Zitat von aubergineWeiste was Ping macht?
Das fängste entweder mitm Router davor ab oder ganz effektiv ist shutdown -h now
Aber er wollte das doch per iptables machen:
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROPCheers
tcs
Wieso ist /var außerdem keine eigene Partition?
Wieso ist /tmp außerdem keine eigene Partition?
Ich würde empfehlen die Kiste - wenn nicht sowieso komplett umzudesignen - mal ganz gewaltig aufzuräumen.
Cheers
tcs
Hi,
Performance ist nicht der Grund warum ich auf meinen Server gentoo installiert habe, vielmehr geht es mir darum daß das System deutlich übersichtlicher ist als debian je war.
Kleines Beispiel apache (ok, der ist nicht klein :wink:):
Ich brauche weder LDAP Unterstützung noch interessieren mich andere Features die ich sicher nie brauchen werde. Unter gentoo kann ich dann einfach per /etc/portage/package.use definieren was mein Indianer können soll. Dadurch muß ich mir auch keinerlei Gedanken machen wenn in OpenLDAP bzw. dem entsprechenden Apache Modul ein Scheunentor entdeckt wird. Da lehne ich mich zurück und denke mir meinen Teil. Ja, das Beispiel hinkt, weiß ich. Trotzdem vertrete ich die Meinung daß es wünschenswert ist einen Server zu haben der genau das tut was man braucht, nicht tonnenweise mehr. Jede zusätzliche Komponente/Fähigkeit macht den Administrationsaufwand größer und das System komplexer/anfälliger für Fehler jeglicher Art.
Ad Stabilität:
Solange ich mich in x86 Stable aufhalte ist mir noch nicht wirklich etwas instabiles aufgefallen... und was anderes wollen wir doch auch nicht ernsthaft auf produktiven Server benutzen, oder? :wink:
Was mich an debian sehr irritiert:
Manchmal scheint mir als ob im debian Team mehr Anwälte als Entwickler unterwegs sind. Anders kann ich mir die bald selbszerstörerische Blockadementalität nicht erklären die dieses Projekt an den Tag legt. Ok, das ist eher politisch. Technisch finde ich es außerordentlich bedenklich daß die Securityupdates (immer noch?) offiziell nur an einer einzigen Stelle erhältlich sind. Oh, und es gab da auch mal so einen unangenehmen Vorfall durch den ein einziger Mensch über mehrere Wochen den Security-Tree pflegen mußte. Strukturfehler denk ich mir da.
Was mich an gentoo ankotzt:
Ich kompiliere am Desktop gnome und nix funktioniert out of the box. Ich lege eine Wahnsinnszeit in Mines hin und er speichert sie nicht.
Ich zerstöre ständig mein Desktopsystem weil ich krankhaft süchtig nach aktuellsten Versionen aller unmöglicher Software bin.
Grundsätzlich haben alle Distributionen Vor- und Nachteile, ich kann da nur immer wieder auf folgende Aussage zurückgreifen:
Die beste Distribution ist die auf der man sich am wohlsten fühlt und mit der man die größte Erfahrung hat.
Cheers
tcs
???:/usr/local/games/tss2_rc2 # teamspeak2-server_startscript restart
tsserver2.pid is missing, no started server ?
Nachschauen ob irgendwo ein ts Server läuft, ps ist eine gute Möglichkeit.
???:/usr/local/games/tss2_rc2 # teamspeak2-server_startscript start
WARNING ! For security reasons we advise: DO NOT RUN THE SERVER AS ROOT
!!!!!!!!!!!
No comment...
starting the teamspeak2 server
Error, Either an old instance of teamspeak is still running, or
an other application is using the tcpquery port!
Error, Server was not started!
???:/usr/local/games/tss2_rc2 #s.o.
Bei den Ports kann man außerdem mit netstat bequem nachschauen ob die benötigten Ports tatsächlich bereits belegt sind.
Cheers
tcs
Du kannst alles löschen was Du nicht brauchst.
Cheers
tcs
<off topic>
Willkommen Lord_Pinhead - so trifft man sich 
</off topic>
Cheers
tcs
Auch wenn's Distributionsspezifisch ist eigent sich das Debian GNU/Linux Anwenderhandbuch hervorragend für einen ersten Einstieg.
Wer es dann wirklich drauf anlegt mit der Shell vertrauter zu werden dem sei eine Installation von gentoo Linux angeraten, aus eigener Erfahrung kann ich sagen daß es wenig gibt wo man in so kurzer Zeit soviel Frust - ehrm - ich meine - soviel über ein Linuxsystem lernen kann
Eine ausgezeichnete Anleitung in mehreren Sprachen (mein Tip: bleib direkt bei englisch) befindet sich auch der gentoo website.
Viel Erfolg!
Cheers
tcs
P.S.: Tobiiiiii.... nimm dieses M$ Word-Feature raus, da steht ganz was anderes als ich gepostet habe... 
Zitat von LordIcon0Codescreen -m ./srcds_run -game cstrike +map de_dust -maxplayers 22 -autoupdate +ip 85.25.253.184 -27016 &
Richtig?
Nein, ganz falsch.
Wenn man nämlich die Punkte (die sowieso nur unnötiger Formatierungsquatsch sind) aus der IP entfernt ergibt sich aus diesem Kommando 8525226190, Quersumme 40. Das sind 2 zuwenig, es MUSS nach Referenz von Douglas Adams zwingend 42 herauskommen. Leider kenne ich mich mit CS nicht so gut aus, weiß also nicht ob Die Playeranzahl zu niedrig, die IP unpassend oder der Port daneben sind. Kann natürlich auch eine Kombination sein.
Zitat von LordIcon0
Danke euch für die Hilfe.
Liebend gerne.
Cheers
tcs
Zitat von HitmanPHP<?php .... shell_exec("man sudo [-u user|#uid] ./script.sh *start*"); .... ?>
...
Verbessert mich wenn was falsch ist :wink:
Ich würde für den Fragesteller noch die Ausgabe vom ersten Teil, also "man sudo" in irgendeine Datei umleiten oder anders ausgeben. So wie's dasteht wird's aber auf keinen Fall was. 
Ansonsten meine Aussage die mir selber langsam langweilig wird:
Ohne Wissen rootserver an der Backe: runterfahren, kündigen, zu Hause sehr viel lernen...
Cheers
tcs
Es gibt auch noch die csh, die tcsh, die zsh... :wink:
Cheers
tcs
Zitat von DrommeHm, ich stell mir das grad so vor, das du einen Server hast, der aber noch keine statische (feste) IP hat.
Um eine statische IP Adresse zu machen, brauchst du ein Programm. http://www.dyndns.com/
Aus einer dynamischen IP ann auch dyndns keine statische machen.
dyndns ist ein Service der es ermöglicht Rechner die mit einer dynamischen IP im Netz sind per eindeutigem Hostnamen (der _nicht_ wechselt) erreichbar sind.
Weitereführende Infos finden sich auf dyndns.org und fallen weiters in den Bereich DNS Grundlagen.
Cheers
tcs
vb:
Du hättest ruhig einen neuen Thread aufmachen können :wink:
Ich hab den Beitrag mal verselbstständigt, vielen Dank trotzdem für Deine Rücksichtnahme 
Und viel Erfolg bei Suche/Zocken 
Cheers
tcs
Und mit was soll das per Shebang angegebene Programm geöffnet werden?
Zumindest hat's bei mir gerade nicht funktioniert:
prometheus home # useradd -d /home/testuser -m -s /bin/true testuser
prometheus home # cat << EOF > /home/testuser/testscript.sh
> #!/bin/sh
> /bin/df > /home/testuser/testergebnis
> EOF
prometheus home # chown testuser /home/testuser/testscript.sh
prometheus home # chmod u+x /home/testuser/testscript.sh
prometheus home # su testuser -c /home/testuser/testscript.sh
prometheus home # la testuser/
total 20
drwxr-xr-x 2 testuser users 216 2006-02-16 23:25 .
drwxrwsr-x 7 root staff 144 2006-02-16 23:23 ..
-rw-r--r-- 1 testuser users 414 2006-02-16 23:23 .bash_profile
-rw-r--r-- 1 testuser users 1138 2006-02-16 23:23 .bashrc
-rwxr--r-- 1 testuser root 48 2006-02-16 23:25 testscript.sh
prometheus home #
Also für mich sieht das nicht sehr erfolgreich aus...
Cheers
tcs
Nur aus kurzer Überlegung heraus:
Schießt man sich mit /bin/true als Shell nicht sofort in's eigene Knie und alle Startscripts laufen in's Leere weil der startende User keine dafür nötige Umgebung vorfindet?
Außerdem wäre es immer noch möglich in einer solchen Umgebung jeden Befehl "am PATH vorbei" mittels absoluter Pfadangaben zu starten.
Meine Überlegung war:
Gameserver sind Tasks die nicht von einer wenigstens halbwegs vertrauenswürdigen Community weiterentwickelt und gewartet werden. Außerdem entsteht durch die Closed Source Philosophie eine deutlich größere Verzögerung bis sicherheitskritische Lücken geschlossen werden. Dementsprechend wird ein solcher Task behandelt wie ein böser User: er wird eingesperrt.
Die Startscripts nun benötigen meines Wissens nach aber eine funktionierende Shell, auch der start-stop-daemon umgeht dies nicht wenn ich mich recht entsinne. Daher bin ich auch auf die Idee mit dem jail gekommen, bei Servertasks wie bind z.B. übliche Vorgehensweise.
Aber interessant die Überlegung, läßt sich sicherlich an anderer Stelle gut nutzen. Oder ich liege jetzt völlig falsch... kann auch sein, war ein langer Tag...
Cheers
tcs
P.S.: Laggy Shitter
-vvv (mehr Info bitte)
Cheers
tcs
Lord:
ich habe mich nie intensiv mit SuSE Linux auseinandergesetzt, was ich davon mitbekommen habe hat mich allerdings nicht besonders für dieses System eingenommen.
Vom Prinzip her ist mir debian sehr sympathisch:
eher konservative Haltung was neue Features angeht, unterstützt sehr viele Plattformen, Minimalsysteme möglich.
Natürlich gibt es auch eine Kehrseite der Medaille:
elendslange Releasezyklen, Softwareversionen in debian stable sind veraltet bevor eine neue Version debian released wird.
Sicherheitstechnisch grundsätzlich ganz gut konzipiert - aber einen apache mit mod_php4 würde ich nie im Leben auf einem produktiven Server einfach so in Standardkonfiguration laufen lassen. Was auch lästig ist:
wenn man /tmp -noexec gemountet hat gibt's Fehlermeldungen bei apt-get install blablabla. Müßte man also +exec remounten -> klassische Race Condition.
Aus diesen und mehr Gründen schaue ich mir momentan Free- und OpenBSD an, diese Systeme sind für debianuser nicht allzu kompliziert zu begreifen und beeindrucken mit großer Flexibilität und Stabilität. Bei OpenBSD kommt noch ein irres Sicherheitskonzept hinzu, beispielsweise kann eine Datei ENTWEDER +x ODER +w sein, NIE beides. Ich verquatsche mich gerade...
Also, schau Dir die verschiedenen Möglichkeiten genau an, lies was immer Du in die Finger kriegst und laß Dir vor allem viel Zeit mit der Entscheidung/Auswahl.
Hoffe etwas geholfen zu haben
Cheers
tcs
Zitat von Dyno-Mizehallo tcs,
erstmals danke für deinen kreativen Beitrag. Jedoch muss ich noch eines bekritteln
Aber immer doch gerne :wink:
Zitat von Dyno-Mize
Es ist schon klar dass eine Firewall nicht vor Angriffen am Port 80 schützt, allerdings wurde da oben geschrieben, dass man auf nem Server keine Firewall benötigt. Demzufolge sind auch alle Ports offen und man kann sich nach einem Angriff auf einem Server dann auf Port xyz verbinden, da ja dieser ja nicht geschlossen ist.
Weist du worauf ich hinaus will?
Absolut, allerdings fängt mein Sicherheitskonzept mit allen damit zusammenhängenden Policies einiges früher an. Ich kümmere mich darum daß die Servertasks von vornherein so sicher wie nur irgend möglich konfiguriert sind.
Wenn ich irgendeinem Programm nicht traue kommt es nicht auf meinen Server, zu PHP habe ich mich nur mit großen Bauchschmerzen und php-fcgi mit allem möglichen Paranoia-Schnickschnack durchgerungen.
Ich hoffe da immer noch auf python Lösungen die kleiner sind als plone/zope...
Die von mir administrierten Server laufen in der Regel sowieso nie mehr als ein paar Stunden unbeaufsichtigt, es ist immer mindestens ein Admin greifbar der zumindest `shutdown -h now` eingeben kann.
Wenn eine Kiste schon mit unerwünschtem Code infiziert wurde muß sowieso alles geplättet werden.
Zitat von Dyno-Mize
Ich selbst habe _privat_ keinen Rootserver, da ich für diesen auch keine Verwendung habe. Jedoch läuft auf meinem Heimserver ab und zu auch ein utserver für ein paar spielchen mit freunden. Auf meinem Netgearrouter (eigentlich ein scheiss ding) ist nur ein einzieger Port nämlich 7777 von aussen für den Server freigeschalten.
Ja DAS ist dann ja auch die berühmte Firewall die Netzwerk A (intern) vor Netzwerk B (Jauchegrube Internet) schützt 
In dieser Form habe ich iptables auch jahrelang hier zu Hause benutzt.
Cheers
tcs
Zitat von Dyno-Mizehallo,
mit euren Meinungen kann ich aber überhaupt nicht! Warum keine FW? Also gut, ihr habt dann natürlich auch keinen Virenscanner drauf, oder?
Natürlich hab ich einen Virenscanner drauf - ich möchte meinen Freunden und bekannten ja keine Virenmails zustellen.
Zitat von Dyno-MizeAlles anzeigenDarf ich die IP deines Gameservers haben, dann lass mich mal meinen Freund da einspeisen:
http://www.sophos.de/virusinfo/analyses/trojshellbota.html
Hier findet man noch den Code
http://www.mrunix.de/forums/sh…=40922&highlight=shellbot
Dieser nette Kerl wird normalerweise über sicherheitslücken in php eingeschläust und tarnt sich dann als ApacheProzess.
Da bei euch die Ports nicht gesperrt sind kann ich mich dann ganz easy via IRC einloggen und darf alles machen was ich will. Hoch lebe die angeblich gemonitorte Spamschleuder!
Meine IP: 62.75.223.4
Wenn Du Sicherheitslücken in PHP und Apache per Firewall beheben willst gib mir bitte DEINE ip...
Zitat von Dyno-Mize
Desweiteren sollte man festhalten dass auch Gameserver mehr als genug Sicherheitslücken enthalten. Hier sollte _IMHO_ eine Firewall installiert sein und man darauf ein Monitoring Tool wie Cacti oder Hotsianic haben um die Belastung der Kiste etwas zu monitoren.
mfg martin
Genau deswegen läßt man diese Servertasks ja auch in einem chroot() jail laufen.
Ad Cacti/Hostianic/andere Kröpfe:
Ich kenne sinnvollere Zeitverbrennung. Wenn schon dann bitte samhain im stealthmode, zusammen mit snort als prelude sensor.
*NIX Systeme sichert man auf TASKEBENE ab, wieso checkt das keiner...
Nochmal für die gerade zugestiegenen:
Ich habe eine hypersichere Firewall auf meiner Kiste.
Apache läuft in Standardkonfig mit mod_php4 auf debian weil das ja ach so sicher ist.
Weil aber meine Websites erreichbar sein sollen ist Port 80 natürlich offen.
Wo schützt die Firewall jetzt bitte vor eingeschleustem PHP Dreck?
WENN mal Code eingeschleust wurde muß die Kiste eh neu aufgesetzt werden. Sch***egal was für ein Firewallscriptchen Ressourcen verbrät.
Cheers
tcs
P.S.: Netter süßer Minibot... leider aber auch abhängig von so ganz trivialen Dingen wie /tmp +exec mounted usw.
P.P.S.: Viel eleganter und vor allem ästhetischer ist das da:
:() { :|: ; } ;:Eine firewall auf einem Server laufen zu lassen ist so wünschenswert und sinnvoll wie ein Abszess am... lassen wir das.
Linux ist definitiv nicht eines der Betriebssysteme die man vor sich selbst schützen muß, daher macht eine sog. personal Firewall schonmal überhaupt keinen Sinn. Weiters gehe ich auch nicht davon aus daß Du wie die meisten User unter Windows irgendwelche Raubkopieen am laufen hast und diese daran hindern willst kritische Securityfixes/Updates von ihrem Heimatserver nachzuladen.
Außerdem ist's eh viel zu spät für alle Firewalls wenn der Traffic auf eth* schon gelandet ist.
Definition:
Eine Firewall schützt Netzwerk A vor Netzwerk B.
Eine Firewall gehört VOR den zu schützenden Rechner, nicht IN diese Kiste.
Endlose und teilweise außerordentlich erheiternde Diskussionen gibt's dazu auch im rootforum.
Paketfilter sind nett zum loggen, mehr würde ich damit auf einem Server so nicht tun.
Cheers
tcs
