Chippelchen
Anmeldungsdatum: 6. August 2017
Beiträge: Zähle...
|
Hallo, ich beschäftige mich seit gut einer Woche mit Vservern und root Rechten. Ich möchte online eine Website aufbauen und finde die Materie sehr interessant. Es macht auch mehr Spaß als einfach shared-hosting zu nutzen. Natürlich ist das Ganze mit deutlich mehr Aufwand, technischem Verständnis und Verantwortung verbunden. Ich habe mir jetzt eine Seite und meine Nextcloud aufgesetzt. Ich möchte euch hier die Schritte nennen, die ich gemacht habe, um meinen Server abzusichern. Bitte sagt mir, ob ich noch was verbessern kann oder ob ich was vergessen habe. ☺ Mit root auf dem Vserver geloggt. Neuen Nutzer erstellt und root Rechte gegeben. SSH Zugang abgesichert und nur Autorisierung über SSH-keygen file erlaubt. Root kann nicht einloggen, weil kein Key, aber mein neu erstellter Nutzer. Der Nutzer autorisiert sich mit dem Key (ohne Passwort) UFW installiert und folgende Einstellungen vorgenommen → sudo ufw allow ssh, http, https Updates gemacht mit sudo apt-get install update / upgrade (habe gehört, dass es bei upgrade bessere Möglichkeiten geben soll?) LAMP Server aufgesetzt. SSL aktiviert https://wiki.ubuntuusers.de/Apache/SSL/ Datenbank in MYSQL angelegt und Forum installiert Fail2Ban installiert, aber nicht weiter konfiguriert. Ist das in der Standardeinstellung schon richtig gesetzt oder muss ich was anpassen? Für meinen FTP Server folgende Einstellung für meinen User gesetzt, damit ich die Dateistruktur bearbeiten kann mit Filezilla → sudo chown benutzer -R /var/www/html → /etc/apache2 Forum installiert
Diese Schritte bin ich durchgegangen. Mein Server verbindet jetzt nur noch per SSL, da ich ein redirect eingestellt habe. Ist das ein guter Anfang? Was fehlt? Habe ich irgendwo einen Fehler gemacht und mich für draußen angreifbar gemacht? Vielen Dank für eure Hilfe ☺ Mit freundlichen Grüßen Kai
|
verdooft
Anmeldungsdatum: 15. September 2012
Beiträge: 4020
|
Ich habe nach 6. noch das ausgeführt:
/usr/bin/mysql_secure_installation
zu 9.: Wenn ich mich richtig erinnere, sind nach der puren Installation keine Jails aktiv, das muss man manuell erledigen.
|
Thomas_Do
Moderator
Anmeldungsdatum: 24. November 2009
Beiträge: 8542
|
Hi Chippelchen, Du machst Dir ja richtig Mühe! Es ist schwer zu sagen, ob der Server sicher konfiguriert ist ohne die Konfigurationsdateien vollständig durchzugehen. Das Login über Schlüssel ohne Root ist schon mal gut. Der neue Nutzer braucht aber keine Administratorrechte. Du kannst nach Aufbau der ssh-Verbindung mit "su root" in den Root-Account wechseln (oder ein anderes Konto mit Adminrechten). Die UFW brauchst Du m.E. so nicht. Es laufen ja nur Programme und Protokolle, die Du explizit aktiviert hast. Das brauchst Du keine zusätzlichen Beschränkungen. Statt FTP würde ich alle Datentransfers über ssh abwickeln (scp, sftp). Fail2Ban würde ich noch mal genau überprüfen und testen. Die Standardkonfigurationen haben bei mir nie gestimmt Ansonsten immer alles aktuell halten. Und bei der Webseite ist natürlich wichtig, ob da irgendwelche Skriptsprachen laufen. Da kann man viel verkehrt machen 😉.
|
Tronde
Anmeldungsdatum: 23. November 2006
Beiträge: 1640
|
Hallo Chippelchen, bitte sei doch so gut und gib dir mit der Formatierung deiner Beiträge zukünftig etwas mehr Mühe. Nummerierte Aufzählungen in einem Textblock sind anstrengend zu lesen. Du minimierst damit auch die Chance Hilfe zu finden. Unser Wiki bietet Hilfe zur Syntax im Allgemeinen und zu Listen im Speziellen. MfG Tronde
|
Chippelchen
(Themenstarter)
Anmeldungsdatum: 6. August 2017
Beiträge: 16
|
Tronde schrieb: Hallo Chippelchen, bitte sei doch so gut und gib dir mit der Formatierung deiner Beiträge zukünftig etwas mehr Mühe. Nummerierte Aufzählungen in einem Textblock sind anstrengend zu lesen. Du minimierst damit auch die Chance Hilfe zu finden. Unser Wiki bietet Hilfe zur Syntax im Allgemeinen und zu Listen im Speziellen. MfG Tronde
Entschuldige. Ich werde mir in Zukunft mehr Mühe geben. Was bezweckt die /usr/bin/mysql_secure_installation Einstellung? Ist diese notwendig? Frage zwecks UFW. Ich habe ja nur SSH, HTTP & HTTPS erlaubt. Alle anderen Ports sind ja geschlossen. Sollte doch eine gute Einstellung sein, ansonsten sind ja alle Ports geöffnet, wenn ich UFW so nicht aktiviert habe, was die Angreifbarkeit erhöht. Ich übertrage die Daten auf meinem Server via Filezilla und SFTP://
|
verdooft
Anmeldungsdatum: 15. September 2012
Beiträge: 4020
|
man mysql_secure_installation
Da werden paar Dinge abgefragt, Beispieldaten löschen, Zugriff von Außen etc.. Notwendig ist das nicht, ich bin halt damals bei der Einrichtung des vServers drauf gestoßen.
|
Tronde
Anmeldungsdatum: 23. November 2006
Beiträge: 1640
|
Du kannst deinen MySQL-Server so konfigurieren, dass er nur Verbindungen von localhost akzeptiert. Denn alle deine Anwendungen, welche den Dienst nutzen, laufen ja auf dem gleichen Host. Damit stellst du sicher, dass selbst wenn die Firewall mal aus oder offen ist, niemand mit dem Dienst von außerhalb deines Hosts kommunizieren darf. Falls du Spaß daran hast, kannst du die Sicherheit deines SSL-Webservers mit dem kostenlosen SSL Server Test 🇬🇧 der Firma Qualys testen. Wenn du deine Seite gegen Man-In-The-Middle-Angriffe härten möchtest, kannst du noch HSTS und HPKP implementieren. Ausführliche Informationen zu dem Thema findest du z.B. auch in meinem TLS-Kochbuch 🇩🇪. Wenn du dich gerne eingehender mit dem Thema Sicherheit beschäftigen möchtest, hält auch unser Wiki jede Menge dazu bereit. Du findest einen Überblick im Artikel Sicherheit. MfG Tronde
|
Chippelchen
(Themenstarter)
Anmeldungsdatum: 6. August 2017
Beiträge: 16
|
Super, danke. Werde ich mich einlesen. Aktuell noch eine Frage, auch wenns nicht passend ist ggf. Hat einer von euch Nextcloud auf einem VPS laufen? Mein Dateiupload (20 MB) dauert ewig, bis es hochgeladen ist.
|
verdooft
Anmeldungsdatum: 15. September 2012
Beiträge: 4020
|
Was für eine Internetverbindung (Uploadbandbreite) hast du denn? Meistens ist die der bremsende Faktor.
|
Chippelchen
(Themenstarter)
Anmeldungsdatum: 6. August 2017
Beiträge: 16
|
Ich denke nicht, dass das daran liegt. Bei meinem Shared-Hoster habe ich die 20 MB innerhalb einer Minute drauf, beim VPS sind es 5-6 Minuten. Ich weiß nicht, was da an Konfiguration fehlt.
|
verdooft
Anmeldungsdatum: 15. September 2012
Beiträge: 4020
|
Wie ist der VPS denn angebunden? Du kannst ja mal mit dem VPS was größeres laden, per wget. wget ftp://ftp.halifax.rwth-aachen.de/ubuntu-releases/17.04/ubuntu-17.04-desktop-amd64.iso
...
2017-08-07 14:26:28 (88,5 MB/s) - ‘ubuntu-17.04-desktop-amd64.iso’ saved [1609039872]
Beim Erlanger FTP gings erst flott los, letztlich warens aber nur ~30 MB/Sekunde. Selbst wenn der VPS gut angebunden ist, teilt der sich die Anbindung mit vielen anderen virtuellen Servern, wenn die zusammen gerade viel Netzwerkverkehr haben, kann die eigene Übertragungsrate auch mal lahm sein.
|
Chippelchen
(Themenstarter)
Anmeldungsdatum: 6. August 2017
Beiträge: 16
|
Okay, ich habe das Problem gefunden. Mein Hoster hatte nur eine HDD drin und andere Settings gesetzt. Ich bin jetzt bei einem Vserver Anbieter mir SSD. Der Upload geht deutlich schneller. Zurück zum Ursprungsthema: Andere Settings, die ich noch setzen kann?
|
Thomas_Do
Moderator
Anmeldungsdatum: 24. November 2009
Beiträge: 8542
|
Chippelchen schrieb: Okay, ich habe das Problem gefunden. Mein Hoster hatte nur eine HDD drin und andere Settings gesetzt. Ich bin jetzt bei einem Vserver Anbieter mir SSD. Der Upload geht deutlich schneller.
Bist Du Dir sicher, dass das an der Platte liegt? Welche Übertragungsraten hast Du denn, dass die Platte eine Rolle spielt? Bei mir (beides HDD):
2017-08-08 17:30:05 (28.7 MB/s) - 'ubuntu-17.04-desktop-amd64.iso' saved [1609039872] # Vserver (UK)
2017-08-08 18:31:24 (79.9 MB/s) - 'ubuntu-17.04-desktop-amd64.iso' saved [1609039872] # "Bare-metal" (Deutschland)
|
Chippelchen
(Themenstarter)
Anmeldungsdatum: 6. August 2017
Beiträge: 16
|
Thomas_Do schrieb: Chippelchen schrieb: Okay, ich habe das Problem gefunden. Mein Hoster hatte nur eine HDD drin und andere Settings gesetzt. Ich bin jetzt bei einem Vserver Anbieter mir SSD. Der Upload geht deutlich schneller.
Bist Du Dir sicher, dass das an der Platte liegt? Welche Übertragungsraten hast Du denn, dass die Platte eine Rolle spielt? Bei mir (beides HDD):
2017-08-08 17:30:05 (28.7 MB/s) - 'ubuntu-17.04-desktop-amd64.iso' saved [1609039872] # Vserver (UK)
2017-08-08 18:31:24 (79.9 MB/s) - 'ubuntu-17.04-desktop-amd64.iso' saved [1609039872] # "Bare-metal" (Deutschland)
Ich vermute das mal. Ich hatte den Einstiegs Vserver von prepaid-hoster.de gebucht, der im Upload ewig gebraucht hatte. Bin jetzt bei ready4hosting und da geht es so schnell wie bei all-inkl.
|
misterunknown
Ehemalige
Anmeldungsdatum: 28. Oktober 2009
Beiträge: 4403
Wohnort: Sachsen
|
Chippelchen schrieb: Ich vermute das mal. Ich hatte den Einstiegs Vserver von prepaid-hoster.de gebucht, der im Upload ewig gebraucht hatte. Bin jetzt bei ready4hosting und da geht es so schnell wie bei all-inkl.
Ich vermute das lag eher an der Anbindung des VServers oder an irgendeinem temporären Flaschenhals auf dem Weg. Vielleicht war ein Carrier-Netz gestört. Selbst eine normale HDD-Festplatte schafft so um die 100MB/s, und das musst du erstmal durch die Leitung bekommen.
|