Vom Suse Rootserver zum Debian System.

[Hacktik]

Hallo ich habe mir einen Root Server angemietet auf dem zur Zeit noch Suse laeuft. Nun moechte ich diesen aber zu Debian "konvertieren".

Eigentlich habe ich ja einen versiehrten Debian User im Bekanntenkreis der mir damit helfen moechte (blackm)

leider ist er gerade abkoemmlich und ich wollt schon mal nen bissel was mit dem server machen.

Nun hab ich ein Problem wie fange ich am besten an. Hat jemand von euch schonmal etwas aehnliches gemacht und wenn ja wie seid ihr dabei vorgegangen?

Habe diverse Grundkenntnisse im umgang mit Linux aber bin nicht der Profi auf dem gebiet, waer also schoen wen es etwas ausfuehrlich erklaert wird !

ielen dank fuer eure Muehe.

By, Stefan

[systemdefender]

... mach ich regelmässig

Hallo ich habe mir einen Root Server angemietet...

wo hast du den server stehen?

gruss, sysdef.

p.S.: willkommen im forum

[Hacktik]

es ist ein 1 & 1 Server ueber Alturo gehostet. Erstmal ein kleiner preiswerter server zum eingewoehnen an die materie .

1 & 1 hat ja bekanntlich 3 Standorte in Deutschland Montabaur, Karlsruhe und Zweibruecke. Da Alturos Firmensitz in Zweibruecke ist geh ich davon aus das der Server warschein in diesem Park steht.

Alles Spekulativ


Bye Stefan

[Raoul]

Ich glaube, Du suchst
http://linux.roothell.org/debian-rootie/

Raoul

[rolo]

ich finds nicht wirklich toll einen root-server zum lernen zu benutzen (vielleicht verstehe ich dich aber auch falsch). naja, diese adressen helfen dir eventuell weiter
http://www.linux-magazin.de/Artikel/aus ... bserv.html
http://www.debianhowto.de/de/index.html

[Hacktik]

Super hat alles geklappt. Das 1&1 Suse ist weg und nach dem Reboot zeigt er mir Debian an ). Hat recht einfach geklappt.

http://linux.roothell.org/debian-rootie/

hab ich mir angesehen und genommen war klasse.

und selbst blackm ist doch einwenig stolz auf mich das ich auch was alleine schaff

Vielen Dank

Bye Stefan

[systemdefender]

hi,

falls jamand vor hat nen strato-server aufzusetzten, bitte mal bescheid sagen.

tnx.

gruss, systemdefender.

[DeletedUserReAsG]

falls jamand vor hat nen strato-server aufzusetzten, bitte mal bescheid sagen.

Habe ich gerade gemacht. Hast du Probleme damit?

cu
niemand

[systemdefender]

Habe ich gerade gemacht. Hast du Probleme damit?
cu
niemand

ich bau gerade nen script, der das automatisch macht.
suche jemand, der den mit testen würde.

sysdef.

[DeletedUserReAsG]

Bei Strato kannst du doch mit dem Webinterface selbst ein OS-Image automatisch installieren (lassen). Dort hat man auch Woody zur Auswahl. Wozu das Script?

cu
niemand

[systemdefender]

hm, ... die haben 55 GB aufs rootfs gelegt.

kein extra /tmp /var /home ... darüber, das das ne _/\_ - partitionierung ist sollte man nicht geteilter meinung sein.

soll schon _ein wenig_ sicher sein das teil.

gruss, systemdefender.

p.S.:
hab gerade mal ne kleine anleitung gesucht, bevor ich's zu erklären versuche ...
http://www.gentoo.org/doc/de/gentoo-sec ... #doc_chap2
http://www.gentoo.org/doc/de/gentoo-sec ... #doc_chap5

[DeletedUserReAsG]

Ohne jetzt eine Grundsatzdiskussion anfangen zu wollen: Mir ist es im Prinzip recht egal, ob /home, /tmp und /var eigene Partitionen haben. Einzig mögliche Fehler im FS würden mich dazu bewegen, über eigene Partitionen von /var und /home nachzudenken. Auf die Systemsicherheit an sich hat das ansonsten meiner Meinung nach keinen weiteren Einfluss (bitte schreib, wenn ich etwas nicht bedacht habe). Zur Not reichen mir auch Containerdateien, wie ich sie z.B. für /var/mysql in Verbindung mit Cryptoloop einsetze (hab da ein paar sensible Daten, auf die nach einem Shutdown möglichst nicht mehr so einfach zugegriffen werden sollte).

Ansonsten muss ich zugeben, dass ich mich mit dem Rescue-Sys von Strato noch nicht so sehr befasst habe, bei 1&1 war es ein Debian, so dass man apt für die Grundinstallation schon zur Verfügung hatte.

[edit]Ok, durch deine Links ist es einleuchtender. Trotzdem sind imho Containerdateien nicht der schlechteste Weg, zumal die auch sehr einfach gesichert und ggf. restored werden können[/edit]
cu
niemand

[systemdefender]

mir geht es halt tatsächlich darum, einen grundsicheren standartserver aufzusetzen, bei dem nicht irgendein lokaler user nen ircbot o.ä. starten kann. man hat bei dem userproblem ganz schnell mal eine datei namens vchat in /home/username/ oder /tmp liegen. da es sich um einen allgemein akzeptiertes system handeln soll, muss ich mich schon mal an die allgemein gültigen sicherheitsrichtlinien halten. (du kannst das privat gerne anders halten)

das system fährt regelmässige sicherungen und erkennt selber anhand von mehreren mechanismen, ob der server kompromitiert wurde. in diesem fall setzt er sich automatisch neu auf und fährt das letzte als sauber zu erachtende backup zurück.

da hilft mir das strato-configmenü nicht sehr weiter

gruss, systemdefender.

p.s.: zu alle dem bin ich paranoid ;D

[Raoul]

IMO sollten auf Servern getrennte Partitionen für /tmp, /var und auch /home (wenn es Benutzer mit Zugriff auf /home gibt) eingerichtet werden, und - ganz wichtig - mit Quotas versehen werden. Ansonsten kann jemand z.B. bei einem Exploid des Apachen das /var komplett zumüllen, bis der Rechner in die Knie geht.

Raoul

P.S.: Ein sich selbständig neu aufsetzendes System wäre mir aber "zu viel des Guten", ad ich Datenverlust befürchte. Ob's funktioniert würde mich aber trortdem interessieren.

[systemdefender]

...
P.S.: Ein sich selbständig neu aufsetzendes System wäre mir aber "zu viel des Guten", ad ich Datenverlust befürchte. Ob's funktioniert würde mich aber trortdem interessieren.

ein backup fährt der auch noch vor dem platt machen, klar was bringst sonst ein reinstall, wenn man nicht weiss was tatsächlich war? ob du nur die logs willst oder mehr legst du doch fest ... bleibt ja alles offen. aber man kann sich natürlich auch weiterhin aussuchen, ob man automatisch oder per befehl/email/etc. neu aufsetzten will.

gruss, sysdef.

[DeletedUserReAsG]

mir geht es halt tatsächlich darum, einen grundsicheren standartserver aufzusetzen, bei dem nicht irgendein lokaler user nen ircbot o.ä. starten kann. man hat bei dem userproblem ganz schnell mal eine datei namens vchat in /home/username/ oder /tmp liegen. da es sich um einen allgemein akzeptiertes system handeln soll, muss ich mich schon mal an die allgemein gültigen sicherheitsrichtlinien halten. (du kannst das privat gerne anders halten)

Grundsicher ist er dadurch alleine aber noch lange nicht
Mich würde interessieren, wo man diese "allgemeingültigen Sicherheitsrichtlinien" nachlesen kann. Ich bin immer bereit, neues zu lernen. Bis jetzt bin ich immer noch der Meinung, dass Container via /dev/loop ausreichend sind, und dafür die Standard-Partitionierung von Strato ok ist.
Auch die Definition "allgemein akzeptiertes System" würde ich interessieren. Imho sind meine Server auch allgemein akzeptiert
... und privat oder nicht: Die Rootserver bei Strato und sonstwo sind imho kaum kommerziell nutzbar, für mehr als ein bis zwei ernsthafte Präsenzen reicht mir die Leistung und vor allem die Ausfallsicherheit nicht aus.

das system fährt regelmässige sicherungen und erkennt selber anhand von mehreren mechanismen, ob der server kompromitiert wurde. in diesem fall setzt er sich automatisch neu auf und fährt das letzte als sauber zu erachtende backup zurück.

Feine Sache, aber sobald die Maschine kompromittiert ist, ist es nicht mehr sinnvoll, darauf zu vertrauen. Selbst Tripwire lässt sich umgehen, ist der Angreifer erstmal auf dem System. Alternative wäre, die Platten von einem anderen Serevr mittels nfs via Tunnel mounten und checken - betreibst du wirklich einen solchen Aufwand?

cu

[systemdefender]

>Grundsicher ist er dadurch alleine aber noch lange nicht

wer hat das behauptet?

>...wo man diese "allgemeingültigen Sicherheitsrichtlinien" nachlesen kann.

internet, bücher, etc. ach ... und in der computerbild ! *scnr*

>Bis jetzt bin ich immer noch der Meinung, dass Container via /dev/loop
>ausreichend sind, und dafür die Standard-Partitionierung von Strato ok ist.

finde ich auch das es vollkommen ausreicht. ich finde auch, dass ein 15 jahre altes auto vollkommen ausreichend ist. trotzdem ist _nicht jeder_ unserer meinung wobei mir auffällt, dass mir die diskussion zu müssig wird, sry.

>Auch die Definition "allgemein akzeptiertes System" würde ich interessieren.
>Imho sind meine Server auch allgemein akzeptiert

wer akzeptiert die?

>... und privat oder nicht: Die Rootserver bei Strato und sonstwo sind
>imho kaum kommerziell nutzbar...

wer behauptet das?

>Feine Sache, aber sobald die Maschine kompromittiert ist, ist es nicht mehr sinnvoll, >darauf zu vertrauen. Selbst Tripwire lässt sich umgehen, ist der Angreifer erstmal auf >dem System. Alternative wäre, die Platten von einem anderen Serevr mittels nfs via >Tunnel mounten und checken - betreibst du wirklich einen solchen Aufwand?

nein. darum geht es nicht. es geht darum innerhalb von 5-7 minuten ein system zu installieren und fertig zu konfigurieren. per knopfdruck und ohne weiters zutun vom admin. das automatische neu-aufsetzten ist nur eine zusatzoption. mehr nicht. ich muss dir das system nicht verkaufen, du musst es nicht kaufen. ich muss deins nicht kaufen und du musst mir deins nicht verkaufen. war's das jetzt?

...</FLAME> ok?

desweiteren geht diese diskussion nun ziemlich an meiner frage vorbei. ich such leute die das vielleicht testen wollen.

gruss, sysdef.

[Raoul]

Ich denke, ein IDS (-> snort, aide oder tripwire) sollte erstmal reichen. Mit einem automatischen Backup macht man sich nur die spätere Analyse (->sleuthkit) schwerer. Denke ich zumindest, aber ich laß mich gerne vom Gegnteil überzeugen. Hat einrer noch nen Server zum spielen?

Raoul

P.S.: Kein Streß, Jungs

[systemdefender]

quoting Raoul
>Ich denke, ein IDS (-> snort, aide oder tripwire) sollte erstmal reichen.

fürs erste denke ich auch. das schliesst weiteres ja nicht aus.

>Mit einem automatischen Backup macht man sich nur die spätere
>Analyse (->sleuthkit) schwerer. Denke ich zumindest,
>aber ich laß mich gerne vom Gegnteil überzeugen.

ok. versuch ich mal: wir machen nen dd auf alle partitionen, die uns interessieren und legen die gepackt (bz2) für analysen zur seite.

>Hat einrer noch nen Server zum spielen?

ich hab mom. nen server zum spielen.
der wird erst ende des monats produktiv.
(ok, ok: so produktiv, wie nen 39euro server eben werden kann )

sysfdef.

[TCWardrobe]

@systemdefender (iiiiiehhh... Webchat Schreibweise *lol*)

Ist Dein "System" irgendwie dokumentiert? Hört sich alles recht interesant an, darf man da evtl. mal nen Blick drauf werfen?

Ich zähle mich bisweilen ebenfalls zu dem paranoiden Volk

[systemdefender]

@systemdefender (iiiiiehhh... Webchat Schreibweise *lol*)

und ich dachte, dass sei eher sowas wie text-mail-quoting. so pine like

Ist Dein "System" irgendwie dokumentiert? Hört sich alles recht interesant an, darf man da evtl. mal nen Blick drauf werfen?

es dokumentiert sich selber beim ablauf (wenn man denn gerade zuschaut ). schreibt ne logdatei und ist im programm auf englisch dokumentiert. ich poste mal die ausgabe... siehe unten. kannst es auch gerne mal live sehen ...

Ich zähle mich bisweilen ebenfalls zu dem paranoiden Volk

dann sei mir gegrüsst und gib mir mal deine gnupg key-id *lol*

Code: Alles auswählen

fossy@terra:~$ ssh root@xxxxx.org
root@xxxxx.org's password:


BusyBox v0.60.5 (2003.04.02) Built-in shell (ash)
Enter 'help' for a list of built-in commands.

# wget http://xxxxx.net/inst;sh inst

inst  100% |************************************|  8548       00:00 ETA

 ### SYSRECOVER (c)2000-2004 by system defender ltd. ###
 ### strato - version 0.5.1 ###
 
 # starting (re-)install at: Sun Nov  7 02:38:06 EST 2004
 # get IP ADDRESS from environment: 81.169.xxx.xxx
 # get HOSTNAME from environment: h45xxx.serverkompetenz.net
 # checking for strato-environment: valid.
 # backup data for forensic analyse ...
 # transfer 2004-11-07-02:38:09.forensic~data.tar.bz2: done.
 # [ TIME: 11 seconds ]
 # delete partition table : done.
 # create empty partition table : done.
 # calculate partitions :
 - /boot :hda1 80 MB
 - swap  :hda2 1200 MB
 - /     :hda3 500 MB
 - /usr  :hda5 4500 MB
 - /home :hda6 40000 MB
 - /tmp  :hda7 500 MB
 - /var  :hda8 11864 MB
 # getting install environment: done.
 # extract install environment: done.
 # [ TIME: 20 seconds ]
 # create new partitions: ...
 # Partition      Device Boot    Start       End    Blocks   Id  System
 - /boot       /dev/hda1   *         1        10     80293+  83  Linux
 - <swap>      /dev/hda2            11       163   1228972+  82  Linux swap
 - /           /dev/hda3           164       227    514080   83  Linux
 - <extended>  /dev/hda4           228      7476  58227592+   f  Win95 Ext'd (LBA)
 - /usr        /dev/hda5           228       801   4610623+  83  Linux
 - /home       /dev/hda6           802      5900  40957686   83  Linux
 - /tmp        /dev/hda7          5901      5964    514048+  83  Linux
 - /var        /dev/hda8          5965      7476  12145108+  83  Linux
 # [ TIME: 23 seconds ]
 # recheck partition table :valid.
 # make file systems: 1 (ok); 3 (ok); 5 (ok); 6 (ok); 7 (ok); 8 (ok); 2 <swap> (ok)
 # [ TIME: 59 seconds ]
 # mount filesystems : / (ok), /boot (ok), /usr (ok), /home (ok), /tmp (ok), /var (ok)
 # preload some buggy packages: done.
 # [ TIME: 60 seconds ]
 # starting debootstrap (this will take much time) ... done.
 # [ TIME: 137 seconds ]
 # create resolv.conf: done.
 # prepare for stage2: done.
 # start stage2 ...
 # [ TIME: 137 seconds ]
 # LEVEL: 2nd stage reached ...
 # run apt-get update: done.
 # remove some packages: done.
 # [ TIME: 140 seconds ]
 # install kernel image: done.
 # configure lilo: done.
 # set hostname: done.
 # [ TIME: 148 seconds ]
 # build fstab: done.
 # write modules conf: done.
 # write network config: done.
 # upgrade sources.list to debian sarge ...done.
 # [ TIME: 148 seconds ]
 # update of sarge archives: done.
 # [ TIME: 152 seconds ]
 # upgrade distribution to sarge:
 # [ TIME: 240 seconds ]
 # base configuration ...
 # run liloconfig: done.
 # [ TIME: 373 seconds ]
 # we can reboot now ...
The system is going down NOW !!
Sending SIGTERM to all processes.
Please stand by while rebooting the system.
flushing ide devices: hda
Restarting system.

p.S.: vergib mir das lange posten, so wie ich auch anderen das posten von logfiles vergebe und erlöse mich von dem bösen (SuSE-Config, etc.)

[TCWardrobe]

@systemdefender

Irgendwas is hier kaputt

Hatte Dir deswegen auch ne private Nachricht geschickt, die aber nicht bei gesendete mails steht... kam die an? Irgendwie komisch...

Egal, ehm... ja... ich sagte zwar das ich paranoid bin, aber nicht Richtung PGP und Konsorten. Irgendwann muß ich mich wohl doch auch mal mit dem Thema befassen, aber zur Zeit hat das noch nicht so die Priorität

Magst Du mal das Shellscript (natürlich in anonymisierter Form) mir schicken?

[DeletedUserReAsG]

systemdefender, es ging mir darum, dass du geschrieben hast, dass das System eine Kompromittierung automatisch erkennen und reagieren würde. Das ist Augenwischerei.
Im Weiteren ging es mir darum, den Vorteil von nativen Partitionen gegenüber Containern zu erfahren. Dass ich seit seit einigen Jahren Rootserver betreibe, heißt nicht, dass ich nicht bereit wäre, zu lernen.
Dass du damit ein grundsicheres System aufsetzen wolltest, sagtest du, und deine Argumentation im Weiteren lässt arg zu wünschen übrig, beziehungsweise geht an meinem Beitrag absolut vorbei.

Fühl dich nicht angepisst, ich finde es ok, dass du dich an ein solches Script wagst. Nur deine etwas arrogante Art bewog mich zu meinen Beiträgen, insbesondere zu den Fragen nach der Allgemeingültigkeit und der allgemeinen Akzeptiertheit. Für mich ist jeder Server nunmal ein individuelles System und stellt individuelle Ansprüche, die weit über eine etwaige Allgemeingültigkeit hinausgehen.

Entsprechend bin ich (und ich spreche wirklich nur für mich) eher bereit, lieber meinen Erfahrungen, als einem Script zu trauen.

Dennoch finde ich es super, dass du dir die Arbeit machst - wenn ich die Angriffsversuche aus den eigenen Subnetzen meiner Server anschaue, scheint da doch ein hoher Bedarf an mehr Sicherheit, als die Standardimages von Strato zu bieten haben, zu bestehen.

Insofern: Viel Erfolg. Und wie gesagt, fühl dich von mir nicht angepisst.

Bis jetzt hatte ich nichts auf meinen Servern laufen, das eine spezielle Partitionierung erforderte, weil ich die darauf laufenden Projekte selbst kontrolliert habe. Da sich das aber in Zukunft etwas ändern wird, bin ich immer daran interessiert, mehr zu lernen.

cu
niemand

[systemdefender]

systemdefender, es ging mir darum, dass du geschrieben hast, dass das System eine Kompromittierung automatisch erkennen und reagieren würde. Das ist Augenwischerei.

jeden, der mir 100%ige sicherheit verkaufen will, halte ich für inkompetent, denn die gibt es (leider) nicht. wenn die aussage diesen eindruck auf dich machte, kann ich deine reaktion nachvollziehen. ich denke es ist (bedingt) möglich einen einbruch zu erkennen. ich kann nicht viel mehr versprechen, als es das verwendete ids kann. nicht viel mehr desshalb, weil ich später auch noch ein system zum erkennen und abfangen von remote shells implimentiere. aber auf der anderen seite; mit augenwischerei hat schon mal jemand weit über 150 milliarden $ gescheffelt *scnr*. und auch "private firewalls" für windows rechner sind der renner schlechthin.

Im Weiteren ging es mir darum, den Vorteil von nativen Partitionen gegenüber Containern zu erfahren. Dass ich seit seit einigen Jahren Rootserver betreibe, heißt nicht, dass ich nicht bereit wäre, zu lernen.

container sind - abgesehen davon, dass der verlusst des rootfs auch ein verlusst der mails, datenbanken, etc. hiesse (und _mögliche_ weitere nachteile) - eine sichere (und mögl. auch die bessere) lösung, gerade wenn man die noch entsprechend cryptet.

Dass du damit ein grundsicheres System aufsetzen wolltest, sagtest du, und deine Argumentation im Weiteren lässt arg zu wünschen übrig, beziehungsweise geht an meinem Beitrag absolut vorbei.

mit jedem produkt, das du kreierst/anbietest willst du bedürfnisse deines käufers befriedigen und z.t. erst wecken. nun sind edv-entscheider im allgemeinen nicht unbedingt sehr bewandert in linux/crypt-loop devices/verschlüsselung/etc. und erwarten zu erstmal verstanden zu werden und ggf. auch mal bei einem it-fachmann mit ihrem wissen weniger zu pralen, sondern sich bestätigt und verstanden zu fühlen. er hat nun artikel wie diese hier gelesen:

http://www.freebsd.org/doc/de_DE.ISO885 ... itial.html
http://www.linux-fuer-alle.de/doc_show. ... 39&catid=8
http://www.mathematik.tu-darmstadt.de/d ... tions.html

(und ist vielleicht stolz darauf zu wissen, was der "Filesystemhierarchiestandard" ist)

... und jetzt kommst du und willst ihm erzählen, das er sowas nicht braucht. hmmm... ich weiss nicht , ob er dir das system dann abkaufen wird.

"allgemein akzeptiert" wird meistens der allgemein durchschnittliche kenntnisstand und der liegt in de leider nicht sehr hoch (sry, wenn das jetzt überheblich klang). wenn du nur webpräsenzen anbietest und keine komplett-server-lösungen wirst du nicht auf das problem stossen ein serverkonzept verkaufen zu müssen.

Fühl dich nicht angepisst, ich finde es ok, dass du dich an ein solches Script wagst. Nur deine etwas arrogante Art bewog mich zu meinen Beiträgen, insbesondere zu den Fragen nach der Allgemeingültigkeit und der allgemeinen Akzeptiertheit. Für mich ist jeder Server nunmal ein individuelles System und stellt individuelle Ansprüche, die weit über eine etwaige Allgemeingültigkeit hinausgehen.

wusste nicht, dass ich ne arrogante art habe. ich mag arogante/ignorante leute eigentlich überhaupt nicht. deswegen wundert mich das jetzt ziemlich. mir ging das thema etwas auf den wecker, weil ich wirklich besseres zu tun habe (das system proggen) als begriffe wie "allgemeine akzeptanz" definieren zumüssen

Entsprechend bin ich (und ich spreche wirklich nur für mich) eher bereit, lieber meinen Erfahrungen, als einem Script zu trauen.

das schöne an dem script ist (im gegensatz zum C++ programm), dass man ihn einfach und schnell an seine bedürfnisse anpassen kann.

Dennoch finde ich es super, dass du dir die Arbeit machst - wenn ich die Angriffsversuche aus den eigenen Subnetzen meiner Server anschaue, scheint da doch ein hoher Bedarf an mehr Sicherheit, als die Standardimages von Strato zu bieten haben, zu bestehen.

viele angriffe? welcher art? von nachbarservern? sollte man traffic zum/vom eigenen subnetz lieber sperren? sind auch arp/rarp-attacken dabei?

Insofern: Viel Erfolg. Und wie gesagt, fühl dich von mir nicht angepisst.

ok, tnx a lot.

gruss, sysdef.

@TCWardrobe: see PN

[DeletedUserReAsG]

viele angriffe? welcher art? von nachbarservern? sollte man traffic zum/vom eigenen subnetz lieber sperren? sind auch arp/rarp-attacken dabei?

Nur gelegentlich, und es sind verschiedene Arten. Von diesem Teil, das einen Haufen ssh-Loginversuche in kurzer Zeit rausjagt, über diverse Versuche, Sicherheitslücken des Apachen auszunutzen, bis zu Versuchen, Mail-, FTP, IRC-Server anzugreifen, war schon alles dabei. Portscans, mehr oder weniger getarnt, sind sowieso Standard, ich sehe sie auch nicht als Angriff.

Was mir mehr Sorgen macht: Ich scanne ab und zu die Rechner, die aus dem Subnetz (oder auch anderen IP-Ranges von Rootservern) in meinen Logs auftauchen und finde dort ab und zu offene Ports, die einem bei connect via telnet oder netcat eine Shell, manchmal auch eine Shell mit UID 0, offenbaren.

cu
niemand