Frage zu root-Servern

[thobit]

Ich habe da mal eine dumme Frage. Ich lese hier oft, dass Leute bei sich noch einen root-Server rumstehen haben und mit dem ein bißchen rumspielen wollen. Was macht einen solchen root-Server eigentlich aus?
Ich habe gerade für ein paar Freunde eine Homepage programmiert und auf einen Freehoster hochgeladen. Um nicht ständig die Dateien via ftp auf die Server hochladen zu müssen teste ich die Seite immer lokal auf meinem Rechner. Sprich ich starte apache und rufe dann im Browser localhost auf.
Sobald ich aber apache laufen habe, habe ich doch im Prinzip einen root-Server unterm Tisch stehen, oder?
Wie groß ist denn die Gefahr, dass mein Rechner "übernommen" wird, wenn er mal ein zwei Tage ohne Unterbrechung online ist und jemand damit Blödsinn machen will? Ich starte oder stoppe apache immer manuell, deshalb ist es auch schonmal vorgekommen, dass ich vergessen habe den Dienst zu stoppen und er fleißig weitergearbeitet hat.

mfg
thobit

P.S.: Ich habe mal bei wikipedia nach root Servern gesucht. Das scheinen aber Rechner von ganz anderem Kaliber zu sein.

 

[z00k]

Howdy!

Naja, als 'root-server' werden haupsaechlich Server mit remote access bezeichnet. Sprich du hast irgendwo ne Maschine stehen, welche du per ssh oder sonstigem remote zeugs steuern kannst. Und solch ein Server muss nicht immer zwingend einen Webserver beinhalten. Ein wohl sehr beleibter Einsatzbereich eines solchen Servers, ist auch in der Filesharing Szene, da solche Maschinen meistens an einer sehr schnellen Connection haengen.

Ich selber finde, dass dieses Thema total ueberzogen wird. Jedes kleine Scriptkiddie will nen 'root-server' und ich wage mal zu behaupten, dass 90% davon keine Ahnung haben so ein Ding richtig abzusichern und zu benutzen.

Dieses Thema kommt aber auch jedesmal auf, wenn jemand nach solch einem Server fragt


gReetZ

 

[beomuex]

Zum Thema "absichern":
Eine richtig eingerichtete Ip-Table und alles ist ok.
Aber ich kenne Leute, die sich auf ihren Server bei nem Hoster X und VNC installiert haben, und die Weboberfläche (Port 5900) genutzt haben.DAS ist ein Risiko!
Solang du nur ssh und port 80 auf hast ist alles roger.


Mfg beomuex

 

[bitmuncher]

Rootserver zeichnen sich vor allem dadurch aus, dass man einen Server in einem Rechenzentrum mietet, auf den man vollen Root-Zugriff hat und somit damit tun und lassen kann was man will. Da die Dinger im Normalfall in einem RZ mit eigener IP-Range stehen, haben sie eine feste IP und meist auch eine 100MBit-Anbindung. Gerade die schnelle Anbindung macht sie sehr beliebt bei Spammern und in der Warez-Szene. Und da die meisten Rootserver heutzutage von Laien verwaltet werden, sind sie meist auch relativ einfach zu knacken ohne dass der Eigentuemer das merkt. Deswegen sollten Laien die Finger von Rooties lassen.

@beomuex: Da kann durchaus auch mehr offen sein, wichtig ist nur, dass die Services sauber konfiguriert sind, dass regelmaessig Updates gefahren werden usw. Bei mir laufen auf meinen Rooties z.B. meine Mailserver, MP3-Streamer, DNS-Server, Applicationserver, Groupware usw.

 

[Chrimori]

Wenn sich ein Noob einen Root-Server holt und dieser dann gehackt wird und von diesem dann z.B warez verteilt, dann ist doch nicht der Noob verantwortlich, sondern der Einbrecher, oder? Der Noob muss nur nachweisen können, dass nicht er die warez verteilt hat.

Wie sieht das eigentlich aus wenn man den Server nach bestem Bemühen abgesichert hat(IDS, Ports verlegen, blocken usw...), man sich auch täglich bemüht den Server sicher zu halten und dennoch gehackt wird?

Wenn ich mein Auto(Server) abschliesse(sichere) und ein Verbrecher "leiht" sich dieses, überfährt ein paar Leute und stellt es dann wieder bei mir ab. Ist ja eigentlich gleiches Szenario.

 

[towo]

Wenn sich ein Noob einen Root-Server holt und dieser dann gehackt wird und von diesem dann z.B warez verteilt, dann ist doch nicht der Noob verantwortlich, sondern der Einbrecher, oder? Der Noob muss nur nachweisen können, dass nicht er die warez verteilt hat.

Nein, der "Noob" ist voll verantwortlich und auch haftbar!

Wie sieht das eigentlich aus wenn man den Server nach bestem Bemühen abgesichert hat(IDS, Ports verlegen, blocken usw...), man sich auch täglich bemüht den Server sicher zu halten und dennoch gehackt wird?

Dann gilt auch, der besitzer ist für alles verantwortlich.

Wenn ich mein Auto(Server) abschliesse(sichere) und ein Verbrecher "leiht" sich dieses, überfährt ein paar Leute und stellt es dann wieder bei mir ab. Ist ja eigentlich gleiches Szenario.

Nein, ist nicht vergleichbar, dieses Szenario.

 

[Chrimori]

Verstehe ich nicht. Ist der Benutzer bei Servern voll verantwortlich, aber nicht bei seinem Auto? Entweder ist er auch bei seinem Auto voll verantwortlich oder er muss auch da nachweisen, dass er niemanden überfahren hat(was ich glaube).

Anonsten wär das ja: YEAHAAA! Lass Leute killen, mein Nachbar haftet.

Hat jemand vielleicht Gerichtsurteile oder Gesetzesparagraphen zur Haftung?

 

[gropiuskalle]

Angenommen, Du bist Jäger, und holst Dir (bei Vorhandensein des entsprechenden Waffenscheins) irgendeine berufstypische Schusswaffe, so bist Du ja auch dafür verantwortlich, dass diese Schusswaffe niemandem zugänglich ist. Fällt die Waffe aufgrund Deiner Nachlässigkeit irgendeinem Amokläufer oder dergleichen in die Hände, würdest Du dafür ebenfalls dafür zur Verantwortung gezogen werden.

Da jedoch bei einem gehackten Server die Dingfestmachung des Warez-Verteilers in der Regel naturgemäß nicht möglich ist, wird hier die volle Verantwortung auf den Serverbetreiber umgelegt - sonst würde man gegen solche Nachlässigkeiten ja überhaupt keine Handhabe besitzen. Der Grund dafür, dass server überhaupt missbraucht werden, liegt ja in der mangelnden Sorgfalt des verantwortlichen Admins begründet.

 

[bitmuncher]

@Chrimori: Schon deine mangelnden Kenntnisse um die Rechtslage in diesem Bereich disqualifizieren dich als Administrator für einen Server.

 

[Chrimori]

@Chrimori: Schon deine mangelnden Kenntnisse um die Rechtslage in diesem Bereich disqualifizieren dich als Administrator für einen Server.

Weiß ich doch. Ich will ja auch gar nicht administrieren. Mich interessiert einfach die Rechtslage.

Müssten die ISPs dann nicht mitverantwortlich sein, da sie einer nicht geeigneten Person eine Waffe geben?

Ich habe eben bei Strato angerufen und da sagte man mir, dass man sich im Falle eines Einbruchs einfach bei der abusive-Abteilung melden solle. Man ist nicht haftbar. Das sei so wie, wenn jemand in mein Haus eindringt und ich dann zur Polizei gehe. Die Experten würden dann alles weitere regeln.

 

[codc]

Experte musst du sein und du bist als Betriebers eines Root-Server oder besser Dedizierter Server juristisch und finanziell voll veranwortlich. Ich habe mir einen zugelegt nachdem ich über 8 Jahre Linux-Erfahrung gesammelt habe und zu Hause lange geübt habe mit einem Testserver.
Strato-Mitarbeiter haben auf meiner Kiste nichts verloren und sie kommen auch nicht auf meine Kiste. Wenn es einer per physikalischem Zugriff machen würde dann würde ich es merken und keine Ahnung der Mitarbeiter an der Hotline möchte nicht ich sein.

 

[bitmuncher]

Ich habe eben bei Strato angerufen und da sagte man mir, dass man sich im Falle eines Einbruchs einfach bei der abusive-Abteilung melden solle. Man ist nicht haftbar. Das sei so wie, wenn jemand in mein Haus eindringt und ich dann zur Polizei gehe. Die Experten würden dann alles weitere regeln.

Die Experten können aber nichts regeln, wenn der Server nicht gut genug gesichert war. Wenn keine IDS-Logs u.ä. vorhanden sind, können sie den Täter auch nicht ausfindig machen. Und gerade bei Strato machen die AGBs klar, wer für was verantwortlich ist:

4.3 Der Kunde ist verpflichtet, seine Systeme und Programme so einzurichten, dass weder die Sicherheit, die Integrität noch die Verfügbarkeit der Systeme, die STRATO zur Erbringung ihrer Dienste einsetzt, beeinträchtigt wird. STRATO kann Dienste sperren, wenn Systeme abweichend vom Regelbetriebsverhalten agieren oder reagieren und dadurch die Sicherheit, die Integrität oder die Verfügbarkeit der STRATO Server-Systeme beeinträchtigt wird.

1.1 Bei bestimmten Servern hat der Kunde allein Administratorrechte. STRATO kann den Server nicht verwalten. Der Kunde ist daher für die Sicherheit seines Servers allein verantwortlich. Es obliegt ihm, Sicherheitssoftware zu installieren, sich regelmäßig über bekannt werdende Sicherheitslücken zu informieren und bekannte Sicherheitslücken zu schließen. Die Installation von Wartungsprogrammen oder sonstiger Programme, die STRATO zur Verfügung stellt oder empfiehlt, entbindet den Kunden nicht von dieser Pflicht.

1.2 Jeder Kunde ist verpflichtet, seinen Server so einzurichten und zu verwalten, dass die Sicherheit, Integrität und Verfügbarkeit der Netze, anderer Server, Software und Daten Dritter nicht gefährdet wird.

Eigentlich sollte man denken, dass der Strato-Support seine AGBs eigentlich kennen dürfte.

 

[codc]

Wenn ich Snort zb als IDS einsetze dann verstosse ich auch gegen die AGBs afaik. Denn ich darf die NIC nicht in promiscolus betreiben wenn ich das noch recht in Erinnerung habe. Bin aber gerade zu bequem genau nachzuschauen.

 

[bitmuncher]

Dann solltest du nochmal nachschauen, denn das ist keineswegs untersagt. Das darf/kann man lediglich auf VServern nicht, aber ohne Probleme auf Rooties. Ansonsten verstosse ich jetzt schon seit knapp 4 Jahren auf diversen Servern gegen die AGBs.

 

[codc]

Bitmuncher sollte ich mal tun - meiner ist kein V(olllast)Server sondern ein Rootie. Auf allem was ich sonst betreue habe ich ja ein Snort laufen aber ich wollte bei Strato im Rechenzentrum nicht die NIC in promiscose setzen. Das es geht da habe ich keine Frage dran weil Strato mit dem laufendem OS nicht viel zu tun hat - kein Provider-Image oder so ein Dreck.

OT: das vorinstallierte Suse war mal echt eine Frechheit. Selbst ein IRCd lief da drauf ....

 

[bitmuncher]

OT: das vorinstallierte Suse war mal echt eine Frechheit. Selbst ein IRCd lief da drauf ....

Deswegen nimmt man ja auch das minimale Debian-System oder packt sich gleich via Rettungssysstem ein Gentoo oder FreeBSD rauf.

 

[codc]

Deswegen nimmt man ja auch das minimale Debian-System oder packt sich gleich via Rettungssysstem ein Gentoo oder FreeBSD rauf.

Der Müll war auch sofort unten und da läuft heute ein händig installiertes Etch

 

[bitmuncher]

Wieso Müll? Es handelt sich dabei lediglich um eine Minimal-Installation Debian. Man sollte halt lediglich mit gparted die Partition etwas verkleinern und /tmp mit noexec auf eine eigenständige Partition mounten. Der Rest ist aber für den "durchschnittlichen" Rootserver völlig ok.

 

[codc]

Wieso Müll? Es handelt sich dabei lediglich um eine Minimal-Installation Debian. Man sollte halt lediglich mit gparted die Partition etwas verkleinern und /tmp mit noexec auf eine eigenständige Partition mounten. Der Rest ist aber für den "durchschnittlichen" Rootserver völlig ok.

Wenn du mich meinst - dann hast du nicht richtig gelesen.

# /etc/fstab: static file system information.
#
# <file system> <mount point> <type> <options> <dump> <pass>
proc /proc proc defaults 0 0
/dev/hda1 /boot ext3 ro,noexec 0 0
/dev/hda2 none swap sw 0 0
/dev/hda3 / ext3 defaults,errors=remount-ro 0 1
/dev/hda5 /usr ext3 ro 0 2
/dev/hda6 /tmp ext3 noexec 0 2
/dev/hda7 /var ext3 defaults 0 2
/dev/hda8 /home ext3 noexec 0 2

war mir lieber

Ansonsten ist das System von minimal sauber aufgesetzt und nur per apt gewartet ....

 

[bitmuncher]

Naja, Partitionierung ist ja teilweise Geschmacks-, Zweck- und Ansichtssache.