Wichtige Sicherheitsinformationen für Ihren Linux-Server (Teil 1 von 2)

Ein Server bietet Ihnen viele interessante Möglichkeiten. Mit dem Erwerb eines Servers mit Root-Zugriff sind Sie jedoch auch für dessen Sicherheit verantwortlich. Diese Verantwortung beinhaltet alle Aktionen, die von Ihrem Server ausgeführt werden. Aus diesem Grund ist es sehr wichtig, dass Sie Ihren Server möglichst frühzeitig absichern und das Sicherheitsniveau gegen Cyberangriffe erhöhen, um potenziellen Angreifern möglichst wenig Angriffsfläche zu bieten. 

In dieser Artikelserie werden einige wichtige Sicherheitsempfehlungen und Sicherheitsmaßnahmen erklärt, die dazu beitragen, das Sicherheitsniveau Ihres Linux-Servers zu erhöhen. 

In diesem Artikel erhalten Sie allgemeine Sicherheitsempfehlungen und Tipps für eine sichere Konfiguration und einen sicheren Betrieb Ihres Linux-Servers. Diese sind im Folgenden nach Wichtigkeit geordnet.

In der Regel werden bekannt gewordene Schwachstellen mithilfe von veröffentlichten Updates innerhalb von kürzester Zeit wieder geschlossen. Dies funktioniert jedoch nur, wenn Sie sich regelmäßig über Sicherheitspatches und Updates für das Betriebssystem und die installierten Programme informieren und diese zeitnah installieren. Stellen Sie ferner sicher, dass Sie zusätzlich installierte Plugins aktualisieren.

Fast alle Betriebssysteme bieten die Möglichkeit, wichtige Sicherheitsupdates automatisch im Hintergrund herunterzuladen und zu installieren. Um sich täglich über neue verfügbare Softwarepakete zu informieren und diese herunterzuladen, können Sie spezifische Skripte wie z. B. apt-listchanges oder apticron nutzen. Mit dem  unattended-upgrades package (Ubuntu) oder dem Programm Yum-cron (CentOS 7) können Sie die Patches für Ihr Betriebssystem automatisch installieren.

Die Sicherheitspatches und Updates für Ihre Anwendungen und Plugins können Sie bei Bedarf vor der Installation testen, um die möglichen Auswirkungen auf Ihre spezifische Umgebung zu prüfen, bevor Sie diese zeitnah auf dem Server installieren. Bitte beachten Sie jedoch, dass Sie für einen solchen Test einen zweiten Server benötigen.

Das Netzwerkprotokoll SSH unterstützt verschiedene Varianten zur Anmeldung des Clients auf dem Server. Neben der bekannten klassischen Authentifizierung mit Benutzername und Passwort können Sie unter anderem auch die Public-Key-Authentifizierung nutzen. Die Public-Key-Authentifizierung verwendet einen privaten und einen öffentlichen Schlüssel für die Benutzerauthentifizierung. Der öffentliche Schlüssel kann hierbei zusätzlich mit einem Passwort geschützt werden.

Der öffentliche Schlüssel muss auf dem jeweiligen Server hinterlegt werden, damit die Public-Key-Authentifizierung eingerichtet werden kann. Der private Schlüssel wird lokal auf dem eigenen Computer gespeichert. 

Wenn Sie die Public-Key-Authentifizierung verwenden, können Sie sich unter Verwendung des Public Keys ohne Login-Passwort am Server anmelden. Hierbei ist ggf. die Eingabe des Passworts erforderlich, mit der der öffentliche Schlüssel geschützt wird. Um das Sicherheitsniveau zusätzlich zu erhöhen, können Sie zusätzlich die SSH-Passwortauthentifizierung deaktivieren. Eine Authentifizierung mittels Passworteingabe ist in diesem Fall nur noch dann möglich, wenn sich die nutzende Person mittels der KVM-Konsole (Cloud Server und VPS) bzw. der VNC-Konsole (Dedicated Server) auf dem Server einloggt.

Um das Sicherheitsniveau zusätzlich zu erhöhen, können Sie zusätzlich die SSH-Passwortauthentifizierung deaktivieren. In diesem Fall können sich die Personen, die den Server nutzen, ausschließlich mittels der Public-Key-Authentifizierung anmelden. Eine Authentifizierung mittels Passworteingabe ist in diesem Fall nur noch dann möglich, wenn sich die nutzende Person mittels der KVM-Konsole (Cloud Server und VPS) bzw. der VNC-Konsole (Dedicated Server) auf dem Server einloggt.

Durch schwache Passwörter können sich Angreifende leichter Zugriff zu Ihrem Server verschaffen. Ist ein solcher Angriff geglückt, kann der Angreifende Ihren Server für bösartige Aktivitäten nutzen, die Ressourcen Ihres Servers nutzen oder möglicherweise den Server übernehmen und Sie aussperren.

Sie sollten daher stets sichere und komplexe Passwörter benutzen. Ändern Sie diese regelmäßig. Beachten Sie hierbei die folgenden Kriterien, um ein starkes und sicheres Passwort zu erstellen:

• Verwenden Sie für jeden Dienst und für jede Datenbank, die auf dem Server läuft  ein eigenes Passwort.

• Verwenden Sie ein Passwort, das nicht in Wörterbüchern steht.

• Verwenden Sie stets ein Passwort, das sich erheblich von früheren Passwörtern unterscheidet.

• Verwenden Sie keine personenbezogenen Daten aus Ihrem persönlichen Umfeld wie Geburtstage, Namen etc.

• Verwenden Sie kein Passwort, das den Benutzernamen oder den Firmennamen enthält.

• Geben Sie Ihr Passwort nicht an Dritte weiter.

• Kombinieren Sie verschiedene Arten von Zeichen, z. B. Buchstaben, Ziffern und Sonderzeichen.

• Verwenden Sie Passwörter für verschiedene Dienste nicht wieder.

Ein sicheres Passwort enthält:

• Mindestens 8 Zeichen

• Groß- und Kleinbuchstaben: a-z, A-Z 

• Ziffern: 0-9

• Sonderzeichen

Der Verlust von Daten kann zu tiefgreifenden und kostspieligen Schäden führen. Aus diesem Grund sollten Sie möglichst frühzeitig eine passende Backup-Strategie entwickeln. Die Entwicklung einer Backup-Strategie ist ein technisch sehr komplexes Thema, da hierbei viele Faktoren berücksichtigt werden müssen. Einige wichtige Faktoren sind zum Beispiel:

• Feststellung der Gefährdungslage: Die Gefährdungslage hängt vom Einsatzzweck des Servers und von der Abhängigkeit vom Datenbestand ab.

• Klassifizierung der Daten: Um welche Art von Daten handelt es sich? Müssen systemrelevante Daten oder Personendaten gesichert werden?

• Verfügbarkeit der Daten: Welche Anwendungen sind in welcher Form von den Daten abhängig? Funktionieren die Anwendungen auch ohne die betreffenden Daten?

Darüber hinaus sollten Sie bei der Entwicklung Ihrer Backup-Strategie folgende Fragen miteinbeziehen und beantworten:

• Welcher Datenverlust ist vertretbar?

• Wie lange würde die Rekonstruktion der Daten dauern?

• Wie groß ist das Datenvolumen und wie wird sich der Datenbestand entwickeln? 

• Wie müssen die Daten gesichert werden?

• Gibt es Lösch- und Aufbewahrungsfristen?

• Sind die Daten vertraulich? Ist ein besonderer Zugriffsschutz erforderlich? Gibt es gesetzliche Vorgaben?

• Wann kann das Backup erstellt werden, ohne dass es negative Auswirkungen auf andere Prozesse gibt?

• Wie lange müssen Sie die Backups aufbewahren?

Ein weiterer wichtiger Punkt, den Sie bei der Entwicklung Ihrer Backup-Strategie berücksichtigen sollten, ist die Art der Datensicherung. Grundsätzlich wird zwischen den folgenden Sicherungsarten unterschieden:
 

Voll-Backup

Ein Vollbackup ist ein Backup, das alle Daten enthält, die für die Sicherung gewählt wurden.
 

Differentielles Backup

Bei einem differentiellen Backup werden alle Dateien gesichert, die seit dem letzten Voll-Backup geändert wurden oder neu hinzugekommen sind. Die Veränderungen werden immer in Bezug zur Vollsicherung gemacht. Differentielle Backups werden von Tag zu Tag größer, bis Sie wieder ein Voll-Backup durchführen. Sie benötigen jedoch weniger Speicherplatz als ein Voll-Backup und sie können schneller durchgeführt werden.

Um Daten von einem differentiellen Backup wiederherstellen zu können, müssen Sie auch Zugriff auf das letzte Voll-Backup haben. Die einzelnen differentiellen Backups können unabhängig voneinander gehandhabt werden. 

Inkrementelles Backup

Inkrementelle Backups sind sehr platzsparend und können schnell durchgeführt werden.

Bei einem inkrementellen Backup werden nur die Daten gesichert, die seit dem letzten Backup erstellt oder verändert wurden. Hierbei ist es unerheblich, ob es sich um ein Voll-Backup oder ein inkrementelles Backup handelt.

Um ein inkrementelles Backup wiederherstellen zu können, müssen Sie folglich auch Zugriff auf andere Backups haben, die sich in der Backup-Kette befinden, da die Backups voneinander abhängig sind. Wenn Sie eines der vorherigen inkrementellen Backups oder ein Voll-Backup löschen, können Sie die Gesamtgruppe nicht mehr wiederherstellen.
 

Neben der Entwicklung der geeigneten Backup-Strategie und dem regelmäßigen Erstellen von Backups sollten sie auch sicherstellen, dass die Wiederherstellung der Backups regelmäßig getestet wird.

Nicht alle Dienste müssen über das Netzwerk bzw. das Internet erreichbar sein. Stellen Sie daher sicher, dass lokale Dienste tatsächlich an localhost lauschen. Wenn Sie beispielsweise eine lokale MySQL-Instanz auf Ihrem Webserver ausführen, sollte die Datenbank nur an localhost lauschen. Gleiches gilt für Programme und Anwendungen, die Sie testen. Konfigurieren Sie dann Ihre Anwendung so, dass sie sich über den localhost verbindet.

Wenn Sie einen Cloud Server erworben haben, können Sie mittels VPN eine sichere Verbindung zwischen Ihrem lokalen PC und Ihrem Server herstellen, die mit SSL verschlüsselt wird.

Sie können das VPN einfach und bequem im Cloud Panel im Bereich Netzwerk > VPN erstellen. 

Um das VPN zu nutzen, müssen Sie anschließend auf dem lokalen PC die Software OpenVPN installieren und anschließend konfigurieren. 

Weitere Informationen zur Nutzung von VPN finden hier:

VPN erstellen

OpenVPN installieren und konfigurieren

Mit OpenVPN eine sichere Verbindung herstellen (Windows)

Um die Serversicherheit zu erhöhen, sollten Sie Sie den Zugriff auf den Server nur den Benutzern erlauben, die damit arbeiten müssen.

Installieren Sie nur Anwendungen, die Sie wirklich benötigen. Je mehr Anwendungen Sie auf dem Server installieren, desto größer ist die Gefahr, dass es Schwachstellen gibt.

Offene Ports stellen im Allgemeinen kein besonderes Sicherheitsrisiko dar, es sei denn die antwortenden Anwendungen weisen Sicherheitslücken auf, die sich Angreifende zunutze machen. Mit einer steigenden Zahl an Anwendungen wächst dieses Gefahrenpotenzial.

Das Monitoring ist ein wichtiges Instrument, um die Serversicherheit zu erhöhen. Nur durch eine Überwachung des Servers können Sie einen Serverausfall oder den Ausfall von einzelnen Komponenten oder Anwendungen rechtzeitig bemerken. Dies gilt auch für bestimmte Arten von Cyberangriffen. Wenn Ihr Server angegriffen wird, ist eine schnelle Reaktion unerlässlich, um den Angriff zu stoppen und den verursachten Schaden zu minimieren.

Obwohl Linux im Allgemeinen weniger von Malware und Viren als Windows betroffen ist, ist es nicht immun gegen bösartige Software. Für Linux-Systeme gibt es eine Reihe von Malware- und Viren-Scannern , mit denen Sie die Integrität Ihrer Server regelmäßig prüfen können. 

Bekannte Programme sind z. B. Linux Malware Detect, Rootkit Hunter und ClamAV. 

Den zweiten Artikel dieser Artikelserie finden Sie hier:

Wichtige Sicherheitsinformationen für Ihren Linux-Server (Teil 2 von 2)