# Strato Root Server



## Zergi (13. Oktober 2003)

Hallo,

ich bin seit einiger zeit auf der suche nach einen Tutorial was mir beschreibt wie ich einen Rootserver mit Apache, Mysql, ftp, sendmail etc. am besten nach aussen hin absicher kann. Kennt da jemand ein gutes? Danke für die Hilfe.

mfg
Zergi


----------



## Thomas Kuse (13. Oktober 2003)

Wär nicht schlecht wenn du auch gleich die Distribution nennst.
Zwischen denen gibt es Unterschiede, besonders bei den älteren.


----------



## Arne Buchwald (13. Oktober 2003)

Ich vermute mal, dass SuSE zum Einsatz kommt, aber das ist auch erstmal egal.

Wichtig:
- Programme immer aktuell halten  (Damit hast du schon die halbe Miete)
- Sichere Konfiguration der Programme
- Invormiere dich über IDS (und installiere es).

Kauf dir: "Building Secure Server with Linux" aus dem O'Reilly-Verlag. Da steht alles drin, was du brauchst.


----------



## Habenix (13. Oktober 2003)

....und nur die nötigen Dienste laufen lassen...


Gruß

Habenix


----------



## JohannesR (13. Oktober 2003)

1) Einene Kernel mit dengrsecurity-Modulen kompilieren und installieren.
2) Mit pstree und nmap (Wer von euch hat Matrix II aufmerksam gesehen? ) das System auf laufende Dienste und offene Ports kontrollieren. Nicht benötigte Dienste deinstallieren und/oder per 
	
	
	



```
# update-inetd --remove [SERVICENAME]
```
 entfernen.
3) Mit den iptables eine sinnvolle Firewall aufsetzen, iptable-generatoren gibt es auf freshmeat.net, Sourceforge.net und, online & life, auf harry.homelinux.org.
4) inetd evt. mit dem besseren xinetd ersetzen.
5) Das Debian-Paket "harden-doc" installieren, keine Ahnung ob und wie man das für SuSE bekommt, evt. dpkg nachinstallieren und das Paket auf debian.org herunterladen/installieren.

Mehr fällt mir spontan nicht ein - doch, eins noch: *Benutz nicht das notorische Sicherheitsloch Sendmail, Postfix ist hundertmal besser, vor allem jedoch sicherer.*


----------



## Zergi (14. Oktober 2003)

Hmm... Also das Problem is das ich noch nich so viele erfahrungen mit Linux habe. Also die Distribution ist schonmal suse. Ich möchte aber gerne dann SuSE 9.0 Installieren. Aber danke schonmal für die Tipps. Das Buch, wo gibts das? gibts das auch auf Deutsch?
Auf dem Server läuft ja dann Confixx 2.0 ich hab irgendwie gehört der würde irgendwelche Sicherheitseinstellungen selbst vornehmen oder wie ist das?


----------



## Christian Fein (14. Oktober 2003)

> _Original geschrieben von Zergi _
> *Hmm... Also das Problem is das ich noch nich so viele erfahrungen mit Linux habe. *



In dem Fall, rate ich dir den Server abzumelden, dich 1-2 Jahre intensiev mit Linux zu beschäftigen.

Andernfalls sehe ich für dich keine Chance den sicher zu bekommen.


//wetten es regt sich irgendjemand wieder über mein "Arrogante Haltung" auf!


----------



## Zergi (14. Oktober 2003)

ne, der Sinn is ja datt ich das daran lerne. Ich mach momentan ne Ausbildung zum fisi und wollte ebend nebenher ein bisschen zum spielen haben. Also Apache Mysql und co. zu Installieren hab ich ja alles schon hinbekommen. Gibt ja auch coole Tutorials dazu. Ich wollt ebend Learning by doing machen. Und ich hab mir nun mal n paar tuts durchgelesen und mir so ne iptable erstellen lassen und denke hab das jetzt auch so weitesgehend verstanden wie das abläuft. Was ich aber gern wissen würde is wie diese nats funktionieren...

Sowas hier:
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination xxx

Also das des heitsst das da ne regel für eth0 am port 80 dazugefügt wird kann ich mir schon vorstellen und das die dann irgendwie umgeleitet werden. Aber an was denn? An ne andere IP würd ich mal sagen oder? Oder kann man da nen Ordner Festlegen und sagen alle pakte sollen nur zu diensten in diesen Ordner weitergeleitet werden?


----------



## Christian Fein (14. Oktober 2003)

> _Original geschrieben von Zergi _
> *ne, der Sinn is ja datt ich das daran lerne. Ich mach momentan ne Ausbildung zum fisi und wollte ebend nebenher ein bisschen zum spielen haben.*



Das ist eine gute Sache, nur machst du dabei einen entscheidenen Fehler. 
Du nimmst einen Server der mit ner Dicken Leitung im Internet hängt. Dies ist nicht eine gute Art um sich Kenntnisse anzueignen.

Gründe:
- Dein Server kann zu Spamming missbraucht werden. (Rate mal wieso soviel Emails ohne korrekte Email adresse weiter relayed werden!, Genau weil viele ohne Ahnung einen unix Server betreiben.) Da freuen sich die Spammer.

- Dein Server kann als Warez Pub missbraucht werden. Einen gut eingerichteten Pub zu erkennen, hat was mit Erfahrung zu tun. Es gibt Pubs die sind seid 2-3 Jahren aktiv, weil der Admin keine Ahnung hat. Dazu solltest du wissen das du dich Strafbar machst wenn du sowas nicht erkennen kannst, und nicht dagegen vorgehst.
Zudem könntest du bei der Traffic Rechnung grosse Augen bekommen, ich kenne ein Fall bei dem es um eine 4 Stellige Euro Nachzahlung ging.

- Dein Webserver kann zu DDoS Attacken gegen andere Server missbraucht werden. Mit einer so dicken Anbindung, ist dein Server eine Waffe, mit der mann andere Rechner in die Knie zwingen kann.....


PS: Linux kannst du dir kostenlos von http://www.linuxiso.org runterladen und bei dir zuhause installieren. Das ist genau die selbe Software die dich im Netz erwartet nur 
mit dem Vorteil das aufgrund der Begrenzten Bandbreite von DSL du keine Gefahr 
für andere darstellst.


----------



## Habenix (14. Oktober 2003)

> ne, der Sinn is ja datt ich das daran lerne. Ich mach momentan ne Ausbildung zum fisi und wollte ebend nebenher ein bisschen zum spielen haben.



so eine Spielwiese hätte ich auch gerne wärend meiner Ausbildung.  

Christian hat daher vollkommen Recht. Ich würde es mir 2 mal überlegen ob ich diesen Schritt gehen möchte zumal das auch den Geldbeutel schont.


Gruß

Habenix


----------



## Zergi (14. Oktober 2003)

nun ja. Ich hab ja auch was damit vor. Mindestens meine Website drauf laufen zu lassen. Und mit nem 56k modem geht das schlecht. Und linux hab ich ja schon bei mir installiert... nur mit 56k lässt sich da nix vernünftiges aufbauen mit...


----------



## Zergi (14. Oktober 2003)

naja ich hab natürlich schon was damit vor. jedenfalls momentan 3 internetseiten die drauf gehostet werden müssten... und bis jetzt bei nem andren anbieter liegen..


----------



## Arne Buchwald (14. Oktober 2003)

Und die drei Seiten sollten auf fein bei dem anderen Anbieter bleiben! .... und du solltest den Rootserver sobald als möglich kündigen!

Keine _guten_ Linuxkenntnisse -> kein "Rootserver"


----------



## Zergi (14. Oktober 2003)

Ja schön ich werd meine Seiten weiterhin bei YWS bze VLab hosten lassen, es in kauf nehmen das ich seit 14 tagen keine Mails merh abrufen kann und eine downtime von 85% in kauf nehmen. Ich habe lediglich gefragt wie man einen Webserver sicher macht. Hätte ich wissen wollen was andere Leute darüber denken wie ich meine Finanzen plane, hätte ich anders gefragt...


----------



## Christian Fein (14. Oktober 2003)

> _Original geschrieben von Zergi _
> *Ja schön ich werd meine Seiten weiterhin bei YWS bze VLab hosten lassen, es in kauf nehmen das ich seit 14 tagen keine Mails merh abrufen kann und eine downtime von 85% in kauf nehmen. Ich habe lediglich gefragt wie man einen Webserver sicher macht. Hätte ich wissen wollen was andere Leute darüber denken wie ich meine Finanzen plane, hätte ich anders gefragt... *



Du verstehst es falsch.

Wie deine Finanzplanung ist, hat uns nichts anzugehen und geht uns nichts an.

Wenn du aber mit dazu beiträgst, auch wenn es ungewollt ist, das Spam und Warez 
wunderbaar gedeiht, so wollen wir da nicht helfen. Da wir ebenso davon betroffen sind.

Aber wenn du umziehen willst, dann rate ich dir Domainfactory.de. Ich hoste alle meine Domains dort, und bin sehr zu frieden. Auch Webseiten von Kunden die schnell beim Anwalt anrufen sind, hoste ich dort, da domainfactory verdammt professionell ist und bei Problemen sofort handelt.
Zudem ist ein root Server, einfach zeitaufwendig. Ich habe den Vorteil das ich auch beruflich mich um den Server kümmern muss, und deshalb kann ich meinen Server in 
meiner Arbeitszeit gleich mitpatchen.
Aber zeitaufwendig ist es.


----------



## Zergi (14. Oktober 2003)

Na also meine Entscheidung steht nun einmal fest. Und wenn ihr/du meint/meinst das du es mehr verhinderst das ein warez-pub aus meinem Server wird indem du mir gerade nichtnicht hilfst dann versteh ich die logig nicht ganz. 

Also. Ich hab doch nur n kleinen Server auf dem ich mein Confixx installiere und 3 freunde mit draufmache und da is die gefahr doch nich so hoch oder etwa doch? wenn ich das ein bissi sichere mein Root passwort ein bisschen länger mache und jeden monat auf die Traffic rechnung gucke und mir die logs durchgucke per webanalyser dann seh ich doch was da abgeht oder nich? Ich will doch nicht 100 leute da drauf lassen ohne das ich da nen überblick habe...

Wie funktioniert denn nun son nat?


----------



## Christian Fein (14. Oktober 2003)

> _Original geschrieben von Zergi _
> *Na also meine Entscheidung steht nun einmal fest. Und wenn ihr/du meint/meinst das du es mehr verhinderst das ein warez-pub aus meinem Server wird indem du mir gerade nichtnicht hilfst dann versteh ich die logig nicht ganz.
> Also. Ich hab doch nur n kleinen Server auf dem ich mein Confixx installiere und 3 freunde mit draufmache und da is die gefahr doch nich so hoch oder etwa doch?
> *



Doch ist sie, der Server hängt an einer Standleitung, es ist egal wieviel Freunde mitmachen, wenn jemand ein z.b sendmail exploit nutzt und root Rechte erlangt und 
dir ein root kit installiert, hast du in kürzester Zeit 100 Benutzer.



> _Original geschrieben von Zergi _
> *
> wenn ich das ein bissi sichere mein Root passwort ein bisschen länger mache und jeden monat auf die Traffic rechnung gucke und mir die logs durchgucke per webanalyser dann seh ich doch was da abgeht oder nich? Ich will doch nicht 100 leute da drauf lassen ohne das ich da nen überblick habe...
> 
> Wie funktioniert denn nun son nat? *



Es geht nicht um das Passwort. Kein Hacker versucht heutzutage Bruteforce über die Passwörter laufen zu lassen und wenn das nicht funktioniert gibt er auf. 
Er nutzt bekannt gewordene Sicherheitslücken um Code einzuschläusen der bei einer sendmail Lücke unter root installiert wird. 
So setzt er dir ein root kit vor die Nase welcher z.b sämmtliche Tastarturkommandos abfängt und per Email an ihn selber schickt.
Dieses liest er z.b nach passwd aus und hat damit sogar nachdem du dein root Passwort geändert hat, das neue Passwort.
Wenn mann keine Ahnung hat was die PATH Systemvariable bewirkt, so brauch der Hacker noch nicht mal sehr intelligent sein und du wirst sowas nie bemerken.

Die logs sind wunderbar wenn mann Ahnung vom System hat und weiss wie mann sich diese Logs zu nutze machen kann, um Eindringlinge zu erkennen.
Das du nicht 100 Leute drauf haben willst, ist mir schon klar. Der Hacker weiss das du das nicht willst, und wird somit seine Spuren verwischen.
Der Hacker hat dir gegenüber ein Vorteil, er kennt sich mit UNIX aus (wenn er was taugt).  
Letztendlich kann (muss nicht unbedingt) es sein das du ein ganz böses erwachen hast, wenn die Rechnung kommt.
Glaub mir du währest nicht der einzige  dem das Passiert.

Zudem ist Hosting - Webpackete eindeutig billiger, und sicherer. 
Der Root Server ist dann von nutzen wenn mann wirklich eine Konfiguration benötigt die Weitab von dem liegt was die Hoster anbieten.
Aber selbst dann hilft oftmals eine email an den Hoster ob nicht dieses oder jenes möglich währe.
Du brauchst kein Server, 
der Server stellt eine Gefahr für Dich und andere im Web da.

Ich werde dir aus den Gründen ausser mit diesem Link hier nicht weiterhelfen, da ich es ganz und gar nicht einsehe das mann so unvernünftig sein muss.

Siehe HOWTO:
http://www.netfilter.org/documentation/HOWTO/de/packet-filtering-HOWTO.html


----------



## Arne Buchwald (14. Oktober 2003)

> Na also meine Entscheidung steht nun einmal fest. Und wenn ihr/du meint/meinst das du es mehr verhinderst das ein warez-pub aus meinem Server wird indem du mir gerade nichtnicht hilfst dann versteh ich die logig nicht ganz.


Jetzt wird's wohl immer dreister. Heute war im TP auch schon so einer.

Weißt du, was professionelle Serveradministration (= Managed Server) kostet? 10min / Tag = 5 Std. / Monat; Stundelohn: 100,- Euro.

.... und du willst natürlich die Leistung obigen Betrages umsonst abgrasen; am besten sollen wir dir auch noch den Server einrichten, wie !? ?!


----------



## Zergi (14. Oktober 2003)

Gut alles klar. Ihr hättet auch einfach sagen können das einem in diesem Forum bei Problemen nicht weitergehlolfen wird, weil die gefahr die vom User ausgeht zu groß ist. Jaaa ihr seid ja so gut und ihr eröffnet ein Hilfe Forum und fragt euch dann warum euch niemand dafür bezahlt. Pech gehabt - dann hättet ihr euch das früher überlegen sollen. Schade das es keine Tutorials gibt die helfen verzogene kleine [1] wieder auf den Boden bringen.

Danke, und tschüss...

[1] Nochmal geloescht: Da Beschimpfungen dich wirklich nicht weiterbringen.
Da hilfts auch nicht wenn du mein Löschen wieder rückgängig editierst und die Beleidigung nochmal reinschreibst.
Das würde jetzt eh nicht mehr gehen weil du das Grosse Los gezogen hast und dich 
wegen Verletzung der Nettiquette, im Tutorials.de Nirvana wiederfindest.
[closed] [user-kick]  *ausnahmsweise macht das sogar mal spass*


----------



## Chrischnian (6. November 2003)

Hey bin neu hier und hoffe ich kann helfen, und mir wird auch mal geholfen.

Also ich bin auch in einer Umschulung zum ITK habe diesen Monat Prüfung! 

Sag mal Zergi bist du so ein unverbesslicher Besserwisser oder willst du es nicht kapieren, das man dir hier sehr wohl helfen will.

Du hängst mit deinen Root Server an einer sehr dicken Leitung und hast so wie es sich anhört von Linux und Unix wirklich null Ahnung! 

Warum gahst du nicht lieber her und holst dir bei einen anderen Hoster lieber ein kleines Paket mit PHP und SQL und Sendmail und machst dort deine 5 Webseiten. Dann hast du auch eine große Leitung, gibst deinen Kollegen die Login Daten und los gehts!

Und bist für andere wie uns keine Gefahr!

Ich muß persönlich sagen, ich bin vor ca. einen halben Jahr komplett auf Linux umgestiegen in meinen privaten Netz laufen 3 Rechner die mit DSL am Netz hängen. Ich habe schon wahrscheinlich 2 Einbrüche in meinen Recher gehabt und musste dann immer neu installieren (hab ich lieber gemacht bevor ich noch was total crashe), ich weiß nich wie es bei dir mit den Wissen aussieht aber geh lieber her und holl dir DSL, dazu DYNDNS und setzte lieber daheim alles mal auf bist du es kannst

Also hör lieber auf uns und mach dich nicht hier mit deinen Aussagen zum Kasper

Denn wenn du mal FISI werden willst dann sollte man auf erfahrene  hören!

Ich hab das hier schnell ich Praktikumbstrieb geschrieben deswegen sind alle Rechtschreibfehler unter meinen Copyright!  

Bye Chris


----------

