Fragen zum Linux Server

[Rubyurek]

Guten Tag an alle,
ich habe paar Fragen zu meinem Linux Server da ich momentan nicht wirklich weiterkomme:
1. Ich nutze mein Linux Server mit Nextcloud und ich möchte nur bestimmte Ports durchgehen lassen (443,53 Hauptsächlich). Der Rest soll geblockt werden. Wie genau könnte ich das machen? Ich nutze firewallD und habe auch schon die Ports drin nur Frage ich mich wie ich andere Ports mit verschiedenen IPs ablehnen kann?

Diese Befehle habe ich genutzt:

sudo firewall-cmd --zone=public --add-port=443/tcp
sudo firewall-cmd --zone=public --add-port=53/udp
sudo firewall-cmd --zone=public --add-port=10000/tcp (webmin)

2. Wie kriege ich es hin auf mein Nextcloud zuzugreifen ohne die IP in die Browserleiste zu schreiben? Ich selbst habe schon im Apache2 Server geschrieben, dass der ServerName die Adresse nutzen soll, jedoch tut es dies nicht.

3. Ich möchte gerne mein Server mit Lets Entcrypt verschlüsseln. Hab dies auch geladen und Prozess wollte ich auch durchführen. Hab aber gemerkt, dass dies immer fehlschlug (Grund höchstwahrscheinlich wegen der IP auf Namen änderung). Wie gehe ich dort voran?

4. Ich möchte mein root komplett verstecken und nur auf ein User zugreifen lassen. Ich habe schon ein User erstellt und in die Gruppe sudo und users eingebunden. Wie gehe ich weiter voran?

5. Ich habe versucht, dass man via SSH nicht mit root einloggen kann, leider ist dies weiterhin möglich. Ich habe unter sshd_config den PermitRootLogin auf No gestellt, abgespeichert und Server neugestartet. Leider konnte ich mich weiterhin anmelden als root. Soll ich dann doch lieber SSH komplett ausschalten, weil es einfacher wäre oder den komplizierten weg nehmen um bestimmten Nutzern Zugriff auf SSH zu gewähren? Wenn ich SSH ausschalten soll, reicht dann der Befehl:

 service ssh stop && systemctl disable sshd

?

Ich wäre für eure Hilfe echt dankbar, weil ich schon seit mehreren Tagen rumprobiere und schon den Server mehrmals Platt machen musste, dass ich echt nicht mehr weiterkomme :S

 

[GTrash81]

1) Wenn man von der Standardinstallation ausgeht, dann blockiert FirewallD alles was beim Server ankommt.
Alles was vom Server gesendet, wird weiterhin durchgehen, was auch auf Systemebene so gedacht ist.
Mit deinen Kommandos hast du soweit alles richtig gemacht, denn diese Ports werden zugelassen und der Rest mit der Standardregel abgewiesen.
Wenn nicht, dann geht irgendetwas kaputt bei der Systeminstallation.

2) Dumm Frage: hast du einen DNS-Server bzw. in deinem Router einen DNS-Eintrag gesetzt, der auf Nextcloud-Server weiterzeigt? Wenn nein, dann wird das so nicht funktionieren.

3) Es gibt verschiedene Clients und Module mit denen man Lets Encrypt Zertifikate anfordern kann, darunter gibt es auch verschiedene Methoden. Wenn wegen irgendwelchen IP-NAT-Konfigurationen die einfachste Variante nicht geht, dann musst du eine der anderen verwenden.

4) Als einfacher Nutzer "sudo passwd -l root" eingeben, dadurch werden für root die einfachen Anmeldemethoden deaktiviert, da der Nutzer bzw. sein Passwort gesperrt wird.

5) Merkwürdig, denn genau so funktioniert dass. Aber wenn du Schritt 4 durchführst, schlägt das automatisch auch auf den SSHD durch.

 

[Rubyurek]

2) Dumm Frage: hast du einen DNS-Server bzw. in deinem Router einen DNS-Eintrag gesetzt, der auf Nextcloud-Server weiterzeigt? Wenn nein, dann wird das so nicht funktionieren.

An meinem Router selbst habe ich kein DNS-Eintrag getätigt.

Also im Hosts habe ich die IP des Servers stehen dazu kommt die FQDN (www.officebwl.de) und der hostname (Officebwl). Leider funktioniert das nicht und ich frage mich was ich da vergessen habe.

 

[mibbio]

Für die Zuordnung von IP zu Domain sind DNS-Server zuständig. Eine lokaler Eintrag in die hosts von deinem Linux Server wird da nicht viel bringen. Dann kennt nur der Server selbst lokal die Zuordnung, aber kein anderer PC. Also entweder richtes du dir im LAN entsprechend einen ein (dann kennen aber auch nur PCs im LAN die Zuordnung) oder eben der Anbieter für deine officeblw.de Domain bietet dir die Möglichkeit, den öffentlichen DNS-Eintrag einzustellen.

 

[Rubyurek]

Dann werde ich wohl ein eigenen DNS auf meinem Server installieren, damit es klappt. Muss ich mich mal schlau lesen wie ich das mache^^

 

[mibbio]

Denke aber dran, bei einem privaten DNS-Server kennen auch nur die Geräte die hinterlegten Einträge, die auch den DNS-Server nutzen.

 

[Mojo1987]

Wenn du LetsEncrypt verwenden willst, dann funktioniert das mit dem lokalen DNS Namen sowieso nicht. Der muss im globalen DNS abrufbar sein. Steht der Server bei dir zuhause? Dann ist das Thema gleich nochmal schwerer, wegegen ggf. vorhandener Dynmischer IPs.

 

[Rubyurek]

Wenn du LetsEncrypt verwenden willst, dann funktioniert das mit dem lokalen DNS Namen sowieso nicht. Der muss im globalen DNS abrufbar sein. Steht der Server bei dir zuhause? Dann ist das Thema gleich nochmal schwerer, wegegen ggf. vorhandener Dynmischer IPs.

Server habe ich über Hetzner mir geholt.

 

[Mojo1987]

Dann pass den A-Record entsprechend deiner Server-IP in der DNS Verwaltung deines Domain Anbieters an.

 

[Raijin]

ich möchte nur bestimmte Ports durchgehen lassen (443,53 Hauptsächlich)

Dann werde ich wohl ein eigenen DNS auf meinem Server installieren, damit es klappt.

Server habe ich über Hetzner mir geholt.

Bitte nicht. Wenn du einen DNS-Server ins Internet stellst und nicht weißt was du da tust, öffnest du Hackerangriffen mittels DNS Amplification Tür und Tor! Ein eigener DNS darf daher ausschließlich via VPN oder von bestimmten Quell-IPs nutzbar sein, nicht aber öffentlichen zugänglich (Open DNS Resolver), wenn man nicht anderweitige Maßnahmen ergriffen hat, um DNS Amplification Attacks zu blockieren. Das ist wirklich kein Spaß, weil solche Attacken zu den effektivsten überhaupt gehören. Mit zB 10 Mbit/s Upload kann man einen Anschluss mit 500 Mbit/s Download komplett lahmlegen - Faktor 50.

 

[andy_m4]

Also ich hab da kein gutes Gefühl bei dem, was Du vor hast. Dazu sind mir auch die Fragen zu "einfach" (was darauf hindeutet, das die Expertise eher begrenzt ist).
Bevor man überhaupt den Gedanken fast ein Service ins Internet zu stellen sollte man sich schon mit der Materie vertraut machen. Man sollte auch zuhause mal ein Server (in einer VM oder ähnlichem) aufsetzen und anhand dessen schon mal sein Know-How aufbauen (was auch länger dauert und was anderes bedeutet als irgendwie 2 oder 3 Tage wild rumzuprobieren). Wenn man dann irgendwie raus hat, wie der Hase läuft, dann kann man sich auch mal Gedanken machen, wie man das als Internet-Server umsetzt und was man dazu ggf. zusätzlich noch braucht.

Wie hier schon in einigen Beiträgen angedeutet, kann das auch schnell mal Probleme geben die dann auf Dich zurückfallen und wo Du dann auch den Ärger am Hals hast.

 

[Rubyurek]

Kann deine/eure bedenken ganz gut nachvollziehen^^ Bin ja selbst noch in der Ausbildung als FISI. Problem is nur, dass Praktisch kaum know how vorhanden ist und ich mir das jetzt selbst beibringen muss. Es wurde hauptsächlich nur Theoretisch durchgekaut. Jetzt wird vom dozenten abverlangt, dass ich mir das selber beibringen mit Nextcloud Server aufsetzen und mit den jeweiligen Sicherheitsvorkehrungen (Hardening). Quasi ins Kalte wasser geschmissen^^

 

[andy_m4]

Jetzt wird vom dozenten abverlangt, dass ich mir das selber beibringen mit Nextcloud Server aufsetzen und mit den jeweiligen Sicherheitsvorkehrungen (Hardening). Quasi ins Kalte wasser geschmissen^^

Das erklärt aber immer noch nicht, warum das direkt im Internet erfolgen muss.
Ich bin ja sofort bei Dir bei dem Punkt praktisch Fähigkeiten zu erwerben. Ohne wird es nicht gehen. Aber wie gesagt: Das man man auf einem Rechner bzw. VM die nicht im Internet hängt.

Als Pilot lernt man ja auch erst mal im Simulator und übt nicht in einer Verkehrsmaschine über bewohnten Gebiet.

 

[Raijin]

Dann mach das bitte nicht auf einem öffentlichen Server, sondern zB in einer Virtuellen Maschine.

Die Botnetze von anomymous und Co setzen sich genau aus solchen Servern zusammen, die ohne Fachkenntnis aufgesetzt und nicht adäquat gesichert wurden. So wie ein Herzchirurg im Studium nicht an einem lebenden Patienten rumschnibbelt, um was zu lernen, so wenig sollte ein FISI an einem öffentlichen Server mit der Firewall rumspielen.

Ein öffentlicher Server steht zu jedem Zeitpunkt unter Dauerfeuer. Wenn man nicht aufpasst, kann der nächste Bot schon wenige Minuten nach Systemstart vorbeischauen und hat deinen Server gekapert bevor du "Firewall" sagen kannst. Ich kann mir auch beim besten Willen nicht vorstellen, dass euer Dozent das so meinte als er euch die Aufgabe gab, euch mit dem Thema Serversicherheit zu beschäftigen. Dazu nutzt man wie gesagt VMs oder von mir aus einen kleinen Bastel-PC im Heimnetzwerk. VMs haben den Vorteil, dass man sich damit auch ein kleines virtuelles Netzwerk aufbauen und so verschiedene Zugriffe bzw. Firewall-Szenarien testen kann.

Leider passiert sowas immer wieder. Seit gemietete Server im www so billig sind - geht ja teilweise schon bei 1€/Monat los - denken sich viele, dass das ja cool und einfach ist. Solche Server sind aber die Soldaten in der Armee einer jeden Hackergruppe, weil sie damit ihre DDoS-Attacken fahren.

Wenn du in einer lokalen Umgebung - sei es VM, PI, o.ä. - Erfahrungen gesammelt hast, kannst du diese dann auf einem öffentlichen Server zum Einsatz bringen. Aber bitte nicht auf einem öffentlichen Server "lernen".

 

[Rubyurek]

@Raijin ich bin da voll bei dir. Mein Vorschlag an den Dozenten war es ja erstmal in einer Testumgebung (VM) zu nutzen. Jedoch war er damit nicht einverstanden weswegen auch immer. Somit hat er mir und jmd anderen zwei Server bereit gestellt und nun ja.. Daran arbeite ich momentan. Ich werde den einen Server eh abschalten, wenn ich mit der Aufgabe und mit dem lernen fertig bin.

Nur frag ich mich ehrlich jetzt wie ich das mit mit Hetzner und SSL Verschlüsselung. Hab das hier gefunden:
https://community.hetzner.com/tutorials/letsencrypt-dns
jedoch fehlt mir wohlmöglich die domain..

 

[Raijin]

Mein Vorschlag an den Dozenten war es ja erstmal in einer Testumgebung (VM) zu nutzen. Jedoch war er damit nicht einverstanden weswegen auch immer. Somit hat er mir und jmd anderen zwei Server bereit gestellt

Epic fail, ganz großes Kino. Der Typ hat in meinen Augen seinen Job verfehlt, aber so richtig. IT-Security lehren wollen, aber dann Noch-Laien auf öffentliche Server loslassen. Herzlichen Glückwunsch. Ich hoffe, dass der nächste Hackerangriff, der von solchen Servern ausgeht, auf seinen Internetanschluss abzielt.. Kannst ja entgegen meiner Warnung doch mal einen offenen DNS aufsetzen und dann bombardiert man ihn mit DNS-Replies bis sein Router glüht *.



*
Just in case: An die Moderation, @Sekorhex und die Mitleser: Das war NICHT ernst gemeint, sondern reiner Sarkasmus.

 

[Rubyurek]

@Raijin da bist nicht der einzige^^ Die anderen Auszubildenen sagen selbst zu ihm, dass er sein Job eh verfehlt hat, weil er versucht uns eig was "beizubringen" und meistens dann nur verlangt es selbst beizubringen. Im grunde ist er da aber nichts wert für uns.

 

[andy_m4]

Der Typ hat in meinen Augen seinen Job verfehlt, aber so richtig.

Stimmt. Aber wo hin dann?
Mit solchen Computer"kenntnissen" bringt kann man es heutzutage nur noch in der Politik weit bringen. :-)

 

[Rubyurek]

Naja ich muss jetzt erstmal überlegen wie ich das mit dem DNS hinkriege^^ Werde grad echt wahnsinnig dass es nicht klappt :x

 

[Mojo1987]

Hast du denn den A-Record beim Domainanbieter richtig gesetzt? Dafür musst du am Server selbst erstmal garnichts einstellen bzw. hast du die Domain officebwl.de überhaupt entsprechend registriert?