GlobalSign Blog

28 Jul 2017

So richten Sie Ihren Server richtig ein

Falls Sie darüber nachdenken einen LAMP Server (LAMP steht für Linux, Apache, MySQL, PHP) zu nutzen, egal ob Virtual Private Server (VPS) oder Dedicated Server, müssen Sie zuerst wissen, wie Sie den Server sichern.

Diese Anleitung gibt Ihnen einen allgemeinen Überblick, wie Sie Ihren Server richtig einrichten. Wir zeigen Ihnen die wichtigsten Punkte, auf die Sie achten müssen und stellen Ihnen ein paar hervorragende Tools vor, die Sie nutzen können.

1. Schritt – Firewall einrichten

Für einen sicheren Server müssen Sie als allererstes eine Firewall nutzen. Eine Firewall ist wie eine Barriere zwischen Ihrem Server und der Außenwelt. Hereinkommender Traffic wird geprüft, ob er sicher ist und bösartiger Traffic wird blockiert. Es gibt viele verschiedene Firewall-Angebote zur Auswahl, aber wir wollen uns die zwei beliebtesten anschauen:

UFW

UFW ist eine unkomplizierte Firewall und eine gute Lösung, weil sie minimal an Konfigurierung benötigt. Die Firewall verfügt über einen benutzerfreundlichen Weg maßgeschneiderte Firewall-Regeln zu erstellen und funktioniert sowohl mit IPV4 als auch IPV6 Netzwerken. UFW ist zu Beginn deaktiviert. Falls Sie UFW konfigurieren wollen, müssen Sie es aktivieren. UFW Firewall hat außerdem eine grafische Benutzeroberfläche (GUI), mit dem Namen Gufw.

Iptables

Iptables ist eine beliebte Firewall unter Linux Kernel und ist für Linux von Anfang an aktiviert. Genau wie bei UFW funktioniert sie sowohl für IPV4 und IPV6. Um IPV6 zu verwalten gibt es eine weitere Version von iptables, die ip6tables heißt.

Im Gegensatz zu UFW ist der iptables Syntax schwer zu lernen. Dafür können Sicherheitskonfigurationen bis ins Detail angepasst werden und es ist daher ein starkes Tool, um Ihren Server zu schützen.

2. Schritt – Den externen Login sichern

Als Serveradministrator müssen Sie sich regelmäßig übers Internet auf Ihrem Server einloggen. Diese Fernverbindung muss gesichert und verschlüsselt werden. Dies kann mit einer sicheren SSH-Verbindung zu Ihrem Server erreicht werden.

Es gibt zwei Wege, sich per SSH zu verbinden:

Passwortbasierte Verbindung

Wie der Name schon andeutet geben Sie bei dieser Verbindung bei jedem Login per SSH ein Passwort ein. Bei dieser Methode muss wenig konfiguriert werden, sie ist aber auch weniger sicher, weil sie durch Brute-Force Angriffe geknackt werden kann.

Zertifikatbasierte Verbindung

Für diese Methode müssen sowohl der Server als auch die Client-Maschine einen öffentlichen Schlüssel austauschen. Dieser wird zur Verschlüsselung der Verbindung sowie zur gegenseitigen Authentifizierung genutzt. Diese Art von Verbindung ist komplexer zu konfigurieren als die Passwort-Methode, ist aber auch eine viel sichere Methode, um sich mit Ihrem Server zu verbinden.

3. Schritt – Malware-Scanner installieren

Ein Malware-Scanner hilft Ihren Server regelmäßig zu prüfen, um unautorisierten Zugriff von bösartiger Software auf Ihren Server aufzudecken. Im Folgenden werden die zwei beliebtesten kostenlosen Rootkit-Scanner zum Malware-Check auf Ihrem Server vorgestellt:

Chkrootkit

Dieser beliebte Rootkit-Scanner sucht nach verdächtigen Rootkit Vorgängen auf einem Linux Server. Zwar kann chkrootkit nicht jede Art von Malware erkennen, ist aber definitiv ein guter Anfang. Sie sollten sich aber nicht vollkommen auf Chkrootkit verlassen, um Malware auf Ihrem Server zu finden. Es handelt sich dabei eher um eine Einsteigerlösung.

Rkhunter

Genau wie Chkrootkit sucht Rkhunter nach Rootkits im System. Es kann außerdem versteckte Dateien, falsche Genehmigungen und verdächtige Strings aufdecken. Es funktioniert auf jedem Unix-basierten System. Die Kombination auf Chkrootkit und Rkhunter ist ein guter erster Schritt, um Malware zu finden.

4. Schritt – System zur Erkennung von Eindringung

Ein System zur Erkennung von Eindringung ist wie eine Alarmanlage, die unautorisierten Zugriff auf Ihren Server entdeckt. Zwei der beliebtesten Systeme sind die folgenden:

Aide

Aide ist ein kostenloser Check, der erkennt ob Dateien und Verzeichnisse unversehrt sind. Erst wird eine Datenbank des aktuellen Systems erstellt. Danach wird die Integrität von jeder Datei im System mit der bekannten Datenbank verglichen. Falls es deutliche Abweichungen im System gibt, wird der Serveradministrator benachrichtigt.

Bro

Bro ist ein netzwerkbasiertes System, um Eindringlinge zu erkennen (Intrusion Detection System (IDS)) und, das Ihr Netzwerk auf ungewöhnliche Aktivitäten hin überprüft. Es werden zunächst Richtlinien zu den gewöhnlichen Vorgängen im Netzwerk erstellt, sowie der derzeitige Stand und Genehmigungen. Wenn etwas Auffälliges entdeckt wird, wird ein Alarmruf abgeschickt, die Regel der Firewall geändert und Event Logs upgedatet. Es ist ein sehr vielseitiges Tool, aber deswegen auch schwer zu lernen, was nicht ganz einfach für Anfänger ist.

5. Schritt – SFTP statt FTP

Als Administrator müssen Sie von Zeit zu Zeit Dateien von Ihrem Server hoch- oder runterladen. Am häufigsten wird dazu das File Transfer Protocol (FTP) genutzt, das aber anfällig für Schwachstellen ist. Die Login-Authentifizierung ist im Plain-Text Format und kann daher leicht abgefangen werden. Es ist sicherer auf Secure File Transfer Protocol oder SFTP umzustellen. Es kann leicht installiert und auf dem Server konfiguriert werden.

6. Schritt – Regelmäßige Updates und Patchen des Servers

Falls Ihr Server auf Linux oder Unix basiert, stellen Sie sicher, dass Sie regelmäßig Updates und Upgrades einspielen, da die Anbieter das Kernel in regelmäßigen Abständen aktualisieren. Indem Sie Ihr Kernel auf dem aktuellen Stand halten, bleibt Ihr System stabil und Sie haben die neuesten Sicherheitspatches sowie neue Kernelfunktionalitäten. Ein ungepatchter Server ist für einen Hacker wie eine offene Tür.

7. Schritt – Genehmigungen ordentlich erstellen

Auf dem Server sind Genehmigungen für den Zugriff auf Dateien sehr wichtig. Eine Fehlkonfiguration in den Einstellungen bei Genehmigungen gibt einem Hacker einfache Möglichkeiten Ihren Server zu kontrollieren. Wenn Sie die Genehmigungen erstellen, sollten Sie nur den Benutzern Zugriff geben, die diesen wirklich brauchen.

Es ist eine gute Idee standardgemäß umask Richtlinien für alle neuen Dateien auf dem Linux Server zu erstellen, um den Zugang zu Dateien einzuschränken. Set Group Identification (SGID) und Set User Identification (SUID) beschränken den Zugriff von Benutzern und Gruppen auf vertrauliche Verzeichnisse und Dateien. Dies schränkt keine Features des Servers ein für die die Benutzer schon Erlaubnis haben (z.B. Vergessenes-Passwort Tool).

Server-Sicherheit ist unerlässlich

Die Punkte in diesem Blog sind grobe Anhaltspunkte, wenn Sie gerade anfangen ein grundlegendes Level an Sicherheit für Ihren Server zu entwickeln. Natürlich ist Sicherheit weitgefächert und muss fortlaufend bedacht und beobachtet werden.

Artikel teilen