Installation KeyHelp und Sicherheit

[mmaark]

Hallo.
Wenn ich mir einen vServer holen würde, Betriebssystem Debian 12 installieren würde, danach KeyHelp. Aktuelle MariaDB.
Muss ich danach noch etwas beachten, bei der Sicherheit des KeyHelp oder dem Server? Natürlich noch alles Konfigurieren bei KeyHelp beim Panel drinnen.
Bevor ich mit meinen Homepages starten kann?

[Henning]

Hallo mmaark,

evtl. eignest du dir vorher noch solides Grundwissen zu Linux an. Du kannst dir einen kleinen Raspberry Pi kaufen und in dein lokales Netzwerk reinhängen, hast dadurch genug Zeit zum probieren. Alternativ kannst du dir auch eine VM auf deinem Rechner installieren und ein Linux Image einspielen.

Denke immer daran: wenn du einen (v)Server ins Netz hängst, kommt auch große Verantwortung einher. Das solltest du dir bewusst machen.

Ansonsten sind deine Frage sehr weitläufig. Was für eine Info benötigst du gezielt?

[Alexander]

Hallo,

in der Regel kannst du nach der Installation direkt loslegen.
Entsprechende sicherheitsrelevante Dienste werden seitens KeyHelp bereits konfiguriert und stehen nach der Installation automatisch zur Verfügung: z.B.Firewall, Fail2Ban, etc.

Der Rest ergibt sich aus den Ansprüchen, die du hast.

[mmaark]

Meine Anforderungen sind, also ein Webhosting
dass ich meine privaten Webseiten, veröffentliche, auch Seiten die für alle zugänglich sind.
auch für paar Freunde einen Webspace gebe, denen ich vertraue.

[Tobi]

Ich würde dir die KeyHelp PRO Variante empfehlen.
Damit kannst du einzelne User sauber voneinander trennen. Es geht ja nicht darum ob du dem User vertraust, vielmehr kann durch veraltete Software ein Einfallstor entstehen welches schlimmstenfalls den ganzen Server kompromittiert.
Das kann dir mit der Pro Variante nicht passieren.

Wenn du eventuell auch Unterstützung bei Hardware und Konfiguration und Betrieb des Servers benötigst sind die Tarife von https://www.keyweb.de genau die Richtigen für dich. Da ist auch PRO immer inklusive.

[mmaark]

Ich würde dir die KeyHelp PRO Variante empfehlen.
Damit kannst du einzelne User sauber voneinander trennen. Es geht ja nicht darum ob du dem User vertraust, vielmehr kann durch veraltete Software ein Einfallstor entstehen welches schlimmstenfalls den ganzen Server kompromittiert.
Das kann dir mit der Pro Variante nicht passieren.

Wenn du eventuell auch Unterstützung bei Hardware und Konfiguration und Betrieb des Servers benötigst sind die Tarife von https://www.keyweb.de genau die Richtigen für dich. Da ist auch PRO immer inklusive.

Danke für die Information.
Welche Funktionen hat das Pro denn, was das als kostenlose Variante nicht hat, um so etwas nicht zu passieren?

[Tobi]

Guck mal im Wiki unter https://wiki.keyhelp.de/books/einleitun ... eyhelp-pro

Ich meinte die SSH-Chroot Umgebung aka SSH Jail.
Hierbei wird der Vollzugriff auf bestimmte relevante Systemfunktionen gespiegelt. Anstatt direkten Zugriff auf das Original-System-Binary zu erhalten bekommt jeder User seine eigene Kopie der Systemdateien.
Sollte nun ein Angriff erfolgen sieht es für den Angreifer aus als ob er das gesamte System zerstören könnte. In Wahrheit wird lediglich ein User-Account vernichtet und das Gesamtsystem bleibt unangetastet.

Nach dem Angriff kannst du dann über das KeyHelp eigene Backupsystem den kompletten Useraccount wiederherstellen, das Problem patchen und der User kann weitermachen wo er vor dem Angriff aufgehört hatte.

[Alexander]

Hier noch ein weiterer (aktuellerer) Link: https://www.keyweb.de/de/keyhelp/keyhel ... ement-tool

[Tobi]

@Alex
Doch nix Wiki?

[blickgerecht]

Ich teile all eure Meinungen bzgl. solidem Grundwissen und Tarifen bei Keyweb inkl. Service – das ist sicher ein guter Anfang. Zur Pro-Version würde ich auch immer raten, alleine schon um die Entwicklung zu unterstützen (ist ja bei Keyweb sogar inklusive!).

Aber eine Nachfrage bzgl. SSH-Chroot:
Den Vorteil habe ich nur, wenn ich für die Benutzer SSH überhaupt erst aktiviere, oder? Ohne im Benutzer aktiviertes SSH habe ich davon auch keine Vorteile, oder doch? So verstehe ich zumindest die Beschreibung in der Einstellung …

Bildschirmfoto 2024-07-26 um 15.56.40.jpg (11.47 KiB) Viewed 8098 times

[Henning]

Um die eingeschränkte SSH-Umgebung nutzen zu können, muss vorher bzw. zeitgleich auch die SSH-Berechtigung aktiviert werden.

[Tobi]

Nein, auch die Software welche du ausführst kann / muss / darf / soll ggf. systemnahe Funktionen ausführen.
In PHP mittels exec(), passthru() usw.

Als konkretes Beispiel soll hier mal ein schlecht programmiertes Wordpress Plugin herhalten.
Schlimmstenfalls ist es ungetestet mit deiner Version, wirft Fehler mit der neuen PHP Version und schon ist dein Server kompromittiert.

[blickgerecht]

Das ist spannend. Dann gäbe es ja keinen Grund, das nicht bei jedem Benutzer zu aktivieren, auch ohne aktivierter SSH-Berechtigung, oder?

Das ist hier sicher die falsche Stelle, aber die Beschreibung unter dem Haken ist dann wirklich missverständlich formuliert:

Die SSH-Berechtigung muss aktiviert sein, um diese Funktion nutzen zu können.

Das muss ist ja sogar fett geschrieben, daher war ich bis eben sicher, dass die Option ohne aktiviertes SSH keine Funktion hat.

[Alexander]

@Alex
Doch nix Wiki?

Liebend gern Wiki, aber der letzte Versuch eines Community-Wikis verlief ja leider im Sande
viewtopic.php?p=43391&hilit=wiki#p43391

[blickgerecht]

Nein, auch die Software welche du ausführst kann / muss / darf / soll ggf. systemnahe Funktionen ausführen.
In PHP mittels exec(), passthru() usw.

Als konkretes Beispiel soll hier mal ein schlecht programmiertes Wordpress Plugin herhalten.
Schlimmstenfalls ist es ungetestet mit deiner Version, wirft Fehler mit der neuen PHP Version und schon ist dein Server kompromittiert.

Mir hat das jetzt keine Ruhe gelassen und ich musste es ausprobieren. Via SSH kann man natürlich recht einfach testen, ob chroot klappt, bspw. per

Code: Select all

pwd

Die Anzeige des Pfads war dann z.B. statt vorher

Code: Select all

/home/users/BENUTZER/www/test

nach Aktivierung von Chroot

Code: Select all

/www/test

Klappt also wie erwartet.

Ich hab' dann mal in PHP exec aus den disabled_functions entfernt und mir dort auch pwd ausgeben lassen, per Aufruf über den Browser. Egal was ich für den Benutzer aktiviert oder deaktiviert habe (SSH mit Chroot, nur Chroot) hat sich keine Änderung ergeben. Es wurde immer der vollständige Pfad ausgegeben:

Code: Select all

/home/users/BENUTZER/www/test

An der Stelle bin ich aber unsicher, ob das überhaupt ein adäquater Weg war, das zu testen und ob Chroot überhaupt funktionieren kann, da PHP-FPM ja vielleicht ohnehin ganz anders ausgeführt wird

Es hat ja vermutlich auch einen Grund, dass neben dem Häkchen der Hinweis steht

Die SSH-Berechtigung muss aktiviert sein, um diese Funktion nutzen zu können.

Vielleicht kann Alexander da ja nochmal etwas Licht ins Dunkel bringen, wieso der Hinweis da so steht oder ob es eben doch anders Funktioniert wg. PHP-FPM …

Ich jedenfalls bin verwirrt
Habt erstmal ein gutes Wochenende!