Absichern von Linux Server

  • Hey :)


    Ich habe mir gestern einen Linux Server gemietet und auch schon den versuch gewagt mal ne MariaDB mit PHP und phpMyAdmin zu installieren was halbwegs gut geklappt hat.

    Nun hab ich heute eine Mail bekommen das mein Server sich selbstständig gemacht hat und anscheinend Netzwerke angegriffen hat...


    pasted-from-clipboard.png



    Wie kann sowas passieren und wie kann ich den Server schützen? Hat da jemand konkret paar hilfreiche Tipps?
    Danke!

    Dr.Hexe

  • Du hast als erstes alle Sicherheitsupdates installiert, die Passwörter geändert, ssh auf keyonly umgestellt und alle nicht öffentlichen Dienste per Passwort geschützt?

    "Security is like an onion - the more you dig in the more you want to cry"

  • Hat da jemand konkret paar hilfreiche Tipps?

    Server abschalten, Autostart deaktivieren, Kündigen ggf. Zufriedenheitsgarantie beanspruchen.


    Weiterhin: VM-Software auf dem eigenen Rechner zu Hause installieren, Linux Basics üben, Server absichern üben.

    Wenn das alles sauber sitzt, kannst du darüber nachdenken eine VM im Internet zu mieten. Bis dahin empfehle ich dir ein Webhosting Paket, einen managed Server oder die Beauftragung eines Administrators, der weiß was er tut.

  • Bitte zunächst den Server abschalten. vmk hat bereits die aller, aller notwendigsten Maßnahmen genannt. Doch wenn du keine Erfahrung mit Linux-Servern im öffentlichen Internet hast, solltest du das alles erstmal in einer VM lernen.


    Einen Server im Internet ohne Kenntnisse zu betreiben ist sehr fahrlässig. Es ist gut, dass du hier nach Maßnahmen fragst, wie du den Server absichern kannst, aber die Administration lernst du nicht von heute auf morgen. Installier dir doch mal Debian oder so in der VirtualBox und wenn du verstanden hast, wie alle Komponenten ineinandergreifen (init-System, Benutzerberechtigungen, einzelne Dienste, ...), bist du schon ein großes Stück näher am Ziel.


    Falls der Server sofort benötigt wird, ist vielleicht ein Managed Server (gibt es auch hier bei NetCup) eine Alternative :)


    LG

    Alex

    Meine Minecraft-Plugins auf SpigotMC (Open Source): www.spigotmc.org/members/mfnalex.175238/#resources

    Discord: discord.jeff-media.com

  • Als erstes den Server ausschalten und die Festplatte löschen. Einen Server ohne Linux Kenntnisse zu betreiben ist nie eine gute Idee, es gibt aber sehr gute Anleitung im Internet, die das administrieren sehr gut erklären, solltest Du Dir vielleicht mal anschauen. Nun stellt sich natürlich die Frage: Wie konnte der Angreifer auf den Server gelangen? Hast Du kurze, einfache Passwörter genutzt oder lag es an einer fehlerhaften Softwareinstallation?

    Mit freundlichen Grüßen

  • Als erstes den Server ausschalten und die Festplatte löschen. Einen Server ohne Linux Kenntnisse zu betreiben ist nie eine gute Idee, es gibt aber sehr gute Anleitung im Internet, die das administrieren sehr gut erklären, solltest Du Dir vielleicht mal anschauen. Nun stellt sich natürlich die Frage: Wie konnte der Angreifer auf den Server gelangen? Hast Du kurze, einfache Passwörter genutzt oder lag es an einer fehlerhaften Softwareinstallation?

    Mit freundlichen Grüßen

    Ich halte es jetzt nicht so sinnvoll, erst die Festplatte zu löschen und sich dann zu überlegen, wie und wer das war... Meine persönliche Meinung, ich tappe nicht so gern im dunklen herum...

  • Vielleicht etwas am Thema vorbei, da ich nicht weiß, welches System auf dem Server lief (Auslieferungszustand oder selbst installiertes OS), aber:

    Das ist aber auch wieder ein gutes Argument dafür, neu bestellte Server grundsätzlich ausgeschaltet, oder mit leerer Festplatte auszuliefern.

    Sobald er im Netz ist, wird er mit Anfragen bombardiert, die versuchen Sicherheitslücken auszunutzen. Und als Besteller kann man in dem Moment nichts dagegen tun, wenn man gerade keinen Zugriff auf das SCP hat, schuldig gesprochen wird man als Inhaber dennoch.

    Das schonmal genannte Argument, dass es die Kunden verwirren könnte, wenn man nicht direkt auf den Server zugreifen kann, sondern erst den Umweg über das SCP gehen muss, kann ich nicht unterstützen. In diesem Falle ist die Sicherheit des Netzes höher zu stellen, als die Convenience des Kunden.

  • Hallo,


    also das root Kennwort von Netcup ist erstmal gar nicht so schlecht, das wird nicht so einfach erraten.

    Dann zügig nach der Installation einen neuen Benutzer anglegen, ssh für root verbieten und den ssh Port ändern bringt schon sehr viel und

    ist in ein paar minuten erledigt. Dann noch UFW installieren und erstmal alles außer dem neuen ssh Port verbieten und man kann schonmal kurz durchatmen.

    Wenn man jetzt dafür sorgt das man kein Schwaches root Kennwort vergibt und der neuen Benutzer halbwegs originell heisst, also nicht admin oder sowas, geht das schonmal. Ich finde es schon erstaunlich wie oft Fail2ban auf Port 22 anschlägt, das öffnet einem echt die augen.

    Auf meinem neuen ssh Port hatte ich da noch keinen. Ob man PHPMyadmin wirklich öffentlich machen will sollte man sich dann auch noch fragen.


    Eckhard

  • also das root Kennwort von Netcup ist erstmal gar nicht so schlecht, das wird nicht so einfach erraten.

    Hier muß ich widersprechen. Das Root Passwort sieht zwar gut aus, aber Irgendwas ist an der Basisinstallation nicht so ganz Sicher.

    Ich hatte bereits 2 VPS, um die ich mich nach der Bestellung 2-3 Monate nicht gekümmert habe und bei denen ich dann bei meinem ersten Connect ein und ausgehende Verbindungen zu Polnischen und Russichen Servern in der Prozelliste hatte.

    Offensichtlich waren die gehackt. Deshalb ist vor Inbetriebnahme bei mir immer eine Neuformatierung und Absicherung mit meinem eigenen Image angesagt.

  • Hallo,


    das ist spannend, allerdings installiere ich dann immer frisch wenn ich den in Betrieb nehme. Die 10 Minuten bis ich das root Login per ssh verboten habe hält das Kennwort hoffentlich stand. Nichtsdestotrotz was die länge und die nichtauffindbarkeit in Wörterbüchern betrifft ist das nicht so schlecht.

    KeePass generiert auch schöne Kennwörter die mann dann nehmen kann.


    Eckhard

  • das ist spannend

    indeed.


    allerdings installiere ich dann immer frisch wenn ich den in Betrieb nehme

    Ich wollte nur nochmal betonen, daß das auch Angeraten ist.


    KeePass generiert auch schöne Kennwörter

    Server haben bei mir grundsätzlich gar keinen Passwort Zugriff. Das Erste ist das Aufspielen meines Key und das Sperren aller Passwortlogins.

  • Ich hätte hier mal eine Idee für Netcup in Zukunft,

    im Erstinstallationsimage

    1. Eine sichere Firewall

    2. Einen jedes mal anderen Port der in der Mail die man bekommt mitgeteilt wird

    So dürfte es doch erstmal keine Probleme geben, oder?

  • Ich hätte hier mal eine Idee für Netcup in Zukunft,

    im Erstinstallationsimage

    1. Eine sichere Firewall

    2. Einen jedes mal anderen Port der in der Mail die man bekommt mitgeteilt wird

    So dürfte es doch erstmal keine Probleme geben, oder?

    Warum nicht einfach Key only als Standard? Man müsste halt bei der Installation einmal den PubKey abfragen.

    Meine Minecraft-Plugins auf SpigotMC (Open Source): www.spigotmc.org/members/mfnalex.175238/#resources

    Discord: discord.jeff-media.com

  • Dann eben ein Dropdown-Menü bei der Bestellung, dann könnte man auch direkt mit etwas anderem als Deb8+Froxlor loslegen :) aber durch cloud-init soll das ja eh bald kommen :thumbup:


    Von einer vorinstallierten Firewall halte ich nichts - was soll die denn blocken? Auf einem minimal-Image ist bis auf SSH sowieso nichts am lauschen. Und würde man da jetzt standardmäßig alles droppen, wäre das Geschrei groß sobald sich jemand einen Apache, TS, ... installiert.

    Meine Minecraft-Plugins auf SpigotMC (Open Source): www.spigotmc.org/members/mfnalex.175238/#resources

    Discord: discord.jeff-media.com

  • Warum nicht einfach Key only als Standard?

    das denke ich bedarf dann einer Erweiterung, weil Du ja irgendwo den serverseitigen KEY-Teil vorgeben musst,

    oder Du bekommst im Mail den clientseitigen KEY-Teil und bist dann genau dort wo Du mit dem Passwort im Mail bist ...

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

  • das denke ich bedarf dann einer Erweiterung, weil Du ja irgendwo den serverseitigen KEY-Teil vorgeben musst,

    oder Du bekommst im Mail den clientseitigen KEY-Teil und bist dann genau dort wo Du mit dem Passwort im Mail bist ...

    Man könnte ja im CCP/SCP ein einfaches Textfeld einbauen um den Public Key abzufragen. Der muss ja dann nur in die authorized_keys geschrieben werden.

    Meine Minecraft-Plugins auf SpigotMC (Open Source): www.spigotmc.org/members/mfnalex.175238/#resources

    Discord: discord.jeff-media.com

  • Man könnte ja im CCP/SCP ein einfaches Textfeld einbauen um den Public Key abzufragen. Der muss ja dann nur in die authorized_keys geschrieben werden.

    So löst es z.B. ja auch OpenStack, da gibt es keine Images mit Passwort und ist auch nicht vorgesehen, in der Oberfläche kann man dann die Keys hinterlegen welche dann auch von cloud-init in die authorized_keys geschrieben werden. Noch einfacher wäre es wenn die Kisten vollautomatisch die Anwendung starten und ich nichtmal per SSH raufmuß, wie die Docker oder Kubernetes Lösungen.