Posts by Artimis

    Quote

    Kennwort abschalten, schon interessieren Dich irgendwelche Möchtegern-Kennwort-Ausprobier-Angreifer nicht mehr


    Mal ne Frage dazu:
    Ich bin ehrlich gesagt zu faul, meine Zertifikate zu jedem Rechner mitzuschleppen, von dem ich mal eben auf meinen Server will (Freundin, Vater (geschieden), Kumpels, Uni-Rechner...).
    Daher habe ich mich für folgene "Sicherheiten" entschieden:
    (1) SSH auf 5-Stelligem Port (für dumme Scan-Bots mit BruteForce)
    (2) DenyHosts, damit BruteForce nicht möglich ist
    (3) Die genaue Anzahl sag' ich jetzt nicht, aber es sind deutlich mehr als 20 Zeichen (Buchstaben, Zahlen, Sonderzeichen) im Passwort.


    Das sollte doch reichen, oder?
    Ich weiß, dass alle auf Zertifikate schwören - zu recht.
    Aber meine Lösung sollte doch praktisch auch unangreifbar sein, oder?

    Quote from orpheus;11334

    Ich benutze den VNC nur weil ich einige Anwendungen habe die eben nur über ne grafische Oberfläche bedienbar sind bzw. wo es keine Konsolen-Programme gibt die den nötigen Funktionsumfang haben, administriert wird er ganz normal über Putty/SSH. Das mit dem nur 8-stelligen Passwort hab ich allerdings auch beim einrichten festgestellt, da werde ich wohl besser noch was drüber stülpen.


    Das beruhigt mich ungemein.
    Ich muss zugeben, dass ich mir auch (das erste Mal allerdings) den Frevel erlaubt habe, ne minimale grafische Oberfläche mit VNC zu installieren. Der Grund ist ähnlich.


    Zum Absichern vom VPN:
    (1) VPN mit unprivilegiertem User starten.
    (2) VPN-Ports per Firewall blockieren
    (3) Benutzer mit Passwort oder noch besser Zertifikate und Tunnelberechtigung anlegen und auf /bin/false-Bash legen
    (4) Per SSH einen Tunnel ohne Shell (da sonst Kick) mit dem Tunnelbenutzer starten, dabei 5900 auf den geblockten VPN-Port umleiten.
    Wenn du das so machst, sollte eig. alles sicher sein. Berbindung ist verschlüsselt (durch SSH-Tunnel) und kann nur hergestellt werden, wenn man einen gültigen Benutzer mit Tunnelberechtigung hat (sehr viel mehr Stellen im Passwort bzw. Zertifikate). Außerdem hat der VNC-Server keine root-Rechte. Sollte passen, so ist es bei mir.

    Quote

    zumindestens hat es gereicht um VNC zum laufen zu bringen

    Öhm, ich hoffe für dich, dass VNC bei dir nicht öffentlich erreichbar ist (nur per Tunnel o.ä.) und du VNC nur für explizite Anwendungen wie "Überall-Office" benutzt und ansonsten fit mit der Command-Promt (SSH) bist?!
    So ein Standard-VNC ist _das_ Sciherheitsloch schlechthin: max. 8-stelliges Passwort, Plain-Übertragung, keine Sicherheitsfeatures...
    Außerdem kann man einen Server nicht per grafischer Oberfläche administrieren. Ein Linux-Server ist kein Home-Windows!


    PS: Bitte jetzt nicht als Anpflaumen verstehen. Das Problem ist, dass z.B. 95% des Email-Traffics Spam ist und der Spam fast ausschließlich von "gehackten" Servern, dessen Administrator die Materie nicht beherrscht, stammt. Von dem Risiko für dich ganz zu schweigen. Denn rate mal, wer dran ist, sollte wer deinen Server "hacken" und Kinderpornos darauf packen...

    Quote

    Ausserdem sprechen wir immernoch von einem WEB-Server, die waren früher auch nicht schneller.


    Naja, bedenken muss man da aber noch, dass früher reine statische HTML-Websiten auf Anfrage geuploadet wurden.
    Heute werden die Seiten in mehreren Sprachen geschrieben, müssen vorher durchgerechnet werden, es muss ein Datenbankserver laufen und eine oder mehrere Abfragen erfolgen.


    Klar, wenn nicht viele Besucher kommen, reichen da kleine Ressourcen.
    Aber knapper als früher wird es bei Massenandrang schon.


    Quote

    TS2 braucht fast kein RAM/CPU


    Jop, jedenfalls nicht, wenn der idlet. Ich habe nur keine Ahnung, wie es aussieht, wenn 40 Mann durcheinanderreden. Ob der dann nicht in die Knie gehen könnte...



    PS zum alten Post: Keine Ahnung, habe deine Antwort noch nicht gesehen. Sry für Überflüssiges...

    Quote

    lol, die anderen heissen dann willi1, willi2, willi3 etc....


    Korrekt!
    Vergleiche es mit dem Telefon:
    Wenn dich wer anruft, kann er auch sagen, er sei der Präsident der vereinigten Staaten. Das ist dann sein Nick, der nicht reservierbar ist. Jedoch übermittelt er daneben auch seine Telefonnummer über die ISDN-Leitung (komm mir jetzt nicht mit CLIR). Und anhand derer ist er dennoch eindeutig zu identifizieren.
    Ebenso ist es mit TeamSpeak²:
    Jeder Benutzer kann sich frei einen Nick wählen. Aber den Benutzernamen, sofern der Benutzer registriert ist und sich anmeldet, kann in den "Connection Info" eingesehen werden. Dort ist es sehr schön zu sehen, dass der Nick genau nichts mit dem Login-Namen zu tun hat.

    Quote

    alles andere ist frei wählbar und kann nicht registriert werden.


    Uff, ich dachte schon, ich stehe auf dem Schlauch.


    Um es also auf den Punkt zu bringen:


    Nick:
    (o) Wird im Serverbaum angezeigt
    (o) Ist frei wählbar und nicht reservierbar - wer zuerst kommt, mahlt zuerst


    Benutzername in TS², ID in TS³:
    (o) Wird in den Benutzerinfos angezeigt
    (o) Wird einmalig bei der Registration festgelegt und ist damit reserviert



    Korrekt?

    Quote

    hm ....
    vielleich solltest dich mal mit der Software auseinander setzen ....
    Mein TS2 Server läuft schon über 3 Jahre, da gibt es alle möglichen registrierte "berechtigte User"


    Ich denke, es liegen lediglich verschiedene Definitionen eines "Nicks" vor:


    Zunächst: Nick != Benutzername
    Ein Benutzer kann sich bei TS² registrieren. Er besitzt dann einen eindeutigen Benutzernamen mit Passwort. Über diesen Benutzernamen können Rechte dauerhaft vergeben werden (SA, CA, AOP, AV).
    Daneben hat jeder, der sich mit dem Server verbindet einen Nick. Dieser wird beim Verbinden völlig willkürlich und absolut unabhängig vom Benutzernamen gewählt. Jeder "Speaker" besitzt zwar einen Nick, nicht aber unbedingt einen Benutzernamen.


    Es ist bei TS² möglich, Benutzernamen eindeutig zu registrieren und damit zu reservieren,
    Nicks können aber weder registriert noch reserviert werden.


    Ergo:

    Quote

    Weis jemand von Euch wie ich meinen Nick registrieren kann ?


    Bei TS² kann man keine Nicks registrieren.

    Quote

    Komisch, dann hab ich eine andere Teamspeaksoftware als die die du kennst.
    Ich kann unter ts2 sehrwohl einen nick registrieren ......


    Hmm, kann sein. Ich hol mir meine TeamSpeak²-Software hier


    Kann sein, dass ich auf dem Schlauch stehe, aber wo registriert man einen Nick bei TS²? Meinem Server ist das völlig latte, ob ich ins Nickfeld "Hanswurst" oder "Käpt'n Blaubär" eingebe... (s. Anlage).

    Der kleine Server ist nicht für Voice-Conference und dynamische Websites zu gebrauchen. Den kleinen sollte man sich zulegen, wenn man Cronjobs, kleine PHP-Scripts, eine statische Seite, einen kleinen oder Backup-NameServer oder sonst irgendetwas in der Richtung betreiben möchte.
    Für hochperformante Anwendungen sollte man bei den anderen Preisklassen nachsehen.
    Mit Matthis' "Silber" bist du wohl gut bedient, wobei ich mir vorstellen kann, dass der "Bronze" u.U. ausreicht.
    Kannst ja mal anfragen, ob du dir eventuell mal für 2 Tage den Bronze ansehen darfst und dann ggf. auf den Silber upgraden kannst ;)

    Keine Ahnung, wie das bei TS³ aussieht.
    Bei TS² kann man keine Nicks registrieren.
    Der Benutzername für den Login ist zwar statisch, man kann sich dennoch beliebige Nicks geben. Der Login-Name ist nur für die Rechteverwaltung interessant, wobei man aber auch in den Infos über den Benutzer den Login-Namen sehen kann.

    Quote

    furchtbar, was ist denn das für eine diskriminierende webseite


    Hoho, geil, stimmt.


    Aber ich glaube, ich bastel mir demnächst auch bald ne Sperre in den SSH und den Apachen:
    Per SSH greife ich normalerweise aus Deutschland aus zu. Der Inder hat dort nichts zu suchen (auch, wenn er es täglich vielfach versucht -.-)
    Und der Apache liefert Seiten auf Deutsch für Deutsche. Da brauche ich auch keine Email-Crawler aus China.

    Ist zwar ne Weile her, aber vielleicht lesen das ja andere, denen es ähnlich geht wie Maverick.




    @ Maverick: Also, wenn du schon mit der Einstellung "Soll ich, oder soll ich nicht? Ich habe Angst, etwas falsch zu machen"....... bist du DER Kandidat für nen (v)Server!


    Im Ernst: Wie fLoo schon schrieb:

    Quote

    Es wird deswegen so explizit auf diesen Fakt hingewiesen, damit nicht einfach Leute sich einen VServer holen und keine Ahnung von Linux haben. Hier läuft kein Windows, also muss man sich mit der Materie 'Linux' auskennen.

    Es tummeln sich leider im Netz jede Menge Kiddies herum, denen der Zucker in den Arsch geblasen wird und die verzweifelt versuchen, ihr überschüssiges Geld beim Anmieten von "Clan-Game-Servern" auf Papas Namen (selbst so um die 13 Jahre alt) und dergleichen loszuwerden.
    Das Resultat ist ein "Admin", der seine Server nach dem ersten Tut bei Google ohne jedliche gedankliche Leistung Zeile für Zeile rauskopiert und danach zufrieden die Shell schließt, das 4-Stellige root-Passwort vergisst und den PuTTY-Client sicher im Dateisystem versteckt oder gleich von der Platte putzt. Natürlich nicht, ohne vorher sämtliche Ordner und Dateien auf 777 zu chmodden und einen Berg FTP-Benutzer mit SSH-Privilegien für's "maps-Hochladen" zu erstellen.


    Sooo ein Mysterium ist ein Linux nicht. Man sollte Respekt und Vorsicht walten lassen, aber keine Angst davor haben.


    Und da du mir nicht der Typ von "Admin" zu sein scheinst, der ohne jedliche Peilung und frei nach dem Motto "never touch a running system" arbeitet, solltest du dich nicht scheuen, den Schritt zu wagen.



    Denn es ist nicht so schwer, wie du denkst:


    OK, so eine Linux-Shell sieht schon ein wenig anders aus, als die Windows7-Oberfläche. Ein bisschen weniger Farbe und die Maus reagiert nicht. Aber wenn man daheim ein paar Stunden an der virtuellen Maschine investiert, kommt man schon ordentlich durch den schwarzen Bildschirm mit grünem Cursor.
    Sicherheitslöcher entstehen in 95% der Fälle durch DAU-Configs, die einfach unbedacht von irgendeiner Website runterkopiert wurde (bestenfalls für andere Daemon-Versionen), und durch ausleben des Mottos "never touch a running system". Wenn du aber mit ein wenig Verstand an die Sache herangehst, am besten bei einem Minimal-Image anfängst, alles selbst installierst und konfigurierst und dir dabei auch Gedanken machst, was das wohl bedeutet, was da in der Konfig drinsteht, und dann noch regelmäßig vorbeischaust, um nach dem Rechten zu sehen und das System und die Daemons zu updaten, dann kann schon nicht mehr viel schief gehen.
    Wenn du dich dann noch vorher über die Rechtverwaltung und Sicherheitstools wie chroot und dergleichen auseinandersetzt, die Gedanken machst, was du wirklich brauchst und was nur unnötige Sicherheitsrisiken darstellt (wie z.B. FTP, warum nicht SFTP/SCP?) und vernünftige Passwörter bzw. Zertifikate benutzt, kann eigentlich nichts mehr schiefgehen.
    Und das Wichtigste: Linux ist eine openSource-Community! Der Gedanke ist, dass jeder sich einbringen kann und wo vor allem jede Menge Leute jede Menge Plan von der Materie haben. Und diese Leute sind sehr hilfsbereit. Du stehst jedenfalls nicht alleine vor der Aufgabe.


    Ich hoffe, wir können dich im Kreis der "Server-Admins" begrüßen!


    Liebe Grüße,
    Christopher

    Quote
    • API-Zugriff auf die rudimentären Funktionen (mit Secret-Key), dazu gehört Reboot, Traffic, Ausschalten, Einschalten.


    • Reverse-DNS sind durch mich zu setzen

    /Signed!


    Eine Api wäre echt cool, alleine, um Stats "präsentieren" zu können, bzw., da ich gerne alle wichtigen Werte auf einen Blick habe, um Fehlverhalten schnell sehen zu können (Hack => Spamschleuder => Massig Traffic // Hack => "schlechte" Rootkits => evtl. weitere offene Ports oder Prozesse // Hack => Kinderpornos => volle HDD), alles in ein Doc packen könnte.
    fLoo: Die Prozessübersicht lässt sich ganz einfach per PHP realisieren (man muss aber das sicherheitsbedenkliche "shell_exec" aktivieren): echo shell_exec("ps -aux"); Ports lasse ich mir so auch ausgeben, wie auch Arbeitsspeicher-Auslastung, CPU-Load und HDD-Auslastung.


    Mein Dom-Robot hat 'ne nette API: Es sind einfache XML-Requests, die über 'ne https gejagt werden. Sollte mit ordentlichem statischem Schlüssel von 'nem kb bombensicher genug sein.