V-Server mit veraltetem OS?

Beitrag von **wuschba** » 26.06.2007, 16:20

Hi. Ich suche nach einem V-Server, und habe gesehen, dass es immer noch Anbieter gibt (1und1, Server4You, ...), die dabei Suse 9.3 anbieten, obwohl Novell nun nach längerer Ankündigung den Support dafür nicht mehr leistet, ich also keine Updates und Patches mehr erhalte. Ist das nicht ein Sicherheitsrisiko oder überschätze ich die Gefahr?

von **Anzeige von ABAKUS** »

Beitrag von **auftragslinker** » 27.06.2007, 06:54

ich würde schätzen, dass min. 50-60% aller rootserver noch viel ältere betriebssysteme einsetzen

das neueste vom neuesten (z.b. debian etch) würde ich auch noch nicht einsetzen, da noch viel dran geschraubt wird.

persönlich würd ich suse auf einem serversystem aber sowieso nicht einsetzen. die meisten (vernünftigen) vserver-anbieter bieten dir aber eine palette von 5-6 verschiedenen os an, sodass du die qual der wahl hast.

Beitrag von **wuschba** » 27.06.2007, 07:52

Danke für Deine Antwort! Hm, ich überlege halt: Ich muss zugeben, dass meine Linux-Kenntnisse begrenzt sind, andererseits brauche ich einen eigenen SSH-Zugang, um einige Dinge selbst machen zu können. Nur habe ich natürlich keine Lust, dass der Server ständig gehackt wird, der Inhalt der DB irgendwo im Netz erscheint oder der Server als Tauschportal misbraucht wird.

Daher war mein erster Gedanke, immer möglichst aktuelle Soft zu verwenden, zumal ich bei dem alten Suse ja auch keine neue PHP/Apache-Patches mehr erhalte.

Beitrag von **auftragslinker** » 27.06.2007, 08:39

vom prinzip ja auch richtig, nur die neueste ist auch nicht immer das beste. am besten du nimmst dir einen managed-server. das kostet monatlich zwar ein bisschen mehr, aber du hast keinen ärger damit.

Beitrag von **wuschba** » 27.06.2007, 12:48

Dank Dir nochmals für Deine Hilfe. Habe ich denn bei einem Managed-Server auch die Möglichkeit des SSH-Zugriffs? Bei einigen Angeboten habe ich dazu keine Angaben gefunden, und ein Server, der nur über Plesk läuft - naja, dafür brauche ich halt keinen eigenen Server

Habe ich dann Zugriff, aber keine Root-Rechte, damit ich nix kaputt machen kann? Wie läuft sowas denn genau?

Beitrag von **Pompom** » 27.06.2007, 12:51

Nur mal interessehalber:

persönlich würd ich suse auf einem serversystem aber sowieso nicht einsetzen.

Warum nicht ?

Beitrag von **auftragslinker** » 27.06.2007, 13:30

habe auch noch keinen managed gehabt, aber ruf mal bei vc-server.de
an (kostenlose hotline). die sind dort sehr nett und du kannst das managed-paket zu jedem server dazubuchen (glaube sogar monatsweise)

@pompom: mein erster root war ein suse 7.3 später 8.3
seit dem ich debian rechner hatte, will ich nix anderes mehr. alleine schon den komfort einer funktionierenden paketverwaltung (apt). ausserdem finde ich die systeme performanter (bauchgefühl). mir ist es auch sympathischer, dass keine firma für meine distri verantwortlich ist, die mal eben verkauft wird (suse/novell).
wohlgemerkt rede ich hier von serversystemen. wobei ich debian bzw. ubuntu (is ja ein debian) auch als desktop nutze (dualboot vista/ubuntu). seit dem ich das linux drauf habe boote ich das windows immer seltener. geht schneller und ausser für itunes brauch ich das auch nich mehr...

Beitrag von **wuschba** » 27.06.2007, 14:03

Danke, werde dort mal durchklingeln.

Mal ne ganz naive Frage: Ist die Gefahr für einen Server wirklich so hoch? Ich erhalte zwar alle 10 Sek. auf meinem V-Server einen SSH-Einlogg-Versuch, aber letztlich sind die Versuche doch eher stümperhaft... Also, die Versuche, die ich zu sehen bekomme

Daher nochmal die Frage.

Beitrag von **auftragslinker** » 27.06.2007, 14:25

nicht alle attacken kommen per ssh. das häufigste ist (meiner erfahrung nach), dass jemand über ein php/html-formular spam verschickt. dann guckst du zufällig mal in die mailqueue (die, die noch versendet werden sollen) und stellst fest, dass dort mal eben 4000 mails warten. oder jemand hat das emailkennwort eines kunden geknackt (er hat ein einfaches gewählt, kannst du ja weder einsehen noch beeinflussen) und versendet so spam.
ganz gefährlich sind auch sql-injections. leider kann man gegen all das nicht sehr viel machen (wenn es durch skripte anderer leute verursacht wird). nur dann hilft es schon, sich in den logs auszukennen, damit du weisst woher der wind weht.

Beitrag von **wuschba** » 27.06.2007, 15:02

Aber diese Gefahren habe ich doch alle auch bei einem Webhoster oder Managed Server, oder? Ich will ja meine eigenen Scripte auf einen Server packen, muss also so oder so sehen, dass diese "dicht" sind.

Was für Probleme hätte ich denn als "Server-Besitzer", der den Server selbst managed?

Beitrag von **t-rex** » 27.06.2007, 15:35

Hi,

da hat auftragslinker gar nicht so unrecht. Die häufigsten Einbrüche erfolgen über Open Source Scripte. Das ist so, weil diese (genauso wie auch Microsoftprodukte) sehr oft vorzufinden sind. Dazu haben die ja dann auch noch einige sehr leicht zu identifizierenden Merkmale. Und weil es Open Source Scripte sind, kann sich auch jeder damit eindecken und damit solange rumspielen, bis er dann eine Lücke gefunden hat.

@wuschba: Selbstverständlich hat der Webhoster, der den Webspace oder den Managed Server anbietet, genau das gleiche Problem. Der Unterschied liegt aber darin, dass der Webhoster wissen sollte was er tut, und dementsprechend auch sein System abriegeln kann. Er wird auch seine Apachekonfiguration eher mit einem Auge auf Sicherheit als auf leichteres Arbeiten ausrichten. Und sollte tatsächlich ein System kompromittiert sein, dann wird er auch sicher wissen, wie er das System wieder sauber bekommt und wird die betroffenen Kunden darauf hinweisen, dass sie ein Update durchführen MÜSSEN.

Zu SuSE: ich betreue und betreibe nun schon seit mindestens 9 Jahren Server im Netz. Alle durch die Bank liefen und laufen auf SuSE. Und wie oben ausgeführt, waren fast alle Einbrüche und Einbruchsversuche über die Open Source Skripte.

Und zum Schluss: Dass es noch keine oder nur wenige vServer mit einer aktuellen Distributionsauswahl gibt, liegt meist am Anbieter der vServer-Plattform selbst. Also nicht der Webhoster! Denn die vServer-Gastsysteme werden als sogenannte Templates mit dem Hostsystem ausgeliefert. Und erst, wenn sich der Anbieter des Hostsystems bequemt, die Gastsysteme upzudaten, wird auch Dein Webhoster in der Lage sein, ein "Update" anzubieten.

Wegen Patches und der gleichen, müsstest Du dir in diesem Fall keine sorgen machen, weil der Anbieter der vServer-Software die entsprechenden Mittel stellen sollte.

Wie auch immer. Du solltest natürlich, wenn Du einen vServer oder Root-Server betreiben möchtest, schon in der Lage sein, diesen auch zu administrieren. Und wenn Du dir da unsicher bist, den Ratschlag zu einem Managed Server beherzigen.

sonnige Grüsse
HaPe

Beitrag von **wuschba** » 27.06.2007, 16:23

Nochmals danke für die ausführlichen Antworten!

Mein Problem ist, dass ich meine Kenntnisse schwer einschätzen kann. Ich komme aus der Windows-Welt, bin dort (meiner Meinung nach) fit, habe aber auch früher mal Linux gemacht, und fands super spannend, mal mit meinem neuen V-Server ein bißchen rumzuspielen. Mir erscheint es nicht so schwer, die Firewall zu konfigurieren, dass man eben nicht von außen auf MySQL drauf kann, oder den SSH-Timeout einzustellen, damit das Passwort eben nicht in akzeptabler Zeit erraten werden kann.

Aber sowohl in Windows als auch in Linux kann man immer noch so fit sein - es gibt immer wieder was Neues, was man vorher nicht wußte. Und ja: Das macht mich unsicher

Aber ich bin lernbereit und würde gerne lernen - aber mir scheint die Linux-Welt so komplex, dass sich die Frage stellt, ob man sich das überhaupt erarbeiten kann, ohne jeden Tagen 8-10h damit zu verbringen.

Beitrag von **melittaman** » 28.06.2007, 08:59

- kernel mit grsecurity patchen
- ssh absichern durch key authentifizierung
- ssh root login deaktivieren
- nur ssh2 erlauben
- fail2ban installieren, alternativ
- ssh durch portknocker schützen
- apache in chroot stecken
- php suhosin patch installieren
- mod_evasive installieren
- mod_security installieren
- php disable_functions anpassen
- mysql nur locale connections zulassen
- logcheck script installieren
- logs auslagern auf 2ten server
- regelmässige datensicherung (incrementell?)
- nur dienste laufen lassen die man braucht
- iptables entsprechend konfigurieren

... wenn du diese punkte umsetzt ( je nach sicherheitsbedürfnis mehr oder weniger) ist dein server meiner meinung nach schon recht gut gesichert. wenn jemand die liste ergänzen kann wäre nett. man lernt ja nie aus