Rootserver: Ja / Nein ?

Wenn ich auch mal meinen Senf dazugeben darf(Und nein das ist kein pushing, schließlich ist der Thread schon sticky ;P )

Ich hatte mir vor einem Jahr überlegt einen kleinen Rootserver zu mieten, und wurde direkt von tausend Menschen bombardiert, dass ich das bloß nicht machen solle, und die ganz heftigen meinten, nacher verteilt jemand schadware über meinen Server und ich kriege einen riesigen Schuldenberg oder so. (Notiz: Damals war ich komplett unerfahren mit Linux)

Nunja, dann habe ich mir letztes Jahr doch einen geholt, und es bis heute nicht bereut.
Wer die grundlegenden Sicherheitsregeln beachtet, und nur auf kleiner Ebene (Kein 10000 Userforum oder so) arbeitet, ist mMn vollkommen auf der sicheren Seite.

Natürlich muss man sich manchmal die Nächte um die Ohren schlagen, um was einzurichten, das kann man aber auch häppchenweise machen, wenn man nachts lieber schläft.
Ist auch eher am Anfang so.

Zu den immer angeprangerten Sicherheitsrisiken kann man auch nur sagen, dass man das relativ einfach absichern kann.

Man muss nur seine Firewall richtig konfigurieren, so das nur man selber sich auf dem Server einloggen kann, ggf. noch fail2ban installieren.
Ich fahre seit nun einem Jahr so, und ich habe nichtmal einen versuchten SSH login.

Wer sich aber nicht ein Stückchen damit beschäftigt, und sich mal eben für ne kleine Website o.ä. nen Server holt, der wäre mit einem managed Service natürlich besser beraten. Aber wer wirklich Ambitionen hat, ist mit einem Rootserver gut beraten.
Außerdem hat man dann immer mal was zu basteln ^^
 
Hi

aus einer anderen Sichtweise: Du kennst zB. fail2ban und kannst es einrichten bzw. bist zumindest in der Lage, dir das selber anzulesen. Damit hast du 99% der Möchtegern-Rootserverbesitzer schon abgehängt :D (Traurig aber wahr. Eine einzelne (!) Manpage zu lesen überfordert die meisten Computerbenutzer schon. Oder überhaupt zu wissen was eine Manpage ist.) Und Leute aus der Kategorie fragen selten Andere, ob ein Rootserver gut wäre; sondern wissen meistens schon selber was sie wollen (letztendlich du ja auch :))

Fragestellern abraten, es selber zu versuchen, find ich im Allgemeinen schon gut; eben wegen der anderen 99%. ... Sicher, die grundlegenen Sicherheitsmaßnahmen sind für uns einfach (Updates statt Programme selbst korrigieren, usw.), aber für viele eben noch immer viel zu viel.

Zum 10000-User-Forum: Hier gibts ca. 18 mal so viel (natürlich nur Registrierungen gesamt; die Aktivität schwächelt die Jahre etwas), und ... es wird auch nur mit Wasser gekocht.
Am Beispiel Fail2ban: Ich hab mir zwar 4 oder 5 eigene Filter geschrieben und Ipv6 nachgerüstet, während ich bei einer anderen winzigen Seite mit dem vorhandenen Zeug zufrieden bin. Aber sonst ... es ist nur etwas mehr vom Selben. Irgendwann am Anfang meiner "Serverkarriere" musste ich mich natürlich auch mit F2b vertraut machen, Manpage und paar Internetseiten dazu lesen usw.; für die Filter war eben noch etwas mehr Lesen und ausprobieren nötig, fertig.

Außerdem hat man dann immer mal was zu basteln
Genau :D

...

PS:
Ich fahre seit nun einem Jahr so, und ich habe nichtmal einen versuchten SSH login.
Das wäre für mich aber ein klares Alarmzeichen. Schon eine Stunde ohne einen einzigen geloggten Versuch würde mir einige Sorgen und Nachforschungsarbeit machen. Ja, auch für winzige Seiten.
 
Zuletzt bearbeitet:
Dass keine SSH logins versucht werden, liegt einfach daran, dass ich den SSH auf einen anderen Port geschoben habe (443 damit ich von der Schule aus daran komme) und allgemein SSH Verbindungen (Also Port 443) nur von meiner Schule und von mir zuhause aus erlaube. (Statische IP @home FTW ^^ )
 
Hi,

selbst bei einem Custom-Port bekomme ich von meinem OSSEC regelmässig Warnungen (Port Scans, Login versuche).
Wenn du gar nichts in den Logs hast, dann würde ich davon ausgehen, dass die Kiste kompromitiert wurde und jemand seine Spuren verwischt.

Das wäre für mich aber ein klares Alarmzeichen. Schon eine Stunde ohne einen einzigen geloggten Versuch würde mir einige Sorgen und Nachforschungsarbeit machen. Ja, auch für winzige Seiten.
Dem kann ich mich nur anschliessen, Custom-Port hin oder her; Vorallem weil 443 nicht gerade originell ist und bei jedem nmap-Scan im Standard-Range liegt.

Grüsse,
BK
 
Ich kriege schon Logs.
Aber nur von meinen Loginversuchen ^^
Ich setze die "kiste" ein bis zweimal im Monat neu auf, wage ich also zu bezweifeln (PW wird auch geändert die IP ist dann anders etc.)
 
Zurück