Debian Root Server konfigurieren, wo fange ich an?

  • Moin,


    ich habe zur Zeit zwar einen RS 1000 SSD G7SEa1 6M, bin aber neu was Thema Linux/ Server angeht und habe bis jetzt (Teamspeak 3 Server installieren/ Apache2/ Mail Server/ Minecraft Server) alles per Tutorial und Anleitung gemacht ohne wirklich Ahnung von der Materie zu haben.


    Der Server läuft noch auf Debian 8.11 ein Update auf Debian 10 würde ich direkt mit einem Server Wechsel auf einen RS 4000 SSD G8SE verknüpfen.


    Meine Frage ist nun, wie lerne ich richtig die Grundlagen um meinen Server abzusichern und zu administrieren?

    Stichpunkte wären Firewall Konfigurieren/ Ports freischalten/ Webseite sichern etc.

    RS 1000 SSD G7SEa1 6M (Debian Buster)


    Webhosting 2000 SE de a1

  • Meine Frage ist nun, wie lerne ich richtig die Grundlagen um meinen Server abzusichern und zu administrieren?

    Das Zauberwort ist eigentlich Learning by Doing.

    Beachte dabei eins - wenn du lernen und testen willst, dann machst du das in einer VM zuhause auf deinem PC. Virtualbox

    Sowas macht man NIE auf einem Server am Internet.


    Es gibt kein offizielles "richtig" und "sicher". Wie bereits erwähnt, empfehle ich bei deiner Menge der Dienste einen Hypervisor wie Proxmox zu nutzen, um die Dienste etwas voneinander abzuschotten und Ordnung zu halten. Ich kann dir das gerne auch mal zeigen, wie gesagt, schreib mir eine Konversation.


    Dann gibt es ein paar Best Practices. Ich liste mal auf, was mir spontan so einfällt...

    --> Mach nur öffentlich verfügbar, was öffentlich verfügbar sein muss - phpMyAdmin oder SSH Ports müssen z.B. seltenst öffentlich zugänglich sein. Ich nutze auf meinem RS Rentier z.B. Proxmox mit LXC Containern und ein Wireguard VPN, welches in das Bridge Netz der Container geroutet wird. Wenn ich was administrieren will, verbinde ich mich in das VPN, wodurch ich Zugriff auf das private/interne Bridge Netz und den Diensten darin habe. Versteht man besser, wenn man es mal praktisch gesehen hat.


    --> Kein Backup, kein Mitleid. Führ regelmäßig Backups durch, nach Möglichkeit auch noch wo anders hin und nicht nur auf dem selben Server.


    --> Monitoring - irgendwie musst du erkennen, wenn mal etwas aus der Reihe tanzt. Wenn du den DDoS Angriff erst merkst, weil dein Server sich irgendwie langsam anfühlt, dann war dein Monitoring nicht ausreichend. ;)


    --> Benachrichtigungen - deine Systeme sollten dich bei Ereignissen wie SSH Logins oder diversen Problemen o.Ä. benachrichtigen. Du willst den Hack deines Servers nicht erst bemerken, wenn die Russenmafia bei dir vor der Tür steht weil "du" (=dein Server) ihre Infrastruktur angegriffen hast.


    --> Updates - es versteht sich von selbst, dass du nach Möglichkeit immer die aktuellste Software nutzen solltest, um die Gefahr gering zu halten, von Sicherheitslücken betroffen zu sein. Inwiefern man sich da dann Helferleins wie unattended-upgrades bedient, muss man selbst entscheiden. Automatische Updates sind bequem, aber wenn da mal ein kaputtes Update oder so dabei ist, wirds ekelhaft.


    --> Rechte und Berechtigungen - hier gibts die gute Regel: so viel wie nötig, so wenig wie möglich. Du solltest zudem mit den Datei und Ordnerberechtigungen vertraut sein. Dienste sollten nie als root laufen, sofern dies nicht ausdrücklich notwendig ist.


    --> Die Sache mit den Logs... die sollte man im Auge haben. Es gibt einige Tools, die da für dich durchschauen und dir sagen, wenn etwas auffällig ist. Ich persönlich bevorzuge aber meine eigenen Augen bei sowas.


    --> Du willst wissen, was du da tust: führe nicht einfach irgendwelche Scripts aus dem Internet oder so aus. Schau da durch, was die machen. Du solltest allgemein wissen, was Programme/Scripts machen und wie sie funktionieren, wie du sie konfigurieren musst und was es zu beachten gibt. Lesen, lesen, lesen... und wenn sich das Projekt elendig in die Länge zieht. Mach nichts, wovon du nicht weiß, was du tust. (Aus gegebenem Anlass - den Böller wirfst du auch bloß weg, weil du weißt, dass das sonst schmerzhaft endet - was wäre, wenn du das nicht wüsstest?)

    Wenn du es durch Recherche und Lesen nicht rausfindest, kannst du immer noch uns Fragen...



    So. Mir fällt auf die Schnelle nichts hilfreiches weiter ein und ich muss auch los wegen weil Silvester feiern und so. ;)

    "Denn der radikalste Zweifel ist der Vater der Erkenntnis."

    -Max Weber

  • Ergänzend zu den guten Tipps von @whoami0501 empfehle ich:


    - Anlegen von Snapshots vor umfangreicheren oder kritischen Änderungen


    - dist-uprade


    - Deaktivierung des root-Logins (https://www.thomas-krenn.com/d…in_unter_Debian_verbieten)


    - Installation von fail2ban (https://www.thomas-krenn.com/d…an_mit_fail2ban_absichern) und/oder idealerweise vollständiges Umstellen auf SSH-Key-Only-Login (https://www.thomas-krenn.com/de/wiki/SSH_Key_Login)


    - Vorschalten eines .htaccess-Passwortschutzes (https://www.thomas-krenn.com/de/wiki/Webserver_Verzeichnisse_mit_Passwort_schützen) vor Webdiensten wie phpMyAdmin

  • Learning by Doing.

    Jo das hat mir auch sehr geholfen, seit 25 Jahren ;)

    Das hat mich dazu geführt, das ich das hier immer mache , und da ja Froxlor auch schon ins alter gekommen ist, nun das hier verwende, und mit keyhelp ist dir echt geholfen, da ist echt alles drinnen was man braucht. PS, auch wenn du keinen Webspace Server hast, dennoch zu Empfehlen!


    Und ganz klar davor : Absolutes muss,


    lg