Server administrieren - wo fange ich an?

  • Also wende es bei einem RS nicht gegangen da dieser wirklich heruntergefahren wäre, aber beim VPS werden nur die arbeitenden Dienste deaktiviert?

    [RS] 2000 G11 | 2000 G9 | 500 G8 | Cyber Quack

    [VPS] 2000 ARM G11 | 1000 G9 | 200 G8 | Secret | Pocket Admin | A | mikro G11s | 4x nano G11s
    [WH] 8000 SE | 4000 SE | 2000 SE

  • Also wende es bei einem RS nicht gegangen da dieser wirklich heruntergefahren wäre, aber beim VPS werden nur die arbeitenden Dienste deaktiviert?

    Netcup VPS und RS sind virtuelle Maschinen auf KVM Basis

    pasted-from-clipboard.png

    Bei den RS weiß man was für Hardware auf dem Wirstsystem liegt (EPYC 7702), bei den VPS nicht. Auf dem Wirstsystem liegen mehrere, wenn nicht Hunderte Gastsysteme so wie dein Server.


    Echtes Blech wird oft als dedizierter Server beworben, das gehört dann nur dir.

    VPS Secret • 2x VPS piko G11s • RS 1000 G9.5 SE NUE • RS Cyber Quack • VPS 1000 ARM G11 NUE

    compi.dev

    Edited once, last by RAD750 ().

    Like 1
  • Wo liegt dann der Unterschied zwischen den VPS und RS?

    [RS] 2000 G11 | 2000 G9 | 500 G8 | Cyber Quack

    [VPS] 2000 ARM G11 | 1000 G9 | 200 G8 | Secret | Pocket Admin | A | mikro G11s | 4x nano G11s
    [WH] 8000 SE | 4000 SE | 2000 SE

  • Die RS haben 2,5 Gbit/s Netzwerkanbindung, die VPS "nur" 1 Gbit/s(Reicht trotzdem dicke)

    Und die RS haben dedizierte Resourcen(RAM und CPU)

    VPS Secret • 2x VPS piko G11s • RS 1000 G9.5 SE NUE • RS Cyber Quack • VPS 1000 ARM G11 NUE

    compi.dev

    Like 1
    • Best Answer

    Zusätzlich zu oben genanntem haben die RS mehr CPU-Features durchgereicht.

    Es gab hier z.B. einen Thread dass neuere MongoDB Versionen auf den VPS nicht mehr laufen (wegen fehlendem AVX).


    Hier noch ein paar Benchmark-Werte meiner Server. Mein RS G7 ist schneller als die VPS G8 (pro Core).


    Geekbench 5 (Single / Multi Core)


    vps500 G8 2 vCores 490 817
    vps 200 G8 1 vCores 486 483
    rs1000 G7 plus (6core xeon E5-2680 v4 6 Kerne 694 3177
    rs1000 G9.5 (EPYC 7702P) 4 Kerne 1003 3692



    Zu den ersten Schritten auf einem neuen Server zählen bei mir:


    - eigenen Benutzer anlegen und sudo Rechte geben (Mach ich schon während der Installation)


    - SSH: Passwörter verbieten, nur noch Keys erlauben.

    Wenn man das nicht macht (und gute Passwörter verwendet) geht die Welt nicht unter. Trotzdem empfehlenswert.


    - SSH: root verbieten, und mittels 'AllowUsers username1 username2' nur bestimmte user den SSH Zugang erlauben.

    Auch hier geht die Welt nicht unter, aber wenn man root nicht verbietet hat der Angreifer schon mal einen existierenden User. Also die halbe Miete ;)


    - SSH: Port ändern.

    Reduziert die Anzahl der Logeinträge enorm, bzw entlastet den Server von unnötigen Arbeiten.


    - evtl fail2ban damit Angreifer eine Zeit lang blockiert werden.


    - Firewall (ufw) installieren und nur die benötigten Ports öffnen.

    Wie oben, auch hier geht die Welt nicht unter wenn man es (noch) nicht sofort macht.


    - Mailversand einrichten, damit man mails vom System bekommen kann.

    z.B. mittels postfix oder für den Anfang leichter: msmtp (https://wiki.debian.org/msmtp)

    In der msmtp config trägt man die SMTP Daten von einem ganz normalen Netcup Mailkonto ein (Username:passort).


    Und jetzt noch das für mich wichtigste, und ein guter Grund den Mailversand einzurichten:


    - unattended-upgrades (https://wiki.debian.org/UnattendedUpgrades) (apt install unattended-upgrades apt-listchanges)

    Damit werden die updates automatisch eingespielt, und wenn man es konfiguriert bekommt man Mails was getan wurde, und ob ein reboot notwendig ist.

    Selbst wenn man ein paar Monate keine Zeit hat sich um den Server zu kümmern, muss man sich mit unattended-upgrades keine große Sorgen machen.

    Es gibt ein minimales Risiko dass durch ein Update etwas nicht mehr richtig tut, ohne dass man es sofort merkt. Ist mir aber in vielen Jahren mit diversen Servern noch nie passiert.


    - backup mittels borg-backup. https://github.com/witten/borgmatic ist hierzu ein beliebtes script (apt install borgmatic)

    Gibt natürlich auch viele andere Backup Lösungen.


    Ich wünsch Dir viel Erfolg und Spaß mit Deinem Server :)



    Nochmal das Wichtigste (alle Befehle als root, oder mittels sudo):


  • Zu den ersten Schritten auf einem neuen Server zählen bei mir:

    Schöne Auflistung der ersten Schritte ohne dabei in Absolutismen zu verfallen (muss man unbedingt…). Gefällt mir echt gut. Hat imho mehr als nen Daumen hoch verdient deshalb lobende Erwähnung in extra Post :)


    (würd mir den Beitrag jetzt gerne noch als Favorit speichern, gibts hier aber wohl ned :( )

  • Ich bin immer als root angemeldet, denn es geht mir auf den nerv, bei jedem Befehl das passwort eingeben zu müssen.


    Als aber auch die pw Authentifizierung komplett abgeschaltet für ssh, sodass man ohne key direkt disconnected wird.

  • ch bin immer als root angemeldet, denn es geht mir auf den nerv, bei jedem Befehl das passwort eingeben zu müssen.

    mal sudo su versucht?



    Aber mein Betrag zum ursprünglichen Thema

    ich bin ja noch aus DOS Zeiten ;)

    mein erster Schritt auf jedem Server ist

    apt install mc (früher stand hier noch nano, aber das ist mittlerweile in jeder Installation dabei)

    Ein Dateimanager der auch gerade Anfängern vieles erleichtern kann

    Erst danach widme ich mir der sshd_config

    It's me, only me, pure michi 🦆

    RS 1000 SAS G8 | Cyber Quack

    VPS: 50 G7 |B Ostern 2017|200 | Karneval | piko

    WH: SmallEi | Adv17 Family |4000 SE|1000 SE

    Edited once, last by extremmichi ().

    Like 5 Thanks 1
  • ich bin ja noch aus DOS Zeiten ;)

    mein erster Schritt auf jedem Server ist

    apt install mc (früher stand hier noch nano, aber das ist mittlerweile in jeder Installation dabei)

    Ein Dateimanager der auch gerade Anfängern vieles erleichtern kann

    Erst danach widme ich mir der sshd_config

    same here!! :):)

  • Bei der Umfrage verblüfft es mich jetzt doch ein wenig, dass debian so großes Übergewicht hat. Ich hätte das knapper eingeschätzt.

    Wir sind halt old-school. Zudem ist es nicht unbedingt immer besser, auf einem Server "das neueste" drauf zu haben, Debian ist bei den Paketen häufig älter, aber halt dadurch auch ein stabiles Workhorse. Und das ist bei einem Server nunmal wichtiger.


    danach mache ich erst mal apt-get upgrade und apt-get update sowie apt-get dist-upgrade

    Das apt-get update sollte aber schon vor dem upgrade kommen, denn mit dem update schaut apt ja bei den Quellen nach, ob es Upgrades gibt. Ohne das kommt bei apt-get upgrade halt einfach nix.

    RS Ostern L OST22 (~RS "3000" G9.5) (8C,24GB,960GB) | RS Cyber Quack (1C,2GB,40GB)

    Edited 2 times, last by TBT ().

    Like 7
  • Der Grund, warum ich meine Server auf Ubuntu laufen lasse, ist eher "historisch" bedingt.

    Der erste Server, den ich als Admin übernehmen musste, war ein Ubuntu-Server.

    Da habe ich mich halt in Ubuntu eingearbeitet und danach nie wieder einen Grund gehabt zu wechseln.("The devil you know", "Never change a winning team")

    Hätte genauso gut auch Debian sein können. Dann wäre ich heute Debianer.

    (Bin nur froh, dass es kein Windows-Server war. ^^ )

  • Bud

    Selected a post as the best answer.
  • Vielen Dank bis alle bisherigen Erklärungen und Antworten.

    Besonderen Dank an Andi22 , auch wenn ich tatsächlich die Hälfte von deinem Beitrag noch nicht ganz verstehe.

    Bisher habe ich folgendes gemacht:

    Also bis jetzt erstmal nichts gemacht außer das blanke Debian 11 minimal zu installieren und mich mit sudo einzuloggen.


    Ein wenig verwirrt war ich da bei der Debian Installation mir unter anderem als SSH Port 2222 angegeben wurde, es aber letztendlich über 22 geklappt hat.


    Als erstes wollte ich jetzt versuchen den Root-Login zu deaktivieren sowie den SSH Port zu ändern.
    Also mit nano /etc/ssh/sshd_config auf die SSH Config zugreifen um und dann PermitRootLogin auf no setzten sowie den Port zu ändern.
    -> Bekomme eine Meldung das die Datei schreibgeschützt ist. Des Weiteren sieht bei mir fast alles Auskommentiert aus. In den Tutorials die ch gefunden habe ist das nicht so. Hab ich was falsch gemacht?


    -> PuTTY geschlossen und Server heruntergefahren.


    Ach ja, und gegoogelt was "nano" heißt. Ist also nur ein Texteditor mit welchem ich die Datei etc/ssh/sshd_config geöffnet habe, richtig?

    [RS] 2000 G11 | 2000 G9 | 500 G8 | Cyber Quack

    [VPS] 2000 ARM G11 | 1000 G9 | 200 G8 | Secret | Pocket Admin | A | mikro G11s | 4x nano G11s
    [WH] 8000 SE | 4000 SE | 2000 SE

    Edited 3 times, last by Bud ().

    Thanks 1