erste Grundabsicherung vServer

  • Hallo,
    ich bin neu hier und habe seit gestern meinen ersten vServer hier bei netcup.
    Ich möchte gleich ein großes Lob loswerden,
    es hat alles super geklappt, Fragen wurde schnell und ausreichend beantwortet !
    (fühle mich gut aufgehoben hier)
    Das Wiki könnte noch ausgebaut werden (u.a. froxlor), aber am besten finde ich das Forum hier:
    sehr umfassend, sehr hilfsbereich, sehr kompetent, super !


    habe mir nun folgenden Fahrplan für eine erste Grundabsicherung des vServer gemacht,
    habt Ihr Ergänzungen, fällt euch noch etwas ein dazu ?

    (Stichworte / links reichen)


    vServer erste Grundabsicherung:


    # root Zugang über SSH sperren (anderen benutzer anlegen / root Login verbieten)
    # SSH Port ändern
    --> Anleitung: (V)Server Grundabsicherung
    #(ggf. public key Verfahren)


    # VCP Firewall sinnvoll konfigurieren (alles sperren außer ...)
    --> Firewall des netcup VCP – netcup Wiki


    # fail2ban einrichten
    --> vServer fail2ban Alternative
    (darin am Ende beschrieben:
    "Fail2Ban / IPTables auf Netcup VServern" (ein script steuert die Firewall im VCP)
    --> Fail2Ban / IPTables auf Netcup VServern - n-durch-x )



    # was ist mit weiterer Sicherheitssoftware ?:
    chkrootkit
    rkhunter
    clamAV
    was benutzt Ihr ? Was "geht" überhaupt auf einem vServer ?


    # was ist eigentlich mit dem froxlor-zugang ?
    (ist das nicht auch recht unsicher bzgl. automatisierte (bot) Angriffe)
    kann man den irgendwie auf bestimmte IP's beschränken (nur erreichbar von ...)
    oder auf einen anderen Port legen,
    oder auf ssl umstellen ?

    Grüße,
    Dirk
    (gekündigt am 06.11.2022, aus Gründen...)

  • Man kann Froxlor, wie auch alle anderen "Dienste" die per http erreichbar sind, z.B. per htaccess limitieren, seien es die Zugriffe von definierten IPs oder resolve Hosts.


    Froxlor könnte man auch, z.B. mit nginx über einen eigenen Port laufen lassen, oder einen InsProxy etc... Da gibt es durchaus viele Möglichkeiten.


    SSL kann man natürlich auch nutzen ;)

  • habe jetzt am ersten Tag schon ständig logs wie

    Code
    Feb 16 06:32:36 v2201202115737486 sshd[12184]: reverse mapping checking getaddrinfo for cpe-186-19-156-206.telecentro-reversos.com.ar [186.19.156.206] failed - POSSIBLE BREAK-IN ATTEMPT!
    Feb 16 06:32:36 v2201202115737486 sshd[12184]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=186.19.156.206  user=root


    aber das ist wohl normal ...


    muss/kann ich auch noch woanders schauen als unter "/var/log" ?


    die http-sachen sind doch alle unter "/var/log/apache2" zu finden,
    oder hat jedes Kundenweb später noch seine eigenen logs ("/var/customers/logs" ist derzeit leer) ?


    (unter CentOS und plesk war das irgendwie bisschen anders...)


    ----
    habe ich das richtig verstanden, dass dieses o.g. "Fail2Ban"-script die Firewall hier im netcup VCP "steuert" (d.h. um Einträge ergänzt) ?
    (kann mir dass irgendwie nicht so richtig vorstellen)

    Grüße,
    Dirk
    (gekündigt am 06.11.2022, aus Gründen...)

  • habe jetzt am ersten Tag schon ständig logs wie


    Das würde ich als ganz normales Grundrauschen abtun. Solang' du den direkten root-login verbietest ist das kein Problem. Noch besser ist es, wenn du den login nur per Keyfile erlaubst, dann kann dir das nämlich egal sein. Wenn du diese Einträge dann aus den Logs haben willst, dann verschiebst du den Port für SSH auf einen anderen. (Das ist allerdings KEIN Security-Feature, 5 Minuten und man hat den Port wieder, hilft allerdings gegen automatisierte Angriffe.)


    muss/kann ich auch noch woanders schauen als unter "/var/log" ?


    In /var/log liegen alle nötigen Logs, die du brauchst.


    die http-sachen sind doch alle unter "/var/log/apache2" zu finden,
    oder hat jedes Kundenweb später noch seine eigenen logs ("/var/customers/logs" ist derzeit leer) ?


    Du kannst für jeden "Kunden" oder vHost einen eigenen Log-Pfad einstellen. Das geht bestimmt auch mit $admin_tool. Wenn nicht, dann ist das Tool mist. ;)


    habe ich das richtig verstanden, dass dieses o.g. "Fail2Ban"-script die Firewall hier im netcup VCP "steuert" (d.h. um Einträge ergänzt) ?


    Standardmäßig steuert fail2ban iptables an. Da iptables hier auf den vServern nicht verfügbar ist, gibt es modifikationen, die die hosts.deny-Datei ansteuern, alternativ auch die Firewall im VCP.