Homeserver mit Linux
Wie man einen Homeserver mit Linux aufsetzt und Ihn mit sinnvollen Diensten bestückt.
Hallo liebe Forengemeinde,
ich bin zwar nicht blutigster Anfänger in Linux, noch zum ersten mal hier ( ich habe nur meinen Usernamen vergessen ), doch habe ich ein privates Projekt vor, welches meine restlichen Urlaubstage füllen soll und mich auch sonst bei Laune halten soll
Hierzu würde ich gerne erläutern was ich vor habe, wie ich es lösen will und benötige eure hilfe bei der ein oder anderen Sache.
Wenn alles fertig ist, würde ich gerne eine Anleitung daraus basteln, dass a) jeder der das auch vor hat darauf zugreifen kann und b) dass ich nicht wieder alles aufs neue recherchieren muss.
Zum System:
x86 mit mnd. 2,4 GHZ
512 MB RAM ( vielleicht auch mehr )
40 GB Festplatte
Eine USV ( APC ) um das System "oben" zu halten.
Der Plan:
Ein Windows Homeserver ersatz. Vergleichbar mit vorigem, jedoch OpenSource for the open minded
Das Basissystem ist Ubuntu, oder Debian, da bin ich mir noch nicht sicher, der ein oder andere kann mir sicherlich eines von beiden empfehlen. Vorneweg muss ich sagen, dass ich eigendlich mit vielen Linuxarten gespielt habe und spiele, vorallem im embedded Bereich. Ich bin kein Profi, auch kein noob, sagen wir ich kann mir Dinge erarbeiten und umsetzen.
Was der Server können soll:
- DNS ( Es sollen die lokalen Hostnamen aufgelöst werden und wenn er merkt dass es extern ist, bei OpenDNS nachfragen )
- DHCP ( Mit u.a. static leases, so dass bestimmte Systeme stehts die selbe Adresse zugewiesen bekommen, wenn möglich mit WebGUI )
- APCUPSD Master ( an das System ist die USV angeschlossen, die soll über den Server den Clients/Clientserver das shutdown befehlen )
- NIS Network Information Server ( um obiges zu realisieren )
- Mailserver ( Hier ist der knackpunkt, denn ich möchte, dass der Server die Mails der Pop und imap Konten einsammelt, Virenscannt, Spam scannt und auch den Mailversand ermöglicht, dies aber über den SMTP Server des hosters, wegen den MX Einträgen, so dass die clients ( Thunderbird ) via IMAP auf nur diesen Server zugreifen ( die originale bleiben vorerst auf dem Server im Internet beim Hoster wegen der Sicherheit ) --> Hier benötige ich genauere Hinweise, wie dies geht )
- ClamAV als Virenscanner
- Spamassassin
- Outlook like Terminplaner "Server"
- Webmail ( nur vom internen Netz aus )
- Intranet ( dass ich Homepages, etc, testen kann )
- MySQL
- Grafische Serververwaltung ( Ich weiss, console r00lt , sehe ich auch so, aber einfache Sachen, oder wichtiges is in nem GUI einfacher )
- TFTP Server, um meine Cisco Phones zu konfigurieren
- NTP Server, der sich nach einer Master Uhr im Netz stellt, diese dann an die internen clients verteilt
- FTP Server um konfig Dateien zu verschieben
Mir ist bewusst, dass einige Dinge nicht wirklich zu Hause benötigt werden, aber ich würde gerne etwas "spielen" und habe leider keine Möglichkeit das auf absehbare Zeit geschäftlich zu machen, aber ich würde es mir gerne selber beibringen und im Heimnetzwerk ist es da doch am sichersten.
Wie ich das Ganze vor habe:
- DHCP und DNS mit bind9 und DNSMasq
- APC Überwachung mit APCUPSD und einer cgi file zum monitoring
- NIS mit NIS
- Mailserver <-- Hier brauch ich dringendst hilfe
- Intranet mit Apache2
- MySQL 4.2 ( Ich habe gelesen, dass die 5.0 sehr buggy sein soll )
- Grafische Verwaltung: eBox kennt nur zwei optionen, da scheint was nicht zu gehen, daher eher webmin, es sei denn jemand kennt was besseres
- NTP <-- Auch hier bin ich um sachdienliche Hinweise sehr dankbar
- FTP mit ProFTPD
- tftp mit tftpd
Nun meine Fragen:
- Wie schaffe ich die Outlook/Exchange mäßige OpenSource Lösung wie oben benannt zu realisieren?
- Wie schaffe ich die NTP Sache zu realisieren?
- Macht es sinn, dass System mit grsecurity 2.0 auszustatten? Ich habe dieses noch nie verwendet, würde mir aber davon versprechen, dass das Linux etwas gehärteter ist, dass sich Viren u.a. nicht einfach so ausbreiten kann.
- Macht es sinn, den Server in die DMZ zu stellen? und ihn mit iptables individuell zu schützen oder einfach nur Ports dahin leiten?
- Webcache, dass seiten die oft benötigt werden, sofort zur Verfügung stehen. Wie mache ich das und wie sorge ich dafür, dass die links nicht veralten?
Für eure hilfe wäre ich euch sehr dankbar!
Ich wünsche allen ein frohes neues Jahr!
Gruss
Toby
Hallo liebe Forengemeinde,
ich bin zwar nicht blutigster Anfänger in Linux, noch zum ersten mal hier ( ich habe nur meinen Usernamen vergessen ), doch habe ich ein privates Projekt vor, welches meine restlichen Urlaubstage füllen soll und mich auch sonst bei Laune halten soll
Hierzu würde ich gerne erläutern was ich vor habe, wie ich es lösen will und benötige eure hilfe bei der ein oder anderen Sache.
Wenn alles fertig ist, würde ich gerne eine Anleitung daraus basteln, dass a) jeder der das auch vor hat darauf zugreifen kann und b) dass ich nicht wieder alles aufs neue recherchieren muss.
Zum System:
x86 mit mnd. 2,4 GHZ
512 MB RAM ( vielleicht auch mehr )
40 GB Festplatte
Eine USV ( APC ) um das System "oben" zu halten.
Der Plan:
Ein Windows Homeserver ersatz. Vergleichbar mit vorigem, jedoch OpenSource for the open minded
Das Basissystem ist Ubuntu, oder Debian, da bin ich mir noch nicht sicher, der ein oder andere kann mir sicherlich eines von beiden empfehlen. Vorneweg muss ich sagen, dass ich eigendlich mit vielen Linuxarten gespielt habe und spiele, vorallem im embedded Bereich. Ich bin kein Profi, auch kein noob, sagen wir ich kann mir Dinge erarbeiten und umsetzen.
Was der Server können soll:
- DNS ( Es sollen die lokalen Hostnamen aufgelöst werden und wenn er merkt dass es extern ist, bei OpenDNS nachfragen )
- DHCP ( Mit u.a. static leases, so dass bestimmte Systeme stehts die selbe Adresse zugewiesen bekommen, wenn möglich mit WebGUI )
- APCUPSD Master ( an das System ist die USV angeschlossen, die soll über den Server den Clients/Clientserver das shutdown befehlen )
- NIS Network Information Server ( um obiges zu realisieren )
- Mailserver ( Hier ist der knackpunkt, denn ich möchte, dass der Server die Mails der Pop und imap Konten einsammelt, Virenscannt, Spam scannt und auch den Mailversand ermöglicht, dies aber über den SMTP Server des hosters, wegen den MX Einträgen, so dass die clients ( Thunderbird ) via IMAP auf nur diesen Server zugreifen ( die originale bleiben vorerst auf dem Server im Internet beim Hoster wegen der Sicherheit ) --> Hier benötige ich genauere Hinweise, wie dies geht )
- ClamAV als Virenscanner
- Spamassassin
- Outlook like Terminplaner "Server"
- Webmail ( nur vom internen Netz aus )
- Intranet ( dass ich Homepages, etc, testen kann )
- MySQL
- Grafische Serververwaltung ( Ich weiss, console r00lt , sehe ich auch so, aber einfache Sachen, oder wichtiges is in nem GUI einfacher )
- TFTP Server, um meine Cisco Phones zu konfigurieren
- NTP Server, der sich nach einer Master Uhr im Netz stellt, diese dann an die internen clients verteilt
- FTP Server um konfig Dateien zu verschieben
Mir ist bewusst, dass einige Dinge nicht wirklich zu Hause benötigt werden, aber ich würde gerne etwas "spielen" und habe leider keine Möglichkeit das auf absehbare Zeit geschäftlich zu machen, aber ich würde es mir gerne selber beibringen und im Heimnetzwerk ist es da doch am sichersten.
Wie ich das Ganze vor habe:
- DHCP und DNS mit bind9 und DNSMasq
- APC Überwachung mit APCUPSD und einer cgi file zum monitoring
- NIS mit NIS
- Mailserver <-- Hier brauch ich dringendst hilfe
- Intranet mit Apache2
- MySQL 4.2 ( Ich habe gelesen, dass die 5.0 sehr buggy sein soll )
- Grafische Verwaltung: eBox kennt nur zwei optionen, da scheint was nicht zu gehen, daher eher webmin, es sei denn jemand kennt was besseres
- NTP <-- Auch hier bin ich um sachdienliche Hinweise sehr dankbar
- FTP mit ProFTPD
- tftp mit tftpd
Nun meine Fragen:
- Wie schaffe ich die Outlook/Exchange mäßige OpenSource Lösung wie oben benannt zu realisieren?
- Wie schaffe ich die NTP Sache zu realisieren?
- Macht es sinn, dass System mit grsecurity 2.0 auszustatten? Ich habe dieses noch nie verwendet, würde mir aber davon versprechen, dass das Linux etwas gehärteter ist, dass sich Viren u.a. nicht einfach so ausbreiten kann.
- Macht es sinn, den Server in die DMZ zu stellen? und ihn mit iptables individuell zu schützen oder einfach nur Ports dahin leiten?
- Webcache, dass seiten die oft benötigt werden, sofort zur Verfügung stehen. Wie mache ich das und wie sorge ich dafür, dass die links nicht veralten?
Für eure hilfe wäre ich euch sehr dankbar!
Ich wünsche allen ein frohes neues Jahr!
Gruss
Toby
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 105033
Url: https://administrator.de/contentid/105033
Ausgedruckt am: 22.11.2024 um 14:11 Uhr
11 Kommentare
Neuester Kommentar
Hi,
na Du scheinst ja viel Urlaub zu haben ....
Empfehlung:
a) Ubuntu als OS - weil i.d.R. etwas aktueller als Debian. Die LTS-Varianten haben lange Support und Du musst nicht alles immer wieder neu machen.
b) Miete Dir einen VServer irgendwo für billig Geld - gerade beim Thema E-Mail haste schlechte Karten weil viele Provider inzwischen die Mailannahme von DSL-Netzen verweigern. Greylisting als die Antispammassnahme schlechthin funktioniert auf einem "echten" Server deutlich besser, Einsammeln von Emails auch, Webmail, etc.
c) Outlook: Such mal nach den Stichworten WebDav und ical
d) NTP - was willste da realisieren? Installation, Eintrag pool.ntp.org, läuft.
e) grsecurity - aus Spass an der Freud sicher. Virenscanner für Privat für Linux gibts bei Avira als Freeav-Variante kostenfrei
f) IP-Tables: Grundsätzlich ja, es bleibt die Aufwand-Nutzen-Frage. Zumal es i.d.R. bei normalen Routern von DSL-Anbietern keine echte DMZ gibt...
h) Bind und DNSMasq ist doppelt gemoppelt - DNSMasq kann auch DNS
Unter www.howtoforge.com und www.howtoforge.de findest Du Anleitungen für den "perfekten Server"...
Grüße
na Du scheinst ja viel Urlaub zu haben ....
Empfehlung:
a) Ubuntu als OS - weil i.d.R. etwas aktueller als Debian. Die LTS-Varianten haben lange Support und Du musst nicht alles immer wieder neu machen.
b) Miete Dir einen VServer irgendwo für billig Geld - gerade beim Thema E-Mail haste schlechte Karten weil viele Provider inzwischen die Mailannahme von DSL-Netzen verweigern. Greylisting als die Antispammassnahme schlechthin funktioniert auf einem "echten" Server deutlich besser, Einsammeln von Emails auch, Webmail, etc.
c) Outlook: Such mal nach den Stichworten WebDav und ical
d) NTP - was willste da realisieren? Installation, Eintrag pool.ntp.org, läuft.
e) grsecurity - aus Spass an der Freud sicher. Virenscanner für Privat für Linux gibts bei Avira als Freeav-Variante kostenfrei
f) IP-Tables: Grundsätzlich ja, es bleibt die Aufwand-Nutzen-Frage. Zumal es i.d.R. bei normalen Routern von DSL-Anbietern keine echte DMZ gibt...
h) Bind und DNSMasq ist doppelt gemoppelt - DNSMasq kann auch DNS
Unter www.howtoforge.com und www.howtoforge.de findest Du Anleitungen für den "perfekten Server"...
Grüße
Uii - das ging ja flink mit dem Antworten
b) Die Idee des Mietservers hat ein paar Aspekte: Du kannst das Mailing darüber abwickeln und das auch mit Greylisting, die für mich effektivste Spamabwehr (habe bei rund 1000 Emails eine Abweiserate von 95% nur durch die Kombination von Greylisting und Prüfung des SMTP-Protokolls auf Korrektheit). Das funktioniert aber nur, wenn der Server IMMER erreichbar ist. Bei 1&1 kannste das schwer nachträglich abbilden, da Du auf den Mailer selbst keinen Einfluss hast. Punkt zwei ist, dass der Versand von Emails damit besser klappt - von einem DSL-Anbieter kannste wie gesagt nur unter erschwerten Bedingungen senden - mit einem VServer und fester IP geht das. Dann sind aber die iCAL-Informationen auch immer Online ablegbar - ggf. können auch Dritte auf den ICAL schauen und das 24/7 - bei DSL können immer mal Ausfallzeiten auftreten ...
c) Webdav ist eine Methode zum Filetransfer über http (ganz grob gesagt), ical ein Dateiformat zum Ablegen von Kalenderinformationen. Modernere Programme unterstützen dieses ical-Format für Kalenderinformationen und damit kannste das ohne Exchange realisieren. Schau Dir auch zum Thema Webmail die Lösung "Horde" an, die stellt ICAL bereit.
d) Wie gesagt - das Paket ntpserver installieren und that's it.
e) Die Frage ist, ob Aufwand/Nutzen stimmt. Mit solchen Hardening-Tools kannste es auch erreichen, dass der Server so dicht ist, dass nix mehr geht und jede Paketanpassung zur Frickelei wird. Das ist eher eine philosophische Entscheidung, ob Du das machst oder nicht. Klar - man sollte auf eine passende Grund-Konfig achten, aber mit einfachen Tricks geht das schon fast von allein: ssh auf Port xy und nicht 22, Apache in einer chroot-Umgebung, jede Website mit separaten Rechten ausstatten - damit haste weniger Aufwand und trotzdem ist es relativ sicher. Fakt ist: je komplexer das System, umso mehr Angriffsfläche gibt es.
ClamAV - grundsätzlich geht. Allerdings gibt es auch ab und an den Zustand, dass ClamAV nix findet, weil Signatur unbekannt, dann aber auch Fehlalarme, weil die Signatur zu unscharf ist. Deshalb ziehe ich mich gern auf FreeAV oder ähnliches zurück ...
f) Dacht ich es doch - das ist keine DMZ!!! Wenn der Rechner geknackt wird, hat der Hacker Zugriff auf alle NEtzwerkressourcen Deines Netzwerks. Das passiert bei einer echten DMZ nicht, da da entweder noch eine zweite Firewall steht oder ein physikalisch separates Netzwerk vorhanden ist. Diese im Router propagierte DMZ ist ein Witz, weil sie im Prinzip keine Sicherheit bietet, schon gar nicht die Sicherheit einer DMZ. Schau mal hier: http://de.wikipedia.org/wiki/Demilitarized_Zone Dort ist die DMZ in der zweiten Grafik als separates Netzsegment ausgelegt... Deine Variante ist im Sinne des Wikipedia-Artikels ein "Exposed Host".
h) Es gibt sowohl bei bind wie auch DNSMasq die Möglichkeit, forwarder zu definieren. Da gibste die DNS des Providers an und alles wird gut
i) Webcache: die große Lösung mit Squid und SquidGuard oder was kleineres wie polipo sind nett ... Polipo: http://www.pps.jussieu.fr/~jch/software/polipo/ - gibt es auch als fertiges Paket für Debian/Ubuntu...
CU
b) Die Idee des Mietservers hat ein paar Aspekte: Du kannst das Mailing darüber abwickeln und das auch mit Greylisting, die für mich effektivste Spamabwehr (habe bei rund 1000 Emails eine Abweiserate von 95% nur durch die Kombination von Greylisting und Prüfung des SMTP-Protokolls auf Korrektheit). Das funktioniert aber nur, wenn der Server IMMER erreichbar ist. Bei 1&1 kannste das schwer nachträglich abbilden, da Du auf den Mailer selbst keinen Einfluss hast. Punkt zwei ist, dass der Versand von Emails damit besser klappt - von einem DSL-Anbieter kannste wie gesagt nur unter erschwerten Bedingungen senden - mit einem VServer und fester IP geht das. Dann sind aber die iCAL-Informationen auch immer Online ablegbar - ggf. können auch Dritte auf den ICAL schauen und das 24/7 - bei DSL können immer mal Ausfallzeiten auftreten ...
c) Webdav ist eine Methode zum Filetransfer über http (ganz grob gesagt), ical ein Dateiformat zum Ablegen von Kalenderinformationen. Modernere Programme unterstützen dieses ical-Format für Kalenderinformationen und damit kannste das ohne Exchange realisieren. Schau Dir auch zum Thema Webmail die Lösung "Horde" an, die stellt ICAL bereit.
d) Wie gesagt - das Paket ntpserver installieren und that's it.
e) Die Frage ist, ob Aufwand/Nutzen stimmt. Mit solchen Hardening-Tools kannste es auch erreichen, dass der Server so dicht ist, dass nix mehr geht und jede Paketanpassung zur Frickelei wird. Das ist eher eine philosophische Entscheidung, ob Du das machst oder nicht. Klar - man sollte auf eine passende Grund-Konfig achten, aber mit einfachen Tricks geht das schon fast von allein: ssh auf Port xy und nicht 22, Apache in einer chroot-Umgebung, jede Website mit separaten Rechten ausstatten - damit haste weniger Aufwand und trotzdem ist es relativ sicher. Fakt ist: je komplexer das System, umso mehr Angriffsfläche gibt es.
ClamAV - grundsätzlich geht. Allerdings gibt es auch ab und an den Zustand, dass ClamAV nix findet, weil Signatur unbekannt, dann aber auch Fehlalarme, weil die Signatur zu unscharf ist. Deshalb ziehe ich mich gern auf FreeAV oder ähnliches zurück ...
f) Dacht ich es doch - das ist keine DMZ!!! Wenn der Rechner geknackt wird, hat der Hacker Zugriff auf alle NEtzwerkressourcen Deines Netzwerks. Das passiert bei einer echten DMZ nicht, da da entweder noch eine zweite Firewall steht oder ein physikalisch separates Netzwerk vorhanden ist. Diese im Router propagierte DMZ ist ein Witz, weil sie im Prinzip keine Sicherheit bietet, schon gar nicht die Sicherheit einer DMZ. Schau mal hier: http://de.wikipedia.org/wiki/Demilitarized_Zone Dort ist die DMZ in der zweiten Grafik als separates Netzsegment ausgelegt... Deine Variante ist im Sinne des Wikipedia-Artikels ein "Exposed Host".
h) Es gibt sowohl bei bind wie auch DNSMasq die Möglichkeit, forwarder zu definieren. Da gibste die DNS des Providers an und alles wird gut
i) Webcache: die große Lösung mit Squid und SquidGuard oder was kleineres wie polipo sind nett ... Polipo: http://www.pps.jussieu.fr/~jch/software/polipo/ - gibt es auch als fertiges Paket für Debian/Ubuntu...
CU
Ohne grundlegende Linuxkenntnisse wirst Du in einer großen Frustration enden. Alle Vorschläge sind nun mal von Leuten gemacht, die in der Materie stecken. Mache es so wie ich und installiere Dir den SME-Server, der bietet Dir alles und noch ein wenig mehr. Ich habe die Software z.B. mit der fetchmail-Komponente erweitert, so daß meine pop3-Konten von 1und1 abgefragt werden. Es wird in den Anleitungen recht gut erklärt.
Gruß,
Arch Stanton
Gruß,
Arch Stanton
Oder eine sehr gute Variante ist auch der Heise ct Server der schon komplett fertig ist:
http://www.heise.de/ct/projekte/srv/
http://www.heise.de/ct/projekte/srv/
Der vServer ist ein Root-Server, nur dass es eben kein Stück Blech für Dich allein ist, sondern ein Stück Blech ist, auf dem verschiedene Root-Server quasi parallel arbeiten.
Die Sorgfaltspflicht ist bei root-Server und vServer identisch. Nur ist ein vServer preiswerter, da virtuell -> weniger Strom, weniger Platte, weniger ...
Einrichten musste das i.d.R. auch selbst und da mach einfach langsam. Erstmal den ssh-port verlegen, dann alle Dienste abschalten und langsam eins nach dem anderen mit Hilfe verschiedener Anleitungen konfigurieren. Wenn möglich, nutze chroot-Umgebungen und denke drei oder zwei Minuten länger darüber nach, ob root-Rechte wirklich an der entsprechenden Stelle notwendig sind.
Übrigens - es ist prinzipiell egal, ob Du einen root-Server oder vServer mietest oder das Linux unterm Schreibtisch laufen hast. Die entsprechende Sorgfalt musste eh an den Tag legen - die Hacker prüfen mit Sicherheit nicht vor dem Hacken, ob der Server bei Dir unterm Schreibtisch steht und lassen ihn dann in Ruhe - deshalb ist das von der Qualität her ähnlich und Du musst ähnliche Dinge tun.
Rechne aber einfach mit dem spitzen Stift - was kostet Dich ein Server zu Hause unterm Tisch, was kostet auch der Strom und eine 24/7-Absicherung, was kostet dagegen ein vServer bei z.B. server4you? Der Spass ist der gleiche - auch wenn Du nicht zugucken kannst, wie die CD-Schublade aufgeht ....
Die Sorgfaltspflicht ist bei root-Server und vServer identisch. Nur ist ein vServer preiswerter, da virtuell -> weniger Strom, weniger Platte, weniger ...
Einrichten musste das i.d.R. auch selbst und da mach einfach langsam. Erstmal den ssh-port verlegen, dann alle Dienste abschalten und langsam eins nach dem anderen mit Hilfe verschiedener Anleitungen konfigurieren. Wenn möglich, nutze chroot-Umgebungen und denke drei oder zwei Minuten länger darüber nach, ob root-Rechte wirklich an der entsprechenden Stelle notwendig sind.
Übrigens - es ist prinzipiell egal, ob Du einen root-Server oder vServer mietest oder das Linux unterm Schreibtisch laufen hast. Die entsprechende Sorgfalt musste eh an den Tag legen - die Hacker prüfen mit Sicherheit nicht vor dem Hacken, ob der Server bei Dir unterm Schreibtisch steht und lassen ihn dann in Ruhe - deshalb ist das von der Qualität her ähnlich und Du musst ähnliche Dinge tun.
Rechne aber einfach mit dem spitzen Stift - was kostet Dich ein Server zu Hause unterm Tisch, was kostet auch der Strom und eine 24/7-Absicherung, was kostet dagegen ein vServer bei z.B. server4you? Der Spass ist der gleiche - auch wenn Du nicht zugucken kannst, wie die CD-Schublade aufgeht ....
Bei den vServeranbietern kannste i.d.R. per Webinterface eine kostenfreie komplette Neuinstallaton beauftragen - kein Problem. Wenn Du etwas mehr Sicherheit willst, dann schau mal zu Strato Root-Servern. Die haben i.d.R. zwei IP's - eine NetzwerkIP und eine KonsolenIP - auch wenn der Server komplett zerlegt wurde, kommste über die KonsolenIP noch dran. Dadurch kannste auch ein anderes OS drauf tun als das vorgefertigte OS von Strato.
Sorgfaltspflicht:
Wie gesagt, es ist unerheblich, ob der Server nun unter dem Schreibtisch steht oder beim Provider - im Zweifelsfall biste fällig und da macht es wirklich keinen Unterschied, wo das Ding steht. Beim Provider kann es sogar sein, dass der Mechanismen hat, die dafür sorgen, dass bei zuviel Traffik eine Abschaltung vorgenommen wird - wegen Verdacht der Sabotage am System. Das haste zu Hause nicht.
Wichtig auch für den Staatsanwalt ist:
- Hast Du das System regelmäßig gewartet und Patches/Updates eingespielt (und das ist mit Debian/Ubuntu ja nun wahrlich ein Kinderspiel).
- Hast Du sorgsam die Konfigurationen recherchiert, bevor Du was gemacht hast (www.howtoforge.de).
- Hast Du Hinweise auf dem System hinterlassen - z.B. bei der Anmeldung, die zeigen, dass der unerlaubte Gebrauch verboten ist?
- Hast Du eine Firewall auf dem System oder zumindest eine Verschleierungstaktik eingeschlagen?
- Was passiert bei einem Portscan - wehrt sich der Server oder meldet er sich oder sowas????
Mir ist das auch schon passiert, dass mein Root-Server geknackt wurde. Warum? Sicherheitslücke in Joomla !!! Folge: zu hoher Traffik und Abschaltung durch den Provider - das kann passieren.
Genauso kann es passieren, dass Du trotz Sicherheitsgurt mit dem Auto einen Unfall baust und Dir ein Bein brichst. Für den Staatsanwalt wäre in diesem Falle auch die Frage, ob Du den Sicherheitsgurt angelegt hast und nicht zu schnell warst.
Analog kannste das beim Server auch sehen - bist Du der Verantwortung nachgekommen, regelmäßig zu patchen und trotzdem einen Zero-Day Exploit aufgesessen? Da passiert dann i.d.R. auch vom Staatsanwalt nix, wenn Du glaubhaft machen kannst, dass Du es nicht warst und auch durch regelmäßiges Patchen dafür gesorgt hast, dass es kein anderer tut... wenn es dann doch passiert, fällt das unter Pech ...
Wichtig ist wie gesagt, dass Du glaubhaft machen kannst, dass Du Dich gekümmert hast - beispielsweise auch mal jemand anderes auf das System draufgelassen hast, damit der mal nach Sicherheitslücken schaut - da kennste bestimmt jemanden, der helfen kann.
Um das abzuchecken kannste auch in einer Virtual Box ein Ubuntu zu Hause laufen lassen und mit Nessus den Server dann auf Sicherheitslücken untersuchen - einmal alle vier Wochen ein Scan und schon weisste mehr.
Sorgfaltspflicht:
Wie gesagt, es ist unerheblich, ob der Server nun unter dem Schreibtisch steht oder beim Provider - im Zweifelsfall biste fällig und da macht es wirklich keinen Unterschied, wo das Ding steht. Beim Provider kann es sogar sein, dass der Mechanismen hat, die dafür sorgen, dass bei zuviel Traffik eine Abschaltung vorgenommen wird - wegen Verdacht der Sabotage am System. Das haste zu Hause nicht.
Wichtig auch für den Staatsanwalt ist:
- Hast Du das System regelmäßig gewartet und Patches/Updates eingespielt (und das ist mit Debian/Ubuntu ja nun wahrlich ein Kinderspiel).
- Hast Du sorgsam die Konfigurationen recherchiert, bevor Du was gemacht hast (www.howtoforge.de).
- Hast Du Hinweise auf dem System hinterlassen - z.B. bei der Anmeldung, die zeigen, dass der unerlaubte Gebrauch verboten ist?
- Hast Du eine Firewall auf dem System oder zumindest eine Verschleierungstaktik eingeschlagen?
- Was passiert bei einem Portscan - wehrt sich der Server oder meldet er sich oder sowas????
Mir ist das auch schon passiert, dass mein Root-Server geknackt wurde. Warum? Sicherheitslücke in Joomla !!! Folge: zu hoher Traffik und Abschaltung durch den Provider - das kann passieren.
Genauso kann es passieren, dass Du trotz Sicherheitsgurt mit dem Auto einen Unfall baust und Dir ein Bein brichst. Für den Staatsanwalt wäre in diesem Falle auch die Frage, ob Du den Sicherheitsgurt angelegt hast und nicht zu schnell warst.
Analog kannste das beim Server auch sehen - bist Du der Verantwortung nachgekommen, regelmäßig zu patchen und trotzdem einen Zero-Day Exploit aufgesessen? Da passiert dann i.d.R. auch vom Staatsanwalt nix, wenn Du glaubhaft machen kannst, dass Du es nicht warst und auch durch regelmäßiges Patchen dafür gesorgt hast, dass es kein anderer tut... wenn es dann doch passiert, fällt das unter Pech ...
Wichtig ist wie gesagt, dass Du glaubhaft machen kannst, dass Du Dich gekümmert hast - beispielsweise auch mal jemand anderes auf das System draufgelassen hast, damit der mal nach Sicherheitslücken schaut - da kennste bestimmt jemanden, der helfen kann.
Um das abzuchecken kannste auch in einer Virtual Box ein Ubuntu zu Hause laufen lassen und mit Nessus den Server dann auf Sicherheitslücken untersuchen - einmal alle vier Wochen ein Scan und schon weisste mehr.