Ich bin mir noch unsicher ob ein Rootserver das richtige wäre

  • Hallo zusammen,


    mittlerweile bin ich über etliche Webtools gestolpert die aber nicht auf einem Shared Hosting betrieben werden können. Und so bin ich gerade am überlegen, ob ich mal ein Root Server versuchen sollte. Ich arbeite jetzt schon seit Jahren mit Linux auf meinem Home PC. So gänzlich fremd ist mir das Thema also nicht. Ich traue mir zumindest zu, den Server einigermassen absichern zu können. Für weitere Schritte würde ich im Vorfeld online viel recherchieren. Auch hab ich das Buch Hacking & Security von Kofler hier rumfliegen, welches ich bereits grundlegend überflogen habe.


    Es sind die etwaigen rechtlichen Konsequenzen, die mich derart abschrecken. Und ja, auch der Verwaltungsaufwand. Täglich Updates durchjagen ist ja noch o.k. Aber sämtliche Logs täglich per Hand durchgehen ? Machen das wirklich die meisten ? Wie soll das funktionieren, wenn man mal mehrere Server verwaltet, wie machen das die ganzen Webhostingunternehmen ? Wieviel Zeitaufwand sollte ich da täglich einrechnen, wenn ich es einigermassen richtig machen will ?


    Und hat jemand vielleicht ein paar Links zu Urteilen, die mit einem angemieteten Server als Verursacher gesprochen wurden sind ?


    Mir ist klar, das mit einem eigenen v/root/dedicated Server viel Verantwortung mit einher geht. Das brauch man nicht zu diskutieren.


    Aber wie habt ihr angefangen ? Habt ihr alle wirklich brav am Heim PC alles bis in die Perfektion gelernt ? Wann hat es Klick gemacht, es jetzt auch online zu versuchen ?

  • Ich traue mir zumindest zu, den Server einigermassen absichern zu können. Für weitere Schritte würde ich im Vorfeld online viel recherchieren. Auch hab ich das Buch Hacking & Security von Kofler hier rumfliegen, welches ich bereits grundlegend überflogen habe.

    Diese Vorarbeiten dürften Viele als unzureichend erachten. Ich empfehle dringend das Durchlesen und Durcharbeiten einschlägiger Literatur und einer Online-Recherche unter Verwendung einer lokalen virtuellen Maschine (oder verfügbarer dedizierter Hardware wie einen NUC/Raspberry Pi o. ä.). Geübt wird immer dort, wo man nichts anderes kaputt machen kann. Wichtig ist u. a. der lokale Machbarkeitsbeweis, was die Abschottung/Abschaltung aller nichtgenutzter Ports/Dienste anbelangt und hier insbesondere das Verständnis, wodurch das erreicht wird – ein einfaches Abtippen von Rezepten reicht nicht. Und die Administration eines exponierten Servers und eines (durch eine Firewall/ein Kabelmodem rudimentär geschützen) Desktops unterscheidet sich doch deutlich.

    Auch die obengenannte Testumgebung kann man heutzutage zuhause längere Zeit betreiben (und teilweise damit auch exponieren) dank verfügbarer DynDNS-Dienste oder IP-Adressen, welche zumindest eine längere Zeit konstant zugeordnet werden können (der 24h-Stunden-IP-Wechsel ist heute selten geworden).

    Und ja, auch der Verwaltungsaufwand. Täglich Updates durchjagen ist ja noch o.k. Aber sämtliche Logs täglich per Hand durchgehen ? Machen das wirklich die meisten ? Wie soll das funktionieren, wenn man mal mehrere Server verwaltet, wie machen das die ganzen Webhostingunternehmen ? Wieviel Zeitaufwand sollte ich da täglich einrechnen, wenn ich es einigermassen richtig machen will ?

    Stichworte "Automation" und "Vereinheitlichung":

    • Wichtige Sicherheitsupdates lassen sich automatisch einspielen, und der Linux-Kernel erlaubt sogar das Einspielen von Hotfixes, ohne in jedem Fall einen Reboot durchführen zu müssen; einige Distributionen/Firmen bieten dies als Service an, so dass man im Falle von Sicherheitslücken ein paar Tage Luft gewinnt, bis man ggf. einen neuen Kernel installiert oder anderweitige Änderungen vornimmt
    • Wenn man eine möglichst einheitliche Infrastruktur pflegt, ist das parallele/serielle Ausrollen derselben Updates/Änderungen auf mehreren Rechnern deutlich weniger aufwendig; hier sollte man sich immer auch an Lösungen orientieren, welche nach Möglichkeit von vielen Anderen (auf ähnlicher Weise) genutzt werden, um im Falle eines Falles auf das Praxiswissen Dritter zurückgreifen zu können (via Mailinglisten, Diskussionsforen, Chatkanälen, Fachartikeln, ...)
    • Auch für Logs gibt es natürlich Filter, welche verhindern sollen, dass man mit Nachrichten überfrachtet wird (wichtige Meldungen sind Analysen von potentiellen Einbrüchen/Datenmanipulationen oder Ressourcenengpässen (Platte voll, usw.); unwichtige(re) Meldungen sind diejenigen, welche die einwandfreie Funktion von Sicherheitsmechanismen o. ä. dokumentieren)
    • Der einzuplanende Zeitaufwand ist abhängig von der Anzahl/Komplexität der verwendeten Dienste und der Vorarbeiten (notwendige Updates von Bibliotheken/"Stapeln" kann man im Voraus planen, beispielsweise das Ersetzen nicht mehr unterstützter PHP-Versionen o. ä.)

    Aber wie habt ihr angefangen ? Habt ihr alle wirklich brav am Heim PC alles bis in die Perfektion gelernt ? Wann hat es Klick gemacht, es jetzt auch online zu versuchen ?

    Perfektion ist ein Mythos, man lernt niemals aus und immer etwas dazu (und muss auch dazu bereit sein); reicht die Zeit dafür nicht aus, ist zu überlegen, sich zusammenzuschließen und/oder Aufgaben (gegen Geld) zu delegieren. Es gibt Hostingangebote mit vordefinierten Applikationen, wo man sich Arbeit abnehmen lassen kann. Ausschlaggebend ist immer der unbedingte Bedarf (siehe oben: Evaluation/Spielen geschieht in abgeschotteten Umgebungen).

    Bei mir fing alles mit einem eigenen IRC-Bouncer und einem Mailserver an, nachdem ich selbige zuvor auf teil-/mitadministrierten Rechnern aufgesetzt und betreut hatte...

  • Hallo Markus,


    neben dem Like auch ein "vielen Dank" in Textform für Dein Kurzreferat.

    Deine Antwort und Erklärungen einem "Fragenden" gegenüber sind sehr respektvoll und in keinster Weise herablassend - anders als die negativen Stereotypen und Phrasen die ich hier leider viel zu oft lesen mußte.

    Deine Worte haben mich daran erinnert, daß die Hilfsbereitschaft in diesem Forum eigentlich doch groß ist und ich stelle dann irgendwann mal 'ne blöde Frage.


    Warum nicht gleich jetzt!?

    > Auch für Logs gibt es natürlich Filter, [snip]

    Hast Du Namen oder Links für einen einfachen Parser oder Filter, der mir hilft die wichtigen von den weniger wichtigen Zeilen zu trennen. Gegebenenfalls mir hilft zu bewerten.



    Mundo

    > Für weitere Schritte würde ich im Vorfeld online viel recherchieren

    Absicherung eines Debian Servers

    Ganz gut geeignet als Checkliste mit Beispielen und weiterführenden Quellenangaben.

    ABER es steht nicht alles drin bzw. zu viel. Ich weiß halt nicht, was Du machen möchtest.


    So, nun ist es doch mehr geworden, als nur ein "vielen Dank". Ich bin halt doch ein Babbler ;-)

    Gruß

    Jochen


    P.S. Markus: Nachdem ich mal auf Deine Homepage/Impressum geschaut habe, weiß ich nun warum Du das so gut formuliert hast.



  • Zunächst einmal Danke für das Lob; ich bemühe mich in technischen Foren, so deutlich und konstruktiv zu formulieren, wie ich mir in vergleichbarer/anderer Situation eine Antwort wünschen würde (kostet schließlich auch Zeit, den Beitrag zu lesen).

    Hast Du Namen oder Links für einen einfachen Parser oder Filter, der mir hilft die wichtigen von den weniger wichtigen Zeilen zu trennen. Gegebenenfalls mir hilft zu bewerten.

    Zur Filterung nutze ich einmal die Tatsache, dass man für spezifische Programme den Absender (monit@..., munin@..., certbot@...) und den Betreff ("[info]", "[warnung]", "[fehler]", "[status]", ...) – nötigenfalls durch Kapselung durch ein Nutzerscript – frei wählen kann, wodurch schon eine erste Gruppierung auf Server-Seite und eine Einsortierung in verschiedene (Unter-)Postfächer auf Client-/Server-Seite möglich ist.

    Dienstprogramme wie Tenshi helfen aus eigener Erfahrung dabei, Ausgaben mehrerer Logdateien (auch wieder vorsortiert nach Kriterien) zusammenzufassen und anhand regulärer Ausdrücke zu filtern.

    Kombiniert man beides, schaut aber zunächst in die Mails vom Absender tenshi@..., kann man sukzessiv unwichtige/weniger wichtige Meldungen ausfiltern/umsortieren, verliert aber aufgrund der Redundanz (Versendung von Meldungen sowohl vom "Primärdienst" als auch vom "Filterprogramm") niemals die Möglichkeit, Zusatzinformationen (Zeitstempel, ...) in einem zweiten Schritt über die vorgenannten Zusatzpostfächer zu kontrollieren, bevor man "vor Ort" nachsieht/-justiert.

    P.S. Markus: Nachdem ich mal auf Deine Homepage/Impressum geschaut habe, weiß ich nun warum Du das so gut formuliert hast.

    Oh je, wird die derzeitige "Wartungsarbeiten"-Meldung auf dieser Domäne wieder nicht richtig angezeigt? :D (Irgendwas ist immer…)

  • Ich persönlich würde mir da nicht zu viel Gedanken machen. Wenn du selbst Linux daheim verwendest, sollte das Administrieren eines Servers nicht zu schwer sein. Würde evtl. nen Stundenbasierten VPS nehmen und erst mal ausprobieren.


    Absichern ist schon mal ne gute Idee, für das und alles weitere gibt's genügend tutorials und howtos online.


    Du scheinst dir auf jeden Fall schon mal Gedanken gemacht zu haben 😊


    Kommt halt immer darauf an, ob man die Sachen privat oder geschäftlich nutzt. Wenns nur privat ist, kann man denke ich schon mal einfach nen paar Dinge ausprobieren.


    Gehöre da eher der "Try by Error" Fraktion an. Wobei man sich eben der Risiken bewusst sein sollte. Scheint bei dir der Fall zu sein. In diesem Sinne, viel Spaß beim Ausprobieren 😊

  • Hast Du Namen oder Links für einen einfachen Parser oder Filter, der mir hilft die wichtigen von den weniger wichtigen Zeilen zu trennen. Gegebenenfalls mir hilft zu bewerten.

    logcheck oder logwatch wären 2 solcher Kandidaten. Beide lassen sich relativ einfach anpassen und schicken dir per mail alle relevanten Zeilen.

    Wobei logcheck stündlich und logwatch einmal täglich versendet.

    It's me, only me, pure michi

    RS 500 SAS G8 Ostern 2019

    VPS: 50 G7 |B Ostern 2017|200 G8 Aktion

    WH: SmallEi | Adv17 Webhosting Spezial Family | Expert Spezial 2016

  • Ich benutze fürs realtime log watching OSSEC (oder in Zukunft den moderneren Fork Wazuh, falls ich endlich mal Zeit zum migrieren habe...)

    CentOS 7 / nginx / php-fpm / postfix / rspamd / clamav / dovecot / nextcloud / docker / Elastic Stack running on VPS 500 G8 (x2) / VPS 2000 G8 Plus

  • Diese Vorarbeiten dürften Viele als unzureichend erachten.

    Dem stimme ich zu. Da ist sicherlich jeder anders. Ich war 10 Jahre hauptberuflich LinuxAdmin. Die ersten Jahre hatte ich keinen Bedarf an privaten Rootservern, Als ich dann Bedarf sah, habe ich mir dann die ersten Server bestellt. Das wäre sicherlich auch drei oder vier Jahre früher der Fall gewesen. Aber nur ein paar Dokus abzuarbeiten reicht halt nicht, man muss es auch verstehen und das Risiko überblicken können.

    Mailserver kann ich nicht überblicken, da lasse ich die Finger von.... (auch einen DNS Server würde ich nicht betreiben.)

  • Dem stimme ich zu. Da ist sicherlich jeder anders. Ich war 10 Jahre hauptberuflich LinuxAdmin. Die ersten Jahre hatte ich keinen Bedarf an privaten Rootservern, Als ich dann Bedarf sah, habe ich mir dann die ersten Server bestellt. Das wäre sicherlich auch drei oder vier Jahre früher der Fall gewesen. Aber nur ein paar Dokus abzuarbeiten reicht halt nicht, man muss es auch verstehen und das Risiko überblicken können.

    Mailserver kann ich nicht überblicken, da lasse ich die Finger von.... (auch einen DNS Server würde ich nicht betreiben.)

    Naja, so ein Server ist sicherlich keine Raketenwissenschaft, und mit dem nötigen Verantwortungsbewusstsein und der Bereitschaft sich evtl. das passende Wissen anzueignen, ...


    Ich mein ich hatte meine erste Shell mit 2 eigenen IP Adressen im Alter von ca. 11 Jahren online - ohne ein Quentchen Linux Vorwissen. Den ersten vServer mit 4 IPs dann mit ca. 13. Heute bin ich 32 Jahre alt und würde immer noch nicht von mir behaupten, das ich alles verstehe, ganz im Gegenteil. Aber dafür gibt es ja Foren wie dieses, oder Tutorials und Howtos die man abarbeiten kann.


    Kommt halt immer darauf an, wofür man die Server verwendet. Von Mailservern verstehe ich auch nichts, hab auch weder Lust noch Zeit noch Nerven mir das anzueignen. Betriebe mit mailcow trotzdem 2 eigene Mailserver, eben weils egal ist ob die Online, offline, oder blacklisted sind...


    Für meine private und geschäftlichen Mails hingegen zahle ich jährlich nen dreistelligen Betrag. Einfach weil es funktionieren muss.


    Gibt hier eigentlich meiner Meinung nach keine Pauschalaussagen 😊