Wichtige Sicherheitsinformationen für Ihren Linux-Server (Teil 1 von 2)
Bitte verwenden sie die "Drucken" Funktion am Seitenende, um ein PDF zu erstellen.
Für Cloud Server, VPS, Virtual Server, Dedicated Server und Server Power Deals
Ein Server bietet Ihnen viele interessante Möglichkeiten. Mit dem Erwerb eines Servers mit Root-Zugriff sind Sie jedoch auch für dessen Sicherheit verantwortlich. Diese Verantwortung beinhaltet alle Aktionen, die von Ihrem Server ausgeführt werden. Aus diesem Grund ist es sehr wichtig, dass Sie Ihren Server möglichst frühzeitig absichern und das Sicherheitsniveau gegen Cyberangriffe erhöhen, um potenziellen Angreifern möglichst wenig Angriffsfläche zu bieten.
In dieser Artikelserie werden einige wichtige Sicherheitsempfehlungen und Sicherheitsmaßnahmen erklärt, die dazu beitragen, das Sicherheitsniveau Ihres Linux-Servers zu erhöhen.
In diesem Artikel erhalten Sie allgemeine Sicherheitsempfehlungen und Tipps für eine sichere Konfiguration und einen sicheren Betrieb Ihres Linux-Servers. Diese sind im Folgenden nach Wichtigkeit geordnet.
Achtung
Diese Sicherheitsempfehlungen sind ausschließlich für Server mit Root-Zugriff gültig.
Installieren Sie regelmäßig und rechtzeitig Sicherheitspatches und Updates
In der Regel werden bekannt gewordene Schwachstellen mithilfe von veröffentlichten Updates innerhalb von kürzester Zeit wieder geschlossen. Dies funktioniert jedoch nur, wenn Sie sich regelmäßig über Sicherheitspatches und Updates für das Betriebssystem und die installierten Programme informieren und diese zeitnah installieren. Stellen Sie ferner sicher, dass Sie zusätzlich installierte Plugins aktualisieren.
Fast alle Betriebssysteme bieten die Möglichkeit, wichtige Sicherheitsupdates automatisch im Hintergrund herunterzuladen und zu installieren. Um sich täglich über neue verfügbare Softwarepakete zu informieren und diese herunterzuladen, können Sie spezifische Skripte wie z. B. apt-listchanges oder apticron nutzen. Mit dem unattended-upgrades package (Ubuntu) oder dem Programm Yum-cron (CentOS 7) können Sie die Patches für Ihr Betriebssystem automatisch installieren.
Die Sicherheitspatches und Updates für Ihre Anwendungen und Plugins können Sie bei Bedarf vor der Installation testen, um die möglichen Auswirkungen auf Ihre spezifische Umgebung zu prüfen, bevor Sie diese zeitnah auf dem Server installieren. Bitte beachten Sie jedoch, dass Sie für einen solchen Test einen zweiten Server benötigen.
Verwenden Sie die Public-Key-Authentifizierung anstelle der Passwort-Authentifizierung
Das Netzwerkprotokoll SSH unterstützt verschiedene Varianten zur Anmeldung des Clients auf dem Server. Neben der bekannten klassischen Authentifizierung mit Benutzername und Passwort können Sie unter anderem auch die Public-Key-Authentifizierung nutzen. Die Public-Key-Authentifizierung verwendet einen privaten und einen öffentlichen Schlüssel für die Benutzerauthentifizierung. Der öffentliche Schlüssel kann hierbei zusätzlich mit einem Passwort geschützt werden.
Der öffentliche Schlüssel muss auf dem jeweiligen Server hinterlegt werden, damit die Public-Key-Authentifizierung eingerichtet werden kann. Der private Schlüssel wird lokal auf dem eigenen Computer gespeichert.
Wenn Sie die Public-Key-Authentifizierung verwenden, können Sie sich unter Verwendung des Public Keys ohne Login-Passwort am Server anmelden. Hierbei ist ggf. die Eingabe des Passworts erforderlich, mit der der öffentliche Schlüssel geschützt wird. Um das Sicherheitsniveau zusätzlich zu erhöhen, können Sie zusätzlich die SSH-Passwortauthentifizierung deaktivieren. Eine Authentifizierung mittels Passworteingabe ist in diesem Fall nur noch dann möglich, wenn sich die nutzende Person mittels der KVM-Konsole (Cloud Server und VPS) bzw. der VNC-Konsole (Dedicated Server) auf dem Server einloggt.
Hinweis
Wenn Sie einen Cloud Server erstellen, können Sie den öffentlichen Schlüssel im Cloud Panel hinterlegen und diesen während der Auswahl der gewünschten Konfiguration an den Server zuweisen. Der öffentliche Schlüssel wird während der Erstellung des Servers automatisch in die Datei /root/.ssh/authorized_keys eingetragen.
Um das Sicherheitsniveau zusätzlich zu erhöhen, können Sie zusätzlich die SSH-Passwortauthentifizierung deaktivieren. In diesem Fall können sich die Personen, die den Server nutzen, ausschließlich mittels der Public-Key-Authentifizierung anmelden. Eine Authentifizierung mittels Passworteingabe ist in diesem Fall nur noch dann möglich, wenn sich die nutzende Person mittels der KVM-Konsole (Cloud Server und VPS) bzw. der VNC-Konsole (Dedicated Server) auf dem Server einloggt.
Verwenden Sie stets starke Passwörter
Durch schwache Passwörter können sich Angreifende leichter Zugriff zu Ihrem Server verschaffen. Ist ein solcher Angriff geglückt, kann der Angreifende Ihren Server für bösartige Aktivitäten nutzen, die Ressourcen Ihres Servers nutzen oder möglicherweise den Server übernehmen und Sie aussperren.
Sie sollten daher stets sichere und komplexe Passwörter benutzen. Ändern Sie diese regelmäßig. Beachten Sie hierbei die folgenden Kriterien, um ein starkes und sicheres Passwort zu erstellen:
Verwenden Sie für jeden Dienst und für jede Datenbank, die auf dem Server läuft ein eigenes Passwort.
Verwenden Sie ein Passwort, das nicht in Wörterbüchern steht.
Verwenden Sie stets ein Passwort, das sich erheblich von früheren Passwörtern unterscheidet.
Verwenden Sie keine personenbezogenen Daten aus Ihrem persönlichen Umfeld wie Geburtstage, Namen etc.
Verwenden Sie kein Passwort, das den Benutzernamen oder den Firmennamen enthält.
Geben Sie Ihr Passwort nicht an Dritte weiter.
Kombinieren Sie verschiedene Arten von Zeichen, z. B. Buchstaben, Ziffern und Sonderzeichen.
Verwenden Sie Passwörter für verschiedene Dienste nicht wieder.
Ein sicheres Passwort enthält:
Mindestens 8 Zeichen
Groß- und Kleinbuchstaben: a-z, A-Z
Ziffern: 0-9
Sonderzeichen
Entwickeln Sie eine passende Backup-Strategie
Der Verlust von Daten kann zu tiefgreifenden und kostspieligen Schäden führen. Aus diesem Grund sollten Sie möglichst frühzeitig eine passende Backup-Strategie entwickeln. Die Entwicklung einer Backup-Strategie ist ein technisch sehr komplexes Thema, da hierbei viele Faktoren berücksichtigt werden müssen. Einige wichtige Faktoren sind zum Beispiel:
Feststellung der Gefährdungslage: Die Gefährdungslage hängt vom Einsatzzweck des Servers und von der Abhängigkeit vom Datenbestand ab.
Klassifizierung der Daten: Um welche Art von Daten handelt es sich? Müssen systemrelevante Daten oder Personendaten gesichert werden?
Verfügbarkeit der Daten: Welche Anwendungen sind in welcher Form von den Daten abhängig? Funktionieren die Anwendungen auch ohne die betreffenden Daten?
Darüber hinaus sollten Sie bei der Entwicklung Ihrer Backup-Strategie folgende Fragen miteinbeziehen und beantworten:
Welcher Datenverlust ist vertretbar?
Wie lange würde die Rekonstruktion der Daten dauern?
Wie groß ist das Datenvolumen und wie wird sich der Datenbestand entwickeln?
Wie müssen die Daten gesichert werden?
Gibt es Lösch- und Aufbewahrungsfristen?
Sind die Daten vertraulich? Ist ein besonderer Zugriffsschutz erforderlich? Gibt es gesetzliche Vorgaben?
Wann kann das Backup erstellt werden, ohne dass es negative Auswirkungen auf andere Prozesse gibt?
Wie lange müssen Sie die Backups aufbewahren?
Ein weiterer wichtiger Punkt, den Sie bei der Entwicklung Ihrer Backup-Strategie berücksichtigen sollten, ist die Art der Datensicherung. Grundsätzlich wird zwischen den folgenden Sicherungsarten unterschieden:
Voll-Backup
Ein Vollbackup ist ein Backup, das alle Daten enthält, die für die Sicherung gewählt wurden.
Differentielles Backup
Bei einem differentiellen Backup werden alle Dateien gesichert, die seit dem letzten Voll-Backup geändert wurden oder neu hinzugekommen sind. Die Veränderungen werden immer in Bezug zur Vollsicherung gemacht. Differentielle Backups werden von Tag zu Tag größer, bis Sie wieder ein Voll-Backup durchführen. Sie benötigen jedoch weniger Speicherplatz als ein Voll-Backup und sie können schneller durchgeführt werden.
Um Daten von einem differentiellen Backup wiederherstellen zu können, müssen Sie auch Zugriff auf das letzte Voll-Backup haben. Die einzelnen differentiellen Backups können unabhängig voneinander gehandhabt werden.
Inkrementelles Backup
Inkrementelle Backups sind sehr platzsparend und können schnell durchgeführt werden.
Bei einem inkrementellen Backup werden nur die Daten gesichert, die seit dem letzten Backup erstellt oder verändert wurden. Hierbei ist es unerheblich, ob es sich um ein Voll-Backup oder ein inkrementelles Backup handelt.
Um ein inkrementelles Backup wiederherstellen zu können, müssen Sie folglich auch Zugriff auf andere Backups haben, die sich in der Backup-Kette befinden, da die Backups voneinander abhängig sind. Wenn Sie eines der vorherigen inkrementellen Backups oder ein Voll-Backup löschen, können Sie die Gesamtgruppe nicht mehr wiederherstellen.
Neben der Entwicklung der geeigneten Backup-Strategie und dem regelmäßigen Erstellen von Backups sollten sie auch sicherstellen, dass die Wiederherstellung der Backups regelmäßig getestet wird.
Stellen Sie sicher, dass lokale Dienste ausschließlich an localhost lauschen
Nicht alle Dienste müssen über das Netzwerk bzw. das Internet erreichbar sein. Stellen Sie daher sicher, dass lokale Dienste tatsächlich an localhost lauschen. Wenn Sie beispielsweise eine lokale MySQL-Instanz auf Ihrem Webserver ausführen, sollte die Datenbank nur an localhost lauschen. Gleiches gilt für Programme und Anwendungen, die Sie testen. Konfigurieren Sie dann Ihre Anwendung so, dass sie sich über den localhost verbindet.
Nutzen Sie VPN, um auf Ihren Server zuzugreifen
Wenn Sie einen Cloud Server erworben haben, können Sie mittels VPN eine sichere Verbindung zwischen Ihrem lokalen PC und Ihrem Server herstellen, die mit SSL verschlüsselt wird.
Hinweis
Aus technischen Gründen können Sie über VPN nur eine einzige Verbindung zu Ihren Cloud Servern herstellen. Wenn Sie gleichzeitig mehrere VPN-Verbindungen herstellen möchten, müssen Sie für jeden lokalen PC eine VPN-Verbindung einrichten.
Sie können das VPN einfach und bequem im Cloud Panel im Bereich Netzwerk > VPN erstellen.
Um das VPN zu nutzen, müssen Sie anschließend auf dem lokalen PC die Software OpenVPN installieren und anschließend konfigurieren.
Weitere Informationen zur Nutzung von VPN finden hier:
Beschränken Sie den Zugriff auf den Server
Um die Serversicherheit zu erhöhen, sollten Sie Sie den Zugriff auf den Server nur den Benutzern erlauben, die damit arbeiten müssen.
Installieren Sie nur benötigte Anwendungen
Installieren Sie nur Anwendungen, die Sie wirklich benötigen. Je mehr Anwendungen Sie auf dem Server installieren, desto größer ist die Gefahr, dass es Schwachstellen gibt.
Hinweis
Installieren Sie Anwendungen möglichst nur aus offiziellen Quellen. Anwendungen aus inoffiziellen Quellen können unter Umständen Malware und/oder Viren enthalten.
Öffnen Sie nur Ports, die Sie wirklich benötigen
Offene Ports stellen im Allgemeinen kein besonderes Sicherheitsrisiko dar, es sei denn die antwortenden Anwendungen weisen Sicherheitslücken auf, die sich Angreifende zunutze machen. Mit einer steigenden Zahl an Anwendungen wächst dieses Gefahrenpotenzial.
Überwachen Sie Ihren Server
Das Monitoring ist ein wichtiges Instrument, um die Serversicherheit zu erhöhen. Nur durch eine Überwachung des Servers können Sie einen Serverausfall oder den Ausfall von einzelnen Komponenten oder Anwendungen rechtzeitig bemerken. Dies gilt auch für bestimmte Arten von Cyberangriffen. Wenn Ihr Server angegriffen wird, ist eine schnelle Reaktion unerlässlich, um den Angriff zu stoppen und den verursachten Schaden zu minimieren.
Überprüfen Sie Ihren Server regelmäßig auf Malware und Viren
Obwohl Linux im Allgemeinen weniger von Malware und Viren als Windows betroffen ist, ist es nicht immun gegen bösartige Software. Für Linux-Systeme gibt es eine Reihe von Malware- und Viren-Scannern , mit denen Sie die Integrität Ihrer Server regelmäßig prüfen können.
Bekannte Programme sind z. B. Linux Malware Detect, Rootkit Hunter und ClamAV.
Hinweis
Stellen Sie sicher, dass die Antivirus- und Anti-Malware-Signaturen regelmäßig aktualisiert werden.
Weitere Artikel aus dieser Artikelserie
Den zweiten Artikel dieser Artikelserie finden Sie hier:
Wichtige Sicherheitsinformationen für Ihren Linux-Server (Teil 2 von 2)
Inhalt
- Installieren Sie regelmäßig und rechtzeitig Sicherheitspatches und Updates
- Verwenden Sie die Public-Key-Authentifizierung anstelle der Passwort-Authentifizierung
- Verwenden Sie stets starke Passwörter
- Entwickeln Sie eine passende Backup-Strategie
- Stellen Sie sicher, dass lokale Dienste ausschließlich an localhost lauschen
- Nutzen Sie VPN, um auf Ihren Server zuzugreifen
- Beschränken Sie den Zugriff auf den Server
- Installieren Sie nur benötigte Anwendungen
- Öffnen Sie nur Ports, die Sie wirklich benötigen
- Überwachen Sie Ihren Server
- Überprüfen Sie Ihren Server regelmäßig auf Malware und Viren
- Weitere Artikel aus dieser Artikelserie
- Nach oben