Server Sicherheit

  • Hay,

    Um mal ehrlich zu sein habe ich 0. Sicherheitsvorkehrungen getroffen, ich habe dasselbe passwort für root und hauptnutzer und sudo geht ohne passwort, mir ist trotzdem nie was passiert

    Den meisten Leuten passiert es auch nur so lange nicht, bis es halt mal passiert (so wie z.B. auf der Titanic... Kapitän: Huch, ein Eisberg? Noch nie passiert. Zu wenige Boote? Haben noch nie mehr gebraucht! Schiff sinkt? Noch nie passiert) ... einmal reicht :D


    CU, Peter

  • Hay,

    Den meisten Leuten passiert es auch nur so lange nicht, bis es halt mal passiert (so wie z.B. auf der Titanic... Kapitän: Huch, ein Eisberg? Noch nie passiert. Zu wenige Boote? Haben noch nie mehr gebraucht! Schiff sinkt? Noch nie passiert) ... einmal reicht :D


    CU, Peter

    Naja hoste ja nur meine Websiten darauf, viel privates ist da ja auch nicht, außerdem kann ich ja dank des SCP alles sehr schnell neuinstallieren

  • Um mal ehrlich zu sein habe ich 0. Sicherheitsvorkehrungen getroffen, ich habe dasselbe passwort für root und hauptnutzer und sudo geht ohne passwort, mir ist trotzdem nie was passiert

    Mir ist es passiert. Und zwar in der ersten Nacht nachdem ich mein erstes Linux installiert habe. Seither gehören gewisse Schritte zum Standard.


    Seither gab es nichts mehr dergleichen aber zweimal die Weiterleitung einer Mail vom Bundesamt für Sicherheit in der Informationstechnik (BSI) wegen einem offenen Port für Netbios und einem offenen DNS Resolver. Beide Probleme hatte ich entdeckt und schon gelöst, bevor die Mail vom Provider an mich weitergeleitet wurde.


    In der Regel weiss ich sehr genau, was auf meinen Systemen installiert ist. Trotzdem mache ich, insbesondere nach der Installation neuer Software, immer wieder mal einen Check der Ports. Im Falle des Netbios-Vorfalls war es so, dass eine Backup-Software, die ich installierte, Python und CIFS mitinstallierte. Das war mir nicht bewusst. Ich habe es aber bei einem netstat nach der Installation bemerkt und sofort behoben.


    Ich verzichte aber auf komplizierte iptables und Firewall Konstrukte, die höchstens ein Experte versteht, wenn es eine UFW auch tut. Zu verstehen, warum etwas ist, wie es ist, ist mir eh immer wichtig. Ansonsten komme ich spätestens kurz nach der Installation nur mit Keys auf meine externen Systeme und die Keys sind auch noch Passwort-geschützt.

  • Naja hoste ja nur meine Websiten darauf, viel privates ist da ja auch nicht, außerdem kann ich ja dank des SCP alles sehr schnell neuinstallieren

    Und auf die Idee, dass Dein Server gekapert und für andere Dinge missbraucht werden kann kommst du nicht, oder?

    Ich habe hier regelmäßig Zugriffe auf nicht existierende Verzeichnisse, die mal eben "testen" ob mein Webauftritt verwundbar ist.
    Komischerweise kommen viele Zugriffe von IP-Adressen, auf denen normale Webseiten laufen wie z.b. die einer freiwilligen Feuerwehr oder eines Herstellers von Dichtungsringen.

    Nur weil Du Dich sicher fühlst, muss es nicht der Fall sein.

  • Und auf die Idee, dass Dein Server gekapert und für andere Dinge missbraucht werden kann kommst du nicht, oder?

    Ich habe hier regelmäßig Zugriffe auf nicht existierende Verzeichnisse, die mal eben "testen" ob mein Webauftritt verwundbar ist.
    Komischerweise kommen viele Zugriffe von IP-Adressen, auf denen normale Webseiten laufen wie z.b. die einer freiwilligen Feuerwehr oder eines Herstellers von Dichtungsringen.

    Nur weil Du Dich sicher fühlst, muss es nicht der Fall sein.


    Das kann ich so auch von mir bestätigen, solche Zugriffe habe ich z.B. auch - und davon nicht zu wenig.


    Damals als ich bei einem anderen Hoster meinen ersten vServer hatte, hab ich mir zu dem Thema auch nichts gedacht. Dann hab ich nach etlicher Zeit zufällig mal in die Logs geschaut, und gesehen, dass diverse Leute aus u.A. Russland, den USA und div. asiatischen Ländern (soweit die IP zurückzuverfolgen war) mein root Passwort per Bruteforce geknackt hatten. (PermitRootLogin = yes, fail2ban = Gesundheit?, SSH Port = 22, Passwortstärke = Kartoffel)

    Zum Glück ist nichts passiert, aber ich glaube das wäre nur eine Frage der Zeit gewesen. Heute sichere ich meine Server vernünftig ab, damit ist die Wahrscheinlichkeit sehr gering, dass etwas passiert.
    Es geht weniger darum sich selbst zu schützen, sondern andere zu schützen. So ein Server kann schnell zu einer Waffe im Internet werden, wenn die falschen Leute Zugriff darauf haben.


    Also: lieber vorbeugen, als nach hinten umfallen. ;)

    VPS 1000 G8 Plus | VPS 200 G8 BF | VPS 500 G8 | Odroid XU4Q


    Wer im Netz Anstand und Respekt verliert, ist auch im realen Leben für nichts zu gebrauchen! ;)

  • Kann ich so bestätigen. Bei mir ist zwar noch nichts passiert, aber ich erinnere mich gerade an die Kisten von DigitalOcean und Linode. Es dauert keine 30sec nachdem die Kiste online ist und es komme die ersten Login Versuche aus China und Russland. Musste zwischenzeitlich sogar mal die Mail Settings für Fail2Ban ändern, da ich eines Morgens knapp 500 Mail reports hatte mit gebannten IPs und whois Records. 90% davon von chinesischen Schulen und Hochschulen...

  • Es geht weniger darum sich selbst zu schützen, sondern andere zu schützen.

    Man bedenke hier zudem, dass wenn andere erstmal betroffen sind und ggf. einen Schaden davon tragen, das ganze wieder auf einen selber zurückfällt. Es ist immer noch der eigene Rootserver für dessen Absicherung man selber verantwortlich ist. Geht etwas schief, haftet man.

    außerdem kann ich ja dank des SCP alles sehr schnell neuinstallieren

    Du solltest eher daran denken, was dein Server (unter der Kontrolle des Angreifers) eventuell woanders an Schaden angerichtet hat. Wie oben beschrieben bist du für diesen verantwortlich, das kann mitunter rechtliche Konsequenzen einschließen.

    Außerdem: In der Zeit, in der du einmal den Server neuinstallierst, kannst du genau so gut die wichtigsten Sicherheitsvorkehrungen treffen, das musst du dann auch nur einmal.


    Es mag eventuell ein wenig zeitaufwändig sein (wenn man sich nicht dumm anstellt, ist es das nicht), aber man sollte sich lieber jetzt mit der Absicherung seines Servers befassen, als später mit den Konsquenzen. Ist angenehmer.

  • Falls du eine findest, wäre es nett wenn du sie hier teilen würdest. Danke! :)

    Natürlich. Auf Anhieb habe ich leider nur die drop liste von spamhaus.org gefunden. Man muss bei IPv6 halt möglichst immer ganze Adressräume sperren. Wenn ich über mehr stolpere teile ich es :thumbup:.

    Um mal ehrlich zu sein habe ich 0. Sicherheitsvorkehrungen getroffen, ich habe dasselbe passwort für root und hauptnutzer und sudo geht ohne passwort, mir ist trotzdem nie was passiert

    Bei meinem Raspberry zu Hause, den man nicht von extern erreichen kann, ja. Aber ein Server im Netz... das ist mir zu heikel und mir geht es dabei nicht um den Verlust von Daten sondern eher darum, für welche illegalen Zwecke man den Server nutzen könnte, der auf >meinen< Namen registriert ist.


    Wie 03simon10 schon geschrieben hat, es ist keine Arbeit alles einzurichten. Ich würde allerdings hinzufügen "wenn man erst einmal verstanden hat, welche Schritte was bewirken und wieso nötig sind".

  • Man muss bei IPv6 halt möglichst immer ganze Adressräume sperren

    das ist dem Umstand geschuldet, daß man als kleinsten zu vergebenden Bereich einen /64-Prefix bekommt;

    daher sperrt man bei IPv6 auch ganze /64-Netze und keine einzelnen IPv6-Adressen;

    Grüße / Greetings

    Walter H.


    RS 1000 [SAS G8 xRAM/SSD G8], VPS [200 G8 Akt./1000 G8 Plus], Webhost. 1000 m. 75%

    RS [2000 G7SE/1000 G7SE/500 G8] jew. SAS; VPS 100 G7