Server/Hosting Allgemeine Serversicherheit

Masetrix

Bekanntes Mitglied
Lizenzinhaber
Registriert
2. Sep. 2018
Beiträge
599
Punkte
103
XF Version
  1. 2.3.3
XF Instanz
Hosting
PHP-Version
8.3.13
MySQL/MariaDB
(MariaDB) 10.6.19
Provider/Hoster
Hetzner
Dann habe ich noch ein anderes Problem entdeckt.
Der User "Admin" öffnet Verbindungen zu MySql, schließt sie aber nicht wieder. So kommt es dass derlei Fehler, nach dem Stop und Neustart von Mysql im Log erscheinen:
[Warning] /usr/sbin/mysqld: Forcing close of thread 921 user: 'admin'
Ebenso erscheinen alle 5 Minuten "Note" Meldungen in der art "...error writing communicationspaket...". - auch dann wenn alle meine Domains abgeschaltet sind.
Das scheint auf einen Fehler in psa/plesk hinzuweisen.

Bis auf Weiteres :D

Den Rest habe ich inzwischen unter Kontrolle und es wird auch nicht mehr zu viel geswappt ;)
 
Ja, ich weiß - muss man ja aber nicht dabei belassen. Bei Wordpress ist das auch Standard, und auch da ist das tendenziös tödlich... :D ;)
 
Ja, ich weiß - muss man ja aber nicht dabei belassen. Bei Wordpress ist das auch Standard, und auch da ist das tendenziös tödlich... :D ;)

Schon klar. Ich weiche allerdings ungern von Standards ab.
Dafür sichere ich derlei möglichst gut ab.
Das Login, auch zu SSH ist nur von bestimmten IP-Bereichen aus überhaupt möglich und das Passwort ist mit 18 Stellen auch nicht ohne. ;)
 
Das Login, auch zu SSH ist nur von bestimmten IP-Bereichen aus überhaupt möglich und das Passwort ist mit 18 Stellen auch nicht ohne. ;)
SSH mit Passwort sollte man erst gar nicht machen ...
 
Ohne noch weniger :p
Der ist gut :D
Aber ich präzisiere das mal:
SSH2 mit Keyboard-Interactive oder Password Authentication sollte man generell nicht machen.

Aber ja ein KeyFile mit einem anständigen Passwort sollte Standard sein.
Mindestens, ja.
Besser wäre ein Security Device (Smartcard, Stick).

Find ich unsinnig, wenn man es drauf anlegt kann man das leicht faken
Hmm ... das klingt interessant, magst Du das näher erläutern?
Mein bisheriger Kenntnisstand ist, dass das zwar theoretisch möglich ist, praktisch aber dann doch nicht ganz so leicht.
 
SSH mit Passwort sollte man erst gar nicht machen ...

Ohne noch weniger :p
Aber ja ein KeyFile mit einem anständigen Passwort sollte Standard sein.


Find ich unsinnig, wenn man es drauf anlegt kann man das leicht faken, mach lieber nen VPN der nur für deinen Server da ist.

Für beides gilt:
Wenn du deinen eigenen Server ohne bestimmte Verwaltungstools hast und nur ein oder 2 Domains drauf, dann ok, da hällt sich der Aufwand in Grenzen.

Wenn dann aber solche Tools zum Einsatz kommen müssen und bekannt ist dass es mit dem Tool schon gerne mal zu unerwarteten Fehlern im Dateisystem, aufgrund von "Bugs" oder "overuse" kommt dann weichst du mit Sicherheit, aus Erfahrung heraus, nicht von Standards ab. ssh mit PW ist hier jedoch Standard.

Man kann alles umgehen und es gibt - vor allem wenn und wo 777 Rechte empfohlen und sogar genutzt werden, leichtere Angriffsvektoren als SSH oder das Adminpanel... ;)
 
Ich verstehe nur Bahnhof :)

Wir haben ein paar Tausend Domains und einen ganzen Zoo Server; SSH mit Password/Keyboard Interactive haben wir nicht.

Klar gibt es einfachere Angriffsvektoren als SSH, das heißt ja nun aber nicht dass man deshalb inhäterent unsichere Authentifizierungsverfahren zulassen müsste.
Wenn eine Authentifizierung mittels Passwort grundsätzlich nicht möglich ist, dann kann selbiges auch nicht geknackt werden.

PS: Die Empfehlung der BSI Richtlinie TR-02102-4 unter Punkt 3.7 beachten :)
 
Besser wäre ein Security Device (Smartcard, Stick).
Und da ist er wieder... der gewerbliche Blickwinkel. ;)
Keyfile wäre im Hobby-Umfeld schon prima, aber die meisten nutzen dennoch leider nur Passwörter...
Wenn du deinen eigenen Server ohne bestimmte Verwaltungstools hast und nur ein oder 2 Domains drauf, dann ok, da hällt sich der Aufwand in Grenzen.

Wenn dann aber solche Tools zum Einsatz kommen müssen und bekannt ist dass es mit dem Tool schon gerne mal zu unerwarteten Fehlern im Dateisystem, aufgrund von "Bugs" oder "overuse" kommt dann weichst du mit Sicherheit, aus Erfahrung heraus, nicht von Standards ab. ssh mit PW ist hier jedoch Standard.
Also das find ich jetzt aber auch bisl weit her geholt. Es ist gängige Empfehlung, eben KEINE Standard-Benutzernamen zu verwenden, ebenso wie man so hoch sichere Standard-Passwörter wie z.B. "123456", "admin" oder "000000" sein lassen sollte.

Mal im Ernst - ich nutze "solche Tools" wie Plesk und diversen Unix-Kram, aber ein Keyfile nutze ich schon seit vielen, vielen Jahren statt eines simplen (auch noch so langen) Passwortes. Denn dein Passwort liegt halt aufm Server - wird der durch eine Sicherheitslücke kompromittierbar und sei es nur ein gefrusteter Mit-Admin, dann gute Nacht.
Ich geh sogar soweit zu sagen, das Keyfile im gehobenen privaten und semi-professionellen Bereich Standard ist. Extra Gerätschaften wie von Kirby ins Spiel gebracht sind dahingegen nur in Firmen zu finden und selbst dort noch lang nicht in allen.

Das aushebeln der IP-Sperre halte ich bei kleinen privaten Foren für fast schon ausgeschlossen, rein weil es sich als Ziel nicht lohnt diesen Aufwand zu betreiben. Bei größeren bekannteren Foren hingegen ist das für mich vorstellbar.
 
Extra Gerätschaften wie von Kirby ins Spiel gebracht sind dahingegen nur in Firmen zu finden und selbst dort noch lang nicht in allen.
Nö, das machen durchaus auch private die auf Sicherheit wirklich Wert legen - gibt schließlich auch etliche private Anwender von GPG/PGP, VeraCrypt, etc. pp.
Aber ja, das ist im kommerziellen Umfeld sicherlich sehr viel weiter verbreitet als privat und ich würde das von einem Hobby-Admin auch nicht erwarten, Keyfile aber schon.

Bei größeren bekannteren Foren hingegen ist das für mich vorstellbar.
Auch da nochmal die Frage: Wie?
Wenn Du (als Angreifer) nicht die Kontrolle über einen Router in der Nähe des Ziel-Servers hast (oder am anderen Ende, d.h. im Bereich der autorisierten IPs) dürfte das kaum möglich sein.
 
Das doch nix gewerbliches, Nitrokey hat das z.B. für wenig Geld.
Mach ne Umfrage, hier im Forum - wer ne Hardware zwecks authentifizieren für seinen Server/Webspace benutzt. Und dann diskutieren gern wir weiter... :)
Nö, das machen durchaus auch private die auf Sicherheit wirklich Wert legen - gibt schließlich auch etliche private Anwender von GPG/PGP, VeraCrypt, etc. pp.
Aber ja, das ist im kommerziellen Umfeld sicherlich sehr viel weiter verbreitet als privat und ich würde das von einem Hobby-Admin auch nicht erwarten, Keyfile aber schon.
Ich finde es immer wieder witzig, das IT affine sich als Durchschnitt der IT Nutzer ansehen... Kirby, hier das gleiche wie bei Tealk - macht ne Umfrage hier im Forum oder gern auch auf xenforo.com und dann können wir noch mal über Durchschnitt reden. ;) :)
Auch da nochmal die Frage: Wie?
Wenn Du (als Angreifer) nicht die Kontrolle über einen Router in der Nähe des Ziel-Servers hast (oder am anderen Ende, d.h. im Bereich der autorisierten IPs) dürfte das kaum möglich sein.
Ich sagte nur, wäre prinzipiell denkbar - weil prinzipiell alles passieren wird, was denkbar ist. :D Über das Wie? musst du Tealk ausquetschen, er brachte das in die Diskussion, nicht ich.
 
Mach ne Umfrage, hier im Forum
Kenn andere Foren da würde das Ergebnis nur auf Security Device raus laufen. Denke das ist eher der Punk, wie weit will man sich damit befassen oder will man einfach etwas schnell am laufen haben.
 
Ich verstehe nur Bahnhof :)

Wir haben ein paar Tausend Domains und einen ganzen Zoo Server; SSH mit Password/Keyboard Interactive haben wir nicht.

Na klar, als gewerblich professionell Agierender würde ich auch anders handeln (müssen).
Da hätte ich auch die erforderlichen Ressourcen. Für ein ordentliches VPN fehlt mir hier schon der 2. Server für den Private Key.
Hier ist daher auch keine einfach (Plesk*.*)Migration möglich, es muss "do-release-upgrade" und nachfolgend erforderliche Handarbeit ausreichen.
 
Denke das ist eher der Punk, wie weit will man sich damit befassen oder will man einfach etwas schnell am laufen haben.

Wollen, will man schon, können, kann man aber nicht. :D
Zudem, wenn ein Zertifikat verloren, und/oder "Keyfile" kaputtgeht wird es schwierig. SSH im Standard kann aber trotzdem noch laufen und mein Passwort habe ich im Kopf.

Solange ein SSH-Login noch nicht so weit automatisiert und einfach nutzbar standardisiert ist wie die Passwortvariante ist mir das "zu weit weg". Einen Passwortwechsel macht man in einer Zeile. Ein Zertifikat erneuern oder Keyfile reparieren ist da wesentlich aufwendiger.
Wie bereits erwähnt kann ich auf ein VPN auch gleich verzichten, wenn ich den PK auf dem gleichen Server erstelle, auf dem ich das auch nutze.
 
Zurück
Oben