11
Server sichern
Hallo liebe Administratoren,
ich habe hier zu Hause einer Server zu laufen mit einer Website über DDNS. es sind nur eigentlich Informative Sachen auf dieser Seite zu erfahren, bis auf die Eingabe Maske für anfragen Email. Muss ich da noch besondere Sachen überdenken, das dieser Server nicht angegriffen werden kann?
Auf dem Server läuft ein Proxmox und die Webseite in einem VM mit Linux Debian12 und Apache gehostet, es läuft nur PHP drauf und mit Privatem SSL/TSL Zertifikat.
Ach ja und alles in einer DMZ für den kleinen Mann.
LG matze
ich habe hier zu Hause einer Server zu laufen mit einer Website über DDNS. es sind nur eigentlich Informative Sachen auf dieser Seite zu erfahren, bis auf die Eingabe Maske für anfragen Email. Muss ich da noch besondere Sachen überdenken, das dieser Server nicht angegriffen werden kann?
Auf dem Server läuft ein Proxmox und die Webseite in einem VM mit Linux Debian12 und Apache gehostet, es läuft nur PHP drauf und mit Privatem SSL/TSL Zertifikat.
Ach ja und alles in einer DMZ für den kleinen Mann.
LG matze
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 671071
Url: https://administrator.de/forum/server-sichern-671071.html
Ausgedruckt am: 12.03.2025 um 11:03 Uhr
11 Kommentare
Neuester Kommentar
Moin,
tja, man sollte zumindest mit Failban den Server absichern und alle unnötigen Ports schließen. Zudem sollte man den Proxmox und die VM regelmäßig die Updates aufspielen.
Aber ich denke die Profis werden bestimmt noch weitere Dinge Dir sagen.
Achso falls Du eine Website bestreibst muss Du ein Impressum vorhalten, sonst könntest Du eine Abmahnung bekommen.
Gruß
tja, man sollte zumindest mit Failban den Server absichern und alle unnötigen Ports schließen. Zudem sollte man den Proxmox und die VM regelmäßig die Updates aufspielen.
Aber ich denke die Profis werden bestimmt noch weitere Dinge Dir sagen.
Achso falls Du eine Website bestreibst muss Du ein Impressum vorhalten, sonst könntest Du eine Abmahnung bekommen.
Gruß
Moin,
Ich würde, wie oben schon gesagt, Fail2Ban vorschalten.
Prüfe in Summe, was du tun kannst/ musst, im (D)DoS Angriffe abzufangen, bevor die am Webserver aufschlagen. Sonst geht deine VM und ggf. Dein Proxmox schnell in die Knie
Prüfe auch dein Frontend dahingehend, dass ein Angreifer es nicht schafft, das Formular vor dem absenden zu manipulieren. Nicht, dass er deine Seite nutzt, x-beliebige Empfänger-Adressen und Texte einträgt und über deinen Mail-Server dann Mails raushaut.
Da reicht auch schon ein böser Bursche und würde folglich nicht via DDoS Detection erkannt werden.
Somit sollten im Formular nie nie niemals irgendwelche Zugangsdaten oder Empfänger stehen. Das würde man beispielsweise eher ins Backend verlagern.
Ich würde, wie oben schon gesagt, Fail2Ban vorschalten.
Prüfe in Summe, was du tun kannst/ musst, im (D)DoS Angriffe abzufangen, bevor die am Webserver aufschlagen. Sonst geht deine VM und ggf. Dein Proxmox schnell in die Knie
Prüfe auch dein Frontend dahingehend, dass ein Angreifer es nicht schafft, das Formular vor dem absenden zu manipulieren. Nicht, dass er deine Seite nutzt, x-beliebige Empfänger-Adressen und Texte einträgt und über deinen Mail-Server dann Mails raushaut.
Da reicht auch schon ein böser Bursche und würde folglich nicht via DDoS Detection erkannt werden.
Somit sollten im Formular nie nie niemals irgendwelche Zugangsdaten oder Empfänger stehen. Das würde man beispielsweise eher ins Backend verlagern.
Moin,
Wenn man da keinen Bock drauf hat und/oder die Zeit sparen will: kleinen VPS für kleines Geld anmieten und das Risiko outsourcen.
Gruß
DivideByZero
Muss ich da noch besondere Sachen überdenken, das dieser Server nicht angegriffen werden kann?
ja, Dich davon verabschieden, dass das nicht möglich wäre. Daher möglichst hohes Schutzniveau einrichten und durchhalten. Erste Schritte wie oben.Auf dem Server läuft ein Proxmox und die Webseite in einem VM mit Linux Debian12 und Apache gehostet, es läuft nur PHP drauf und mit Privatem SSL/TSL Zertifikat.
Also abdichten gegen Sicherheitslücken in Proxmos, Debian12, Apache und PHP - sprich: auf Updates achten und einspielen.Wenn man da keinen Bock drauf hat und/oder die Zeit sparen will: kleinen VPS für kleines Geld anmieten und das Risiko outsourcen.
Ach ja und alles in einer DMZ für den kleinen Mann.
Das ist was?Gruß
DivideByZero
Abdichten des OS ist auch noch ein guter Punkt. Thomas-Krenn hat da einiges zusammengetragen:
https://www.thomas-krenn.com/de/wiki/Absicherung_eines_Debian_Servers
Und zum Apache findet sich hier vieles:
https://geekflare.com/cybersecurity/apache-web-server-hardening-security ...
https://www.thomas-krenn.com/de/wiki/Absicherung_eines_Debian_Servers
Und zum Apache findet sich hier vieles:
https://geekflare.com/cybersecurity/apache-web-server-hardening-security ...
Fail2ban ist ein Muss und ebenso den SSH Zugang auf einen Key umstellen.
https://www.heise.de/select/ct/2022/21/2223709091059562015
Trotz DMZ solltest du ggf. die nftables Firewall aktivieren.
Kopplung von 2 Routern am DSL Port
https://www.heise.de/select/ct/2022/21/2223709091059562015
Trotz DMZ solltest du ggf. die nftables Firewall aktivieren.
Ach ja und alles in einer DMZ für den kleinen Mann. Das ist was?
Üblicherweise bezeichnet man damit ein einfaches Kaskaden Setup mit 2 billigen NAT Routern. Eine "richtige" Firewall basierte DMZ in dem Sinne ist das nicht und birgt deshalb ein latentes Risiko.Kopplung von 2 Routern am DSL Port
Moin
Gruß,
Dani
Prüfe in Summe, was du tun kannst/ musst, im (D)DoS Angriffe abzufangen, bevor die am Webserver aufschlagen. Sonst geht deine VM und ggf. Dein Proxmox schnell in die Knie
da der Server zu Hause steht, wirst du deinem ISP vertrauen müssen...Gruß,
Dani
Zitat von @Dani:
Moin
Wobei eine pfSense mit SNORT nicht schaden täte:Moin
Prüfe in Summe, was du tun kannst/ musst, im (D)DoS Angriffe abzufangen, bevor die am Webserver aufschlagen. Sonst geht deine VM und ggf. Dein Proxmox schnell in die Knie
da der Server zu Hause steht, wirst du deinem ISP vertrauen müssen...https://simplificandoredes.com/en/snort-pfsense-detect-dos-attack/
Sind dann zunächst mal keine DDoS, sondern „nur“ DoS…. Wobei: wenn die verteilte Systeme im einzelnen „ausreichend“ Anfragen senden, da auch einiges weg geblockt werden könnte…
Nabend schön,
also einige Dinge hab ich jetzt schon brav abgearbeitet wie Jail2ban, SSH Login mit Public Key Authentifizierung, Impressum aber das war schon im Vorfeld klar, die Sachen von Thomas Krenn und nun bin ich an dem DDoS dran und hab dazu eine Frage, vlt hat ja jemand Erfahrung.
Ist das mit Cloudflare Free Tarif sinnvoll?
lg matze
also einige Dinge hab ich jetzt schon brav abgearbeitet wie Jail2ban, SSH Login mit Public Key Authentifizierung, Impressum aber das war schon im Vorfeld klar, die Sachen von Thomas Krenn und nun bin ich an dem DDoS dran und hab dazu eine Frage, vlt hat ja jemand Erfahrung.
Ist das mit Cloudflare Free Tarif sinnvoll?
lg matze
Das kannst du über die onboard nftables Firewall lösen wie z.B. HIER ansatzweise beschrieben.
Wenn es das denn nun war bitte deinen Thread dann auch als erledigt schliessen!
Wie kann ich einen Beitrag als gelöst markieren?
Wie kann ich einen Beitrag als gelöst markieren?
Moin @matze511
Gruß,
Dani
DDoS dran und hab dazu eine Frage, vlt hat ja jemand Erfahrung. Ist das mit Cloudflare Free Tarif sinnvoll?
Ist eine Option. Ob du jemals Opfer eines DDoS wirst, musst du beurteilen...Gruß,
Dani
