Ich habe mich dazu entschieden, die Kernel-Parameter und die Firewall-Einträge in /etc/rc.local einzutragen.
Wie alt ist denn Dein OS? Wir haben heute bereits Systemd anstelle der Init-Scripte.
Ich habe mich dazu entschieden, die Kernel-Parameter und die Firewall-Einträge in /etc/rc.local einzutragen.
Wie alt ist denn Dein OS? Wir haben heute bereits Systemd anstelle der Init-Scripte.
Kann ich noch etwas tun, um den Server mehr abzusichern?
Ja, das könnest Du durchaus. Enable mal SELinux auf Deiner Maschine https://wiki.ubuntu.com/SELinux. Vor allem aber erst einmal definieren, wozu soll der Rootserver dienen? Gibt das einen Mail-/Exchange-Server, einen Webserver, einen Applicationsever, einen Datenbank-Server oder einen DNS-Server? Jede dieser Rollen implizit eine ganz eigene Absicherung. Eben weil unterschiedliche Services unterschiedlich zur Verfügung gestellt werden müssen.
Netcup ist ein Unternehmen, das Umsatz und Gewinn erzielen muss, um uns Kunden weiterhin Produkte zur Verfügung stellen zu können, klar machen die ihr Geschäft mit uns, ist völlig legitim.
Das es aus persönlicher Ansicht evtl. überteuerte Produkte gibt ist auch völlig in Ordnung. Die Kalkulation muss am Ende aufgehen. Da werden eben andere Produkte quersubventioniert um sie weiterhin günstig und konkurrenzlos zu vertreiben zu können.
Fragt sich nur, ob ich als Unternehmer besser meine Kunden nicht für naiv halte, sondern transparente Preise kalkuliere. Und ich denke, die sparen hier schon verdammt am Support. Das was hier vom Support bereits an Antworten erhalten habe, grenzt bzgl. Fachwissen an dem was der Vorgänger-ISP sich geboten hatte.
Ohne eigene Fachkenntnis macht es keinen Sinn, so einen Rootserver zu betreiben.
Zum Thema der IPv4-Adressen: Denen geht irgendwann der Saft aus. Vergleiche es Mal mit anderen Anbietern, 1€/Monat ist da echt ein Schnäppchen. Bei den anderen zahlst du die 5€ innerhalb der ersten paar Monate schon drauf. Außerdem werden v4-Adressen im Einkauf immer teuerer, da Knappheit.
Wem sagst Du das, das wissen wir bereits seit 20 Jahren. Dennoch ich komme von einem anderen Anbieter. Dort hatten mich die IPv4-Adressen brutto 0,84 EUR gekostet und die Einrichtung war inklusive. Somit ist das hier kein Schnäppchen, insbesondere durch die Einrichtungsgebühr pro Adresse und den Zwang einer jährlichen Abrechnung.
Dennoch halte ich diese Preispolitik für falsch. 2 EUR pro Core und dann auch noch ein Jahr lang Vorauskasse, das geht bereits ins Bankgeschäft. Das wären 144 EUR pro Jahr, die verkalkuliert wären, wenn du "nested KVM" nur durchtesten willst. Zudem spielt es absolut keine Rolle, ob ich das Flag an dem KVM-Host für die CPU insgesamt setze oder wie geschehen pro Core.
Meines Erachtens ist das reine Geschäftemacherei. Eine einmalige Gebühr und monatliche Bereitstellung von 2 EUR für "nested KVM" insgesamt tut's auch.
Das gleiche Thema mit den IPv4-Adressen. Monatlich 1 Euro brutto ist normal, aber auch wieder die Jahresabrechnung zielt auf die gleiche Kreditvergabe durch den Kunden statt durch die Hausbank. Ganz verwegen aber ist die Tatsache, dass man nicht mehr als eine IP-Adresse in einem Vorgang bestellen kann, sondern immer nur Eine und somit jedes Mal 5 EUR zusätzlich fällig werden.
Beide Konzepte halte ich für komplett falsch, insbesondere den Kunden für meine Liquidität in den Folgemonaten sorgen zu lassen. Richtig ist eigentlich, die im Monat beanspruchte Leistung wird auch im Abrechnungsmonat gefordert und beglichen. Da ist keiner im Vorteil gegenüber dem Anderen.
Ich denke, es würde bereits genügen, den Server im abgeschalteten Zustand und ohne Autostart auszuliefern.
Gleichzeitig würde ich nur ein wirklich getestetes Minimalsystem als Default setzen. Oder Zumindest bei den Vorinstallationen eine richtige Anleitung anbieten.
Sehe ich genauso. Ich würde definitiv nur den rohen Server zur Verfügung stellen und die Installation dem Kunden überlassen. Zum eigentlichen Thema dem Absichern, fehlt es mir.
Da gibt mit Shorewall ein sehr gutes Programm, mit dem IPTables-Firewalls generiert werden können. Als Nächstes muss in der /etc/ssh/sshd.conf "PermitRootLogin no" gesetzt werden und der SSH neugestartet werden. Alle unnötigen Ports sollten über Shorewall ins Net geschlossen sein. Dann kann erstmal nichts passieren.
Aber einen Rootserver gleich massenkonfiguriert zum sofortigen Einsatz bereitzustellen, finde ich von den Verantwortlichen hier auch fahrlässig. Zielgruppe sollten weniger Hobby-Administratoren sein, sondern die die Linux seit Jahren kennen.
Grüße
BrotherJ
Danke, für die aufschlussreichen Antworten.
Hallo zusammen,
ich benötige mehrere eigene Server im Rootserver (RS 4000 SAS G8SE a1). Der ist ja selbst ein KVM-Gast, aber mittels "nested KVM" sollte es möglich sein, auf einer weiteren Ebene einen KVM-Gast zu erstellen. Inwieweit ist
auf dem KVM-Wirt realisiert? Weiß das jemand hier?
Grüße
BrotherJ
Okay zusammen,
vergesst das Ganze, ich habe meine Lösung:
Und bitte das nächste Mal nicht im Nerd-Style von oben herab. Man weis, was man zur Verfügung gestellt wird. Wenn dort trotz intensiver Recherche nicht das Gewünschte drinsteht, sind solche Kommentare nicht zielführend. Und für die Ausgestaltung der GUIs und deren Hilfestellung ist Kritik sicher angebracht. Mitlesender Verantwortlicher kann dann immerhin, was bei seinem Produkt nicht rund läuft.
Siehste, das ist es CCP und SCP. Hier sagt der Telefonsupport, dass hier die IPv6-Adressen anzulegen sind, und aufzupassen sei, da einige nicht freigeschaltet sind. Da denke ich, dass ich irgendwie erfahren sollte, welche zur Verfügung stehen und welche nicht. Und dass ich sie dort zuerst generieren muss. Nicht aber, wie eben gesagt, frei auswählen darf.
Zumindest vielen Dank für den Hinweis. Hilft schon mal weiter.
Netcup ist der Dienstleister, der dir die "Hardware" zur Verfügung stellt. Die gehen dabei schon davon aus, dass du weißt, was du tust und wie du das tust..
Das meinte ich nicht, das hatte ich auch ohne diesen Link bereits durchgezogen. Nein, das Portal ist sehr schlecht dokumentiert und extrem gewöhnungsbedürftigt.
Zur Frage, wie man mehrere Adressen auf ein Interface legt, müssten wir wissen, ob Du mehrere Prefices meinst, oder einzelne Adressen. Dann noch: auf welchem Betriebssystem Du das machen möchtest.
Okay, sorry,
der erste Teil war auch eher auf das Prodere bei Netcup gesehen. Das mit der Schnittstelle ens3 meine ich auf einem Debian Buster Linux.
Ich habe es mal gemacht, mir fällt es bloss gerade nicht ein. Mir reichen auch Fingerzeige, dann habe ich wieder den Weg.
Du kannst dir aus deinem /64er Netz beliebig viele aussuchen. Also etwa 18,5 Trillionen Adressen: https://www.ipv6-portal.de/tools/subnet-tabelle/
Ich habe es zumindest im CCP mit den Pefixen ::2 und ::3 hinbekommen. Schade, dass das so wenig dokumentiert ist bei Netcup.
Hi zusammen,
kann mir hier jemand sagen, wie IPv6 im SCP generiert wird? Woher weis ich, welche Nummern und wieviele zur Verfügung stehen? Dann wie lege ich mehrere IPv6 auf die Netzwerk-Schnittstelle?
Vielen Dank
BrotherJ