Sicherheit Server eure Meinung

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
DeletedUserReAsG

Re: Sicherheit Server eure Meinung

Beitrag von DeletedUserReAsG » 30.05.2017 20:39:24

Die imho größten Probleme mit Plesk sind: sobald du ’nen Fehler in einer Komponente deines Systems hast, in die Plesk sich einmischt und dran rumpfuscht, kann man hier nicht mehr gescheit helfen – im Gegenteil, mit den „normalen“ Lösungsvorschlägen, die sich auf ein sauberes System beziehen, mag der Schaden nur noch größer gemacht werden.

Abgesehen davon verkompliziert es den Updateprozess erheblich. Mir sind nicht wenige Kisten bekannt, die ein total veraltetes System fahren, weil die „Admins“ die Kiste ohne Plesk nicht bedienen können, der Provider kein aktuelles Image mit Plesk bereitstellt, und ein manuelles Update des Systems samt Plesk die „Admins” hoffnungslos überfordert. Entsprechend läuft dann da, wie gesagt, ein veraltetes System samt veraltetem Plesk – und das ist dann ziemlich fatal.

hume
Beiträge: 44
Registriert: 21.12.2016 14:29:14

Re: Sicherheit Server eure Meinung

Beitrag von hume » 30.05.2017 21:08:27

niemand hat geschrieben:Die imho größten Probleme mit Plesk sind: sobald du ’nen Fehler in einer Komponente deines Systems hast, in die Plesk sich einmischt und dran rumpfuscht, kann man hier nicht mehr gescheit helfen – im Gegenteil, mit den „normalen“ Lösungsvorschlägen, die sich auf ein sauberes System beziehen, mag der Schaden nur noch größer gemacht werden.

Abgesehen davon verkompliziert es den Updateprozess erheblich. Mir sind nicht wenige Kisten bekannt, die ein total veraltetes System fahren, weil die „Admins“ die Kiste ohne Plesk nicht bedienen können, der Provider kein aktuelles Image mit Plesk bereitstellt, und ein manuelles Update des Systems samt Plesk die „Admins” hoffnungslos überfordert. Entsprechend läuft dann da, wie gesagt, ein veraltetes System samt veraltetem Plesk – und das ist dann ziemlich fatal.
Das kann ich nachvollziehen. Veraltetes System habe ich Gott sei dank nicht. Bei mir läuft Ubuntu 14.04 LTS wird bis 2019 Supported. Plesk ist auch die aktuellste Version 17.5.3. Ab 2018 muss ich sowieso wieder wechseln wegen Kernel (Aussage von meinem Provider). Ich besitze keinen dedizierten server sondern einen VServer. Dann ist sowieso Ubuntu 16.04 fällig. Werde mir noch einen VServer zu Testzwecken mieten und dass System manuell aufsetzen. Zu Testzwecken ist es dann egal :D

DeletedUserReAsG

Re: Sicherheit Server eure Meinung

Beitrag von DeletedUserReAsG » 30.05.2017 21:52:19

Zu Testzwecken bietet sich ’ne VM an, lokal.

hume
Beiträge: 44
Registriert: 21.12.2016 14:29:14

Re: Sicherheit Server eure Meinung

Beitrag von hume » 12.07.2017 15:34:05

Nun melde ich mich mal wieder
rendegast hat geschrieben: ↑ zum Beitrag ↑
30.05.2017 15:14:03
Toll

... und nebenbei Clamav Scan täglich.
Den kannst Du imo weglassen
viewtopic.php?f=8&t=163399&p=1133003#p1133003
und durch einen der dortigen 14/60 ersetzen.
Plesk Premium Antivirus ist aktiviert.
"Plesk" oder "Parallels" ist hier jetzt gar nicht dabei
https://virustotal.com/de/file/32d5e3e8 ... 496147361/
Benutzte engine?
Clamav wurde deinstalliert.
Lord_Carlos hat geschrieben: ↑ zum Beitrag ↑
30.05.2017 16:57:30
Einfach in der/etc/ssh/sshd_config folgendes einstellen:
PermitRootLogin no

Und schon kannst du nur noch mit einem Benutzter einloggen. Dann via su wechseln. Ich benutzte immer sudo, aber das ist egal.

Ja, putty geht mit key login.
Wenn alles rund lauft und du ein backup von deinem private key hast, dann kannst du password login in der sshd config ausstellen.

WinSCP - Damit hast du einen grafischen Klienten um einfach Daten auf den server rueberzuschieben. Da sollte man auch irgendwo den key benutzten koennen.
Wenn damit alles klappt FTP server permanent ausschalten oder deinstallieren.

____________

Edit:
Wenn du es noch sicherer machen willst, kannst du Zweifaktor Autorisierung benutzten.
https://www.digitalocean.com/community/ ... untu-16-04
Um dann in dein Server einzubrechen muesste man sowohl dein Rechner kapern (um die key file zu bekommen) und dein Handy.
Habe bei Root nun auf Keylogin umgestellt. PermitRootLogin ist noch aktiviert, da noch eine Frage offen ist. Habe bereits einen Ubuntu User erstellt mit Standardrechten, so wie ich dass sehe müssen die Rechte dann dementsprechend auf den neuen User geändert werden, da sonst kein Keylogin möglich. Sollte dann wie folgt aussehen: Anmelden an den User per Keylogin -> durch su dann per Passwort zu root.
Jedoch könnte dies zu Problemen kommen, bei Putty kein Problem jedoch bei WinSCP, da meines Wissens kann man sich bei WinSCP nur mit einem Benutzer anmelden, so käme man nie an die Rootrechte oder sehe ich dass falsch?

Benutzeravatar
Lord_Carlos
Beiträge: 5578
Registriert: 30.04.2006 17:58:52
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Dänemark

Re: Sicherheit Server eure Meinung

Beitrag von Lord_Carlos » 12.07.2017 16:21:48

Uhh, weis ich nicht. Mag sein.
Brauchst du root rechte fuer WinSCP?

Code: Alles auswählen

╔═╗┬ ┬┌─┐┌┬┐┌─┐┌┬┐╔╦╗
╚═╗└┬┘└─┐ │ ├┤ │││ ║║
╚═╝ ┴ └─┘ ┴ └─┘┴ ┴═╩╝ rockt das Forum!

hume
Beiträge: 44
Registriert: 21.12.2016 14:29:14

Re: Sicherheit Server eure Meinung

Beitrag von hume » 12.07.2017 17:06:43

Lord_Carlos hat geschrieben: ↑ zum Beitrag ↑
12.07.2017 16:21:48
Uhh, weis ich nicht. Mag sein.
Brauchst du root rechte fuer WinSCP?
Mir geht es eigentlich nur um die Benutzeroberfläche bei WinSCP. Ansonsten muss man alles über die Konsole machen.
Sprich sollte ich von FTP auf SFTP umstellen, ist die nur über die Konsole möglich. Da User keine Rootrechte hat und ich per su an root kommen muss.
Zugriff per SFTP geht ja nur über root oder sollte am besten so sein? Denn wenn ich einen User setze und diesen dann wieder die Rechte gebe, macht dies per su dann keinen Sinne mehr oder?

Benutzeravatar
Lord_Carlos
Beiträge: 5578
Registriert: 30.04.2006 17:58:52
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Dänemark

Re: Sicherheit Server eure Meinung

Beitrag von Lord_Carlos » 12.07.2017 18:51:15

Daten fix mit WinSCP in der /home Verzeichnis des Benutzers hochladen, und von da via Putty in das richtig Verzeichnis verschieben.
Wenn du sehr oft Daten mit WinSCP bearbeiten musst, koennte es sich vielleicht auch lohnen den Benutzer Rechte zu geben um die Daten zu verarbeiten.

Wenn es darum geht php Daten hochzuladen, und zwar nur die sich geaendert haben, dann gibt es da vielleicht ganz andere Loesungen. Also z.B. ein Versionsverwaltung system wie git.
Dann musst du nur einloggen und via git pull die neuste Version holen. Wenn du ein Fehler bemerkst wechselst du wieder zu alten version.

Oder docker.

Kommt drauf an wie du womit Arbeitest :) php Daten via FTP auf einen Server mit root account hochladen? Als das aktuell war hat man auch noch mit der Deutschen Mark bezaehlt.

Code: Alles auswählen

╔═╗┬ ┬┌─┐┌┬┐┌─┐┌┬┐╔╦╗
╚═╗└┬┘└─┐ │ ├┤ │││ ║║
╚═╝ ┴ └─┘ ┴ └─┘┴ ┴═╩╝ rockt das Forum!

uname
Beiträge: 12046
Registriert: 03.06.2008 09:33:02

Re: Sicherheit Server eure Meinung

Beitrag von uname » 13.07.2017 11:03:25

Statt WinSCP kannst du auch FileZilla nehmen (SSH-Port 22 angeben). Löst aber nicht das eigentliche Berechtigungsproblem. Vielleicht kannst du die Daten per CIFS (Samba), WebDAV(s) oder per HTTPS (Web-Filemanager) austauschen. Warum ist denn FTP heute besser als SFTP zukünftig? Statt FTP ist doch heute jeder One-File-Filemanager wie https://github.com/jcampbell1/simple-file-manager besser, sofern man den Zugriff verschlüsselt (TLS/SSL) und sich eine eigene Benutzerverwaltung mit .htaccess baut. Ältere Versionen des Script hatten Sicherheitslücken. Berechtigte Personen können evtl. den Webserver übernehmen.

Antworten