Sicherheit Server eure Meinung
Re: Sicherheit Server eure Meinung
Die imho größten Probleme mit Plesk sind: sobald du ’nen Fehler in einer Komponente deines Systems hast, in die Plesk sich einmischt und dran rumpfuscht, kann man hier nicht mehr gescheit helfen – im Gegenteil, mit den „normalen“ Lösungsvorschlägen, die sich auf ein sauberes System beziehen, mag der Schaden nur noch größer gemacht werden.
Abgesehen davon verkompliziert es den Updateprozess erheblich. Mir sind nicht wenige Kisten bekannt, die ein total veraltetes System fahren, weil die „Admins“ die Kiste ohne Plesk nicht bedienen können, der Provider kein aktuelles Image mit Plesk bereitstellt, und ein manuelles Update des Systems samt Plesk die „Admins” hoffnungslos überfordert. Entsprechend läuft dann da, wie gesagt, ein veraltetes System samt veraltetem Plesk – und das ist dann ziemlich fatal.
Abgesehen davon verkompliziert es den Updateprozess erheblich. Mir sind nicht wenige Kisten bekannt, die ein total veraltetes System fahren, weil die „Admins“ die Kiste ohne Plesk nicht bedienen können, der Provider kein aktuelles Image mit Plesk bereitstellt, und ein manuelles Update des Systems samt Plesk die „Admins” hoffnungslos überfordert. Entsprechend läuft dann da, wie gesagt, ein veraltetes System samt veraltetem Plesk – und das ist dann ziemlich fatal.
Re: Sicherheit Server eure Meinung
Das kann ich nachvollziehen. Veraltetes System habe ich Gott sei dank nicht. Bei mir läuft Ubuntu 14.04 LTS wird bis 2019 Supported. Plesk ist auch die aktuellste Version 17.5.3. Ab 2018 muss ich sowieso wieder wechseln wegen Kernel (Aussage von meinem Provider). Ich besitze keinen dedizierten server sondern einen VServer. Dann ist sowieso Ubuntu 16.04 fällig. Werde mir noch einen VServer zu Testzwecken mieten und dass System manuell aufsetzen. Zu Testzwecken ist es dann egalniemand hat geschrieben:Die imho größten Probleme mit Plesk sind: sobald du ’nen Fehler in einer Komponente deines Systems hast, in die Plesk sich einmischt und dran rumpfuscht, kann man hier nicht mehr gescheit helfen – im Gegenteil, mit den „normalen“ Lösungsvorschlägen, die sich auf ein sauberes System beziehen, mag der Schaden nur noch größer gemacht werden.
Abgesehen davon verkompliziert es den Updateprozess erheblich. Mir sind nicht wenige Kisten bekannt, die ein total veraltetes System fahren, weil die „Admins“ die Kiste ohne Plesk nicht bedienen können, der Provider kein aktuelles Image mit Plesk bereitstellt, und ein manuelles Update des Systems samt Plesk die „Admins” hoffnungslos überfordert. Entsprechend läuft dann da, wie gesagt, ein veraltetes System samt veraltetem Plesk – und das ist dann ziemlich fatal.
Re: Sicherheit Server eure Meinung
Zu Testzwecken bietet sich ’ne VM an, lokal.
Re: Sicherheit Server eure Meinung
Nun melde ich mich mal wieder
Jedoch könnte dies zu Problemen kommen, bei Putty kein Problem jedoch bei WinSCP, da meines Wissens kann man sich bei WinSCP nur mit einem Benutzer anmelden, so käme man nie an die Rootrechte oder sehe ich dass falsch?
Clamav wurde deinstalliert.rendegast hat geschrieben:30.05.2017 15:14:03Toll
Den kannst Du imo weglassen... und nebenbei Clamav Scan täglich.
viewtopic.php?f=8&t=163399&p=1133003#p1133003
und durch einen der dortigen 14/60 ersetzen.
"Plesk" oder "Parallels" ist hier jetzt gar nicht dabeiPlesk Premium Antivirus ist aktiviert.
https://virustotal.com/de/file/32d5e3e8 ... 496147361/
Benutzte engine?
Habe bei Root nun auf Keylogin umgestellt. PermitRootLogin ist noch aktiviert, da noch eine Frage offen ist. Habe bereits einen Ubuntu User erstellt mit Standardrechten, so wie ich dass sehe müssen die Rechte dann dementsprechend auf den neuen User geändert werden, da sonst kein Keylogin möglich. Sollte dann wie folgt aussehen: Anmelden an den User per Keylogin -> durch su dann per Passwort zu root.Lord_Carlos hat geschrieben:30.05.2017 16:57:30Einfach in der/etc/ssh/sshd_config folgendes einstellen:
PermitRootLogin no
Und schon kannst du nur noch mit einem Benutzter einloggen. Dann via su wechseln. Ich benutzte immer sudo, aber das ist egal.
Ja, putty geht mit key login.
Wenn alles rund lauft und du ein backup von deinem private key hast, dann kannst du password login in der sshd config ausstellen.
WinSCP - Damit hast du einen grafischen Klienten um einfach Daten auf den server rueberzuschieben. Da sollte man auch irgendwo den key benutzten koennen.
Wenn damit alles klappt FTP server permanent ausschalten oder deinstallieren.
____________
Edit:
Wenn du es noch sicherer machen willst, kannst du Zweifaktor Autorisierung benutzten.
https://www.digitalocean.com/community/ ... untu-16-04
Um dann in dein Server einzubrechen muesste man sowohl dein Rechner kapern (um die key file zu bekommen) und dein Handy.
Jedoch könnte dies zu Problemen kommen, bei Putty kein Problem jedoch bei WinSCP, da meines Wissens kann man sich bei WinSCP nur mit einem Benutzer anmelden, so käme man nie an die Rootrechte oder sehe ich dass falsch?
- Lord_Carlos
- Beiträge: 5578
- Registriert: 30.04.2006 17:58:52
- Lizenz eigener Beiträge: GNU Free Documentation License
- Wohnort: Dänemark
Re: Sicherheit Server eure Meinung
Uhh, weis ich nicht. Mag sein.
Brauchst du root rechte fuer WinSCP?
Brauchst du root rechte fuer WinSCP?
Code: Alles auswählen
╔═╗┬ ┬┌─┐┌┬┐┌─┐┌┬┐╔╦╗
╚═╗└┬┘└─┐ │ ├┤ │││ ║║
╚═╝ ┴ └─┘ ┴ └─┘┴ ┴═╩╝ rockt das Forum!
Re: Sicherheit Server eure Meinung
Mir geht es eigentlich nur um die Benutzeroberfläche bei WinSCP. Ansonsten muss man alles über die Konsole machen.Lord_Carlos hat geschrieben:12.07.2017 16:21:48Uhh, weis ich nicht. Mag sein.
Brauchst du root rechte fuer WinSCP?
Sprich sollte ich von FTP auf SFTP umstellen, ist die nur über die Konsole möglich. Da User keine Rootrechte hat und ich per su an root kommen muss.
Zugriff per SFTP geht ja nur über root oder sollte am besten so sein? Denn wenn ich einen User setze und diesen dann wieder die Rechte gebe, macht dies per su dann keinen Sinne mehr oder?
- Lord_Carlos
- Beiträge: 5578
- Registriert: 30.04.2006 17:58:52
- Lizenz eigener Beiträge: GNU Free Documentation License
- Wohnort: Dänemark
Re: Sicherheit Server eure Meinung
Daten fix mit WinSCP in der /home Verzeichnis des Benutzers hochladen, und von da via Putty in das richtig Verzeichnis verschieben.
Wenn du sehr oft Daten mit WinSCP bearbeiten musst, koennte es sich vielleicht auch lohnen den Benutzer Rechte zu geben um die Daten zu verarbeiten.
Wenn es darum geht php Daten hochzuladen, und zwar nur die sich geaendert haben, dann gibt es da vielleicht ganz andere Loesungen. Also z.B. ein Versionsverwaltung system wie git.
Dann musst du nur einloggen und via git pull die neuste Version holen. Wenn du ein Fehler bemerkst wechselst du wieder zu alten version.
Oder docker.
Kommt drauf an wie du womit Arbeitest php Daten via FTP auf einen Server mit root account hochladen? Als das aktuell war hat man auch noch mit der Deutschen Mark bezaehlt.
Wenn du sehr oft Daten mit WinSCP bearbeiten musst, koennte es sich vielleicht auch lohnen den Benutzer Rechte zu geben um die Daten zu verarbeiten.
Wenn es darum geht php Daten hochzuladen, und zwar nur die sich geaendert haben, dann gibt es da vielleicht ganz andere Loesungen. Also z.B. ein Versionsverwaltung system wie git.
Dann musst du nur einloggen und via git pull die neuste Version holen. Wenn du ein Fehler bemerkst wechselst du wieder zu alten version.
Oder docker.
Kommt drauf an wie du womit Arbeitest php Daten via FTP auf einen Server mit root account hochladen? Als das aktuell war hat man auch noch mit der Deutschen Mark bezaehlt.
Code: Alles auswählen
╔═╗┬ ┬┌─┐┌┬┐┌─┐┌┬┐╔╦╗
╚═╗└┬┘└─┐ │ ├┤ │││ ║║
╚═╝ ┴ └─┘ ┴ └─┘┴ ┴═╩╝ rockt das Forum!
Re: Sicherheit Server eure Meinung
Statt WinSCP kannst du auch FileZilla nehmen (SSH-Port 22 angeben). Löst aber nicht das eigentliche Berechtigungsproblem. Vielleicht kannst du die Daten per CIFS (Samba), WebDAV(s) oder per HTTPS (Web-Filemanager) austauschen. Warum ist denn FTP heute besser als SFTP zukünftig? Statt FTP ist doch heute jeder One-File-Filemanager wie https://github.com/jcampbell1/simple-file-manager besser, sofern man den Zugriff verschlüsselt (TLS/SSL) und sich eine eigene Benutzerverwaltung mit .htaccess baut. Ältere Versionen des Script hatten Sicherheitslücken. Berechtigte Personen können evtl. den Webserver übernehmen.