vServer & Verantwortung

  • Hallo,

    ich habe seit einigen Tagen hier einen vServer gemietet, hauptsächlich um mal einen TS3 Server zu hosten, evt. mal einen Minecraft Server, verschiedene Ideen auszuprobieren (so in Richtung Datamining, regelmäßig Content von News-Seiten, Twitter etc. runterladen, teilweise inspiriert von "Spiegel-Mining") und Erfahrungen im Server-Bereich zu sammeln.


    Ich bin nicht unerfahren bei Linux (benutze es privat seit ~5 Jahren und beschäftige mich recht viel in meiner Freizeit damit, allerdings weniger im Server-Bereich). Allerdings bin ich auf einige Beiträge [1,2,3,(4)] gestoßen die Leuten raten, die Finger von vServern zu lassen.


    Daher wollte ich mal fragen wie ihr das seht, reicht etwa, die (in 2 verlinkten) Sicherheitshinweise (die SSH Einstellungen waren mir z.B. bekannt & umgesetzt, aber einige andere Punkte nicht) zu befolgen und generell an "#2) Think before you type." zu halten oder sollte man sich vorher gründlicher damit beschäftigen (ist ja nicht so als könne man den vServer nicht wieder kündigen; ist aktuell heruntergefahren)?

    In letzterem Fall, bekommt man irgendwo das Image welches Netcup auf den vServern per Default verwendet? Das scheint ja kein Default-ISO zu sein, insbesondere sind ja schon verschiedene Dienste wie Froxlor eingerichtet über deren Konfiguration ich jetzt nicht Bescheid weiß (da es halt schon eingerichtet war).

    In ersterem Fall, gibt es noch Dinge die ihr mir empfehlen würdet? (Zum Beispiel ein anderes System ohne die vorkonfigurierten Verwaltungstools (Froxlor) zu benutzen, für weniger Komplexität; Website & Mail mache ich damit nicht, dafür hab ich hier ein Webhosting Paket.)


    Gruß,

    Stefan

  • Zum Beispiel ein anderes System ohne die vorkonfigurierten Verwaltungstools (Froxlor) zu benutzen, für weniger Komplexität; Website & Mail mache ich damit nicht, dafür hab ich hier ein Webhosting Paket.

    Wenn Du das alles nicht brauchst, wozu ein Image mit Froxlor? Runter damit… ;)


    Ich würde unabhängig davon sowieso immer empfehlen, ein Minimalimage Deiner bevorzugten Distribution (oder mittels ISO) zu installieren und die benötigten Dienste danach selbst einzurichten. So weiß man ganz genau, was/wie/wo/warum läuft und wie es konfiguriert wurde.


    Das steht nicht im Widerspruch zu Panels wie Froxlor oder Plesk, da man die bei Bedarf selbst installieren kann. Die eingesparte Arbeit von vorkonfigurierten Images bereut man meistens Jahre später.

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Danke für deine Antwort.

    Wenn Du das alles nicht brauchst, wozu ein Image mit Froxlor? Runter damit…

    Weil das System per Default so eingerichtet war und ich mir noch nicht sicher war ob ich das einfach wechseln kann (also die Schritte von ISO ohne SSH zu eingerichteter SSH Zugang), habe aber inzwischen gesehen dass ich im SCP minimal-ISOs inkl. SSH auswählen kann (wird wahrscheinlich ein Ubuntu mit SSH werden, mit Arch hab ich zwar mehr private Erfahrung aber für die unattended updates will ich dann noch vielleicht ein Ubuntu ;)).

  • Du musst auch nicht unbedingt auf ein Image zurückgreifen. Es steht dir auch frei eine ISO der Distribution deiner Wahl hochzuladen und diese dann zu installieren. Damit hast du dann die volle Kenntnis und Kontrolle über die auf deinem Server aktiven Dienste. Viele aktuelle ISOs stellt auch bereits netcup schon zur Verfügung.

  • Zusätzlich bieten die meisten ISO-Installer eine Möglichkeit, gleich einen SSH-Server mitzuinstallieren.


    Bei den Minimalimages von netcup selbst, ist der SSH-Server sowieso immer an Bord.

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Die VNC Verbindung ist eine direkte Anbindung an die virtuelle Grafikkarte deines Servers + virtuelle Tastatur + virtuelle Maus.

    VNC operiert getrennt von SSH.

    Das ganze lässt sich im SCP beim Server unter Bildschirm aufrufen und es ist ein tolle Technik von Netcup. (Seit es KVM gibt)

    Früher war dieses alles bei Netcup nicht möglich gewesen, weil Netup nicht KVM eingesetzt hatte sondern Vserver ohne TUN/TAP Interface.

    Sprich VPN war nicht per Default möglich gewesen und man müsste damals kostenlos beim Support angefragt werden.


    Ich persönliche setzte schon immer ein Debian Server ein, weil ich mit den Debian und deren Abwandlungen (Ubuntu) super auskenne.

    Da ich den Server so Minimal wie möglich halten möchte nehme ich das Image "64-bit PC netinst.iso und lade diese auf dem FTP der im SCP angezeigt wird.

    dann lege ich das Image in das Laufwerk und installiere das System so wie ich es möchte über den Bildschirmanzeige im SCP. (Installation von SSH ist bei Installation möglich).

    Sonst mache das dann später in der Konsole vom Server und gehe ich dann auf SSH.
    Ich packe auf meine Server überhaupt keine Verwaltungstools, wie Froxlor, Webmin, etc. mache das alles über SSH.

    Außerdem ist SSH bei mir auf den Server nicht über das Internet erreichbar nur über VPN.



    Tipp: Du musst im Serverbereich dein persönliches Linux System suchen, welches du am besten Bedienen kannst, weil sonst wird der gehackt und missbraucht.

  • Ich wollte damit Aussagen das es Früher nicht so einfach möglich war sein SSH Zugang ins VPN Netzwerk zu legen, weil der Aufwand bestand ein Ticket bei Netcup zu erstellen und dieses für mich auch ein Sicherheitspunkt ist.

    Das eigene Images nicht möglich waren, was für einige auch Sicherheit bedeutet.


    Es geht an in diesen Beitrag um Verantwortung von Server und dort darf das Thema Sicherheit nicht fehlen.

  • Ein wenig OT:

    Da ich den Server so Minimal wie möglich halten möchte nehme ich das Image "64-bit PC netinst.iso und lade diese auf dem FTP der im SCP angezeigt wird.

    Netcup hat doch bereits die Debian Netinst Minimal iso angeboten. Die musst du doch nicht extra hochladen.


    PS: Ich nutze als Firewall Shorewall und kann mir den Log auf dem Server per tail -f ansehen und sehe dort in 2-5 Minuten Takt Zugriffe per:

    SSH, RDP, FTP, und Admintools z.B. Webmin 1001

    Ernsthaft, du loggst jeden Zugriff auf Ports, die gar nicht von einem Dienst bedient werden?

    Wenn sie doch bedient werden: ernsthaft, du nutzt Webmin?

  • Ein wenig OT:

    Netcup hat doch bereits die Debian Netinst Minimal iso angeboten. Die musst du doch nicht extra hochladen.


    Ernsthaft, du loggst jeden Zugriff auf Ports, die gar nicht von einem Dienst bedient werden?

    Wenn sie doch bedient werden: ernsthaft, du nutzt Webmin?

    Danke für den Tipp: Ich habe gerade im SCP reingeschaut und du hast Recht es wird sogar das neueste Image angeboten, das war früher noch nicht so gewesen.

    Nein, ich lasse die nicht Bedienten Ports mitloggen, das habe mal zum Testen benutzt ob die Firewall läuft und nur um zusehen was es alles für Bots im Internet gibt und wo diese Herkommen.

    Bist du verrückt Webmin ist das unsicherste was es an Adminpanel gibt, dann könnte ich gleich alle Ports aufmachen.

    ich nutze überhaupt keine Panel und mache das alles über SSH in der Konsole, weil das Ressourcen spart.


    Ich meinte mit den letzten Satz das es Bots gibt die das versuchen drauf Zuzugreifen und es Leute gibt die Webmin ins Netz gesetzt haben, was ein totales NoGo ist.