ubuntuusers.de

Die Frage wurde schon mal vor langer Zeit beantwortet und soweit ich mich erinnere kann man das über eine Firefox-Proxy-Konfiguration (Trusty) lösen. Es geht darum, dass manche Seiten zwingend zu einer bestimmten Landesseite führen und ein Produkt dort dann deutlich teurer verkaufen. Nun habe ich aber zB einen Precise-Server mit Admin-Rechten in US laufen und möchte es von dort probieren. Wie und wo muss ich Firefox konfigurieren, damit der Traffic über den US-Server läuft und das Online-Shop meint, ich bin aus US?

glaskugel schrieb:

Nun habe ich aber zB einen Precise-Server mit Admin-Rechten in US laufen und möchte es von dort probieren.

Wenn du lediglich deinen Server als Proxy zwischenschalten willst kannst du den Netzwerkverkehr optimalerweise auch über ssh tunneln.

Dazu erzeugst du erst den entsprechenden, lokalen SOCKS5-Proxy:

1

ssh -D 5000 user@server

Und trägst in Firefox anschließend unter Einstellungen → Erweitert → Netzwerk in den Verbindungseinstellung (unter manueller Konfiguration) den Proxy ein, die Adresse ist dein lokaler PC (IP: 127.0.0.1, Port: 5000)

Danke, macht es Sinn am US-Server dafür einen eignen User anzulegen?

glaskugel schrieb:

Danke, macht es Sinn am US-Server dafür einen eignen User anzulegen?

Ich denke nicht. Du schleifst ja nur den Datenverkehr durch den Server, da sollte eigentlich nichts passieren können (und root ist ja hoffentlich deaktiviert).

Falls du dauerhaft deinen Server als Proxy verwenden willst wäre vielleicht auch OpenVPN etwas für dich, das kann man wunderbar für solche Zwecke (miss-)brauchen (und gleichzeitig auch noch für ein paar andere Späßchen).

Ansonsten gäbe es auch noch richtige Proxyserver, siehe hier. Mit denen habe ich allerdings keine Erfahrung.

Es gibt nur root und www-data, wobei PW deaktiviert sind und nur Keys erlaubt sind.

glaskugel schrieb:

Es gibt nur root und www-data, wobei PW deaktiviert sind und nur Keys erlaubt sind.

Immerhin Public-Key-Verfahren ☺

Allerdings ist das noch nicht optimal. Der root-Account stellt ein beliebtes Angriffsziel dar und sollte daher deaktiviert werden. Damit du den Server trotzem noch administrieren kannst empfiehlt es sich vorher einen Nutzer zu erstellen, welcher via sudo root-Rechte erlangen kann. Zudem wäre es nicht schlecht, wenn du anschließend auch in der Config zum SSH-Server die Anmeldung von root verbietest.

Bevor du root deaktivierst achte aber darauf, dass der neue Nutzer auch tatsächlich root-Rechte erlangen kann. Nicht wenige Menschen haben sich aus diesem Grund schon von ihrem Server ausgesperrt…

Damit wird das ganze auch nochmal ein Stück sicherer und vor allem brauchst du dir keine großartigen Sorgen machen, wenn du SSH als Proxy nutzt, da maximal deine Nutzerdaten gefährdet sind, nicht aber der Rest des Systems (zumindest sollte das der Fall sein, Bugs schleichen sich ja leider immer wieder ein).

Immerhin Public-Key-Verfahren

Ich denke mehr Sicherheit wird online schwierig. PW gibt es ja nicht.

Allerdings ist das noch nicht optimal. Der root-Account stellt ein beliebtes Angriffsziel dar und sollte daher deaktiviert werden.

Das kann ich noch nicht so recht nachvollziehen. Wer es schafft einen User-Account mit Keys zu hacken, der schafft es im System dann vermutlich auch als User root-Rechte zu erlangen.

Damit du den Server trotzem noch administrieren kannst empfiehlt es sich vorher einen Nutzer zu erstellen, welcher via sudo root-Rechte erlangen kann.

Es gibt sowieso vom Hoster einen "Reserve-Eingang" um an das System per SSH über ein "wackeliges" Webinterface (funktioniert nur mit Glück) mit dem Hoster-Account-PW zu gelangen und da hat man dann auch root-Rechte. Das sehe ich als die größere Schwachstelle und dagegen kann man kaum was machen. Deswegen sehe ich das mit dem root-Zugriff mit Keys relativ entspannt, aber begründet denke ich da schon über eine Änderung nach.

wenn du SSH als Proxy nutzt, da maximal deine Nutzerdaten gefährdet sind,

Also was sich da auf diesen Webserver befindet, ist sowieso fast alles öffentlich, was die Daten betrifft. Es geht da maximal um Missbrauch. Es läuft nur ein Webserver, kein Mailserver. Mittlerweile hat sich das Thema sowieso erledigt, aber das nächste Mal wird es vielleicht interessant. Online-Händler, die deutlich unterschiedliche Preise je nach IP-Adresse haben, sollte man sowieso meiden und die mit Lockangeboten bei Geizhals an 1. Stelle auch. Die wollen nur Werbung für sich machen und zu dem guten Preis gar nicht verkaufen und hoffen, dass sich für ein selten verkauftes Produkt keiner interessiert, aber ein paar Mal hatte ich mir schon ein Schnäppchen geangelt. Besagter Händler ist als ich ihn per Chat kontaktiert hatte, sofort um 25€ (+20%) rauf und hat nicht geantwortet. Solche Händler kapieren wohl nicht, dass sie zwar Marketingkosten sparen, aber garantiert einen Kunden nicht gewonnen haben.

glaskugel schrieb:

Immerhin Public-Key-Verfahren

Ich denke mehr Sicherheit wird online schwierig. PW gibt es ja nicht.

Das „immerhin“ bezog sich darauf, dass du dich leider als root einloggst.

Allerdings ist das noch nicht optimal. Der root-Account stellt ein beliebtes Angriffsziel dar und sollte daher deaktiviert werden.

Das kann ich noch nicht so recht nachvollziehen. Wer es schafft einen User-Account mit Keys zu hacken, der schafft es im System dann vermutlich auch als User root-Rechte zu erlangen.

Eigentlich hast du das Problem schon erkannt: Wer den User-Account knackt, hat User-Rechte und muss anschließend nochmals Zeit aufwenden, um root-Rechte zu erlangen. Wer den Login als root erlaubt nimmt eine Hürde weg.

Zudem gibt es noch folgenden Fall: Sagen wir OpenSSH hat einen Bug und erlaubt es allen Nutzern, sich ohne Key oder Passwort anzumelden: Wenn da der root-Login erlaubt ist, ist die Hölle los (und du bist dafür verantwortlich, sprich rechtlich haftbar zu machen).

Daher lieber einen zusätzlichen Nutzeraccount welchen man einmalig einrichtet.

Damit du den Server trotzem noch administrieren kannst empfiehlt es sich vorher einen Nutzer zu erstellen, welcher via sudo root-Rechte erlangen kann.

Es gibt sowieso vom Hoster einen "Reserve-Eingang" um an das System per SSH über ein "wackeliges" Webinterface (funktioniert nur mit Glück) mit dem Hoster-Account-PW zu gelangen und da hat man dann auch root-Rechte. Das sehe ich als die größere Schwachstelle und dagegen kann man kaum was machen.

Diese Dienste (wie Plesk o.ä.) kann man in der Regel deaktivieren. Sollte man meiner Meinung nach auch, da man Server komplett via Terminal administrieren kann (und das teilweise auch schöner geht als sich mit einem halbkaputten Webinterface rumzuärgern).

Natürlich bietet so ein Webinterface auch Möglichkeiten, beispielsweise den täglichen/monatlichen Traffic beobachten zu können. Dafür gibt es dann Alternativen, etwa vnStat.

Deswegen sehe ich das mit dem root-Zugriff mit Keys relativ entspannt, aber begründet denke ich da schon über eine Änderung nach.

Einfach machen 😉

Diese Dienste (wie Plesk o.ä.) kann man in der Regel deaktivieren.

So was gibt es nicht, es wird alles über Editor administriert und man startet mit einem Image(?) mit minimaler Installation (kickseed). Als extrem problematisch sehe ich diese "Java-Zeugs" mit dem man mit einem Browser eine SSH-Konsole erhält. Die stürzt ab, funktioniert nur mit Glück bis zum Ende der Installation, etc. Ich denke von dieser Seite wäre der einfachste Angriff, wenn etwas so instabil ist.

Natürlich bietet so ein Webinterface auch Möglichkeiten,

Wie schon geschrieben, habe ich nicht. Ich hasse diese Webadministrations-Tools, wie zB cpanel, haben nur Ärger gemacht, speziell bei den Dateirechten.

Einfach machen

So einfach ist das nicht, wie greife ich remote von meinem PC daheim via Script auf die Bereiche zu, an die nur root darf? Da muss ich dann erst wieder sudo verwenden und wie löse ich das mit dem Passwort im Script? Wenn ich das PW im Script offen hineinschreibe, dann kann ich gleich wieder root verwenden.

glaskugel schrieb:

Einfach machen

So einfach ist das nicht, wie greife ich remote von meinem PC daheim via Script auf die Bereiche zu, an die nur root darf? Da muss ich dann erst wieder sudo verwenden und wie löse ich das mit dem Passwort im Script? Wenn ich das PW im Script offen hineinschreibe, dann kann ich gleich wieder root verwenden.

Wo musst du denn automatisiert etwas machen, wo nur root Zugriff hat?

Für lokale Dinge (am Server) nutzt man Cron, wenn etwas vom Rechner aus aufgerufen werden muss konfiguriert man das eben entsprechend.

Wo musst du denn automatisiert etwas machen, wo nur root Zugriff hat?

Für Backup-ähnliche Dinge. Ich habe da mein eigenes System, das sich über Jahre bewährt hat, wenn etwas schief geht. Ich halte nichts von Image-Backups, das sichert das Problem in der Regel zurück. Webserver neu aufsetzen und gezielt zurück sichern ist in der Regel (bei mir) schneller.

glaskugel schrieb:

Für Backup-ähnliche Dinge. Ich habe da mein eigenes System, das sich über Jahre bewährt hat, wenn etwas schief geht. Ich halte nichts von Image-Backups, das sichert das Problem in der Regel zurück. Webserver neu aufsetzen und gezielt zurück sichern ist in der Regel (bei mir) schneller.

Sehe ich auch so, allerdings würde ich nur dann eine Sicherung anlegen, wenn es sich lohnt (etwa Konfigurationen geändert werden).

allerdings würde ich nur dann eine Sicherung anlegen, wenn es sich lohnt

Klar, primär geht es ja um die Daten in /var, nicht um Systemdateien, ein paar davon sind aber auch wichtig, auch die MySQL-Datenbanken in verschiedenen Variationen sind wichtig und eben ein paar Dinge, wofür ich root brauche.