 Rootserver Aufbau Hilfe |
herogeier
Steuerzahler
Dabei seit: 04.12.2007
Beiträge: 159
|
|
Vorgeschichte:
Unser Clan war meistens bei anderen Rootbesitzern als Gast dort zu Gange. Also ein fertiger Rootserver wo ich einen Ordner mit Gastzugang hatte.
Da der letzte Besitzer mit gecrackten Servern gespielt hat, haben wir beschlossen einen eigenen Root ( Linux ) zu mieten. Ich habe die Kenntnisse verschiedene Spiele Server ( CoD1, 2, 4, CS:S oder F.E.A.R. ) einzurichten, zu bedienen, zu killen oder die auch auf den Server zu überspielen mit allem was dazugehört wie MoDs und auch Custommaps.
Eigentlich war ich sehr zuversichtlich auch den neuen Root zu meistern.
Bis ich auf dieses Forum gestossen bin mit dem gepinnten Topic "Rootserver: Große Verantwortung".
Zum Problem.
Nachdem ich das gelesen habe bekomme ich Angst. Zum einen, dass ich die Gameserver ohne Probs zum laufen kriege aber diese nicht lange On sind, weil jemand den Root hackt und alles löscht. Zum anderen, das jemand ohne meines Wissens illegales mit dem Server macht und mich zur Verantwortung zieht.
Einzelne "reine" Gameserver mieten haben wir uns überlegt, doch die Kosten sprengen den Rahmen.
Frage:
Gibt es so schöne Anleitungen für die Sicherheit im I-Net, wie die hier bei OL zum Server aufsetzen?
Zusätzliche Infos:
Wir haben ein Angebot bei "§server4you" im Auge.
OS: openSuSE 10.1, Fedora Core 6, Ubuntu 6.06 LTS, Debian 4.0
Ctrl.-Panel: Plesk 8.2
Reboot, Recovery, Backup, Reverse: Power
Raid 1 per Software
Es werden nur Spiele aufgesetzt ( CoD1, 4, CS:S ). Keine Homepage. Evtl. noch 1 TS. Reichen da nicht die Providerseitigen Sicherheiten? Firewall ect...?
Ich bin für hilfreiche Tipps oder Links dankbar. Das OL-Board hat mich noch nie im Stich gelassen. 
__________________
Have Fun. Thats an Order!
Dieser Beitrag wurde 1 mal editiert, zum letzten Mal von herogeier: 19.04.2008 22:26.
|
|
|
|
|
Anonymousunregistriert
|
|
404 - DEPUBLIZIERT
Dieser Beitrag wurde auf Wunsch des Urhebers ohne Anerkennung einer Rechtspflicht gelöscht
Bitte nicht die Google Cache Funktion benutzen.
Dieser Beitrag wurde 1 mal editiert, zum letzten Mal von Anonymer Urheber: 19.04.2008 22:33.
|
|
|
|
|
Kelli
... sehr viel alleine
Dabei seit: 09.11.2006
Beiträge: 2.504
|
|
Es gibt kein Ja, das ist sicher oder völlig unsicher. Da du dir Gedanken drüber machst bist du aber schon einen Schritt weiter als die meisten. Gut so.
Ich würde dir zu Debian raten - das ist am übersichtlichsten, stable heißt bei Debian auch stable und Patche lassen sich einfach einspielen. Und da hast du schon den wichtigsten Punkt. Halt das System und dich immer auf dem laufendem. Öfters die Woche bei den verschiedenen Mailinglisten vorbeischauen, z.B.
http://heisec.de
http://isc.sans.org/
http://www.securityfocus.com/bid
http://seclists.org/bugtraq/2008/Apr/
http://www.debian.org/security/
Die meisten der wildgewordenen botnetzte versuchen uralte längst gepatchte Lücken auszunutzen. Warum? Weils funktioniert und billig ist. 0-Day Exploits sind extrem selten und werden nicht mal ebend so von einem Spammerjogi aus Asien in der Schulpause entdeckt. Naja jedenfalls nicht von dem durchschnittsjoggi :/
Der nächste Punkt auf deiner Liste sollte ein laaaanges Passwort sein - oder der komplette Verzicht auf Passwörter und das Benutzen von ssh-Key Authentifizierung. Möglichst nicht FTP verwenden - statt dessen Sftp, nicht benötigte Dienste wie mail oder das Webinterface von TS deaktivieren, wenn du mit Plesk gut umkannst - ok aber auch das musst du dann aktuell halten, wenn du ohne Plesk leben kannst dann verzichte darauf. Versuche einfach so wenig Angriffsfläche wie irgend nötig zu bieten. Um Software die nicht läuft brauchst du dir keine Gedanken zu machen.
Und last but not least - schütze auch die Daten. Das root Passwort nicht auf deinem Rechner speichern oder per unverschlüsselter E-Mail durch die Gegend schicken. Nicht per wlan auf den root einloggen. Ist der Rechner von dem du auf den root zugreifst kompromittiert ist es der root server unter Umständen auch. Also schütze deinen Rechner genauso gut.
Es ist nicht sooo schwer - man braucht nur eine gehörige Portion Paranoia und muss immer auf dem laufendem bleiben. Mach dich damit vertraut - vor allen in der Anfangszeit solltest du dir immer wieder anschauen was alles läuft, wie die Prozesse heißen, wie die Logfiles aussehen und wofür jeder einzelne Dienst da ist. Damit du sofort merkst wenn irgendwas nicht stimmt.
Und noch ein wenig augenzwinkernd:
http://burnachurch.com/70/dein-neuer-linux-server/
__________________
„ Allah ist Groß, und wir sind armselige Tröpfe mit unseren ganzen Wissenschaften Herrlichkeit.“
Dieser Beitrag wurde 420 mal editiert, zum letzten Mal von der Bundesregierung Niemand: Heute, 11:42.
https://kkde.de/scum/
|
|
|
|
|
Kelli
... sehr viel alleine
Dabei seit: 09.11.2006
Beiträge: 2.504
|
|
Original von herogeier
Der einfachheithalber stelle ich mal ne doofe Frage. Wenn ich den Debian nutze...Kann ich das restliche, zwecks kleiner Angriffsfläche, ausschalten was beim OS steht? (Suse, Fedora, Ubuntu)
Was da steht:
OS: openSuSE 10.1, Fedora Core 6, Ubuntu 6.06 LTS, Debian 4.0
Ctrl.-Panel: Plesk 8.2
Reboot, Recovery, Backup, Reverse: Power
Sind Alternativen.
openSuse: ist eine Alternative zu Debian - aber Suse ist im Auslieferungszustand mit sehr viel Helferlein ausgestattet die man im Serverbetrieb nicht unbedingt braucht. Suse ist das Windows unter den Linuxen - alles wird unter Tools versteckt, es ist extrem schwierig da zu durchschauen was eigentlich was genau macht. Deswegen würde ich es nicht empfehlen wenn du irgendwann mal tiefer begreifen willst was eigentlich "passiert" wenn man etwas ändert.
Fedora: Alternative zu Debian (Das werden Sie nicht gerne hören) ich kann nicht wirklich was schlechtes darüber sagen - aber für Debian gibt es einfach mehr Infos, das einspielen von neuer Software oder Patches ist einfacher.
Ubuntu: Ist eigentlich ein Debian - aber Ubuntu ist eher was für den Desktop oder um damit erste Erfahrungen zu sammeln. Bunt. Shiny. Trendy. Immer die neusten Feature - nur damit auch immer die neusten Bugs - Debian läuft stabiler hier liegt der Focus mehr auf "muss laufen" bei Ubuntu auf "muss gut aussehen".
Plesk: Ist halt das AdminPanel das die ganze Konfiguration unter einem Webinterface versteckt. Damit kann man aber nichts lernen - klicken kannst du schon - und Webinterface sind per Definition mögliche Einfallstore für automatisierte Angriffe.
Reboot, Recovery, Backup, Ist wohl klar, da wird wohl eine Telefonistin irgendwo errreichbar sein die im Notfall den roten Knopp drücken kann.
Reverse: Power Keine Ahnung für was das steht.
__________________
„ Allah ist Groß, und wir sind armselige Tröpfe mit unseren ganzen Wissenschaften Herrlichkeit.“
Dieser Beitrag wurde 420 mal editiert, zum letzten Mal von der Bundesregierung Niemand: Heute, 11:42.
https://kkde.de/scum/
|
|
|
|
|
herogeier
Steuerzahler
Dabei seit: 04.12.2007
Beiträge: 159
|
|
Ich möchte mich nochmal bei allen bedanken für die Hilfe.
Unser neuer Root Server läuft mit CoD4 Servern. *FREU*
Ich habe auch ein laaaaanges PW gesetzt.
Auch die apt habe ich gemacht.
Für den Rest muss man glaube ich irgendwie so etwas auch studiert haben. 
Diese ganzen Ankündigungen mit den Paketen kann ich doch ignorieren, da ich ausser den Gameservern keine Software installiert habe wie ikiwiki, mplayer, ect...
Obwohl...Wenn ich ps -aux eingebe, kommt ja massig an Material was ich doch gar nicht brauche. ( Mysql, events0/1 und so zeugs)
Gibt es unter Debian nicht auch sowas wie bei Win einen "Run" Ordner wo dies abgeschaltet werden kann?
Und ist wirklich besser, Spieleserver als User und nicht als Root laufen zu lassen?
Sind das alles user die in der ect/passwd stehen (www-data,list,mysql, uvm.)?
"Es ist nicht sooo schwer". Oh doch Kellerkind. Da kommt noch ne Menge auf mich zu denke ich. Vor allem, wenn ich Anhand der Riesenliste unter ps -aux meine Portion Paranoia bekomme.
__________________
Have Fun. Thats an Order!
|
|
|
|
|
Kelli
... sehr viel alleine
Dabei seit: 09.11.2006
Beiträge: 2.504
|
|
Original von herogeier
Obwohl...Wenn ich ps -aux eingebe, kommt ja massig an Material was ich doch gar nicht brauche. ( Mysql, events0/1 und so zeugs)
Gibt es unter Debian nicht auch sowas wie bei Win einen "Run" Ordner wo dies abgeschaltet werden kann?
Ja. Gibt es. der heißt /etc/init.d und /etc/rcX.d.
Und es gibt ein Befehl namens
 Code angehängt. Klicke hier zum Ein-/Ausblenden
| code: |
1:
2:
3:
|
update-rc.d -n -f DIENSTNAME remove
|
|
der den Autostart eines Dienstes beendet. (Das -n hab ich hier mal ausdrücklich hingeschrieben google nach diesem Befehl oder gib
man update-rc.d
in deine Console ein um mehr darüber zu erfahren.
Aber du solltest da nichts auf gut Glück ausprobieren. Manche Dienste sind lebensnotwendig, andere kann man abschalten.
Original von herogeier
Und ist wirklich besser, Spieleserver als User und nicht als Root laufen zu lassen?
Absolut. Nichts sollte unter root laufen, dieses Konto ist nur für die Systemwartung.
Original von herogeier
Sind das alles user die in der ect/passwd stehen (www-data,list,mysql, uvm.)?
Ja. Da nichts unter root laufen sollte haben viele Programme eigene Benutzer mit den speziellen Rechten die nötig sind. Aber du kannst dich mit diesen Benutzernamen nicht einloggen, die sind für die jeweiligen Prozesse "reserviert". Und komm nicht auf die Idee welche zu ändern dann läuft das entsprechende Programm nicht mehr.
Original von herogeier
Vor allem, wenn ich Anhand der Riesenliste unter ps -aux meine Portion Paranoia bekomme.
Wichtig ist nur das du merkst wenn etwas neues dazukommt
Wenn du die Liste postest kann ich dir vielleicht die ein oder anderen Prozess erklären. Und du kannst dann entscheiden ob er wichtig ist.
__________________
„ Allah ist Groß, und wir sind armselige Tröpfe mit unseren ganzen Wissenschaften Herrlichkeit.“
Dieser Beitrag wurde 420 mal editiert, zum letzten Mal von der Bundesregierung Niemand: Heute, 11:42.
https://kkde.de/scum/
Dieser Beitrag wurde 1 mal editiert, zum letzten Mal von Kellerkind: 23.04.2008 22:25.
|
|
|
|
|
herogeier
Steuerzahler
Dabei seit: 04.12.2007
Beiträge: 159
|
|
Ja. Gibt es. der heißt /etc/init.d und /etc/rcX.d
/ect/init.d ist vorhanden.
/ect/rcX.d aber nicht. Dafür rc0.d bis rc6.d und rcS.d
Aber du solltest da nichts auf gut Glück ausprobieren.
Neeee. Dafür habe ich diesen Thread ja erstellt, um mich zu informieren
Nichts sollte unter root laufen,
Wird heute Abend abgeändert. User anlegen mit "adduser" anstatt "useradd" und wieder laaaanges PW?
Wenn du die Liste postest kann ich dir vielleicht die ein oder anderen Prozess erklären.
Für mich war jetzt das einfachste "ps -aux" einzugeben und nen Screen zu machen. Ich hoffe das ist in Ordnung.
 
Kellerkind. Mein Held. *SCHLEIM*
__________________
Have Fun. Thats an Order!
|
|
|
|
|
Kelli
... sehr viel alleine
Dabei seit: 09.11.2006
Beiträge: 2.504
|
|
Original von herogeier
Ja. Gibt es. der heißt /etc/init.d und /etc/rcX.d
/ect/init.d ist vorhanden.
/ect/rcX.d aber nicht. Dafür rc0.d bis rc6.d und rcS.d
Ich hatte keinen Bock 0 bis 6 zu schreiben und hab deswegen X als Joker benutzt 
Wenn du Google mit Runlevel fütterst wird er dir auch erklären wofür die einzelnen Ziffern stehen.
Original von herogeier
Nichts sollte unter root laufen,
Wird heute Abend abgeändert. User anlegen mit "adduser" anstatt
adduser, ja. Du kannst ja auch mal nach ssh Key Authentifizierung suchen. Das spart dir das eintippen des Passwortes und ohne den passenden Private Key hat keiner eine Chance sich einzuloggen. Sinnvolle Suchbegriffe:
"ssh authorized_keys" "pubkey" "ssh-dss" "ssh ohne Passwort"
Original von herogeier
[LISTE]
mysqld ist eine Datenbank. Das braucht man für dynamische Webseiten und Plesk könnte es benutzen. Das System oder die Gameserver brauchen es nicht.
/etc/init.d mysqld stop
ClamAV ist ein Virenscanner - wird bevorzugt für E-Mail checken mit Exim verwendet. Es gibt und gab die Gefahr das Malware speziell dafür ausgelegt ist den Virenscanner als Einfallstor zu benutzen. Selten und wenn du ihn auf dem neusten Stand hälst ist das Risiko gering. Ansonsten
/etc/init.d/clamav-daemon stop
/etc/init.d/clamav-freshclam stop
Spamd ist der Spamassasin. Prüft E-mail auf Spamverdacht mithilfe von Blacklist heuristischer Erkennung etc. Wenn du keine E-Mail empfangen und versenden möchtest
/etc/init.d/spamd stop
Courier und exim sind die eigentlichen E-Mail Programme. Exim verwaltet die Postfächer und Courier sorgt für die Login und Authentifizierung. Wenn du keine E-Mail verwenden möchtest.
/etc/init.d/courier-pop stop
/etc/init.d/courier-authdaemon stop
/etc/init.d/courier-pop-ssl stop
/etc/init.d/courier-imap stop
/etc/init.d/courier-imap-ssl stop
Proftpd ist ein FTP Server. Du kannst SFTP über ssh stattdessen benutzen und solltest du auch da FTP unverschüsselt Passwort und Benutzernamen überträgt. Ein schicken SFTP Client findest du unter http://winscp.net
/etc/init.d/proftpd stop
Apache ist ein Webserver. Eventuell läuft Plesk da mitdrüber - auf jedenfall brauchst du ihn wenn du Webseiten bereitstellen willst. Ansonsten:
/etc/init.d httpd stop
oder könnte auch
/etc/init.d apache2 stop
sein.
Alles andere brauchst du. mit dem /etc/init.d ... hälst du nur das jeweilige Programm an, es wird immer noch beim nächsten Neustart mitgestartet. Das würde ich an deiner Stelle erstmal so lassen - später, wenn du dir sicher bist kannst du das deaktivieren indem du das jeweilige Script aus /etc/init.d löschst und mit update-rc.d -f NAME remove die links entfernst. Das ist dann aber endgültig bis du es wieder von Hand einrichtest.
__________________
„ Allah ist Groß, und wir sind armselige Tröpfe mit unseren ganzen Wissenschaften Herrlichkeit.“
Dieser Beitrag wurde 420 mal editiert, zum letzten Mal von der Bundesregierung Niemand: Heute, 11:42.
https://kkde.de/scum/
Dieser Beitrag wurde 1 mal editiert, zum letzten Mal von Kellerkind: 24.04.2008 14:09.
|
|
|
|
|
|
|
|
  |
Impressum ||Datenschutzerklärung
|
Zitat:
