Serversicherheit

Dieses Thema im Forum "Technischer Support" wurde erstellt von AnonymusChaotic, 25. März 2014.

  1. AnonymusChaotic
    Offline

    AnonymusChaotic

    Registriert seit:
    22. November 2013
    Beiträge:
    762
    Ort:
    Wien, Österreich
    Minecraft:
    AnonymusChaotic
    Hallo,
    aufgrund der seit einigen Monaten kommenden "Hackerwellen", vielen Griefern und einigen doch nicht ganz so harmlosen Leuten möchte ich hier mal einen Thread bezüglich Serversicherheit eröffnen, in dem ich ganz konkrete Tipps zur Absicherung auflisten möchte. Sollte ich etwas vergessen haben bzw. irgendjemand etwas hinzufügen wollen bitte ich darum dies hier zu ergänzen. Die Informationen die ich hier schreibe/sammle möchte ich übrigens auch für mein neues Serverwiki verwenden. Wer nicht einverstanden ist soll das bitte im Kommentar vermerken :), ich verwende aber soundso nur die Denkanstöße, den Text werde ich nicht wörtlich übernehmen.
    Warum nicht unter Tutorials gepostet? Das hier soll kein fertiges Tutorial sein, sondern eher eine Wissenssammlung. Wenn ein Mod, ... nicht mit der Platzierung zufrieden ist kann er den Thread gerne verschieben :)
    Und es passt unter Fragen, da auch ich nicht genau weiß wie man das alles macht und ich Euch hiermit frage.

    Achtung, hier geht es nur um Gameserver!!!​


    Also:

    1. Immer Premium-Server/onlinemode=true!
    Wer sich einbildet, einen cracked-Server betreiben zu müssen sollte sich einen Passwortschutz wie AuthMe zulegen (Plugin)
    Starke (=lange, einfallsreiche) Passwörter sind Vorraussetztung!

    2. Sollte Theoretisch klar sein, ist es aber leider nicht immer:
    NIEMANDEM OP GEBEN !!!
    Außer auf Vanillaservern kann man überall ein Permissionsplugin installieren, mit dem dann die Rechte jedes einzelnen Users definiert
    werden können. Ist zwar Anfangs anstrengender, lohnt sich aber spätestens, wenn man einmal nicht gegrieft wurde.
    Auch Architekten usw. stellen ein erhöhtes Sicherheitsrisiko dar, wenn diese OP haben.
    Auch bei Permissionsplugins zu beachten:
    Admins/Owner nicht alle Rechte haben (* oder so), sondern jedes Recht einzeln definiert bekommen.
    Wie ist das mit der Listung der Gruppen? Hat nicht immer die höchste gruppe automatisch alle Rechte?
    Admins sollten auch nicht OP sein, sonst kann bei "echtem" Hacking leicht eine Katastrophe entstehen.
    Hier ein paar weitere Infos: http://minecraft-server.eu/board/showthread.php?1819-Hacker-sind-unterwegs
    Des weiteren ist bei der Konfiguration zu beachten, dass auch Admins Keine Allegemeinberechtigung bekommen sollten.
    Commans wie /mv delete, /pex user group set, ... müssen nicht im Spiel ausführbar sein, wozu hat man schließlich die Konsole?
    3. Sicherung des Konsolenzugriffs durch gute Passwörter (sollte klar sein)
    4. Absicherung der Webseite
    Die Webseite muss sowohl Rechtlich (Impressumspflicht, Datenschutzerklärung, Disclaimer, ...) abgesichert werden als auch gegen
    Hackerangriffe. Vor allem bei CMS-Systemen wie Joomla sollte man sich auf die Suche nach Sicherheitsvorkehrungen machen.
    Des weiteren wird ein Schutz des Forums gegen Angriffe empfohlen.
    5. Baaaaaaackups
    Hierzu habe ich auch noch keine vernünftige, günstig durchsetzbare Lösung (außer händischen Backups) gefunden.
    Vl will jemand darüber schreiben?
    Grundsätzlich gilt (je nach Servergröße verschieden):
    Pluginsicherung, ... alle 24 Stunden
    Welten alle 60 Minuten
    6. Schutz durch Anticheat-Plugins, x-Ray Protection
    - vor Nodus-Kiddies
    - Fly-Mods
    - X-Ray Mods
    7. Schutz der Maps vor Kopieren
    Mit verändeten Minecraft-Launchern kann man die Map, die sich automatisch auf den Client downloadet, langfristig speichern.
    Dies kann dann auf anderen Servern verwendet werden ;(
    Dagegen kannst Du nur mit Urheberrechtsklagen usw. vorgehen.
    Leider finde ich den Thread dazu nichtmehr, vl kann ihn mir wieder mal jemand schicken/unten Posten?
    Schutz: Gar Nicht, das steht im Thread, den ich einbinde sobald ich die IP wieder habe :)

    So, das sollte es schon gewesen sein, wer noch was zu ergänzen hat bitte einfach in den Komments schreiben :)
    Vl verfasse ich das nach erfolger Wissenssammlung dann neu in den Tutorials, schön ausgeschrieben ;)
     
    #1
    1 Person gefällt das.
  2. Für das Urheberrecht benötigst du eine Schöpfungshöhe. Ich bin kein Anwalt und das hier ist keine Rechtsberatung, aber ich glaube kaum, dass eine Minecraft Welt diese hat. (Davon mal abgesehen, dass diese auch einfach nachgebaut werden kann, ohne Modifikation.
     
    #2
  3. Mario52
    Offline

    Mario52

    Registriert seit:
    19. August 2013
    Beiträge:
    511
    Minecraft:
    Mario_52
    Doof ist dann auch, wenn der Griefer oder "Hacker" schlauer ist als der Owner und sich volle Permissions gibts ... Kommt auch vor.
     
    #3
  4. AnonymusChaotic
    Offline

    AnonymusChaotic

    Registriert seit:
    22. November 2013
    Beiträge:
    762
    Ort:
    Wien, Österreich
    Minecraft:
    AnonymusChaotic
    Ich bin zwar in Österreich, aber da die meisten hier vermutlich aus Deutschland sind mal auf das deutsche Urheberrecht bezogen:

    Demnach denke ich schon, dass eine Minecraft-Map, die in vielen Stunden Arbeit erbaut, mit eigenen Bauwerken ausgestattet und durch ein Serverkonzept geplant wurde, unter diese Bestimmung fällt. Natürlich, nachgebaute Bauwerke bzw. solche, die als .schematic - file heruntergeladen und platziert wurden (Igitt) fallen da raus. Die haben dann aber vermutlich soundso auch 1000 andere Kiddie-Server rumstehen :)

    Wie ein Gericht darüber entscheiden würde weiß ich nicht.
    Achtung, hier handelt es sich nicht um eine Rechtsberatung, was eigentlich klar sein sollte :)
     
    #4
  5. neo2012
    Offline

    neo2012 Gesperrt

    Registriert seit:
    17. August 2011
    Beiträge:
    379
    Ort:
    An einem Ort weit weg von diesem Dreck
    Minecraft:
    bubbleblubbla
    Möp

    Ich will hier ja niemandem zu nahe treten, aber diese Maßnahmen sind zu kurz formuliert und zum Teil auch falsch.

    Warum? Cracked Server mit einem Authentifizierungssystem sind im prinzip sicherer als Premium-Server ohne Authentifizierungssystem, da auf dem Server eine erneute Verifizierung durchgeführt wird, welche beispielsweise den Diebstahl der Session nutzlos macht.

    Wenn überhaupt sollte der Eigentümer der Einzige mit Operator sein. Administratoren sollten keine Rechte für das Permission-System, sowie für alles Andere haben, das sie nicht sollen bzw. brauchen. Im Falle eines echten "Hackers" ist sowieso alles hin. In diesem Fall bringt dir nur ein lokales, sich auf einer verschlüsselten Festplatte ohne Onlinezugang befindlichen Backup etwas ;). Alle Teamränge mit WorldEdit-Rechten haben das potential, alles zu zerstören, OP hin oder her (mv delete löscht im übrigen nicht die Daten der Welt, sondern entfernt sie lediglich aus der config) Am wichtigsten wäre also trotz Permission-System nur vertraulichen Leuten Rechte zu geben.

    Nicht nur der "Konsolenzugriff" sondern schlichthin alles sollte mit einem vernüpftigen Passwort geschützt sein
    (E-mail, Mojang-Acc, Server-Acc, HosterInterface & Acc, sonstiges)
    Möglichst für alles ein anderes Passwort!
    Das sind beschissene Passwörter:
    ichbaueblock
    ichbaublockmit3und4
    dick3tit3nmitkartoff3lsalat
    namevonunseremhundmitdickentitenund1998alsgeburtsdatum
    Das ist das letzte:
    1234
    hallo123
    123456789
    So sollte es aussehen: (kein Witz)
    e2f35*7b-5(83834S|9D
    1<&.N[J^@8P61yO5&36^7M-X-7cJ%A(H$4-_XE_csY 6%Y)c-6
    KqpIp$Nz!Wz]}Q[Hc$ZoTW]/c+E}oYZ7=NKF('uO&6No:[5h<J
    Nach Möglichkeit sollte das PW trotzdem alle 12-16Wochen gewechselt werden!

    Hat nichts mehr mit mit einem Gameserver zu tun....

    Ja! Ne?
    Backups sollten eigentlich so oft wie möglich und so oft wie nötig gemacht werden. Ich weiß auch nicht auf welchem Kaffee-Trip du dich gerade befindest, aber wenn du alle 60min ein Backup von der Map machen willst -----> Respekt!
    Normaler weise reicht es ein wöchentliches Backup zu ziehen, dabei ist es von Vorteil den Server vorher herunterzufahren!

    NoCheatPlus, OrebFuscator und ggF. Authme bei cracked Servern ist unumgängich

    Absolut irrelevant, jeder der nichts vernüpftig Ausarbeiten kann, ist sowieso nicht in der Lage einen Server zu leiten.
    Nein es gibt keinen Schutz, der dafür benötigte Mod macht nichts weiter, als die ihm gesendeten Chunks lokal abzuspeichern anstatt sie nur kurz im Arbeitsspeicher abzulegen. Man müsste ihm die Map vorenthalten und das wird zu keinem großen Spielerlebniss führen.
     
    #5
    1 Person gefällt das.
  6. AnonymusChaotic
    Offline

    AnonymusChaotic

    Registriert seit:
    22. November 2013
    Beiträge:
    762
    Ort:
    Wien, Österreich
    Minecraft:
    AnonymusChaotic
    Hi, danke für die weiteren Hinweise.
    Ich aktualisiere den Thread dann sobald als möglich um eine möglichst korrekte Version anbieten zu können.
    Bei der angabe zur Serversicherung habe ich mich nur an das gahalten, was hier im Forum steht:

    Ich persönlich kenne mich, ehrlich gesagt sicherheitstechnisch 0 aus, außer dem, was ich hier und sonstwo im Internet gelesen habe. Daher ist es auch noch lücken/fehlerhaft, was ich zu entschuldigen ersuche. Jetzt bin ich wieder ein bisschen klüger ;)
    Danke, lg. Harald / AnonymusChaotic
     
    #6