ubuntuusers.de

Hallo Leute, ich kann euer bedenken / Tipps gut nachvoll ziehen obwohl ich selbst noch nicht so einvertieftes Wissen habe.

Deshalb würde ich kurz hier abschweifen und euch Fragen wollen:

Was kann man am besten machen, damit man halbwegs bzw. schnell sich so einnötiges Wissen aneignet?

Habt ihr vertrauensvolle Websiten, deren Infos stimmen und halbwegs aktuell sind / bleiben oder gar Bücher die daraufhin abziehlen, bald einen Server administrieren zu können?

Ich persöhnlich würde dies tun, nur es gibt so viel was man meiner Meinung wissen sollte / kann.

Von grundlegenden sachen vom System ( Wo liegt die Log ) bis hin zu spezifischen Skript- / Programmiersprachen ( HTML, PHP, C; Python ), um damit auch etwas selbst zu coden bzw. auch einstellen zu können.

Würde mich sehr über Antworten freuen. Gerne kann das Problem vom pingu1980 weiter behandelt werden. ☺

Gruß

XxJamesxX

XxJamesxX schrieb:

Was kann man am besten machen, damit man halbwegs bzw. schnell sich so einnötiges Wissen aneignet?

Meiner Meinung nach gar nicht. Ich bin sicher keine Intelligenzbestie, aber ich kann sehr gut Lernen und Zusammenhänge verstehen. Trotzdem habe ich mich lange nicht getraut meine Server nach außen hin zu öffnen.

Zum einen braucht man zunächst ein ordentliches Grundwissen über das System, welches man verwendet. Hier also Ubuntu. Wer schon nicht in der Lage ist, sein normales System per Konsole zu administrieren, sitzt wie doof vor nem Server. Absolutes Grundlagenwissen findest du hier im Wiki. Die Details bei Dingen, die dir nicht klar genug sind kann man mit der Suchmaschine konkret suchen und findet dazu jede Menge.

Es gibt nicht die eine Lösung, sondern das, was man tut muss zueinander passen!

Nach dem Wissen über das nackt installierte System muss man sich in die zugehörigen Komponenten einlesen, wie bspw. apache als Webserver, fail2ban zum absichern von eigenen (oder bereits installierten) Diensten, wie man seine firewall (iptables) richtig konfiguriert, ssh sicher verwendet,...usw.

Als Faustregel würde ich sagen: Für jedes Paket, welches man nachinstalliert sollte man die manpage wenigstens mal grob gelesen haben und die Funktionen auf Sicherheitsrelevanz durchdacht haben. (Reißt das eine Lücke in mein Konzept, muss das von außen erreichbar sein, brauche ich das Tool,...?)

Zudem braucht man ein gutes Backup- und Wartungskonzept, wenn man Downtime möglichst vermeiden will/muss.

Also schnell kann ich mir persönlich nicht vorstellen. Copy&Paste sind für nen offline-Server zum anlernen ok. Aber der echte sollte so wenig wie möglich installiert haben, um weniger Angriffsfläche zu bieten. Da geht eben Sicherheit vor Bequemlichkeit.

Danke für deine Antwort bzw. ,dass du deine Erfahrung / Meinung teilst!

Ich kann deinen Gedankengang ganz gut nach voll ziehen!

Ich hab vor jetzt offline einen zu starten.
(System Specs sehr bescheiden ^^ )

Ich bin mir sehr unsicher womit ich anfange, da ich denke, dass man mit denn ersten schritten ( z.B. HTML & PHP Richtung Webseiten oder mit MySQL eher Richtung Datenbanken geht und dadurch eventuell sich schon fest legt.
Man möchte ja ungern 10 mal neu Anfangen und die Grundlagen von 10 verschiedenen Konzepten bzw. Diensten lernen.


Zu dem möchte ich etwas offline "aufbauen" was man online zu einem viel späteren Zeitpunkt nutzen könnte.
Kurz gesagt etwas machen, was schon Sinn und Spaß macht ( E-mail Server ).
Nicht nur eine Website wo "sinnloser" Text steht, sondern eine die sich zum Beispiel mit einem Thema beschäftigt und später auch so ins Nezt gestellt werden könnte ( mit außreichendem Kontent ).
Denke ich etwa schon zu weit nach vorn eurer Meinung / Erfahrung nach?




Wäre interessant zu wissen, ob ihr es nur als Hobby oder gar "professionell" im Arbeitsalltag nutzt?
"professionell", da manchal das Hobby auch sehr ausführlich und mit viel Leidenschaft und Interesse nach gegangen werden kann, also nichts gegen die, welche wirklich professionell damit arbeiten und nach gehen! ☺


Gruß

XxJamesxX

XxJamesxX schrieb:

Zuerst: wer schon hier mit der Syntax Probleme hat ("\\") ... 😈

z.B. HTML & PHP Richtung Webseiten ... mit MySQL

Nennt sich LAMP.

Kurz gesagt etwas machen, was schon Sinn und Spaß macht ( E-mail Server ).

Oops! Gleich in die Vollen! Die Kür sozusagen. - Mit Verlaub: da würde ich anderes wählen.

Nicht nur eine Website wo "sinnloser" Text steht

Mit HTML5 und CSS3 kannst du dich schon laaaange beschäftigen... Da beständig Neues nachkommt, hört das Lernen auch nie auf.

Denke ich etwa schon zu weit nach vorn eurer Meinung / Erfahrung nach?

Ja.

Setze daheim im LAN einen Rechner auf, den du dann per ssh adminstrieren lernst; Programme installieren, deinstallieren, aktualisieren und vor allem konfigurieren. Die Kommandozeile und du müssen dicke Freunde werden. Schiebe Serverdienste drauf, verstehe deren Rechte, beachte deren Portfreigaben (ach ja, TCP/IP, IPv4 und IPv6 sollte man gut kennen), erstelle passende Firewall-Regeln dazu. Tue das nicht nur einfach, es geht primär um das Verstehen der Zusammenhänge.

Wenn dann der Apache (Lighttpd, nginx, whatever) läuft, und du dich auskennst, dann kannst du in PHP einsteigen. Lerne eine saubere Programmierung, werde nicht zum copy&paste-Fetischisten. Strukturiere. Dabei immer und allgegenwärtig Sicherheitslücken, Angriffsvektoren, usw beachten.

Das gleiche bei MySQL.

Und ganz besonders gilt das für Mailserver. Stichwort: open mail relay.

Soweit mal... Damit bist du schon mal ein paar höchst intensive Monate, andernfalls Jahre beschäftigt. 🤓

Mach dir nicht so viele Gedanken.

Setze einen VServer auf und das was du unbedingt für deine Zwecke brauchst, das lernst du eben.

alles andere ist Panikmache und Zeitverschwendung.

Viel Erfolg:

Mein ursprünglicher Post:

Meine Erfahrung:

habe zwar auf Linux gelernt (vor 10 Jahren) , aber erst vor 4 Jahren mir einen VServer geholt.

und glaubst du ich habe Ahnung von iptables? von IPv4 oder IPv6? NEIN.

Ich wollte mich mal mit IPTables auseinander setzen, aber Wozu?

Klar sind mit diese Namen bekannt(IPv4+IPv6) und ich weiß dass eine aus 4x255-Zahlen besteht und das andere Cryptonit für mich ist. 🙄

Einmal habe ich gelesen was fail2brain ist → aber Ehrlich gesagt habe ich keine genaue Ahnung was das alles ist.

Habe bisschen Ahnung von Mysql + PHP+ Apache. Und das reicht mir auch.

Übrigens mein VServer steht seit 4 Jahren im Ausland und läuft.

Will damit sagen: Mach dir nicht so viele Gedanken, setze einfach einen auf und genieße dein Erfolg!

Bemerkung: Lernen hilft immer! Was die Forum-User sagen wollten, ohne lernen kommst du nicht aus.

Viel Spaß.

EricBerne schrieb:

Setze einen VServer auf und das was du unbedingt für deine Zwecke brauchst, das lernst du eben.

alles andere ist Panikmache und Zeitverschwendung.

Server sind kein Spielzeug, Admins haften für Ihre Server.

Dein Tipp kann also jeder so umsetzen, der genügend Reserven hat, in der Regel nicht unerhebliche Zahlungen für Urheberrechtsverstöße, Schadenersatzleistungen etc. zu leisten und den es auch nicht stört, für illegalen Content strafrechtlich verfolgt zu werden.

Btw:

EricBerne schrieb:

Einmal habe ich gelesen was fail2brain ist

Schöner kann man es nicht ausdrücken. 😈

Er meinte wahrscheinlich fail2ban, aber bei ihm gilt wohl fail2brain 😈

Mal im ernst : also einfach so ein Server aufsetzen und auf gutes Gelingen hoffen ist wirklich grob fahrlässig. Ich habe meinen privaten Server erst im LAN laufen gehabt und dann Stück für Stück die Dienste per NAT ins Netz gestellt. Da gabs auch noch IPv4. IPv6 sieht da schon wieder _GANZ_ anders aus. Ich musste geschocktermaßen feststellen, dass IPv6 ( bei KD ) den Server _MIT ALLEN PORTS_ aus dem Netz zugänglich macht - ein Alptraum !!! wer kommt auf so ein scheiss ? NSA ? GATES ?

Die Frage des TE liest sich auch eher allg. gültig. Schnell mal das gesamte Wissen für den Betrieb eines Servers erwerben ?! Das geht einfach nicht. Die Frage ist auch was soll damit gemacht werden ? der TE scheint kein konkretes Ziel zu haben und will alles irgendwie mal machen ⇒ das endet garantiert im Desaster !

Ich bin mit SSH angefangen, habe mich mit SSH beschäftigt weil es eben DAS Remoteterminalwerkzeug ist ( Terminal Verwaltung des Systemes habe ich nach ca 6 Monaten mit Linux angefangen und bin seit dem nicht mehr davon weggekommen 😉 terminal + ssh = Eierlegende Wollmilchsau 😉 ) Dann habe ich meien ersten Webseiten auf CSS und HTML Basis mit einem EDITOR erstellt und so in weiteren 6 Monaten die Grundlagen von CSS HTML und später PHP gelernt. PHP eigentlich nur weil man dort super mit Variablen arbeiten kann und die Syntax einfacher ist. Wirklich PHP programmieren kann ich bis heute nicht, aber das muss ich auch nicht, da für meine Zwecke ein CMS wie Wordpress vollkommen ausreicht. Hier und da verändere ich den PHPcode ein wenig um Kleinigkeiten des Themes anzupassen oder eigene Bashscripte zu integrieren. MySQL das gleiche. Ich weis wie ich ein MySQL Server verwalte aber von MySQL Programmierung habe ich auch keine Ahnung. Aus dem Grund z.b. ist auch mein MySQL Server aus dem Netz nicht erreichbar und darf nur von lokalen Diensten aus dem LAN angesprochen werden. Abgesichert wird alles über FAIL2BAN und sSripte wie z.B. das senden einer mail bei jedem SSH login an mein Telefon. Dazu musste ich auch einen Mailserver aufsetzen ( postfix ) und hatte mit den Verarbeitungsweg der Mails auch einige Wochen zu kämpfen bis es "klick" gemacht hat : http://speefak.spdns.de/oss_lifestyle/postfix-email-server-einrichten/ .Und grad der postfix als sateliten server in kombination mit gmx hatte so seine Probleme.

Fazit : schnell mal eben alles lernen geht einfach nicht !!! Ein Server ist wie ein Getriebe in dem man Stück für Stück jedes Zahnrad begreifen muss und erst durch die Auswirkungen von einem Programm oder Programmteil wieder etwas über ein anderes Programm lernt, das Ganze ist ein Lern_PROZESS_ und geht einfach nicht addhoc - ich bin jetzt 10 Jahre mit Linux unterwegs und weis grad mal was ich wo mit welchen Programmen machen kann; das heist aber noch lange nicht das ich die Programme behersche.

BSP : Iptables : DAS Netzwerk und Paket Werkzeug, der Aufbau ist auch recht einfach, was die Ketten und Stapelverarbeitung angeht - aber wirklich konfigurieren ... dazu müsste ich auch erst einmal wieder einige Tage anhand einer konkreten Aufgabe mich in die Thematik einarbeiten.

Leuchten wir doch mal nur einen einzigen Teilaspekt zum o.g. Unfug von EricBerne aus:

Datenschutzrechtliche Haftung

Die Haftungsrisiken im Bereich des Datenschutzrechts sind enorm, sowohl für das Unternehmen als auch für die Geschäftsführung. So ergibt sich aus § 7 S. 1 Bundesdatenschutzgesetz (BDSG) ein verschuldensunabhängiger Schadensersatzanspruch. Diese Vorschrift bestimmt nämlich, dass ein Unternehmen für alle Schäden verschuldensunabhängig (!) und unbegrenzt haftet, die es Dritten durch unzulässige oder unrichtige Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten zufügt. Darüber hinaus kommen hierbei auch deliktische Ansprüche gem. § 823 BGB in Betracht, da das von § 823 I BGB geschützte Rechtsgut Eigentum eben auch die Integrität von Daten umfasst. Nicht zuletzt wäre hier auch eine Verletzung des allgemeinen Persönlichkeitsrecht zu denken, etwa wenn es um personenbezogene Daten geht.

Beispiel: Ein Hacker kann Kundendaten auslesen, weil keine Firewall eingesetzt wird, vgl. Anlage zu § 9 Satz 1 BDSG Nr. 2. Dabei ist insbesondere für Unternehmen die in § 7 BDSG enthaltene Beweislastumkehr problematisch. Es wird nämlich zunächst immer erst einmal von einem Verschulden des Unternehmers ausgegangen. Bezüglich der Haftung gilt nur für den Fall etwas anderes, in dem das Unternehmen die "gebotene Sorgfalt" (vgl. § 7 S. 2 BDSG) beachtet hat. Dies ist natürlich dann der Fall, wenn es die oben aufgeführten Verpflichtungen zur Einhaltung des Datenschutzes beachtet und auch umgesetzt hat.

Bußgelder und Freiheitsstrafe

Auch in den Fällen, bei denen noch kein Schaden entstanden ist, kann die mangelnde Umsetzung von IT-Sicherheitsbestimmungen im besonders sensiblen Bereich des Datenschutzes teuer werden. So können in Fällen, in denen personenbezogene Daten nicht ausreichend gemäß den Vorgaben des BDSG geschützt werden, je nach Schwere des Verstoßes

• Bußgelder (bis zu 250.000 Euro, auch bei fahrlässiger Begehungsweise, § 43 BDSG)

• und sogar Freiheitsstrafen von bis zu zwei Jahren gegen die Verantwortlichen verhängt werden (vgl. § 44 BDSG) .

In solchen Fällen können die IT-Verantwortlichen – gleich ob Vorstand, Geschäftsführer, Behördenleiter, angestellter oder externer IT-Administrator – tatsächlich mit "einem Bein im Gefängnis stehen".

Das ist zwar ein Beispiel aus der Geschäftswelt, für private Administratoren gelten aber die gleichen Regeln. Man sieht: das "Ich stell's mal online und kümmer mich nicht um die Sicherheit, ist nicht so wichtig!" ist grob fahrlässig und schlicht dumm. Wir haben hier D (aufgrund hyperintelligenter Gesetzgebung) eine florierende Abmahnindustrie, die alles - vom Impressum bis zu medialen Inhalten - abmahnt, was nicht bei drei auf den Bäumen ist. Dazu kommen dann Scriptkiddies, die alles angreifen, was zugänglich ist; da vergeht keine Minute ohne Attacke. Schlimmstenfalls kapern Cracker den Server. Das sollte man tunlichst bedenken, bevor man Dienste online stellt.

Nachtrag: such doch mal nach Hilferufen à la "Mein Server versendet massenhaft Spam, obwohl gar kein Mailserver installiert ist!". Die gibt es zuhauf. Das sind die typischen Fälle, die auf o.g. Ignoranz und Sorglosigkeit zurück zu führen sind. Und wenn es brennt, dann sollen es andere richten. Wie blöd ist das denn?!

itoss schrieb:

IPv6

Obwohl das hier nun off topic wird, trotzdem eine Kleinigkeit:

• eine Firewall für IPv6 ist schnell aufgesetzt

• sauberes Konfigurieren ist Pflicht

Zum letzten Punkt: alle Dienste lauschen nur auf Anfragen von ::1 (aka 127.0.0.1). Nur jene, welche von außen erreichbar sein sollen lauschen auf ::/0 (aka 0.0.0.0/0). Und schon ist die Sache sicher. Das ist bei IPv4 auch nicht anders, und zudem bei Linux die übliche Voreinstellung. Überprüfen schadet aber nix... 😀

pepre, Ok mit IPv6 habe ich mich noch nicht eingehend beschäftigt, da ich mein anschluss auf ipv4 umstellen konnte und somit NAT und co wieder als "Firewall" laufen.

Zum Thema Loginversuche Scriptkiddies und co : Ich hatte mein ssh Server spaßeshalber mal auf Port 22 gesetzt und mit fail2ban geschaut was so passiert : peak waren über 2000 Loginversuche auf dem ssh Port an _EINEM_ Tag !!! 90% kamen aus China, meist aus den Freihandelszonen und bejing. Und das nur bei SSH, FTP (21) waren etwas weniger und komischerweise sind http Loginversuche ( Owncloud, Arbeitszeiterfassung ) fast gar nicht vorhanden. Und das Alles auf einem Privaten, bei mir zuhaue stehen root Server - ich will nicht wissen wie das bei einem Rootserver im Rechenzentrum mit über 100Mbit up und downstream und womöglich noch fester ip aussieht ...

itoss schrieb:

pepre, Ok mit IPv6 habe ich mich noch nicht eingehend beschäftigt, da ich mein anschluss auf ipv4 umstellen konnte und somit NAT und co wieder als "Firewall" laufen.

wenn du glaubst das NAT eine firewall ist, hast du schon verloren ...

Nichts lässt sich leichter "aufklopfen" als eine NAT Brücke die, start mal ein modernen TorrentClient und Skype und erfreue dich der Verbindungen die von außen eingehen ohne das du jeh ein Port aufgemacht hättest.

Ergo schalt NAT ab und setzt eine ordentliche Firewall auf, wenn du Kontrolle über deinen NetzwerkTraffic haben willst.

raptor2101 schrieb:

Nichts lässt sich leichter "aufklopfen" als eine NAT Brücke die, start mal ein modernen TorrentClient und Skype und erfreue dich der Verbindungen die von außen eingehen ohne das du jeh ein Port aufgemacht hättest.

Oder einfach ne Webseite ansurfen und die Antwortet, obwohl nie ein Port geöffnet wurde. ^_^

Sofern die NAT richtig eingestellt ist, lässt sie nur antwortende Ports rein (Wikipedia: TCP/IP und so weiter). Nur so ist eine Interaktion mit dem Internet möglich. Eine Firewall macht das nicht anders.

stfischr schrieb:

Sofern die NAT richtig eingestellt ist, lässt sie nur antwortende Ports rein (Wikipedia: TCP/IP und so weiter). Nur so ist eine Interaktion mit dem Internet möglich. Eine Firewall macht das nicht anders.

Ähm nein. Wenn du eine state full firewall hast (wie iptables/nftables) kannst du sauber unterscheiden ob eine Verbindung von außen oder innen aufgebaut wird und kannst entsprechende Regeln anwenden. Selbstredend geht das nur bei Protokollen die Verbindungyorientiert sind.

Die gängigen NAT/PAT Implementierungen tricksen bei Verbindungslosen Protokollen. Wenn von der Innenseite ein UDP Packet kommt wird der entsprechende Port auf der Außenseite aufgemacht und gemappt. So können sich Tools gezielt Ports öffnen.

Bei iptables mit DenyAll und "lasse nur ausgehende http Verbindung zu" kommt nicht viel anderes mehr durch.

Reverse VNS greift das thema auch auf, wie skype und co - allerdings ist dazu immer ein dienst im netzwerk nötig und wenn der nicht vorhanden ist kommt man nicht einfach vom netz aus ins lan.

Ich frag jetzt lieber mal nicht, warum man Skype auf einem Server zu laufen haben sollte. 😉