Wie sichert ihr eure ganze Server?

  • Plesk nutzt ja auch nginx aber nur als proxy vor dran.

    Ich weiß nicht bin so an Plesk gewöhnt und läuft immer alles Reibungslos, mhh weiß nicht so recht mit KeyHelp, das riecht irgendwie nach Stress :D

    Leider kann man bei Hetzner keine Lizenz für CloudServer für Plesk mieten, muss man extern machen.

    Aber erstmal auf Debian 9 geupgraded, Debian 10 soll auch bald unterstützt werden dann wird wieder geupgraded :)

    Leider ist der Server auch schon bissl in die Jahre gekommen hatte ich aus der Boerse bei Hetzner (16 GB und bisschen älterer CPU 8 cores)

    ┌П┐(◉_◉)┌П┐

  • Ich habe noch eine Frage bezüglich den Backups:

    Vielen nutzen ja dort Backup-Software oder machen mit ihrem eigenen Script, ist das kein Problem wenn die Webseite dann während dem Backup-Prozess weiter online ist wegen konsistenz der Daten? Es kann ja während dem ja trotzdem auf der Community bzw. anderen Scripten Aktivität herrschen was irgendwie Probleme bereiten kann?

    Zumals wenn das Backup-Script automatisch gestartet wird?

    Tipps? :/ :D

    ┌П┐(◉_◉)┌П┐

  • Plesk nutzt ja auch nginx aber nur als proxy vor dran.

    Ich weiß nicht bin so an Plesk gewöhnt und läuft immer alles Reibungslos, mhh weiß nicht so recht mit KeyHelp, das riecht irgendwie nach Stress :D

    Leider kann man bei Hetzner keine Lizenz für CloudServer für Plesk mieten, muss man extern machen.

    Aber erstmal auf Debian 9 geupgraded, Debian 10 soll auch bald unterstützt werden dann wird wieder geupgraded :)

    Leider ist der Server auch schon bissl in die Jahre gekommen hatte ich aus der Boerse bei Hetzner (16 GB und bisschen älterer CPU 8 cores)

    Plesk lässt sich aber auch mit reinem Nginx betreiben. Die Verwaltungsoberfläche verwendet dann zwar noch Apache, aber wenigstens die Websites nicht mehr. Wenn du auf der Suche nach einer Alternative bist, kannst du dir auch mal VestaCP anschauen.

  • Plesk lässt sich aber auch mit reinem Nginx betreiben.

    Ja das schon, aber da vieles WCS und auch andere Scripte mit .htaccess-Dateien bestückt sind, ist das aktuell keine Lösung nur auf nginx umzustellen.

    Aber das nicht mein haupt augenmerk :)

    ┌П┐(◉_◉)┌П┐

  • Ja das schon, aber da vieles WCS und auch andere Scripte mit .htaccess-Dateien bestückt sind, ist das aktuell keine Lösung nur auf nginx umzustellen.

    Aber das nicht mein haupt augenmerk :)

    Siehe:

    Okay, da war ich mir nicht sicher. Mir war, als wäre das zumindest bei älteren nginx-Versionen anders gewesen... Hab bisher nur return 403 genutzt, wobei das unterm Strich dasselbe tut, wenn auch deny all mehr Aussagekraft hat über das, was da am Ende wirklich passiert. Daher würde ich es so abkürzen:

    Code
    location ~ ^/(.*/)?(\.|config\.inc\.php|options\.inc\.php|templates|uninstall|attachments|cache|language|lib|log|media_files|tmp) {
        deny all;
    }

    Wobei das wirklich nur die WSC-Standard-Installation abdeckt, allerdings kann die Liste ja nach Gusto erweitert werden.

    Im Optimalfall sind gleichnamige Verzeichnisse in sämtlichen Unterverzeichnissen ebenso geschützt wie die im Root-Verzeichnis, weshalb ich auf /acp/ und co. verzichtet habe.

  • Aze verstehe ich jetzt nicht :D Dort gehts um htaccess Schutz, aber ich meinte eigentlich Rewrites und andere Sachen.

    Wäre eigentlich alles schnell umgeschrieben, aber mir gehts nicht darum nginx-only zu nutzen.

    Und KeyHelp ist mir irgendwie noch zuviel unreif für ein Panel, wenn man doch die hälfte manuell machen muss :D

    ┌П┐(◉_◉)┌П┐

  • Und KeyHelp ist mir irgendwie noch zuviel unreif für ein Panel, wenn man doch die hälfte manuell machen muss :D

    Nur, um das hier nicht so stehen zu lassen: Bei KeyHelp muss man nichts manuell machen. Die Software läuft rund, stabil und ist ausgereift (und nein, ich habe da keine Aktien drin :) ).

    Klar, einige Dinge (wie aktuell Nginx) werden derzeit nicht unterstützt. Aber so ist das halt bei jedem Panel. Irgendwas ist immer nicht möglich. Die eierlegende Wollmilchsau wurde noch nicht erfunden :)

    Viele Grüße,

    smers

  • smers Klar ich will das Panel auch gar nicht schlecht reden, wenn die paar Sachen noch implementiert werden (was ja auf der Liste steht) bin ich dabei. Man muss aktuell noch vieles selbst machen, Fail2Ban, ErrorDocuments, Firewall (da funktioniert nicht unter Debian 10).

    Und das backup ist nicht inkrementell und meiner Meinung nach gefährlich :D (inkonsistent) wenn die Webseiten noch laufen während dem backup.

    ┌П┐(◉_◉)┌П┐

  • Wat ? unter Debian 10 funktioniert keine Firewall ?

    Liegt vielleicht einfach daran dass die Deb 10 Firewall nftables heißt und nicht mehr iptables :)

  • Wat ? unter Debian 10 funktioniert keine Firewall ?

    Doch, klar :) Die Einstellungen hierzu lassen sich in der aktuellen KeyHelp-Version aber nur über die Shell, nicht übers Panel vornehmen. Vorher ging‘s aber - und künftig auch wieder. Nur aktuell halt nicht.

    Viele Grüße,

    smers

  • Doch, klar :) Die Einstellungen hierzu lassen sich in der aktuellen KeyHelp-Version aber nur über die Shell, nicht übers Panel vornehmen. [...]

    Und eine Server-Firewall muss man auch nicht all zu oft anpassen, aber wenn einem schon das Einrichten auf der Shell zu viel Arbeit ist... :)

  • Ja Woodmen wir/ich habs jetzt verstanden du bist ja der Super-Administrator... :D

    Wenn man schon ein Panel benutzt was die Funktionen im Standartumfang mitliefert sollen die auch funktionieren.

    Hab auf dem Mail-Server wo eigentlich kein Administration-Panel läuft (außer Mailcow) hab ich das ganze auch per UFW abgeriegelt...

    ┌П┐(◉_◉)┌П┐

  • Ich nutze für Backups auf zwei Systemen zwei arten.

    Einmal für den Server welcher ohne Administrationssoftware aus kommt die Hetzner Backup lösung und einmal unter Plesk die Plesk lösung auf ein Storage bei Hetzner. Beides klappt sehe gut auch das wiederherstellen geht problemlos in beiden Fällen.

    KeyHelp hatte ich schon mehrfach angeschaut und auch schon Produktiv genutzt. Wirklich eine tolle Oberfläche aber das es immer noch kein NGINX gibt ist halt echt unschön.

    Ich verstehe aber den ständigen Sch.... Vergleich nicht, ist ein Mensch besser wenn er den Server via Konsole betreibt als der andere über eine Admin Oberfläche?

    Ich nutze beides und muss in beiden fällen mal das eine oder andere nachschauen, nachlesen wenn ich es länger nicht mehr nutzte. Fühle mich aber weder schlechter noch besser das ich das eine oder das andere nutze. Jeder wiw er möchte finde ich oder? Gerade Plesk hat sich in den letzten Monaten zu einer sehr positiven Oberfläche Entwickelt und alle mit vorurteilen sollten da mal wider rein schauen. Was mich an Plesk nervt sind die Preise, aber da ich für andere Personen eine Oberfläche bieten muss nutze ich das halt auch so. Ich kam aber auch schon an die Grenzen und es wäre einfacher über konsole. Aber ja ist nun halt so.

  • Ich will mal die Tage bisschen rumspielen und mir lokal ein Debian 10 einrichten und dann mal versuchen einen Server (LEMP) aufzusetzen inkl. ProFTP & PHP 7.4.x & CertBot für die Zertifikate.

    Dazu habe ich paar Fragen:

    • Sind die Repo's von 'https://packages.sury.org/php/' für die aktuellen PHP-Versionen vertrauenswürden auch für nachher auf einem Produktivsystem?
    • Habt ihr sonstige Tipps bzw. einen Link (hab auch schon bisschen gegoogelt) wo man sich da einlesen kann?
    • Ich habe auch dieses gefunden, was haltet ihr davon? https://www.digitalocean.com/community/tools/nginx (müsste natürlich auch dann bisschen angepasst werden)

    Danke im voraus.

    ┌П┐(◉_◉)┌П┐

  • Bist du alleine auf dem Server? Wenn ja wozu? Du kannst doch einfach SFTP (SSH) nutzen ^^

    Jap bin alleine auf dem Server, dann müsste ich nur für jedes Webhosting einen einzelnen User erstellen und auf sein Home-Verzeichnis beschränken und dann per SFTP hochladen, so in der Art meinst du?

    Habe eben mal fix probiert nginx usw. zu installieren lief alles perfekt auch mit einzelnen vhosts usw , php lief auch die aktuelle version schon. Müsste mich da genau einlesen um das auch wirklich sicher zu machen.

    ┌П┐(◉_◉)┌П┐

  • Ich verstehe aber den ständigen Sch.... Vergleich nicht, ist ein Mensch besser wenn er den Server via Konsole betreibt als der andere über eine Admin Oberfläche?

    Ich glaube, das sagt es schon:

    Müsste mich da genau einlesen um das auch wirklich sicher zu machen.

    Administriert man selbst den Server per Shell, dann weiß man zum einen wesentlich genauer, was für Dienste laufen und setzt sich gleichzeitig in der Regel ganz anders mit der Soft- und Hardware auseinander. Jemand, der nur ein Panel installiert und fertig, wird sich nur selten damit beschäftigen, wie er das korrekt absichert, gegen Missbrauch schützt etc.

  • Da haste ja recht aber jeder muss (wenn er dazu lust hast damit anfangen) oder bist du als Server-Admin geboren? Die Erfahrung kommt dann mit der Zeit (ohne Panel).

    ┌П┐(◉_◉)┌П┐

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!