Server/Hosting Allgemeine Serversicherheit

Dieses Thema im Forum "Technik und Co." wurde erstellt von Masetrix, 1. Juni 2021.

  1. Masetrix

    Masetrix Bekanntes Mitglied Lizenzinhaber

    Dann habe ich noch ein anderes Problem entdeckt.
    Der User "Admin" öffnet Verbindungen zu MySql, schließt sie aber nicht wieder. So kommt es dass derlei Fehler, nach dem Stop und Neustart von Mysql im Log erscheinen:
    Ebenso erscheinen alle 5 Minuten "Note" Meldungen in der art "...error writing communicationspaket...". - auch dann wenn alle meine Domains abgeschaltet sind.
    Das scheint auf einen Fehler in psa/plesk hinzuweisen.

    Bis auf Weiteres :D

    Den Rest habe ich inzwischen unter Kontrolle und es wird auch nicht mehr zu viel geswappt ;)
     
  2. otto

    otto Bekanntes Mitglied Lizenzinhaber

    "admin" als Nutzername? Böse... ;)
     
  3. Masetrix

    Masetrix Bekanntes Mitglied Lizenzinhaber

    Standard bei Plesk... ;)
     
  4. otto

    otto Bekanntes Mitglied Lizenzinhaber

    Ja, ich weiß - muss man ja aber nicht dabei belassen. Bei Wordpress ist das auch Standard, und auch da ist das tendenziös tödlich... :D ;)
     
  5. Masetrix

    Masetrix Bekanntes Mitglied Lizenzinhaber

    Schon klar. Ich weiche allerdings ungern von Standards ab.
    Dafür sichere ich derlei möglichst gut ab.
    Das Login, auch zu SSH ist nur von bestimmten IP-Bereichen aus überhaupt möglich und das Passwort ist mit 18 Stellen auch nicht ohne. ;)
     
  6. Kirby

    Kirby Bekanntes Mitglied Lizenzinhaber

    SSH mit Passwort sollte man erst gar nicht machen ...
     
    otto gefällt das.
  7. Tealk

    Tealk Bekanntes Mitglied Lizenzinhaber

    Ohne noch weniger :p
    Aber ja ein KeyFile mit einem anständigen Passwort sollte Standard sein.

    Find ich unsinnig, wenn man es drauf anlegt kann man das leicht faken, mach lieber nen VPN der nur für deinen Server da ist.
     
  8. Kirby

    Kirby Bekanntes Mitglied Lizenzinhaber

    Der ist gut :D
    Aber ich präzisiere das mal:
    SSH2 mit Keyboard-Interactive oder Password Authentication sollte man generell nicht machen.

    Mindestens, ja.
    Besser wäre ein Security Device (Smartcard, Stick).

    Hmm ... das klingt interessant, magst Du das näher erläutern?
    Mein bisheriger Kenntnisstand ist, dass das zwar theoretisch möglich ist, praktisch aber dann doch nicht ganz so leicht.
     
  9. Masetrix

    Masetrix Bekanntes Mitglied Lizenzinhaber

    Für beides gilt:
    Wenn du deinen eigenen Server ohne bestimmte Verwaltungstools hast und nur ein oder 2 Domains drauf, dann ok, da hällt sich der Aufwand in Grenzen.

    Wenn dann aber solche Tools zum Einsatz kommen müssen und bekannt ist dass es mit dem Tool schon gerne mal zu unerwarteten Fehlern im Dateisystem, aufgrund von "Bugs" oder "overuse" kommt dann weichst du mit Sicherheit, aus Erfahrung heraus, nicht von Standards ab. ssh mit PW ist hier jedoch Standard.

    Man kann alles umgehen und es gibt - vor allem wenn und wo 777 Rechte empfohlen und sogar genutzt werden, leichtere Angriffsvektoren als SSH oder das Adminpanel... ;)
     
  10. Kirby

    Kirby Bekanntes Mitglied Lizenzinhaber

    Ich verstehe nur Bahnhof :)

    Wir haben ein paar Tausend Domains und einen ganzen Zoo Server; SSH mit Password/Keyboard Interactive haben wir nicht.

    Klar gibt es einfachere Angriffsvektoren als SSH, das heißt ja nun aber nicht dass man deshalb inhäterent unsichere Authentifizierungsverfahren zulassen müsste.
    Wenn eine Authentifizierung mittels Passwort grundsätzlich nicht möglich ist, dann kann selbiges auch nicht geknackt werden.

    PS: Die Empfehlung der BSI Richtlinie TR-02102-4 unter Punkt 3.7 beachten :)
     
    Tealk gefällt das.
  11. otto

    otto Bekanntes Mitglied Lizenzinhaber

    Und da ist er wieder... der gewerbliche Blickwinkel. ;)
    Keyfile wäre im Hobby-Umfeld schon prima, aber die meisten nutzen dennoch leider nur Passwörter...
    Also das find ich jetzt aber auch bisl weit her geholt. Es ist gängige Empfehlung, eben KEINE Standard-Benutzernamen zu verwenden, ebenso wie man so hoch sichere Standard-Passwörter wie z.B. "123456", "admin" oder "000000" sein lassen sollte.

    Mal im Ernst - ich nutze "solche Tools" wie Plesk und diversen Unix-Kram, aber ein Keyfile nutze ich schon seit vielen, vielen Jahren statt eines simplen (auch noch so langen) Passwortes. Denn dein Passwort liegt halt aufm Server - wird der durch eine Sicherheitslücke kompromittierbar und sei es nur ein gefrusteter Mit-Admin, dann gute Nacht.
    Ich geh sogar soweit zu sagen, das Keyfile im gehobenen privaten und semi-professionellen Bereich Standard ist. Extra Gerätschaften wie von Kirby ins Spiel gebracht sind dahingegen nur in Firmen zu finden und selbst dort noch lang nicht in allen.

    Das aushebeln der IP-Sperre halte ich bei kleinen privaten Foren für fast schon ausgeschlossen, rein weil es sich als Ziel nicht lohnt diesen Aufwand zu betreiben. Bei größeren bekannteren Foren hingegen ist das für mich vorstellbar.
     
    Masetrix gefällt das.
  12. Kirby

    Kirby Bekanntes Mitglied Lizenzinhaber

    Nö, das machen durchaus auch private die auf Sicherheit wirklich Wert legen - gibt schließlich auch etliche private Anwender von GPG/PGP, VeraCrypt, etc. pp.
    Aber ja, das ist im kommerziellen Umfeld sicherlich sehr viel weiter verbreitet als privat und ich würde das von einem Hobby-Admin auch nicht erwarten, Keyfile aber schon.

    Auch da nochmal die Frage: Wie?
    Wenn Du (als Angreifer) nicht die Kontrolle über einen Router in der Nähe des Ziel-Servers hast (oder am anderen Ende, d.h. im Bereich der autorisierten IPs) dürfte das kaum möglich sein.
     
  13. Tealk

    Tealk Bekanntes Mitglied Lizenzinhaber

    Hab es selber auch noch nie eingerichtet, ich hab einfach einen ed25519 key mit starken kennwort und f2b überwacht Fehlerhafte Zugriffe.

    Das doch nix gewerbliches, Nitrokey hat das z.B. für wenig Geld.
     
    Kirby gefällt das.
  14. otto

    otto Bekanntes Mitglied Lizenzinhaber

    Mach ne Umfrage, hier im Forum - wer ne Hardware zwecks authentifizieren für seinen Server/Webspace benutzt. Und dann diskutieren gern wir weiter... :)
    Ich finde es immer wieder witzig, das IT affine sich als Durchschnitt der IT Nutzer ansehen... Kirby, hier das gleiche wie bei Tealk - macht ne Umfrage hier im Forum oder gern auch auf xenforo.com und dann können wir noch mal über Durchschnitt reden. ;) :)
    Ich sagte nur, wäre prinzipiell denkbar - weil prinzipiell alles passieren wird, was denkbar ist. :D Über das Wie? musst du Tealk ausquetschen, er brachte das in die Diskussion, nicht ich.
     
  15. Tealk

    Tealk Bekanntes Mitglied Lizenzinhaber

    Kenn andere Foren da würde das Ergebnis nur auf Security Device raus laufen. Denke das ist eher der Punk, wie weit will man sich damit befassen oder will man einfach etwas schnell am laufen haben.
     
  16. Masetrix

    Masetrix Bekanntes Mitglied Lizenzinhaber

    Na klar, als gewerblich professionell Agierender würde ich auch anders handeln (müssen).
    Da hätte ich auch die erforderlichen Ressourcen. Für ein ordentliches VPN fehlt mir hier schon der 2. Server für den Private Key.
    Hier ist daher auch keine einfach (Plesk*.*)Migration möglich, es muss "do-release-upgrade" und nachfolgend erforderliche Handarbeit ausreichen.
     
  17. Masetrix

    Masetrix Bekanntes Mitglied Lizenzinhaber

    Wollen, will man schon, können, kann man aber nicht. :D
    Zudem, wenn ein Zertifikat verloren, und/oder "Keyfile" kaputtgeht wird es schwierig. SSH im Standard kann aber trotzdem noch laufen und mein Passwort habe ich im Kopf.

    Solange ein SSH-Login noch nicht so weit automatisiert und einfach nutzbar standardisiert ist wie die Passwortvariante ist mir das "zu weit weg". Einen Passwortwechsel macht man in einer Zeile. Ein Zertifikat erneuern oder Keyfile reparieren ist da wesentlich aufwendiger.
    Wie bereits erwähnt kann ich auf ein VPN auch gleich verzichten, wenn ich den PK auf dem gleichen Server erstelle, auf dem ich das auch nutze.
     
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden