# 1und1 Rootserver absichern



## ms-networker (3. September 2007)

Hi all,

habe ca. 3 Tage einen 1und1 Root Sevrer L64, nach anfänglichen Schwierigkeiten und einigen Telefonaten mit dem Support (welches vor lauter inkompetenz mir doch nicht helfen konnte, zumindest einige es auch nicht wollten) habe ich nach dem Rest meiner Probleme gegoogelt und konnte das System (Suse & Plesk) wieder "Reboot-fähig" machen so das der Server nicht mehr hängenblieb bei Neustart. Backups auf nem anderen FTP und alles läuft wieder Prima. Auf dem Rootserver existieren ca. 6 versch. Kunden mit ca. der doppelten Anzahl Domains + einige Domain-Aliase und dann noch ca. 20 EMail adressen.

Nun zum meinen eig. Problem :

1. Gestern bin ich via PuTTy über SSH auf meinem Server und führe den Befehl "tail -f /var/log/messages" aus um zu sehen was sich da so tut (das ganze einfach mal auf einen kleinen Monitor zum mitverfolgen). Neben den ganzen Cronjobs, EMail Logins meinerseits wie auch einigen Kunden wie auch vielen "relaylock /var/qmail/.../... mail from IP ***.***.***.*** (not defined)" sehe ich auf einmal wie sich jemand versucht über den Port 22 (SSH) auf dem Server einzuloggen und scheinbar eine Liste mit bestimmten Namen durchgeht und jedesmal dabei rauskommt "Login inccorect - failed" Also nehm ich an es ist jemand der versucht Zugang zu meinem Rootserver zu erlangen. 

- Laut Plesk kann ich ja leider nur ein feste IP für das Einloggen verschiedener Serverdienste wählen, kann ich evtl. auch irgendwo ein DynDNS eintrag wählen (da ich hier eine wechslende IP habe 24h Trennung) ? Habe z.b: eine DynDNS Adresse, die auch auf meiner FritzBox konfiguriert ist, damit müsste ich es doch eig. schaffen diesen Eintrag dort einzutragen, dass nur aus meiner Leitung auf die Dienste wie "Plesk, SSH, etc... " zugegriffen werden darf?

- Überlege auch evtl. diese Dienste aus dem Autostart herauszunehmen und bei bedarf über Plesk einzuschalten, damit verringere ich sicherlich auch das Risiko wenn diese Dienste nicht laufen oder? Habe zwar lange nach einer HowTo gesucht, bin doch aber auf nix brauchbares bisher gestoßen.

- Würde mir gerne eure Meinungen und Erfahrungen zu Sicherheit von Rootservern anhören. Meine Linux Kenntnisse bewegen sich so im Grundstadium habe zwar schon mit einigen versch. Versionen zutun gehabt, jedoch würde ich mich sicherlich jetzt auch nicht als "Pro" bezeichnen, deswegen wäre ich über jede Hilfe dankbar.

Vielen Dank

greetz MS-Networker


----------



## Dennis Wronka (3. September 2007)

Ich hatte im Buero letztens das gleiche Problem, nur dass es bei mir nicht SSH sondern FTP war.

Ueber das IPTables-Modul Recent sollte sich da was machen lassen.
Ich werd mal schauen ob ich Dir spaeter heut Abend (geh gleich erstmal schwimmen) fix was schustern kann da mein IPTables-Tutorial Recent nicht abdeckt.


----------



## ms-networker (3. September 2007)

Hallo Dennis,

vielendank schonmal. An IPTables habe ich auch schon gedacht, hab mir auch gleichzeitig noch folgendes überlegt:

SSH Port standardmässig liegt der ja auf 22 den umzulegen auf > 10000 das gleiche evtl. auch mit FTP, vielleicht auch den Standardport von Plesk auch wechseln auf nen anderen, das ganze natürlich dann auch mit IPTables absichern.

Beim Surfen bin ich auch auf "fail2ban" gestoßen http://www.ossec.net/en/attacking-loganalysis.html vielleicht ist das auch etwas sinnvolles. In der nächsten Zeit werde ich auch ohnehin den Server stärker beobachten. 

Kennt jemand sinnvolle Log auswerter die man hierzu etvl. auch nutzen könnte?

Vielen Dank
Gruß MS-Networker


----------



## Dennis Wronka (3. September 2007)

Wenn Du das wie ich mit dem Recent-Modul machst brauchst Du keinen Daemon laufen lassen der dann zusaetzliche Resourcen einnimmt. Dann laeuft alles direkt im Paketfilter ab, was die Performance weniger beeinflussen sollte als ein zusaetzlich laufender Prozess.


----------



## ms-networker (3. September 2007)

ok, Du hast da sicherlich Recht und mehr Erfahrung als ich in dem Bereich als ich, hast Du evtl. einen Link zu der Konfiguration des Moduls?

Vielen Dank

greetz MS-Networker


----------

