VServer einrichten - Tips und Fragen

[reaper2k11]

Hallo,
ich möchte mir auf einem VServer einen Minecraft-Server einrichten.

Vorerst eins weg:
ICh habe etwas Linux Kentnisse, jedoch nicht viele und bin auch bereit mir fehlendes Wissen durch Zeitverbringen anzueignen.
Aber bitte jetzt nicht irgendwelche Links zu Linux-Tut's schicken oder sowas

Also, ich möchte wie schon erwähnt einen MC Server einrichten. DIeser soll mit 3 GB ca. 32 Spieler aufnehmen können.

Die entscheidende Frage ist wie ich den zum laufen bringe. Zugriff via FTP ist vorhanden und kann somit die files hochladen. Und in welches Verzeichnis ich die files reinstelle, dachte da schon ins root Verzeichnis.
Die andere Sache ist wie sichere ich die Kiste gegen Hacker? Gibt es ne Möglichkeit nach 5 fehlgeschlagenen Logins eine Sperre von x Minuten zu verhängen? Somit sollte Bruteforce schwierig sein.

Das ausnutzen von irgendwelche Sicherheitslücken kann ja immer gemacht werden.

 

[Bauergiesen]

Du scheinst wirklich Anfänger zu sein, was das Thema Linux betrifft.
Dein wichtigstes Administrationswerkzeug wird ein Programm sein mit dem du eine SSH-Verbindung aufbauen kannst zu deinem Server z.B. Putty
Um Leute nach 5 fehlgeschlagenen Logins auszusperren empfiehlt sich fail2ban mit iptables!

 

[reaper2k11]

achja eins noch zu erwähnen:
Putty und SSH kenne ich gut

fail2ban werd ich mir mal anschauen, das hat echt alles was ich haben will inklusive eMail Benachrichtigung.

gibt es noch weitere Vorschläge zu meinen Problemen wie dem starten einer Java Datei?

 

[MainframeX]

Wenn du eh schon ssh auf dem server hast, würde ich den ftp Zugang abschalten und nur sftp benutzen.
Da du ssh ja gut kennst, den ssh-Daemon auf Public-Key Authentifizierung konfigurieren. Password Authentifizierung abschalten.
Je nach Linux sudo installieren und konfigurieren, dass du dich nicht mehr als root einloggen kannst/musst und im sshd den root Login abschalten.
Alle Dienste abschalten, die Ports nach außen offen halten und nicht benötigt werden.
Ich weis nicht aus dem Kopf, ob Minecraft root-rechte zum laufen braucht, aber ich würde einen extra Benutzer anlegen unter dem der Minecraft Server läuft.
Richtig konfiguriert brauchst du kein fail2ban auf dem Server, schaden kann es aber auch nicht.
falls du weitere Infos brauchst empfehle ich
man page sshd
man page sudo
http://www.puschitz.com/SecuringLinux.shtml
http://www.minecraftwiki.net/wiki/Tutorials/Setting_up_a_server#Linux_Instructions

 

[Backslash]

MC braucht keine root-rechte, also einfach einen neuen user "minecraft" o.ä. anlegen und mit dem laufen lassen.

 

[ekin06]

Gibt es ne Möglichkeit nach 5 fehlgeschlagenen Logins eine Sperre von x Minuten zu verhängen?

das tool heisst denyhosts.

 

[Grugeschu]

sftp würd ich wie hier empfohlen nicht nutzen das kostet viel Leistung. Für kurze Administrative Transfers kann man es gerne nehmen aber für mehr ist FTPS also TLS SSL + FTP geeignet. Fail2ban und keine ROOT Logins sind Pflicht bei öffentlichen Adressen wo SSH an ist. Den Port sollte man auch ändern. Evtl per IPtables unterbinden von Port Scans etc.

 

[mensch183]

Die andere Sache ist wie sichere ich die Kiste gegen Hacker? Gibt es ne Möglichkeit nach 5 fehlgeschlagenen Logins eine Sperre von x Minuten zu verhängen? Somit sollte Bruteforce schwierig sein.

Gegen ein ordentliches Passwort oder einen Zugang nur per public key authentication ist Bruteforce ebenfalls schwierig. Es besteht kein Grund, noch irgendwelchen Hokuspokus um die ssh herum zu bauen.

Gefahr durch Hacks entsteht weniger an der Vordertür (ssh) sondern viel eher an den Hintertüren (andere Netzdienste) oder durch Innentäter (Leute mit gültigem lokalem Login oder Fremde, die deren Accounts nutzen).

Grober Unfug ist das empfohlene Deaktivieren des root-logins via ssh, wenn man öfters remote als root auf dem Rechner muß. Der Umweg über nonroot-login + su bietet viel mehr Angriffsfläche als der direkte root-login per ssh.

 

[ekin06]

Grober Unfug ist das empfohlene Deaktivieren des root-logins via ssh, wenn man öfters remote als root auf dem Rechner muß. Der Umweg über nonroot-login + su bietet viel mehr Angriffsfläche als der direkte root-login per ssh.

bei vielen nutzern weiß man so aber immer, wer sich wann eingeloggt hat und vor allem wer was gemacht hat.

 

[MainframeX]

sftp würd ich wie hier empfohlen nicht nutzen das kostet viel Leistung. Für kurze Administrative Transfers kann man es gerne nehmen aber für mehr ist FTPS also TLS SSL + FTP geeignet.

Durch das SSL/TLS hat man bei FTS aber zumindest ähnlichen Overhead der durchs netz + man verliert die Möglichkeit sich mit Public-Key anzumelden, was ich für sicherer halte als Benutzername + Passwort
Außerdem sollte es auch bei sftp Möglich sein bei einer 100Mbit Leitung auf ~10MB/s Durchsatz zu kommen ( WinSCP schaft weniger, das weis ich, ist aber auch eine unglückliche Implementierung)

Wenn Public-keys zum Einsatz kommen, kann man den root Login aktiviert lassen, aber setzt man auf Passwörter ist es eher grob fahrlässig den root Login aktiviert zu lassen ( sowas sollte nur über ein eigenes Interface möglich sein, über das man nur per VPN oder ähnliches rankommt).
als normaler benutzer anmelden, sudo installieren und am besten noch die rootsh, so kann man schon protokollieren was als 'previligierter' benutzer getan wurde. Auf das rootsh Log kann man noch was aufsetzen, was bei bestimmten Aktionen eine Mail schreibt.

Klar ist aber auch, wenn ein Eindringling einmal root Rechnte hat, kannst du das System in die Tonne kloppen, deswegen würde ich alles daran setzen, dass der root Account nur im Notfall benutzt wird.

 

[GrandTheft]

Um Leute nach 5 fehlgeschlagenen Logins auszusperren empfiehlt sich fail2ban mit iptables!

und wenn's auf dem vserver kein iptables gibt, kannst Du's wenigstens mit hostsdeny machen - kannst Du z.B. hier oder hier nachlesen.

Grüße

 

[NemesisFS]

Also ich sichere meinen Server mit denyhosts + deaktivierten rootlogin. mMn verlagert das die Angriffsfläche, ein Angreifer muss Username + Passwort rauskriegen und dann noch das Rootpw...