Fragen zum neuen vServer

    Hallo
    ich habe nun meinen neuen Vserver (Gold) bei netcup (bei dem Preis konnte ich nur schwer wiederstehen :) ).
    Ich habe zwar schon einen Server bei einem anderen Anbieter, aber im großen und ganzen bin ich doch noch etwas unerfahren mit Linux und wäre ein paar Tipps nicht abgeneigt.
    Zuerst einmal eine Frage zum standardmäßig installierten Image, welches System/Image wird da verwendet ? Debian Etch mit Syscp 64Bit (yourvserver) vielleicht ?
    Mein "letzter" vServer war OpenSuse 11 das ja bekanntermaßen Yast mitbringt gibt es denn auch eine vergleichbare Alternative zur Installation neuer Programme unter Debian oder bin ich da auf apt-get beschränkt ?



    Mal abgesehen von SSH kann ich die Dienste doch alle beenden oder nicht ?
    Wofür genau benötigt man eigentlich den named (BIND) Service ? Wenn ich das recht verstanden hab ist der für die DNS-Auflösung zuständig wenn ich also nur über die IP bzw. vxxxXXXxxxXXXxxx.yourvserver.net auf meinen Server zugreife sollte der doch auch beendet werden können ?
    Das SysCP-Panel wird doch auf dem Server lokal gehostet stört sich denn einer wenn das durch das beenden der Dienste nicht mehr erreichbar ist oder ist das nur für mich persönlich gedacht ?


    Kann man auf dem Server einen OpenVPN-Gateway und VNC installieren ?


    Wann kommt denn die erste Rechnung ?
    Was genau heisst

    Zitat

    Traffic: jetzt KOSTENLOS

    ? Unbegrenzt oder limitierte Geschwindigkeit ab soundsoviel GB ?

    Ja, das Standardimage ist zur Zeit Debian Etch mit Syscp 64Bit (yourvserver). Ich würde dir empfehlen das Debian Lenny 64bit Minimal Image zu installieren, da hast du dann wirklich nur SSHd und crond laufen und kannst alles so einrichten wie du es willst.


    Zum Thema openVPN gibt es einige Themen:
    http://forum.netcup.de/showthread.php?t=182
    http://forum.netcup.de/showthread.php?t=845
    http://forum.netcup.de/showthread.php?t=926
    http://forum.netcup.de/showthread.php?t=1011
    http://forum.netcup.de/showthread.php?t=1172


    Zum Thema Traffic ebenfalls:
    http://forum.netcup.de/showthread.php?t=1231


    Über die Suche findet man noch mehr Threads ;)


    Statt apt-get würde ich gleich zu aptitude raten, ist aber reine Geschmackssache. Es gibt auch noch ein paar andere Programme für die Paketverwaltung unter Debian, ich habe bisher aber nur mit APT Erfahrungen gesammelt. Hoffentlich wurden damit einige deiner Fragen beantwortet :)



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

    Danke erstmal soweit aptitude hab ich auch gerade gefunden scheint ganz ok zu sein (zumindestens hat es gereicht um VNC zum laufen zu bringen).


    Wegen VPN-Tun-Device werde ich erstmal noch warten das kann ich ja immer noch beantragen wenn mein Provider mal wieder auf dem Alles-außer-WWW-Limitierungstrip ist.


    Hm Traffic-mäßig muss ich wohl mal schauen das ich es nicht übertreibe sonst komm ich zu den bösen Jungs ;)

    Zitat

    zumindestens hat es gereicht um VNC zum laufen zu bringen

    Öhm, ich hoffe für dich, dass VNC bei dir nicht öffentlich erreichbar ist (nur per Tunnel o.ä.) und du VNC nur für explizite Anwendungen wie "Überall-Office" benutzt und ansonsten fit mit der Command-Promt (SSH) bist?!
    So ein Standard-VNC ist _das_ Sciherheitsloch schlechthin: max. 8-stelliges Passwort, Plain-Übertragung, keine Sicherheitsfeatures...
    Außerdem kann man einen Server nicht per grafischer Oberfläche administrieren. Ein Linux-Server ist kein Home-Windows!


    PS: Bitte jetzt nicht als Anpflaumen verstehen. Das Problem ist, dass z.B. 95% des Email-Traffics Spam ist und der Spam fast ausschließlich von "gehackten" Servern, dessen Administrator die Materie nicht beherrscht, stammt. Von dem Risiko für dich ganz zu schweigen. Denn rate mal, wer dran ist, sollte wer deinen Server "hacken" und Kinderpornos darauf packen...

    Mein Server:
    v(olks)Server 1. Serie: 2,5GHz, 1024MB RAM, 1024MB Swap, 2x60GB-Raid1-HDD, Traffic-Flat
    Node:
    78.46.117.9x | hos-tr2.ex3k4.rz7.hetzner.de

    Ich benutze den VNC nur weil ich einige Anwendungen habe die eben nur über ne grafische Oberfläche bedienbar sind bzw. wo es keine Konsolen-Programme gibt die den nötigen Funktionsumfang haben, administriert wird er ganz normal über Putty/SSH. Das mit dem nur 8-stelligen Passwort hab ich allerdings auch beim einrichten festgestellt, da werde ich wohl besser noch was drüber stülpen.

    Zitat von orpheus;11334

    Ich benutze den VNC nur weil ich einige Anwendungen habe die eben nur über ne grafische Oberfläche bedienbar sind bzw. wo es keine Konsolen-Programme gibt die den nötigen Funktionsumfang haben, administriert wird er ganz normal über Putty/SSH. Das mit dem nur 8-stelligen Passwort hab ich allerdings auch beim einrichten festgestellt, da werde ich wohl besser noch was drüber stülpen.


    Das beruhigt mich ungemein.
    Ich muss zugeben, dass ich mir auch (das erste Mal allerdings) den Frevel erlaubt habe, ne minimale grafische Oberfläche mit VNC zu installieren. Der Grund ist ähnlich.


    Zum Absichern vom VPN:
    (1) VPN mit unprivilegiertem User starten.
    (2) VPN-Ports per Firewall blockieren
    (3) Benutzer mit Passwort oder noch besser Zertifikate und Tunnelberechtigung anlegen und auf /bin/false-Bash legen
    (4) Per SSH einen Tunnel ohne Shell (da sonst Kick) mit dem Tunnelbenutzer starten, dabei 5900 auf den geblockten VPN-Port umleiten.
    Wenn du das so machst, sollte eig. alles sicher sein. Berbindung ist verschlüsselt (durch SSH-Tunnel) und kann nur hergestellt werden, wenn man einen gültigen Benutzer mit Tunnelberechtigung hat (sehr viel mehr Stellen im Passwort bzw. Zertifikate). Außerdem hat der VNC-Server keine root-Rechte. Sollte passen, so ist es bei mir.

    Mein Server:
    v(olks)Server 1. Serie: 2,5GHz, 1024MB RAM, 1024MB Swap, 2x60GB-Raid1-HDD, Traffic-Flat
    Node:
    78.46.117.9x | hos-tr2.ex3k4.rz7.hetzner.de

    Zitat von orpheus;11334

    Ich benutze den VNC nur weil ich einige Anwendungen habe die eben nur über ne grafische Oberfläche bedienbar sind bzw. wo es keine Konsolen-Programme gibt die den nötigen Funktionsumfang haben, administriert wird er ganz normal über Putty/SSH. Das mit dem nur 8-stelligen Passwort hab ich allerdings auch beim einrichten festgestellt, da werde ich wohl besser noch was drüber stülpen.


    Wenn Du eh PuTTY nutzt, dann schalte das X-Forwarding ein und verwende einen X-Server. Unter CentOs tut es

    Code
    yum install xterm xorg-x11-xauth yumex libgnome liberation-fonts

    Mit apt-get sollte das ähnlich sein.


    Falls Du Windows verwendest: http://sourceforge.net/projects/xming/ funktioniert prima. Schon kannst Du alle X-Anwendungen laufen lassen. Also auch synaptic oder yumex.


    Hast Du beides am Laufen, startest Du ganz normal PuTTY und kannst X-Anwendungen starten, die den Screen bei Dir nutzen. Und abgesichert ist es auch.


    Gleichzeitig solltest Du auch FTP abklemmen und stattdessen SFTP verwenden. Dafür gibt es Tools wie SFTP4TC + TotalCommander, WinSCP, ...


    Und als letztes: Passwort durch public key ersetzen (puttygen) - und pageant (Zwischenspeicher für den private key) laufen lassen. Schon brauchst Du nie mehr das Kennwort zu verwenden. Und wenn alle Benutzer einen key verwenden, kannst Du in der SSHD_CONFIG mit

    Code
    PasswordAuthentication no

    Kennwort abschalten, schon interessieren Dich irgendwelche Möchtegern-Kennwort-Ausprobier-Angreifer nicht mehr.


    Sicher ist sicher.


    Bebbo

    Zitat

    Kennwort abschalten, schon interessieren Dich irgendwelche Möchtegern-Kennwort-Ausprobier-Angreifer nicht mehr


    Mal ne Frage dazu:
    Ich bin ehrlich gesagt zu faul, meine Zertifikate zu jedem Rechner mitzuschleppen, von dem ich mal eben auf meinen Server will (Freundin, Vater (geschieden), Kumpels, Uni-Rechner...).
    Daher habe ich mich für folgene "Sicherheiten" entschieden:
    (1) SSH auf 5-Stelligem Port (für dumme Scan-Bots mit BruteForce)
    (2) DenyHosts, damit BruteForce nicht möglich ist
    (3) Die genaue Anzahl sag' ich jetzt nicht, aber es sind deutlich mehr als 20 Zeichen (Buchstaben, Zahlen, Sonderzeichen) im Passwort.


    Das sollte doch reichen, oder?
    Ich weiß, dass alle auf Zertifikate schwören - zu recht.
    Aber meine Lösung sollte doch praktisch auch unangreifbar sein, oder?

    Mein Server:
    v(olks)Server 1. Serie: 2,5GHz, 1024MB RAM, 1024MB Swap, 2x60GB-Raid1-HDD, Traffic-Flat
    Node:
    78.46.117.9x | hos-tr2.ex3k4.rz7.hetzner.de


    zu 1) Der Port ist im nu gefunden (außer er ist 6 stellig - kleiner Scherz).
    zu 2) Außer ein BotNetz macht sich an die Arbeit
    zu 3) Solange Du der einzige Benutzer bist


    Und hoffentlich ist auf keinem der vielen Rechner ein KeyLogger installiert.


    Dann lieber ein eigenes Laptop (Netbook) und 'ne UMTS Karte.


    Bebbo

    Zitat

    zu 1) Der Port ist im nu gefunden (außer er ist 6 stellig - kleiner Scherz).
    zu 2) Außer ein BotNetz macht sich an die Arbeit
    zu 3) Solange Du der einzige Benutzer bist


    Und hoffentlich ist auf keinem der vielen Rechner ein KeyLogger installiert.


    Dann lieber ein eigenes Laptop (Netbook) und 'ne UMTS Karte.


    Danke für die Antwort!


    (1) :D Jo, das ist klar. Aber das dauert schon mal gut 3min. Und diese zeit haben die meisten Script-Kiddie-Bots nicht. Die gucken einfach sämtliche IPs mit Port 22 durch. Das meinte ich damit. Klar, dass jeder Honk den Port findet, aber nur, wenn er auch danach sucht ;)
    (2) Jo, das ist klar. Aber selbst dann halte ich es für überaus unwahrscheinlich, dass jemand das PW findet. Wenn der Angreifer systematisch durchgeht und das PW wie beschrieben (mind.) 20 Stellen aus allen ASCII-Zeichen hat, müsste er mind. 256^19+1 Passwörter ausprobieren, um das erste im 20-Stelligen Bereich zu finden. Da mein denyHosts nach 5 Versuchen blockt, macht das schlappe 1,15*10^45 Server im Botnetzwerk. Keine Ahnung, das scheint mir unrealistisch xD
    (3) Ich bin der einzige Benutzer. Ich kenne niemanden, der a) genug Peil besitzt, mit *nix umzugehen und dem ich b) genug vertraue. Das größte Sicherheitsloch ist nach wie vor der Bug zwischen Monitor und Stuhllehne.


    Und nein: Keine Keylogger. Zumindest gehe ich einmal stark davon aus, da ich die Systeme der PCs, von wo ich reingehe, selbst warte (AV, FW, regelmäßig mal Hijacken...).
    An das Netbook habe ich gedacht. Aber wenn ich bei meinem Schatz übernachte, schleppe ich so ein Ding eher nicht mit. Wozu hat sie 'nen Rechner? Und in der Uni: ThinClients haben i.d.R. keine Keylogger.

    Mein Server:
    v(olks)Server 1. Serie: 2,5GHz, 1024MB RAM, 1024MB Swap, 2x60GB-Raid1-HDD, Traffic-Flat
    Node:
    78.46.117.9x | hos-tr2.ex3k4.rz7.hetzner.de

    Bei mir sind es relativ wenige PCs wo ich den Schlüssel installieren müsste, je 2-3 auf Arbeit und zu Hause, hauptsächlich genutzt wird jeweils einer.


    FTP, Apache, POP3, Postfix und Konsorten hab ich bei mir alle ausgeschaltet somit hab ich ne Baustelle weniger um die ich mich sorgen muss.

    Zitat

    FTP, Apache, POP3, Postfix und Konsorten hab ich bei mir alle ausgeschaltet somit hab ich ne Baustelle weniger um die ich mich sorgen muss.


    Hö? In wiefern jetzt. Den Teil verstehe ich nicht.
    Meinst du die ultimative Firewall Marke "Schneid das Kabel durch, dann passiert auch nichts!"?
    Wofür verwendest du den Server denn? Und warum schaltest du Mail-/Webserver aus. Wenn du sie ohnehin nicht brauchst, gehören sie doch gar nicht installiert.

    Mein Server:
    v(olks)Server 1. Serie: 2,5GHz, 1024MB RAM, 1024MB Swap, 2x60GB-Raid1-HDD, Traffic-Flat
    Node:
    78.46.117.9x | hos-tr2.ex3k4.rz7.hetzner.de

    Weil die Dienste im SysCP-Image schon installiert waren. Wenn ich mal wieder Bock hab werde ich das bereits angesprochene Minimal-Image installieren, aber zurzeit läuft es eben mit dem beschnittenen Standard-Image.


    Ich meine das schon so ungefähr wie du das geschrieben hast wenn die Dienste nicht aktiviert sind, muss ich mir auch keine Sorgen über irgendwelche "zu lasche" Konfigurationen und ungepatchte 0-day-Exploits, in Anwendungen die ich so gut wie nie benutze machen.

    Zitat

    Weil die Dienste im SysCP-Image schon installiert waren. Wenn ich mal wieder Bock hab werde ich das bereits angesprochene Minimal-Image installieren,

    Ach so.
    Hmm, das wäre mir iwie unangenehm.
    Ich installiere zum einen alles, was ich brauche, selbst, damit ich weiß, was wie wo läuft, zum anderen würde es mich iwie stören, wenn da massig Software installiert ist, die gar nicht benutzt ist. ;)


    Ich muss auch sagen, dass ich von sysCP nicht sooo viel halte. Ich persönlich finde die Weboberfläche tatsächlich um einiges komplizierter als eine schön aufgeräumte apache-Config. Natürlich nur, wenn man allein vHosts anlegen darf. Naja, ist jedem selbst überlassen ;)

    Mein Server:
    v(olks)Server 1. Serie: 2,5GHz, 1024MB RAM, 1024MB Swap, 2x60GB-Raid1-HDD, Traffic-Flat
    Node:
    78.46.117.9x | hos-tr2.ex3k4.rz7.hetzner.de

    Als ich den VNC-Port (auch für einen eventuell laufenden 2./3.-Server) von außen gesperrt hatte und die ganzen nicht benötigten Dienste aus den Runleveln gekillt hatte, war ich eigentlich der Meinung ein recht sicheres System zu besitzen.
    Nachdem ich allerdings heute morgen nach dem einloggen ein Blick ins netstat geworfen hatte ist mir ganz schön das Herz in die Hose gerutscht.
    Denn es zeigte mir zwei ssh-Verbindungen an (also von zwei IPs) hab dann erst mal hastig die andere IP gesperrt (hoffe mal das ich das richtig hingekriegt hab in der Aufregung), das root-Paswort auf ein 22-stelliges von der Passwort-Karte die wir auf Arbeit nutzen geändert und den Server einmal durchgestartet.
    Ein Blick in die Log hat mir dann allerdings verraten das die IP gar keine Authentifizierung geschafft hatte, sondern bloß versucht hatte sich mit einem (nicht vorhandenen) User anzumelden.


    Noch etwas Lektüre

    Und ein Bildchen
    [Blockierte Grafik: http://www.abload.de/img/netstat-sshpjdf.png]


    Whois war dann auch sehr auskunftsfreudig und konkret wer oder vielleicht auch wessen Server mich denn da besuchen wollte.

    Zitat

    IP Location: Germany Enerpy Gmbh Resolve Host: static.204.104.40.188.clients.your-server.de IP Address: 188.40.104.204 Blacklist Status: Clear

    Wie mir scheint ebenfalls ein Netcup-Kunde (oder zumindestens im gleichen RZ bei Hetzner gehostet) denke damit kann netcup was anfangen.

    Ich würde in dem Falle aber nicht direkt vom schlimmsten ausgehen.


    Sofern er nur versucht hat sich mit dem Benutzer "news" anzumelden, würde ich drauf tippen das jemand einfach ne falsche IP in seinem Script eingetragen hat.


    Weiterhin würde ich dir empfehlen den SSH Port zu verlegen.

    Zitat

    würde ich drauf tippen das jemand einfach ne falsche IP in seinem Script eingetragen hat


    Ich nicht. "News" kommt aus dem Pool wie "admin, web, web0, web1, www, paul, marie, tom, ...". Das sind diese typischen dummen Scan-Bots, die nach irgendeinem Hirnrissigen suchen, der Login ohne Passwort aktiviert hat und einen solchen Benutzer hat.
    Nichts, worüber man sich Gedanken machen muss.


    Zitat

    Weiterhin würde ich dir empfehlen den SSH Port zu verlegen.


    /signed! Dann hast du Ruhe vor solchen Scripts.

    Mein Server:
    v(olks)Server 1. Serie: 2,5GHz, 1024MB RAM, 1024MB Swap, 2x60GB-Raid1-HDD, Traffic-Flat
    Node:
    78.46.117.9x | hos-tr2.ex3k4.rz7.hetzner.de

    Zitat von Servior;12414

    Ich würde in dem Falle aber nicht direkt vom schlimmsten ausgehen.


    Sofern er nur versucht hat sich mit dem Benutzer "news" anzumelden, würde ich drauf tippen das jemand einfach ne falsche IP in seinem Script eingetragen hat.


    Weiterhin würde ich dir empfehlen den SSH Port zu verlegen.


    Da vorher schon versucht wurde sich mit diversen anderen Usern anzumelden kann man ein Versehen ausschließen.


    Das mit dem SSH-Port hab ich mir gestern schon überlegt und werde es ggf. gleich mit nem Key kombinieren.

    Woran könnte es eigentlich liegen das nmap High-Ports findet zu denen es keine Dienste gibt (laut lokalem netstat/lsof).


    Edit: Mit nmap -A steht rpcbind als Service dabei allerdings läuft eigentlich kein rpcbind bei mir.