vServer sicher konfigurieren

Hi,
ich und ein Freund denken darüber nach, uns einen vServer mit root Zugriff anzumieten. Das Teil soll als Lamp, mail, ftp, teamspeak und evtl gameserver fungieren. Außerdem soll der gesamte Traffic meines Freundes über den Server getunnelt werden, da er in seinem Wohnheim hinter einer Firewall sitzt, die so ziemlich jeden Port sperrt. Ich bin beim googlen dafür auf Socks5 gestossen, weiß jedoch nicht genau, ob es dafür geeignet ist. Könnt ihr mir da weiterhelfen/alternativen empfehlen?

Außerdem habe ich allgemeine Sicherheitsbedenken, da ein rootserver ein nicht unerhebliches gefahrenpotential darstellt. Ich habe zwar Linuxkenntnisse, weiß aber nicht sehr genau, was alles dazu gehört, einen Server sicher zu konfigurieren. auch bei google bin ich noch nicht fündig geworden. kann mir jemand da einen link geben bzw kurz umreißen was zu tun/wonach zu suchen ist?

lg Horst

Hallo,

also ich würde dir raten erstmal deine Linuxkenntnisse zu verbessern
bevor du einen Linuxserver versuchst aufzubauen. Denn auch dort sollte
es eine gut konfigurierte FW geben. Und das dein Kumpel im Wohnheim
über dich tunneln möchte finde ich schon ein weiteres Sicherheits-
risiko. Denn dadurch machst du deinen Server ja offener für Angriffe
und dazu noch regressfähig wenn es um nicht legale Inhalte handelt
die dein Kumpel anstellen möchte…

Gruß
Hajo

also wegen illegaler inhalte mache ich mir bei ihm garkeine sorgen machen ansonstne denke ich, dass er dort eine statische ip hat, sodass ich zB per iptables nur ihm den tunnelzugriff erlauben kann.
was würdest du denn empfehlen um meine linuxkenntnisse zu verbessern?

Hallo,

wenn du seiner Statischen IP den Tunnelzugriff erlaubst dann hat
jeder der dort im Wohnheim wohnt einen Tunnelzugang bei dir. Denn
ich bezweifele das jeder in dem Wohnheim eine Statische IP fürs
Inet hat…

Erstmal schauen welche Distrybution der vServer hat und dann darüber
etwas lesen in Linux-Foren

ich würde die ip halt mit ner anderen authentifizierungsmethode kombinieren…

Moin,

du hast ja schon eine wichtige und auch richtige Hinweise bekommen.

Eines - meine Meinung - der besten bücher zu dieser Problematik ist

„Linux Server-Sicherheit“, von Michael d. Bauer aus dem O’Reilly Verlag

Mein Ansatz (gibt mit Sicherheit bessere …) ist folgender:

Zugriff nur per ssh möglich. Root-Zugriff per SSH nicht möglich.

Der Erstkontakt würde also so stattfinden:

ssh-2 eingeschränkternutzer@meinserver

Im Rahmen des Einwahldialogs würde der auf dem Einwahl-Rechner gespeicherte Schlüssel mit dem den Server bekannten Schlüssel überprüft. Wäre dieses der Fall, werden die Passworte überprüft,

Vorteil eines solchen Vorgehens: Ein direktes Root-Login ist nicht möglich. eine erfolgreiche Verbindung kann nur von einem Rechner initalisert werden, auf dem der abgefragte Schlüssel vorliegt.

Eine Kenntnis des/der Passworte allein reicht nicht aus.

Wie sich so etwas am einfachsten, manchmal auch am sichersten einrichten läßt, hängt von vielen Faktoren ab. Client, Server, was für ein Server, welches Betriebssystem dort, welche Version welches Betriebssystemes … ?

Auf einem Root-Server eines bedeutenden deutschen Anbieters unter Opensuse brauchst du bummelige 5 Minuten für diesen Kram, man kann aber auch daran verzweifeln.

Es ändert alles nichts an der Tatsache: Wenn du nicht genau weißt, was du tust und zu tun hast, laß es sein. Sicherheit ist kein Zustand, Sicherheit ist ein Prozeß, frei nach

http://www.schneier.com/

Bei einer Billig-Lösung (0, 2, 3, 4, 5 €, bekannte Kandidaten) kannst du in der Regel „die Sicherheit“ nicht oder kaum beinflussen. Bei einer professionellen Lösung, z. B. bei einem dedicated Root-server für 40 oder 50 €/Monat) könntest du alles, wenn du es denn könntest.

mfg

tf

Hallo,

ich und ein Freund denken darüber nach, uns einen vServer mit
root Zugriff anzumieten. Das Teil soll als Lamp, mail, ftp,
teamspeak und evtl gameserver fungieren. Außerdem soll der
gesamte Traffic meines Freundes über den Server getunnelt
werden, da er in seinem Wohnheim hinter einer Firewall sitzt,
die so ziemlich jeden Port sperrt. Ich bin beim googlen dafür
auf Socks5 gestossen, weiß jedoch nicht genau, ob es dafür
geeignet ist. Könnt ihr mir da weiterhelfen/alternativen
empfehlen?

Socks5 wäre nicht unbedingt das, was ich wählen würde; ich würde vermutlich OpenVPN benutzen. Da hat man dann auch die Authentifizierungsfrage schnell gelöst.

Aber es gibt natürlich noch viele andere Möglichketen.

PPP-over-SSH.

Lustig, aber nicht das, was ich empfehlen würde.

Außerdem habe ich allgemeine Sicherheitsbedenken, da ein
rootserver ein nicht unerhebliches gefahrenpotential
darstellt. Ich habe zwar Linuxkenntnisse, weiß aber nicht sehr
genau, was alles dazu gehört, einen Server sicher zu
konfigurieren.

Dazu gehört Wissen über die konfigurierten Dienste und regelmäßges Einspielen von Security-Fixes.

auch bei google bin ich noch nicht fündig
geworden. kann mir jemand da einen link geben bzw kurz
umreißen was zu tun/wonach zu suchen ist?

Ein grundsätzliches Verständnis des Linux-Systems ist da nötig, das ist IMHO nicht mit einem Link erschlagen. Ich halte es ja für eine gute Taktik, auf einem Linux-Rechner zu Hause erste Erfahrungen zu sammeln. Du wärst nicht der erste, der sich durch einen kleinen Fehler komplett von dem Rechner aussperrst.

Sebastian

Erstmal vielen Dank für die nützlichen Hinweise =)

Weitere Infos, auch wenns wie gesagt in der Planung ist:
Es soll sich um einen vServer mit Rootzugriff für ca. 20€ im Monat handeln.
Die Distribution wäre Ubuntu 10.04, da ich mit Ubuntu die meiste Erfahrung habe.
Atm. arbeite ich mich durch das bei openbook.galileocomputing verfügbare LinuxHandbuch, dass mir einige allgemeine Kenntnisse vermittelt (meiner Einschätzung nach…)

Meine Sicherheits Roadmap schaut folgendermassen aus:
Monatlich wechselnde sichere, verschiedene Passwörter
Sicherer SSH Login (wie von dir skizziert)
Eintragen auf Security Mailinglisten der verwendeten Pakete eintragen
System aktuell halten

Jetzt auch noch das Serversicherheit Buch =)

gäbe es da noch etwas elementares zu ergänzen?

danke sehr für den konstruktiven Beitrag.

Auf openVPN war ich mittlerweile auch so gestossen, durch einen bekannten… ich habe eine wichige Frage dazu: ist serverseitig ein TUN/TAP device zwingend erforderllich? bzw, was ist solch ein Device überhaupt? soweit ich das verstanden habe handelt es sich um virtuelle Schnittstellen, müssten also nicht vom Hoster bereitgestellt werden und selbst hinzufügbar sein, oder nicht?

Hallo,

Auf openVPN war ich mittlerweile auch so gestossen, durch
einen bekannten… ich habe eine wichige Frage dazu: ist
serverseitig ein TUN/TAP device zwingend erforderllich?

Ja.

bzw,
was ist solch ein Device überhaupt? soweit ich das verstanden
habe handelt es sich um virtuelle Schnittstellen, müssten also
nicht vom Hoster bereitgestellt werden und selbst hinzufügbar
sein, oder nicht?

Das sind Dinger, die für das Betriebssytem (fast) alle Eigenschaften einer Netzwerkkarte („Netzwerkschmittstelle“) haben, aber in Wirklichkeit nur ein Stück Software und keine Hardware sind. Der Hoster muss also nichts an dem Rechner umbauen, die Einrichtung solcher Devices geschiegt unter Linux durch „root“ auch aus der Ferne.

Wobei ich meine Hand nicht dafür ins Feuer legen würde, das derartige Schnittstelle auch auf einem virtuellen Server einzurichten und zu handhaben sind.

Sebastian

Hallo,

na ja …

Alle unnötigen Dienste deaktivieren, FTP-Zugang sicher einrichten, evt. Programme wie Aide oder Triwire einsetzten und und und …

Viel Erfolg

tf