Sicherheit Server eure Meinung
Sicherheit Server eure Meinung
Guten Tag zusammen,
würde gerne mal eure Meinung hören was man beim Server Thema Sicherheit noch machen sollte.
Derzeit wurde folgendes umgesetzt:
SMTP:
SMTP Reverse DNS Mismatch = OK
SMTP Valid Hostname = OK
SMTP Banner Check = OK
SMTP TLS = OK
SMTP Connection Time = OK
SMTP Open Relay = OK
SMTP Transaction Time = OK
Wurde geprüft über: https://mxtoolbox.com
SPF (bezogen auf einzelne Domains):
DNS Record Published = OK
SPF Record Published = OK
SPF Record Deprecated = OK
SPF Syntax Check = OK
SPF Multiple Records = OK
SPF Included Lookups = OK
SPF Test Result = OK
Wurde geprüft über: https://mxtoolbox.com
Spamschutz auf Basis der DNS-Blackhole-Listen ist aktiviert.
Greylisting ist aktiviert Greyintervall 5 Minuten, Expire interval 51840 minutes.
Begrenzung der ausgehenden Nachrichten pro Stunde ist auf 20 limitiert.
Plesk Premium Antivirus ist aktiviert.
Alles wird SSL verschlüsselt (Websites, Plesk Oberfläche)
E-Mails werden über Port 587 gesendet.
Watchdog ist aktiviert.
Fail2Ban ist aktiviert, Zeitsperre 1 Stunde, Angriffserkennung ist aktiviert.
Benutzt wird ein VServer mit Software Plesk Onyx 17.5.3.
Maldet ist aktiviert und nebenbei Clamav Scan täglich.
Noch in der Umsetzung:
DKIM und DMARC.
Fraglich:
Erhöhung der Zeitsperre bei Fail2Ban auf 1 Tag.
E-Mail Benachrichtigung bei SSH Login.
E-Mail Benachrichtigung bei FTP Login.
E-Mail Benachrichtigung bei Plesk Login.
Lest Ihr euch überhaupt die Log Dateien wie z.B. Auth.log durch oder wie macht Ihr dass grundsätzlich (Filtern) etc.
Wie oft ändert Ihr euer Passwort bei SSH, FTP usw.
Würde mich über eure Antworten freuen.
würde gerne mal eure Meinung hören was man beim Server Thema Sicherheit noch machen sollte.
Derzeit wurde folgendes umgesetzt:
SMTP:
SMTP Reverse DNS Mismatch = OK
SMTP Valid Hostname = OK
SMTP Banner Check = OK
SMTP TLS = OK
SMTP Connection Time = OK
SMTP Open Relay = OK
SMTP Transaction Time = OK
Wurde geprüft über: https://mxtoolbox.com
SPF (bezogen auf einzelne Domains):
DNS Record Published = OK
SPF Record Published = OK
SPF Record Deprecated = OK
SPF Syntax Check = OK
SPF Multiple Records = OK
SPF Included Lookups = OK
SPF Test Result = OK
Wurde geprüft über: https://mxtoolbox.com
Spamschutz auf Basis der DNS-Blackhole-Listen ist aktiviert.
Greylisting ist aktiviert Greyintervall 5 Minuten, Expire interval 51840 minutes.
Begrenzung der ausgehenden Nachrichten pro Stunde ist auf 20 limitiert.
Plesk Premium Antivirus ist aktiviert.
Alles wird SSL verschlüsselt (Websites, Plesk Oberfläche)
E-Mails werden über Port 587 gesendet.
Watchdog ist aktiviert.
Fail2Ban ist aktiviert, Zeitsperre 1 Stunde, Angriffserkennung ist aktiviert.
Benutzt wird ein VServer mit Software Plesk Onyx 17.5.3.
Maldet ist aktiviert und nebenbei Clamav Scan täglich.
Noch in der Umsetzung:
DKIM und DMARC.
Fraglich:
Erhöhung der Zeitsperre bei Fail2Ban auf 1 Tag.
E-Mail Benachrichtigung bei SSH Login.
E-Mail Benachrichtigung bei FTP Login.
E-Mail Benachrichtigung bei Plesk Login.
Lest Ihr euch überhaupt die Log Dateien wie z.B. Auth.log durch oder wie macht Ihr dass grundsätzlich (Filtern) etc.
Wie oft ändert Ihr euer Passwort bei SSH, FTP usw.
Würde mich über eure Antworten freuen.
- Lord_Carlos
- Beiträge: 5578
- Registriert: 30.04.2006 17:58:52
- Lizenz eigener Beiträge: GNU Free Documentation License
- Wohnort: Dänemark
Re: Sicherheit Server eure Meinung
Ist es wichtig ein FTP server laufen zu haben? sftp keine moeglichkeit?
Ich nehme an password login, und root login hast du abgeschaltet @ ssh?
Ich nehme an password login, und root login hast du abgeschaltet @ ssh?
Code: Alles auswählen
╔═╗┬ ┬┌─┐┌┬┐┌─┐┌┬┐╔╦╗
╚═╗└┬┘└─┐ │ ├┤ │││ ║║
╚═╝ ┴ └─┘ ┴ └─┘┴ ┴═╩╝ rockt das Forum!
Re: Sicherheit Server eure Meinung
Ja, manchmal müssen Dateien über FTP geändert werden (PHP Dateien etc.)Lord_Carlos hat geschrieben:Ist es wichtig ein FTP server laufen zu haben? sftp keine moeglichkeit?
Ich nehme an password login, und root login hast du abgeschaltet @ ssh?
Die zweite Frage verstehe ich nicht ganz. SSH Login ist nicht deaktivert. Authentifizierung mit Benutzer und Passwort. Root Login ist möglich.
Re: Sicherheit Server eure Meinung
Toll
viewtopic.php?f=8&t=163399&p=1133003#p1133003
und durch einen der dortigen 14/60 ersetzen.
https://virustotal.com/de/file/32d5e3e8 ... 496147361/
Benutzte engine?
Den kannst Du imo weglassen... und nebenbei Clamav Scan täglich.
viewtopic.php?f=8&t=163399&p=1133003#p1133003
und durch einen der dortigen 14/60 ersetzen.
"Plesk" oder "Parallels" ist hier jetzt gar nicht dabeiPlesk Premium Antivirus ist aktiviert.
https://virustotal.com/de/file/32d5e3e8 ... 496147361/
Benutzte engine?
mfg rendegast
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")
Re: Sicherheit Server eure Meinung
Habs schon gelesen wollte dies nur noch Nachtragen, weil es derzeit der Stand ist. Werde ich entfernen.rendegast hat geschrieben:Toll
Den kannst Du imo weglassen... und nebenbei Clamav Scan täglich.
viewtopic.php?f=8&t=163399&p=1133003#p1133003
und durch einen der dortigen 14/60 ersetzen.
"Plesk" oder "Parallels" ist hier jetzt gar nicht dabeiPlesk Premium Antivirus ist aktiviert.
https://virustotal.com/de/file/32d5e3e8 ... 496147361/
Benutzte engine?
Siehe Link: http://www.odin.com/de/products/antivirus/ Ich meine es ist DrWeb. Es ist nur dieser installiert. Meines Wissens nur für Mails.
- Lord_Carlos
- Beiträge: 5578
- Registriert: 30.04.2006 17:58:52
- Lizenz eigener Beiträge: GNU Free Documentation License
- Wohnort: Dänemark
Re: Sicherheit Server eure Meinung
Kannst du die nicht via SFTP oder SSH aendern?hume hat geschrieben:Ja, manchmal müssen Dateien über FTP geändert werden (PHP Dateien etc.)Lord_Carlos hat geschrieben:Ist es wichtig ein FTP server laufen zu haben? sftp keine moeglichkeit?
Ich nehme an password login, und root login hast du abgeschaltet @ ssh?
Dann hast du einen Servies weniger der immer rent. Dazu ist FTP auch nicht gerade fuer seine Sicherheit bekannt.
Mhh, das ist nicht so toll. Eines der einfachsten dinge die viel Sicherheit bringen.hume hat geschrieben: Die zweite Frage verstehe ich nicht ganz. SSH Login ist nicht deaktivert. Authentifizierung mit Benutzer und Passwort. Root Login ist möglich.
Direkten root login ausschalten, schon kennen Angreifer den login benutztername nicht mehr.
password login wuerde ich mit key login austauschen.
https://www.digitalocean.com/community/ ... sh-keys--2
Code: Alles auswählen
╔═╗┬ ┬┌─┐┌┬┐┌─┐┌┬┐╔╦╗
╚═╗└┬┘└─┐ │ ├┤ │││ ║║
╚═╝ ┴ └─┘ ┴ └─┘┴ ┴═╩╝ rockt das Forum!
Re: Sicherheit Server eure Meinung
Du meinst FTP deaktivieren? Benutzer Root ist Standard oder?Lord_Carlos hat geschrieben:Kannst du die nicht via SFTP oder SSH aendern?hume hat geschrieben:Ja, manchmal müssen Dateien über FTP geändert werden (PHP Dateien etc.)Lord_Carlos hat geschrieben:Ist es wichtig ein FTP server laufen zu haben? sftp keine moeglichkeit?
Ich nehme an password login, und root login hast du abgeschaltet @ ssh?
Dann hast du einen Servies weniger der immer rent. Dazu ist FTP auch nicht gerade fuer seine Sicherheit bekannt.Mhh, das ist nicht so toll. Eines der einfachsten dinge die viel Sicherheit bringen.hume hat geschrieben: Die zweite Frage verstehe ich nicht ganz. SSH Login ist nicht deaktivert. Authentifizierung mit Benutzer und Passwort. Root Login ist möglich.
Direkten root login ausschalten, schon kennen Angreifer den login benutztername nicht mehr.
password login wuerde ich mit key login austauschen.
https://www.digitalocean.com/community/ ... sh-keys--2
Meins du nur den Benutzer zu ändern oder direkt die Rechte dass nicht mehr auf Root zugegriffen werden kann?
Was aber ist wenn ich wieder Rootrechte brauche ? Ist der Key Login überhaupt mit Putty und Windows möglich oder ist dies Betriebssystem unabhängig.
Derzeit greife ich über Windows (Putty) auf den Server zu.Bezüglich SFTP habe ich mich noch nicht auseinanderegesetzt. Naja man lern immer dazu
Re: Sicherheit Server eure Meinung
Service stoppen und wenn man ohne auskommnt deinstallieren.Du meinst FTP deaktivieren?
Naja oder erst mal weiter laufen lassen und einfach nicht verwenden
Du kannst per SSH ja den Zugriff nur für normale Benutzer zulassen. Zu root wird du ganz normal mit "su" und dem root-Passwort.
Für Backups macht es manchmal Sinn doch root per ssh, sftp oder "rsync über ssh" zuzulassen. Das kann man über Keys (authorized_keys) und den Befehl "command=" einschränken.
Key-Login geht auch mit Putty.
Die größte Sicherheitslücke ist wahrscheinlich dein Windows-Betriebssystem. Bei Malware helfen weder Passwörter, Keys noch Passphrases auf Keys.
Nicht ganz ernst gemeint:
Da wären vielleicht One-Time-Passwörter siehe otp noch etwas zur Absicherung. Leider weiß ich nicht wie und ob man das heute mit PAM für SSH verbindet. Ich verwende es nicht.
Denk bei OTP daran, dass du nicht Remote per Windows die Einmalpasswörter generierst. Wähle ein sicheres Betriebssystem bzw. logg dich direkt am Server an (ohne Netzwerk).
- Lord_Carlos
- Beiträge: 5578
- Registriert: 30.04.2006 17:58:52
- Lizenz eigener Beiträge: GNU Free Documentation License
- Wohnort: Dänemark
Re: Sicherheit Server eure Meinung
Einfach in der/etc/ssh/sshd_config folgendes einstellen:
PermitRootLogin no
Und schon kannst du nur noch mit einem Benutzter einloggen. Dann via su wechseln. Ich benutzte immer sudo, aber das ist egal.
Ja, putty geht mit key login.
Wenn alles rund lauft und du ein backup von deinem private key hast, dann kannst du password login in der sshd config ausstellen.
WinSCP - Damit hast du einen grafischen Klienten um einfach Daten auf den server rueberzuschieben. Da sollte man auch irgendwo den key benutzten koennen.
Wenn damit alles klappt FTP server permanent ausschalten oder deinstallieren.
____________
Edit:
Wenn du es noch sicherer machen willst, kannst du Zweifaktor Autorisierung benutzten.
https://www.digitalocean.com/community/ ... untu-16-04
Um dann in dein Server einzubrechen muesste man sowohl dein Rechner kapern (um die key file zu bekommen) und dein Handy.
PermitRootLogin no
Und schon kannst du nur noch mit einem Benutzter einloggen. Dann via su wechseln. Ich benutzte immer sudo, aber das ist egal.
Ja, putty geht mit key login.
Wenn alles rund lauft und du ein backup von deinem private key hast, dann kannst du password login in der sshd config ausstellen.
WinSCP - Damit hast du einen grafischen Klienten um einfach Daten auf den server rueberzuschieben. Da sollte man auch irgendwo den key benutzten koennen.
Wenn damit alles klappt FTP server permanent ausschalten oder deinstallieren.
____________
Edit:
Wenn du es noch sicherer machen willst, kannst du Zweifaktor Autorisierung benutzten.
https://www.digitalocean.com/community/ ... untu-16-04
Um dann in dein Server einzubrechen muesste man sowohl dein Rechner kapern (um die key file zu bekommen) und dein Handy.
Code: Alles auswählen
╔═╗┬ ┬┌─┐┌┬┐┌─┐┌┬┐╔╦╗
╚═╗└┬┘└─┐ │ ├┤ │││ ║║
╚═╝ ┴ └─┘ ┴ └─┘┴ ┴═╩╝ rockt das Forum!
Re: Sicherheit Server eure Meinung
Plesk runterwerfen. Schlangenölkonzentration reduzieren.würde gerne mal eure Meinung hören was man beim Server Thema Sicherheit noch machen sollte.
Re: Sicherheit Server eure Meinung
Was meinst du wegen Schlangenölkonzentration reduzieren?niemand hat geschrieben:Plesk runterwerfen. Schlangenölkonzentration reduzieren.würde gerne mal eure Meinung hören was man beim Server Thema Sicherheit noch machen sollte.
Auf was bezogen (Ressourcen usw)?
Re: Sicherheit Server eure Meinung
Den ganzen AV-Kram wegmachen. Schafft nur ’n trügerisches Gefühl von Sicherheit und eine größere Angriffsfläche. Ist halt meine Meinung, und nach Meinungen hattest du gefragt: die Angriffsfläche und Komplexität sollten so klein wie möglich gehalten werden, das mindert die Gefahr für versehentliche Fehlkonfiguration oder ausnutzbare Bugs, dafür hat man ’nen weit besseren Überblick über den tatsächlichen Zustand, weil nicht lauter Kram seine Messages ins Log malt.Was meinst du wegen Schlangenölkonzentration reduzieren?
-
- Beiträge: 3020
- Registriert: 03.11.2009 13:45:23
- Lizenz eigener Beiträge: Artistic Lizenz
-
Kontaktdaten:
Re: Sicherheit Server eure Meinung
Einmalpasswörter, das ist eine geniale Geschichte.
Stichwort: pam-googleauthenticator
Hab ich in Verwendung und klappt wunderbar. Auch in Verbindung mit einem Login mit ssh-Key
https://github.com/google/google-authen ... /README.md
Lg scientific
Stichwort: pam-googleauthenticator
Hab ich in Verwendung und klappt wunderbar. Auch in Verbindung mit einem Login mit ssh-Key
https://github.com/google/google-authen ... /README.md
Lg scientific
dann putze ich hier mal nur...
Eine Auswahl meiner Skripte und systemd-units.
https://github.com/xundeenergie
auch als Debian-Repo für Testing einbindbar:
deb http://debian.xundeenergie.at/xundeenergie testing main
Eine Auswahl meiner Skripte und systemd-units.
https://github.com/xundeenergie
auch als Debian-Repo für Testing einbindbar:
deb http://debian.xundeenergie.at/xundeenergie testing main
Re: Sicherheit Server eure Meinung
Sorry Doppelt bitte dass löschen
Zuletzt geändert von hume am 30.05.2017 20:29:12, insgesamt 1-mal geändert.
Re: Sicherheit Server eure Meinung
Sicher wollte ich deine Meinung hören. Ja, Plesk hat schon seine Tüken... Ob es die Sicherheit beeinträchtigt kann man pauschal nie sagen, da jedes System gewisse Bugs hat. Man nehme hierzu: https://de.m.wikipedia.org/wiki/Heartbleed . Bezüglich Komplexität muss ich dir zustimmen, wenn Plesk mal einen Fehler hat, kann man lange danach suchen. Davor hatte ich mit Server nix am Hut. Ich hatte Webhosting, jedoch durch Einschränkungen kam ich dann zu einem Server. Der Support sagte mir damals die Software ist super und du musst fast nichts mehr machen. Naja falsch gedacht, dann kamen so manche Probleme und ich musste mich mit SSH beschäftigen. Davor hatte ich nie mit Ubuntu gearbeitet geschweige den mit einem Server. Habe davor nie einen Server ohne Software aufgesetzt. Kann zwar Programmiersprachen dennoch ist es eine andere Welt. Müsste mich wirklich mal einlesen und den Server Manuell aufsetzen. Seit 5 Jahren keine Probleme mit Plesk, aber irgendwann hat alles einen Anfang. Werde jedoch nicht aufgebenniemand hat geschrieben:Den ganzen AV-Kram wegmachen. Schafft nur ’n trügerisches Gefühl von Sicherheit und eine größere Angriffsfläche. Ist halt meine Meinung, und nach Meinungen hattest du gefragt: die Angriffsfläche und Komplexität sollten so klein wie möglich gehalten werden, das mindert die Gefahr für versehentliche Fehlkonfiguration oder ausnutzbare Bugs, dafür hat man ’nen weit besseren Überblick über den tatsächlichen Zustand, weil nicht lauter Kram seine Messages ins Log malt.Was meinst du wegen Schlangenölkonzentration reduzieren?
Re: Sicherheit Server eure Meinung
Die imho größten Probleme mit Plesk sind: sobald du ’nen Fehler in einer Komponente deines Systems hast, in die Plesk sich einmischt und dran rumpfuscht, kann man hier nicht mehr gescheit helfen – im Gegenteil, mit den „normalen“ Lösungsvorschlägen, die sich auf ein sauberes System beziehen, mag der Schaden nur noch größer gemacht werden.
Abgesehen davon verkompliziert es den Updateprozess erheblich. Mir sind nicht wenige Kisten bekannt, die ein total veraltetes System fahren, weil die „Admins“ die Kiste ohne Plesk nicht bedienen können, der Provider kein aktuelles Image mit Plesk bereitstellt, und ein manuelles Update des Systems samt Plesk die „Admins” hoffnungslos überfordert. Entsprechend läuft dann da, wie gesagt, ein veraltetes System samt veraltetem Plesk – und das ist dann ziemlich fatal.
Abgesehen davon verkompliziert es den Updateprozess erheblich. Mir sind nicht wenige Kisten bekannt, die ein total veraltetes System fahren, weil die „Admins“ die Kiste ohne Plesk nicht bedienen können, der Provider kein aktuelles Image mit Plesk bereitstellt, und ein manuelles Update des Systems samt Plesk die „Admins” hoffnungslos überfordert. Entsprechend läuft dann da, wie gesagt, ein veraltetes System samt veraltetem Plesk – und das ist dann ziemlich fatal.
Re: Sicherheit Server eure Meinung
Das kann ich nachvollziehen. Veraltetes System habe ich Gott sei dank nicht. Bei mir läuft Ubuntu 14.04 LTS wird bis 2019 Supported. Plesk ist auch die aktuellste Version 17.5.3. Ab 2018 muss ich sowieso wieder wechseln wegen Kernel (Aussage von meinem Provider). Ich besitze keinen dedizierten server sondern einen VServer. Dann ist sowieso Ubuntu 16.04 fällig. Werde mir noch einen VServer zu Testzwecken mieten und dass System manuell aufsetzen. Zu Testzwecken ist es dann egalniemand hat geschrieben:Die imho größten Probleme mit Plesk sind: sobald du ’nen Fehler in einer Komponente deines Systems hast, in die Plesk sich einmischt und dran rumpfuscht, kann man hier nicht mehr gescheit helfen – im Gegenteil, mit den „normalen“ Lösungsvorschlägen, die sich auf ein sauberes System beziehen, mag der Schaden nur noch größer gemacht werden.
Abgesehen davon verkompliziert es den Updateprozess erheblich. Mir sind nicht wenige Kisten bekannt, die ein total veraltetes System fahren, weil die „Admins“ die Kiste ohne Plesk nicht bedienen können, der Provider kein aktuelles Image mit Plesk bereitstellt, und ein manuelles Update des Systems samt Plesk die „Admins” hoffnungslos überfordert. Entsprechend läuft dann da, wie gesagt, ein veraltetes System samt veraltetem Plesk – und das ist dann ziemlich fatal.
Re: Sicherheit Server eure Meinung
Zu Testzwecken bietet sich ’ne VM an, lokal.
Re: Sicherheit Server eure Meinung
Nun melde ich mich mal wieder
Jedoch könnte dies zu Problemen kommen, bei Putty kein Problem jedoch bei WinSCP, da meines Wissens kann man sich bei WinSCP nur mit einem Benutzer anmelden, so käme man nie an die Rootrechte oder sehe ich dass falsch?
Clamav wurde deinstalliert.rendegast hat geschrieben:30.05.2017 15:14:03Toll
Den kannst Du imo weglassen... und nebenbei Clamav Scan täglich.
viewtopic.php?f=8&t=163399&p=1133003#p1133003
und durch einen der dortigen 14/60 ersetzen.
"Plesk" oder "Parallels" ist hier jetzt gar nicht dabeiPlesk Premium Antivirus ist aktiviert.
https://virustotal.com/de/file/32d5e3e8 ... 496147361/
Benutzte engine?
Habe bei Root nun auf Keylogin umgestellt. PermitRootLogin ist noch aktiviert, da noch eine Frage offen ist. Habe bereits einen Ubuntu User erstellt mit Standardrechten, so wie ich dass sehe müssen die Rechte dann dementsprechend auf den neuen User geändert werden, da sonst kein Keylogin möglich. Sollte dann wie folgt aussehen: Anmelden an den User per Keylogin -> durch su dann per Passwort zu root.Lord_Carlos hat geschrieben:30.05.2017 16:57:30Einfach in der/etc/ssh/sshd_config folgendes einstellen:
PermitRootLogin no
Und schon kannst du nur noch mit einem Benutzter einloggen. Dann via su wechseln. Ich benutzte immer sudo, aber das ist egal.
Ja, putty geht mit key login.
Wenn alles rund lauft und du ein backup von deinem private key hast, dann kannst du password login in der sshd config ausstellen.
WinSCP - Damit hast du einen grafischen Klienten um einfach Daten auf den server rueberzuschieben. Da sollte man auch irgendwo den key benutzten koennen.
Wenn damit alles klappt FTP server permanent ausschalten oder deinstallieren.
____________
Edit:
Wenn du es noch sicherer machen willst, kannst du Zweifaktor Autorisierung benutzten.
https://www.digitalocean.com/community/ ... untu-16-04
Um dann in dein Server einzubrechen muesste man sowohl dein Rechner kapern (um die key file zu bekommen) und dein Handy.
Jedoch könnte dies zu Problemen kommen, bei Putty kein Problem jedoch bei WinSCP, da meines Wissens kann man sich bei WinSCP nur mit einem Benutzer anmelden, so käme man nie an die Rootrechte oder sehe ich dass falsch?
- Lord_Carlos
- Beiträge: 5578
- Registriert: 30.04.2006 17:58:52
- Lizenz eigener Beiträge: GNU Free Documentation License
- Wohnort: Dänemark
Re: Sicherheit Server eure Meinung
Uhh, weis ich nicht. Mag sein.
Brauchst du root rechte fuer WinSCP?
Brauchst du root rechte fuer WinSCP?
Code: Alles auswählen
╔═╗┬ ┬┌─┐┌┬┐┌─┐┌┬┐╔╦╗
╚═╗└┬┘└─┐ │ ├┤ │││ ║║
╚═╝ ┴ └─┘ ┴ └─┘┴ ┴═╩╝ rockt das Forum!
Re: Sicherheit Server eure Meinung
Mir geht es eigentlich nur um die Benutzeroberfläche bei WinSCP. Ansonsten muss man alles über die Konsole machen.Lord_Carlos hat geschrieben:12.07.2017 16:21:48Uhh, weis ich nicht. Mag sein.
Brauchst du root rechte fuer WinSCP?
Sprich sollte ich von FTP auf SFTP umstellen, ist die nur über die Konsole möglich. Da User keine Rootrechte hat und ich per su an root kommen muss.
Zugriff per SFTP geht ja nur über root oder sollte am besten so sein? Denn wenn ich einen User setze und diesen dann wieder die Rechte gebe, macht dies per su dann keinen Sinne mehr oder?
- Lord_Carlos
- Beiträge: 5578
- Registriert: 30.04.2006 17:58:52
- Lizenz eigener Beiträge: GNU Free Documentation License
- Wohnort: Dänemark
Re: Sicherheit Server eure Meinung
Daten fix mit WinSCP in der /home Verzeichnis des Benutzers hochladen, und von da via Putty in das richtig Verzeichnis verschieben.
Wenn du sehr oft Daten mit WinSCP bearbeiten musst, koennte es sich vielleicht auch lohnen den Benutzer Rechte zu geben um die Daten zu verarbeiten.
Wenn es darum geht php Daten hochzuladen, und zwar nur die sich geaendert haben, dann gibt es da vielleicht ganz andere Loesungen. Also z.B. ein Versionsverwaltung system wie git.
Dann musst du nur einloggen und via git pull die neuste Version holen. Wenn du ein Fehler bemerkst wechselst du wieder zu alten version.
Oder docker.
Kommt drauf an wie du womit Arbeitest php Daten via FTP auf einen Server mit root account hochladen? Als das aktuell war hat man auch noch mit der Deutschen Mark bezaehlt.
Wenn du sehr oft Daten mit WinSCP bearbeiten musst, koennte es sich vielleicht auch lohnen den Benutzer Rechte zu geben um die Daten zu verarbeiten.
Wenn es darum geht php Daten hochzuladen, und zwar nur die sich geaendert haben, dann gibt es da vielleicht ganz andere Loesungen. Also z.B. ein Versionsverwaltung system wie git.
Dann musst du nur einloggen und via git pull die neuste Version holen. Wenn du ein Fehler bemerkst wechselst du wieder zu alten version.
Oder docker.
Kommt drauf an wie du womit Arbeitest php Daten via FTP auf einen Server mit root account hochladen? Als das aktuell war hat man auch noch mit der Deutschen Mark bezaehlt.
Code: Alles auswählen
╔═╗┬ ┬┌─┐┌┬┐┌─┐┌┬┐╔╦╗
╚═╗└┬┘└─┐ │ ├┤ │││ ║║
╚═╝ ┴ └─┘ ┴ └─┘┴ ┴═╩╝ rockt das Forum!
Re: Sicherheit Server eure Meinung
Statt WinSCP kannst du auch FileZilla nehmen (SSH-Port 22 angeben). Löst aber nicht das eigentliche Berechtigungsproblem. Vielleicht kannst du die Daten per CIFS (Samba), WebDAV(s) oder per HTTPS (Web-Filemanager) austauschen. Warum ist denn FTP heute besser als SFTP zukünftig? Statt FTP ist doch heute jeder One-File-Filemanager wie https://github.com/jcampbell1/simple-file-manager besser, sofern man den Zugriff verschlüsselt (TLS/SSL) und sich eine eigene Benutzerverwaltung mit .htaccess baut. Ältere Versionen des Script hatten Sicherheitslücken. Berechtigte Personen können evtl. den Webserver übernehmen.