Linux Root - Literatur

Dieses Thema im Forum "Technischer Support" wurde erstellt von ChristianG, 27. Juli 2012.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. ChristianG
    Online

    ChristianG

    Hallo,

    ich werde demnächst die technische Leitung für einen Linux-Root-Server übernehmen und ich wollte fragen, ob jemand noch gute Wege weiß, sich darauf vorzubereiten.
    Was ich schon gemacht habe:

    Folgende Bücher durchgearbeitet:
    http://www.amazon.de/gp/aw/d/3826655346/ref=mp_s_a_1?qid=1343409748&sr=8-1
    http://www.amazon.de/gp/aw/d/3937514406/ref=mp_s_a_3?qid=1343409748&sr=8-3
    http://www.amazon.de/gp/aw/d/1430210591/ref=mp_s_a_5?qid=1343409748&sr=8-5

    Desweiteren habe ich auf eine alte Windows-Kiste Debian (das wird das System auf dem Root sein) installiert und im LAN eingehängt.
    Damit habe ich jetzt den Minecraft-Server etc. drauf installiert und auch TS3. Auch für Sicherheit habe ich gesorgt.

    Dabei bin ich öfters auf Probleme gestoßen, die ich nur mit dem Internet bzw. einem der Bücher lösen konnte...
    Meine Frage: Kennt jmd. noch gute Bücher oder andere Wege sich in diese Materie weiter einzuarbeiten?
     
    #1
  2. Benni1000
    Offline

    Benni1000 Ehem. Teammitglied

    Registriert seit:
    4. Mai 2012
    Beiträge:
    1.408
    Du kannst unmöglich jede sitaution mit büchern abdecken, das einzige was du noch tuen kannst ist, das du praxiserfahrung sammelst.
    Setz ein paar Server mit verschiedenen Services auf, und was auch beim grundverständnis helfen kann, ist wenn du Linux auf deinem Pc betreibst.
    Und damit meine ich nicht Ubuntu, sondern ein Archlinux , das du von grund auf auf deine bedürfnisse anpasst.
     
    #2
  3. Let's Mine
    Offline

    Let's Mine Ehem. Teammitglied

    Registriert seit:
    1. Dezember 2011
    Beiträge:
    421
    Ort:
    Let's Mine
    Minecraft:
    LetsMine
    Lass über Lan Dos drauf laufen und wehre dich.
     
    #3
  4. schneidertm
    Offline

    schneidertm

    Registriert seit:
    10. Juli 2011
    Beiträge:
    96
    Ort:
    Baden-Württemberg, Deutschland
    Minecraft:
    Schneidertm
    #4
  5. ChristianG
    Online

    ChristianG

    Ja ich habe schon ein Brut-Force auf den SSH-Port laufen lassen, das mit dem DOS mach ich mal... Danke!

    Ich habe schon Mc und TS3 drauf laufen lassen...
    Außerdem auch schon PHPMyAdmin, FTP und Webspace installiert...

    EDIT: Ich habe zwar LINUX bei mir mit Parrallels installiert, aber ich nutze auch die Console von Mac OS X, die ist ja auch auf UNIX basiert...
     
    #5
  6. Let's Mine
    Offline

    Let's Mine Ehem. Teammitglied

    Registriert seit:
    1. Dezember 2011
    Beiträge:
    421
    Ort:
    Let's Mine
    Minecraft:
    LetsMine
    @chrisliebaer

    Wenn du meine Aussage so angreifst, hast du sie offensichtlich nicht verstanden ;)
     
    #6
  7. ChristianG
    Online

    ChristianG

    @Chrisliebaer

    Wenn du meinen ersten Beitrag gelesen hättest, dann wüsstest du, dass ich bei mir schon Linux-Kiste mit DEBIAN ins LAN gehängt habe und damit auch regelmäßig arbeite...

    Zu den SSH-Session... Ich glaube fast jeder hatte schon mal 2 Sessions offen und dies als man den root-Zugriff via SSH gesperrt hat. Man lässt die "root-Session" noch offen, bis man sich mit einem anderen User erfolgreich eingeloggt hat und auch mit "su root" sich wieder root-Rechtr verschafft hat. Erst dann beendet man die 1. Session.... Man möchte sich ja nicht aussperren...

    Zu den Brut-Force Geschichten: Ich habe die erstmal auf den root gejagt ohne irgendwelche Konfigurationen und wollte nur mal erfahren, wie schnell und einfach das geht.. Bei einem 10 Zeichen langen Passwort mit Groß- und Kleinbuchstaben, Sonderzeichen und Zahlen hat es gerade mal 1,5h gedauert...
    Dann habe ich Fail2Ban drauf installiert und dann ging erwartungsgemäß garnichts mehr...
    Trotzdem habe ich noch den SSH-Port umgelegt... Ich weiß das ist Sicherheit durch Verschleierung, aber es hilft schon gegen so manche Screener.
    Dann habe ich noch den Root-Zugriff via SSH untersagt...


    Zu den Benutzern:

    Ich habe den folgende Benutzer angelegt:

    root (SSH-Direkter-Login=verboten) [adminstrative Dinge]
    login (SSH-D-L=erlaubt) [keine Rechte außer "su xy"]
    minecraft (SSHDL=verboten) [hier läuft der screen mit bukkit]
    tspeak (SSHDL=verboten) [hier läuft der screen mit dem ts3]


    Zu der DDOS Geschichte: ich habe das jetzt von Let'sMine aufgegriffen und habs einfach mal so auf eine "To-Do"-Liste gesetzt...

    "aber du fragst hier grad, wie du das lernen kannst, das andere über mehrere Wochenenden von Recherchen, Ausprobieren und Testinstallationen sich angeeignet haben"


    Ja ich frage das hier, weil es sicher auch andere Leute gelernt haben. Ich bin sicher nicht der einzige, der dies lernen möchte. Danke für deinen Text darüber, das ist doch schon mal ein Ansatz...


    Desweiteren geht es mir nicht darum jede Funktion des Rootes zu beherrschen oder zu verstehen. Ich möchte nur einen Mc und Ts3 Server SICHER und stabil drauf laufen lassen... Mir ist es momentan nicht sooo wichtig wie DNS oder DCHP o. ä. im Detail funktionieren. Ich weiß, dass es das gibt und gut.
     
    #7
  8. Cabraca
    Online

    Cabraca

    Zum Thema Linux:
    http://openbook.galileocomputing.de/unix_guru/
    Da wird so ziemlich alles angesprochen.
    http://serversupportforum.de/forum/faqs-anleitungen/
    Da hats zu so ziemlich jedem standardfall gute anleitungen, auch zur sicherheit.


    Zur Sicherheit:
    Da hilft es meist etwas paranoid zu werden. Geh einfach davon aus, dass jeder benutzer, der nicht du bist, böse ist.
    Jedes Programm (ts, minecraft) unter nem eigenen Benutzer.
    Rootlogin verbieten, SSH auf nen anderen Port legen (weniger grundrauschen), fail2ban und der rest ist eigentlich nur ÜBEN ÜBEN ÜBEN und die logs checken.
    Im normalfall hast du mehrere Verteidigungslinien. Überleg dir einfach was passiert wenn jemand eine deiner Sicherheitsmaßnahmen überlistet und wie du am besten verhindern kannst, dass er dann mist anstellt.

    Zu DDoS:
    Wenn bei deinem Rootserver ne DDoS eingeht kannst du rein garnichts machen.
    Dein Root hat 100Mbit/s. Wenn da ne 2 Gbit/s DDoS ankommt dann ist die Leitung dicht.
    In so nem Fall würd ich mich mit dem Provider in verbindung setzen. Die ham da meist bessere möglichkeiten.

    Zu Brute-Force:
    Brute-Force auf den SSH-Port ist standard und normales Grundrauschen. Im Normalfall sperrt man den Root-Login,
    legt ssh auf nen anderen port und stellt fail2ban RICHTIG ein.
    Damit hast du das grundrauschen schonmal gemindert und bist auch etwas sicherer wenn jemand den ssh port findet.

    Zum Lernen:
    virtualbox.org
    debian.org
    Da legst du dir ne virtuelle maschine an und lernst darauf.
    Dann kannst du nach nem Jahr vll mal nen kleinen VServer betreiben.
    Weitere Infos: [INFO] Der eigene Server
    MFG Cabraca
     
    #8
  9. ChristianG
    Online

    ChristianG

    @Cabraca

    Danke für die Links!

    Dennoch: Alles was du da beschrieben hast HABE ICH SCHON GEMACHT!
    Warum soll ich mir ne virtuelle Maschine erstellen, wenn ich eine physische habe...?
    (Ich habe auch schon eine VM zu erst erstellt gehabt...)
    Bitte erstmal alles lesen... Das erspart allen hier, alles 2x zu lesen.
     
    #9
  10. ChristianG
    Online

    ChristianG

    Ok, danke!
     
    #10
  11. r3iku
    Offline

    r3iku

    Registriert seit:
    25. Juli 2012
    Beiträge:
    15
    Über Reserve socks sollte sowas doch zulösen sein
    dan schießt der DDoS doch ins leere oder irre ich mich da...
     
    #11
  12. ChristianG
    Online

    ChristianG

    Ich hab mich mit dem ganzen DoS-Kram noch ein bisschen beschäftigt und bin auf folgendes gestoßen:
    Man kann sich gegen DoS-Attacken Level7 aka "Slow-Loris" mit dem Paket "libapache2-mod-antiloris" wehren...
    Man kann also doch etwas machen...
     
    #12
  13. Benni1000
    Offline

    Benni1000 Ehem. Teammitglied

    Registriert seit:
    4. Mai 2012
    Beiträge:
    1.408
    Nein kann man nicht, dieser mod schützt nur vor slow lorris.
    Ich kann noch immer einen slowhttp angriff auf deine post variablen fahren.
     
    #13
  14. ChristianG
    Online

    ChristianG

    Ja, aber gegen bestimmte Attacken kann man sich also "schützen"...
     
    #14
  15. r3iku
    Offline

    r3iku

    Registriert seit:
    25. Juli 2012
    Beiträge:
    15
    :D kauf dir in Russland oder in der Ukraine nen root mit ddos protaction zahlst dann so deine ca 100 - 300 €
     
    #15
Status des Themas:
Es sind keine weiteren Antworten möglich.