| Home Profil Fun |
#34 Linux 03.06.2007
Absicherung von Linux-ServernIn diesem Artikel möchte ich eine Übersicht über die gängige Software geben, mit denen man seine Linux-Server absichern kann. Die Möglichkeiten sind sehr vielfältig und man muss entscheiden wieviel Ressourcen man investieren will. Die Liste ist weder vollständig noch sollte man versuchen sie als ganzes umzusetzen. Besser ist es die eigene Bedrohungslage zu analysieren und daraufhin die geeignetsten Methoden anzuwenden. Die folgende Liste enthält Maßnahmen und Software die zur Erhöhung der Sicherheit eines Linux-Servers dient. Ich habe die Liste nach Komplexität der Maßnahmen sortiert. Am Anfang stehen einfach zu realisierende Dinge bis hin zu sehr aufwendiger Software, für die gegebenenfalls Monate an Einarbeitung erforderlich ist. Abonnieren aller Sicherheitsmailinglisten aller auf dem Linuxsystem eingesetzten Software Das System und die Applikationen auf dem neuesten Stand halten Defaultkonfigurationen wie z.B. www.domain.xyz/phpmyadmin/ vermeiden Alle Logdateien regelmäßig kontrollieren Nicht als root arbeiten, stattdessen sudo verwenden Alle nichtbenötigten Dienste deaktivieren, die anderen möglichst nicht als root laufen lassen Für jeden laufenden Dienst eine sichere Konfiguration wählen Regelmäßig rkhunter und chkrootkit laufen lassen Eine sichere php.ini, PHPsuexec und Suhosin verwenden SSH-Angriffe mit denyhosts blockieren SSH-Login ganz deaktivieren und stattdessen Zertifikate oder Public-Keys verwenden AIDE verwenden um die Integrität wichtiger Binärdateien zu überwachen Eine sichere Kernelkonfiguration wählen ModSecurity verwenden ACLs verwenden Den Server mit Hilfe von Nagios und Cacti überwachen Eine Firewall mit IPtables einrichten Sandboxing/Virtualisierung mit einer chroot-Umgebung, Vservern oder XEN Bastille Linux verwenden SNORT als IDS oder besser zusammen mit IPtables als IPS laufen lassen RSBAC und GRSecurity einsetzen um die Sicherheit auf Kernelebene drastisch zu verbessern SELinux einsetzen ... Härtung von Apache-Webservern IDS/IPS-Systeme mit Snort SELinux-Training |