Dies ist eine Anleitung um Systeme bestmöglichst1 abzusichern und zu härten. Sie beschäftigt sich mit dem Entfernen aller Softwarebestandteile und Funktionen, welche nicht zwingend für den ordentlichen Betrieb der entsprechenden Aufgabe notwendig sind.
- Grundhärtung
- Einschränkung administrativer Zugriffe (z.B.
rootZugänge)- SSH-Zugang
- DB-Zugang
- etc.
- Kernelhärtung
- Unterbinden des RamDisk Zugriffs
- Verhindern von Kernelmodul-Nachladeversuchen
- Entsprechende Härtungen installierter Software-Module, z.B.
- Mailserver
- MySQL-Server / MariaDB-Server, etc.
- Aktivierte verschlüsselte Datenverbindung
- Härtung am Beispiel des Webservers
- Verwendung von sicheren und aktuellen SSL-Protokollen
- Abschaltung von nicht benötigten Headerauslieferungen (Versionsnummer, etc.)
- Abschalten von nicht benötigten Informations- und Statusseiten (server-status)
- Aktivierung des mod_security Moduls
- etc.
- Aktivierung serverseitige Firewall (ufw)
- Whitelist für freigeschaltete Dienste
- Einschränkung des Netzwerkzugriffes
- Schließen aller nicht benötigten Dienste und Ports
- Entfernen aller unnötigen Datenzugriffsmöglichkeiten
- Entfernen oder Verschleiern aller unnötigen Versionsnummernausgaben
- Einfaches IPS + IDS (Fail2Ban)
- Regelmäßige oder automatische Einspielungen von Sicherheitspatches
- Einschränkung administrativer Zugriffe (z.B.
- Fail2Ban (Blockieren von IP Adressen, von wahrscheinlichen Angreifern)
- AppArmor (Einschränken von Zugriffsrechten einzelner Programme)
- Apticron (Benachrichtigung über Sicherheitspatches)
- RKHunter (Rootkit, BackDoor und Exploit Scanner mit Mailbenachrichtigung)
- Ferner für Analysen und Eigentests: Lynis
- Etc.
- Einschränken von Zugriffsrechten auf das nötige Maß (Admin, User, etc.)
- Regelmäßige Sicherung der Log-Dateien
- Verschlüsselung wichtiger Daten
- Backups aller relevanten Dateien
- Regelmäßige Rücksicherungs-Tests
- Speichern der Backups auf getrennten Systemen
- im günstigsten Fall: anderer Anbieter/Rechenzentrum, etc.
- Schulung der Mitarbeiter bezüglich Passwortvergabe und sichere Nutzung der Systeme
- Monitoring der Dienste auf ordentliche Funktion und Verfügbarkeit
- Ausführliche Dokumentation der Architekturen und Härtungen
- Vertretungsregeln Administration
- Dokumentation eines Notfallplan für den Schadensfall
- Leitfaden IT-Sicherheit, BSI, 2012
- BSI: Securing a server
- BSI: Secure operation of e-mail servers (ISi-Mail-Server)
- 1 = Nach aktuellem Stand und Möglichkeit. Eine hundertprozentige Absicherung ist so gut wie nie möglich.
- Björn Hempel bjoern@hempel.li - Erste Arbeiten - https://github.com/bjoern-hempel
Dieses Tutorial steht unter der MIT-Lizenz - siehe die Datei LICENSE.md für weitere Informationen.