Server Verwaltung

Um in der Serververwaltung mehr Sicherheit zu gestalten, lässt sich ein Debian/GNU system1 nutzen, welches schon von sich aus recht gute Sicherheitseinstellungen mitbringt, und es lässt sich noch weiter festigen, indem man keine zusätzlichen Lücken einbaut.
Einen Server zum Beispiel mit ispconfig2 zu verwalten, ist zwar schön grafisch und sSimpel und auch der selbstgebaute ISP Server3 lässt sich so leicht umsetzen, dass eigentlich jeder einen eigenen Server aufsetzen und verwalten kann, allerdings legt ISPConfig auch mit der grafischen Oberfläche eine weitere Möglichkeit offen, den Server zu knacken (nicht hacken4)
Mit einem Trick lässt sich diese Offenlegung aber gut umgehen, dies funktioniert allerdings nur, wenn die ISPConfig Oberfläche von Personen bedient wird, die auch ein Konto mit SSH Zugang auf dem Server haben, denn es involviert hier eine ssh-pipe.

Wenn wir zum Beispiel sagen, dass der Server mit ISPConfig unter der Adresse http://mentalitea.com:8080 erreichbar ist (dann kann ja jeder einfach auf diese Adresse zugreifen. Port5 8080 ist also offen für Zugriff von außen, genau wie normale Webseiten (Port 80) oder SSL Seiten (Port 443), das gute ist jedoch, dass ISPConfig einen Port genutzt hat, der nur hierfür reserviert ist (Bis auf Plone6, welches ebenfalls standardmäßig diesen Port nutzte und deshalb auf dem Server entweder Plone oder ISPConfig einen anderen Port braucht) Zurück zu unserem Beispiel kann also jeder auf die ISPConfig Oberfläche zugreifen und dort brute-force Attacken anbringen, denn ISPConfig hat keine automatische Sperrung bei zum Beispiel drei Fehleingaben des passworts, und auch keine Verzögerung wie andere Systeme, und selbst wenn es so wäre, ist die Übertragung der Daten nicht unbedingt sicher.
Abhilfe kann eine Sperrung des Ports schaffen, die Firewall wird so konfiguriert, dass Port 8080 nicht mehr offen ist. Das heißt, Port 8080 ist nur noch von dem Server selbst erreichbar. Ein Benutzer, das im Internet https://mentalitea.com:8080 besucht findet nichts mehr.
Will man sich trotzdem in den Server einloggen, braucht man eine SSH-PIPE, die einen Port vom Computer, über die SSH Verbindung (normalerweise Port 22) in den Server herstellt.
Jetzt braucht man eine PIPE, die wird mit einem kleinen Befehl erstellt:
Nehmen wir an, die ~/.ssh/config würde so aussehen::

Host mentalitea
HostName 46.11.11.11
User username
Port 22
IdentityFile /home/username/.ssh/id_rsa

Dann wäre der entsprechende Befehl:
ssh -NL 45000:localhost:8080 mentalitea -p22

Jetzt wenn man diesen Befehl ausführt, verbindet sich der Computer per SSH mit dem Server und stellt einen Port zur Verfügung über den man direkt über den SSH Tunnel (durch Port 22 auf den Server) auf den Port 8080 auf dem Server weitergeleitet wird.
gibt man nun beispielsweise: https://localhost:45000 im Computer in Firefox ein, erreicht man direkt die ISPConfig Administrationsoberfläche.
Der Vorteil: man braucht sowohl einen Benutzernamen mit SSH Zugriff, als auch einen privaten Schlüssel, für den ein öffentlicher Schlüssel auf dem Server liegt. (siehe dazu auch Verschlüsselungstechnik und GnuPG https://gnupg.org/)

Neuen Kommentar schreiben

Plain text

  • Keine HTML-Tags erlaubt.
  • Internet- und E-Mail-Adressen werden automatisch umgewandelt.
  • HTML - Zeilenumbrüche und Absätze werden automatisch erzeugt.
CAPTCHA
This question is for testing whether or not you are a human visitor and to prevent automated spam submissions.