debianforum.de

Blackbox hat geschrieben:

LinuxLover hat geschrieben:Der benutzer System wurde von einem Techniker erstellt der benutzer wurde aber nie verwendet.

Warte mal, woher kenne ich den Benutzer System ?
Ach ja, aus der Windowswelt, kann es sein, dass da ein Windowsadmin, Hybridadmin spielt ?

LinuxLover hat geschrieben:

Blackbox hat geschrieben:

LinuxLover hat geschrieben:Der benutzer System wurde von einem Techniker erstellt der benutzer wurde aber nie verwendet.

Warte mal, woher kenne ich den Benutzer System ?
Ach ja, aus der Windowswelt, kann es sein, dass da ein Windowsadmin, Hybridadmin spielt ?

Keine Ahnung aber er sagte der muss wegen Proftpd drinn bleiben.
Hab System in /etc/ssh/sshd_config rausgenommen backup wird gezogen und die nacht durch gemacht und den server absichern!!!
Deshalb will ich keinen meinen Root anvertrauen ...
Gut zugegeben mit der Passwort text file war dumm fall ich nen trojaner habe kann der Cracker meinen Root gleich zu seinem Botnet hinzufügen.
Ich liebe aber so lange Passwörter aus allen möglichen zahlen.
Gibts ne möglichkeit wo ich diese aufbewahren kann also nicht in echt sondern am pc vl verschlüsseln und wenn ich sie brauche dann entschlüsseln und sie kopieren und wieder aus dem zwischenspeicher entfehrnen?
Welches ist ein gutes verschlüsselungs Programm oder lieber mit AuthorizedKeysFile arbeiten?

swirlen hat geschrieben: was ich auch gerne benutze ist "sudo" damit kann ich benutzer bestimme rechte zuweisen... ich habe dabei zb ein user mit dem ich mich ein logge und per sudo den server updaten kann... dafür brauche ich mich dann nicht immer zusätzlich als root einloggen

sftp user only
passwd
• in der passwd die shell von bash auf false
sshd_config
• unter UsePAM
∘ Match Group sftp
∘         ChrootDirectory %h
∘         ForceCommand internal-sftp
∘         AllowTcpForwarding no
chroot umgebung
• chown root /home/chroot
• chmod go-w /home/chroot
• mkdir /home/chroot/writeable
• chown user:sftp /home/chroot/writeable
• chmod ug+rwX /home/chroot/writeable

charno hat geschrieben:

swirlen hat geschrieben: was ich auch gerne benutze ist "sudo" damit kann ich benutzer bestimme rechte zuweisen... ich habe dabei zb ein user mit dem ich mich ein logge und per sudo den server updaten kann... dafür brauche ich mich dann nicht immer zusätzlich als root einloggen

swirlen: Worin siehst du da den Vorteil gegenüber einem "su", wenn der Server nur von einer Person verwaltet wird?

swirlen hat geschrieben:

charno hat geschrieben:

swirlen hat geschrieben: was ich auch gerne benutze ist "sudo" damit kann ich benutzer bestimme rechte zuweisen... ich habe dabei zb ein user mit dem ich mich ein logge und per sudo den server updaten kann... dafür brauche ich mich dann nicht immer zusätzlich als root einloggen

swirlen: Worin siehst du da den Vorteil gegenüber einem "su", wenn der Server nur von einer Person verwaltet wird?

hm so spart er sich die passwd eingabe von statt 120 stellen auf nur 100

swirlen hat geschrieben:hm so spart er sich die passwd eingabe von statt 120 stellen auf nur 100

Tintom hat geschrieben:

LinuxLover hat geschrieben: Meine Passwörter habe ich in einer Passwort.txt datei ist das nicht gut?

Scherz?

charno hat geschrieben:Falls niemand ausser dir FTP-Zugang braucht, dann würde ich den proftpd gleich rausschmeissen, und stattdessen SCP verwenden. Mit WinSCP gibt es da auch einen guten Windows-Client. Dann kannst du auch den System-User gleich loswerden.

Allgemein ist es grundsätzlich eine gute Idee, wenn du eine virtuelle Maschine bei dir zuhause aufsetzt, um noch etwas zu üben. Bei einem Server im Internet hast du halt das Risiko, dass du mit 100mbit bzw. 1gbit rumspammst, bei einem Heimanschluss ist das wohl so schnell nicht der fall.

Für die lokale Passwortverwaltung gibt es Passwort-Manager, z.B. http://www.keepassx.org/downloads/.

Für mich macht der Thread eigentlich vor Allem klar, dass du (zu?) wenig Erfahrung im Betrieb eines Servers hast, dir aber ziemlich genau die richtigen Gedanken um die Sicherheit machst. Lass dich also nicht allzu sehr entmutigen durch die teilweise doch sehr hart formulierte Kritik, und wechsle nicht auf Gentoo (das ist doch nochmals einiges komplexer). Ich würde dir aber schwer empfehlen, den Server nochmals für einen Monat oder so auf die Seite zu legen, und dein Szenario zuerst auf einer virtuellen Maschine zu basteln.

Die Warnung über /etc/.java ist wohl auch ein false positive, und kann auch gewhitelistet werden. Diese wird offenbar durch sun- bzw. oracle-java angelegt, und dies wird wohl für minecraft benötigt.

Betreffend Mail-Server: Ich würde dir schwer empfehlen, einen Mail-Server einzurichten, um dir z.B. regelmässig die Log-Dateien zuzusenden. Debian installiert standardmässig bereits exim4 (bzw. tat das vor einiger Zeit, als ich das letzte mal neu installierte). Diesen kannst du konfigurieren, um als smart-host zu arbeiten, und Mails über einen anderen Mail-Server zu versenden. Das ist dann relativ risikolos. Dann kannst du auch gleich apticron einrichten, das dir eine Mail sendet sobald updates zu installieren sind.

Swirlens post in der Zwischenzeit (Authorized Keys) ist auch ein guter Hinweis.

charno hat geschrieben:Naja, das wohl wichtigste hast du eigentlich schon: rkhunter, fail2ban und iptables. Die musst du jetzt einfach noch gescheit konfigurieren

iptables halt so, dass möglichst wenig reinkommt, aber das was du brauchst halt doch durchkommt.
Fail2ban so, dass es für alle Dienste greift, und ein Angreifer nicht unendlich viele Versuche hat ein Passwort zu erraten (falls die Gameserver username/passwort-schutz anbieten und logfiles schreiben, dann auch diese beachten!)
rkhunter regelmässig laufen lassen. Das Ergebnis per mail versenden.

All diese Programme sind natürlich keine Garantie! Ein wichtiges Einstiegstor sind immer auch Programme, die nicht automatisch mit debian aktualisiert werden (also in deinem Fall wohl die Gameserver). Da musst du dich selbst um die Aktualisierung kümmern, schau da doch mal ob es entsprechende Mail-Listen gibt über die du bei Aktualisierungen informiert wirst.

Allgemein ist es halt so, dass es keine magischen Sicherheitsprogramme gibt, und die für linux (im Gegensatz zu Windows) niemand verspricht. Sicherheit bedeutet immer, sich mit der Materie auseinanderzusetzen, und sein möglichstes zu tun.

Kannst du mal für die Übersicht die Ausgaben von

Code: Alles auswählen

ps aux
netstat -tlpn

als Root generieren lassen, und nach pastebin.php schieben und hier verlinken? Dann können wir mal schauen, ob da etwas wichtiges übersehen wurde.

lg

charno hat geschrieben:Ich würde die Minimalinstallation nehmen, die ist am Anfang wirklich sehr minimal. Dann zuerst SSH absichern, iptables einrichten. Dannach die Services, die du wirklich brauchst aufsetzen, und einzeln ports freischalten. Bei den Services immer darauf achten, so wenig wie möglich zu öffnen und so vernagelt wie möglich konfigurieren.

artemis hat geschrieben:Wichtig ist mMn noch, dass dir das absichern alles nix nützt, wenn du zuhause ein System verwendest, welches kompromittiert wurde. Dann kann man einfach deine Passwörter oder ssh Keys dort abgreifen.

Nur so als Info Also alle Regeln für einen Root-Server auch auf das Admin System anwenden.

Viel Spass trotzdem, und lass dich nicht entmutigen. Auch wenn hier viele so tun, es ist noch kein Meister vom Himmel gefallen. Manche Dinge brauchen etwas Zeit

Bis dann,
artemis

minimike hat geschrieben:Ich halte es für Fatal das jemand rein privat sich einen Server besorgt dessen Dienste im Internet verfügbar sind. Einem Entwickler gebe ich nur mit Knurren lesenden Zugriff auf Datenbanken. Und gar nicht per SSH oder sonst wie auf Server. Das Administrieren eines Servers ist mittlerweile ein eigener Beruf. Wer es denoch macht ist aus dieser Sicht hin in den meisten Fällen meiner Meinung einfach nur dämlich. Es rechnet sich wirtschaftlich sowie auch mit anderen Benefits hin einfach nicht. Das ist fast noch dümmer als SystemD.
Der Aufwand sich das erforderliche Fachwissen zu Erarbeiten ist immens. Zudem muss man sich immer auf dem Laufenden halten. Bei mir auf der Arbeit hat ein Kollege schon bei mir verloren wenn er eine Arbeit nicht machen will und argumentiert das hat er noch nie oder lange nicht gemacht. Ich fände dann es wäre dann an der Zeit für ihn was anderes zu tun. Und nicht mehr diesen Arbeitsplatz zu Blockieren. Eventuell wäre ein Penner von der Straße dann schon besser hierfür geeignet. Besonders wenn der Arbeitgeber uns inoffiziell als gentleman agreement sofern der Betrieb nicht darunter leidet einen unbestimmten Anteil von Arbeitszeit frei verfügbar gewährt um vorhandene Skills zu schärfen, aufzufrischen oder auch mal etwas neues zu Lernen. Letzeres ist meist bei bestimmten Infrastrukturprojekten eh erforderlich

Leider hatten einige die vor mir schrieben nicht Sachdienlich darauf hingewiesen. Der erste Beitrag war in meinen Augen recht entäuschend. Wie wäre es wenn man solche Härtefälle nicht auf eine Standardseite mit FAQ verweisst? Hartnäckige werden dann daran erinnert und bei unverbesserlichen wird der Beitrag gesperrt.

charno hat geschrieben:Ein Debian auf einer anderen Platte sollte dein SSD-Raid nicht verlangsamen. Unter Windows wird die Debian-Platte ja nicht angesprochen, dh. du hast immer noch die ganze Bandbreite zum SATA-Controller (Im Normalfall ja sowieso auf dem Chipsatz, dh. sehr hoher Durchsatz) für die beiden SSDs. Was hast du da für Durchsätze?

Wenn du danach anfängst, die einzelnen Services zu konfigurieren würde ich dir auch empfehlen, jeweils im entsprechenden Unterforum noch einen eigenen Thread aufzumachen. Als Sticky-Post findest du eigentlich auch immer eine Links-Sammlung, und das Wiki des Forum ist auch sehr empfehlenswert.

niemand hat geschrieben:Ansonsten stimme ich allenfalls in dem Punkt überein, dass man die benötigten Fertigkeiten nicht von heute auf morgen erwerben kann. Wer sich jedoch gerne damit beschäftigt und einen Server fahren will, sollte das auch tun können, ohne dass es sein Beruf ist. Letztlich ist’s nur eine weitere Maschine im Netz – weder Geheimwissenschaft, noch Hexenwerk, und durchaus handhabbar. Auch, wenn Berufsadmins dadurch nun einen Angriff auf ihre Ehre sehen ….

Die nötigen Kenntnisse kann man sich lokal erarbeiten, und das war eigentlich auch schon der einzige Fehler hier im Thread – dass ohne Grundlagen gleich mal ’ne Maschine im RZ gemietet wurde.

charno hat geschrieben:

niemand hat geschrieben:Ansonsten stimme ich allenfalls in dem Punkt überein, dass man die benötigten Fertigkeiten nicht von heute auf morgen erwerben kann. Wer sich jedoch gerne damit beschäftigt und einen Server fahren will, sollte das auch tun können, ohne dass es sein Beruf ist. Letztlich ist’s nur eine weitere Maschine im Netz – weder Geheimwissenschaft, noch Hexenwerk, und durchaus handhabbar. Auch, wenn Berufsadmins dadurch nun einen Angriff auf ihre Ehre sehen ….

Die nötigen Kenntnisse kann man sich lokal erarbeiten, und das war eigentlich auch schon der einzige Fehler hier im Thread – dass ohne Grundlagen gleich mal ’ne Maschine im RZ gemietet wurde.

Ja, sehe ich auch so. Ich hab z.B. privat einen Server, weil ich meine Daten gerne unter meiner Kontrolle habe, und nicht bei einer NSA-Integrierten Datenkrake abliefern will. Dazu betreibe ich halt meinen eigenen Server. Mein Wissen habe ich allerdings zu einem grossen Teil beruflich angeeignet.

Das mit "ohne Grundlagen" finde ich in diesem Fall etwas hart, ich finde hier sind grundsätzlich vom OP die richtigen Überlegungen eingebracht worden, und ein gesundes Sicherheitsbewusstsein sowie ein grundsätzliches Verständnis für das System ist vorhanden. Nachdem klar wurde, dass das System nicht in einem vom OP bekannten Zustand ist, kam er auch selbst auf die Idee dieses neu aufzusetzen.

Klar wäre es besser gewesen, das mal lokal zu üben, aber irgendwann folgt halt der Sprung ins böse Internet. Und solange gewisse Standards eingehalten werden, ist die Sicherheit vor Scriptkiddies und Bots gegeben. Gegen einen gezielten Angriff sind wohl die wenigsten Server wirklich sicher, dafür gibts zu viele 0-Day-Exploits die käuflich sind. Ein Gameserver ist da allerdings wirklich nicht so gefährded (ausser der OP ist zufällig bei PietSmiet oder einem ähnlich bekannten Projekt involviert).

Eine FAQ finde ich eine gute Idee.