Artikel: Admins haften für ihre Server!

Dieses Thema im Forum "Member Talk & Offtopic" wurde erstellt von serverzeit.de, 14.07.2007.

  1. #1 serverzeit.de, 14.07.2007
    serverzeit.de

    serverzeit.de Netzwerkarchäologe

    Dabei seit:
    24.05.2007
    Beiträge:
    227
    Zustimmungen:
    0
    Mir ist in letzter Zeit vermehrt aufgefallen, dass Fragen gestellt werden, die Zeugnis für fundamentale Wissenslücken im Umgang und dem Betrieb von Servern geben. Die Nachfrage "Ist das ein Root/vServer?" wird zudem häufig bejaht.

    Das hat mir zu Denken gegeben und macht mir auch ein Stück weit Sorgen. Versteht mich bitte nicht falsch, ich helfe gerne und so gut ich kann, aber mir fehlt ein bisschen die Aufklärung darüber, was mit einem Server passieren kann und dass Confixx kein Fachwissen ersetzt (Plesk auch nicht).

    Ich habe einen Artikel geschrieben, da ich mich nicht aufregen oder mit den Fragestellern anlegen möchte. Besser man fragt als dass man Stillschweigen behält.

    Mein Rat daher an jeden, der einen eigenen Server betreibt oder darüber nachdenkt einen zu mieten, lest meinen Artikel, zumindest zur Hälfte (die untere :rtfm: ) und denkt in einer stillen Minute darüber nach. Keiner lacht dich aus wenn du keinen eigenen Server hast, aber jeder wird über dich schimpfen, wenn dein Server zu einer "Waffe" wird.

    Hier der Link zu dem Artikel: "Admins haften für ihre Server!" unter http://www.serverzeit.de/FreeBSD/admins-haften/.

    Und wie immer bei meinen Arbeiten: Verbesserungsvorschläge, Ergänzungen oder jedwede Kritik sind jederzeit herzlich willkommen!
     
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. #2 gropiuskalle, 14.07.2007
    gropiuskalle

    gropiuskalle terra incognita

    Dabei seit:
    01.07.2006
    Beiträge:
    4.857
    Zustimmungen:
    0
    Ort:
    Berlin
    Zumindest hier im ub wird meiner Ansicht nach recht zuverlässig auf die Risiken eines Serversbetriebs ohne das notwendige Hintergrundwissen eingegangen. Man könnte diesen Artikel dennoch als sticky setzen, denn in diesem Bereich kann es kaum zuviel Aufklärung geben.
     
  4. #3 blue-dev, 14.07.2007
    blue-dev

    blue-dev stranger with blue eyes

    Dabei seit:
    30.06.2007
    Beiträge:
    438
    Zustimmungen:
    0
    Ganz guter Artikel.
    Trotzdem bin ich kein Freund von unnötiger Panikmache. Ich Administriere jetzt seit fast 10 Jahren Server die komplett unterschiedlich sind und kann wohl behaupten die Risiken zu kennen.
    Die Chance das ein Clan Server gehacked wird ist 1 zu zehn trilliarden.

    Wenn man einen Seerver betreibt gibt es eigentlich nur zwei Grundregeln: Keep it Simple und Halt ihn aktuell.
    Im Klartext wenig Software Installieren, dafür die installierte immer aktuell halten.

    Nun versuch mir mal einer zu erklären wie Er / Sie einen Clanserver hacken will, auf dem Teamspeak und ein Counterstrike Server läuft.
    Sonst läuft kein Dienst außer Apache ohne php oder sonstige Erweiterungen, natürlich noch SSH, ungesichert aber mit einem 20 Zeichen root Passwort, zudem laufen keine IDS Systeme oder sonstige Firewalls.
    Man beachte das die Pakete aktuell sind.

    Bei größeren Webservern die sich Bekanntheit erfreuen sieht das ganze anders aus, aber selbst einige größere Server die ich betreue fahren sicher mit Suse 8.2 für das es schon lange keinen Support mehr gibt.
     
  5. #4 serverzeit.de, 14.07.2007
    serverzeit.de

    serverzeit.de Netzwerkarchäologe

    Dabei seit:
    24.05.2007
    Beiträge:
    227
    Zustimmungen:
    0
    Ich will keine Panik machen, eher zum Nachdenken anregen. Aber wenn ich sowas lese
    und dann erfahre, dass der Admin noch weniger Ahnung hat, dann sehe ich doch einen gewissen Aufklärungsbedarf.

    Dass das auf dich nicht zutrifft glaub ich dir, aber du sagst selber dass du viel Erfahrung hast. Aber ich nehme an du hast dir nicht gleich nen Server gemietet? Und wenn doch, Glück gehabt. Ich will auch nicht entscheiden für wen das jetzt zutrifft und auf wen nicht, jeder kann sich den Artikel durchlesen und nachdenken ob er sich angesprochen fühlen sollte.

    Ich will nicht den Moralappostel spielen, aber darauf hinzuweisen, dass die Schäden die durch die fehlerhafte Bedienung eines Servers entstehen, von keiner Versicherung bezahlt werden, möchte ich nicht versäumt haben, zumal ich zum Lernen/Umgang mit *NIX-Systemen anrege.
     
  6. codc

    codc /dev/null

    Dabei seit:
    12.01.2004
    Beiträge:
    607
    Zustimmungen:
    0
    Schwein gehabt und du benutzt auch beim Sex keine Gummies aus Prinzip nehme ich an - Sorry
    Eine Firewall sichert ein Netz aber keinen Server ab und hast du schon mal gehört das die meisten Gameserver buggy sind bis zum abwinken. SSH sichert man über shared Keys ab und nicht über Passwörter.
    Auf anderen Servern setzt du Win95 ein? Sorry aber bei deiner Einstellung von Sicherheit gehören die Kisten gecrackt. Du hast bislang nur wirklich Glück gehabt wenn ich extrapoliere was bei meinem Rootie so täglich aufschlägt.

    Wissend ein ungepatchtes Uralt-Betriebssystem zu fahren ist schon Vorsatz denke ich.
     
  7. #6 hofmannc11, 14.07.2007
    hofmannc11

    hofmannc11 der der mit dem Tux tanzt

    Dabei seit:
    17.01.2007
    Beiträge:
    332
    Zustimmungen:
    0
    Ort:
    Bad Langensalza
    Hallo, erst einmal schöner Artikel. Es stimmt, alle wollen ihre eigenen Server haben ohne sich wirklich gedanken über die Pflichten zu machen. Einen eigenen Server kann man wirklich schon wie ein eigenes Kind bezeichnen. Er muss gepflegt werden, man muss auf ihn acht geben und Haftet für Dummheiten die er tut :) Ich sehe es selbst bei meinem Server was es für eine Arbeit ist. Auf Grafische Werkzeuge kann ich mich nicht verlassen, weil ich nie genau weiß was überhaupt von dem Werkzeug gemacht wird. Auf den ersten Blick geht ja auch alles, auf dem zweiten Blick habe ich genau so einen Sicheren Server wie wenn ich meinen Porsche in den Wald stelle, Türen abschließe aber den Kofferraum offen lasse und der Schlüssel steckt. Wenn ich mir überlege das ein Spinner dummheiten mit meinem Server macht wird mir ganz anders, was das alles nach sich ziehen kann. Aus unnwissenheit kann man so auch schnell in den Bau gehen. Oder wird seines Lebens nicht mehr froh.

    Ich finde aber das die Anbieter von Mietservern auch die Pflicht haben sich über das Wissen des Nutzers zu infomieren. Eigendlich würde ich den Anbieter eine Mitschuld unterstellen, da es fahrlässig war einer nicht ausreichend Qualifizierten Person solch ein (gefährliches?) Werkzeug in die Hand zu geben.

    Dieses Problem kann man nur lösen wenn beide Seiten etwas ändern. Der Anbieter muss sich absichern, dass der Nutzer weiß was er tut. Der Nutzer eines Servers muss sich ersteinmal Kundig machen. Seminare dauern 1-2 Wochenenden und vermitteln das was wichtig ist. Und wer das Geld hat einen Server zu mieten sollte auch das Geld haben sich kundig zu machen, wenn er das nicht macht und ein SChaden entsteht würde ich sagen Selber Schuld!
     
  8. codc

    codc /dev/null

    Dabei seit:
    12.01.2004
    Beiträge:
    607
    Zustimmungen:
    0
    @hoffmannc11: das ist als ob du den Autoverkäufer dafür verantwortlich machen willst das der Käufer/spätere Fahrer keinen Führerschein besitzt. Kompletter Unsinn also. Spätestens mit der Volljährigkeit ist man für sein tun und handeln selber verantwortlich!
     
  9. sinn3r

    sinn3r Law & Order
    Moderator

    Dabei seit:
    28.12.2006
    Beiträge:
    2.764
    Zustimmungen:
    0
    Ort:
    Wentorf
    Ich zitiere mich mal eben aus eben einem solchen Thema.

    Desweiteren denke ich nicht, das es alle Hoster überfordern wird, ihren Kunden mal ernsthaft zu sagen, das man auch etwas können muss, wenn man einen Server haben möchte.

    Macht aber wohl kaum einer, würde ja unter Umständen Einnahmeverlust bedeuten.
     
  10. #9 blue-dev, 14.07.2007
    blue-dev

    blue-dev stranger with blue eyes

    Dabei seit:
    30.06.2007
    Beiträge:
    438
    Zustimmungen:
    0
    Glaubst du das ist mir nicht klar? Es ging darum eine Anfänger Situation darzustellen, der weiß nichts von keyfiles.

    Afaik gibt es Windows 95 nicht als Server System wenn doch verbessert mich.

    Und glaub mir, es schlägt genug auf den Server auf (den ich übrigens beruflich Administriere und auf dem sehr sensible Daten sind), wenn ich nicht genau wüsste was ich mache wäre der sicher schon längst mir rootkits überschwemmt. Dir soll versichert sein, selbst wenn du ssh Zugang hättest müsste ich mir nicht die geringsten sorgen machen.

    Was die Aktualität von Systemen in Bezug zu Viren angeht, zwei Kollegen mit denen ich zusammen arbeite fahren ihre Laptops schon immer mit Win 98 (weils vorinstalliert war) und hatten afaik noch nicht ein einziges Viren / Rootkit Problem.

    Ein ganz guter Anfang um sich in die Sicherheit von Linux einzuarbeiten ist eigentlich der Kernel, Patches wie grsecurity (http://www.grsecurity.net/) könnten dabei auch helfen.
     
  11. sinn3r

    sinn3r Law & Order
    Moderator

    Dabei seit:
    28.12.2006
    Beiträge:
    2.764
    Zustimmungen:
    0
    Ort:
    Wentorf
    Da wir eh gerade massig, OT fahren, kann ich mal sagen, das ich auch noch Windwos 98se benutze, und das selbst ohne Firewall.

    Noch nicht eine einzige Vire daruf, und das System läuft wie ein Saurier.
     
  12. grey

    grey -=[GHOST]=-

    Dabei seit:
    28.07.2006
    Beiträge:
    303
    Zustimmungen:
    0
    Wenn der Anfänger nichts von Auth-Keys weiß, dann hat er schon den ersten Fehler gemacht.
    Er hat schlicht und einfach vergessen, sich vorher mit der Materie zu beschäftigen. Insofern sehe ich das eher als Ausrede an.
     
  13. #12 b3ll3roph0n, 14.07.2007
    b3ll3roph0n

    b3ll3roph0n Tripel-As

    Dabei seit:
    13.07.2007
    Beiträge:
    160
    Zustimmungen:
    0
    ACK!

    Das ist Vorsatz!
    Und bei Einsteigern/Neulingen - an die dieser Thread wohl gerichtet ist - mit derartigen Aussagen den Anschein zu erwecken, das wäre völlig in Ordnung und "sicher" ein Betriebssystem, für das es (seit Jahren!!) keine Sicherheitsupdates mehr gibt, auf einem Server zu benutzen, der mit einer 100MBit Leitung an das Internet angeschlossen ist, ist IMHO grober Dummfug!

    Sry, aber derartige Äußerungen finde ich äußerst Kontraproduktiv, wenn es darum geht vor den Risiken zu warnen, einen RootServer zu mieten.

    Ein guter Anfang wäre, sich erstmal mit der Absicherung der einzelnen Dienste zu beschäftigen.
    Gerade Serverdienste wie der Apache (PHP) oder Mailserver sind -vor allem bei schlechter/armseliger Konfiguration (wie bei den meisten RootServer-N00bs der Fall) - extrem anfällig für Angriffe.
    Wenn man sich erstemal mit den Grundlagen der Serversicherheit auseinandergesetzt hat und seine jeweiligen Dienste unter Kontrolle hat, kann man sich auch mit der Konfiguration von SELinux Grsecurity, RSBAC, etc. auseinandersetzen - aber als Einstieg würde ich das wirklich nicht empfehlen.

    Kein Server ist 100%ig sicher - und einer der noch mit SuSE 8.2 läuft erst recht nicht!


    PS: Admins, die behaupten, dass ihre Server sicher wären, erwecken bei mir eher den Anschein, als wenn genau das Gegenteil der Fall ist bzw. sie nicht genau wissen, was sie tun ...
    (ist nur ein persönlicher Eindruck :devil: )
     
  14. #13 serverzeit.de, 14.07.2007
    Zuletzt bearbeitet: 14.07.2007
    serverzeit.de

    serverzeit.de Netzwerkarchäologe

    Dabei seit:
    24.05.2007
    Beiträge:
    227
    Zustimmungen:
    0
    Um nochmal auf die Aufklärungsarbeit zurück zu kommen:

    Sicher ist jeder Hoster auf Einnahmen aus, ich denke das sollte jedes Unternehmensziel sein und ist auch richtig so. Ob jeder Hoster Aufklärungsarbeit leisten kann, glaube ich nicht. Denn das würde bspw. die Kosten erheblich in die Höhe treiben, was wiederum andere Nachteile hat.

    Ich kann mir auch nicht unbedingt vorstellen, das Hoster Interesse an gehackten Servern haben, zwar könnten Sie Geld an dem Zusatztraffic verdienen, aber ich glaube das hier die Margen zu klein sein. Das gesperrte eigene Netz und das Meckern der anderen Kunden über die hohe Auslastung sollten eher Anreiz dazu sein, die Server zu schützen.

    Was ich den Hostern empfehlen würde oder irgendwo auch fordern würde:
    1) Vermietung nur an Volljährige
    2) Anbieten einer kostenlosen externen Firewall (oder geringen Aufpreis)
    3) Anbieten, ausgenutzte Traffickontingente mit einem Hardlimit zu versehen
    4) Anbieten von Monitoringdiensten, die den Mieter bei dauerhafter Maximalauslastung informieren
    5) Explizit auf die Pflichten hinweisen und eine "Haftungsübernahme" unterschreiben lassen und nicht nur "AGB sind Bestandteil des Vertrags"

    Bzgl. der SSH-Frage bin ich übrigens der Meinung, dass die Keys manchmal überbewertet werden. Keys bedeuten nicht automatisch 100%ige Sicherheit, auch gute Passwörter können entsprechend schützen. Denn was bringt mir wenn ich meine Keys auf meinem Notebook habe, mir dieses aber in der Uni/Flughafen/Stadt usw. geklaut wird?
    Dass beide Verfahren Vor- und Nachteile haben sollte klar sein, lediglich dieses "es geht nichts über Keys" halte ich manchmal für übertrieben bzw. unausgewogen.

    Nachtrag: Wenn sich jemand auch als normaler User unberechtigt auf meinen Servern anmeldet, werde ich schon nervös. Erstens weil das bedeutet, dass die wichtigsten Maßnahmen, nämlich das Abwehren jeglichen unberechtigten Zugriffs nicht funktioniert haben bzw. mangelhaft waren, und zweitens traue ich mir selbst nicht. Irgendwas habe ich wahrscheinlich vergessen, und dann?
     
  15. Anzeige

    Vielleicht findest du HIER Antworten.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  16. #14 blue-dev, 14.07.2007
    Zuletzt bearbeitet: 14.07.2007
    blue-dev

    blue-dev stranger with blue eyes

    Dabei seit:
    30.06.2007
    Beiträge:
    438
    Zustimmungen:
    0
    Mit deiner letzten Äußerung hast du wohl recht, es ist eher Kontraproduktiv.
    Ich denke mit meinem Aussagen mache vermittle ich aber nicht den Eindruck das es einfach ist ein solches System sicher zu machen nur das es _möglich_ ist.
    Und "Vorsatz" ist es sicher nicht, du glaubst nicht welche Arbeit der Server macht, im Moment ist ein wechsel von meinem Arbeitgeber aus aber erstmal ausgeschlossen.
    Solange ich die Kiste noch Virenfrei halten und die Lücken selber schließen kann ist für mich das Betriebssystem kein Problem.
    Wenn du mal ein bisschen googlest wirst du auch sehen das es bei weitem nicht der einzige Server mit Suse 8.2 ist.

    Darüber kann man sich streiten.
    Ich sichere lieber erstmal von Grund auf alles ab und fange da immer mit dem Kernel an, SELinux ist nicht unbedingt schwer wenn man sich lange damit beschäftigt und grsecurity schon gar nicht.
    Dienste müssen natürlich auch erstmal abgesichert werden, aber die Installiere ich wenn Möglich erst gar nicht und Linux bietet nicht so wie Windows nach der Installation gleich mal 50 Dienste nach außen an die ich absichern muss.

    Edit: Was ich vielleicht vergessen habe, der Server auf den ich das eben oben bezogen habe wird nicht nur von mir alleine betreut, insgesamt sind damit 7 Leute inklusive mir beschäftigt. Der Server bietet auch keine Dienste abgesehen von SSH nach außen an.
     
  17. codc

    codc /dev/null

    Dabei seit:
    12.01.2004
    Beiträge:
    607
    Zustimmungen:
    0
    Der Key gehört auf einen USB-Stick in die Hosentasche und eine Kopie auf das Desktop zu Hause. Der USB-Stick kann zwar auch geklaut werden aber wenn der mit Passwort geschützt ist dann ist der Key schneller geändert als das einer den entsprechenden Server und das Passwort gefunden hat.
     
Thema: Artikel: Admins haften für ihre Server!
Besucher kamen mit folgenden Suchen
  1. root server admins haften

Die Seite wird geladen...

Artikel: Admins haften für ihre Server! - Ähnliche Themen

  1. Artikel: Ubuntu und Kubuntu 16.04 LTS

    Artikel: Ubuntu und Kubuntu 16.04 LTS: Dieser Artikel beleuchtet die Neuerungen von Ubuntu 16.04 LTS »Xenial Xerus« vor allem in den beiden wichtigsten Desktop-Ausgaben, Unity und KDE....
  2. Artikel: OpenStack Summit Austin

    Artikel: OpenStack Summit Austin: Mehr als 7500 Cloud-Computing-Entwickler und -Nutzer aus zahlreichen Ländern treffen sich diese Woche in Austin zum OpenStack Summit, einer der...
  3. Artikel: Ubuntu unter Windows ausprobiert

    Artikel: Ubuntu unter Windows ausprobiert: Dieser Artikel gibt einen ersten Eindruck des »Windows-Subsystems für Linux«, das Microsoft bereitstellt, um Ubuntu ohne Virtualisierung unter...
  4. Artikel: Pacman – Der Paketmanager von Arch Linux

    Artikel: Pacman – Der Paketmanager von Arch Linux: Einer der großen Vorzüge der Linux-Distribution Arch Linux ist ihr Paketmanager »Pacman« und seine Buildtools. Trotz der sehr umfangreichen und...
  5. Artikel: Samba, Btrfs und Shadow Copies

    Artikel: Samba, Btrfs und Shadow Copies: Dieser Beitrag zeigt, wie man auf einem Linux-Server in einer Demoumgebung auf einer zusätzlichen Festplatte mit Btrfs-Snapshots erstellt, und...