Frage zu netcup Server Firewall-Konfiguration

  • Autostart im SCP ebenfalls deaktiviert?

    Das war übrigens durchaus ein konstruktiver Hinweis Flaschensammler


    Vor allem hierauf bezogen:

    Ich Schalte denn server immer aus

    Es kann sonst nämlich durchaus sein, dass der Server durch ein Automatismus seitens Netcup von alleine startet. Dann bringt es wenig, wenn du denkst er sei die ganze Zeit abgeschaltet. Also prüfe die Einstellung dazu im SCP ruhig mal, statt mit einem ?( zu reagieren. :)


    Und zu UFW wurde ja bereits alles gesagt. Paket installieren und dann entsprechend nach Bedarf konfigurieren.

  • Ich habe lediglich nach den freizugebenen Ports in deiner Firewall gefragt, nicht nach deiner persönlichen Meinung darüber, ob jemand wie ich einen Rootserver besitzen darf oder ob ich das zum Lernen nutzen kann. Das war nicht Teil meiner Frage. Also zurück zum Thema, danke! Ich wünsche dir noch einen schönen Abend.

    Das ist nicht seine persönliche Meinung, sondern allgemeiner Konsens.

    [RS] 2000 G11 | 500 G8 | 2x Cyber Quack | Vincent van Bot

    [VPS] 2000 ARM G11 | 1000 G9 | mikro G11s | 4x nano G11s
    [WH] 8000 SE | 4000 SE | 2000 SE

    Thanks 2 Like 1
  • Ich habe lediglich nach den freizugebenen Ports in deiner Firewall gefragt, nicht nach deiner persönlichen Meinung darüber, ob jemand wie ich einen Rootserver besitzen darf oder ob ich das zum Lernen nutzen kann. Das war nicht Teil meiner Frage. Also zurück zum Thema, danke!

    Wenn es darum geht, dass du was lernen willst, dann IST das das Thema. Das und nichts anderes.

  • Ich habe lediglich nach den freizugebenen Ports in deiner Firewall gefragt, nicht nach deiner persönlichen Meinung darüber, ob jemand wie ich einen Rootserver besitzen darf oder ob ich das zum Lernen nutzen kann. Das war nicht Teil meiner Frage. Also zurück zum Thema, danke! Ich wünsche dir noch einen schönen Abend.

    Hallo Flaschensammler.

    Netcup ist ein echt guter Online Anbieter.
    Aber für deine Fragen bist du hier echt im falschen Forum gelandet.
    Bei den vielen "Profis" hier wirst du nicht "gelehrt" sondern eher "belehrt".
    Warte mal ab was für ein Shitstorm auf diese Bemerkung folgt...

    Deine Linux Installation ist eine sog. Grundinstallation oder auch Minimalinstallation von Debian Bookworm (Bookworm=Versionsname).
    Da ist erst mal nix drauf, außer dass du dich anmelden kannst und von Netcup ein ROOT Passwort bekommen hast.
    UFW ist eine Firewall, die du erst einmal installieren musst.
    Empfehle das über die Konsole über das SCP von Netcup zu machen. Mit SSH hast du dich sehr schnell selber ausgesperrt.
    Wenn Fragen sind, melden....


    Schönen Feiertag

  • Vielen Dank für deine kontinuierliche Hilfe. Ja, das mit diesen 'Profis' hier ist mir auch schon aufgefallen – sie belehren lieber, als wirklich zu helfen. Offenbar haben sie alle die Weisheit mit Löffeln gefressen und wissen jetzt alles dir auch einen Schönen Feiertag

  • Bei den vielen "Profis" hier wirst du nicht "gelehrt" sondern eher "belehrt".

    Und was ist daran schlecht? Wäre es lobenswerter, ihn eiskalt in die Falle laufen zu lassen und sich dann hinterher scheckig zu lachen, wenn er hohe Strafzahlungen leisten muss? Natürlich erhofft er sich eine andere Antwort, aber er muss es halt lernen. Und Autofahren lernt man auch nicht auf dem Nürburg-Ring, sondern auf kleinen Seitenstraßen, wo außer dem Fahrschüler niemand unterwegs ist.

  • Und was ist daran schlecht? Wäre es lobenswerter, ihn eiskalt in die Falle laufen zu lassen und sich dann hinterher scheckig zu lachen, wenn er hohe Strafzahlungen leisten muss? Natürlich erhofft er sich eine andere Antwort, aber er muss es halt lernen. Und Autofahren lernt man auch nicht auf dem Nürburg-Ring, sondern auf kleinen Seitenstraßen, wo außer dem Fahrschüler niemand unterwegs ist.

    Das stimmt so nicht ich wahr in der Fahrschule Öffentliche Seitenstraßen unterwegs nicht auf denn Verkehrsübungsplatz

  • Ja. Aber auf Seitenstraßen. Auf die Autobahn durftest du erst, als du das Fahrzeug beherrschen konntest.


    Auf deiner VM zu Hause bist du ja auch nicht absolut sicher. Die Client Lücken können dich auch da erwischen. Eine Firewall ist nicht alles, es gehört mehr dazu, ein System abzusichern. Trotzdem ist die VM zu Hause die einsame Seitenstraße, und der V-Server bei Netcup die Rennstrecke.

  • Ja. Aber auf Seitenstraßen. Auf die Autobahn durftest du erst, als du das Fahrzeug beherrschen konntest.


    Auf deiner VM zu Hause bist du ja auch nicht absolut sicher. Die Client Lücken können dich auch da erwischen. Eine Firewall ist nicht alles, es gehört mehr dazu, ein System abzusichern.

    Aber das ist hier nicht das Thema wenn du nicht helfen möchtest dann lass es

  • Und was ist daran schlecht? Wäre es lobenswerter, ...

     

    Hat ja nicht "lange" gedauert :)

    Und da waren sie wieder, die "Profis"...


    Wir holen mal eine Zange raus und schneiden für jeden "nicht richtigen Weg" immer einen Finger oder Zeh ab.

    Mal schauen, ob die Hände und Füße ausreichen um den "richtigen Weg" zu finden.
    Das ist der Unterschied zwischen Hilfe und Tadel.

    Einfach mal kommentarlos drüber nachdenken -

    Aber auch das wird hier nicht funktionieren!

    EDIT: Hab mir 'ne Tüte Chips raus geholt. Mal schauen wie's weiter geht :)

  • Wir holen mal eine Zange raus und schneiden für jeden "nicht richtigen Weg" immer einen Finger oder Zeh ab.

    Nein, wir schneiden gar nichts ab. Ganz im Gegenteil, wir sorgen uns darum, dass andere ihm was abschneiden und wollen das verhindern.


    Mal schauen, ob die Hände und Füße ausreichen um den "richtigen Weg" zu finden.

    Den zeigen wir ihm ja, genau darum geht es.


    Leute, wir wollen niemandem was wegnehmen. Ein teurer Berater sagt einem auch nicht immer nur das, was man hören will, sondern das, was einem weiterhilft. Die Erkenntnis dafür wird reifen, auf die harte oder auf die sanfte Tour. Wenn du uns nicht glaubst, suche in diesem Forum nach "Abuse". Beispiele gibt es genug.

  • Moin Flaschensammler,


    erst einmal Geiles Hobby was du dir gesucht hast. Egal was andere jetzt dazu sagen lass dir das nicht kaputt machen. Wichtig ist hier aber zu verstehen woher die Ratschläge, mit einer lokalen VM erst einmal Basics zu lernen bevor man einen VPS/Root Server mietet, kommen:

    Debian und Ubuntu haben zum Beispiel die Unangenehme Eigenart bei der Installation von Diensten (PHP, Apache, Cups etc. pp.) diese direkt über Systemd (Das Herzstück deines Linux Betriebssystem was andere Service für dich automatisch startet und diese teilweise sogar überwacht und automatisch neu startet falls diese abstürzen/crashen) zu aktivieren, sodass diese automatisch direkt gestartet werden in ihrer Standard Konfiguration.

    Ich Bringe hier Cups als Beispiel an, da genau bei dieser Software erst vor kurzer Zeit eine Lücke gefunden wurde, die es mit sehr wenig Aufwand möglich machte den Computer ( Auf dem Cups läuft ) dinge tun zu lassen, die der "Besitzer" von eben jenen nicht selber wollte. Die Bewertung ob es in der freien Wildbahn einen erfolgreichen Einbruch über diese Lücke gab erspare ich mir hier. Aber Fakt ist das ein Sicherheitsforscher feststellen musste das im Bereich 100.000 Computer einfach offen im Internet diesen Dienst hatten. D.h. dort hat keine Firewall oder andere Sicherheitsmaßnahme den Zugriff von Außen blockiert. Und das ist ein Problem!

    Also niemand (ich hoffe) möchte dir dein neues geiles Hobby hier schlecht reden, verbieten oder dir absprechen es auszuüben. Aber bitte nehme dir die Ratschläge die in den teils harsch formulierten Beiträgen hier dennoch zu Herzen. Du solltest dir wirklich erst einmal anschauen wie die Firewall deines neuen Linux Servers funktioniert und wie du diese z.b. von deinen Privaten Rechner aus testen kannst.

    Ich bin immer ein Freund davon, bevor ich eine Abstraktion (UFW) nutze mindestens einmal mich einzulesen wie das darunter liegende Funktioniert (nftables / iptables):

    Damit solltest du zumindest erst einmal gelesen haben was eigentlich die Grundlage deiner Firewall bei deinen Linux Server ist. Jetzt kannst du dir einmal UFW genauer ansehen. Dies vereinfacht es für dich deutlich. Da du dich nicht mehr darum kümmern musst in welche Reihenfolge du die nftables/iptables rules definierst und wie diese direkt beim Start deines Linux Server angewendet werden:

    Hier einmal die wichtigen Basics:

    • Grundsätzlich solltest du als Standard/Default Regel sämtlichen eingehenden Traffic blockieren
    • sudo ufw default deny incoming
    • Jetzt erlaubst du SSH
    • sudo ufw allow ssh
    • Schau dir einmal mit sudo ufw status an was jetzt alles an Regeln angelegt ist. Wichtig ist hier nur das du PORT 22/SSH erlaubst. Ansonsten sperrst du dich selber aus
    • Jetzt kannst du UFW einschalten: sudo ufw enable
    • UFW wird jetzt im Hintergrund Iptables/nftables für dich konfigurieren. Du kannst dir das Ergebnis von UFW anschauen indem du sudo iptables-save eingibts. Dann bekommst du ein Gefühl dafür wieviel Arbeit dir UFW abnimmt.

    Jetzt ist es geschafft dein Server lehnt alles außer SSH ab und wie geht es weiter? Dein Problem ist jetzt, dass Angreifer evtl versuchen dein SSH zu knacken. Du müsstest bereits erste Versuche in deinen Log finden können: tail -n 200 /var/log/auth.log. Falls nicht schätze dich glücklich. Die ersten Angriffe werden aber kommen. D.h. jetzt geht es darum deinen Zugang über SSH abzusichern. Hier gibt es viele Strategien die wichtigste aber zu allererst: Nutze keine Passwort Authentifizierung:

    Ein weiterer Faktor der deine SSH Sicherheit erhöhen kann ist fail2ban einzurichten:

    Das für dich wichtige ist, den SSH jail zu aktivieren. Das sorgt dafür, dass Angreifer die sich x Mal falsch einloggen erst einmal direkt gesperrt werden.


    Wenn du das ganze jetzt gemacht hast: Herzlichen Glückwunsch! Du hast deinen VPS erst einmal grob abgesichert, sodass nur SSH rein darf und wer zu häufig sich am SSH schloss versucht wird geblockt. Aber hier hört der Spaß natürlich nicht auf. Du kannst dir Elaboriertere Sicherheitsmethoden ansehen oder sogar (wenn du eine FritzBox hast) über ein Wireguard VPN den SSH zugriff zu deinen Server von außerhalb ganz sperren und nur über dein VPN zum server erreichbar machen.


    Wichtig ist hier aber, es gibt NIE eine 100% Sicherheit. Du kannst leider immer das Ziel sein, wo eine neue Sicherheitslücke in der Software OpenSSH selber ausgenutzt wird, um alle deine Sicherheitsmaßnahmen zu umgehen. Aber ob ein Angreifer eine solch teure Lücke wirklich an deinen VPS nutzt mag ich mal zu bezweifeln, da gibt es lukrativere Ziele im Internet.


    Wie gehts jetzt weiter? Nachdem du jetzt deinen Administrativen Zugang zu deinen VPS abgesichert hast, beginnt der noch viel Spannendere und spaßige Teil. Das Einrichten von Diensten für dich oder bekannte. Sei es für Spaßige sachen (GameServer, VoiceServer), produktive (Eigene Nextcloud mit Office anyone?!) oder andere tolle Dienste. Wichtig ist aber hier bei allem: Lies dich immer ein wenig ein bevor zu eine neue Technologie verwendest. Apache Webserver? --> Google was du beachten musst wenn du den sicher betreiben willst. Mach dich schlau wie Dateirechte funktionieren in Linux ( https://wiki.selfhtml.org/wiki/Linux/Dateirechte ). Wenn du einen neuen Dienst ausprobieren willst: Schalte am bestenn immer erst einmal nur deine Eigene IP in deiner firewall frei. Ein Beispiel an einen HTTP/HTTPS server wie Apache/nginx:

    • Gehe auf https://myip.wtf/ und schreib deine IP auf
    • Welche Ports braucht dein Dienst? (80 und 443)
    • Welches Protokoll (TCP)
    • sudo ufw allow from 1.2.3.4 to any port 80
    • sudo ufw allow from 1.2.3.4 to any port 443

    Jetzt kannst nur du darauf zugreifen und weiter testen und/oder z.b. einen Webinstaller von Nextcloud oder Wordpress oder whatever nutzen. Ohne das jemand darüber Stolpert und es direkt ausnutzen kann.


    Wenn du diese paar Sicherheitsmaßnahmen befolgst senkst du dein Risiko bereits enorm. Sicherer geht es immer. Was aber gerne viele missachten ist, dass zu deinen Sicherheitskonzept auch immer die Frage sein sollte: Wer möchte mich angreifen? Wie viele Ressourcen möchte mein Angreifer aufwenden um rein zu kommen. Wenn du dir diese Fragen stellst bist und dir das einmal angucken möchtest. Schau dir einfach die BSI sachen dazu an: https://www.bsi.bund.de/DE/The…tionssicherheit_node.html


    Vorsicht aber das sind sehr dicke Schinken und gehen meist auch nur Oberflächlich mit Buzzwords ran ohne konkrete Technische Lössungen für dein Debian vorzuschlagen.

    ~ RS4000 9.5G ; VPS 200 G10s ; 2 x ; VPS nano G11s ; 3 x VPS 3000 ARM G11

    Like 12 Thanks 2 Happy Duck 2
  • netsch1967 Sehr schade, dass du in deinen Beiträgen offensichtlich mit vielen hier einfach nur einen Streit anfangen bzw. provozieren möchtest, sonst könnte man über deine Ansicht sicherlich auf Augenhöhe diskutieren.

    [RS] 2000 G11 | 500 G8 | 2x Cyber Quack | Vincent van Bot

    [VPS] 2000 ARM G11 | 1000 G9 | mikro G11s | 4x nano G11s
    [WH] 8000 SE | 4000 SE | 2000 SE

    Like 6
  • Ich habe inzwischen verstanden, wie man z.B. mit UFW umgeht, und mir ist auch klar, dass es aus Sicherheitsgründen besser ist, nicht als Root zu arbeiten, sondern stattdessen Sudo zu verwenden. Es ist nicht so, dass ich gar nichts über Server weiß. Bei einem anderen Anbieter, den ich früher genutzt habe, konnte man die Firewall-Konfiguration über ein Webpanel vornehmen, daher war mir UFW bis jetzt nicht bekannt.

  • ufw bzw eine Firewall die ssh absichert ist nur ein Bruchteil dessen, was man beachten muss.

    Spätestens dann wenn Dienste und Anwendungen laufen muss man die entsprechenden ports ja doch aufmachen.

    Insbesondere über den Webserver (aber nicht nur da) kommen dann Bedrohungen vielfältiger Art.

    Da sollte man schon wissen, was die möglichen Angriffsvektoren sind und wie man sich dagegen wehren kann.

  • ufw bzw eine Firewall die ssh absichert ist nur ein Bruchteil dessen, was man beachten muss.

    Spätestens dann wenn Dienste und Anwendungen laufen muss man die entsprechenden ports ja doch aufmachen.

    Insbesondere über den Webserver (aber nicht nur da) kommen dann Bedrohungen vielfältiger Art.

    Da sollte man schon wissen, was die möglichen Angriffsvektoren sind und wie man sich dagegen wehren kann.

    Ich habe als erstes alle Ports geschlossen da nach habe ich erst Porst wie z.b. denn ssh Prot denn Port 8000 ssl Prot 8443 für denn Icecast2 auf gemacht