Wie ist meine absicherung eines Root Servers auf LinuxDebian

[LinuxLover]

Der benutzer System wurde von einem Techniker erstellt der benutzer wurde aber nie verwendet.

Warte mal, woher kenne ich den Benutzer System ?
Ach ja, aus der Windowswelt, kann es sein, dass da ein Windowsadmin, Hybridadmin spielt ?

Keine Ahnung aber er sagte der muss wegen Proftpd drinn bleiben.
Hab System in /etc/ssh/sshd_config rausgenommen backup wird gezogen und die nacht durch gemacht und den server absichern!!!
Deshalb will ich keinen meinen Root anvertrauen ...
Gut zugegeben mit der Passwort text file war dumm fall ich nen trojaner habe kann der Cracker meinen Root gleich zu seinem Botnet hinzufügen.
Ich liebe aber so lange Passwörter aus allen möglichen zahlen.
Gibts ne möglichkeit wo ich diese aufbewahren kann also nicht in echt sondern am pc vl verschlüsseln und wenn ich sie brauche dann entschlüsseln und sie kopieren und wieder aus dem zwischenspeicher entfehrnen?
Welches ist ein gutes verschlüsselungs Programm oder lieber mit AuthorizedKeysFile arbeiten?

[LinuxLover]

Hat Gentoo die gleichen Befehle?
Was ist daran den so besonders?

[swirlen]

Der benutzer System wurde von einem Techniker erstellt der benutzer wurde aber nie verwendet.

Warte mal, woher kenne ich den Benutzer System ?
Ach ja, aus der Windowswelt, kann es sein, dass da ein Windowsadmin, Hybridadmin spielt ?

Keine Ahnung aber er sagte der muss wegen Proftpd drinn bleiben.
Hab System in /etc/ssh/sshd_config rausgenommen backup wird gezogen und die nacht durch gemacht und den server absichern!!!
Deshalb will ich keinen meinen Root anvertrauen ...
Gut zugegeben mit der Passwort text file war dumm fall ich nen trojaner habe kann der Cracker meinen Root gleich zu seinem Botnet hinzufügen.
Ich liebe aber so lange Passwörter aus allen möglichen zahlen.
Gibts ne möglichkeit wo ich diese aufbewahren kann also nicht in echt sondern am pc vl verschlüsseln und wenn ich sie brauche dann entschlüsseln und sie kopieren und wieder aus dem zwischenspeicher entfehrnen?
Welches ist ein gutes verschlüsselungs Programm oder lieber mit AuthorizedKeysFile arbeiten?

wie wäre ein 2k ssh-key den du nochmal mit einer passphrase verschlüsselst,... eine ca 8 stellige passphrase reicht auch völlig aus ... die kann man sich besser merken als eine 100 oder 120 stellige...

edit:
ja, damit meine ich ein AuthorizedKeysFile

was ich auch gerne benutze ist "sudo" damit kann ich benutzer bestimme rechte zuweisen... ich habe dabei zb ein user mit dem ich mich ein logge und per sudo den server updaten kann... dafür brauche ich mich dann nicht immer zusätzlich als root einloggen

[charno]

Falls niemand ausser dir FTP-Zugang braucht, dann würde ich den proftpd gleich rausschmeissen, und stattdessen SCP verwenden. Mit WinSCP gibt es da auch einen guten Windows-Client. Dann kannst du auch den System-User gleich loswerden.

Allgemein ist es grundsätzlich eine gute Idee, wenn du eine virtuelle Maschine bei dir zuhause aufsetzt, um noch etwas zu üben. Bei einem Server im Internet hast du halt das Risiko, dass du mit 100mbit bzw. 1gbit rumspammst, bei einem Heimanschluss ist das wohl so schnell nicht der fall.

Für die lokale Passwortverwaltung gibt es Passwort-Manager, z.B. http://www.keepassx.org/downloads/.

Für mich macht der Thread eigentlich vor Allem klar, dass du (zu?) wenig Erfahrung im Betrieb eines Servers hast, dir aber ziemlich genau die richtigen Gedanken um die Sicherheit machst. Lass dich also nicht allzu sehr entmutigen durch die teilweise doch sehr hart formulierte Kritik, und wechsle nicht auf Gentoo (das ist doch nochmals einiges komplexer). Ich würde dir aber schwer empfehlen, den Server nochmals für einen Monat oder so auf die Seite zu legen, und dein Szenario zuerst auf einer virtuellen Maschine zu basteln.

Die Warnung über /etc/.java ist wohl auch ein false positive, und kann auch gewhitelistet werden. Diese wird offenbar durch sun- bzw. oracle-java angelegt, und dies wird wohl für minecraft benötigt.

Betreffend Mail-Server: Ich würde dir schwer empfehlen, einen Mail-Server einzurichten, um dir z.B. regelmässig die Log-Dateien zuzusenden. Debian installiert standardmässig bereits exim4 (bzw. tat das vor einiger Zeit, als ich das letzte mal neu installierte). Diesen kannst du konfigurieren, um als smart-host zu arbeiten, und Mails über einen anderen Mail-Server zu versenden. Das ist dann relativ risikolos. Dann kannst du auch gleich apticron einrichten, das dir eine Mail sendet sobald updates zu installieren sind.

Swirlens post in der Zwischenzeit (Authorized Keys) ist auch ein guter Hinweis.

[charno]

was ich auch gerne benutze ist "sudo" damit kann ich benutzer bestimme rechte zuweisen... ich habe dabei zb ein user mit dem ich mich ein logge und per sudo den server updaten kann... dafür brauche ich mich dann nicht immer zusätzlich als root einloggen

swirlen: Worin siehst du da den Vorteil gegenüber einem "su", wenn der Server nur von einer Person verwaltet wird?

[Blackbox]

Saxman

Du weißt $JEMAND den richtigen Weg in Richtung Wand.

@ LinuxLover: Mein letzter Tipp in diesem Thread ist, beschäftige dich mit den Grundlagen, bevor du einen Rootserver betreibst !
Ich klinke mich an dieser Stelle aus.

[swirlen]

ja FTP ich ich benutze lieber SFTP das wird mit der SSH benutzt... also kein extra programm und du kannst es auch mit einen client wie zb filezilla benutzen, auch mit einen ssh-keyfile... wenn du noch anderen sftp-zugang geben möchtest... aber keinen bash zugang erlauben willst... also rein sftp dann könnte auch das helfen (sftp ist verschlüsselt aber langsam... aber sicherer)
*so wird es gemacht*

Code: Alles auswählen

sftp user only
passwd
• in der passwd die shell von bash auf false
sshd_config
• unter UsePAM
∘ Match Group sftp
∘         ChrootDirectory %h
∘         ForceCommand internal-sftp
∘         AllowTcpForwarding no
chroot umgebung
• chown root /home/chroot
• chmod go-w /home/chroot
• mkdir /home/chroot/writeable
• chown user:sftp /home/chroot/writeable
• chmod ug+rwX /home/chroot/writeable

was ich auch gerne benutze ist "sudo" damit kann ich benutzer bestimme rechte zuweisen... ich habe dabei zb ein user mit dem ich mich ein logge und per sudo den server updaten kann... dafür brauche ich mich dann nicht immer zusätzlich als root einloggen

swirlen: Worin siehst du da den Vorteil gegenüber einem "su", wenn der Server nur von einer Person verwaltet wird?

hm so spart er sich die passwd eingabe von statt 120 stellen auf nur 100

[charno]

was ich auch gerne benutze ist "sudo" damit kann ich benutzer bestimme rechte zuweisen... ich habe dabei zb ein user mit dem ich mich ein logge und per sudo den server updaten kann... dafür brauche ich mich dann nicht immer zusätzlich als root einloggen

swirlen: Worin siehst du da den Vorteil gegenüber einem "su", wenn der Server nur von einer Person verwaltet wird?

hm so spart er sich die passwd eingabe von statt 120 stellen auf nur 100

Ja gut, wennn ein PW Manager verwendet wird ist das ja ein wenig egal

[LinuxLover]

hm so spart er sich die passwd eingabe von statt 120 stellen auf nur 100

Ne ich habs immer aus ner Passwort file kopiert

[swirlen]

Meine Passwörter habe ich in einer Passwort.txt datei ist das nicht gut?

Scherz?

nein!

[LinuxLover]

Falls niemand ausser dir FTP-Zugang braucht, dann würde ich den proftpd gleich rausschmeissen, und stattdessen SCP verwenden. Mit WinSCP gibt es da auch einen guten Windows-Client. Dann kannst du auch den System-User gleich loswerden.

Allgemein ist es grundsätzlich eine gute Idee, wenn du eine virtuelle Maschine bei dir zuhause aufsetzt, um noch etwas zu üben. Bei einem Server im Internet hast du halt das Risiko, dass du mit 100mbit bzw. 1gbit rumspammst, bei einem Heimanschluss ist das wohl so schnell nicht der fall.

Für die lokale Passwortverwaltung gibt es Passwort-Manager, z.B. http://www.keepassx.org/downloads/.

Für mich macht der Thread eigentlich vor Allem klar, dass du (zu?) wenig Erfahrung im Betrieb eines Servers hast, dir aber ziemlich genau die richtigen Gedanken um die Sicherheit machst. Lass dich also nicht allzu sehr entmutigen durch die teilweise doch sehr hart formulierte Kritik, und wechsle nicht auf Gentoo (das ist doch nochmals einiges komplexer). Ich würde dir aber schwer empfehlen, den Server nochmals für einen Monat oder so auf die Seite zu legen, und dein Szenario zuerst auf einer virtuellen Maschine zu basteln.

Die Warnung über /etc/.java ist wohl auch ein false positive, und kann auch gewhitelistet werden. Diese wird offenbar durch sun- bzw. oracle-java angelegt, und dies wird wohl für minecraft benötigt.

Betreffend Mail-Server: Ich würde dir schwer empfehlen, einen Mail-Server einzurichten, um dir z.B. regelmässig die Log-Dateien zuzusenden. Debian installiert standardmässig bereits exim4 (bzw. tat das vor einiger Zeit, als ich das letzte mal neu installierte). Diesen kannst du konfigurieren, um als smart-host zu arbeiten, und Mails über einen anderen Mail-Server zu versenden. Das ist dann relativ risikolos. Dann kannst du auch gleich apticron einrichten, das dir eine Mail sendet sobald updates zu installieren sind.

Swirlens post in der Zwischenzeit (Authorized Keys) ist auch ein guter Hinweis.

Danke für die gute Antwort!.

Das problem liegt hierbei nahe das unser Projekt soll bald online gehen wird und TS und Spiel Server online sein müssen.

Erfahrungen habe ich schon ein wenig gesammelt nur weiß ich nicht wo ich am besten Deutsche anleitungen her bekomme.

Da das Projekt einen laufenden Server benötigt werde ich den Server einfach jetzt so gut ich es kann absichern.
Kannst du mir ein wenig was sagen was ich da tun kann also welche Programme ich verwenden kann.

Ich bin halt noch Schüler in der 8Klasse und habe ein wenig was zu tun da ich ja vor hab mich auf dem Bereich IT-Security fest zulegen (In eine höhere Schule gehen und dann als IT-Security Audit arbeiten) kann ich mir aber bestimmt zeit nehmen.

MfG

[charno]

Naja, das wohl wichtigste hast du eigentlich schon: rkhunter, fail2ban und iptables. Die musst du jetzt einfach noch gescheit konfigurieren

iptables halt so, dass möglichst wenig reinkommt, aber das was du brauchst halt doch durchkommt.
Fail2ban so, dass es für alle Dienste greift, und ein Angreifer nicht unendlich viele Versuche hat ein Passwort zu erraten (falls die Gameserver username/passwort-schutz anbieten und logfiles schreiben, dann auch diese beachten!)
rkhunter regelmässig laufen lassen. Das Ergebnis per mail versenden.

All diese Programme sind natürlich keine Garantie! Ein wichtiges Einstiegstor sind immer auch Programme, die nicht automatisch mit debian aktualisiert werden (also in deinem Fall wohl die Gameserver). Da musst du dich selbst um die Aktualisierung kümmern, schau da doch mal ob es entsprechende Mail-Listen gibt über die du bei Aktualisierungen informiert wirst.

Allgemein ist es halt so, dass es keine magischen Sicherheitsprogramme gibt, und die für linux (im Gegensatz zu Windows) niemand verspricht. Sicherheit bedeutet immer, sich mit der Materie auseinanderzusetzen, und sein möglichstes zu tun.

Kannst du mal für die Übersicht die Ausgaben von

Code: Alles auswählen

ps aux
netstat -tlpn

als Root generieren lassen, und nach pastebin.php schieben und hier verlinken? Dann können wir mal schauen, ob da etwas wichtiges übersehen wurde.

lg

[LinuxLover]

Naja, das wohl wichtigste hast du eigentlich schon: rkhunter, fail2ban und iptables. Die musst du jetzt einfach noch gescheit konfigurieren

iptables halt so, dass möglichst wenig reinkommt, aber das was du brauchst halt doch durchkommt.
Fail2ban so, dass es für alle Dienste greift, und ein Angreifer nicht unendlich viele Versuche hat ein Passwort zu erraten (falls die Gameserver username/passwort-schutz anbieten und logfiles schreiben, dann auch diese beachten!)
rkhunter regelmässig laufen lassen. Das Ergebnis per mail versenden.

All diese Programme sind natürlich keine Garantie! Ein wichtiges Einstiegstor sind immer auch Programme, die nicht automatisch mit debian aktualisiert werden (also in deinem Fall wohl die Gameserver). Da musst du dich selbst um die Aktualisierung kümmern, schau da doch mal ob es entsprechende Mail-Listen gibt über die du bei Aktualisierungen informiert wirst.

Allgemein ist es halt so, dass es keine magischen Sicherheitsprogramme gibt, und die für linux (im Gegensatz zu Windows) niemand verspricht. Sicherheit bedeutet immer, sich mit der Materie auseinanderzusetzen, und sein möglichstes zu tun.

Kannst du mal für die Übersicht die Ausgaben von

Code: Alles auswählen

ps aux
netstat -tlpn

als Root generieren lassen, und nach pastebin.php schieben und hier verlinken? Dann können wir mal schauen, ob da etwas wichtiges übersehen wurde.

lg

Ok davor werde ich jetzt alles so gut wie ich kann absichern danke für deine Mithilfe!

[LinuxLover]

Soll ich die Installation nehmen (LAMP) mit standart Programmen die schon installiert sind oder eine Minimalinstallation.
Ich würd LAMP ja eher nehmen weil bei minimal muss ich mysql apache webmin selbst installieren und dann könnte es dort wieder Probleme geben...

P.S Danke für alle Sinvollen Beiträge von euch

[charno]

Ich würde die Minimalinstallation nehmen, die ist am Anfang wirklich sehr minimal. Dann zuerst SSH absichern, iptables einrichten. Dannach die Services, die du wirklich brauchst aufsetzen, und einzeln ports freischalten. Bei den Services immer darauf achten, so wenig wie möglich zu öffnen und so vernagelt wie möglich konfigurieren.

[LinuxLover]

Ich würde die Minimalinstallation nehmen, die ist am Anfang wirklich sehr minimal. Dann zuerst SSH absichern, iptables einrichten. Dannach die Services, die du wirklich brauchst aufsetzen, und einzeln ports freischalten. Bei den Services immer darauf achten, so wenig wie möglich zu öffnen und so vernagelt wie möglich konfigurieren.

Ok das werde ich so machen ich melde mich mit zurrück wenn ich fertig bin ich, ich habe grad angefangen das system wird jetzt grad installiert.

[artemis]

Wichtig ist mMn noch, dass dir das absichern alles nix nützt, wenn du zuhause ein System verwendest, welches kompromittiert wurde. Dann kann man einfach deine Passwörter oder ssh Keys dort abgreifen.

Nur so als Info Also alle Regeln für einen Root-Server auch auf das Admin System anwenden.

Viel Spass trotzdem, und lass dich nicht entmutigen. Auch wenn hier viele so tun, es ist noch kein Meister vom Himmel gefallen. Manche Dinge brauchen etwas Zeit

Bis dann,
artemis

[LinuxLover]

Wichtig ist mMn noch, dass dir das absichern alles nix nützt, wenn du zuhause ein System verwendest, welches kompromittiert wurde. Dann kann man einfach deine Passwörter oder ssh Keys dort abgreifen.

Nur so als Info Also alle Regeln für einen Root-Server auch auf das Admin System anwenden.

Viel Spass trotzdem, und lass dich nicht entmutigen. Auch wenn hier viele so tun, es ist noch kein Meister vom Himmel gefallen. Manche Dinge brauchen etwas Zeit

Bis dann,
artemis

Danke für die Antwort!.Ja da hast du recht ich versuche natürlich auch mein System abzusichern.
Leider wurde noch kein AV Programm entwickelt das alle Viren/Trojaner/Würmer erkennt.
Wäre es eine Idee ein Linux Debian system zu verwenden dort die Ports so schalten das nur noch der Port offen für Putty/WinSCP ist.
Nur würde das Zweitsystem auch wenn es auf einer andren platte liegt mein SSD Raid 0 am PC verlangsamen... (Überlegen)

Mit dem absichern hab ich bis jetzt erst Fail2Ban gemacht mit IPTables muss unser Techniker machen der zeigts mir dann auch wies funktioniert.
Ich werde Root noch sperren und das pw mit keepassx verschlüsseln und meine 2Benutzer mit AuthorizedKeysFile machen.
Eventuell kommt noch ein Skript rein was dann jeden tag ein apt-get update && apt-get upgrade macht.

Ich werde alles was ich gemacht hab (alle configurations datein (Fail2Ban, IPTables sshd_config)) rein Posten.


LG

[charno]

Ein Debian auf einer anderen Platte sollte dein SSD-Raid nicht verlangsamen. Unter Windows wird die Debian-Platte ja nicht angesprochen, dh. du hast immer noch die ganze Bandbreite zum SATA-Controller (Im Normalfall ja sowieso auf dem Chipsatz, dh. sehr hoher Durchsatz) für die beiden SSDs. Was hast du da für Durchsätze?

Wenn du danach anfängst, die einzelnen Services zu konfigurieren würde ich dir auch empfehlen, jeweils im entsprechenden Unterforum noch einen eigenen Thread aufzumachen. Als Sticky-Post findest du eigentlich auch immer eine Links-Sammlung, und das Wiki des Forum ist auch sehr empfehlenswert.

[minimike]

Ich halte es für Fatal das jemand rein privat sich einen Server besorgt dessen Dienste im Internet verfügbar sind. Einem Entwickler gebe ich nur mit Knurren lesenden Zugriff auf Datenbanken. Und gar nicht per SSH oder sonst wie auf Server. Das Administrieren eines Servers ist mittlerweile ein eigener Beruf. Wer es denoch macht ist aus dieser Sicht hin in den meisten Fällen meiner Meinung einfach nur dämlich. Es rechnet sich wirtschaftlich sowie auch mit anderen Benefits hin einfach nicht. Das ist fast noch dümmer als SystemD.
Der Aufwand sich das erforderliche Fachwissen zu Erarbeiten ist immens. Zudem muss man sich immer auf dem Laufenden halten. Bei mir auf der Arbeit hat ein Kollege schon bei mir verloren wenn er eine Arbeit nicht machen will und argumentiert das hat er noch nie oder lange nicht gemacht. Ich fände dann es wäre dann an der Zeit für ihn was anderes zu tun. Und nicht mehr diesen Arbeitsplatz zu Blockieren. Eventuell wäre ein Penner von der Straße dann schon besser hierfür geeignet. Besonders wenn der Arbeitgeber uns inoffiziell als gentleman agreement sofern der Betrieb nicht darunter leidet einen unbestimmten Anteil von Arbeitszeit frei verfügbar gewährt um vorhandene Skills zu schärfen, aufzufrischen oder auch mal etwas neues zu Lernen. Letzeres ist meist bei bestimmten Infrastrukturprojekten eh erforderlich

Leider hatten einige die vor mir schrieben nicht Sachdienlich darauf hingewiesen. Der erste Beitrag war in meinen Augen recht entäuschend. Wie wäre es wenn man solche Härtefälle nicht auf eine Standardseite mit FAQ verweisst? Hartnäckige werden dann daran erinnert und bei unverbesserlichen wird der Beitrag gesperrt.

[DeletedUserReAsG]

Dümmer, als es immer noch „SystemD“ zu schreiben, kann man’s bald wirklich nicht mehr machen.

Ansonsten stimme ich allenfalls in dem Punkt überein, dass man die benötigten Fertigkeiten nicht von heute auf morgen erwerben kann. Wer sich jedoch gerne damit beschäftigt und einen Server fahren will, sollte das auch tun können, ohne dass es sein Beruf ist. Letztlich ist’s nur eine weitere Maschine im Netz – weder Geheimwissenschaft, noch Hexenwerk, und durchaus handhabbar. Auch, wenn Berufsadmins dadurch nun einen Angriff auf ihre Ehre sehen ….

Die nötigen Kenntnisse kann man sich lokal erarbeiten, und das war eigentlich auch schon der einzige Fehler hier im Thread – dass ohne Grundlagen gleich mal ’ne Maschine im RZ gemietet wurde.

[LinuxLover]

Ich halte es für Fatal das jemand rein privat sich einen Server besorgt dessen Dienste im Internet verfügbar sind. Einem Entwickler gebe ich nur mit Knurren lesenden Zugriff auf Datenbanken. Und gar nicht per SSH oder sonst wie auf Server. Das Administrieren eines Servers ist mittlerweile ein eigener Beruf. Wer es denoch macht ist aus dieser Sicht hin in den meisten Fällen meiner Meinung einfach nur dämlich. Es rechnet sich wirtschaftlich sowie auch mit anderen Benefits hin einfach nicht. Das ist fast noch dümmer als SystemD.
Der Aufwand sich das erforderliche Fachwissen zu Erarbeiten ist immens. Zudem muss man sich immer auf dem Laufenden halten. Bei mir auf der Arbeit hat ein Kollege schon bei mir verloren wenn er eine Arbeit nicht machen will und argumentiert das hat er noch nie oder lange nicht gemacht. Ich fände dann es wäre dann an der Zeit für ihn was anderes zu tun. Und nicht mehr diesen Arbeitsplatz zu Blockieren. Eventuell wäre ein Penner von der Straße dann schon besser hierfür geeignet. Besonders wenn der Arbeitgeber uns inoffiziell als gentleman agreement sofern der Betrieb nicht darunter leidet einen unbestimmten Anteil von Arbeitszeit frei verfügbar gewährt um vorhandene Skills zu schärfen, aufzufrischen oder auch mal etwas neues zu Lernen. Letzeres ist meist bei bestimmten Infrastrukturprojekten eh erforderlich

Leider hatten einige die vor mir schrieben nicht Sachdienlich darauf hingewiesen. Der erste Beitrag war in meinen Augen recht entäuschend. Wie wäre es wenn man solche Härtefälle nicht auf eine Standardseite mit FAQ verweisst? Hartnäckige werden dann daran erinnert und bei unverbesserlichen wird der Beitrag gesperrt.

Manche verstehen meinen Thread nicht ...
Ich habe diesen Thread nicht gemacht um mir anhören zu müssen das ich erstmal alles erlernen sollte und ich sowieso keinen Root haben sollte blablabla.
Wer es immernoch nicht verstanden hat kann gehen der Thread ist nicht da das ich mir standpauken von leuten anhören muss sondern um mir Ideen zu holen wie ich mein System besser abschützen kann!

Hier noch mal danke an dich charno du bist wirklich fast der einzige der mir hier groß weiter hilft!

Natürlich ist mein System nicht perfekt abgesichert ist klar deshalb will ich es ja besser absichern.

Ich habe nebenbei einen Techniker gefragt der das absichern von systemen in der Arbeit ausführt gefragt wie es so mit der absicherung meines alten systems war.

Und er sagte das die grund absicherung schonmal ok sei aber ich noch einiges machen kann sollte.

LG

[LinuxLover]

Ein Debian auf einer anderen Platte sollte dein SSD-Raid nicht verlangsamen. Unter Windows wird die Debian-Platte ja nicht angesprochen, dh. du hast immer noch die ganze Bandbreite zum SATA-Controller (Im Normalfall ja sowieso auf dem Chipsatz, dh. sehr hoher Durchsatz) für die beiden SSDs. Was hast du da für Durchsätze?

Wenn du danach anfängst, die einzelnen Services zu konfigurieren würde ich dir auch empfehlen, jeweils im entsprechenden Unterforum noch einen eigenen Thread aufzumachen. Als Sticky-Post findest du eigentlich auch immer eine Links-Sammlung, und das Wiki des Forum ist auch sehr empfehlenswert.

Hier

[charno]

Ansonsten stimme ich allenfalls in dem Punkt überein, dass man die benötigten Fertigkeiten nicht von heute auf morgen erwerben kann. Wer sich jedoch gerne damit beschäftigt und einen Server fahren will, sollte das auch tun können, ohne dass es sein Beruf ist. Letztlich ist’s nur eine weitere Maschine im Netz – weder Geheimwissenschaft, noch Hexenwerk, und durchaus handhabbar. Auch, wenn Berufsadmins dadurch nun einen Angriff auf ihre Ehre sehen ….

Die nötigen Kenntnisse kann man sich lokal erarbeiten, und das war eigentlich auch schon der einzige Fehler hier im Thread – dass ohne Grundlagen gleich mal ’ne Maschine im RZ gemietet wurde.

Ja, sehe ich auch so. Ich hab z.B. privat einen Server, weil ich meine Daten gerne unter meiner Kontrolle habe, und nicht bei einer NSA-Integrierten Datenkrake abliefern will. Dazu betreibe ich halt meinen eigenen Server. Mein Wissen habe ich allerdings zu einem grossen Teil beruflich angeeignet.

Das mit "ohne Grundlagen" finde ich in diesem Fall etwas hart, ich finde hier sind grundsätzlich vom OP die richtigen Überlegungen eingebracht worden, und ein gesundes Sicherheitsbewusstsein sowie ein grundsätzliches Verständnis für das System ist vorhanden. Nachdem klar wurde, dass das System nicht in einem vom OP bekannten Zustand ist, kam er auch selbst auf die Idee dieses neu aufzusetzen.

Klar wäre es besser gewesen, das mal lokal zu üben, aber irgendwann folgt halt der Sprung ins böse Internet. Und solange gewisse Standards eingehalten werden, ist die Sicherheit vor Scriptkiddies und Bots gegeben. Gegen einen gezielten Angriff sind wohl die wenigsten Server wirklich sicher, dafür gibts zu viele 0-Day-Exploits die käuflich sind. Ein Gameserver ist da allerdings wirklich nicht so gefährded (ausser der OP ist zufällig bei PietSmiet oder einem ähnlich bekannten Projekt involviert).

Eine FAQ finde ich eine gute Idee.

[LinuxLover]

Ansonsten stimme ich allenfalls in dem Punkt überein, dass man die benötigten Fertigkeiten nicht von heute auf morgen erwerben kann. Wer sich jedoch gerne damit beschäftigt und einen Server fahren will, sollte das auch tun können, ohne dass es sein Beruf ist. Letztlich ist’s nur eine weitere Maschine im Netz – weder Geheimwissenschaft, noch Hexenwerk, und durchaus handhabbar. Auch, wenn Berufsadmins dadurch nun einen Angriff auf ihre Ehre sehen ….

Die nötigen Kenntnisse kann man sich lokal erarbeiten, und das war eigentlich auch schon der einzige Fehler hier im Thread – dass ohne Grundlagen gleich mal ’ne Maschine im RZ gemietet wurde.

Ja, sehe ich auch so. Ich hab z.B. privat einen Server, weil ich meine Daten gerne unter meiner Kontrolle habe, und nicht bei einer NSA-Integrierten Datenkrake abliefern will. Dazu betreibe ich halt meinen eigenen Server. Mein Wissen habe ich allerdings zu einem grossen Teil beruflich angeeignet.

Das mit "ohne Grundlagen" finde ich in diesem Fall etwas hart, ich finde hier sind grundsätzlich vom OP die richtigen Überlegungen eingebracht worden, und ein gesundes Sicherheitsbewusstsein sowie ein grundsätzliches Verständnis für das System ist vorhanden. Nachdem klar wurde, dass das System nicht in einem vom OP bekannten Zustand ist, kam er auch selbst auf die Idee dieses neu aufzusetzen.

Klar wäre es besser gewesen, das mal lokal zu üben, aber irgendwann folgt halt der Sprung ins böse Internet. Und solange gewisse Standards eingehalten werden, ist die Sicherheit vor Scriptkiddies und Bots gegeben. Gegen einen gezielten Angriff sind wohl die wenigsten Server wirklich sicher, dafür gibts zu viele 0-Day-Exploits die käuflich sind. Ein Gameserver ist da allerdings wirklich nicht so gefährded (ausser der OP ist zufällig bei PietSmiet oder einem ähnlich bekannten Projekt involviert).

Eine FAQ finde ich eine gute Idee.

Danke für die Antwort!
Ich weiss das das ich sag mal dumm war sich gleich nen Server zu mieten.
Aber villeicht glaubt ihrs nicht ich hab sogar mit ner Lokalen Maschiene angefangen nur war keine Zeit mehr dann holte ich mir nen VServer Leistung war ziemlich wenig und ausfälle hats auch gegeben deshalb jetzt nen Root aber egal und ich kenne mich auch schon ein wenig mit Linux aus nur wenn ich z.b IPTables aufsetzen will finde ich einfach keine guten deutschen Tutorials dazu deshalb wird mir das unser Techniker machen und erklären (wenn er hoffentlich bald zeit hat) Es wird ja ein Minecraft Server da ist leider die Wahrscheinlichkeit hoch auch bei geringen Userzahlen ein Skrip Kiddy erwischt zu haben.

Und ich hoffe das der Techniker endlich mal Zeit hat.

LG