Wie kommst du auf Dortmund?
Das Event findet in Karlsruhe statt.
Ich meinte das es von Dortmund nach Karlsruhe mir zuweit ist
Wie kommst du auf Dortmund?
Das Event findet in Karlsruhe statt.
Ich meinte das es von Dortmund nach Karlsruhe mir zuweit ist
Leider zu weit weg von Dortmund
Das stimmt so leider nicht ganz, denn es gibt auch Blacklisten, auf denen ganze Subnetze oder sogar ein Hoster komplett gelistet werden. Auch Microsoft macht das leider so, die haben eine eigene, interne Blackliste, wo auch Subnetze von netcup öfter mal gelistet sind. Wenn das so einfach wäre wie du geschrieben hast, dass es also andere Server und IPs gar nicht juckt, dann würde hier niemand Blacklisten überhaupt ansprechen.
Dass du deinen Mailport zumachst finde ich gut, aber natürlich wäre es für einen Hacker kein Problem, den Port in der UFW wieder zu öffnen, wenn er erst einmal Root-Rechte auf dem Server hat. Bei einer vorgeschalteten Firewall, die nicht auf dem Server selbst läuft, könnte er das nicht. Zumindest müsste er dann erst einen weiteren Account (SCP) hacken, um diese Firewall ändern zu können. Aber leider gibt es so eine Firewall wie die Firewall bei deinem vorigen Anbieter, bei netcup nicht.
nun ja so einfach ist es nicht Root-Rechte zu bekommen wenn man wie ich mit SSH Key arbneitet denoch muss man auch sagen das internet ist nie sicher da kann man so gut abgesichert sein wie man will irgend wann wird jemand wenn er es wirklich will immer eine Lücke finden das sieht man auch an den facebook datenleck und ich denke da arbeiten Profis daran sieht man das auch Profis nicht alles schützen können
Klar, jetzt ist alles ganz harmlos. Aber wenn die Netcup IPs dann wieder auf Blacklisten landen, ist das Geschrei groß. Habt ihr euch mal gefragt, warum das andauernd passiert? Diese Verharmlosung ist der Skandal, und nicht die Warnung vor dem Problem und dem leichtsinnigen Umgang damit.
Sollte meine IP auf einer Blackliste landen juckt es deinen server und deine IP garnicht da sie da von eben nicht betroffen sind
Versand von Mails
Es ist Logich das ich bei einen steam server kein E Mail Port brauche darum ist er auch zu es ist nicht so das ich mir keine gedanken darüber mache ich kannte nur UFW Firewall nicht da wie ich schon erwänt habe das bei einen andren anbieter über das Webpandel gemacht werden konnte
Display MoreUnd die letzte OpenSSL Lücke von vor ein paar Wochen ist euch allen egal?
Woher willst du wissen, dass er nichts anderes installiert hat? Zwei Dienste kennen wir ja schon. Ich vermute, er weiß selber nicht, was da sonst noch läuft.
Ja, eben. Viele andere auch. Und das macht dich nicht besorgt?
Das steht wo? Außerdem: die wissen, wie man einen Server absichert.
Generell: wenn du dir bei der Konfiguration deines Servers genau so viel Mühe gibst, wie beim Verfassen deiner Beiträge, dann schalte ihn besser sofort ab. Ein derartig katastrophaler grammatikbefreiter Buchstabenbrei ist mir selten untergekommen.
Generell: wenn du dir bei der Konfiguration deines Servers genau so viel Mühe gibst, wie beim Verfassen deiner Beiträge, dann schalte ihn besser sofort ab. Ein derartig katastrophaler grammatikbefreiter Buchstabenbrei ist mir selten untergekommen.
Ich habe es hier schon mal gesagt das ich eine 80% Geistige Behinderung habe die da herkommt weil die Frau die mich Geboren hat werden der Schwangerschaft gesoffen hat ich gehe auch da mit offen um mich nerven diese diskriminierung meiner Rechtschreibung bevor man jetzt sagt wo her sollte ich das wiessen es teht auch hier in meinen Forum Profil
Dann macht man es gar nicht. Oder steigst du in ein Flugzeug mit Löchern im Boden?
Ich hatte mit Icecast-kh Probleme was mit sicherheit zu tun hat also kann man es nicht mit einen Flugzeug mit Löchern im Boden vergleichen man kann auch alles Schlecht reden es gibt moentan eine alternativen in Radio streaming des weiteren verwenden auch die öffentlich rechtlichen in breich radio denn Icecast-kh und auch Laut.fm verwendet in wenn da sicherheits Lücken geben würde beim Icecast-kh würde das schon Längst bekannt sein
Auch schon über ein Jahr alt.
Es gibt keine Alternative in diesen Breich
Auch schon über ein Jahr alt.
Was ist mit den anderen Sachen? Fail2Ban? WAF?
Fail2Ban ist ein hostbasiertes Intrusion-Prevention-System (HIPS), das hauptsächlich vor Brute-Force-Angriffen schützt. Es überwacht Logdateien auf fehlerhafte Anmeldeversuche oder verdächtige Aktivitäten und sperrt IP-Adressen vorübergehend, wenn sie eine festgelegte Anzahl von Fehlversuchen überschreiten.
Eine Web Application Firewall (WAF) ist eine netzwerkbasierte oder cloudbasierte Firewall, die HTTP/HTTPS-Datenverkehr zu und von einer Webanwendung filtert, überwacht und blockiert. Sie schützt speziell Webanwendungen vor verschiedenen Angriffen wie SQL-Injection, Cross-Site-Scripting (XSS) und anderen Schwachstellen, die von OWASP (Open Web Application Security Project) aufgelistet werden.
Display MoreIch hoffe, das ist nicht der Standard SSH Port, denn dann ist dein Rechner jetzt mindestens 1 Attacke pro Sekunde ausgesetzt. Was sagt dir Fail2Ban?
Und wie schützt du die Anwendungen? Was ist mit WAF? Icecast 2 wurde seit Jahren nicht mehr aktualisiert, ggf. schlummern darin zahlreiche Sicherheitslücken. Hast du die CVEs überprüft?
Du hast noch einen sehr weiten Weg vor dir, das System abzusichern.
Da hast du recht der standart Icecast 2 wurde seit jahren nicht aktualisiert darum nehme ich KH Icecast 2 hätte ich da zu schreiben müssen nein ich arbeite nimals mit Standard Port sei es für SSH oder FTP
ufw bzw eine Firewall die ssh absichert ist nur ein Bruchteil dessen, was man beachten muss.
Spätestens dann wenn Dienste und Anwendungen laufen muss man die entsprechenden ports ja doch aufmachen.
Insbesondere über den Webserver (aber nicht nur da) kommen dann Bedrohungen vielfältiger Art.
Da sollte man schon wissen, was die möglichen Angriffsvektoren sind und wie man sich dagegen wehren kann.
Ich habe als erstes alle Ports geschlossen da nach habe ich erst Porst wie z.b. denn ssh Prot denn Port 8000 ssl Prot 8443 für denn Icecast2 auf gemacht
Display MoreMoin Flaschensammler,
erst einmal Geiles Hobby was du dir gesucht hast. Egal was andere jetzt dazu sagen lass dir das nicht kaputt machen. Wichtig ist hier aber zu verstehen woher die Ratschläge, mit einer lokalen VM erst einmal Basics zu lernen bevor man einen VPS/Root Server mietet, kommen:
Debian und Ubuntu haben zum Beispiel die Unangenehme Eigenart bei der Installation von Diensten (PHP, Apache, Cups etc. pp.) diese direkt über Systemd (Das Herzstück deines Linux Betriebssystem was andere Service für dich automatisch startet und diese teilweise sogar überwacht und automatisch neu startet falls diese abstürzen/crashen) zu aktivieren, sodass diese automatisch direkt gestartet werden in ihrer Standard Konfiguration.
Ich Bringe hier Cups als Beispiel an, da genau bei dieser Software erst vor kurzer Zeit eine Lücke gefunden wurde, die es mit sehr wenig Aufwand möglich machte den Computer ( Auf dem Cups läuft ) dinge tun zu lassen, die der "Besitzer" von eben jenen nicht selber wollte. Die Bewertung ob es in der freien Wildbahn einen erfolgreichen Einbruch über diese Lücke gab erspare ich mir hier. Aber Fakt ist das ein Sicherheitsforscher feststellen musste das im Bereich 100.000 Computer einfach offen im Internet diesen Dienst hatten. D.h. dort hat keine Firewall oder andere Sicherheitsmaßnahme den Zugriff von Außen blockiert. Und das ist ein Problem!
Also niemand (ich hoffe) möchte dir dein neues geiles Hobby hier schlecht reden, verbieten oder dir absprechen es auszuüben. Aber bitte nehme dir die Ratschläge die in den teils harsch formulierten Beiträgen hier dennoch zu Herzen. Du solltest dir wirklich erst einmal anschauen wie die Firewall deines neuen Linux Servers funktioniert und wie du diese z.b. von deinen Privaten Rechner aus testen kannst.
Ich bin immer ein Freund davon, bevor ich eine Abstraktion (UFW) nutze mindestens einmal mich einzulesen wie das darunter liegende Funktioniert (nftables / iptables):Damit solltest du zumindest erst einmal gelesen haben was eigentlich die Grundlage deiner Firewall bei deinen Linux Server ist. Jetzt kannst du dir einmal UFW genauer ansehen. Dies vereinfacht es für dich deutlich. Da du dich nicht mehr darum kümmern musst in welche Reihenfolge du die nftables/iptables rules definierst und wie diese direkt beim Start deines Linux Server angewendet werden:
Hier einmal die wichtigen Basics:
- Grundsätzlich solltest du als Standard/Default Regel sämtlichen eingehenden Traffic blockieren
- sudo ufw default deny incoming
- Jetzt erlaubst du SSH
- sudo ufw allow ssh
- Schau dir einmal mit sudo ufw status an was jetzt alles an Regeln angelegt ist. Wichtig ist hier nur das du PORT 22/SSH erlaubst. Ansonsten sperrst du dich selber aus
- Jetzt kannst du UFW einschalten: sudo ufw enable
- UFW wird jetzt im Hintergrund Iptables/nftables für dich konfigurieren. Du kannst dir das Ergebnis von UFW anschauen indem du sudo iptables-save eingibts. Dann bekommst du ein Gefühl dafür wieviel Arbeit dir UFW abnimmt.
Jetzt ist es geschafft dein Server lehnt alles außer SSH ab und wie geht es weiter? Dein Problem ist jetzt, dass Angreifer evtl versuchen dein SSH zu knacken. Du müsstest bereits erste Versuche in deinen Log finden können: tail -n 200 /var/log/auth.log. Falls nicht schätze dich glücklich. Die ersten Angriffe werden aber kommen. D.h. jetzt geht es darum deinen Zugang über SSH abzusichern. Hier gibt es viele Strategien die wichtigste aber zu allererst: Nutze keine Passwort Authentifizierung:
- Wenn du putty unter windows nutzt: https://www.lancom-systems.de/…ubkeyauth_generation.html
- Weitere ergebnisse für dich zur ansicht mit teilweise guten Anleitungen wie man das ganze aufsetzt: https://www.google.com/search?…q=putty+ssh+key+erstellen
Ein weiterer Faktor der deine SSH Sicherheit erhöhen kann ist fail2ban einzurichten:
- Allgemeines zur software: https://wiki.ubuntuusers.de/fail2ban/
- Eine Anleitung für Ubuntu mit UFW: https://www.howtoforge.de/anle…l2ban-unter-ubuntu-22-04/
Das für dich wichtige ist, den SSH jail zu aktivieren. Das sorgt dafür, dass Angreifer die sich x Mal falsch einloggen erst einmal direkt gesperrt werden.
Wenn du das ganze jetzt gemacht hast: Herzlichen Glückwunsch! Du hast deinen VPS erst einmal grob abgesichert, sodass nur SSH rein darf und wer zu häufig sich am SSH schloss versucht wird geblockt. Aber hier hört der Spaß natürlich nicht auf. Du kannst dir Elaboriertere Sicherheitsmethoden ansehen oder sogar (wenn du eine FritzBox hast) über ein Wireguard VPN den SSH zugriff zu deinen Server von außerhalb ganz sperren und nur über dein VPN zum server erreichbar machen.
Wichtig ist hier aber, es gibt NIE eine 100% Sicherheit. Du kannst leider immer das Ziel sein, wo eine neue Sicherheitslücke in der Software OpenSSH selber ausgenutzt wird, um alle deine Sicherheitsmaßnahmen zu umgehen. Aber ob ein Angreifer eine solch teure Lücke wirklich an deinen VPS nutzt mag ich mal zu bezweifeln, da gibt es lukrativere Ziele im Internet.
Wie gehts jetzt weiter? Nachdem du jetzt deinen Administrativen Zugang zu deinen VPS abgesichert hast, beginnt der noch viel Spannendere und spaßige Teil. Das Einrichten von Diensten für dich oder bekannte. Sei es für Spaßige sachen (GameServer, VoiceServer), produktive (Eigene Nextcloud mit Office anyone?!) oder andere tolle Dienste. Wichtig ist aber hier bei allem: Lies dich immer ein wenig ein bevor zu eine neue Technologie verwendest. Apache Webserver? --> Google was du beachten musst wenn du den sicher betreiben willst. Mach dich schlau wie Dateirechte funktionieren in Linux ( https://wiki.selfhtml.org/wiki/Linux/Dateirechte ). Wenn du einen neuen Dienst ausprobieren willst: Schalte am bestenn immer erst einmal nur deine Eigene IP in deiner firewall frei. Ein Beispiel an einen HTTP/HTTPS server wie Apache/nginx:
- Gehe auf https://myip.wtf/ und schreib deine IP auf
- Welche Ports braucht dein Dienst? (80 und 443)
- Welches Protokoll (TCP)
- sudo ufw allow from 1.2.3.4 to any port 80
- sudo ufw allow from 1.2.3.4 to any port 443
Jetzt kannst nur du darauf zugreifen und weiter testen und/oder z.b. einen Webinstaller von Nextcloud oder Wordpress oder whatever nutzen. Ohne das jemand darüber Stolpert und es direkt ausnutzen kann.
Wenn du diese paar Sicherheitsmaßnahmen befolgst senkst du dein Risiko bereits enorm. Sicherer geht es immer. Was aber gerne viele missachten ist, dass zu deinen Sicherheitskonzept auch immer die Frage sein sollte: Wer möchte mich angreifen? Wie viele Ressourcen möchte mein Angreifer aufwenden um rein zu kommen. Wenn du dir diese Fragen stellst bist und dir das einmal angucken möchtest. Schau dir einfach die BSI sachen dazu an: https://www.bsi.bund.de/DE/The…tionssicherheit_node.html
Vorsicht aber das sind sehr dicke Schinken und gehen meist auch nur Oberflächlich mit Buzzwords ran ohne konkrete Technische Lössungen für dein Debian vorzuschlagen.
Ich habe inzwischen verstanden, wie man z.B. mit UFW umgeht, und mir ist auch klar, dass es aus Sicherheitsgründen besser ist, nicht als Root zu arbeiten, sondern stattdessen Sudo zu verwenden. Es ist nicht so, dass ich gar nichts über Server weiß. Bei einem anderen Anbieter, den ich früher genutzt habe, konnte man die Firewall-Konfiguration über ein Webpanel vornehmen, daher war mir UFW bis jetzt nicht bekannt.
Ja. Aber auf Seitenstraßen. Auf die Autobahn durftest du erst, als du das Fahrzeug beherrschen konntest.
Auf deiner VM zu Hause bist du ja auch nicht absolut sicher. Die Client Lücken können dich auch da erwischen. Eine Firewall ist nicht alles, es gehört mehr dazu, ein System abzusichern.
Aber das ist hier nicht das Thema wenn du nicht helfen möchtest dann lass es
Ja. Aber auf Seitenstraßen. Auf die Autobahn durftest du erst, als du das Fahrzeug beherrschen konntest.
Stimmt auch nicht ganz auch da hatte ich das Farzeug noch nicht ganz unter kontrolle sont wehre es nicht abgesoffen wo ich auf die autobahn fahren wollte
Und was ist daran schlecht? Wäre es lobenswerter, ihn eiskalt in die Falle laufen zu lassen und sich dann hinterher scheckig zu lachen, wenn er hohe Strafzahlungen leisten muss? Natürlich erhofft er sich eine andere Antwort, aber er muss es halt lernen. Und Autofahren lernt man auch nicht auf dem Nürburg-Ring, sondern auf kleinen Seitenstraßen, wo außer dem Fahrschüler niemand unterwegs ist.
Das stimmt so nicht ich wahr in der Fahrschule Öffentliche Seitenstraßen unterwegs nicht auf denn Verkehrsübungsplatz
Display MoreHallo Flaschensammler.
Netcup ist ein echt guter Online Anbieter.
Aber für deine Fragen bist du hier echt im falschen Forum gelandet.
Bei den vielen "Profis" hier wirst du nicht "gelehrt" sondern eher "belehrt".
Warte mal ab was für ein Shitstorm auf diese Bemerkung folgt...
Deine Linux Installation ist eine sog. Grundinstallation oder auch Minimalinstallation von Debian Bookworm (Bookworm=Versionsname).
Da ist erst mal nix drauf, außer dass du dich anmelden kannst und von Netcup ein ROOT Passwort bekommen hast.
UFW ist eine Firewall, die du erst einmal installieren musst.
Empfehle das über die Konsole über das SCP von Netcup zu machen. Mit SSH hast du dich sehr schnell selber ausgesperrt.
Wenn Fragen sind, melden....
Schönen Feiertag
Vielen Dank für deine kontinuierliche Hilfe. Ja, das mit diesen 'Profis' hier ist mir auch schon aufgefallen – sie belehren lieber, als wirklich zu helfen. Offenbar haben sie alle die Weisheit mit Löffeln gefressen und wissen jetzt alles dir auch einen Schönen Feiertag
wie wärs mit ufw erst installieren?
Danks sehr Für deine Hilfe
Aber nicht auf einem Server, sondern in Sicherheit zu Hause! So haben "Profis" angefangen.
Und warum es uns angeht, warum es DAS Thema sein sollte: weil genau solche Server dafür verantwortlich sind, dass das ganze Netcup Netz häufig auf Blacklists landet. Weil genau solche Server dafür verantwortlich sind, dass man mit DDoS angegriffen wird. Weil genau solche Server zusammen mit anderen anderswo Infrastrukturen bedrohen und lahmlegen.
Nochmal: ein Rootserver ist absolut nichts um "Linux zu lernen". Gib das Ding wieder zurück, komm wieder, wenn Du Dich mit Linux auskennst und Deine Eingangsfrage selbst beantworten kannst. Dann herzlich willkommen im Kreis der Serveradmins.
Ich habe lediglich nach den freizugebenen Ports in deiner Firewall gefragt, nicht nach deiner persönlichen Meinung darüber, ob jemand wie ich einen Rootserver besitzen darf oder ob ich das zum Lernen nutzen kann. Das war nicht Teil meiner Frage. Also zurück zum Thema, danke! Ich wünsche dir noch einen schönen Abend.
In dem Fall, rein rechtlich leider schon.
Das war hier auch nicht das Thema, also lasst uns bitte beim Thema bleiben. Danke.
Das war hier auch nicht das Thema, also lasst uns bitte beim Thema bleiben. Danke.