Wie sichert ihr euren VPS ab ?

[Donnidonis]

Ich rede von einem VPN-Dienst (und nicht von einem Client).

WireGuard ist ein VPN Dienst? Da brauchst du auch einen Server, das ist nicht nur ein Client. Diesen als non-root User zu betreiben ist ‚unmöglich‘, du benötigst zwingen root, jedenfalls für bestimmte Befehle (ip, nftables etc), damit das Interface eingerichtet werden kann. Das wg-quick Tool braucht zwingend root (für die angesprochenen Befehle), sonst geht es nicht.

und es würde mich wundern, wenn das mit Wireguard nicht gehen sollte.

Da du dich damit ja scheinbar nicht auseinander gesetzt hast wundert es mich eher, dass du Thesen aufstellst wie:

Im Internet/Netzwerk erreichbare Dienste laufen unter Linux nicht mit root-Rechten, wenn sie sauber installiert/konfiguriert wurden.

Das mag für ein nginx oder Apache Webserver, auch für DB etc. gelten.

Auch OpenSSH benötigt zwingend für manche Funktionen root (https://superuser.com/questions/1547888/is-sshd-hard-coded-to-require-root-access). Ich weiß nicht wie du deine Server konfigurierst, das Internet scheint es eher anders zu sehen.

 

[h00bi]

ca. 60 Zeichen generiertes SSH Passwort und fail2ban.
Ansonsten ist nur Port 443 offen für den reverse proxy. Auch Port 80 ist zu, Zertifikate gehen über DNS Challenge. Das ist automatisiert kein Problem, nur beim ersten Mal ist die TTL problematisch.

Wenn Bitwarden endlich einen SSH Key Manager für putty bekommt, dann stelle ich auch überall auf Key basierte Anmeldung um. Bis dahin bleib ich beim langen Passwort.

Abgesehen von Zero Day Exploits, kommst du nicht auf die Kiste drauf. Sofern die Kiste regelmäßig oder automatisch gepatched wird, sehe ich keinen zusätzlichen Handlungsbedarf.

DDoS Schutz brauche ich nicht, die Dienste sind nicht kritisch.

 

[qiller]

Das mag für ein nginx oder Apache Webserver, auch für DB etc. gelten.

Das geht auch mit OpenVPN: https://openvpn.net/community-resources/reference-manual-for-openvpn-2-6/

Und ja, du hast natürlich recht, für den initialen Aufbau braucht der Dienst einmal root-Rechte.

 

[Donnidonis]

Und ja, du hast natürlich recht, für den initialen Aufbau braucht der Dienst einmal root-Rechte

Nicht einmal, IMMER. Jedesmal wenn du den Server startest bzw. ein Interface hinzufügst etc. Deshalb ist es für automatisierte Setups einfach nicht möglich es sauber aufzusetzen.

 

[qiller]

Jedesmal wenn du den Server startest bzw. ein Interface hinzufügst

Da wir hier ja von einem einfachen VPS reden und keinem kompletten Netzwerk, was geroutet werden muss o. Multiuser-Administration, fügst du genau einmal ein Tun-Device hinzu. Und ja, beim Hochfahren wird der OpenVPN-Server kurz mit root-Rechten initialisiert und dann werden die root-Priviliegien runtergestuft, wo ist das Problem? Ich sehe hier bei diesem Anwendungsfall immer noch keinen Grund, dauerhaft rund um die Uhr den VPN-Dienst mit root-Privilegien laufen zu lassen.

 

[Donnidonis]

Im Internet/Netzwerk erreichbare Dienste laufen unter Linux nicht mit root-Rechten, wenn sie sauber installiert/konfiguriert wurden.

Deine Aussage bezog sich hierbei aber ganz und gar nicht auf VPS, sondern Linux gesamt.

Aber das wird hier eh zu OT. Der TE sollte jetzt genug Infos haben.

 

[Pummeluff]

SSH-Port ändern ist nett aber wirkungslos.
Aber einen Root-Login über SSH zu erlauben ist leichtsinnig. Immer erst als User und dann kann man überlegen welcher User in der sudoer-list stehet und wer root überhaupt ausführen darf.

Ich hab auf meinem V-Server den SSH-Port auf 222 geändert. Bringt aber nicht wirklich was. Aber man kann hübsch Im Journal die Wörterbuchattacken mitverfolgen.

Ansonsten hab ich keine Userkonten auf meinem V-Server. Ich logge mich da ausschließlich per Root ein. Passwort für SSH ist deaktiviert. Login erfolgt nur per Key.

Von der ganzen sudoers-Geschichte halte ich nicht sonderlich viel. Das ist in meinen Augen sinnvoll, wenn verschiedene Leute auf dem Server arbeiten sollen, die aber nur für bestimmte Aufgaben eingeschränkten Root-Zugriff benötigen.

Weiterhin hab ich per NF-Tables den Server komplett Dich gemacht. Offen sind von außen nur der SSH-Port und der Wireguard-Port.

Und neben der Firewall hab ich auch noch ein fail2ban laufen, was nach 3 falschen Loginversuchen die IP temporär in die Sperrliste schickt. Allerdings wechseln die angreifenden IPs eigentlich permanent. fail2ban sollte also dann helfen, wenn irgendjemand eine gezielte Attacke auf den Server von einer Quelle aus durchführt.

 

[Gliese]

Hab SSH ganz normal auf Port 22 am Laufen, Login als root, aber nur mit Private Key.

fail2ban mag ich persönlich nicht - wenn ich mobil bin, bin ich unter einer CGNAT-IPv4 unterwegs, sprich ich teile mir eine IP mit vielen, und käme dann nicht mehr auf den eigenen Server, nur weil jemand anders es schon versucht hat. Unter IPv6 wiederum hat man massig an IPs.

Mein Vorgehen ist generell, die Systeme aktuell und zweckbestimmt zu halten, das heißt, keine eierlegende Wollmilchsau aufzusetzen, die alles macht.
Sprich, ich bin der Meinung, z.B. auf mein Router hat kein Webserver, kein Datenbankserver, kein E-Mail-Server oder was ähnliches zu suchen.
So habe ich für meine Projekt-Website halt ein VPS genommen und da dort was parametrisiert (=User Input) gerendert wird, habe ich eher Angst, dass es jemand schafft, den Renderer Hops zu nehmen als das SSH selbst eine so riesige Lücke hat, dass ein Login einfach so möglich ist.

 

[einfachpeer]

Eure Meinung dazu SSH gar nicht groß zu nutzen sondern nur das von netcup integrierte VNC ?

 

[qiller]

Ich denke sowas ist eher für den Notfall gedacht, wenn mal nix mehr geht und man im Bootscreen hängen bleibt o.ä. Szenarien. Würde sowas nur temprorär aktivieren, wenns benötigt wird. Für die normale Administration würde ich bei VPN+SSH bleiben, wobei SSH zum Internet hin geblockt oder zumindest stark gefiltert sein sollte.

(btw)