Moin!

Ich habe einen dedicated Server mit root Rechten bei Hetzner, also kann ich mir so ziemlich alles darauf installieren lassen. Mit Gentoo habe ich bis jetzt überhaupt keinen Kontakt gehabt, aber ich schlage mal nach was es so auf sich hat.

Hetzner bietet SuSE und Debian an.

Ich habe mich für Debian entschieden. Apache, PHP und dazugehörige Librarys habe ich allerdings im Quellcodes auf den Server geladen und selbst kompiliert. Debian ist ganz nett für Programme, die man nicht täglich braucht. Auch für Serverdienste mit untergeordneter Bedeutung (solange man sie aktualisiert hält - geht mit Debian relativ einfach). Aber Debian Woody ist eben versionsmäßig einfach uralt, weil die Jungs in erster Linie die Systemstabilität ihres "stable"-Zweiges sehr ernst nehmen, und mit dem Testen nicht hinterherkommen. Ist ja irgendwie auch verständlich - nur leider für die Praxis nicht in jedem Fall brauchbar.

Thema Firewall: Warum eine Firewall?

c Nun ja, abgesehen von der Absicherung der einzelnen Dienste bietet die Firewall durch die Abdeckung der Ports ein zusätzliches Sicherheitsniveau.

Nein.

Entweder laufen Dienste auf dem Server, die offene Ports verursachen, oder die Ports sind geschlossen. Es gibt kein Zwischending. Eine Firewall kann an diesem Grundsatz nichts verändern. Bestenfalls kann verhindert werden, dass ein neuer Dienst, der gestartet wird, nach außen einen offenen Port anbietet.

Allerdings solltest du dich in dieser Situation eher fragen, wie so ein Dienst überhaupt gestartet werden kann. Schließlich sollte das in deinem Sicherheitskonzept ausgeschlossen sein: Es dürfen nur definierte Dienste laufen. Wenn Angreifer weitere Dienste starten können, ist es sowieso schon zu spät, dann werden sie mit Sicherheit auch die Firewall-Regeln "anpassen" können.

Mir ist schon mal ein Server gehackt worden und dazu benutzt worden eine DNS Attacke auf einen zentralen Router vorzunehmen.

Tja, genau das ist das Problem mit Freizeit-Admins, die lediglich über ein gefährliches Halbwissen verfügen.

Dass einem der Server gehackt wird, ist schlecht. Aber dass man hinterher nicht untersucht und feststellt, woran das gelegen hat, ist noch hundertmal schlechter!

Also: Woran hat es gelegen? Sicherlich nicht daran, dass du keine Firewall hattest. Die typischen Einfallstore auf Servern sind eher schlecht geschriebene PHP-Skripte. Und DIE kann man mit einer Firewall keinesfalls absichern.

Die Performance wäre vielleicht ein Argument dagegen, aber es geht ja weniger darum wie gut ein Server angebunden ist, als wie viel der Server selbst kommuniziert. Beim selfhtml Server kann ich mir schon vorstellen, dass massenweise Traffic zu scannen ist. Aber ich glaube nicht, dass der eher laue Traffic meines Servers den Prozessor wirklich auslasten kann. Naja, ich werde es jedenfalls versuchen und wenn es nicht geht dann schalte ich die Firewall ab. Aber wenn es kein Problem ist, warum sollte ich dann auf die Firewall verzichten?

Faustregel für Server: Alles unnötige abschalten! Je komplizierter ein System ist, desto mehr Ansatzpunkte für einen Angriff ergeben sich.

Also: Wenn die Firewall dir grundsätzlich nicht helfen kann - warum dann damit arbeiten? Sie macht das System einen Schritt komplizierter - auch wenn nicht unbedingt anzunehmen ist, dass der Linux-Firewallcode gleich so anfällig ist, wie die Firewalls von Symantec (siehe http://www.heise.de/newsticker/result.xhtml?url=/newsticker/meldung/47316&words=Firewall) - das ist aber ein schönes Beispiel dafür, wie man durch angeblich mehr Sicherheit erst so richtig anfällig wurde. Mit einer sauberen Konfiguration der erreichbaren Dienste auf jedem Rechner würde sowas nicht passieren. :)

Wie gesagt ich bin Gentoo-Jungfrau, aber ich probiere es gerne mal aus.

Gentoo solltest du zuerst mal zuhause probieren. Grundsätzlicher Unterschied zu allen anderen Distributionen: Gentoo lädt bis auf wenige Ausnahmen immer den Quellcode herunter und kompiliert ihn dann erst. Das dauert je nach CPU-Leistung logischerweise etwas länger.

Hetzner selbst wird dir Gentoo nicht installieren. Und ich kann dir nicht raten, dein allererstes Gentoo-System remote ohne Einflußmöglichkeit auf den Server zu installieren. Dabei geht mit einiger Sicherheit einiges schief, und das Resultat ist, dass Hetzner nochmal das Grundsystem aufspielen muß. Kostet dich unnötig Geld, muß also nicht sein.

Es gibt diverse IMAP-Server. Cyrus ist einer von denen, Courier wäre eine Alternative.

Courier habe ich nicht gehört, also danke für den Tipp, schau ich mir an. UW ist während meiner Suche im Internet häufiger mal aufgetaucht, weisst du etwas darüber?

Nichts, was ich hier zusätzlich berichten könnte. Ich selbst werde auf eine Kombination aus Cyrus und Postfix setzen - da Debian nur Postfix 1.x anbietet, eine vergleichsweise alte Version, wird also auch hier demnächst "compile it yourself" angesagt sein. Ist auf Debian aber wesentlich angenehmer, als auf SuSE, weil Debian die Pfade gemäß des Standards verwendet.

- Sven Rautenberg