Hilfe beim installieren eines Rootservers

[tomkno]

Hallo erstmal.ich bin der tomkno
ich plane auf nem Rootserver,mit 4 Festplatten Debian per debootstrap zu installieren.
Ich habe mich an dieses Howto http://wiki.nixhelp.de/howto/wheezy-from-scratch gehalten und möchte den restlichen Platz auf den Platten in einem Lvm zusammenfassen und verschlüsseln
Passt das bis hier soweit ?
Ich würde es zwar lieber nach diesem Howto http://falkhusemann.de/blog/2013/10/deb ... ncryption/ machen,aber wie es aussieht unterstützt das Rescuesystem meines Providers das "Vorabverschlüsseln" nicht

siehe hier

cryptsetup luksFormat /dev/sda3

WARNING!
========
This will overwrite data on /dev/sda3 irrevocably.

Are you sure? (Type uppercase yes): YES
Enter LUKS passphrase:
Verify passphrase:
device-mapper: reload ioctl failed: Invalid argument
Failed to setup dm-crypt key mapping for device /dev/sda3.
Check that kernel supports aes-cbc-essiv:sha256 cipher (check syslog for more info).


oder mach ich etwas falsch ?

lg tomkno

[DeletedUserReAsG]

Check that kernel supports aes-cbc-essiv:sha256 cipher (check syslog for more info).

?

[Natureshadow]

"Rootserver installieren" und "nach diesem Tutorial" passen nicht zusammen. Wenn du ein System im öffentlichen Internet betreibst, dann sorge bitte dafür, dass du das vorher vollumfänglich beherrschst.

Nichts für ungut,
Nik

[tomkno]

das heißt,das was in diesem Howto steht nicht korrekt ist ?

[Natureshadow]

das heißt,das was in diesem Howto steht nicht korrekt ist ?

Das habe ich nicht gesagt. Aber wenn du überhaupt ein Howto lesen musst, bist du im Zweifelsfall auch nicht in der Lage ernsthafte Probleme mit dem System schnell zu lösen, was für dich und andere Schaden verursachen kann.

-nik

[tomkno]

aber irgendwie muss man ja was lernen können..oder?
bei Windows geht alles klick klick und gut is.........nur wenn man als Windowsuser auf ein Linuxsystem umsteigen möchte,das es nun mal bedeutend schneller läuft,als ein vergleichbares Windowssystem,braucht man schon ne Anleitung,für den Einstieg
Linux auf nem Desktop installieren is ja nicht schwer.......Cd/Stick rein und gut ist,nur per Konsole sieht die ganze Sache schon wieder anders aus........und ein vorinstalliertes Bs muss wirklich nicht sein,da der Betreiber,mit Sicherheit,Monitoringsoftware drauf laufen läßt

[pferdefreund]

Dann zum Üben nen Server in ner VM installieren - Wenn dann alles so klappt, wie man sich das vorstellt, kann man immer noch in die Öffentlichkeit.
Um einen öffentlichen Server zu betreiben braucht es viel Wissen, dass ich auch nicht habe und daher auch keinen betreibe. Will nicht für illegale Filme und Kinderporno-Vertreiber in den Knast.

[tomkno]

Also ich bin jetzt soweit
Wheezy per debootstrap installiert
Kein login per root mehr möglich
Port geändert
Und im Moment verschlüssel ich mein lvm
Was kann man denn sonst noch machen zwecks Sicherheit ?

[Natureshadow]

Also ich bin jetzt soweit
Wheezy per debootstrap installiert
Kein login per root mehr möglich
Port geändert
Und im Moment verschlüssel ich mein lvm
Was kann man denn sonst noch machen zwecks Sicherheit ?

In deiner VM?

Das mit de mgeänderten Port ist Unfug.

-nik

[tomkno]

Nein nicht auf ner vm^^
Ich möchte ja nen root mit debian haben und keine vm

[DeletedUserReAsG]

Das mit de mgeänderten Port ist Unfug.

Also mich haben die ganzen Logeinträge vom sshd auf 22 schon genervt, so dass ich einen anderen Port nicht als Unfung ansehe.

Was kann man denn sonst noch machen zwecks Sicherheit ?

Eine VM aufsetzen und damit üben.

[Natureshadow]

Das mit de mgeänderten Port ist Unfug.

Also mich haben die ganzen Logeinträge vom sshd auf 22 schon genervt, so dass ich einen anderen Port nicht als Unfung ansehe.

fail2ban

Der Zweck ist einfach - da alle erstmal auf Port 22 hämmern, sperrt dir fail2ban die sofort weg und du hast auf allen anderen Diensten Ruhe !

Was kann man denn sonst noch machen zwecks Sicherheit ?

Eine VM aufsetzen und damit üben.[/quote]

Bitte, bitte, bitte! Danke!

[tomkno]

Sehr konstruktive Tips ^^
Aber warum soll ich extra noch was installieren,was IP blockt,wenn es mit Port ändern einfacher geht
Und nein eine vm setzte ich mir sicher nicht auf
Bringt mir auch herzlich wenig da im Endeffekt niemand überprüfen könnte ob alles i.o ist
Sooooo kann ich zum Schluss jemanden fragen ob er sich die Aktion mal anschauen kann
Und bei Bedarf wenn derjenige ein Ok gegeben hat
Die Kiste Grad neu aufsetzen mit anderen Ports pw's etc
Von meinen Bekannten hier hat leider niemand wirklich Ahnung von Thema Linux
Sind alles eingefleischte Windows User ^^

[DeletedUserReAsG]

Und nein eine vm setzte ich mir sicher nicht auf

Wozu auch? Autofahren lernt man ja auch, indem man sich das erste Mal in ein Auto setzt und im Feierabendverkehr in der Stadt ein paar Runden dreht.

Sooooo kann ich zum Schluss jemanden fragen ob er sich die Aktion mal anschauen kann

Sooo kannst du zum Schluss, wenn die Karre an der Wand klebt, jemanden fragen, was du wohl falsch gemacht hast.

Bringt mir auch herzlich wenig da im Endeffekt niemand überprüfen könnte ob alles i.o ist

Kann ich machen. Geht aber nicht darum, ob alles i.O. in der VM ist, sondern darum, dass du überhaupt erstmal die Zusammenhänge von so ’nem System verstehen lernst.

Wie auch immer – gib’ mal bitte die IP von der Kiste. Dann kann ich die gleich mal blacklisten, und es tangiert mich nur noch wenig, wenn deine Kiste im Netz Amok rennt. Wäre ja dann auch weder die erste, noch die einzige.

[habakug]

Hallo!

Alles was man hier herauslesen kann, ist ein SSH-Server, der irgendwo im Netz, auf irgendeinem Port einer Netzwerkkarte, auf einem vollverschlusselten Raid läuft. Da kann man das Maschinengewehr erstmal wieder runternehmen, davon geht die Welt nicht unter.
Aber noch ein anderer Hinweis: Ein Webserver oder andere Dienste im Internet sind im Idealfall voll verfügbar, also 24/7. Was macht es da für einen Sinn alles zu verschlüsseln, wenn es denn ja doch die ganze Zeit entschlüsselt vor sich hin läuft. Damit der Provider, wenn man den Server mal aushat , nicht auf die Platten gucken kann?

Gruss, habakug

[Natureshadow]

Damit ein wild gewordener Geheimdienst, der aus heiterem Himmel Hausdurchsuchungen aus Langeweile macht, da nicht drauf gucken kann.

Und was einige Rootserver-Provider angeht, wie STRATO: Wenn der Server mal gekündigt wird, legen die den Kram in die Ecke und kümmern sich nicht drum.

Es wird erwartet, dass du in so einem Fall die Daten vorher vernichtest - aber was machst du, wenn eine Platte einen Hardwaredefekt hat und du die Daten nicht mehr vernichten kannst, bevor die Platte vom Provider gewechselt wird?

Vollverschlüsselung ist gut so!

[habakug]

Hallo!

Ja, du hast Recht. Oder auch nicht. Der Geheimdienst macht die Durchsuchung, wenn dein Server online ist. Wenn die Platte einen Hardwaredefekt hat, wird sich wohl niemand mehr damit beschäftigen. Das das gut so ist, sagen vor allem die Leute, die dann einen Job haben, wenn so ein Server mal wieder nicht hochfährt. Im Ernstfall ist ein Anfänger doch überfordert ein verschlüsseltes LVM-Raid zu warten, das verkompliziert doch alles immens.
Mit dem Verschlüsseln wichtiger Daten habe ich kein Problem, das sollte wohl jeder machen. Aber eine Welt in der nur forsche Burschen mit Admin-Hüten im Internet erscheinen dürfen, finde ich doof .

Gruss, habakug

[Cae]

Im Ernstfall ist ein Anfänger doch überfordert ein verschlüsseltes LVM-Raid zu warten, das verkompliziert doch alles immens.

Ich wuerde eher sagen: Im Ernstfall ist der TE nicht in der Lage, die komplette Kiste auch nur ansatzweise zu warten. Und genau deswegen sollte er die Finger davon lassen (und sich 'ne VM nehmen und die Grundlagen lernen, was er aber bereits verweigert hat...).

Ob er durch unsachgemaessen Umgang mit Verschluesselung hinterher Datenverlust hat, ist mir ziemlich egal. Falls er da unwissentlich 'ne Spamschleuder aufbaut, die den Rest des Netzes beeintraechtigt, ist das 'ne andere Sache.

Gruss Cae

[tomkno]

Da denkt man sich als ottonormaluser
"Fragst mal bei den Jungs nach,die sich damit auskennen sollten" und dir vielleicht Tips zwecks Absicherung etc geben können
Und dann das hier
Scheinbar will oder kann hier niemand ein paar konstruktive Tips zu meinem Thema geben


Kann zu gemacht werden

[Saxman]

Da denkt man sich als ottonormaluser
"Fragst mal bei den Jungs nach,die sich damit auskennen sollten" und dir vielleicht Tips zwecks Absicherung etc geben können
Und dann das hier[...]

Dann solltest du dir mal überlegen, warum Jungs, die sich damit auskennen, dir empfehlen erst zu hause zu üben. Einen Server wartet man nicht mal eben nebenher. Du musst dich mit Debian schon ordentlich auskennen bevor du Rootserver ordentlich konfiguriert kriegst. Was du machst ist fahrlässig und kann böse Folgen nach sich ziehen. Und für all das haftest du persönlich.