherheitslücken betreibe? Oder allgemein der Hinweis auf schlechte Tutorials, wo man Teamspeak per wine betreibt bzw. eine uralte 32bit-Version per tar.gz runterlädt und auf seinem neuestem 64bit Kubuntu als root betreibt?


    Ich denke das Thema ist zu komplex um es mit auch nur z.B. 10 Links abzudecken.

  • Natürlich ist das Thema zu komplex. Ich denke, da sind wir uns alle einig.

    Dennoch empfinde ich es als falsche Herangehensweise immer nur mit den Finger auf Anfänger zu zeigen ohne ernsthaft zu versuchen ihnen unter die Arme zu greifen. Das bringt Niemanden weiter. Auch wir haben irgendwann angefangen. Ich für meinen Teil mit Unterstützung auch direkt "live".


    Es sollte in unserem Interesse sein die Community und Linux-Gemeinschaft zu vergrößern.


    lg.

  • Hay,


    ich finde die Guides schon nützlich, auch wenn jeder natürlich ein etwas anderes Konzept verfolgt. Deswegen finde ich folgende Hinweise fast wichtiger als einen Guide als solchen:


    - Immer hinterfragen, ob die Verfahren noch aktuell sind und auf meinen Anwendungsfall passen

    - Mehrere Guides lesen und mir Gedanken darüber machen, wo und warum sie sich unterscheiden

    - Nicht sofort mit einem Server starten, der mittem im Sturm steht, sondern mit einer VM auf dem lokalen Rechner (oder adäquatem... kleinen Server im Heimnetz z.B.), dann einen Webhost mit ssh und dann kann man an einen kleinen eigenen Server denken

    - Logfiles beobachten

    - Logfiles beobachten

    - Logfiles beobachten


    CU, Peter