Re: [OT]Erfahrung VServer-Angebot bei ispone-business und Debian Etch?

To: debian-user-german@lists.debian.org
Subject: Re: [OT]Erfahrung VServer-Angebot bei ispone-business und Debian Etch?
From: Harald Weidner <hweidner-lists@gmx.net>
Date: 13 Oct 2008 11:22:56 GMT
Message-id: <[🔎] gcvb2g$ppe$1@dedi.hweidner.de>
In-reply-to: <[🔎] 48F30A25.90200@oekonet-bremen.de>

Hallo,

Torsten Geile <geile@oekonet-bremen.de>:

>>   http://vollmar.net/

>Habe ich mir angeschaut und macht auf den ersten Blicken einen 
>kompetenten und auch symphatischen Eindruck. Mich irritiert aber, dass 
>man dort iptables nicht einsetzen kann. Frage mich daher, wie ich den 
>Server schützen kann.

Den Server schützt man am besten, indem man keine Dienst startet,
die man sonst durch IPtables weggefiltert hätte.

Also konkret: nur diejenigen Dienste, die überhaupt von außen
erreichbar sein sollen, starten (z.B. Webserver, MTA). Alle anderen
entweder gar nicht erst installieren/starten, oder per Konfiguration
nur auf dem Loopback-Interface starten. Letzteres ist z.B. für ein
DBMS sinnvoll, das nur vom Webserver aus erreichbar sein soll.

Man sollte allerdings regelmäßig mit "lsof -i" und nmap prüfen, ob
ggf. unerwünschte Netzwerkdienste versehentlich bereit gestellt werden.

IPtables auf vServern kann trotzdem nützlich sein, beispielweise für
Portweiterleitungen oder Traffic Accounting.

>Bin beim durchblättern der CT auf ein Angebot von Server4you gestossen. 
[...]
>Nur scheinen die auch iregendeine Art 
>Einschränkung bezüglich der stateful inspection von ip Paketen zu haben. 
>Ist das auf Vservern "normal"?

Ja. Je nach verwendeter Virtualisierungstechnik kann es normal sein, dass
bestimmte Kernelfunktionen nicht nutzbar sind.

Bei Linux-VServer, das z.B. von vollmar.net bei den beiden kleineren
Angeboten genutzt wird, ist IPtables generell nicht möglich.

Bei Virtuozzo (z.B. Server4You) ist IPtables möglich, da sich jedoch
alle vServer einen Kernel teilen, kommen schnell sehr viele Regeln
zusammen. Daher beschränken die Provider die Anzahl der möglichen
IPtables Regeln, z.B. auf 50 pro Kunde.

Bei Xen (z.B. das große Angebot von vollmar.net) hat jede VM einen
eigenen Kernel, der allerdings vom Provider konfiguriert und vom Kunden
nicht oder kaum geändert werden kann. Ob IPtables und andere Kernel-
funktionen möglich sind, hängt vom Provider ab.

Gruß, Harald

Reply to:

References:
- Re: [OT]Erfahrung VServer-Angebot bei ispone-business und Debian Etch?
  - From: Torsten Geile <geile@oekonet-bremen.de>

Prev by Date: Re: [OT]Erfahrung VServer-Angebot bei ispone-business und Debian Etch?
Next by Date: Re: nicht erfüllte Abhängigkeiten
Previous by thread: Re: [OT]Erfahrung VServer-Angebot bei ispone-business und Debian Etch?
Next by thread: Re: [OT]Erfahrung VServer-Angebot bei ispone-business und Debian Etch?
Index(es):
- Date
- Thread