{"id":13861,"date":"2016-10-18T13:19:16","date_gmt":"2016-10-18T11:19:16","guid":{"rendered":"https:\/\/www.thomas-krenn.com\/de\/tkmag\/?p=13861"},"modified":"2022-03-24T09:17:51","modified_gmt":"2022-03-24T08:17:51","slug":"linux-basierte-root-server-absichern","status":"publish","type":"post","link":"https:\/\/www.thomas-krenn.com\/de\/tkmag\/expertentipps\/linux-basierte-root-server-absichern\/","title":{"rendered":"Linux-basierte Root-Server absichern (mit Checkliste)"},"content":{"rendered":"\n

Root-Server offen im Internet zu betreiben birgt immer gro\u00dfe Gefahren, egal ob als virtualisierte Instanz oder physisch im Rechenzentrum. Da die Dienste der Server erreichbar sein m\u00fcssen, w\u00e4re es absurd, alle Ports an der Firewall als Sicherheitsma\u00dfnahme zu sperren. Die Server w\u00e4ren so zwar vor Zugriffen von au\u00dfen gesch\u00fctzt (sofern die Firewall keine Sicherheitsl\u00fccken aufweist), k\u00f6nnten jedoch ihre Dienste nicht mehr zur Verf\u00fcgung stellen. Dieser „Tipp“ ist also nur sehr bedingt praxistauglich. Deshalb im Folgenden ein paar echte Tipps, die Ihren Linux-basierten Root-Servern das Leben erleichtern. Als kleines Special haben wir am Ende des Artikels au\u00dferdem eine Checkliste als PDF zum Download f\u00fcr Sie bereitgestellt.<\/strong><\/p>\n\n\n\n

Installation\/Ersteinrichtung Ihrer Linux-basierten Root-Server<\/strong><\/h2>\n\n\n\n

Eine wahllose Installation von Paketen erh\u00f6ht das Risiko einer Sicherheitsl\u00fccke \u2013 Sie sollten daher nur die f\u00fcr den Einsatzzweck erforderlichen Pakete installieren. Wenn Sie von Ihrem Hoster Zugangsdaten f\u00fcr eine bereits installierte und vorkonfigurierte Maschine erhalten, meist geschieht dies per E-Mail, dann z\u00f6gern Sie nicht, diese zu \u00e4ndern. Ein ge\u00e4ndertes und m\u00f6glichst sicheres Root-Passwort ist ein wichtiger Punkt auf der Checkliste.<\/p>\n\n\n\n

SSH<\/strong><\/h2>\n\n\n\n

Bei einem sicheren Passwort allein sollte man es aber nicht belassen: ein m\u00f6glicher root-Login per SSH wird nicht empfohlen. Verbieten Sie deshalb den root-Login \u00fcber eine SSH-Session mit<\/p>\n\n\n\n

PermitRootLogin no<\/em><\/p>\n\n\n\n

in \/etc\/ssh\/sshd_config<\/em> und legen Sie f\u00fcr die Arbeiten am System einen weiteren User an, zum Beispiel admin. Diesem User sollten dann nat\u00fcrlich sudo-Rechte gew\u00e4hrt werden.<\/p>\n\n\n\n

Die Sicherheit l\u00e4sst sich noch weiter erh\u00f6hen, wenn Sie generell auf Passwort-Logins verzichten und sich stattdessen \u00fcber eine sogenannte Public-Key-Authentifizierungen anmelden. Wie Sie dies am Beispiel eines Ubuntu-Systems vornehmen, erkl\u00e4ren wir ausf\u00fchrlich in unserem Thomas-Krenn-Wiki<\/a>.<\/p>\n\n\n\n

Weitergehende Konfigurationstipps finden Sie zum Beispiel in der Ubuntu Dokumentation<\/a>.<\/p>\n\n\n\n

TCP-Wrapper<\/strong><\/h2>\n\n\n\n

Als weitere Ma\u00dfnahme auf dem Weg zu einem gut gesicherten System bietet sich die Verwendung des TCP-Wrappers an. Dieser TCP-Wrapper, der tcpd, wacht als Zwischenschicht vor dem inetd. Der inetd-Daemon startet bei einer Verbindungsanfrage den entsprechenden Dienst. Ob der Anfrager an den Dienst diesen auch in Anspruch nehmen darf, wird vom tcpd anhand der Konfigurationsfiles \/etc\/hosts.allow<\/em> und \/etc\/hosts.deny<\/em> gepr\u00fcft, ob beispielsweise diese IP-Adresse den SSH-Dienst starten darf.<\/p>\n\n\n\n

Mit der hosts.allow kann somit ganz gezielt und explizit IP-Adressen oder auch per Wildcards einem Bereich der Zugriff erlaubt werden. In der \/etc\/hosts.deny <\/em>kann dann die Wildcard ALL:ALL eingetragen sein, damit standardm\u00e4\u00dfig s\u00e4mtlicher Zugriff verweigert wird, es sei denn er wird explizit erlaubt.<\/p>\n\n\n\n

fail2ban<\/strong><\/h2>\n\n\n\n

Fail2Ban ist ein in Python geschriebenes Programm, das verschiedene Serverdienste, z. B. SSH oder auch Apache2, gegen unbefugten Zugriff absichern kann. Dazu liest es die konfigurierten Logfile-Eintr\u00e4ge aus, um nach Authentifizierungs-Fehlern zu suchen. Wenn der Login-Vorgang zu oft fehlschl\u00e4gt, wird die entsprechende IP per Firewall-Regel gesperrt. Die maximale Anzahl fehlgeschlagener Logins kann eingestellt werden.
cat $ cat \/var\/log\/auth.log |grep failure
[…]
Oct 4 14:52:52 tkmon sshd[1462]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.1.102.106 user=tkmon
[…]<\/em><\/p>\n\n\n\n

Automatische Updates<\/strong><\/h2>\n\n\n\n

Ein ungepatchtes Server-Betriebssystem ist ein nicht unerhebliches Sicherheitsrisiko. Damit dies im Tagesbetrieb nicht \u00fcbersehen wird, k\u00f6nnen Updates auch automatisiert installiert werden:<\/p>\n\n\n\n

sudo apt-get install unattended-upgrades<\/em><\/p>\n\n\n\n

M\u00f6chte man an Updates erinnert werden, diese aber dann manuell installieren, ist die Installation des Shellskriptes apticron zu empfehlen. Es dient zur automatischen E-Mail-Benachrichtigung, wenn System-Updates verf\u00fcgbar sind. Voraussetzung ist ein installierter MTA, z. B. Postfix, zur Zustellung der E-Mails.<\/p>\n\n\n\n

Zwei-Faktor-Authentifizierung<\/strong><\/h2>\n\n\n\n

Da immer bessere Passwort-Cracking-Tools verf\u00fcgbar sind und die Hardware immer leistungsf\u00e4higer wird, sind Brute-Force Angriffe auf abgegriffene Passwort-Hashes mittlerweile ein probates Mittel, um sich Zugang zu einem Computersystem zu verschaffen.<\/p>\n\n\n\n

Eine weitere Sicherheitsstufe, der zweite Faktor, gilt als immer verbreiterte Ma\u00dfnahme, um Unbefugten den Angriff auf ein System zu erschweren. Der zweite Faktor einer Authentifizierung kann auf vielerlei Arten durchgef\u00fchrt werden, z. B. \u00fcber Tokens wie den Yubikey oder den Google Authenticator.
Es wird dann, neben der Abfrage des Benutzerpasswortes, zus\u00e4tzlich zum Beispiel ein Einmalpasswort abgefragt.<\/p>\n\n\n\n

N\u00fctzliche Tools f\u00fcr Ihren Linux-Server<\/strong><\/h2>\n\n\n\n

Die Paketquellen eines Linux-basierten Betriebssystems bieten ein gro\u00dfes Angebot an n\u00fctzlichen Tools, um Angriffe und Ver\u00e4nderungen am System sichtbar zu machen.<\/p>\n\n\n\n

Backup<\/strong>
Falls es, trotz aller Vorsichtsma\u00dfnahmen und eingesetzter Tools, zu einem erfolgreichen Angriff kommt, ist eine zuverl\u00e4ssige Backup-Strategie von h\u00f6chster Priorit\u00e4t. Der Backup-Markt im Linux-Umfeld ist vielschichtig, in unserem Thomas-Krenn-Wiki finden Sie eine Auswahl an beliebten Backup-L\u00f6sungen wie rdiff-backup<\/a> und rsnapshot<\/a>.<\/p>\n\n\n\n

nmap<\/strong>
Mit nmap k\u00f6nnen offene Ports eines Servers gescannt werden. Unbekannte oder nicht zur eigentlichen Konfiguration passende, offene Ports k\u00f6nnen ein Hinweis auf eine Ver\u00e4nderung durch einen erfolgreichen Angriff sein.<\/p>\n\n\n\n

debsums<\/strong>
Mit dem Tool debsums k\u00f6nnen Checksummen von Files, die \u00fcber Debian Pakete auf dem System installiert wurden, \u00fcberpr\u00fcft werden. Checksummen, die nicht mit den bei der Paketinstallation mitinstallierten Files \u00fcbereinstimmen, k\u00f6nnen ein Hinweis auf eine Malware-Infizierung sein. Die Binaries von ls und find werden gerne modifiziert um das Rootkit zu verstecken.<\/p>\n\n\n\n

etckeeper<\/strong>
Etckeeper stellt vom Grundgedanken her eigentlich eine Versionierungsm\u00f6glichkeit des Konfigurationsverzeichnisses \/etc\/<\/em> dar. \u00c4nderungen in den Unterverzeichnissen von \/etc\/<\/em> werden mitprotokolliert, wodurch bei einer fehlerhaften Konfiguration eine Vorg\u00e4ngerversion wiederhergestellt werden kann. Da etckeeper eine Benachrichtigungsfunktion per E-Mail mitbringt, kann es auch als Tool zur Erkennung von unerw\u00fcnschten Ver\u00e4nderungen am Server eingesetzt werden. Weitere Informationen dazu finden Sie in unserem Thomas-Krenn-Wiki.<\/a><\/p>\n\n\n\n

tripwire<\/strong>
Das Tool \u201eOpen Source Tripwire\u201c ist ein freies Host-basiertes Intrusion Detection System f\u00fcr kleinere Umgebungen mit wenigen Linux Servern. Es ist ein Tool f\u00fcr Sicherheit und Datenintegrit\u00e4t und wird direkt auf den Hosts zur Alarmierung bei Ver\u00e4nderungen an den Files verwendet.<\/p>\n\n\n\n

rkhunter und chkrootkit<\/strong>
Um Rootkits, Backdoors und lokalen Exploits auf die Schliche zu kommen, empfiehlt es sich mehrere Tools wie rkhunter oder chkrootkit parallel zu betreiben.<\/p>\n\n\n\n

logcheck<\/strong>
Auff\u00e4lligkeiten in den Logfiles kann der Administrator manuell per Hand durchsuchen oder an kleine Programme wie logcheck delegieren. Dieses Tool durchsucht automatisch die angegebenen Logfiles und benachrichtigt den Admin per E-Mail, wenn etwas Auff\u00e4lliges in den Logs auftaucht.<\/p>\n\n\n\n

Lynis<\/strong>
Lynis stellt ein Open Source Auditing Tool f\u00fcr viele g\u00e4ngige Unix-basierte Betriebssysteme dar. Damit k\u00f6nnen auf dem Host automatisierte Sicherheitsevaluierungen durchgef\u00fchrt werden. Unter anderem gibt es Pakete f\u00fcr Ubuntu, der Code ist aber ebenso auf Github zu finden.<\/p>\n\n\n\n