VServer absichern

Aus Plambee.de Webhosting Wiki
Zur Navigation springen Zur Suche springen

Server sind wirklich praktisch und für alle möglichen Dinge einsetzbar.
Einen Server zu betreiben heißt aber auch das man die Verantwortung für eben diesen Server übernehmen muss. Und diese Verantwortung sollte man Ernst sollte, sonst dient der eigene Server bald als Sprungbrett für Spam und Phishing-Angriffe. In diesem Betrag möchten wir Ihnen ein paar Tipps und Ratschläge geben wie Sie Ihren neuen vServer direkt zu Beginn etwas absichern können.

Hinweis: Die hier gezeigten Vorschläge dienen lediglich als Denkanstoß, wer die Vorschläge befolgt, sichert seinen Server zwar schon gut ab, sie stellen aber keine absolute Sicherheit dar.

Passwort setzen

Bei der Bestellung Ihres vServer können Sie ein root Passwort festlegen. Das root Passwort ist das Passwort des Administrators.
Nehmen Sie hier bitte keine einfachen Passwörter wie 123 o.ä. sondern vergeben Sie ein sicheres Passwort

System

Es ist besonders wichtig das Ihr System immer auf dem neusten Stand ist! Veraltete bzw. nicht mehr supportete Programme stellen immer ein hohes Sicherheitsrisiko dar. Auf den meisten Linus basierten System können Sie Ihr System mit folgenden Befehlen aktualisieren:

apt-get update
apt-get upgrade

Mit apt-get update wird die Paketliste aktualisiert und mit upgrade werden die Updates eingespielt. Da unsere Images, welche für die Installaion Ihres Systems benutzt werden nicht Tagesaktuell sind führen Sie diese Befehle bitte auch bei einem neuen vServer aus.
Wer sein System aktuell halten will kann sich mal das Tool "CRON-APT" anschauen. Hier prüft ein Cronjob regelmäßig (z.B. 1x täglich) ob es Updates gibt und informiert den Admin dann per E-Mail bzw. installiert die Updates automatisch (wobei wir von automatischen Updates abraten).

SSH Port ändern

Standardmäßig erreichen Sie die SSH Verbindung über Port 22, dies wissen auch die Bots. Deshalb gehen Bots von Server zu Server und versuchen das Passwort auf Port 22 zu erraten. Ein sehr effektives Mittel ist es den SSH Port zu verlegen, es ist zwar kein großer Sicherheitsgewinn (den richtigen Port findet man mit einem Scan recht schnell) allerdings hält es Ihnen eine Menge von automatisierten Programmen vom Leib.
Loggen Sie sich hierfür auf Ihrem Server ein und öffnen die Datei sshd_config im Verzeichnis /etc/ssh/. Hier suchen Sie die Zeile "Port 22" und ändern die Zahl. Empfehlenswert sind Ports ab 40000.

Regelmäßige Prüfung der Log Files

Log Files sollten regelmäßig überprüft werden. Mit regelmäßig ist nicht 1x im Jahr gemeint. Ein Tool welches einem hier etwas unter die Arme greift ist "logwatch". Dieses Tool schickt euch die Log Files einmal am Tag in einer Zusammenfassung per E-Mail zu.

Fail2Ban

Ein weiteres empfehlenswertes Tool ist Fail2Ban. Dieses Programm protokolliert sicherheitskritische Aktivitäten (wie z.B. Bots die versuchen Passwörter zu erraten) und sperrt diese (nach x Versuchen) mit Hilfe der Linux Firewall iptables für eine gewisse Zeit.
Für Fail2Ban gibt es eine Vielzahl von vorgefertigte Regeln (wie z.B. proftp, SSH, Postfix, IMAP, POP3,..)