Guten Tag, ich bin noch recht ein neuling inbezug auf Root Server. Ich hatte davor ein Webhosting Packet mit Domains bei einem anderen Anbieter und 2 Gameserver. Um alles unter einem Hut zu haben habe ich mir einen Root zugelegt.
Angefangen hatte ich mit einer fertig Image Debian Jessy plus Froxlor. Die erste Einrichtung lief super nur das alles sehr veraltet war. (php5 u. froxlor). MySQL hatte ich für externe Zugriffe möglich gemacht. Und die Passwörter waren die Standart Passwörter aus der fertig Image. Nachdem alles eingerichtet war so wie auch der Domain Umzug und DNS Einstellungen bemerkte ich im /var/log in der ssh log unbekannte Zugriffs versuche von IPs die nicht von mir sind so wie auch in der Mail.log und machte mir etwas Sorgen um die Sicherheit mit dem was ich mache. Kurz und knapp habe ich mich im Internet durchgelesen wie man einen Root sichert und damit besser umgehen tut.
Ich habe den root mit minimal installation neu aufgesetzt 'Debian Stretch' das root passwort geändert auf 32stellig mit Sonderzeichen so wie groß und klein Buchstaben und Zahlen. Ich habe danach das OS auf dem neusten Stand gebracht so wie auch fail2ban installiert und konfiguriert sprich ab 3 Fehlersuche wird die IP für 1 Monat gebannt und ich werde per Email benachrichtigt. Die Überwachung läuft auf sshd. Danach habe ich php7 so wie apache2 proftp postfix MySQL installiert. MySQL läuft diesmal nur local ohne externe Zugriffe. MySQL Dienst natürlich auch auf 32stelliges passwort ein anderes wie für ssh root Zugang. Danach habe ich froxlor die neuste Version installiert und alle Dienste eingestellt. Phpmyadmin wurde ebenfalls als letztes installiert und eingestellt. Zum Schluss habe ich einen zweiten ssh angelegt ebenfalls 32stellig und den regulären Root per extern login unterbunden. Sprich ich logge mich über den anderen User ein und Wechsel dann zum Root user somit ist der reguläre root blockiert. Fail2ban läuft nach Tests super und hat auch die 4 Angreifer schon in der block liste seit dem sind die Zugriffe nicht mehr in den logs und die logs sind sauber.
Fail2ban überwacht alle aktiven Dienste ich selbst hatte mich auch schon 3x ausgesperrt ? alternativ könnte ich noch den ssh Port ändern. Meine 2 gameserver laufen nun auch über ein Start Script und der crontab prüft jede 3 Minuten ok die Gameserver laufen, natürlich nicht als root. CPU ist bei 20% wenn beide Server voll sind und RAM unter 1.5Gb used.
Im Nachhinein bin ich froh das ich von der fertig image zur eigenen Installation gewechselt bin auch was die Sicherheit betrifft. Nun aber meine Frage gibt es noch möglichkeiten eines Angriffes oder Sicherheits Empfehlungen die ich vergessen habe oder ausgelassen habe? Oder bin ich trotz der Vorkehrungen auch ein Fall der keinen root haben sollte so wie ich es hier ab und zu lese? Wie gesagt ist das erste Mal das ich mich mit dieser Materie auseinandersetze.