Einen Virtual Private Server, im weiteren Verlauf auch kurz "VPS" genannt, kann man ja mittlerweile recht günstig mieten. Besonders wenn das basierende Betriebssystem ein Linux ist. Bei einem einschlägigen Anbieter hat man die Wahl zwischen SUSE Linux + Administrationsoberfläche (Plesk war das glaube ich) oder Debian Linux ohne diese Oberfläche.
Da ich mich ein wenig mit Debian auskenne und SUSE nicht kenne, würde ich wohl eher sagen, dass Debian besser wäre, auch wenn man die Administrationsoberfläche dann nicht hätte. Es gibt ja immernoch ssh & co.

Wie auch immer, angenommen ich hätte jetzt diesen Debian Server. Da er ja fast ein richtiger Server ist, muss man sich um alle Anwendungen selbst kümmern. Fürs erste habe ich gedacht, dass wohl Apache2, MySQL-Daemon, mod_PHP5, ein paar Grafikpakete und so ausreichen für einen Webserver. Das bekomme ich alles hin.

Aber wie sieht es eigentlich mit der Sicherheit aus? Muss man da was beachten? Irgendwelche Software installieren? Irgendwas einstellen? Davon habe nämlich gar keine Ahnung, interessieren tut es mich aber schon ein wenig.

Oder noch eine andere Sache: Man kann ja Email-Accounts für die eigene Domain einrichten. Läuft das dann auch über den eigenen Server, also über ein Programm, das man installieren muss, oder wird das vom Rechenzentrumsbesitzer geregelt?

Einige werden jetzt sagen: "Junge, hol dir doch einfach ein normales Webhosting und gut is..". Aber genau das möchte ich ja nicht, zudem hat ein VPS noch viele Vorteile, z.B. kann man besser eigene Software reintun oder hat auch eine konkrete Angabe, wie viel RAM mindestens enthalten ist.

Also ich würde dringend empfehlen, erst einmal die administration eines servers zu hause auf einer alten kiste zu üben, es gibt unzählige sachen, die man bei sicherheit beachten sollte, kannst ja mal ein paar stichwörter googlen...

fail2ban, denyhosts, ssh mit key, bastille linux etc...

Tip: Das Wiki von ubuntuusers.de

jo, ansonsten passiert sowas hier:
https://bugs.launchpad.net/ubuntu/+bug/147864

Check ich jetzt irgendwie nicht :(

Das sowas wie eine Einlogsperre sinnvoll ist um Angriffe abzuwehren wusste ich noch nicht. Ich hatte immer gedacht es reiche ein ausreichend langes (Zufalls-)Passwort zu wählen.

http://wiki.ubuntuusers.de/iptables

http://wiki.ubuntuusers.de/chkrootkit

http://wiki.ubuntuusers.de/rkhunter

http://wiki.ubuntuusers.de/Offene_Ports

http://wiki.ubuntuusers.de/chroot

http://wiki.ubuntuusers.de/SSH

Danke, werde ich auch mal anschauen.

Fürs erste habe ich gedacht, dass wohl Apache2, MySQL-Daemon, mod_PHP5, ein paar Grafikpakete und so ausreichen für einen Webserver. Das bekomme ich alles hin.

Aber wie sieht es eigentlich mit der Sicherheit aus? Muss man da was beachten? Irgendwelche Software installieren? Irgendwas einstellen? Davon habe nämlich gar keine Ahnung, interessieren tut es mich aber schon ein wenig.mmm...

Du solltest dich aufjedenfall damit beschäftigen, dass Apache, MySQL und PHP sinnvoll konfiguriert/ gehärtet sind. IPTables hilft dir nicht dabei, die Dienste zu schützen, womit eine Kommunikation stattfindet/ stattfinden kann.

Eure Tipps waren wirklich sehr sehr gut. Besonders das Wiki von Ubuntu hat sehr weitergeholfen.

Habe jetzt folgendes angewendet:
Bastillelinux Fragen beantwortet, wobei das glaube ich nicht wirklich viel gebracht hat...
ssh mit public/private key authentification und Passwort
ssh auf anderen Port gesetzt
ssh root login verboten
chroot Funktion von lighttpd (nutze doch kein apache) verwendet, sodass PHP und perl gesichert(er) sein sollten
für alles verschiedene Zufallspasswörter von mehr als ausreichender Länge verwendet
alle zusätzlichen Dämonen deaktiviert/deinstalliert, die ich nicht brauche (FTP, sendmail, samba usw.)
An Internetdämonen habe ich eigentlich nur noch lighttpd (+PHP+Perl) und ssh
chkrootkit installiert
firewall etwas umkonfiguriert, wobei die ja eigentlich eh nicht wirklich etwas bringt...

fail2ban werde ich noch einrichten und denyhosts wohl auch.

Hab ich irgendwas wichtiges vergessen? :)

Genereller Hinweis: für Debian gibt es einein ganzen Haufen an Online-Dokumentationen, wie z.B.
System Administrator's Manual (http://www.debian.org/doc/manuals/system-administrator/)
Network Administrator's Manual (http://www.debian.org/doc/manuals/network-administrator/)
und vor allem
Anleitung zum Absichern von Debian (http://www.debian.org/doc/manuals/securing-debian-howto/)

Die sind zwar nicht immer auf dem neuesten Stand, dafür aber ziemlich Umfangreich. Wenn du dich näher mit dem Thema beschäftigen möchtest wäre ein Blick in die Doku nicht die schlechteste Idee.

Danke noch für diese Dokus. Ich habe mir gerade Fail2ban und denyhosts angeschaut (die ja irgendwie ungefähr das selbe machen). Aber eigentlich schützen die ja wohl nur den SSH-Dämon vor Loginversuchen, aber nicht z.B. den Webserver vor Hackangriffen (wie auch...).
Irgendwie sehe ich darin aber keinen Sinn, wenn SSH sowieso schon durch Key-Authentification gesichert ist. Dann kann doch sowieso niemand Passwörter probieren.