Was ist Sicherer - V-Server oder dedizierter Root-Server

[Anon4Guest]

Hallo Glocke

Leider kann ich es mir nicht Downloaden.

"Enter decryption Key"


Gruß

[Anon4Guest]

Rotationsdatei_fuer _einen_VServer_Ubun tu.pdf (171 KB)
You are not allowed to view links. Register or Login

War mein Fehler, ich habe das Konstrukt nicht als Link formatiert.

[Anon4Guest]

Wie Sicher ist ein Server vor einem Durchsuchungsbeschl uss?
Frau oder Mann sollten einen Server so Administrieren das immer jemand zuschauen kann.

Als einen kleinen Beitrag habe ich heute ein Anleitung geschrieben um die Log-Dateien auf einem Server sehr klein zu halten und sicher zu löschen. Brauchen tut man sie gelegentlich.

Rotationsdatei_fuer _einen_VServer_Ubun tu.pdf (171 KB)
You are not allowed to view links. Register or Login

Das gilt fast für jeden Linux Server.

Ich habe es auf  mega.co.nz hochgeladen. Firefox geht auch.
Aber diesen Knaben aus Kiel sollte man sich genauer anschauen. Er speichert jede Menge Daten kann sie aber nicht ansehen. Den Dateinamen soll er sehen können.
Wer die vielen Java-Scrips sehen möchte kann die Seite aufrufen mit gesperrten Java-Script.
Die Dateien werden lokal verschlüsselt und in der Cloud gespeichert. Und Mister DotCom ist nicht mehr verantwortlich.

Bei einem VServer müsste es möglich sein das man benachrichtigt wird wenn er kopiert wurde. Es ist nicht zu erwarten das dann steht ich wurde kopiert aber es könnte stehen ein Dienst ist nicht gestartet. Das lässt darauf schließen das der Server neu gestartet wurde und die Dienste die jedes mal per Hand gestartet wurden laufen dann natürlich nicht. Ein klärender Anruf wäre dann angebracht.

[Anon4Guest]

Mal einige Anmerkungen aus konkreter beruflicher Erfahrung:

Prinzipiell sind VPS und dedizierte server, was Überwachung angeht, ziemlich gleich zu bewerten. Der wesentliche Unterschied (der für so manches ziemlich egal ist) liegt darin, dass ein VPS eben nur eine virtuelle Maschine ist. In diesem Zusammenhang könnte es interessant sein, warum VPS überhaupt entstanden:
Als es (vor laaanger Zeit *g) nur entweder hosting (also einfach webspace) oder aber dedizierte server gab stellten sich bei Betreibern 2 Fakten heraus:
 a) Sehr viele Kunden brauchten mehr als webspace aber auch viel weniger als gleich einen dedizierten server
 b) Über 95% der dedizierten server liefen grade mal auf 5% - 20% ihrer Leistungsfähigkeit.
Es lag nahe, da eine Lösung zu finden, genauer, eine spezifische Lösung, denn einen (allerdings dafür nicht gedachten) Urvater der VPS gab es schon lange, z.B. in Form von BSD jails.

Wie funktioniert Überwachung eigentlich?
Erst mal: Dazu geht kein Admin an einen VPS- oder server-port. Wenn, dann wird das über port mirroring am switch gemacht.
Auch: Ein VPS server hat genau so eine (oder mehrere) IP Adresse(n) wie ein dedizierter server.

Übrigens ist es auch ziemlich egal, was für Prozesse auf einem VPS laufen. Verstösse, die für einen Betreiber/Hoster relevant sind, können auf beiden laufen und der Hoster kann auch, wenn er wirklich muss, in jeden server rein. Tut er aber praktisch nie. Weil er a) die IP blockieren oder aber (häufiger) den entsprechenden traffic bzw. port blockieren kann.
Der einzige wesentliche Unterschied ist der, dass der Hoster bei VPS auch auf die hosts (die physischen Systeme, auf denen die VPS laufen) gucken muss und es da nicht nur "Bandbreitensäue" sondern eben auch "CPU und Speichersäue" gibt, was aber mit modernen VPS zunehmend weniger eine Rolle spielt.

Summary: Was Überwachung angeht, ist es völlig egal, ob man einen VPS oder einen dedizierten server nimmt.

Einen wichtigen Punkt gibt es aber: Überbuchung.

Manche, besonders Billiganbieter, die VPS für 2,99/Monat anbieten, überbuchen die host server, so dass man zwar für sehr wenig Geld ein VPS hat, dieses aber lahm und problematisch läuft.
Wer etwas weiter denkt, wird sich auch fragen, wie gut wohl der service und die Infrastruktur von so einem Billigsthoster sind ...

Das entscheidende Kriterium ist die Programmlast. Wer eine Seite mit eigenem Datenbank-server und intensiven und vielen PHP Prozessen hat, der sollte einen dedizierten (und entsprechend dimensionierten) server nehmen. Wenn es primär um Traffic geht, dann ist ein VPS völlig ausreichend.
Mal zum Vergleich: In vielen Home Routerboxen sind CPUs drin, die kaum mit einem uralten 386er PC mithalten könnten und oft auch nur 8 -64 MB Speicher. Diese Büchsen können trotzdem problemlos 50MBit durchschleusen.Auch in sehr vielen besseren und professionellen Routern, die Gigabit/Sekunde verarbeiten und/oder x100MB an SSL verschlüsseln, ist oft grade mal 128MB Speicher und eine CPU drin, die selbst einem alten Pentium kaum gewachsen ist.

Kurz: Ein VPS ist leistungsmäßig mehr als locker ausreichend für Tor oder ähnliches. Auch wenn es um Gigabit/Sekunde geht.

Im übrigen ist die Frage VPS oder dedizierter server sowieso müßig für ein Tor Projekt, weil die Kosten (wie bei den meisten servern) a) in Infrastruktur und b) in Bandbreite liegen. Wenn man Terrabytes pro Monat durchschieben will, dann ist der preisliche Unterschied zwischen dediziert oder VPS vernachlässigbar.

Ausserdem gibt es einen wunderbaren Kompromiss: Einen *kleinen* (oder älteren) dedizierten server oder einen Atom server. Die sind zunehmend beliebt und verfügbar. Großer Nachteil: kein Ilo/IPMI.

Ich persönlich würde aus Erfahrung einen guten VPS nehmen. Einfach weil features und balance stimmen.

Und *was* braucht man eigentlich an Leistung und features?

Das hängt unmittelbar mit der Frage zusammen, wie viel Eure "user" verbraten. Daumen mal Pi Regel: Ein nicht extremer (saugen rund um die Uhr) aber recht intensiver user verbraucht im Monat ca. 100GB (also deutlich weniger als die meisten vermuten). Und da ist *alles* drin, auch Filme saugen, intensives surfen, (hoffentlich hübsch) nackte Frauen anglotzen ... eben alles, was intensive user so alles machen *g

Auch das ist ein wichtiger Punkt für euch. Weil man nämlich, jedenfalls als nicht kommerzieller Anbieter, wie ihr hier, kein Angebot für "alles und immer über Tor" haben muss. Es ist ja wohl zumutbar, dass die user hier 2 Browser verwenden, 1 für normal (ohne proxy) und einen, der auf Tor eingestellt ist für sensiblere Sachen.
Und schwupps seid ihr bei 5-10 GB pro Monat und user - und damit auch in einer realisierbaren Preisregion.

Auch sehr wichtig: *Wo* so ein server steht.

Deutschland, England, Frankreich muss man wohl im Hinblick auf Anonymität abhaken.
Aber auch Schweden ist bei weitem nicht so gut wie sein Ruf. Was früher mal ein guter Tip war (z.B. prq.se) ist heute a) schweineteuer und b) komplett unter amerikanischer Kontrolle. Nicht juristisch. Aber faktisch tanzen die schwedischen Behörden genau so wie die Musik aus den usa es vorgibt. Also, lieber abhaken.

Wirklich sehr gut ist Island - aber leider auch unbezahlbar für Privatleute.

Ergebnis: Holland oder Ostblock. Im Osten kommt (bedingt) die Tschechei und ansonsten (bedingt) Litauen/Estland oder aber Rumänien oder Ungarn in Frage. Ich persönlich würde Rumänien und Holland in der Endausscheidung sehen.

Bei der Bezahlung wirds nochmal eng. Noch nehmen nur wenige Hoster E-Geld (LR,UC, etc.) und ich vermute mal, dass hier auch niemand eine anonyme Visa Card hat.

Noch zwei praktische Tips:

Einigt euch auf einen "Chef", der das Sagen hat und die Zugangsdaten. community-Projekte scheitern nicht selten an persönlichem Hick-Hack (Wer heute dein Kumpel ist, ist morgen vielleicht der "Feind" der ganz alleine so viele server resourcen verbraucht wie 3 andere).

Und nehmt lieber kein Linux sondern was ernst gemeintes, z.B. BSD auf KVM oder XEN (HVM). Grund: Was meint ihr wohl, welche Art Büchsen staatliche hacker bevorzugt aufmachen? (Tip: Wenn du eine Tor Büchse knackst, dann hast du den Traffic ziemlich vieler Leute und zwar Leute, die Daten verschicken, die du (Staat) nicht sehen sollst ...)
Und bitte keinen flame war, jetzt. Ich mag Linux, hab's privat am Laufen. Aber doch nicht für was wirklich Sensibles.

Falls noch Fragen bestehen ...

[Anon4Guest]

Ersteinmal vielen Dank für die Ausführungen.
Ich verbrauche bis 20 GByte im Monat was mich selber Überrascht hat wie wenig es ist. Meistens ist es aber weniger als 5 GB.
Wer seinen Hoster ärgert muss sich nicht wunder. Es gab doch mal einen in Berlin der dann nach bestimmten Bildern gesucht hat.
Mit der Überbuchung stimmt auf jeden Fall. Ist man neu geht es und dann wird es langsamer.
Mit dem wo hosten bin ich auch bei den beiden (Holland und Rumänien) gelandet. Allerdings durch Verfolgung von Nachrichten. Ein klein krimineller, Türke, sagte mir mal das er von einem deutschen  Verhört wurde der Perfekt türkisch gesprochen hat und mal höher angebunden war und in der Türkei gearbeitet hat.
Für mich hat sich die Türkei erledigt was Anonymität betrifft. Russische, Türkische und Deutsche Polizei arbeiten gut zusammen.
Wer sich die mühe macht und bestimmte Blogs nach Standorten untersucht landet auch in Holland oder Rumänien.

Frage wieso BSD?  Ich lade mir gerade FreeBSD runter und werde es mal ausprobieren. Linux kenn ich.

Trotzdem würde mich interessieren ob es bei VServer oder Server überhaupt eine Möglichkeit gibt festzustellen ob sich jemand daran zu schaffen macht.

Es besteht immer noch die Möglichkeit der großen Koalition im September die dann als erstes die Vorratsdatenspeiche rung einführen wird.

Vielen Dank

[Anon4Guest]

Zu IP Logging :

Wichtig: Wie sieht es bei VPN-Providern mit dem Loggen von IP-Adressen aus?

Die IP-Logging-Lüge:

Dazu muß man wissen, wie eine Datencenter Technologie funktioniert und genaue Kenntnisse über die eingesetzte Netzwerk-Topologie haben. Fangen wir mal bei dem Grundlagen und den normalen Schutzmaßnahmen an.

Der normale Webmaster der einen SSH Zugang hat, kann natürlich die Log Funktion der IP-Adressen deaktivieren. Dieses ist kein großes Problem und innerhalb ein paar Minuten gemacht. Für gängige Boardsoftware existieren Anleitungen und Addons, die dieses in der Forensoftware integriert.

Normale Webspace oder VPS Benutzer haben aber keine Chance dieses von der OS-Ebene aus zu machen, da der benötigte SSH Zugang fehlt.

Um es Vorweg zu nehmen: Es gibt kein vollkommenes deaktivieren des IP-Loggings, das sind Wunschträume! Jeder Zugriff und jede Aktion welche auf und zum Server durchgeführt wird kann protokolliert werden, ohne physikalischen Zugriff auf den Server zu nehmen.

Ein Datencenter besteht aus vielen verschiedenen Hardware Komponenten zum Beispiel:

* Switches
* Router
* Security-Hardware wie Firewalls,IPS, SPS u.s.w.
* Traffik-Analyzer
* Load-Balancer
* NAS, SAS und DAS Syteme

und vieles andere, jede Hardware für sich kann IP-Anschriften speichern und Log-Dateien führen.

Ein normaler User, Hoster und Reseller hat keine Chance auf das IP-Monitoring einzuwirken, das ist schlicht unmöglich. Wenn jemand scheibt, daß er das IP-Logging unterbunden hat, ist dieses Prozentual gesehen ein Bruchteil der Wahrheit.

Selbst wenn man dieses schaffen sollte, wenn man die doch sehr kostspielige Hardware selber gekauft hat, scheitert man am Backbone. Privatpersonen, und Hoster ohne eigene Infrastruktur haben keinerlei Chance. Sie müssen sich auf jeden Fall in einem Technologie-Zentrum einmieten und dort alles bis ins kleinste Detail aufbauen. Es ist unabdingbar, das man dann vor Ort sind, oder man muss Personal dafür anmieten.

Auch dieses dürfte ganz schnell die Kostenfalle für die meisten Anbieter bedeuten. Ein vernünftiges Backbone welches Sie dann mit Ihrer Serverfarm verbinden können, kostet ab 150.000 US-Dollar. Dazu kommt dann natürlich noch die obige Hardware und alles andere wie Stromkosten, PDU etc…, also ein aussichtsloses Unterfangen für Möchtegern-Hoster. Nicht zu vergessen, wenn man Backbone Hardware hat, muss man weiter Verträge abschließen um überhaupt am Internet angeschlossen zu werden.

Selbst wenn man diese Hürden genommen hat, kann man nicht machen was man will. Man muss die Vorgaben und Richtlinien des Carriers einhalten, ansonsten kann es passieren, das der Vertrag wiederrufen wird und man ohne Anbindung dastehen. Dieses ist vor einiger Zeit bei einem Hoster passiert, welcher große Spam-Netze und andere illegale Aktivitäten zugelassen hat.

Dann hat Sie nur noch einen Haufen Hardware ohne Funktion und ein totes Business.

Ein DC-Backbone verfügt über die unterschiedlichsten Log- und Monitoring Funktionen. Anhand dieser Funktionen tätigt ein Hoster u.a. seine Abrechnungen und ist überhaupt erst für die Internet-Welt erreichbar.

Ein Hoster kann zu jeder Zeit alles genau nachvollziehen und dementsprechend zuordnen, alle anderen Aussagen kann man beruhigt vergessen.

Der Datenverkehr und dessen Zuordnung erfolgt immer auf dem gleichen Weg. Eine Domain wird registriert und anhand der hinterlegten Records/ NS ggf. dem Cluster zugewiesen und dort verteilt. D.h. jeder Datenverkehr wird an das Backbone weitergegeben welcher dann anschließend die Daten zuordnet und verfügbar macht.

Was meint ihr zum Beispiel was passiert wenn ein Hoster XYZ egal wo, ein Auskunfts- oder Überwachungsgesuch bekommt oder gesetzlich dazu Verpflichtet wird ?

Dieser wird bestimmt nicht auf Ihren Server zugreifen und dort die IP- und Zugriffs-Logs zur Weitergabe runterkopieren. Nein, es wird eine Regel im entsprechenden Haupt-Backbone mit IP-Range und Gateway erstellt und Zeitnah in der entsprechender Log-Extension detailiert gespeichert. D.h. alles was passiert wird aufgezeichnet und kann jederzeit weitergegeben und ausgewertet werden.

Um es noch einmal zu verdeutlichen, ein Hoster mit entsprechender Infrastruktur kann jede IP sehen, jede Tastatureingabe und alles was per Netzwerkprotokoll IN/OUT übertragen wird.

D.h. alle Eingaben, Informationen / Inhalte sind sichtbar und deswegen braucht man auch keinen physikalischen Rootserver Zugang. Man kann genau zuordnen User mit IP XXX.xx.xx.XXX liest oder schreibt um 0.00 Uhr Thema X auf Server / Url mit folgenden Inhalt und vieles andere mehr. Es gibt Log Analyse Software, womit man im Klartext solche Informationen auswerten und betrachten kann, ohne erst großartige Formatierungen durchzuführen.

Fazit:

Website-Badges wie “Wir speichern nicht” oder Aussagen wie “Wir haben das IP Logging deaktiviert” kann man getrost aus dem Wortschatz streichen und ignorieren. Sei vorsichtig und verlasse dich nur auf dich.

Zitat von You are not allowed to view links. Register or Login