Es ist unter Open Source lizenziert. Ceph ist hoch skalierbar. Es gibt eine hohe Ausfallsicherheit durch verteilte Ablage der Daten.Er wird aber als zusammenhängender Speicher dargestellt. Ceph benötigt mehrere miteinander vernetzte Computer. Diese werden als Cluster zusammengeschlossen. Jeder einzelne Computer wird dabei als Node (Knoten) bezeichnet. Unter den einzelnen Nodes müssen verschiedene Aufgaben verteilt werden:
Manager Verwalten den Status der Speichernutzung, der Systemlast und Auslastung der Knoten.
Monitor Verwalten den Status der einzelnen Nodes um für Ausfallsicherheit zu sorgen. Es werden mindestens 3 Monitor Nodes empfohlen.
Ceph OSDs [Object Storage Devices] Die Dienste für die eigentliche Dateiverwaltung. Sie sind für die Speicherung, Duplizierung und Wiederherstellung von Daten zuständig. Pro Cluster sollte es 3 Ceph OSDs geben.
Metadaten-Server (MDSs) Speichert die Metadaten( Speicherpfade, Dateinamen und Zeitstempel) sie sind POSIX-konform und können mittels Unix-Kommandozeilen-Programmen wie ls, find und like ausgelesen werden.
Der Algorithmus mit der Bezeichnung CRUSH (Controlled Replication Under Scalable Hashing). ermöglicht mit Hilfe einer Zuordnungstabelle der CRUSH Map, einem OSD [Object Storage Devices] mit der angeforderten Datei zu finden. Klingt kompliziert, ist aber so 😛
Die Basis der Datenablage unter Ceph wird als RADOS bezeichnet.
RADOS steht für (a reliable, distributed object store comprised of self-healing, self-mapping, intelligent storage nodes) frei übersetzt: zuverlässiger, verteilter Objektspeicher, bestehend aus selbstheilenden, selbstabbildenden, intelligenten Speicherknoten.
Möglichkeiten des Datenzugriffs :
librados – eine Bibliothek für Anwendungsentwickler
CephFS – eigenes Dateisystem; ein Kernel-Modul für zugreifende Rechner (Fuse)
radosgw – ein Gateway der via HTTP gelesen oder geschrieben werden kann
RADOS Block Device – Einbindung durch Kernel-Module oder virtuelle Systeme wie QEMU/KVM.
Vor- und Nachteile von Ceph
Vorteil:
Ceph ist kostenfrei
Es gibt viele Tutorials zur Einrichtung und Wartung
Gute Dokumentation vom Hersteller
integrierte Redundanz sorgen für Datensicherheit
Nachteile:
Einrichtung ist relativ kompliziert
Es ist ein umfangreiches Netzwerk notwendig
Es ist physisch nicht ganz klar wo die Daten abgelegt werden man muss quasi dem Algorithmus vertrauen
Diese Frage habe ich mit Absicht so frei und offen gewählt. Die Backupmethoden und Möglichkeiten sind so vielfältig wie die Geräte die wir besitzen die, die Daten enthalten, die wir sichern möchten.
Jeder kann sich auf sich individuell zugeschnitten ein Backup Konzept zusammenstellen.
Zum Thema Backup-Strategie habe ich auch schon einen Beitrag verfasst.
Checkliste Backup
Welche Geräte besitze / verwalte ich?
Um welche Art von Daten handelt es sich?
Verwalte ich Daten von anderen Personen?
Welche Speichermedien stehen mir zur Verfügung?
Möglichkeiten für Daten die wichtig sein könnten
Bilder
Dokumente (gescannte Dokumente)
Bankunterlagen
Adressbuch / Kontaktliste
E-Mails
Musiksammlung
Spielstände / Savegames
Auflistung von installierter Software
Favoriten / Bookmarks aus Browser
Passwortdatenbanken / Passworttresor
gespeicherte Passwörter im Browser
Lizenzschlüssel
PGP Key’s / SSH Key’S /
Backupcodes für OTP 2FA
Downloads
In der vorherigen Liste, sind mit Sicherheit Punkte vertreten, an die Du im Regelfall nicht gedacht hättest, bzw. dich nicht kümmern würden.
Um im Falle eines Systemausfalls, Hardwaredefektes, Virusbefalls oder was auch immer, ein lauffähiges individuelles System wiederherstellen oder nachbilden zu können werden fast alle Punkte aus dieser Liste benötigt. In speziellen Fällen kann es natürlich zu Abweichungen kommen.
Backupmöglichkeit:
Boardmittel eines Betriebsystems
Backup-Medium:
Sicherung auf einen Online Speicherplatz (Storage, Cloudbackup, Archivbackup)
Ich denke Jemensch von euch kennt dieses Problem, eine Website die du gerade besuchst ist einfach komplett voll mit Werbung. Das lenkt nicht nur vom Lesen des eigentlichen Artikels ab, sondern nervt auch noch ziemlich extrem.
Nun gibt es verschiedene Ansätze, wie man die Werbung eindemmen bzw. ganz rausfiltern kann.
Ein Tool zum blocken der Werbung direkt auf dem Gerät das du benutzt installieren
z.B. (Adblock Plus oder uBlock Origin )
Oder du blockst gleich die Werbung auf Netzwerk Ebene dafür eignet sich dann Pi-hole. Um dieses Tool soll es in diesem Artikel gehen.
In diesem Artikel nehmen ich mir die Installation von Pi-hole auf einem Linux System vor. Die freie Software (Pi-hole) wurde für die Nutzung auf dem Raspberry Pi optimiert, läuft aber auch auf anderen Systemen oder in eine virtuelle Maschine mit z.B. Ubuntu, Debian und viele weitere Distributionen. Der große Vorteil ist, das die Werbung für all deine Geräte im Netzwerk funktioniert ohne das du auf jedem Gerät ein Tool wie uBlock Origin installieren musst.
Ich zeige dir in diesem Artikel, die Pi-hole Installation, wie diese ganz klassisch auf dem Raspberry Pi durchführt wird, dessen Betriebssystem Debian 11 (Bullseye) ist. Hast du keinen Raspberry Pi zu Hause, um Pihole nach dieser Anleitung zu installieren, kannst du die Installation auch in einer virtuellen Maschine z.B. Virtualbox ausprobieren.
Was ist Pi-hole ?
Ist eine OpenSource Software die der netzwerkweiten Blockade von Werbung dient.
Es läuft auf DNS-Ebene
Wie funktioniert die Werbeblockfunktion?
Wenn ein Gerät im Netzwerk, eine Verbindung zu einer Internetseite herstellt, sendet es im Hintergrund eine Anfrage an einen DNS-Server (dieser ist meist im Router hinterlegt) , um den Domain Namen in eine IP-Adresse umzuwandeln. Die Software Pi-hole wird in diesem Fall zum DNS-Server, welcher die Anfragen entgegennimmt.
Durch die Blacklist wird an dieser Stelle von Pi-hole geschaut, ob die angeforderte IP Adresse auf der Sperrliste steht. Wenn das der Fall ist wird diese Verbindung unterbunden. Wenn die Adresse nicht auf der Sperrliste steht, wird die Verbindung ganz normal zum gewünschten Server aufgebaut.
So erhälst du einen Netzwerk-gebundenen Adblocker für alle Geräte im Netzwerk.Diese Art und Weise ermöglicht es sogar Gaming-Konsolen, Smartphones, Tablets und Smart-TVs vom Weberbe-Blocking zu profitieren.
Wie installiere ich das Pi-hole
In dieser Anleitung nehme ich im ersten Schritt Bezug auf die Vorbereitung eines RaspberryPi
Das ist wie mit Valentinstag, die Medien und einige Leute wollen dir dann klar machen, das du deinem Schatz etwas schenken oder eine ganz besondere Überraschung bekommen soll. Nun so ist das auch ein bisschen mit dem World Backup Day. Du solltest deinem Schatz auch immer so einfach mal eine kleine Überraschung oder ein Geschenk machen. So ist es auch mit deinen Backups, diese sollten in regelmäßigen Abständen durchgeführt werden. Weil nur einmal im Jahr Backups zu machen reicht nicht aus. Bitte gebt auch die Info weiter um noch mehr Menschen klar zu machen das Backups wichtig sind. Ihr solltet auch einen Eid ablegen, gegenüber euch selbst und euren Mitmenschen.
Der „World Backup Day“ Eid
“Ich schwöre feierlich, am 31. März ein Backup meiner wichtigen Dokumente und wertvollen Erinnerungen zu machen.”
worldbackupday.com/de/
Ich werde auch meine Freunde und meine Familie über den „World Backup Day“ informieren – Freunde lassen Freunde nicht ohne Backup steh’n.
Einen eigenen Minecraft Server zu betreiben, hat einige Vorteile. Man kann z.B. die Einstellungen des Servers wählen. Du kannst außerdem entscheiden ob es ein privater Server nur für dich und deine Freunde wird, oder ob du diesen für die Allgemeinheit freigibst. Debian 12 ist für dieses Vorhaben das geeignete Betriebssystem. Im folgenden kannst du mit der Anleitung lernen, wie du einen eigenen Minecraft Server Stück für Stück aufsetzt. Diese Anleitung müsste auch auf einem RaspberryPi laufen, wurde aber nicht getestet.
Als erstes musst du dich mit deinem Server über das Terminal verbinden.
Du brauchst einige Pakete, die du herunterladen musst. Dazu gibst du im Command Line Terminal folgende Befehle ein:
Mit wget lassen sich Datein via HTTPS direkt auf den Server runterladen Das brauchen wir, wenn wir die Minecraft Server Software downloaden.
screen
Mit screen kann man bestimmte Befehle im Hintergrund weiterlaufen lassen auch wenn man das Terminal schließt.
openjdk-17-jre
Das ist die sogenannte Headless Java Version. Diese wird benötigt um die Minecraft Server Software überhaupt zu starten.
User anlegen für den Server
Es ist am besten, den Minecraft-Server unter einem eigenen Konto laufen zu lassen, anstatt root oder ein anderes Konto zu verwenden. Das ist aus Sicherheit einfach besser. Erstellen ein neues Konto in Debian mit dem folgenden Befehl:
sudo useradd -m -r -d /opt/minecraft minecraft
Minecraft Server installieren
Es ist ohne Probleme möglich später auch mehrere Minecraft Server Instanzen auf einem Host zu betreiben. Daher geben wir dem ersten Server einen Namen und legen für diesen Server einen eigenen Ordner an. In dem Fall „creative“
Den Link im Befehl musst du mit deinem kopierten Link von der Minecraft Website austauschen um die aktuelle Version zu haben. Dann drückst du einfach [ENTER] und der Download beginnt.
Bevor du den Minecraft-Server installieren kannst, musst du die Nutzungsbedingungen akzeptieren. Das geht am schnellsten mit diesem Befehl:
Diesen Inhalt in die Datei einfügen und abspeichern, anschließend den File verlassen.
Unter diesem Punkt kannst du noch den Arbeitsspeicher zuweisen, wie viel der Server bekommen soll. Es sind 2GB eingestellt. Mehr sind natürlich besser: „-Xmx2G“ das G steht für die Gigabyte.
Wer sich mit dem Thema Self-Hosting auseinander setzt kommt früher oder später auf das Thema Nextcloud. Und wenn du einen vServer mit genügend freiem Speicherplatz hast, kannst du dir ja einen Cloud Server aufsetzen. Wenn du wissen willst wie, hier folgt jetzt die Anleitung.
Apache2 Webserver Installation
Zuerst installieren wir einen Webserver, ohne diesen bekommen wir nix im Browser angezeigt. Mit dem folgenden Command wird Apache2 auf deinem Server installiert:
sudo apt install apache2
UFW installieren
Ohne eine Firewall geht es nicht. Die bekannteste Firewall ist IPTables. Aber diese ist in der Konfiguration ziemlich schwierig. Daher nutzen wir für unseren Server UFW. Also gleich mal installieren:
sudo apt install ufw
Nun müssen wir die Firewall „UFW“ noch konfigurieren. Die Firewall blockiert per Anfangseinstellung alle Ports, d.h. das erst einmal kein Dienst von Außen aufgerufen werden kann. Aber wir brauchen ein paar offene Ports, damit wir unserer Server nutzen können. Da fällt mir gleich der erste ein, der SSH Port, sonst kannst du dich nicht an der Konsole anmelden. Also stellst du diesen eine. Diesen Port solltest du von 22 auf einen Wunschport ändern im Kapitel „Konfiguration SSH“. Bei mir nehme ich jetzt Port 10240 diesen habe ich in der SSH-Konfigurtion so gesetzt. Dazu mehr findest du in dem Beitrag Absicherung eines Debian Server.
sudo ufw allow 10240/tcp
Dann öffnen wir gleich mal noch die Ports HTTP und HTTPS diese werden in der Regel benötigt. Wenn du keinen Webserver betreiben möchtest, kannst du diesen Schritt überspringen.
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp
Jetzt hast du die ersten Ports geöffnet aber müssen noch die Firewall einschalten. Daher ist es wichtig das du den richtigen SSH Port angegeben haben, sonst sperrst du dich selbst aus dem System aus. Firewall einschalten:
sudo ufw enable
Diese Info musst du mit einem „y“ bestätigen. Es kommt noch die Meldung: „Firewall is active and enabled on system startup“ Im Anschluss ist nun auch die Firewall aktiv. Und sollte einige Angriffe abhalten. Wenn du einen neuen Dienst installierst, musst du dann in Zukunft die dazugehörigen Ports öffnen.
Installation PHP 8.2
Über diesen Befehl wird PHP 8.2 installiert und dazu noch einige Plugins welche für die reibungslose Funktion von Nextcloud benötigt werden.
Jetzt kannst du direkt nach der Installation checken, ob auch das Richtige installiert wurde
php --version
Nun musst du noch die Konfigurationsdatei für Nextcloud anpassen. Alles Stück für Stück. Mit dem nächsten Befehl kannst du die Config Datei öffnen. Da diese Datei sehr lang ist und das stressig wird die einzelnen Werte zu suchen, kannst du die Suchfunktion von nano nutzen. Wenn du im Editor bist kannst du einfach [Strg]+[W] drücken dann erscheint eine Suchleiste. Gib einfach deinen Begriff ein und du springst an die Stelle in der Config Datei.
sudo nano /etc/php/8.2/apache2/php.ini
Kommentiere aus den Parameter date.timezone und geben Sie die richtige Zeitzone für PHP ein.
date.timezone = Europe/Berlin
Erhöhen Sie den Standardwert der Parameter memory_limit, upload_max_filesize, post_max_size und max_execution_time. Passe die Werte nach Bedarf an. Das Memory_limit orientiert sich stark am Arbeitsspeicher. Mein Server hat nur 1GB also belasse ich es bei 512MB.
Jetzt, wenn alle Werte angepasst sind, kannst du den Apache2 Server neustarten und damit die neue Konfiguration aktivieren.
sudo systemctl restart apache2
Installation MariaDB Server
Nachdem du nun den Apache2 Webserver und PHP in der Version 8.2 installiert hast, brauchen wir noch einen Datenbank Server. Hier installieren wir MariaDB Server.
sudo apt install mariadb-server
Nach der Installation kannst du mit folgendem Befehl schauen ob der Server läuft
sudo systemctl is-enabled mariadb
sudo systemctl status mariadb
Wenn alles glatt gelaufen ist sollte es in etwa so bei dir aussehen
Jetzt musst du noch den MariaDB Server absichern, das passiert mit dem folgenden Befehl
sudo mariadb-secure-installation
Während des Prozesses solltest du „Y“ eingeben, um zuzustimmen und die Konfiguration auf MariaDB anzuwenden, oder „n“ eingeben, um nicht zuzustimmen und die Konfiguration als Standard zu belassen. Nachstehend findest einige MariaDB-Konfigurationen, nach welchen du gefragt werden wirst.
Drück ENTER wenn du nach dem MariaDB root password gefragt wirst
Gib n ein wenn du noch unix_socket_authentication method gefragt wirst
Gib Y ein, um ein neues Passwort für den MariaDB-Root-Benutzer einzurichten. Gib dann das neue Kennwort ein und wiederholen den Vorgang.
Gib Y ein, um den anonymen Standardbenutzer aus MariaDB zu entfernen.
Gib dann erneut Y ein, um die Remote Anmeldung für den MariaDB-Root-Benutzer zu deaktivieren.
Gib Y ein, um den Standard-Testdatenbank von MariaDB zu entfernen
Gib abschließend erneut Y ein, um die Tabellenberechtigungen neu zu laden und die Änderungen zu übernehmen.
Nun ist MariaDB fertig installiert und abgesichert.
Datenbank und User erstellen
Nun legst du eine Datenbank an und dazu einen Nutzer an, beides brauchst du für die Installation von Nextcloud. In der Datenbank werden dann später z.B. die Kalenderdaten, Kontakte usw.
Mit dem Befehl meldest du dich am Datenbank-Server an:
sudo mariadb -u root -p
Das sind die Befehle zum erstellen der Datenbank und des Users Am besten du kopierst die Zeilen einzeln in die Konsole und drückst jeweils ENTER
CREATE DATABASE nextcloud_db;
CREATE USER nextclouduser@localhost IDENTIFIED BY 'StrongPassword';
GRANT ALL PRIVILEGES ON nextcloud_db.* TO nextclouduser@localhost;
FLUSH PRIVILEGES;
Mit dem Befehl „quit“ meldest du dich vom Datenbank-Server ab.
Download Nextcloud
Um den Download von Nextcloud zu verarbeiten benötigst du noch zwei Tools, die du nun installieren wirst. Das ist „wget“ zum Download von Nextcloud und „unzip“ zum Entpacken.
sudo apt install wget unzip -y
Jetzt wechseln wir in das Verzeichnis, wo die Programmdaten von Nextcloud hin kommen.
Dann vergibst du noch für den gesamten Ordner „nextcloud“ die nötigen Rechte.
sudo chown -R www-data:www-data nextcloud
Erstellen des VirtualHosts unter Apache2
Nachdem du das Nextcloud Softwarepaket heruntergeladen hast, musst du die neue Konfiguration des virtuellen Apache2-Hosts erstellen, der für den Betrieb von Nextcloud verwendet werden soll. Stell sicher, dass die Domain auf die IP-Adresse deines Debian-Servers für deine Nextcloud-Installation zeigt.
Nun erstellen wir den vituellen Host unter Apache2 Wir legen dazu eine neue Datei im Verzeichnis /etc/apache2/sites-available/
Mit dem ersten Befehl legen wir mit dem virtuellen Host eine neue Seite an die der Webserver nun bereit stellt. Der zweite Befehl checkt ob die Syntax von der Konfiguration so passt.
Nun starten wir nochmal den Apache2 Webserver neu.
sudo systemctl restart apache2
Absicherung der Nextcloud mit SSL-Zertifikat
Um eine zusätzliche Sicherheitsebene für Ihre Nextcloud hinzuzufügen, richten Sie HTTPS innerhalb Ihrer virtuellen Apache2-Host-Konfiguration über Certbot ein. Certbot ist ein Tool zur Generierung kostenloser SSL/TLS-Zertifikate von Letsencrypt. Erstmal muss dieses Tool aber installiert werden:
sudo apt install certbot python3-certbot-apache
Und dann nutzen wir gleich das Tool um unser Zertifikat zu erzeugen und es dann mit unserer Seite zu verknüpfen. In dem Command müsst ihr eure E-Mail anpassen und auch eure Domain/Subdomain.
Wenn alles durchgelaufen ist müsste es bei dir möglich sein die Domain aufzurufen ohne eine Sicherheitsmeldung zu bekommen. Dort erscheint dann die Installationsmaske von der Nextcloud.
Installation der Nextcloud
In diesem Abschnitt startest du die Nextcloud-Installation über den Webbrowser. Dabei wirst du den Admin-Benutzer für Nextcloud anlegen.
Ruf den Webbrowser auf und gib deinen Domainname deiner Nextcloud-Installation auf (z.B.: http://storage.cy3er.de/). Du solltest automatisch auf eine sichere HTTPS-Verbindung umgeleitet werden und , wirst aufgefordert einen Administrator-Benutzer für Nextcloud anzulegen.
Benutzername und Passwort kannst du selber wählen. Das wird dann automatisch der Admin-Account.
Dann musst du noch die Datenbank Daten eintragen Username, Datenbankname und Passwort. Diese haben wir in dem Schritt „Datenbank und User erstellen“ angelegt.
Dann wenn du alle Daten eingetragen hast, brauchst du nur noch auf installieren drücken. Das dauert dann einen kleinen Moment je nachdem wie schnell dein Server so ist. Das ist dann auch das Ende. Du hast fertig einen Nextcloudserver installiert. Jetzt wird dir nur noch eine Frage gestellt, ob du ein paar nützliche Tools installieren willst. Das kannst du entscheiden danach bist du dann aber wirklich fertig.
Du wirst in diesem Tutorial lernen, wie du ein Schlüsselpaar bestehend aus öffentlichem Schlüssel (public key) und dem geheimen Schlüssel (private key) generierst. Dazu benötigst du das Programm puttygen.
So sieht das Programm aus. Nun kannst du einfach auf „Generate“ klicken und das Schlüsselpaar fängt an zu generieren. Während des Prozesses musst du innerhalb des Fensters deine Maus bewegen. Die Mausbewegung wird genutzt um ein möglichst starkes Muster für die Verschlüsselung zu erstellen.
Im Anschluss siehst du die fertigen Schlüssel. Jetzt solltest du auch noch bei „Key passphrase“ und „Confirm passphrase“ deine Passphrase mit der dein Privatekey geschützt wird eintragen. Dann kannst du sowohl „PublicKey“ und „PrivateKey“ speichern.
Mit diesem Schlüsselpaar kannst du dich dann in putty zum Server verbinden. Wenn du die Keys in z.B. Powershell nutzen willst musst du noch über die Menüleiste „Conversations“ -> „Export OpenSSH Key“.
Bei den meisten Providern für vServer aller Art, gibt es die Möglichkeit den Server automatisch installieren zu lassen. Daher zeige ich jetzt nicht die komplette Installation von Debian 12. Das werde ich in einem anderen Tutorial noch nachholen. Wir gehen nun bei dieser Anleitung davon aus, das wir einen frisch installierten Debian Server vor uns haben. Am besten noch haben wir uns mit dem Root-User angemeldet.
Non-Root User anlegen und mit sudo Rechten ausstatten
Nun kannst du erstmal einen non-Root-User anlegen und diesem sudo Rechte übertragen. Dazu nutzen wir folgenden Befehl
adduser bernd
Dort wird nach einem Passwort gefragt und noch ein paar Andere Daten. Das Passwort ist wichtig die anderen Daten kannst du auch ohne Eingabe mit Enter bestätigen. Zum Schluss noch die Eingabe eines Y und der User „bernd“ ist angelegt. Du kannst natürlich einen selbst gewählten Namen nutzen.
Dann installierst du das Paket sudo
apt install sudo
Im Anschluss kannst du dem Nutzer „bernd“ die sudo Rechte zuweisen. Das sind im Prinzip Admin Rechte für das System. So brauchst du dann nicht mehr mit Root anmelden und hast trotzdem die Möglichkeit Updates einzuspielen und Pakete zu installieren. Nun die Gruppenzuweisung von sudo an User „bernd“
usermod -aG sudo bernd
Nun kannst du dich mit dem Command „exit“ mit dem User Root abmelden.
exit
Dann melden wir uns mit dem User bernd an
ssh nonroot@deineip
Dann kannst du es gleich mal ausprobieren, ob sudo Rechte vorhanden sind. Wir aktualisieren einfach mal unsere Paketliste. Dort werdet ihr nach dem User-Passwort von „bernd“ gefragt.
sudo apt update
SSH Public Key Authentifizierung
Dieser Part ist für Linux Systeme beschrieben für Windows findet ihr hier eine Anleitung. Der Schritt findet auf deinem Computer und nicht auf dem Server statt. Für euren persönlichen PC Account habe ich den Namen user genommen. Also ist euer Home Verzeichnis: /home/user
Nun öffnest du deinen Terminal und wechselst in das versteckte Verzeichnis „.ssh“ – Dieses liegt in deinem /home Verzeichnis.
cd /home/user/.ssh
Wenn es dieses noch nicht gibt dann leg es einfach mit „mkdir .ssh“ an. Nun legst du in diesem Ordner unser Schlüsselpaar bestehend aus Public und Private Key .
ssh-keygen -b 4096
Dort wirst du gefragt wie du die Schlüsseldatei nennen möchtest, ich hab sie im Screenshot key01 genannt. Dann noch eine Passphrase und nochmal bestätigen. Dann Enter und zack ist das Schlüsselpaar erstellt und kann verwendet werden.
Nun musst du noch den Public Schlüssel auf das Zielsystem übertragen, dafür nutzt du den Befehl ssh-copy-id
Dann wirst du wie bei der SSH Verbindung nach deinem Passwort vom Server User gefragt. Dieses gibst du ein und dann wird der Public Schlüssel auf den Server geschoben. Wenn das alles geklappt hat, kannst du dich ohne Passwort nur mit Passphrase und Schlüssel anmelden.
ssh -i /home/user/.ssh/key01 bernd@ipvomserver
Konfiguration SSH
Nun widmen wir uns dem SSH-Dienst und konfigurieren diesen so das er die nötigsten Einstellungen bekommt. Dazu musst du die Konfigurations-Datei des SSH-Dienstes bearbeiten. Diese öffnest du mit folgendem Befehl:
sudo nano /etc/ssh/sshd_config
So etwa sollte die Konfigurations-Datei aussehen nun musst du einige Werte anpassen. Wenn du die Datei runter scrollt kommen noch einige weitere Werte die angepasst werden müssen.
Der Wert Port steht am Anfang auf 22. Aus Sicherheitsgründen sollten wir diesen ändern. Dazu kannst du dir eine Zahl ab 10240 aussuchen
LoginGraceTime 2m
vor diesem Wert das „#“ löschen um die Funktion zu aktivieren
PermitRootLogin no
Root soll sich weder mit Password noch Pubkey anmelden können
StrictModes yes
vor diesem Wert das „#“ löschen um die Funktion zu aktivieren
MaxAuthTries 6
vor diesem Wert das „#“ löschen um die Funktion zu aktivieren
PubkeyAuthentication yes
Pubkey Schlüssel Authentifizierung
PasswordAuthentication no
Dieser Wert wird auf No gesetzt weil wir das verbieten wollen
Wenn diese Werte angepasst sind, kannst du die Konfigurationsdatei speichern [Strg]+[O] + [ENTER] und mit [Strg]+ [X] verlassen.
Nun startest du den SSH-Dienst neu:
sudo service ssh restart
Fail2Ban installieren
Nun installierst du ein Tool, das Bots und Hacker davon abhalten soll unseren SSH Zugang zu übernehmen. Dabei bemerkt das Tool, wie von bestimmten IP Adressen Anmelde-Versuche kommen. Wenn diese eine bestimmte Anzahl von malen nicht funktioniert hat, sperrt Fail2Ban diese IP für einen bestimmten Zeitraum. Installation:
sudo apt install fail2ban
Firewall UFW
Ohne eine Firewall geht es nicht. Die bekannteste Firewall ist IPTables. Aber diese ist in der Konfiguration ziemlich schwierig. Daher nutzen wir für unseren Server UFW. Also gleich mal installieren:
sudo apt install ufw
Nun müssen wir die Firewall „UFW“ noch konfigurieren. Die Firewall blockiert per Anfangseinstellung alle Ports, d.h. das erst einmal kein Dienst von Außen aufgerufen werden kann. Aber wir brauchen ein paar offene Ports, damit wir unserer Server nutzen können. Da fällt mir gleich der erste ein, der SSH Port, sonst kannst du dich nicht an der Konsole anmelden. Also stellst du diesen eine. Diesen Port solltest du von 22 auf einen Wunschport ändern im Kapitel „Konfiguration SSH“. Bei mir nehme ich jetzt Port 10240
sudo ufw allow 10240/tcp
Dann öffnen wir gleich mal noch die Ports HTTP und HTTPS diese werden in der Regel benötigt. Wenn du keinen Webserver betreiben möchtest, kannst du diesen Schritt überspringen.
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp
Jetzt hast du die ersten Ports geöffnet aber müssen noch die Firewall einschalten. Daher ist es wichtig das du den richtigen SSH Port angegeben haben, sonst sperrst du dich selbst aus dem System aus. Firewall einschalten:
sudo ufw enable
Diese Info musst du mit einem „y“ bestätigen. Es kommt noch die Meldung: „Firewall is active and enabled on system startup“ Im Anschluss ist nun auch die Firewall aktiv. Und sollte einige Angriffe abhalten. Wenn du einen neuen Dienst installierst, musst du dann in Zukunft die dazugehörigen Ports öffnen.
Ein Virtuell Private Server kann eine ideale Lösung für Dich sein, wenn Du diesen Service wirklich brauchst. Im Folgenden findest Du eine Aufstellung von Vor- und Nachteile des Betriebs eines VPS.
Da Serverressourcen wie RAM (Arbeitsspeicher) oder Rechenleistung garantiert sind, gibt es keine oder nur minimale Schwankungen bei den verfügbaren Hardware-Ressourcen.
Probleme und Traffic-Spitzen anderer Serverbenutzer haben keine Auswirkungen auf Deine Website.
Er ist schneller als ein Shared-Hosting
Du erhältst Root Rechte auf dem Server.
Du hast mehr Privatsphäre, da deine Daten auf einer separaten Schicht des physikalischen Servers liegen.
Es ist ein leicht zu anzupassender Service. Wenn Deine Website wächst, kannst Du Ihre Serverressourcen (RAM, CPU, Festplattenplatz, Traffic usw.) bei den meisten Anbietern einfach upgraden.
Nachteile / Voraussetzung
Was ich vorweg dazu sagen muss, dass es aus meiner Sicht eigentlich keine Nachteile gibt. Es gibt nur ein paar Voraussetzung die gegeben sein sollten, damit man einen VPS sicher betreiben kann.
Beim VPS-Hosting musst du dich um die Administration und Verwaltung selber kümmern. Daher solltest Du einen gewissen Wissensstand haben um diese Aufgabe bewältigen zu können.
Er steht in Abhängigkeit zum Hypervisor : Muss das Hauptsystem, beispielsweise aufgrund von eines Hardware-Tauschs, neugestartet werden, sind davon auch alle darauf befindlichen virtuellen Maschinen betroffen. Die VM’s müssen im Anschluss auch neu gestartet werden. Dadurch wird die Ausfallzeit nochmals verlängert. Je nach Größe des physikalischen Servers, hat die Anzahl der virtuellen Maschinen auch direkten Einfluss auf die Neustartzeit des Hauptsystems. Das ganze würde sich nur ändern, wenn man sich einen eigenen dedizierten Server mietet.
Sicherheitsproblem, teilen sich mehrere virtuelle Maschinen einen physikalischen Server so haben auch alle eine verwundbare Stelle gemeinsam, der Hypervisor. Wenn dieser von Hackern infiziert oder gar übernommen wird sind alle virtuellen Maschinen auch betroffen.
Datenverlust ist verbreiteter als man glaubt. Ein Unfall, eine Naturkatastrophe, Diebstahl oder technischer Defekt könnte alle Daten, die dir wichtig sind zerstören. Auch die schönen Erinnerungsbilder vom letzten Urlaub sind dann eventuell weg. Wenn man sich aus dem privaten Bereich raus bewegt und in den unternehmerischen Bereich geht, kann es sogar illegal sein keine Backups zu haben. Den bestimmte Daten müssen immer vorgehalten werden. Und natürlich gibt es auch die Möglichkeit von Cyber-Angriffe und Ransomware. Das sind alles Szenarien die sich durch eine gute Backup-Strategie vermeiden lassen.
Cookie-Zustimmung verwalten
Um dir ein optimales Erlebnis zu bieten, verwenden wir Technologien wie Cookies, um Geräteinformationen zu speichern und/oder darauf zuzugreifen. Wenn du diesen Technologien zustimmst, können wir Daten wie das Surfverhalten oder eindeutige IDs auf dieser Website verarbeiten. Wenn du deine Zustimmung nicht erteilst oder zurückziehst, können bestimmte Merkmale und Funktionen beeinträchtigt werden.
Funktional
Immer aktiv
Die technische Speicherung oder der Zugang ist unbedingt erforderlich für den rechtmäßigen Zweck, die Nutzung eines bestimmten Dienstes zu ermöglichen, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wird, oder für den alleinigen Zweck, die Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz durchzuführen.
Vorlieben
Die technische Speicherung oder der Zugriff ist für den rechtmäßigen Zweck der Speicherung von Präferenzen erforderlich, die nicht vom Abonnenten oder Benutzer angefordert wurden.
Statistiken
Die technische Speicherung oder der Zugriff, der ausschließlich zu statistischen Zwecken erfolgt.Die technische Speicherung oder der Zugriff, der ausschließlich zu anonymen statistischen Zwecken verwendet wird. Ohne eine Vorladung, die freiwillige Zustimmung deines Internetdienstanbieters oder zusätzliche Aufzeichnungen von Dritten können die zu diesem Zweck gespeicherten oder abgerufenen Informationen allein in der Regel nicht dazu verwendet werden, dich zu identifizieren.
Marketing
Die technische Speicherung oder der Zugriff ist erforderlich, um Nutzerprofile zu erstellen, um Werbung zu versenden oder um den Nutzer auf einer Website oder über mehrere Websites hinweg zu ähnlichen Marketingzwecken zu verfolgen.
