vServer - Webserver absichern gegen Bad IPs

  • Hallo liebe Community, ich wünsche euch ein frohes neues Jahr.


    Ich hoffe mein Topic ist hier richtig.


    Zusammen mit einem Bruder wollen wir dieses Jahr unser Projekt starten. Daher habe ich wieder einen vServer bei Netcup geholt, ebenso die Domain und das passende SSL Zertifikat. Alles soweit eingerichtet und es läuft auch.


    Gestern habe ich mir mal die Log Dateien des Webservers angesehen, und mir sind einige IP Adressen aufgefallen, die u.a. mit Linux-Befehlen versucht haben, irgendwelche Aktionen auf meinem Server auszuführen. Nach einer Prüfung im Netz wurde klar, dass diese IP als "Bad" via Spamhouse u.a. erkannt wurde.


    Ich bin kein Großmeister in Sachen Webserver, aber ich weiß, man kann in der config Datei Zugriffe via IP blocken. Unser Server ist ein Aapche.


    Wie würdet ihr das machen? Besser externe Software oder versuchen, über den Webserver zu blocken? Dann die Frage, wie am besten?


    Viele Grüße

    EDV = Erfolg durch Versuche *g*

  • Das übliche:

    fail2ban, starkes SSH Passwort, root login verbieten, einen sudo User erstellen auf den man umwechseln kann - nach erfolgreichem Login. Wenn man ein Freund davon ist: Passwort Login per SSH verbieten und das ganze per keyfile machen. Und natürlich deine Firewall im Griff haben. Erstmal alles auf DENY und nur die Ports freigeben die gebraucht werde.

    Und dich bitte in Server Administration einlesen. Gerne auch das Forum dazu durchsuchen. Alles was auf deinem Server passiert, und was dein Server macht liegt in deiner Verantwortung. Ob du es nun warst oder jemand der deinen Server mit feindlichen Absichten übernommen hat.

  • Was habt ihr denn vor mit dem Windows Server? Könnte man das nicht vielleicht auch mit Linux realisieren? Wenn ich, solltest du auch eine Alternative zur Remote Desktop-Verbindung suchen, diese ist auch nicht sehr sicher

    compi.dev

    Ein Mensch hat zwei Beine, ein Regenwurm hat keine.

  • Das Thema starke Passwörter habe ich schonmal.


    Der Server ist Windows, weshalb ich mit sudo nicht weit kommen. Ich werde mir weitere Anleitungen im Netz ansehen :)

    Gibt es ein Grund für Windows? Die Diskussion ist schon alt, aber grundsätzlich eignet sich Linux meist besser vor allem für eine Web Server - was ich bei Apache einfach mal vermute.

    Es gibt nicht allzu viele Gründe Windows einzusetzen - was soll denn laufen auf dem Server (vor allem bei kleineren Projekten - allein die Lizenz kosten sind ja nicht ohne und die grundsätzliche Einrichtung ist meist kompliziert und die Guids auch)?

    Und welche Windows Server Version wird verwendet - danach sind ja auch möglich Empfehlungen auszurichten?


    Des Weiteren haben die direkt auf den Server befehle ausgeführt? Also als Benutzer oder nur den Apache Server angefragt.

    Bei erstem ist der Server eigentlich schon verloren - ich gehe aber mal von zweiterem aus, wird sich kaum vermeiden. Die einfachste Lösung wäre zu Cloudflare zu wechseln mit einsprechenden Filter. Aber alle Ips wirst du kaum rausfiltern können (spätestens wenn du IPV6 einsetzt).

  • Was habt ihr denn vor mit dem Windows Server? Könnte man das nicht vielleicht auch mit Linux realisieren? Wenn ich, solltest du auch eine Alternative zur Remote Desktop-Verbindung suchen, diese ist auch nicht sehr sicher

    Ich habe mich für Windows als OS für den Server entschieden, da ich mich in Windows sehr gut auskenne. Bei Linux müsste ich mich erst wieder einige reinfuchsen, in den letzten Jahren hatte ich ja einige Linux Server, aber so wirklich überzeugt haben die mich jetzt persönlich nicht. Daher ist die Entscheidung auf Windows gefallen. Bekannte Umgebung und wissen. (Mit Ausnahme dem Thema Webserver - da bin noch kein sehr guter Meister - lerne noch).


    Unser Projekt soll ein Chat werden.


    @To: Ich habe im Log die Zugriffe bzw. versuche gesehen.

    EDV = Erfolg durch Versuche *g*

    Edited 2 times, last by chenjung ().

    Haha 1
  • Für Windows wäre https://github.com/DigitalRuby/IPBan sicherheitsfördernd und unbedingt zu empfehlen, die gesperrten IP Listen sind ellenlang. Mit GUI und weiteren Funktionen ist auch die professionelle Variante davon, IPBan Pro eine Überlegung wert: https://ipban.com/ , ich verwende das und finde es gut.


    Wieso mal allerdings Windows zur Umsetzung eines Chats benötigt erschließt sich mir nicht.

    RS Ostern L OST22 (~RS "3000" G9.5) (8C,24GB,960GB) | RS Cyber Quack (1C,2GB,40GB)

    Like 4
  • Für Windows wäre https://github.com/DigitalRuby/IPBan sicherheitsfördernd und unbedingt zu empfehlen, die gesperrten IP Listen sind ellenlang. Mit GUI und weiteren Funktionen ist auch die professionelle Variante davon, IPBan Pro eine Überlegung wert: https://ipban.com/ , ich verwende das und finde es gut.


    Wieso mal allerdings Windows zur Umsetzung eines Chats benötigt erschließt sich mir nicht.

    Nicht falsch verstehen, aber wozu Linux? Warum ein System nutzen, was ich nicht zu 100% beherrsche? Sicherlich mag Linux seine Vorteile haben, aber es nicht das beste. Das liegt bekanntlich im Auge des Betrachters. Also, wofür bzw. warum führen wir hier wieder das Thema Windows oder Linux? Ich habe mich mich Windows entscheiden.


    Wie gesagt, nicht falsch verstehen, ich danke für eure Meinungen und Ideen. Aber bitte keine Diskussion warum oder wieso.

  • Nicht falsch verstehen, aber wozu Linux? Warum ein System nutzen, was ich nicht zu 100% beherrsche? Sicherlich mag Linux seine Vorteile haben, aber es nicht das beste. Das liegt bekanntlich im Auge des Betrachters. Also, wofür bzw. warum führen wir hier wieder das Thema Windows oder Linux? Ich habe mich mich Windows entscheiden.


    Wie gesagt, nicht falsch verstehen, ich danke für eure Meinungen und Ideen. Aber bitte keine Diskussion warum oder wieso.

    Long Story Short: Mit Windows als OS ist es schwerer den Server sicher zu betreiben. Es Geht, aber mit erheblich mehr Aufwand. Tut dir selbst einen gefallen und lies dich gut in die Materie "Windows Server sicher Online betreiben" ein.

  • Long Story Short: Mit Windows als OS ist es schwerer den Server sicher zu betreiben. Es Geht, aber mit erheblich mehr Aufwand. Tut dir selbst einen gefallen und lies dich gut in die Materie "Windows Server sicher Online betreiben" ein.

    Dies werde ich ich tun :) Danke für eure Ideen / Hinweise und Tipps.

    EDV = Erfolg durch Versuche *g*

  • Meines Erachtens ist für einen Webserver auch und insbesondere ein Windows 10 "zuviel des Guten". Eine gültige Lizenzierung ist schwierig und kostet Geld. Und außerdem handelt man sich damit nur unnötige Sicherheitsprobleme ein. Aber gut, ihr werdet irgendwelche Gründe dafür haben.

  • Wie würdet ihr das machen? Besser externe Software oder versuchen, über den Webserver zu blocken? Dann die Frage, wie am besten?

    puh... also da es sich hier um Win 10 handelt (btw die völlig falsche Basis für einen Webdienst im www, aber das magst du ja nicht lesen) : Linux-Server davorschalten, per Cloud-vLAN verbinden und diesen dann als externe Firewall nutzen.

  • Hallo ihr lieben, es scheint hier ja eine richtige Linux-Welle zu geben.


    In wie weit ist denn Linux hinischtich des www dienstes sicherer? Ich meine, Linux ist nicht der heilige Gral - hier gibt es wohl auch einige Sicherheitsprobleme, oder ist Linux (je nach Art) 100%ig sicher?


    Wie gesagt,ich verstehe eure Ansätze und Meinungen, daher versteht mich nicht falsch. Aber wo liegt hier der Vorteil Linux zu nutzen? Was ist besser, im Sinne der Sicherheit?


    Grundsäztlich denke ich schon, dass ich den Webserver (oder auch Windows) gut abgesichert habe. Es gibt keine 100%ig Sicherheit, weder bei Windows noch bei Linux.


    Dennoch kann ich mir ja mal Linux ansehen, und mich mit der Zeit reinfuchsen (Wechsel sollte später ja kein Problem darstellen). Aber bis ich das so in Fleisch und Blut habe, dauert es wohl noch.

  • Linux kommt nicht mit einem Haufen Bloadware daher, vorausgesetzt du hast die richtige Distribution, Z.b. Debian.

    Das ist richtig. Allerdings kann man Windows gut "auf Diät" setzen, ist zwar Aufwand, lohnt sich aber. Da hat man dann schonmal einige GB gewinnen.


    Wobei mir nicht ganz klar ist, warum MS hier das OS so dermaßen vollpumpt mit Dingen, die man nicht notwendigerweise benötigt. Auch im Heimbetrieb.

    EDV = Erfolg durch Versuche *g*

    Edited once, last by chenjung ().