• Home
  • Seit 1998 unabhängiger IT- und Tech Kanal, Forum mit über 1 Million registrierter Usern
• Board
  • Seit 1998 unabhängiger IT- und Tech Kanal, Forum mit über 1 Million registrierter Usern
• Nachrichten
  • Topnews
  • Interviews
  • Glossen
  • Reportagen
  • Kurioses
  • RSS-Feed
  • Twitter
  • Newsletter
• NewsPresso
  • Newsübersicht
  • Regeln
  • Highscore
  • RSS-Feed
• Internet
  • Denkanstösse
  • Wissenswertes
  • Filesharing
  • Tools
• IT-Sicherheit
  • Rechtliches
  • Anonymität
  • Cybercrime / Cyberwar
  • Verschlüsselung
  • Netzsperren
  • IT-Forensik
  • Linux-Server
  • Passwörter
  • Spam
  • WLAN
• Unterhaltung
  • Bild und Film
  • Ton und Musik
  • Mobile Endgeräte
  • PC und N-books
  • Internet
  • Spiele
  • Roboter
• Ansichtssache
  • Kommentiere und bewerte die Fundstücke.
• Chat
  • Anleitungen
  • Webchat
  • Channelstats
  • Zitate

Sinnvolle Konfiguration von Linux-Servern

Webserver stehen besonders unter Beschuss, da sie ihre Dienste nach außen hin anbieten. Zugleich sollten sie eine möglichst hohe Verfügbarkeit gewährleisten.

Webserver stehen besonders unter Beschuss, da sie ihre Dienste nach außen hin anbieten. Zugleich sollten sie eine möglichst hohe Verfügbarkeit gewährleisten, da Andere auf die angebotenen Dienste angewiesen sind. Um Probleme zu vermeiden, gilt es, einige Grundregeln zu beachten.

Eine der ersten wichtigen Entscheidungen ist diejenige für eine bestimmte Distribution. Hier bleibt vieles dem persönlichen Geschmack überlassen. Allerdings sind einige Distributionen, vor allem das zwischenzeitlich recht beliebte SUSE Linux, nicht so gut abzusichern wie beispielsweise Debian und Gentoo (die aber aufgrund ihrer vermeintlich schwierigeren Bedienung von einigen Menschen ungern genutzt werden). Im Sinne der Verfügbarkeit sollte man darauf achten, keine allzu neuen, ungetesteten Software-Versionen zu verwenden, da diese häufiger zu Problemen führen. Man sollte schon einen sehr guten Grund haben, wenn man auf Servern auf "Beta"-Versionen zurückgreift. Andererseits müssen alle Programme zumindest im Hinblick auf sicherheitsrelevante Patches auf dem neuesten Stand sein (also regelmäßig aktualisiert werden), um Angreifern keine unnötigen Angriffspunkte zu bieten.

Gerade auf Servern sollten keine unnötigen Dienste laufen, die zusätzliche Angriffsfläche bieten. Auch die Sperrung nicht benötigter Ports, beispielsweise mit Hilfe von iptables, ist empfehlenswert. Auf bestimmte, besonders unsichere Dienste wie FTP und Telnet sollte nach Möglichkeit ganz verzichtet werden (SFTP und SSH2 bieten eine sicherere Alternative). Neben der ausschließlichen Verwendung von SSH2 zum Einloggen (Telnet ist unverschlüsselt, wodurch Passwörter mitgelesen werden können, und SSH1 bietet eine veraltete, zu schwache Verschlüsselung) sollte als zusätzliche Vorsichtsmaßnahme das Einloggen als Root (Superuser) per SSH verboten werden. Legitime Benutzer können einfach mit einem normalen Benutzeraccount per SSH einloggen und dann mithilfe des Befehls "su" Root werden. Die Deaktivierung des Root-Logins per SSH geschieht bei Debian-Systemen in der Datei /etc/ssh/sshd_config. Dort muss der Eintrag "PermitRootLogin" auf "no" gesetzt werden. Dieser Tipp gilt nicht für Distributionen, auf denen standardmäßig das Programm sudo zum Einsatz kommt, man also Programme von einem normalen Benutzeraccount mit Superuser-Rechten ausführen kann.

Ein Geheimtipp für Serveradmins ist das Tool "rkhunter", das es entweder im Netz oder teilweise auch in den Repositories der Distributionen gibt. Dieses Programm überprüft den Server nicht nur auf Rootkits, sondern testet gleichzeitig auch noch andere sicherheitsrelevante Dinge wie Aktualität der verwendeten Software-Versionen, Konfiguration der SSH-Logins und Ähnliches.

Annika Kremer am 20. Juli 2010