Server administrieren - wo fange ich an?

    Dieses Mal eine kleine Hardware Frage zu Munin. Ich habe meinen Munin-Master aktuell auf meinem VPS A Ostern 2017 (2 vCore, 1 GB RAM) laufen, welcher sich selbst, einen VPS und einen RS überwacht. Also eigentlich „nur“ drei Instanzen. Eigentlich dachte ich, das reicht vollkommen aus, der CPU langweilt sich auch, aber beim RAM wirds langsam knapp. Man sieht in der RAM-Grafik auch ganz deutlich, wann ich Samstagabend den RS Server zu meinem Munin-Netzwerk hinzugefügt habe. Jedoch kommt am Wochenende ein weiterer RS dazu, und ich bin mir ziemlich sicher, dass es auch in Zukunft eher mehr als weniger Server werden... *seufz*

    Mein erster Gedanke war, meinen Master auf meinen VPS 200 G8 (1 vCore, 2 GB RAM) umzuziehen. Allerdings sind das dann rund 70 % mehr kosten, nur für meinen Munin-Master (statt 1,56 € dann 2,63 €, also 1,07 € mehr).

    Mein zweiter Gedanke war, eventuell von Debian 12 auf ein schlankeres Linux umzusteigen, wenn auf dem Munin-Master sonst nur fail2ban und ufw läuft. Ist das ein verfolgungswürdiger Gedanke, und wenn ja, auf welches Linux sollte ich mich fokussieren?

    Mein dritter Gedanke war, das Forum zu fragen. Wie macht ihr das? Wo läuft euer Munin-Master für wie viele Instanzen? Was braucht man auf Dauer auch an SSD?

    [RS] 2000 G9 | Cyber Quack

    [VPS] 2000 ARM G11 | 1000 G9 | 200 G8 | Secret | A | mikro G11s | 4x nano G11s
    [WH] 8000 SE | 4000 SE | 2000 SE

    Zitat von Bud

    Debian 12 auf ein schlankeres Linux umzusteigen

    Debian ist so ziemlich das schlankste gängige Linux auf dem Markt :)


    Deinem RAM geht es gut, an deiner Stelle würde ich da nicht weiter rumforschen außer du bekommst Probleme.

    VPS Secret • VPS 200 G8 • 4x VPS piko G11s • 2x RS 1000 G9.5 SE NUE • RS Cyber Quack • VPS 1000 ARM G11 VIE

    mail@compi653.net

    Danke 1 Gefällt mir 1

    Haha, nein, kannte ich nicht ^^ Ich hab mich schon gewundert, warum Munin so viel braucht... Danke euch! :)

    Code
    bud@netcup:~$ free -m
              gesamt     benutzt        frei      gemns.  Puffer/Cache   verfügbar
Speicher:        960         292         102           0           721         667
Swap:           1023           0        1023

    [RS] 2000 G9 | Cyber Quack

    [VPS] 2000 ARM G11 | 1000 G9 | 200 G8 | Secret | A | mikro G11s | 4x nano G11s
    [WH] 8000 SE | 4000 SE | 2000 SE

    Ente gut, alles gut 1

    Der Munin-Master verbraucht (über den Webserver hinaus) praktisch kaum Ressourcen.

    Du könntest sicher dutzende von nodes mit deinem Server überwachen. (Also leg dir ruhig noch ein paar zu ^^ )

    Linux reißt sich halt jeglichen freien Speicher unter den Nagel und nutzt ihn als Cache.

    Zitat von aRaphael

    Der Munin-Master verbraucht (über den Webserver hinaus) praktisch kaum Ressourcen.

    Das hatte mich ja auch gewundert ;)

    Zitat von aRaphael

    Linux reißt sich halt jeglichen freien Speicher unter den Nagel und nutzt ihn als Cache.

    Dank ThomasChr weiß ich das jetzt auch ^^

    [RS] 2000 G9 | Cyber Quack

    [VPS] 2000 ARM G11 | 1000 G9 | 200 G8 | Secret | A | mikro G11s | 4x nano G11s
    [WH] 8000 SE | 4000 SE | 2000 SE

    Folgende Maßnahmen, abgesehen von sicheren Passwörtern, nutze ich um meine Server abzusichern:

    • root-Login deaktivieren
    • SSH-Port ändern
    • SSH-Key
    • ufw
    • fail2ban

    Reicht das, oder fehlt mir etwas essenzielles?

    [RS] 2000 G9 | Cyber Quack

    [VPS] 2000 ARM G11 | 1000 G9 | 200 G8 | Secret | A | mikro G11s | 4x nano G11s
    [WH] 8000 SE | 4000 SE | 2000 SE

    Code: ufw
    ufw default deny incoming
ufw default deny outgoing

    Für jeden Port den ich freigebe, lösche ich die IPv6-Freigabe

    Code: fail2ban / jail.local
    [DEFAULT]
bantime = 24h
findtime = 10m
maxretry = 5

[sshd]
enabled = true

[recidive]
enabled = true

    [RS] 2000 G9 | Cyber Quack

    [VPS] 2000 ARM G11 | 1000 G9 | 200 G8 | Secret | A | mikro G11s | 4x nano G11s
    [WH] 8000 SE | 4000 SE | 2000 SE

    Zitat von Bud

    Folgende Maßnahmen, abgesehen von sicheren Passwörtern, nutze ich um meine Server abzusichern:

    • root-Login deaktivieren
    • SSH-Port ändern
    • SSH-Key
    • ufw
    • fail2ban

    Reicht das, oder fehlt mir etwas essenzielles?

    Das wichtigste hast du vergessen: Konfiguriere die (installierten) Apps sauber und halte sie aktuell! Die beste Firewall hilft dir nichts, wenn jemand über die Applikation auf deinen Server kommt und sämtliche Daten abziehen kann, weil du z.B. dein Wordpress oder dein Minecraft nicht schnell genug gepatcht hast oder du dir Plugins installiert hast, welche aus einer dubiosen Quelle stammen. Bei all der Diskussion um das Server Hardening verliert man nämlich gerne mal den Blick für das tatsächlich relevante. Und das sind immer die Applikationen, die auf diesem Server laufen. Eine Kette ist immer nur so stark wie ihr schwächstes Glied. Und das ist in der Regel nicht dein OpenSSH Server ;).

    Jap, desto mehr Software da läuft, desto höher ist die Angriffsfläche.

    VPS Secret • VPS 200 G8 • 4x VPS piko G11s • 2x RS 1000 G9.5 SE NUE • RS Cyber Quack • VPS 1000 ARM G11 VIE

    mail@compi653.net

    Gefällt mir 1
    Zitat von Paul

    und halte sie aktuell!

    Gibt es eigentlich eine Art Update-Checker, welcher Notifications versenden kann?

    Zitat von Valkyrie

    Hast du dran gedacht die Passwort Authentifizierung dann auch auszuschalten?

    Ist das nicht egal? "Doppel hält besser"?

    [RS] 2000 G9 | Cyber Quack

    [VPS] 2000 ARM G11 | 1000 G9 | 200 G8 | Secret | A | mikro G11s | 4x nano G11s
    [WH] 8000 SE | 4000 SE | 2000 SE

    Die Keys setzt man ja ein, um von den Passwörtern wegzukommen. Den Server wird dadurch nicht sicherer, wenn die Passwörter ab bleiben.

    VPS Secret • VPS 200 G8 • 4x VPS piko G11s • 2x RS 1000 G9.5 SE NUE • RS Cyber Quack • VPS 1000 ARM G11 VIE

    mail@compi653.net

    Gefällt mir 3

    Aber spätestens, wenn ich einen sudo-Befehl ausführe, fragt er mich ja so oder so nach meinem Passwort?

    [RS] 2000 G9 | Cyber Quack

    [VPS] 2000 ARM G11 | 1000 G9 | 200 G8 | Secret | A | mikro G11s | 4x nano G11s
    [WH] 8000 SE | 4000 SE | 2000 SE

    Zitat von RAD750

    es ist aber wichtig den Login so schwer wie möglich zu machen

    Vielleicht stehe ich auf dem Schlauch: Aber ist es nicht besser anstatt "nur" des Keys auch das Passwort eingeben zu müssen? Hat der Angreifer den Key, braucht er immer noch das Passwort, und umgekehrt... :/



    Zitat von nitram

    unattended-upgrades

    Bei all der Hilfe: Ich finde solche Links maximal respektlos, vor allem dann, wenn sie meine Frage nicht mal im Ansatz beantworten, sondern an dieser vollkommen vorbei zielen. Ich kenne unattended-upgrades bereits, allerdings ist es damit ja nicht getan. Deswegen suche ich nach einer Software-Empfehlung, welche mich über Updates (bestenfalls sogar manuell konfigurierbar) informieren kann.

    [RS] 2000 G9 | Cyber Quack

    [VPS] 2000 ARM G11 | 1000 G9 | 200 G8 | Secret | A | mikro G11s | 4x nano G11s
    [WH] 8000 SE | 4000 SE | 2000 SE

    Einmal editiert, zuletzt von Bud ()

    Gefällt mir 1
    Zitat von Bud

    Ist das nicht egal? "Doppel hält besser"?

    Zitat von Bud

    Aber spätestens, wenn ich einen sudo-Befehl ausführe, fragt er mich ja so oder so nach meinem Passwort?

    Ja, das ist richtig, (gute) Passwörter an sich solltest du auf jeden Fall auch verwenden. Mir ging es nur um den SSH Server an sich.


    In deiner /etc/ssh/sshd_config hast du die Zeile mit PasswordAuthentication. Die stellt man in der Regel auf no sobald man auf SSH Keys wechselt, außer man hat einen guten Grund es nicht zu tun. Dadurch nimmst du einfach einen weiteren Angriffsvektor weg, da du sonst per SSH Key oder auch per Passwort zu deinem Server kannst. Gab schon Fälle wo Leute sich sicher gefühlt haben dank ihres SSH Keys, aber der Login User hatte noch das Passwort temp123 und die Passwort Authentifizierung war angeschaltet, upsi.


    Doppelt hält besser trifft in dem Fall eher zu, wenn du auf deinem SSH Key noch ein Passphrase hinterlegst :)