Backups?
Logging?
SSH nur per Key?
UFW
fail2ban
Dem User mit dem unmöglichen Namen, ein unmögliches Passwort - oder besser, einen SSH key geben
2. und 3. sind nicht ganz trivial (nach Schwierigkeitsgrad geordnet).
Ergänzend zu Michael oben:
* Restore
* Monitoring
* Wiederanlaufplan (stell dir vor, du müsstest alles aus einem Backup auf einem neuen Server zum Laufen bringen.)
* Sicherheitskonzept
Insbesondere wenn man diverse verschiedene Webapplikationen am Laufen hat, kann ich den dritten Punkt sehr empfehlen.
- ...
- ...
- Exponierten Webserver um eine Web Application Firewall ergänzen, mit welcher das OWASP ModSecurity Core Rule Set (CRS) eingesetzt und angepasst werden kann
Meist geht es bei Absicherungen ja um ssh, fail2ban, iptables etc, also die unteren Netzwerkschichten. Die Absicherung auf dieser Ebene ist zwar unabdingbar, schützt aber leider nicht gegen Angriffe über den Webserver. (SQL-Injections, XSS etc). Dazu ist eine WAF (Web Application Firewall) nötig.
Wenn man nicht jede einzelne Anwendung mit einem eigenen WAF-Plugin ausstatten will, ist z.B. Modsecurity (mit den von m_ueberall erwähnten OWAPS Regeln) eine gute Wahl.
Man muss dabei allerdings noch manuell nachsteuern, um die "false positves" auszusortieren.
Das kann durchaus etwas mühsam sein. Ich habe mir deshalb ein kleines Tool ('pamsel') speziell dafür gestrickt, das mir inzwischen gute Dienste leistet: 
Hallo,
das meiste wurde ja schon bereits genannt. Was noch fehlt wäre ein ordentliches Berechtigungskonzept.
Viele nutzen zwar Sudo (weil es bereits durch die Distribution vorinstalliert ist) aber nutzen leider nur die Standardkonfiguration. (Benutzer hat standardgemäß volle Sudo bzw. Root Rechte - was natürlich nicht sinnvoll ist und natürlich auch nicht der Gedanke von Sudo ist)
MfG
hab ca. 40 Docker Container laufen
Halleluja... dann sei dir folgender Talk an die Hand gegeben: https://media.ccc.de/v/cccs-docker-container-und-security
Backups - naja... ich mache alle paar Tage mal nen Snapshot im SCP...
Dazu zwei immer wiederkehrende Standardzitate:
"Ein Snapshot ist kein Backup"
und
"Kein Backup - Kein Mitleid"
Snapshots werden auf der gleichen Platte gespeichert wie der Server selbst, sind also als Backup ziemlich ungeeignet.
Das nur als Info, wie wichtig dir deine Daten letzendlich sind weißt nur du.
Ich denke Backups auf ein externes Datengrab (z.B. die Storageboxen von der roten Konkurrenz) sind wohl das sinnvollste.
Auf diesen kann man dann noch mal extra Snapshots machen.
Afaik hat netcup auch extra Speicherplatz den man dazu buchen kann. Den kenne ich aber nicht.
Afaik hat netcup auch extra Speicherplatz den man dazu buchen kann. Den kenne ich aber nicht.
Der ist im selben RZ und damit für ein Backup ungeeignet. Entweder man nimmt dazu einen Netcup Server in Wien oder einen Server (oder anderweitige Storagelösung) woanders. Beim roten H wäre in dem Falle darauf zu achten, dass man als Standort nicht Nürnberg nimmt, weil es dann auch im selben RZ wäre.
Beim roten H wäre in dem Falle darauf zu achten, dass man als Standort nicht Nürnberg nimmt, weil es dann auch im selben RZ wäre.
netcup und H. sind in Nürnberg im gleichen RZ?
Beim roten H wäre in dem Falle darauf zu achten, dass man als Standort nicht Nürnberg nimmt, weil es dann auch im selben RZ wäre.
Die "Box" gibt es sowieso nur in Falkenstein und Helsinki, da kann das schon mal nicht passieren.
(Davon habe ich für Backups auch eine.)
netcup und H. sind in Nürnberg im gleichen RZ?
Das war auf jeden Fall mal so und hat sich afaik nicht gändert. Habe von einem H root Server auf netcup 2.75 ms Ping und 5 hops. Zu google.de sinds schon 5 ms.
2 * core24.fsn1.hetxxxx.com (213.239.245.45) 0.689 ms 0.481 ms
3 juniper5.nbg1.hetxxxx.com (213.239.252.249) 2.691 ms 2.684 ms 2.691 ms
4 ae6-0.bbr01.anx84.nue.de.anexia-it.net (78.47.7.1) 2.794 ms 2.787 ms 2.779 ms
5 netcup-gw.bbr02.anx84.nue.de.anexia-it.net (144.208.211.11) 2.891 ms 2.905 ms 94.16.25.77 (94.16.25.77) 2.689 msIst bei mir ähnlich (hier in die andere Richtung):
2 144.208.211.10 (ae3-4019.bbr02.anx84.nue.de.anexia-it.net) 0.594ms 0.322ms 0.922ms
3 78.47.7.6 (static.6.7.47.78.clients.your-server.de) 0.504ms 0.517ms 0.382ms
4 213.239.245.77 (213-239-245-77.clients.your-server.de) 2.940ms 6.564ms 0.771ms
5 213.239.203.226 (ex9k1.dc1.nbg1.hötznör.com) 0.419ms 0.386ms 0.363msDenke das ist sehr eindeutig: https://covid-19-status.anexia.com (ANX84)
Ist bei mir ähnlich (hier in die andere Richtung):
Code5 213.239.203.226 (ex9k1.dc1.nbg1.hötznör.com) 0.419ms 0.386ms 0.363ms
Wo steht denn der türkische Server? 
Wo steht denn der türkische Server?
in Kasachstan
Wo steht denn der türkische Server?
Ja, die Forensoftware zwingt einen erfinderisch zu werden.
