Root Server sicher betreiben

... oder die Finger davon lassen. Weiterlesen ...

BLOG

Root Server sicher betreiben

Eine renommierte Fachzeitschrift hat vor einiger Zeit die standardmäßig installierten Betriebssystem-Images auf Linux Root Servern begutachtet. Dabei wurden teilweise eklatante Sicherheitsmängel festgestellt. Wir können diesen Eindruck aus eigener Erfahrung nur bestätigen.

Dabei spielen vor allem folgende Aspekte eine Rolle:

  1. Die vom ISP vorinstallierten Standardimages spiegeln nur in Ausnahmefällen den tagesaktuellen Sicherheitsstand der zugrunde liegenden Distributionen wider.
  2. Bei der Basiskonfiguration von gemieteten Root Servern spielen sicherheitstechnische Aspekte eine untergeordnete Rolle. Der Server soll vielmehr aus dem Stand die anwendungsseitigen Erfordernisse beliebiger Anwender abdecken.

Vor der Konfiguration und Absicherung des Basissystems und der Server-Dienste sollte man daher sicherstellen, dass man mit einem unkompromitierten System an den Start geht. Es empfiehlt sich daher folgende Vorgehensweise:

Kriterien zur Wahl des ISP

  • Aktuelle Distributionen.
  • Aktualisierte Systemimages.
  • Internes technisches KnowHow.
  • Eigener Support.

Kriterien zur Wahl der Distribution

  • Eigene Vertrautheit mit der Distribution.
  • Sicherheitspolitik der Distribution.
  • Stabilität statt Featuritis.
  • Praktikabilität der Werkzeuge zur Systemadminstration (Paketverwaltung etc.).
  • Problemloses Versionsupgrade.

Aus Punkt 1. (siehe oben) ergibt sich:

  • Betriebssystem-Image immer neu aufspielen (siehe Administrationstools der Webhoster).
  • Im Anschluss sofort einloggen und root-Passwort ändern.
  • Sofort alle Dienste mit offenen Ports bis auf ssh deaktivieren (netstat -atn, ps ax).
  • Mit distributionsspezifischem Paketmanager sofort auf vorhandene Sicherheitsupdates prüfen und einspielen.
  • SSH-Dienst absichern.

Kurz zurücklehnen. Jetzt fängt die Arbeit erst richtig an und man kann sich in Ruhe an die Absicherung des Basissystems und der Serverdienste machen.

Um sich die Arbeit nicht mehrfach machen zu müssen kann man aus dem so abgesicherten System ein eigenes Standardimage bauen. Dieses kann dann in einer VM aktuell gehalten und bei Bedarf wieder auf den Root Server aufgespielt werden!

Wer diese Vorgehensweise für paranoid hält sollte sich einmal bei offenem SSH- und FTP-Port ein

tail -f /var/log/auth_log

o.ä. ausgeben lassen ...