• Hallo Gast!
    Noch bis zum 20.07. kannst Du an unserer Umfrage zum Hersteller des Jahres teilnehmen! Als Gewinn verlosen wir unter allen Teilnehmern dieses Mal eine Grafikkarte Eurer Wahl für bis zu 1.000 EUR - über eine Teilnahme würden wir uns sehr freuen!

Rootserver Sicherheit

J

JKuehl

Enthusiast
Thread Starter
Mitglied seit
13.04.2003
Beiträge
866
Ort
Mainz
Hallo Allerseits,

für ein paar kommerzielle Webprojekte muss ich demnächst einen Rootserver - oder ähnliches - anmieten.

Im Prinzip muss auf dem Ding nur PHP, MYSQL und APACHE laufen - was ja z.B. bei Hetzner o.ä. kein Problem ist.

Rootserver deshalb, um möglichst schnell selbst Erweiterungen zu implementieren und Pakete nachzuinstallieren, und aufgrund eines ggf. enormen Besucheransturms.

Was mir allerdings Kopfzerbrechen bereitet:
Langt es denn, eine "normale" Firewall unter Linux zu installieren? Und wenn ja: welche könnt ihr dafür empfehlen. Ich habe Angst, dass ich jeden Tag die Logs überprüfen muss, um zu schauen ob irgendwelchen bösen Buben versucht haben den Server zu hacken, Exploits auszunutzen oder ähnliches...

Was sind eure Erfahrungen dazu?
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
JKuehl schrieb:
Was mir allerdings Kopfzerbrechen bereitet:
Langt es denn, eine "normale" Firewall unter Linux zu installieren? Und wenn ja: welche könnt ihr dafür empfehlen. Ich habe Angst, dass ich jeden Tag die Logs überprüfen muss, um zu schauen ob irgendwelchen bösen Buben versucht haben den Server zu hacken, Exploits auszunutzen oder ähnliches...
Zum Vergrößern anklicken....

Das solltest du aber schon tun.. Und was machst du, wenn du in den Ferien bist, und dein Server gehackt wird?
Wenn du nicht sicher bist, was du tust, dann kannst du ja auch einen 'managed' Server nehmen, da musst du dir keine Sorgen machen, und kannst ruhig schlafen ;).
 
eine firewall ist kein installierbares programm - eine firewall ist ein sicherheitskonzept

und ja natürlich muss man ein sicherheitskonzept haben

wie du das realisierst is deine sache, ich machs z.b. so:
alle dienste nur auf 127.0.0.1 hören lassen bis auf die dienste die von aussen erreichbar sein sollen (ssh, http). somit sind keine paketfilter wie iptables von nöten.
die dienste/programme die von aussen erreichbar sind (openssh, apache) sind also angreifbar (wie auch der tcp stack des linux kernels). deshalb muss man diese peinlich genau warten, d.h. sich am besten auf die security mailing liste der produkte eintragen und der security liste deiner distro, damit du sofort mitbekommst wenn eines der produkte die du einsetzt ein security hole hat. (aber auch auf abhängigkeitn aufpassn)

nebenbei kannst dann noch die einzelnen dienste absichern, wie z.b. bei ssh:
nur EIN USER (nicht root) darf sich einloggen, ssh auf einen nonstandard port legn (z.b. 43534) - somit fällst du nicht den ganzen script kiddies und automatisierten scannern zum opfer die bei allen ips auf port 22 connecten, exploits und standardlogins versuchen ...

sobald du ssh offen hast gibt es KEINEN einzigen grund ein weiteres port für wartungssoftware für dich zu öffnen (z.b. vnc, webmin und anderer schweinkram). die kannst du dann ebenso NUR auf 127.0.0.1 hören lassen. dann loggst dich per ssh ein und kanns ÜBER ssh ports tunneln, verschlüsselt. so hast dann ned 10 services offen die angreifbar sind sondern nur einen - SSH

ebenso für filetransfers, ssh unterstützt scp/sftp und so erspart man sich ftp ;)

wenn du auf dem apache dann produkte laufen lässt sind diese ebenso angreifbar - also aufpassen.
wenn da ein produkt von extern erreichbar sein soll (z.b. ein forum) und du nebenbei phpmyadmin nutzt gibt es ebenfalls KEINEN grund dass phpmyadmin von aussen erreichbar ist - dann wärs ja angreifbar. lieber einen zweiten apache installieren der auf 127.0.0.1 hört -> ssh port tunneln ... usw ;)

hach da gibts 10000000 sachen
 
Zuletzt bearbeitet:
Danke erstmal für eure Antworten. Hier noch ein paar Details:

Vorerst wird auf dem Server definitiv nur Betriebssystem + Apache + MYSQL + PHP + PHP-Pear benötigt. Da ich vorranging Programmierer bin, weiß ich zwar, wie ich die Sicherheitslücken in PHP und SQL stopfe / bzw. garnicht erst entstehen lasse, aber kenne mich mit dem "echten" Serverbetrieb eher weniger aus.

Daher werde ich nun wohl doch zuerst einen Managed Server verwenden, um zumindest einen Teil des Sicherheitskonzepts auf den Anbieter abzuwälzen.

Außerdem werde ich natürlich erstmal die gängigsten Scanner / Exploiter auf den Server loslassen ( X-Scan, Metasploit, ... ).

Das Angebot an Root-Server und Managed Server ist desweiteren ja sehr groß, dort wollte ich schon auf einen der großen Anbieter vertrauen. Gibts es Empfehlungen für Managed Server von eurer Seite? Verfügbarkeit ist dabei ein wichtiges Kriterium.
 
Also eine managed zu nehmen ist in jedem fall die richtige entscheidung, Hetzner ist ganz gut host-media.de auch nicht übel, da musst du nur bzgl der hardware anfragen, die sollten dir auch individuelle angebote machen
 
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh