Kaufberatung - Server

  • Aktuell hoste ich ca. 10 Websites hier bei netcup - wenn es um PCs geht bin ich ambitionierter Anwender.


    Jetzt liebäugel ich mit einem VPS (oder Root-Server?) zum Betrieb der Websites, plus MySQL Datenbank für meine Praxissoftware und ggf. weiteren Datenbanken meiner Supportkunden, plus Cloudlösung für dienstl. Dokumente. Wie schnell ist die Datenbankanbindung - wie im Heimbetrieb?


    Wie läuft das mit einem Server? Stehen verschiedene Betriebssysteme zur Auswahl? Was ist mir Antivir-Software und allem anderen was auf so einem Teil laufen muss.


    Mich reizt das Thema, bin aber noch ziemlich unbeleckt, wenn es um VPS oder RS geht?


    Gibt es ein Tutorial für die netcup Angebote?


    Fragen über Fragen....:saint:

  • Bei einem VPS bzw. RS bist Du halt selbst für alles verantwortlich! Du musst ein Betriebssystem installieren, konfigurieren und mit Updates versorgen. Gleiches gilt für alle Dienste wie z.B. einem Web-/Datenbankserver. Das erfordert tiefgreifendes Wissen, eine GUI unter Linux/Windows bedienen zu können, ist meistens zu wenig als Voraussetzung. Irgendwelche Tutorials blind abzuarbeiten ist genauso nicht empfehlenswert.


    Hast Du bisher schon Erfahrung mit der Administration von Serverdiensten gesammelt? Zum Beispiel in einer VM Zuhause (VirtualBox & Co.) oder mit einem Raspberry Pi? Falls nicht, würde ich den Schritt zu einem (Unmanaged) Server derzeit eher nicht empfehlen. Wenn die Leistung der Webhostingpakete nicht ausreicht, gibt es auch passende Managed Angebote: https://www.netcup.de/professi…managed-privateserver.php

  • Fangen wir mal vorsichtig an: Kannst du Linux und kennst du dich mit SSH aus?

    Einen Windows Server möchte man eigentlich gerade als Anfänger nicht haben, da ist Linux -imho- deutlich einfacher und sicherer.

    Antivirensoftware gibts für Linux auch nicht (quasi) weil es halt auch (quasi) keine Viren gibt.

    Das wichtigste worauf du achten musst ist dass jedes Programm was irgendwie von außen erreichbar ist abgesichert ist. Das fängt bei einem SSH Server mit sehr starken Passwörtern (oder nur key authentifizierung!) an und hört natürlich auch nicht beim Mysql auf, der am besten von außen nicht erreichbar sein sollte. Einen Mailserver willst du dir erstmal sicher nicht antun und auch sonst sollte dir klar sein dass ein Server, egal wie klein, im Internet begehrtes Freiwild ist. Tausende Passwörter die ausprobiert werden und hunderte Webseitenlinks dir gesucht werden sind absolut normal.


    Und, achja, denk erstmal nicht dran eine Klickibunti grafische Oberfläche zu installieren. Ein Server sollte so schlank wie nötig sein und eine grafische Oberfläche erhöht nur die potentielle Angriffsfläche. Die Kommandozeile sollte dein Freund sein!

  • Praxissoftware? Welche Richtung? Von der fachlichen Seite mal abgesehen, wie sieht es von der rechtlichen Seite aus? Wie wird der Datenschutz gewährleistet? Das gleiche gilt halt natürlich auch für Supportkunden. Wenn du noch unbefleckt bist, finde ich das Unterfangen schon etwas kritisch.

    Wie hoch muss die Verfügbarkeit sein? Was ist, wenn der Server oder die Internetverbindung für 1,2,3 Stunden oder ganzen Tag weg ist?

  • Eventuell wäre sowas wie keyhelp ganz gut für den Anfang. Von Haus aus ist es meiner Meinung nach ganz gut abgesichert (natürlich nur mit sicherem SSH-Passwort oder key-auth) und es meldet auch, wenn Updates installiert werden müssen.


    So könntest du schon mal Webseiten hosten, hättest eine Datenbank und einen Mailserver. Kundenzugänge sind damit auch einfach zu verwalten.

    VPS 500 G8 Plus | VPS Karneval 2020 | Webhosting EiWoMiSau


    Dieses Gebäude hat mir die Vorfahrt genommen! *hup*

  • "Quasi" – ClamAV ist nicht ganz schlecht… und gehört meiner Meinung nach zusammen mit Lynis (Audit-Werkzeug) zu jeder Installation.

    Bei ClamAV gibt es noch die "unofficial signatures" die weit aus mehr finden als der Offizielle Build, mit ClamAV kannst du täglich den Linux Server durchsuchen und er durchsucht auch Webspace Files und Emails die im IMAP Server liegen nur so am rande erwähnt.


    Ich würde dir empfehlen das du dir einfach einen VPS mietest ohne Mindestlaufzeit und dich dann erst einmal mit der Sicherung beschäftigst und dich mit der oberfläche auseinander setzen tust step by step und später kommt dann webspace und co dazu. Niemand lernt es nur durch Bücher lesen, du solltest Praktisch anfangen und dich dann dadrin step by step weiterbilden. Aber halt anfangen dich reinzulesen bezüglich Sicherheit und nicht gleich auf Punkt 9 springen und alles nach lust und laune installieren mit der hoffnung das wird schon gut gehen. Fang mit einem VPS an und dann lernst du es step by step, selbst ohne ahnung von der materie kannst du es erlernen. Und wenn du es gleich richtig machen willst dann hälst du deinen VPS "leicht" und installierst nicht gleich irgend welche Interface Panels nur weil es leichter ist.Dann lerne es gleich von anfang an und verwende nur das was du auch benötigst ohne irgend welche Open Source Panels.


    Viele sagen gleich wenn man davon keine ahnung hat dann sollte man es lassen, ohne es zu probieren kann man es auch nicht lernen, du brauchst keinen Doktor Titel um dir dieses wissen anzueignen einfach nur mut haben :-)

  • Sehe ich genauso Primeas .

    Finde es nicht ganz verkehrt ein Panel zu nutzen, wenn man wirklich gar keine Ahnung hat,

    aber da ist der Lerneffekt schlichtweg 0, von der Unübersichtlichkeit ganz zu schweigen.

    Natürlich kann man jetzt argumentieren, dass die ganzen Services der Sicherheit dienen, blablabla.


    Aber lieber nutze ich nur 5 Services die ich vernünftig einrichten und administrieren kann,

    anstatt mich voll und ganz auf ein Interface zu verlassen. Das ist falsche Sicherheit.


    Für dein Vorhaben brauchst du vermutlich ohnehin nur MariaDB, NGINX und PHP-FPM.

    Bezüglich "Praxissoftware" schicke ich dir gleich mal eine Nachricht.


    Das größte Problem in Sachen Sicherheit sind unsachgemäß konfigurierte Dienste, wie z.B. SQL Server,

    welche nach außen hin erreichbar sind oder NGINX mit root, anstatt www-data, usw.

    Natürlich geht auch eine gewisse Gefahr von den Skripten als solches aus, jedoch ist das Risiko gering, insofern man besagtes Backend sauber eingerichtet hat.


    Ich habe die letzten 6 Jahre nicht mal mehr eine Firewall eingerichtet.

    ClamAV installiere ich auch nur noch bedarfsweise bzw. ist zumindest Standard für meinen Mailserver (Mailcow).

    Selbst PermitRootLogin kann einigermaßen sicher sein, wenn das Passwort vernünftig gewählt ist, siehe:

    https://howsecureismypassword.net/

    Natürlich ist das verwenden von Keys noch besser, aber wer auf Nummer sicher gehen will, kann auch einfach 2FA zusätzlich einrichten.


    Das soll jetzt nicht heißen, dass das meiner Meinung nach die "Best-Practices" sind - was ich damit sagen möchte:

    Das Einfallstor für Sicherheitslücken sind heute eher die Anwender und Administratoren selbst.

    Was wenn du eine dubiose Mail erhältst, den Anhang öffnest und dadurch einen RAT ausführst, welcher dir deine Keys stiehlt?

    Oder ein Keylogger der mitliest?

  • Ich würde dir empfehlen das du dir einfach einen VPS mietest ohne Mindestlaufzeit und dich dann erst einmal mit der Sicherung beschäftigst und dich mit der oberfläche auseinander setzen tust step by step und später kommt dann webspace und co dazu. Niemand lernt es nur durch Bücher lesen, du solltest Praktisch anfangen und dich dann dadrin step by step weiterbilden…..

    Also direkt OP am offenen Herzen und wenn alles gut geht, hat jemand den Server direkt gekapert?

    Warum nicht einfach vorher sich mal mit einer VM lokal beschäftigen was man da überhaupt macht?

  • Auch wenn die Seite echt Safe scheint: Ich würd trotzdem kein echtes Passwort auf irgendeiner Website eingeben :-)

    Die Seite dient einfach dazu eine Vorstellung davon zu bekommen, wie sicher Passwörter ab einer bestimmten Länge bzw. Kombination mit bestimmten Zeichen sind.


    alhazred er kann erstmal üben und schauen, ob er die Dienste einrichten kann. Solange man jetzt nicht gerade auf die Idee kommt MariaDB außerhalb von localhost zu betreiben, wird da eher wenig passieren.


    Nach der "Probezeit" würde ich die Maschine einfach platt machen und nochmal sauber aufsetzen.


    Mit Lynis, wie von m_ueberall empfohlen, kann man dann auch nochmal einen groben Überblick über die eigene Maschine kriegen.

  • alhazred er kann erstmal üben und schauen, ob er die Dienste einrichten kann. Solange man jetzt nicht gerade auf die Idee kommt MariaDB außerhalb von localhost zu betreiben, wird da eher wenig passieren.


    Nach der "Probezeit" würde ich die Maschine einfach platt machen und nochmal sauber aufsetzen.

    Also OP am offenen Herzen und nichts anderes. Die Kiste hängt mit einem 1GB (oder haben die neuen nicht 2.5GB Anbindung?) direkt am Netz und da soll er dann üben. Da meint man, ich kann in der pam.d ja auch mal schauen und schups braucht man kein Passwort mehr.
    Warum nicht erst einmal in einer lokalen VM anfangen. Da kann man generell mal schauen, wie funktionieren die Dienste, wie richte ich iptables/nftables ein, wie verhindere ich Passwort Auth bei ssh usw.

    Testen kann man das auch direkt vom Hostsystem aus.

  • Also OP am offenen Herzen und nichts anderes. Die Kiste hängt mit einem 1GB (oder haben die neuen nicht 2.5GB Anbindung?) direkt am Netz und da soll er dann üben. Da meint man, ich kann in der pam.d ja auch mal schauen und schups braucht man kein Passwort mehr.
    Warum nicht erst einmal in einer lokalen VM anfangen. Da kann man generell mal schauen, wie funktionieren die Dienste, wie richte ich iptables/nftables ein, wie verhindere ich Passwort Auth bei ssh usw.

    Testen kann man das auch direkt vom Hostsystem aus.

    Nein so meinte ich es nicht, er schrieb das er sich die Materie anschauen möchte und sich damit beschäftigen möchte. Das sagt mir das er nicht wild drauf los geht und alles per copy past macht und fertig ist das ding. Ich meinte es so das er step by step sich ein thema nimmt die erfahrung praktisch ausübt und abends noch etwas da drüber durchlesen tut was er am nächsten tag wieder ausprobiert. Probieren geht über Studieren, so ist es bei nem Praktikum, zuerst rein schnuppern und dann bilden wenn es das ist was er möchte. Gegen eine VM spricht nichts dagegen jedoch kann er auch gleich richtig anfangen und bei fehlern wird die kiste halt neu installiert solange bis er den dreh raus hat, bei jedem reinstall der kiste lernt man immer dazu und verbessert etwas am setup und ganz im ernst, niemand spielt snapshots rauf weil wozu sollte man vorhandene fehler wieder rauf spielen wenn man ganz einfach ein sauberes setup erneut durchführt. Und wenn er 30x neu installiert hat sagt das nicht aus das er zu dumm sei dafür sondern einfach das er immer noch die ausdauer und den willen hat es zu lernen und bei jedem versuch macht man es besser. natürlich kann er auch panels benutzen aber wenn man panels benutzt mit nem installer drin der dir copy past textbausteine gibt so lernt man es nie wie man zb. einen mailserver aufsetzen tut. Wer copy past betreiben möchte kann auch normales Webhosting mieten.


    Der erste punkte bei ihm wäre gleich auf Debian zu gehen da es komplexer ist und für erfahrene benutzer und sich die ersten 3 tage mit SSH sicherung firewall fail2ban zu beschäftigen und dazu die filter selbst zu testen, ich meine... es gibt niemanden der sich nicht mal selbst in SSH ausgesperrt hat und diese erfahrung sollte jeder mal gemacht haben :-D, im prinzip hat jeder der mit linux anfing sich schon ausgesperrt, fehler gemacht und zig mal neu installiert, der weg ist nicht einfach und leicht. wenn er dadran scheitert und die lust verliert dann ist es wie es ist dann bleibt er beim webhosting von webspace. Scheitert er jedoch nicht und bleibt am ball dann weiss er spätestens in 3 monaten wieviel arbeit es ist ein eigenes system zu betreiben und er wird es lieben.


    Es fühlt sich doch so schön an die eigene kiste neu zu installieren, das ist wie der geruch eines Neuwagens :-D, hält jedoch nur die ersten Minuten haha


    Fazit ist, Teste mit einer VM oder gleich ein VPS der kostet ja kaum was und lern es gleich richtig. Alleine wenn er schon SSH2 sichert und keine dienste nach aussen verwendet bis er sich eingearbeitet hat dann kann auch nix passieren. Die mysql sollte generell nur local laufen, bis man sie für externe zwecke verwenden möchte hat man schon das ABC abgearbeitet und weiss wie man es sichern muss.


    Und wenn er es gleich richtig Hardcore braucht dann macht er das ganze an einem Dedicted und lernt auch noch gleich das Mounten von HDDS im raid so wie hdd infos auslesen, geschwindigkeit testen der hdds, lebenszeit und backup system mit rsync aber das wäre fürn anfang zuviel :-)


    Ich tendiere immer zur Kalt Wasser methode, rein ins kalte wasser und zeig was du kannst und dann weisst du selber ob du es drauf hast oder nicht, daher wenn dann richtig und ohne VM :-)

  • 2.5GBits die ich nie erreicht habe.

    Nichts für Ungut, aber die Vorstellung halte ich für stark übertrieben.

    Die bessere Anbindung der G9-Server macht sich bei mir durchaus deutlich bemerkbar, wenn man auf der Gegenseite einen Server hat, der diesen Durchsatz auch erlaubt:

    Hier mal die Speedtests von einem RS 8000 G9 zu einem Testserver mit ebenfalls hoher Bandbreite, stündlich gemessen:

    pasted-from-clipboard.png


    Dass man diese 2 Gbit/s nicht dauerhaft im realen Betrieb hat ist klar, Aber einen merklichen Unterschied zu einem G8-root oder einem VPS hat man durchaus. (Zumindest sind das meine Erfahrungswerte)

  • Die bessere Anbindung der G9-Server macht sich bei mir durchaus deutlich bemerkbar, wenn man auf der Gegenseite einen Server hat, der diesen Durchsatz auch erlaubt:


    Aber einen merklichen Unterschied zu einem G8-root oder einem VPS hat man durchaus. (Zumindest sind das meine Erfahrungswerte)

    Die Erfahrungswerte kann ich teilen. Habe ebenfalls deutlich über 2 Gbps mit einem G9-Server messen können.

  • Nein so meinte ich es nicht, er schrieb das er sich die Materie anschauen möchte und sich damit beschäftigen möchte. Das sagt mir das er nicht wild drauf los geht und alles per copy past macht und fertig ist das ding. Ich meinte es so das er step by step sich ein thema nimmt die erfahrung praktisch ausübt und abends noch etwas da drüber durchlesen tut was er am nächsten tag wieder ausprobiert. Probieren geht über Studieren, so ist es bei nem Praktikum, zuerst rein schnuppern und dann bilden wenn es das ist was er möchte. Gegen eine VM spricht ……


    Ich tendiere immer zur Kalt Wasser methode, rein ins kalte wasser und zeig was du kannst und dann weisst du selber ob du es drauf hast oder nicht, daher wenn dann richtig und ohne VM :-)

    Und was ist nun genau der Unterschied zu einer Lokalen VM? Außer das diese Kiste direkt am Netz hängt und im ungünstigen Fall eine Spamschleuder ist (wollte mal drüber schlafen) und im schlimmsten Fall man morgens von Beamten geweckt wird, weil über den Rechner richtig ekeliges passiert ist (ach ich mache am Montag weiter).

    Wenn man noch keine Ahnung hat, lokal auf einer VM einfach lernen. Da kann man auch direkt mal auch von „außen“ testen ob alles gut geht.

  • aRaphael miss mal mit speedtest-cli.

    Selbst wenn ich zu einem Server mit garantiert 3Gbits messe, erreiche ich die Werte nicht im Ansatz.


    Netcup sichert 1Gbits zu.

    Da bringen die 2,5Gbits Anbindung auch nicht viel, wenn der Host ausgelastet ist.


    Verstehe um ehrlich zu sein auch nicht, was deine Messung hier mit dem Thema zu tun hat. Die wirklich relevanten Antworten hat der TE hier nicht bekommen.


    @allhazred ah genau.

    Wer kennt das nicht?

    Sorry, aber selten so einen Schwachsinn gelesen. In Deutschland haben unsere Beamten gerade mal ne Bambusleitung.


    Nichts für Ungut, aber deine Beiträge sind bloße Panikmache. Gute Administration ist auch für Laien nicht unmöglich, erfordert aber Zeit und Genauigkeit.

    Den TE aber direkt als DAU abzustempeln ist jedenfalls sinnlos.


    Und warum keine lokale VM?

    Ganz einfach - mal dran gedacht, dass TE seine Seiten aus dem Internet erreichen will?

    Stell dir mal vor ein Dienst der nachher unbedingt von außen erreichbar sein muss, ist es später nicht (z.B. aufgrund falscher Firewall Einstellungen).


    Ich bezweifle mal, dass ein Laie sofort die Zusammenhänge vernünftig debuggen kann und dann erst recht mehr Schaden anrichtet.


    Im Endeffekt wird hier so getan als wäre ein Server eine tödliche "Waffe". Könnte man auch über ein Auto behaupten, was man in eine Menschenmenge fährt - nur überleg mal wo du Autofahren gelernt hast.


    Zugegeben, man lernt es in Begleitung und so sollte es auch TE machen. Entsprechendes Angebot habe ich auch gemacht.

    Dürfte sinnvoller sein als Panik zu verbreiten...


    Ich lade nachher noch ein paar Skripte und Konfigurationen hoch. Dann geht da auch nichts daneben.