Server administrieren - wo fange ich an?

  • Bekomme eine Meldung das die Datei schreibgeschützt ist.

    Wenn du mit deinem sudo user zugreifst, musst du sudo vor deinen Befehl setzen.

    VPS Secret • 2x VPS piko G11s • RS 1000 G9.5 SE NUE • RS Cyber Quack • VPS 1000 ARM G11 NUE

    compi653.net

    Like 2
  • Große Partiotion wäre sinnvoller, ist aber egal, musst halt evtl. nachträglich vergrößern. Denke Port 2222 ist nur für Probleme während dem Setup.

    Immer? Was sind die Vor- und Nachteile dieser Einstellung?

    Wenn du root warst beim Zugriff auf die Datei müsstest du speichern können, das alles auskommentiert ist, ist normal.

    Also muss ich mich für die Änderungen an der SSH Datei mit root anmelden? mein sudo Benutzer geht dann nicht?

    [RS] 2000 G9 | 500 G8 | Cyber Quack

    [VPS] 2000 ARM G11 | 1000 G9 | 200 G8 | Secret | A | mikro G11s | 4x nano G11s
    [WH] 8000 SE | 4000 SE | 2000 SE

  • Ach ja, und gegoogelt was "nano" heißt. Ist also nur ein Texteditor mit welchem ich die Datei etc/ssh/sshd_config geöffnet habe, richtig?

    Ja, richtig.

    VPS Secret • 2x VPS piko G11s • RS 1000 G9.5 SE NUE • RS Cyber Quack • VPS 1000 ARM G11 NUE

    compi653.net

    Thanks 1
  • Wenn du mit deinem sudo user zugreifst, musst du sudo vor deinen Befehl setzen.

    Vor jeden Befehl?

    [RS] 2000 G9 | 500 G8 | Cyber Quack

    [VPS] 2000 ARM G11 | 1000 G9 | 200 G8 | Secret | A | mikro G11s | 4x nano G11s
    [WH] 8000 SE | 4000 SE | 2000 SE

  • Jeder Befehl der root-Rechte benötigt. Also zum Beispiel bearbeiten von Systemkonfigurationsdateien.

    VPS Secret • 2x VPS piko G11s • RS 1000 G9.5 SE NUE • RS Cyber Quack • VPS 1000 ARM G11 NUE

    compi653.net

    Thanks 1 Like 1
  • Jeder Befehl der root-Rechte benötigt. Also zum Beispiel bearbeiten von Systemkonfigurationsdateien.

    Oooookay, da muss ich halt dann noch dahinter kommen welche das genau sind. Aber danke dir. Ich starte mal wieder und versuchs mit sudo.

    Ah ne, vorher noch eine Frage: Welche Ports sollte ich denn nicht verwenden? Kann ich mir irgendeinen Port als SSH einfallen lassen? Was ist die maximale länge eines Ports? Denn ich denke mal Ports wie 993 fallen raus, auch wenn ich keine Mails über den Server laufen lassen möchte.

    [RS] 2000 G9 | 500 G8 | Cyber Quack

    [VPS] 2000 ARM G11 | 1000 G9 | 200 G8 | Secret | A | mikro G11s | 4x nano G11s
    [WH] 8000 SE | 4000 SE | 2000 SE

  • Oooookay, da muss ich halt dann noch dahinter kommen welche das genau sind. Aber danke dir. Ich starte mal wieder und versuchs mit sudo.

    Grundsätzlich kannst du auch erstmal immer alles ohne sudo ausführen, wenn dann was nicht passt sagt das System dir bescheid durch eine Fehlermeldung.


    Kann ich mir irgendeinen Port als SSH einfallen lassen?

    https://de.wikipedia.org/wiki/Liste_der_standardisierten_Ports

    Den SSH Port ändern ist allerdings ziemlich nutzlos wenn du mich fragst, durch einen Portscan findet man den in wenigen Sekunden raus.


    Ports wie 993 werden nicht benutzt wenn der jeweilige Dienst nicht rennt, daher kannst du das eigentlich ignorieren :)

    VPS Secret • 2x VPS piko G11s • RS 1000 G9.5 SE NUE • RS Cyber Quack • VPS 1000 ARM G11 NUE

    compi653.net

  • Ah ne, vorher noch eine Frage: Welche Ports sollte ich denn nicht verwenden? Kann ich mir irgendeinen Port als SSH einfallen lassen? Was ist die maximale länge eines Ports? Denn ich denke mal Ports wie 993 fallen raus, auch wenn ich keine Mails über den Server laufen lassen möchte.

    Ein ausreichend hoher Port (z.B. 5-stellig, aber max. bis 65535) sollte in der Regel eine gute Wahl sein.

  • Ähhm Port ändern kann sehr sinnvoll sein, je nach Dienst. Du kannst durch einen Portscan nur offene ports erkennen, aber nicht welcher Dienst läuft.


    Änderst du den ssh Port, finden z.B. keine Zugriffe mehr durch irgendwelche bots statt.

  • Port 22 ist eine frage der Philosophie. Natürlich finden versierte Leute deinen SSH Port immer durch einen Portscan, das Grundrauschen ist aber wesentlich geringer wenn Port 22 gesperrt ist. Diese ganzen Versuche erzeugen ja auch last auf dem System. In den Logs kann man den Unterschied schon sehr gut sehen.

    Die nächste Frage ist halt Port < 1024 oder Port > 1024 gibt auch hier für beides Argumente.

    Ansonsten würde ich Dir empfehlen sehr schnell UFW zu installieren und erstmal nur das zu erlaube was Du wirklich benötigst. ist nicht sonderlich kompliziert aber sehr wirksam.

  • Also, wenn ich den Port 22 auf irgend einen anderen ändere, ist dann der Port 22 automatisch gesperrt, oder muss ich dafür dann extra noch etwas machen?

    Weil dann ändere ich den Port, verbiete root und werde mich davor noch in UFW einlesen wie ich das handle.

    [RS] 2000 G9 | 500 G8 | Cyber Quack

    [VPS] 2000 ARM G11 | 1000 G9 | 200 G8 | Secret | A | mikro G11s | 4x nano G11s
    [WH] 8000 SE | 4000 SE | 2000 SE

  • Dann verbirgt sich hinter port 22 kein lauschender Dienst und es kann keine Verbindung hergestellt werden.


    In etwa so, als würde der Empfänger keinen Briefkasten haben, wenn der Briefträger die Zustellung versucht

  • In etwa so, als würde der Empfänger keinen Briefkasten haben, wenn der Briefträger die Zustellung versucht

    Briefkasten abreißen und hinterm Haus aufstellen, verstanden ;)


    Da ich die ersten Seiten noch grad überflogen habe, noch ein paar zusätzliche Fragen. Ich würde folgende Befehle nun in dieser Reihenfolge durchführen:


    1. sudo apt-get update

    2. sudo apt-get upgrade

    3. sudo apt-get dist-upgrade
    Diese drei Befehle durchlaufen lassen, um Debian auf den neuesten Stand zu bringen. Wie oft macht man das? Also macht man das einmal am Anfang oder einmal die Woche...?


    4. sudo apt install mc Anscheinend eine Alternative zu nano. Am Anfang egal oder unbedingt empfehlenswert? Ja / Nein? Und wenn ja, muss ich keine Quelle angeben von wo aus mc geladen wird?


    5. sudo mc /etc/ssh/sshd_config

    Port ändern, root verbieten


    Sobald ich die 5 Punkte habe - sofern die so passen - würde ich mich ufw und fail2ban widmen =)

    [RS] 2000 G9 | 500 G8 | Cyber Quack

    [VPS] 2000 ARM G11 | 1000 G9 | 200 G8 | Secret | A | mikro G11s | 4x nano G11s
    [WH] 8000 SE | 4000 SE | 2000 SE

    Edited once, last by Bud ().

  • Ansonsten würde ich Dir empfehlen sehr schnell UFW zu installieren und erstmal nur das zu erlaube was Du wirklich benötigst. ist nicht sonderlich kompliziert aber sehr wirksam.

    Das ist aber imho auch so eine Philosophiesache. Eine Firewall ist dafür da, um Ports nach außen hin abzuschirmen, die aktiv sind. Wenn auf einem Port nichts läuft, braucht auch nichts abgeschirmt werden. Auf Servern sollte a) nichts laufen, was nicht verwendet wird und b) quasi alles was darauf läuft muss von außen erreichbar sein.

    Eine Firewall bei den ersten Gehversuchen kann manches verkomplizieren.

    Diese drei Befehle durchlaufen lassen, um Debian auf den neuesten Stand zu bringen. Wie oft macht man das? Also macht man das einmal am Anfang oder einmal die Woche...?

    Regelmäßig, wenn wichtige Updates durch die Newsticker gehen (Siehe z.B. Heise Online). Das sind die OS und Pakete Updates, die muss man natürlich immer wieder einspielen. Weiter oben wurde auch ein Automatismus zum Installieren von Updates genannt, das kann vorteilhaft sein, ich schau lieber zu was passiert.

    sudo apt install mc Anscheinend eine Alternative zu nano. Am Anfang egal oder unbedingt empfehlenswert? Ja / Nein? Und wenn ja, muss ich keine Quelle angeben von wo aus mc geladen wird?

    Der Midnight Commander (mc) ist durchaus hilfreich und hat quasi ein "semi-GUI" auf der Kommandozeile, das auch mit der Maus bedienbar ist. Er ist nicht wirklich eine Alternative zu Nano, sondern mehr: MC ist ein Dateimanager, Nano ist ein reiner Editor. Ungefähr Windows Explorer vs. Notepad.

    Der Apt Befehl schaut in der SourcesList - Debian Wiki , wo das Programm zu finden ist und lädt es von dort. Quasi der "App Store" von Linux.

    5. [tt]sudo mc /etc/ssh/sshd_config[tt]

    Port ändern, root verbieten

    Nein. sudo nano /etc/ssh/sshd_config ;)



    Klingt ganz gut. Achja, vielleicht mal kurz lernen wie man den vi beendet und was schreibt und sucht…

    Zu spät, wir haben ihn auf die "nano" Seite der Macht gezogen. :evil:

    RS Ostern L OST22 (~RS "3000" G9.5) (8C,24GB,960GB) | RS Cyber Quack (1C,2GB,40GB)

    Edited 3 times, last by TBT ().

    Haha 1
  • 3. sudo apt-get dist-upgrade

    Würde ich weglassen.


    nano ist ein Editor

    mc ist ein Dateimanager (dem guten alten Norton Commander nachempfunden) Das einzige was auf jedem Server unverzichtbar ist. ^^

    (Im Gegensatz zu vi oder vim, welches Machwerke des Teufels sind)

  • Das ist aber imho auch so eine Philosophiesache. Eine Firewall ist dafür da, um Ports nach außen hin abzuschirmen, die aktiv sind. Wenn auf einem Port nichts läuft, braucht auch nichts abgeschirmt werden.

    Falls allerdings ein Eindringling irgendwo (auch ohne Rootrechte) reinkommt, dann kann er einen kompromittierenden Dienst auf einem offenen Port starten. Den Port aufmachen kann er nur als Admin