hakonvl Skrevet 30. september 2010 Del Skrevet 30. september 2010 (endret) Hei Har i det siste spilt en del Minecraft og jeg og noen venner har fått lyst til å sette opp en server der vi kan spille sammen. Jeg har tatt på meg ansvaret på å sette opp denne serveren fordi jeg har en del interesse for sånt. Ellers har jeg uansett maskiner jeg kan bruke til dette, og jeg har også noe erfaring med serverdrift internt. I allefall, problemet er at pappa ble litt skeptisk til dette med at man slipper andre inn bak routeren og inn på nettverket. Jeg har forklart han en del av det tekniske, men han vil vite litt mer om erfaringene og den faktiske risikoen om dette. Det han er redd for er at noen skal klare å ta kontroll på maskinene våre å bruke de til å sende ut spam, virus o.l. Jeg vet ikke om dere synes det er relevant for spørsmålet mitt, men alle maskine i huset ink. serveren kjører Linux av forskjellige varianter bortsett fra maskinen til pappa som kjører Vista. Alt er passordbeskyttet med unike passord bortsett fra brukeren til broren min og pappa på hans maskin. Jeg har også tenkt å kjøre serverprogrammet til spillet som en egen bruker, i allefall ikke som root. Jeg kommer også til å lage en liste, eller en whitelist i serverprogramvaren der jeg fører opp alle brukernavnene til de jeg vil slippe inn. Dette vil altså være en "privat" server. Totalt sett er det vell 5-6 venner det er snakk om. Maskinene i huset har dynamiske IP'er, bortsett fra serveren som har en statisk IP. Det er heller ikke noe i veien for å blokkere alle tilkoblinger ut og inn av serveren min i brannmuren bortsett portene til SSH, HTTP/HTTPS og portene til Minecraft. De andre maskinene i huset har også brannmurer av forskjellig slag. En annen ting han er litt skeptisk til er at de som skal logge på serveren må ha den eksterne IPen min. Mulig jeg kan bruke et domenenavn jeg har via dyndns.com, men jeg har ikke sjekket om dette er støttet av Minecraft. Siden vi har dynamisk IP har jeg da tenkt å legge opp et script på maskinen som er tilgjengelig via webserveren som kjører på maskinen min som folk kan kjøre via dyndns domenet mitt. Dette kan jo eventuelt passordbeskyttes. Ut i fra det jeg vet, er det jo ikke noe teknisk forskjell på om man kobler til en server via et domenenavn eller en IP siden klienten uansett må hente IPen til serveren man vil koble til via en navneserver, så det øker vell ikke sikkerhetsrisikoen? En ting jeg lurer på selv, er om dere ville annsett det som et problem å bruke samme maskin som filserver for en del backup og en del andre filer og som webserver for testing av en del nettsidene til et LAN jeg er med å arrangere. Både dette og SSH er tilgjengelig utenfra. Mulig det også blir snakk om en VPN-linje og etterhvert. Brukeren Minecraftserveren kjører under har har ikkke lese/skrive tilgang til disse mappene. Eventuelt må det vell finnes en eller annet form for kryptering? Selv tenker jeg at det ikke har så mye å si, i allefall ikke i denne skalaen. Synes det er helt greit at han er skeptisk, det er vell egentlig bra. Men jeg trenger litt hjelp til å overbevise han siden jeg kan alt mulig om dette. Er det noen flere opplysninger dere trenger så bare spør. Takk for alle svar Endret 30. september 2010 av Rockie Lenke til kommentar
henrik_f Skrevet 30. september 2010 Del Skrevet 30. september 2010 det vil jo ver et "hull" i nettverke, men jeg vil ikke si det er en risiko. du binder jo den porten bare til den pcen du skal hoste på ved hjelp av ip. det du kan gjør er å lage til fks server.dinhjemmeside.com så folk bruker den istede for din ip, men om folk vill finner dei ut ipen. og som jeg bruker og si, vil folk inn så kommer dei seg inn bare og hoste (Y) Lenke til kommentar
xstnc Skrevet 30. september 2010 Del Skrevet 30. september 2010 (endret) Hei Har i det siste spilt en del Minecraft og jeg og noen venner har fått lyst til å sette opp en server der vi kan spille sammen. Jeg har tatt på meg ansvaret på å sette opp denne serveren fordi jeg har en del interesse for sånt. Ellers har jeg uansett maskiner jeg kan bruke til dette, og jeg har også noe erfaring med serverdrift internt. I allefall, problemet er at pappa ble litt skeptisk til dette med at man slipper andre inn bak routeren og inn på nettverket. Jeg har forklart han en del av det tekniske, men han vil vite litt mer om erfaringene og den faktiske risikoen om dette. Det han er redd for er at noen skal klare å ta kontroll på maskinene våre å bruke de til å sende ut spam, virus o.l. Jeg vet ikke om dere synes det er relevant for spørsmålet mitt, men alle maskine i huset ink. serveren kjører Linux av forskjellige varianter bortsett fra maskinen til pappa som kjører Vista. Alt er passordbeskyttet med unike passord bortsett fra brukeren til broren min og pappa på hans maskin. Jeg har også tenkt å kjøre serverprogrammet til spillet som en egen bruker, i allefall ikke som root. Jeg kommer også til å lage en liste, eller en whitelist i serverprogramvaren der jeg fører opp alle brukernavnene til de jeg vil slippe inn. Dette vil altså være en "privat" server. Totalt sett er det vell 5-6 venner det er snakk om. Maskinene i huset har dynamiske IP'er, bortsett fra serveren som har en statisk IP. Det er heller ikke noe i veien for å blokkere alle tilkoblinger ut og inn av serveren min i brannmuren bortsett portene til SSH, HTTP/HTTPS og portene til Minecraft. De andre maskinene i huset har også brannmurer av forskjellig slag. En annen ting han er litt skeptisk til er at de som skal logge på serveren må ha den eksterne IPen min. Mulig jeg kan bruke et domenenavn jeg har via dyndns.com, men jeg har ikke sjekket om dette er støttet av Minecraft. Siden vi har dynamisk IP har jeg da tenkt å legge opp et script på maskinen som er tilgjengelig via webserveren som kjører på maskinen min som folk kan kjøre via dyndns domenet mitt. Dette kan jo eventuelt passordbeskyttes. Ut i fra det jeg vet, er det jo ikke noe teknisk forskjell på om man kobler til en server via et domenenavn eller en IP siden klienten uansett må hente IPen til serveren man vil koble til via en navneserver, så det øker vell ikke sikkerhetsrisikoen? En ting jeg lurer på selv, er om dere ville annsett det som et problem å bruke samme maskin som filserver for en del backup og en del andre filer og som webserver for testing av en del nettsidene til et LAN jeg er med å arrangere. Både dette og SSH er tilgjengelig utenfra. Mulig det også blir snakk om en VPN-linje og etterhvert. Brukeren Minecraftserveren kjører under har har ikkke lese/skrive tilgang til disse mappene. Eventuelt må det vell finnes en eller annet form for kryptering? Selv tenker jeg at det ikke har så mye å si, i allefall ikke i denne skalaen. Synes det er helt greit at han er skeptisk, det er vell egentlig bra. Men jeg trenger litt hjelp til å overbevise han siden jeg kan alt mulig om dette. Er det noen flere opplysninger dere trenger så bare spør. Takk for alle svar Det at noen skal greie å ta over kontrollen av resten av maskinene på nettverket er så og si umulig via åpne porter. Hvor mange ganger har ikke du åpnet en webside (som er hostet på port 80)? Det virker som om dere har meget god kontroll på sikkerhet generelt på maskinene deres, så hadde ikke bekymret meg i det heletatt for noen sikkerhetstrussel. Hvilke porter kjører en minecraft-server på? Om du kjører domenenavn eller IP har det ingenting å si. Man finner lett IP'en bak et domene som er tilgjengelig på internett! Kjører du i tillegg som du sier, en brannmur med strenge regler for trafikk - er dette noe som øker sikkerheten betraktelig! Eneste kan være om minecraft har noen fine backdoors? Endret 30. september 2010 av xstnc Lenke til kommentar
hakonvl Skrevet 30. september 2010 Forfatter Del Skrevet 30. september 2010 Servern kjører vanligvis på port 25565, men det er ikke noe større problem å bytte bort annet enn at man må spesifisere porten i tillegg til IP'en når man kobler til hvis det skulle være et problem. Er det noen porter som er med utsatt en andre? Det eneste jeg vet er at porter under 1024 bruker til mer standariserte servere. Skal lese litt mer om Minecraftserveren i kveld/morra en gang, men jeg tror ikke det skulle være noe veldig store problemer med det. Lenke til kommentar
xstnc Skrevet 30. september 2010 Del Skrevet 30. september 2010 Noen porter er vel litt mer vanlig å scanne etter om man vil inn i et system Generell oversikt over porter: http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers Du har nok ingenting å frykte! Stålkontroll og veldig god sikkerhet har du absolutt. Lenke til kommentar
Lars Dongeri Oppholdsnes Skrevet 1. oktober 2010 Del Skrevet 1. oktober 2010 For at noen skal kunne misbruke systemet ditt, så må de bruke en svakhet ved Minecraft og OS. Finner ingen opplagte rapporter om "exploits" ved å søke med Google, så da er du nok temmelig trygg. Åpner du port til Minecraft, så vil folk utenfor nettverket kun finner serveren på port *****. Andre porter vil være stengt i routeren og vil dermed ikke gi tilgang til serverens data eller andre programmer. Når det gjelder ipadresse til nettverket, så blir ikke denne mer hemmelig om du bruker dyndns/no-ip. Det er bare å kjøre en DNS lookup, så får du ipadressen. Lenke til kommentar
pine Skrevet 1. oktober 2010 Del Skrevet 1. oktober 2010 Byt ssh port til noe annet enn 22. Jeg fikk se mange brute force angrep på min server mens ssh kjörte på port 22. Disable root login om den er på, er som regel defeault off i dag. Bruk AllowUsers i sshd.conf Tving kompiser å bruke bra passord. Så lenge du gir access til andre enn deg selv, så finns det risiko, men den må du bare ta. Kan heller ikke vaere altfor paranoid. Apache i grunnen er ganske sikker program, det er vel alle php skriptene som kjöres som er usikre. Man kan skape mye helvete gjennom sånne fil download / browsing skripter, forum, etc. Om du har mange maskiner og vil forbedre sikkerheten, en brukt managed switch og vlan er som regel bra lösning. Lenke til kommentar
xstnc Skrevet 1. oktober 2010 Del Skrevet 1. oktober 2010 Byt ssh port til noe annet enn 22. Jeg fikk se mange brute force angrep på min server mens ssh kjörte på port 22. Disable root login om den er på, er som regel defeault off i dag. Bruk AllowUsers i sshd.conf Tving kompiser å bruke bra passord. Så lenge du gir access til andre enn deg selv, så finns det risiko, men den må du bare ta. Kan heller ikke vaere altfor paranoid. Apache i grunnen er ganske sikker program, det er vel alle php skriptene som kjöres som er usikre. Man kan skape mye helvete gjennom sånne fil download / browsing skripter, forum, etc. Om du har mange maskiner og vil forbedre sikkerheten, en brukt managed switch og vlan er som regel bra lösning. ^ Smule overkill på en slik løsning? Men mange gode poenger Lenke til kommentar
hakonvl Skrevet 1. oktober 2010 Forfatter Del Skrevet 1. oktober 2010 (endret) Når det gjelder ipadresse til nettverket, så blir ikke denne mer hemmelig om du bruker dyndns/no-ip. Det er bare å kjøre en DNS lookup, så får du ipadressen. Det jeg tenkte på med IPen var at hvis Minecraft ikke ville koble seg til IPer var at jeg da kunne lage et enkelt script på maskinen som henten den eksterne IPen. Dette med at IPen skulle være alment tilgjengelig reagerte pappa på, selv om dette absolutt bare er en nødløsning. Men er det vell ikke noe tryggere å bruke et domenenavn uansett? Det er jo som du sa ikke vansklig å få tak i IPen til et domenenavn. Hvis du ikke klarer det, da tviler jeg på at du har kunnskaper nok til å faktisk ødelegge noe for meg. Byt ssh port til noe annet enn 22. Jeg fikk se mange brute force angrep på min server mens ssh kjörte på port 22. Disable root login om den er på, er som regel defeault off i dag. Bruk AllowUsers i sshd.conf Jeg har så vidt jeg vet ikke fått noen angrep mot meg enda, men jeg skal se på det. Skal disable rootlogin nå, har av en eller annen grunn ikke gjort det selv om jeg faktisk har stussa litt på at det er tilatt noen ganger. Bytter jeg port, da burde jeg vell bytte til en av de ikke standariserte portene (1024<)? Angående Apache og script, jeg bruker det kun til å vise frem noen nettsider under utvikling så det er uansett ikke snakk om mye filopplastning o.s.v med det. Kom forresten på en ting til. Pappa har sagt at jeg kan åpne for SSH og Apache (Kun midlertidlig riktig nok). Hvorfor ikke Minecraft? Må spørre han om det. Det kan vell ha noe med at dette er et noe mindre kjent program, og da kanskje litt mer usikkert. Edit: Pappa kom hjem fra jobb nå og han hadde prata med noen fra IT der han jobber. Hvis jeg forsto han riktig mente de: - Ikke legg IPen din ut på nett, men brukt en "login-tjeneste" som vistnokk var ei nettside på serveren der du logga deg inn som så ga deg IP. Dette er jo egentlig det samme som jeg tenkte på som en nødløsning hvis det ikke fungerte med domenenavn. Jeg har igjen prøvd å si at det det jeg tenkte på, men han står fast på at denne login-tjenesten er en helt egen tjenste. - Ikke la serveren være tilgjengelig for andre. Jeg hadde egentlig tenkt å sette opp en Team Fortress server, som jeg ville la være åpen så sant det ikke tok for mye båndbredde. Dette er jo helt vanlig når det gjelder spillservere som ikke er for helt spesiellt formål som planlagte kamper o.s.v. Selvfølgelig er det en risiko, men sammenliknet med sannsyneligheten for at noen faktisk vil bryte seg inn på min server vil jeg vell påstå at det er å gå litt langt. Tar jeg feil? Serveren er selfølgelig konfigurert riktig, og sperra ned på alle andre områder en nødvendig. Det er forresten bare bra at dere tar i litt hardt. Jeg kan jo alltids få brukt for dette i andre situasjoner der det kanskje er en del mer grunn til å være streng på liknende. Takk for alle svar Endret 1. oktober 2010 av Rockie Lenke til kommentar
xstnc Skrevet 1. oktober 2010 Del Skrevet 1. oktober 2010 Når det gjelder ipadresse til nettverket, så blir ikke denne mer hemmelig om du bruker dyndns/no-ip. Det er bare å kjøre en DNS lookup, så får du ipadressen. Det jeg tenkte på med IPen var at hvis Minecraft ikke ville koble seg til IPer var at jeg da kunne lage et enkelt script på maskinen som henten den eksterne IPen. Dette med at IPen skulle være alment tilgjengelig reagerte pappa på, selv om dette absolutt bare er en nødløsning. Men er det vell ikke noe tryggere å bruke et domenenavn uansett? Det er jo som du sa ikke vansklig å få tak i IPen til et domenenavn. Hvis du ikke klarer det, da tviler jeg på at du har kunnskaper nok til å faktisk ødelegge noe for meg. Byt ssh port til noe annet enn 22. Jeg fikk se mange brute force angrep på min server mens ssh kjörte på port 22. Disable root login om den er på, er som regel defeault off i dag. Bruk AllowUsers i sshd.conf Jeg har så vidt jeg vet ikke fått noen angrep mot meg enda, men jeg skal se på det. Skal disable rootlogin nå, har av en eller annen grunn ikke gjort det selv om jeg faktisk har stussa litt på at det er tilatt noen ganger. Bytter jeg port, da burde jeg vell bytte til en av de ikke standariserte portene (1024<)? Angående Apache og script, jeg bruker det kun til å vise frem noen nettsider under utvikling så det er uansett ikke snakk om mye filopplastning o.s.v med det. Kom forresten på en ting til. Pappa har sagt at jeg kan åpne for SSH og Apache (Kun midlertidlig riktig nok). Hvorfor ikke Minecraft? Må spørre han om det. Det kan vell ha noe med at dette er et noe mindre kjent program, og da kanskje litt mer usikkert. Edit: Pappa kom hjem fra jobb nå og han hadde prata med noen fra IT der han jobber. Hvis jeg forsto han riktig mente de: - Ikke legg IPen din ut på nett, men brukt en "login-tjeneste" som vistnokk var ei nettside på serveren der du logga deg inn som så ga deg IP. Dette er jo egentlig det samme som jeg tenkte på som en nødløsning hvis det ikke fungerte med domenenavn. Jeg har igjen prøvd å si at det det jeg tenkte på, men han står fast på at denne login-tjenesten er en helt egen tjenste. - Ikke la serveren være tilgjengelig for andre. Jeg hadde egentlig tenkt å sette opp en Team Fortress server, som jeg ville la være åpen så sant det ikke tok for mye båndbredde. Dette er jo helt vanlig når det gjelder spillservere som ikke er for helt spesiellt formål som planlagte kamper o.s.v. Selvfølgelig er det en risiko, men sammenliknet med sannsyneligheten for at noen faktisk vil bryte seg inn på min server vil jeg vell påstå at det er å gå litt langt. Tar jeg feil? Serveren er selfølgelig konfigurert riktig, og sperra ned på alle andre områder en nødvendig. Det er forresten bare bra at dere tar i litt hardt. Jeg kan jo alltids få brukt for dette i andre situasjoner der det kanskje er en del mer grunn til å være streng på liknende. Takk for alle svar Sitter å funderer litt på hvordan en slik logintjeneste bør fungere. Gjør man noe via web, åpner man jo bare enda mer! Og har man først noe på web, så har andre allerede IP-addressen............ I såfall må denne login-tjenesten ligge på en ekstern host! Som du sier så er sansynelighet noe man godt kan ta med i regnestykket. Hvor mange kommer til å vite IP-addressen til denne serveren? (du snakket om en 4-5 stykker?), så sansyneligheten for at noen "tilfeldigvis" kommer over det å scanne din IP etter åpne porter er vel mindre enn å vinne i lotto. Som du nevner først her, så var pappan din bekymret for at IPen skulle være allment tigjengelig? Alle IPer er jo det? Forskjellen er jo bare at på din IP vil man se at det skjer noe på port X Lenke til kommentar
hakonvl Skrevet 1. oktober 2010 Forfatter Del Skrevet 1. oktober 2010 Og fordi at port X er åpen var han redd for andre kunne komme inn på nettverket vært å gjøre noe tull, eventuelt via virus o.l bruke maskinene våre til å spre spam eller andre ting. Tror uansett jeg får satt opp serveren nå, han virka litt mer positiv når jeg snakka med han i stad. Må bare få ordna den "whitelisten" Lenke til kommentar
xstnc Skrevet 1. oktober 2010 Del Skrevet 1. oktober 2010 Og fordi at port X er åpen var han redd for andre kunne komme inn på nettverket vært å gjøre noe tull, eventuelt via virus o.l bruke maskinene våre til å spre spam eller andre ting. Tror uansett jeg får satt opp serveren nå, han virka litt mer positiv når jeg snakka med han i stad. Må bare få ordna den "whitelisten" Har virus allerede kommet inn på maskinene, åpner de fint backdoors selv Er slikt som skjer når maskiner blir medlem i botnet osv. Man får ikke slikt via åpne porter Høres bra ut! Lenke til kommentar
hakonvl Skrevet 1. oktober 2010 Forfatter Del Skrevet 1. oktober 2010 (endret) Jeg har i og forseg prøvd å forklare han dette, men han ville ikke helt høre etter. Mulig det er noe annet han tenker på, men ut i fra hva han sier så må det være noe sånt. Edit: Nå fant han plutselig ut at kun spillbrukeren er passordbeskyttet, men ikke serveren i seg selv. Han mener at hvis noen skulle få tak i passordet til noen så kan de gå inn på serveren min. Endret 1. oktober 2010 av Rockie Lenke til kommentar
hakonvl Skrevet 4. oktober 2010 Forfatter Del Skrevet 4. oktober 2010 Har fått satt opp serveren nå til slutt. Takk for hjelp Lenke til kommentar
xstnc Skrevet 4. oktober 2010 Del Skrevet 4. oktober 2010 Har fått satt opp serveren nå til slutt. Takk for hjelp Gratulerer! Etter å ha lest posten din X ganger, fikk jeg skikkelig lyst til å teste selv Så satt opp min egen MC server ^^ Ufattelig mye kult man kan gjøre Lenke til kommentar
hakonvl Skrevet 4. oktober 2010 Forfatter Del Skrevet 4. oktober 2010 Det er en grunn til at jeg ville ha opp en server Tror det er ett av de bedre spillene jeg har vært borti Lenke til kommentar
pine Skrevet 7. oktober 2010 Del Skrevet 7. oktober 2010 Din ip er public, om du vil det eller ikke. Du kan gjöre ditt beste, men du kommer aldri til å vaere 100% sikker. Derfor finns rutiner for å sjekke risiko, logge angrep, etc etc. Det er desverre mange som overdriver med åpne porter og offentlige ip adresser. Jeg har vaert rundt nettverk og servere i snart 15 år, utdanning på siden, så er det meste bare sunn fornuft. En kan begrense det meste i linux, på bruker basis. Fra antallet prosesser de får kjöre til komandoer de får bruke, etc etc. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå