Guten Morgen,
ich hätte 2 Fragen bezüglich meines vServers.
Heute habe ich mich mit der Netcup Firewall beschäftigt. Die eingehenden Pakete habe ich alle auf verweigern gestellt und meine wichtigsten Ports freigegeben.
SSH, HTTP, HTTPS, POP3, POP3S, IMAP, IMAPS, SMTP, SMTPS, FTP, SVN und den Ping. Ähnlich wie in dem Beispiel im Netcup Wiki.
In meinem IspCP hab ich aber in der Port-Liste noch weitere z.B. Amavis, MySQL, DNS, Postgrey und und und
Was soll ich denn mit diesen Ports machen?
Wie sollte ich meine ausgehenden Pakete am besten konfigurieren? Ebenfalls standard auf verweigern und entsprechend freigeben, welche es benötigen? Da stellt sich dann auch die Frage, welche Dienste ich überhaupt dort eintragen soll? Die gleichen wie bei den eingehenden Paketen?
Ich habe abgesehen Subversions nichts sonderliches auf dem Server laufen. Lediglich IspCP mit ein paar Webseiten und E-Mail.
Zum Anderen habe ich mir seit ich den Server habe einmal im Monat ein bis zwei Stunden Wartung vorgenommen und zieh das auch brav durch. Da aktualisiere ich dann die Dienste und versuche mich in den Log-Files durchzusehen, ob irgendetwas merkwürdig ist.
Wie sollte ich da am geschicktesten Vorgehen. Je länger die Log-Files werden, umso schwerer wird es für mich, zumal mir viele Zeilen davon nicht allzuviel sagen und ich nur selten Angriffe von einfachen fehlgeschlagenen Logins eines Users unterscheiden kann. Einzig in der Auth-Log find ich mich halbwegs zurecht. In den E-Mail Logs stehen z.B. zig Zeilen, dass für POP3 das Maximum Connection Limit erreicht wurde?
Sollte ich einfach sämtliche Logfiles im Log Ordner herunterladen, den Ordner auf dem Server dann löschen, sodass er die Files wieder dann von vorne beginnt und alles wieder sauber ist? Wie werte ich die Logfiles am besten aus? Gibts da Tools dafür, wo ich die Dateien einlesen kann?
Ich arbeite komplett unter Kubuntu Linux.
Eine weitere Frage stellt sich, was wäre wenn der Server dann doch mal ernsthaft kompromittiert ist und ich den Server neu aufsetzten muss? Ich erweitere jedes Monat mein Backup des Servers über OpenVCP. Zusätzlich sicher ich meine Homepage Daten und Datenbank.
Aber sollte ich da überhaupt ein älteres Server-Backup zurückspielen? Sollte ich überhaupt ältere Homepage-Daten zurückspielen? Auch diese könnten doch theoretisch befallen sein? Und vor allem wie bekomm ich meine ganzen IspCP Einstellungen wieder oder müsste ich jeden Kunden, jeden Reseller neu anlegen? Da wär ich ja zig Stunden beschäftigt?
Wie macht ihr das?
Ich komm mir trotz allem, was ich mir die letzten Jahre angeeignet habe und bis heute auch sauber läuft wie es soll, etwas hilflos vor. Ein solches Szenario sollte ich einfach mal in einer Virtuellen Umgebung am heimischen PC durchspielen das weiß ich aber bis heute nahm ich mir LEIDER noch nicht die Zeit dazu.
Ich freu mich über eure Ratschläge.
Lg
5ky
PS. In der Regelliste währ noch ein Bezeichnungs- bzw. Kommentarfeld super, damit man der Regel gleich eine Bezeichnung geben kann. Port 80 ist ja eigentlich jedem Bekannt aber z.b. 3690?