Das Absichern eines Webservers ist eine vielschichtige Aufgabe, die mit Konfigurationen im Betriebssystem sowie in der Webserver-Applikation allein nicht gelöst werden kann. Ohne Hilfe ist jeder noch so sicher eingestellte Server schutzlos, weil er Dienstleistungen zur Verfügung stellt, die Angriffslücken hinterlassen müssen. Das geht gar nicht anders.
Aus diesem Grund müssen auch die Netzwerkkomponenten mit berücksichtigt werden. Mieten Sie Ihren Webspace bei einem Hosting-Provider (in welcher Form auch immer), übernimmt dieser mindestens die Betreuung der Hardware sowie die Absicherung von außen.
[sc name=“adsense_InText_ad“]
Darüber hinaus bieten viele Provider spezielle Services bzgl. Lastverteilung und Ausfallsicherheit, die für einen sicheren und erfolgreichen Betrieb des Webservers von entscheidender Bedeutung sein können. Zum Abschluss müssen Sie sämtliche Konfigurationseinstellungen und Dienste einer Tauglichkeitsprüfung unterziehen und sie härten bzw. optimieren.
>> Jetzt günstig Root-Server mieten
1. Betriebssystem und Anwendungen
Der Provider stellt bei einem Root-Server-Tarif eine Erstinstallation des Linux-Betriebssystems ohne jegliche Anpassung zur Verfügung. In der Regel wird dabei eine große Anzahl an Features mit geladen, die nicht benötigt werden und teilweise als sicherheitskritisch einzustufen sind. Standardmäßig werden viele Programmiersprachen und Tools für Entwickler installiert. Sie müssen diese allesamt wieder deinstallieren, um einem Missbrauch durch Hackertools vorzubeugen. Ideal wäre es, wenn Sie im Vorfeld mit Ihrem Provider abstimmen, welche Features aus der Standardinstallation herausgenommen werden sollen.
Achten Sie im weiteren Verlauf unbedingt darauf, Ihr System permanent aktuell zu halten. Die regelmäßige Einspielung von System-Patches und Updates gehören zu den wichtigsten Aufgaben.
2. Webserver absichern
Apache und MySQL sind im Linux-System in einer bestimmten Version enthalten. Der erste Schritt ist auch hier, die aktuellen Versionen und neuesten Patches einzuspielen. Ungefähr Zweidrittel aller Webserver weltweit laufen mit Apache. Die wichtigsten Funktionen, die Sie zur Absicherung beachten und (hauptsächlich) in der httpd.conf-Datei einstellen sollten, sind hier stichpunktartig aufgelistet:
– Verstecken der Apache-Versionsnummer
– Eigener Account und eigene Gruppe für Apache
– Apache darf Dateien außerhalb des Webspaces nicht erreichen
– Überschreiben der .htaccess-Dateien verbieten
– Deaktivierung mehrerer Optionen (u.a. CGI execution, directory browsing)
– Nicht gebrauchte Module deaktivieren
– Lesen der Konfigurationsdateien und Bibliotheken von Apache nur root erlauben
– Timout-Wert heruntersetzen (Standard ist 300 Sek. – besser: 45)
– Zwecks Vorbeugung von Denial of Service-Attacken die Größe der Anfragen limitieren (an mehreren Stellen möglich)
– Größe des XML-Bodys einschränken
– Anzahl gleichzeitig möglicher Anfragen limitieren
>> Günstige Server mit viel Speicherplatz gibt’s bei Contabo
3. Des Servers Verbündete: Die Netzwerkkomponenten
Hosting-Provider sind mit einer ganzen Reihe an mächtigen Netzwerkkomponenten ausgestattet. Falls Sie Ihr Server in Ihrem Rechenzentrum steht, sollten Sie neben Firewalls und Routern, die mit aufeinander abgestimmten Filtern wertvolle Arbeit leisten, auch IDS- bzw. IPS-Systeme einsetzen. So können Sie etwaige Angriffe vor dem Erreichen des Servers erkennen (IDS). Noch besser ist der Einsatz von IPS, das präventive Maßnahmen zum Schutz des Servers im Netz implementiert.
4. Lastverteilung und Ausfallschutz
Angriffe von außen sind nicht die einzige Gefahr für Ihren Webserver. Ab einer bestimmten Benutzerzahl machen vom Provider vorgeschaltete Load-Balancing-Systeme Sinn, die zum Internet bzw. in Richtung Firewall eine virtuelle IP-Adresse zur Verfügung stellen, auf die alle Anfragen zielen müssen. Ihr Webspace läuft auf zwei Servern parallel. Die Anfragen werden vom Load Balancer je nach Auslastung an diese verteilt. Dadurch können der Durchsatz und damit die Zugriffszeiten auf Ihr Portal deutlich verbessert werden. Ein zweiter Effekt ist die Ausfallsicherheit Ihres Systems, da Ihre Apache-Umgebung auf zwei verschieden Linux-Rechnern mit identischer Konfiguration läuft.
5. Systemzugriffe sichern und einschränken
Linux bringt einen SSH-Client mit, der eine verschlüsselte Verbindung zum Server realisiert. Daneben sollten Sie mit einer detaillierten Benutzerverwaltung die Zugriffsrechte nur autorisierten Personen bzw. Rechnern erteilen.
6. Optimierung bzw. Härtung des Systems
Der Härtungsprozess erfolgt im Anschluss an alle Installations- und Konfigurationsarbeiten. Sie müssen idealerweise eine Testumgebung implementieren, die ein paralleles Auditsystem enthält. Im Wesentlichen geht es darum, offene TCP- oder UDP-Ports zu finden, die nicht benötigt werden und demzufolge zu schließen sind.
>> Jetzt günstig Root-Server mieten
Artikelbild: Rainer Sturm / pixelio.de
