Server absichern Grundlagen

Sicherheit ist ja ein weiter Begriff und lässt sich auf verschiedene Aspekte anwenden.
Zur Ausfallssicherheit werden alle meine Server mit Redundanten Netzteilen betrieben, sollte ein Netzteil ausfallen, kann der Server trotzdem weiterarbeiten. Ich habe eine USV zur Stromversorgung und Redundante Internetanbindung.
Die Server werden Physisch Geschützt indem Sie sich in einem abgeschlossenen, gesicherten Schrank befinden. In diesem Schrank befinden sich Sensoren zur Brandfrüherkennung, falls ein Server brennen sollte.
Die Server befinden sich hinter einer separaten Firewall in einem abgeschotteten Subnetz. Ein direkter Zugriff von außen ist überhaupt nicht möglich, für den Zugriff habe ich einen weiteren Server laufen, der als Load Balancer die Daten zu den eigentlichen Servern tunnelt.
Auf diesen Server kann natürlich nur vor Ort zugegriffen werden, ein externes Warten ist nicht möglich.

Die Liste wird recht lang sein, aber hier schonmal ein paar Tipps fuer den Anfang:

1.) Root Nutzer deaktivieren (bzw. nicht nutzen) und sudo installieren bzw. nutzen mit einem normalen Account
2.) SSH Zugriff nur per Zertifikate erlauben und Login per Passwort unterbinden.
3,) Fail2Ban am Server Installiert haben
4.) Nur wichtige Ports offen lassen und alle anderen sperren
5.) Nach Moeglichkeit SSH nur per bestimmter IP erlauben, notfalls einen VPN einrichten um SSH nur von diesem aus zu erlauben.

Alles außer 22, 587 bzw. 465 und 443 / 80.

Alles zu außer 22, 80, 443 bzw. 22 zu und dafür den port für WireGuard offen lassen.

In der heutigen Zeit würde ich nicht empfehlen selbst einen Mail server zu betreiben, das kann schnell teuer werden (um sich von Blacklists löschen zu lassen).

Quote from Syntafin

Alles zu außer 22, 80, 443 bzw. 22 zu und dafür den port für WireGuard offen lassen.

In der heutigen Zeit würde ich nicht empfehlen selbst einen Mail server zu betreiben, das kann schnell teuer werden (um sich von Blacklists löschen zu lassen).

Wenn ich diese Ports offen lasse, und alle anderen Ports geschlossen habe.

Funktioniert dann auf meinem KeyHelp , irgendwas nicht?

Quote from mmaark

Funktioniert dann auf meinem KeyHelp , irgendwas nicht?

Ich habe keine Ahnung was KeyHelp ist, ist das wieder so ein Hosting Panel?
Wenn das auf dem selben Server laueft hat dies keine Auswirkung da die Firewall ja Inbound Traffic der von Extern kommt blockt und nichts was auf dem Server direkt laueft.

Also wenn man die Firewall richtig konfiguriert hat wird da nichts passieren.

Quote from aebian

Ich habe keine Ahnung was KeyHelp ist, ist das wieder so ein Hosting Panel?

Wieder so eins .. ich würde sagen man sollte sich anschauen was man verurteilt bevor man das tut Keyhelp mag aus einer Reihe Controll panels stammen ist aber Opensource und wird von einer grossen community unterstützt. Kein vergleich zu confixx und Konsorten!

Ich verurteile das Teil nicht, aber ich vertrete die Meinung, dass man seinen Server selbst administrieren sollte und nicht auf irgendwelche Panels zurückgreift, welche oftmals Zugriff zu allem geben und man bei Fehlkonfiguration Angreifern leichtes Spiel bietet.

Vor allem wenn man neu im Bereich Server Administration ist, sollte man sich mit der Materie vertraut machen. Der “einfachste” Weg ist nicht immer der Beste

Naja aber nur weil jemand am Ende wirklich ein Panel einsetzt muss das ja nicht zwangsläufig bedeuten das der / diejenige sich nicht / oder nur wenig auskennen. In diesem Falle hier und heute natürlich etwas anderes. Ich zb nutze selber keyhelp bin aber durchaus ein guter Systemadmin. Heißt ich traue mir zu einen email Server auch blanko aufzusetzen.

Wer bitte macht das in 2025 noch bitte.... Zu viel Geld? Die Kosten gerade bei United Internet sich ständig aus der Blacklist zu kaufen...

Zudem, DKIM fehlt, DMARC nicht korrekt konfiguriert, SPF zumindest ist eingerichtet.

Ich bezog mich mit der Aussage einzig auf United Internet, wo das gängige Praxis ist.