Willkommen im STRATO Blog. Hier gibt es News und Tipps rund ums Hosting.

 

Menu

Veröffentlicht am: 18. September 2014

STRATO Root Server

Server sicher konfigurieren: Worauf es ankommt

Technisch komplexe Websites mit vielen Besuchern werden oft auf eigenen Servern betrieben. Sie bieten deutlich mehr Leistung als Webspace-Pakete (Shared Hosting). Außerdem hat der Administrator die volle Kontrolle über die Server-Konfiguration: Er kann Betriebssystem und Software nach individuellen Bedürfnissen selbst einrichten. Das verlangt jedoch Fachwissen und braucht Zeit.

Administratoren eines Root Servers müssen sich vor allem mit dem Betriebssystem sehr gut auskennen. Meistens wird eine Linux-Variante gewählt, seltener Windows. Die Erstinstallation des Betriebssystems übernimmt zumeist der Hosting-Provider, sie kann aber auch durch den Kunden erfolgen. Bei STRATO lässt sich das Betriebssystem jederzeit kostenlos wechseln.

Allerdings ist der Administrator auf sich selbst gestellt: Sogar kleinere Probleme, welche sich meist mit einem Neustart des Systems beheben lassen, verlangen ein gewisses Verständnis der Linux-Welt. Wenn Sie die Linux-Administration nicht sicher beherrschen, mieten Sie besser einen Managed Server, bei dem sich der Hosting-Anbieter um Administration und Wartung kümmert.

Administrative Unterstützung vom Provider

Ganz ohne Hilfe ist der Administrator eines Root Servers allerdings auch nicht. In Notfällen hilft etwa ein Desaster Recovery System: Lässt sich das Linux nicht korrekt starten, ermöglicht das Notfall-System den Zugriff auf die gespeicherten Daten, so dass sie sich retten lassen. Bei STRATO heißt diese Funktion RecoveryManager.

Neben dem Linux-System müssen Administratoren auch die Webserver-Administration (in der Regel Apache), die Datenbank-Pflege (meist MySQL) und die Software-Installation beherrschen. Idealerweise gibt es ein helfendes Administrations-Programm. Zu den Root Servern von STRATO gehört zum Beispiel Parallels Plesk 12, das die Domain-Verwaltung, das Datenbank-Management und das Setup beliebter Web-Apps wie WordPress erleichtert. Mit wenigen Klicks lassen sich wichtige Einstellungen über eine benutzerfreundliche Web-Oberfläche vornehmen.

Das Wichtigste für jeden Root Server: Sicherheit

Die wesentliche Aufgabe für den Administrator eines Root Servers ist es, dauerhaft für höchste Sicherheit des Systems zu sorgen. Das beginnt damit, sichere Zugangsdaten zur Server-Administration zu nutzen und diese keinen Dritten zugänglich zu machen, und endet nicht mit der regelmäßigen Aktualisierung von Betriebssystem und Software.

Zur Server-Sicherheit gehört auch eine Web Application Firewall wie die in Parallels Plesk 12 enthaltene ModSecurity-Firewall: Sie untersucht alle eingehenden Anfragen und die Antworten des Webservers und sperrt den Zugriff, sobald verdächtige Inhalte erkannt werden. Somit wird verhindert, dass böswillige Internet-Nutzer Ihre Websites und die Ihrer Kunden beschädigen. Eine nützliche Ergänzung zur Firewall ist das Intrusion Prevention System Fail2Ban, das eine Vielzahl an Netzwerk-Angriffen erkennen und abwehren kann.

Generell sollten Sie die Angriffsfläche für Hacker so klein wie möglich halten. Alles, was nicht aus dem Internet erreichbar ist, kann nicht attackiert werden. Deshalb empfiehlt es sich, nicht benötigte Server-Dienste gar nicht erst zu installieren und bereits installierte Dienste zu deinstallieren.

Das Plus an Sicherheit: Logfiles und Backups

Logfiles sind automatisch aufgezeichnete Protokolle aller Server-Aktivitäten und zeigen daher nicht nur Nutzer-Zugriffe, Server-Antworten und Fehler, sondern möglicherweise auch Hacker-Angriffe. Deshalb sollten Sie die Logfiles des Root Servers regelmäßig überprüfen.

Ebenso wichtig sind geregelte Backups des Root Servers, die viele Hosting-Provider mit speziellen Tools erleichtern. Die manuelle Datensicherung erfolgt in der Regel per FTP-Zugriff. STRATO bietet je nach Root Server bis zu ein Terabyte Speicherplatz für FTP-Backups. Im Falle eines Datenverlustes lassen sich alle Server-Inhalte auf einen zeitnahen Stand wiederherstellen.

Professionelles Hosting glänzt mit Service

Auch wenn Betreiber eines Root Servers größtenteils ohne Hilfe des Hosters agieren, brauchen sie hin und wieder Rat und Tat. Kompetenter Support per Telefon und E-Mail ist ein nicht zu unterschätzendes Auswahlkriterium für den optimalen Hosting-Partner. Bitte denken Sie daran, im Verwaltungsbereich des Root Servers eine externe E-Mail-Adresse zu hinterlegen, damit Sie auch bei Ausfall des Servers mit dem Support kommunizieren können.

Der Autor:

Autor: Sven Hähle

Mein Name ist Sven Hähle. Ich arbeite seit vielen Jahren als Fachjournalist und schreibe für diverse Zeitschriften und Online-Portale über Digitalkultur, eBusiness und Technik.

20 Kommentare

  1. Sabine Hoffmann sagte am 24. September 2014 um 11:37:

    Super!
    Dieser Artikel hat mir wirklich
    sehr geholfen.
    Vielen Dank!

    Antworten
  2. Thomas Winter sagte am 25. September 2014 um 10:11:

    Schöner Artikel, etwas mehr tiefe ins Detail wäre wünschenswert gewesen aber um sich einen kurzen Überblick über diese Thematik zu machen absolut ausreichend.

    Antworten
  3. Skeptor Maximus sagte am 23. Oktober 2014 um 11:28:

    Cool, wie groß war denn die Spende von Plesk für diesen Werbeartikel? Kein Wort zu fail2ban, rkhunter oder sonstigen Möglichkeiten. Plesk ist nichts weiter als ein zusätzlicher Kostenpunkt auf der Monatsrechnung, welcher ohne ständige Wartung eher eine zusätzliche Sicherheitslücke darstellt. Der Rest des Artikels sagt nicht mehr aus als “morgens wird es hell, abends wird es dunkel und zufuss ist’s kürzer als über’n Berg”. Ihr wendet euch hier an Rootserver-Administratoren? Dabei schreibt ihr eher für die Zielgruppe “Webhosting Basic mit 1Klick-Website-Configurator”. Großartig.

    Hätte einen Vorschlag für die Titelzeile des nächsten Blogartikels:
    “Das Wichtigste für jeden Autofahrer ist ganz klar ein Kfz!”
    Bitte nicht vergessen auszuführen, dass man am besten auch Reifen am Kfz haben sollte – aber blos nix von Profil erzählen um die Kunden des Taxifahrers nicht zu irritieren.

    Antworten
    • Christin Berges sagte am 28. Oktober 2014 um 13:34:

      Vielen Dank für Ihr Feedback zu diesem Artikel. Unser Ziel war es, das Thema für eine breite Zielgruppe aufzubereiten – auch Einsteiger sollten unserer Beschreibung gut folgen können. Dass der Bedarf für detaillierte Informationen zu diesem Thema da ist, freut uns sehr und wird in Zukunft bei unserer Blogplanung Beachtung finden.

      Antworten
  4. Daniel Schmitz-Buchholz sagte am 23. Oktober 2014 um 12:48:

    Danke. Leider viel zu wenig konkret.

    Antworten
  5. Falk Schönfeld sagte am 23. Oktober 2014 um 14:38:

    Mit meinem Linux-vServer würde ich mich viel sicherer fühlen, wenn sie dafür die AppArmor-Kernelmodule freischalten würden. Damit läßt sich schon im Vorfeld auf Bedrohungen reagieren, die noch gar nicht bekannt sind.

    Antworten
  6. S. Hornung sagte am 24. Oktober 2014 um 14:54:

    >Tiefergehende Informationen zu diesen und weiteren Aspekten der sicheren Server-Konfiguration finden Sie mit einem Klick auf unseren aktuellen Artikel im STRATO Blog.
    Wo ist das denn tiefergehend?
    Die Mail hatte den Betreff “So konfigurieren Sie Ihren Server sicher”.
    Was sich nach Anleitung angehört hat verliert sich in Allgemeinplaetzen.
    Schade

    Antworten
  7. S. Hornung sagte am 24. Oktober 2014 um 18:47:

    Hallo, es ist ja nicht so, dass ich nicht zu schätzen weiß, was Strato zu bieten hat.
    Allerdings hätte ich mir gewünscht, dass wirklich sinnvolle Angebote wie der Securityscan Eingang gefunden hätten.
    In diesem Zusammenhang auf Plesk herumzureiten mit seiner langen Liste an Sicherheitslücken ist fast schon wieder witzig. Nur fast, es geht ja schließlich um Sicherheit.
    Natürlich erleichtert ein Panel wie Plesk die Administration, verführt aber unerfahrene Root server – Nutzer dazu, sich nicht mit dem Linux unten drunter zu beschäftigen, was im Falle eines Serverfehlers dann bedeutet, sich nicht selbst zu helfen zu wissen. Und der Provider winkt erst mal ab. Alles andere ist reine Kulanz.

    Antworten
  8. gaerfield sagte am 26. Oktober 2014 um 15:45:

    > […] und endet nicht mit der regelmäßigen Aktualisierung von
    > Betriebssystem und Software.

    Insbesondere hinsichtlich der Tatsache, dass ein apt-get update auf einem VServer mit den offiziellen Strato-Paketquellen auch nach einer Woche keine Fix für den Shellshock-Bug brachte (als jede Distribution dies bereits in ihren Paketquellen hatte).
    Um die Behebung musste ich mich dann doch selbst kümmern: https://shellshocker.net/

    Antworten
    • Christin Berges sagte am 27. Oktober 2014 um 17:07:

      Vielen Dank für Ihr Feedback. Meine Kollegen aus dem Server-Team würden sich das gerne genauer ansehen. Sofern Sie damit einverstanden sind, würde ich mich freuen, wenn Sie uns Ihre Auftragsnummer und eine kurze Info, welches Betriebssystem Sie verwenden, an facebook@strato.de senden könnten. Herzlichen Dank!

      Antworten
  9. grep sagte am 26. November 2014 um 18:50:

    Hallo …,

    der Einsatz unixartiger Betriebssysteme empfiehlt sich insbesondere im Serverbereich, Microsofts OS hingegen meiner Meinung nach (überhaupt-)nicht; überdies dürften – meines Erachtens nach – Microsofts Produkte ohnehin entbehrlich sein!

    Davon unabhängig dürfte gelten:

    1. Sicherheit ist relativ.
    2. Weniger ist mehr.
    3. Ein Server sollte via CLI administriert werden.
    4. Ein gewissenhafter Administrator sollte absolut ‘paranoid’ sein.

    Der Artikel ist zwar sehr schön geschrieben aber leider wenig konkret; er könnte expliziter, tiefgreifender und umfassender sein.

    Ein Server im Rechenzentrum mit einer derartigen Anbindung ist nun mal kein Spielzeug – wer zu wenig resp. keine Ahnung von der Materiere hat, sollte sich besser auf Managed-Server beschränken.

    Mit besten Grüßen

    Sascha Kühl

    Antworten
  10. Zomg sagte am 24. März 2015 um 1:46:

    Was soll man dazu sagen? Helfen wird der Artikel einem guten Administrator wohl eher nicht. Viele Probleme des Artikels wurden hier schon von anderen Benutzern im Detail erwähnt.

    Wichtig wäre es wohl eher, jedem Kunden der einen Server und mag er noch so klein (V-Server) sein, eine kleine Checkliste mitzugeben, die alle wichtigen Sachen zusammenfasst:
    – Sperren des root
    – rkhunter & chkrootkit
    – Hinweis auf ständiges Updaten & Upgraden!
    … und eigentlich noch vieles mehr, aber prinzipiell würden alleine diese Schritte vielen Benutzern schon helfen.

    Denn später, oder zu spät zu bemerken dass man hier etwas tun muss und das alles nachzuarbeiten, kann sehr anstrengend werden. Und wenn man sagt ein Server gehört nicht in die Hände eines Laien, mag das wohl richtig sein, aber gerade nach solch einem Artikel wird sicher der ein, oder andere Laie motiviert ans Tageswerk gehen… Dann gebt ihm wenigstens irgendwelche Warnhinweise mit auf den Weg, oder richtet schon mal einen Cronjob für Autoupdates ein…

    Antworten
  11. Sven sagte am 24. Oktober 2015 um 0:37:

    Das ist doch mal auf dem Punkt @Zomg.
    Darauf sollten sich die Betreiber mal etwas einfallen lassen.

    Antworten
  12. MogNet sagte am 8. Juni 2016 um 0:02:

    Ich kann es zwar verstehen, dass Strato Managed Server verkaufen möchte. Aber das Installationsimage mit rudimentären Sicherheitslöchern (Root SSH zugriff) oder eben ohne fail2ban, rkhunter oder chrootkit auszuliefern ist schon arg Fahrlässig.

    Man warnt zwar vor Haftungsansprüchen, da es sich aber um angepasste Images von Strato handelt wäre bei einem tatsächlichen Vorfall die Streitfrage warum Strato die Images von der Original Distribution abwandelt, aber die Sicherheit aufgrund dem Kaufargument zu Managed Servern vernachlässigt.

    Letztendlich benötigt man ja keinen Führerschein oder Ausbildung bzw. anerkanntes Studium zum Betrieb eines Servers, und wird der Server ertmal gehackt, steht Anzeige gegen Unbekannt. Regress sehe ich da erstmal nicht, da ich es ja nicht verursacht habe soweit ich nicht grob Fahrlässig die Passwörter im internet irgendwo streue.

    Wie wäre es mal mit nem Installationsimage ausgerichtet an Unbedarfte, die zumindest auf Sicherheit getrimmt sind, um die anderen vor denen zu schützen 😉 Was die danach selbst machen, ist ja ihr Bier, aber Strato könnte sich darauf stützen alles probiert zu haben.

    Antworten
    • Philipp Wolf sagte am 10. Juni 2016 um 9:40:

      Hallo MogNet,

      danke für Deinen Kommentar.

      Wir liefern nur Server aus, die vom Start an sicher sind: Beim root SSH Zugriff wollen wir unseren Kunden einen praktischen und einfachen Zugang ermöglichen. Bezogen auf den Auslieferungszustand mag dieser Zugriff ein „beliebter“ Angriffspunkt sein, von einer Lücke können wir allerdings nicht sprechen. Unsere Kunden können sich den Zugang direkt nach eigenen Wünschen konfigurieren. Wie sie ihn absichern können, erklären wir in unseren FAQ: https://www.strato.de/faq/article/1967/Wie-kann-ich-den-SSH-Dienst-auf-meinem-Linux-Server-absichern.html

      Bei den vorinstallierten Paketen ist es so, dass die Nutzerbedürfnisse und die Wünsche an die Pakete oft auseinander gehen. Wir versuchen, da einen guten Mittelweg zu finden. Deinen Hinweis nehmen wir natürlich gerne zu Kenntnis.

      Grundlegend steht den Nutzern aufgrund der Root-Rechte natürlich frei, Pakete nach Wunsch und Bedarf zu installieren. Gleiches gilt für Images. Ein auf Sicherheit getrimmtes Image, wie Du es beschreibst, nehmen wir als Vorschlag gerne auf.

      Wir versuchen, mithilfe von Tipps und Features unseren Kunden beim Handling ihres Servers zu unterstützen. Dazu gehören zum einen der STRATO SecurityScan, der offene Ports und Sicherheitslücken in Software-Paketen aufspürt und darüber informiert. Zum anderen gehören dazu auch unsere FAQ zum Thema Server: https://www.strato.de/faq/path/803/Server.html Hier arbeiten wir aktuell an einem neuen Artikel zum Thema Serversicherheit, den wir bald veröffentlichen.

      Viele Grüße
      Philipp

      Antworten
  13. fox sagte am 19. April 2019 um 14:40:

    nice article..
    in this time we need perfect security…
    thank you for sharing this type of information…

    Antworten

Hinterlasse eine Antwort

Bitte beachte, dass sich Dein Kommentar auf den Artikel beziehen sollte. Wenn Du ein persönliches Kundenanliegen besprechen möchtest, wende Dich bitte an unseren Kundenservice auf Facebook, Twitter oder über Hilfe & Kontakt.
Wir freuen uns, wenn Du uns Deinen Namen hinterlässt. So wissen wir, wie wir Dich bei unserer Antwort ansprechen können.
Wenn Du Deine E-Mail-Adresse einträgst, wirst Du per Mail über unsere Antwort informiert. Sie wird zum Schutz Deiner Daten aber nicht veröffentlicht. Beide Angaben sind freiwillig.

Hier bloggen

Lisa Kopelmann
Ist Ansprechpartnerin für den Blog und berichtet über aktuelle STRATO Themen

Oliver Meiners
Schreibt über alles, was für Dich als STRATO Kunde wichtig ist

Tobias Mayer
Berichtet über Neuigkeiten aus dem Unternehmen

Michael Poguntke
Schreibt über den Online-Speicher HiDrive, den Homepage-Baukasten, Webshops und Server

Christian Lingnau
Bloggt über WordPress & andere CMS

Franz Neumeier
Gibt Tipps zum erfolgreichen Bloggen

Sven Hähle
Kennt sich bei Domains hervorragend aus

Patrick Schroeder
Erzählt die Stories unserer Kunden

Ann-Christin Schmitt
Schreibt über HiDrive, den Homepage-Baukasten und guten Websitecontent

Christian Rentrop
bloggt über Software-Themen