Security conceptDie k√ľrzlich gefundene Sicherheitsl√ľcke im Network Time Protokoll (NTP) hat die Serversicherheit zur√ľck ins Rampenlicht ger√ľckt und gezeigt, wie wichtig es ist einen Server abzusichern. Die Gefahren f√ľr √∂ffentliche Server erstrecken sich hierbei von DDoS Attacken √ľber Brute Force Angriffe, Code-Injections und Session-Hijacking bis hin zu der Ausnutzung von Schwachstellen in popul√§ren Content Management Systemen (CMS) wie Joomla, WordPress oder Drupal.

Kein Server kann jemals zu 100 Prozent abgesichert sein. Sicherheitsexperten arbeiten stets daran, die neuesten Bedrohungen aufzudecken und zu bekämpfen. Die Angreifer scheinen jedoch stets einen Schritt voraus zu sein. Im Zuge der aktuellen Sicherheitsbedrohungen möchten wir uns kurz Zeit nehmen, wichtige Schritte hervorzuheben, die Sie setzen können, um Ihren dedizierten Linux Server abzusichern (Linux Hardening).

Administratorenzugriff absichern

Dedizierte Linux Server werden am h√§ufigsten mit dem Secure Shell (SSH) Protokoll verwaltet. SSH bietet einen verschl√ľsselten Tunnel zwischen Client und Server, der es erm√∂glicht, empfindliche Befehle und Passw√∂rter sicher ‚Äěvor neugierigen Blicken“ zu transportieren. Obwohl das SSH Protokoll in seiner aktuellen Version an sich nicht unsicher ist, kann man durch Anpassungen der Standard-Konfiguration die Sicherheit erh√∂hen. Gem√§√ü Konvention der Internet Assigned Numbers Authority (IANA) ist SSH dem Port 22 zugeordnet. Nebenbei bemerkt ist dies der am dritth√§ufigste gescannte TCP-Port im Internet. Automatisierte Bots und Scanner suchen nach Servern welche den Port 22 ge√∂ffnet haben und versuchen dort eine Brute-Force Attacke auf SSH Logins. Diese Attacken k√∂nnen auf drei Wege vermieden werden:

1. √Ąndern Sie den SSH Port.

Den SSH-Daemon auf einen Nicht-Standard-Port zu binden und dort ‚Äělauschen‚Äú zu lassen, wird die Anzahl der Brute-Force-Login-Versuche drastisch reduzieren. Scanner und Bots sind meist so konzipiert, dass sie den ‚ÄěWeg des geringsten Widerstands‚Äú gehen: ¬†ein automatisierter Bot wird seine Zeit nicht damit verschwenden, alle 65000 TCP Ports zu scannen, wenn er wei√ü, dass es tausende andere Server gibt, bei denen der SSH-Daemon auf Port 22 ‚Äělauscht‚Äú.

 2. Implementieren Sie ACLs

Access Control Lists (ACL) sind logische Genehmigungen, die an ein bestimmtes Objekt, in diesem Fall Ihren Server, gebunden sind. Stateful Firewalls wie iptables k√∂nnen daf√ľr verwendet werden, den SSH Zugang auf bestimmte IPs zu beschr√§nken und den Zugang f√ľr alle anderen Internet Adressen zu verweigern. Auch diese Ma√ünahme wird Brute-Force Attacken enorm verringern, da kompromittierte Bots und automatisierte Scanner keine Verbindung mehr zu Ihrem Server aufbauen werden k√∂nnen. Beachten Sie, dass ACLs im Idealfall nicht nur bei SSH, sondern bei allen relevanten Services angewendet werden sollten.

 3. Verwenden Sie SSH Keys.

Moderne SSH Keys verwenden asymmetrische Kryptographie-Methoden, um digitale Keys zu sichern und zu signieren, die dazu verwendet werden k√∂nnen, um √ľbermittelte Daten zu identifizieren und zu verschl√ľsseln. Asymmetrische Kryptographie mag auf den ersten Blick kompliziert sein, aber die meisten Linux-Distributionen stellen oft hervorragende Anleitungen f√ľr das Erstellen von SSH Key Zug√§ngen zur Verf√ľgung. Die Verwendung von SSH Keys und die Deakivierung der Anmeldung ohne SSH-Keys, beugt Brute-Force Attacken g√§nzlich vor, da sich nur Benutzer mit dem entsprechenden Key authentifizieren k√∂nnen. Da ein SSH-Key unter Umst√§nden auch gestohlen werden kann, ist es unbedingt erforderlich f√ľr Ihren privaten Key ein sicheres Passwort zu vergeben.

Diese Ratschl√§ge sollten alle gleichzeitig angewendet werden – eine einzige Ma√ünahme alleine kann einem Brute-Force SSH Angriff nicht vollst√§ndig vorbeugen. Den SSH Port auf einen „Nicht-Standard Port“ zu √§ndern, wird Brute-Force Login Versuche nicht verhindern k√∂nnen, da jemand den ge√§nderten Port herausfinden k√∂nnte. Die Verwendung von ACLs sichert den Authentifizierungsprozess selbst nicht ab. Sicherheitsexperten nutzen das Konzept der „mehr-stufigen Sicherheitsebenen“, indem sie mehrere Sicherheitsebenen √ľbereinander legen und somit die beste Abdeckung erreichen.

Installieren Sie Malware/Rootkit Detection Software

Web Server sollten genauso wie Ihr PC Zuhause eine Anti-Malware Software installiert haben, die regelm√§√üig aktualisiert wird (Sie haben ja auch Anti-Virus Software auf Ihrem Computer, richtig?). R-fx Networks bietet ein solides Malware Erkennungsskript f√ľr Linux, das sich „Maldet“ nennt. Maldet funktioniert √§hnlich wie viele andere Software-L√∂sungen: die Inhalte von Dateien werden gescannt und mit einer bekannten Signaturen-Datenbank verglichen. PHP Shell Skripte, Perl Mailers, unbekannter Base64 verschl√ľsselter Inhalt und noch mehr k√∂nnen mit Maldet aufgesp√ľrt werden. Maldet kann konfiguriert werden um wiederkehrend ein spezielles Verzeichnis zu durchsuchen und dabei nach ungewollten Ver√§nderungen und b√∂sartigen Uploads „Ausschau zu halten“.

Rkhunter ist eine zus√§tzliche Sicherheits-Software, die darauf abzielt, Rootkits zu suchen. Sowohl Maldet, als auch Rkhunter wurden daf√ľr entworfen, nur bei Bedarf und nicht permanent alles zu durchsuchen und zu analysieren. Regelm√§√üige Updates und Scans der beiden Skripte festzulegen ist entscheidend f√ľr die Maximierung Ihrer Effektivit√§t.

Halten Sie Ihre Software aktuell

Es sollte selbstverst√§ndlich sein, aber trauriger Fakt ist, dass viele moderne Webseiten und Server mit veralteter Software laufen, wie beispielsweise alte Versionen des Apache Webservers oder unsicheren Kopien von Content Management Systemen (CMS) ¬†wie Joomla, WordPress und Drupal. Apache ist der gebr√§uchlichste Web Server im Internet, daher √ľberrascht es auch nicht, dass dieser das Ziel vieler Angriffe und Scans ist. Das gleiche kann √ľber WordPress gesagt werden – WordPress ist das am h√§ufigsten verwendete CMS weltweit, und wird von beinahe 20 Prozent aller √∂ffentlichen Webseiten verwendet. H√§ufig verwendete Software ist immer ein beliebtes Ziel von Angreifern. Cracker arbeiten daran, Sicherheitsl√ľcken in beliebten Softwareprodukten zu finden, weil eine vorliegende Schwachstelle der Software die h√∂chste Anzahl an potentiellen Zielen besch√§digen kann. Veraltete WordPress-Installationen wurden f√ľr eine Vielzahl von b√∂sartigen Absichten verwendet, wie auch f√ľr die Bildung eines massiven Botnets Anfang letzten Jahres. Beliebte Software Pakete wie WordPress und WHMCS aktuell zu halten ist f√ľr die Sicherheit Ihres Servers von enormer Wichtigkeit.

Pr√ľfen Sie Ihre Server Logs

Linux¬† leistet hervorragende Arbeit bei der Protokollierung (Logging) von Vorg√§ngen wie Login/Logout, Software Updates, Konfigurations√§nderungen und dergleichen. Diese Logs sind jedoch nicht n√ľtzlich, wenn diese niemand regelm√§√üig pr√ľft und sie sind definitiv wertlos, wenn ein Angreifer es schafft, seine Spuren zu l√∂schen. Die regelm√§√üige Pr√ľfung und √úberwachung von Server Logs auf auff√§lliges Verhalten und unerwartete Ver√§nderungen ist entscheidend, um Probleme zu erfassen bevor sie zur Krise ausarten.

Der Linux Kernel sowie der „auditd Daemon“ stellen ein gro√üartiges Werkzeug zur √úberwachung von Datei-Ver√§nderungen dar. Auditd kann dazu verwendet werden, um aufzuzeichnen, wann eine bestimmte Datei oder ein Verzeichnis ge√§ndert wurde, wer darauf zugegriffen hat (und wann) und dergleichen mehr. Detailliertes Auditing ist ein hervorragender Weg, um auff√§llige Ver√§nderungen in Ihren Dateien einzugrenzen und kann dazu verwendet werden, um Cracker zu erwischen, die gerade versuchen Ihre Software zu knacken.

Backup, Backup, Backup!

Sicherheit beinhaltet nicht nur den Schutz gegen Eindringlinge. Es bedeutet auch, aufmerksam bei der Datenhaltung zu sein und einen Notfallplan („Disaster Recovery Plan“) zu haben – und hier kommen Backups ins Spiel. Backups sind nicht aufregend und niemand k√ľmmert sich wirklich darum, bis etwas schief geht – und es WIRD etwas schief gehen. Kritische Fehler k√∂nnen viele Ursachen haben: b√∂swilliges Hacking, ver√§rgerte Angestellte, Hardware Fehler oder auch Tippfehler bei der t√§glichen Arbeit am Server k√∂nnen der Grund f√ľr einen Datenverlust sein.

Fragen Sie 10 verschiedene Sicherheits- und Disaster Recovery Profis nach der besten Backup Strategie und Sie werden 10 verschiedene Antworten bekommen. Die Wahrheit ist, jede Infrastruktur ist verschieden und Backup Systeme m√ľssen in jedem Fall individuell angepasst werden. Eine gute Faustregel hierbei ist es, ein k√ľrzlich erstelltes Backup an einem nahegelegenen Ort aufzubewahren (z.B. ein Mount Point auf einer separaten Festplatte) sowie eine ¬†separate Offsite-Sicherungskopie (unter Verwendung eines Cloud Storage Providers oder des SAN Backups Ihres Providers) zu haben. Mehrere Sicherungskopien¬† an verschiedenen physischen Orten zu haben ist essentiell – redundante Daten auf der gleichen physischen Festplatte zu haben bringt nichts, wenn die Festplatte besch√§digt wird. Es ist ebenfalls wichtig sich vor Augen zu halten, dass ein Redundant Array of Independent Disks (RAID) zwar n√ľtzlich dabei ist, die Performance und Redundanz zu erh√∂hen, jedoch f√ľr sich alleine noch kein geeignetes Backup-System darstellt. RAIDs k√∂nnen korrupt werden und wenn ein Hacker oder ein unachtsamer Administrator Ihre Daten l√∂scht, wird das RAID diese nicht mehr zur√ľck bringen k√∂nnen.

Falls Sie zweifeln – Fragen Sie!

Sicherheit kann schwierig sein. Die Erarbeitung eines passenden Sicherheitskonzeptes kann ein Alptraum sein. Wir wissen das und darum bieten wir unseren Kunden die M√∂glichkeit einer gemanagten Umgebung (Managed Server) an, welche den Sicherheits- und Systemanforderungen Ihrer Projekte gerecht wird. Eine von internex betreute Serverl√∂sung gibt Ihnen die M√∂glichkeit, Ihren Server von einem ausgebildeten und professionellen System Administrator kontrollieren und absichern zu lassen, wodurch Sie sich auf Ihr Gesch√§ft konzentrieren k√∂nnen. Falls Sie Fragen zur Absicherung Ihres dedizierten Servers haben oder Sie mehr √ľber Sicherheit oder Management Ihres Servers wissen m√∂chten, kontaktieren Sie uns und wir helfen Ihnen gerne weiter!

Veröffentlicht am