Oskar Welzl: Weblog zur Homepage

Ich, der Server-Admin

Server-Rack Der 26. Mai war ein Feiertag. Da kann man schon mal auf blöde Ideen kommen, wenn einem fad ist. Ich zum Beispiel habe beschlossen, mir einen Computer zu kaufen. Keinen „echten“ Computer zum Angreifen, nein, einen virtuellen Rechner. Der existiert nur als für mich reservierte Speicher- und Rechenkapazität in einem verteilten Rechenzentrum, hat Internet-Anschluß mit einer fixen IP-Adresse und läßt mich drauf rumspielen, wie ich will.

Brauch ichs? Nein. Ist es lustig? Ja! Ich hatte in den letzten Jahren immer mal wieder dumme Ideen, die man nur mit einem Server mit fixer IP-Adresse realisieren hätte können. Jetzt ist er da, der Server. Und jetzt wart ich auf die nächste dumme idee. :)

Erste Aufgabe war, den Rechner halbwegs vernünftig zu konfigurieren. Will heißen: so abzusichern, daß er nicht über Nacht die halbe Welt mit Spam zuschüttet oder andere böse Dinge treibt. Und das ist der Hauptgrund für diesen Artikel: Ich will ja später ungefähr wissen, was ich alles getan habe. (Ein weiterer Grund für diesen Artikel ist, daß ich einfach Werbung für den Provider World4you machen muß. Aber dazu später.)

Schritt für Schritt konfigurieren

Praktischerweise kann ich den Server mit einer ganzen Reihe von Betriebssystemen aufsetzen. Darunter befindet sich auch Ubuntu 14.04. Das ist eine LTS-Version, die ich auf zwei anderen Rechnern bereits installiert habe und daher gut kenne. Nichts liegt daher näher, als Ubuntu 14.04 als Betriebssystem zu installieren. (Wobei installieren fast das falsche Wort dafür ist: Man drückt auf der Webseite von World4you auf einen Knopf und schon ist der Rechner neu aufgesetzt. Wenn das nur bei meinem Laptop auch so schnell ginge. *gg*)

Gleich zu Beginn steht der Rechner mit einem relativ offen konfigurierten SSH-Server da (root-Zugang ist z.B. möglich). Eine Reihe von typischen Services (für Mail, Web, Datenbanken, …) läuft. Eine Firewall habe ich aber nicht gefunden.

Schritt Nummer eins daher: Zwei Tools installieren, die ich für alles Weitere benötige. Nano, meinen Lieblingseditor zum Anpassen der Konfigurationsdateien, sowie ufw zur einfachen Konfiguration der Firewall.

Gleich als nächstes wird ufw eingerichtet und aktiviert: SSH habe ich vorläufig als einziges Service zugelassen und gleichzeitig mit ufw limit ssh limitiert.

Der nächste Schritt ist eine Vorbereitung zum Abschalten des Root-Logins via SSH. Wenn root nicht mehr darf, muß jemand anderer dürfen. Also wird ein neuer User angelegt.

Jetzt ist der Zeitpunkt gekommen, den OpenSSH-Daemon einzuschränken: Zuerst erzeuge ich auf meinem Rechner ein Schlüsselpaar und übertrage den öffentlichen Schlüssel auf den Server. Danach sage ich dem SSH-Server: Login als nur mehr über das Schlüsselpaar, nicht mehr mit Passwort; und: root muß draußen bleiben, nur mehr der soeben angelegte „Arbeitsuser“ darf rein. (Falls das jemandem übertrieben erscheint: In den Logfiles hab ich Login-Versuche von fremden Rechnern im Sekundentakt. Es zahlt sich schon aus, diese Türe möglichst fest zu schließen.)

Zuletzt werden alle Services angehalten, die ich derzeit nicht aktiv nutze. Jede von außen erreichbare Funktion ist ein mögliches Ziel für Angreifer. Der Webserver, die Datenbank, der Mail-Server, der Domain-Server … alle werden sie heruntergefahren. Nur SSH bleibt - irgendwie muß ich den Rechner ja erreichen.

Der Anbieter World4you

Ich gebs ja zu: Einen sehr ausführlichen Marktvergleich hab ich nicht angestellt. Aber ich bin mir mittlerweile sicher, den passenden Anbieter für mein kleines Experiment gefunden zu haben. Bei World4You konnte ich mir mein Paket „vServer Small“ am Feiertag online zusammenklicken, in wenigen Augenblicken war der Rechner für mich aktiviert und zugänglich. € 6,90 pro Monat sind kein Vermögen. Mag sein, daß man es irgendwo auf der Welt um 2 Euro billiger findet. World4You sitzt aber nicht irgendwo auf der Welt, sondern in Linz. Und wenn ich mein Geld schon für sinnlosen Schnickschnack raushau, dann soll es doch lieber zuhause in der EU (und noch besser: in Linz) bleiben und nicht zu einem amerikanischen Unternehmen wandern. (Übrigens: Auch bei einem anderen großen österreichischen ITK-Unternehmen habe ich mich über vServer-Angebote informiert. Unter der entsprechenden Produktseite finden sich keine Preise, keine Leistungsbeschreibungen, einzig ein Link mit der Aufforderung Angebot einholen!. Wenn ich dort am Donnerstag geklickt hätte - ob ich dann ebenfalls schon wenige Minuten später „live“ gewesen wäre? *gg*)

Sehr fein auch der Support: Obwohl ich mit meiner soeben angemeldeten Small-Kiste sicher nicht zu den VIP-Kunden gehöre, wurde eine heute von mir gestellte Anfrage in exakt 5 Minuten schriftlich beantwortet. Sehr höflich und umfassend noch dazu. Doch, ich glaub das hab ich gut ausgesucht.

 
development