vServer absichern – Tipps & Tricks
In diesem Artikel zeigen wir Dir, auf welche Dinge es bei der Absicherung Deines vServers ankommt. Und wieso das überhaupt wichtig ist.
Dein virtueller Server kann von fremden Menschen & Bots übernommen werden, wenn der Server nicht gut genug abgesichert ist. Es genügen schon kleine Schritte, um es diesen Bots schwerer zu machen. Das ist wichtig. Ist der Server erst einmal infiziert, hilft meistens nur eine Neuinstallation. Ärger, den man vermeiden kann.
Wie sieht so ein Hack aus?
Betroffene vServer weisen immer gleiche Muster in den Authentifizierungs-Logs vor: Mehrere tausende Male wurde versucht, das Passwort vom Nutzer „root“ per SSH (bspw. Putty) zu knacken. Das Verhalten kann in der Datei ‚/var/log/auth.log‚ beobachtet werden. Gibt es viele „authentication failure“-Einträge, hat es dich zwar noch nicht erwischt, das ist ohne Absicherung jedoch nur eine Frage der Zeit. Beim Hack wird meist ein anderes Passwort benutzt, wahrscheinlich immer eines aus einer Liste mit dem Titel „100 000 meist verwendeten Passwörter“. Wie man sich davor schützen kann, liegt also auf der Hand. Nutze keines dieser Passwörter. Ist dein Passwort in den Top 10 deutscher Passwörter 2018? Dann ist das nur eine Frage von Minuten, bis der Server „fällig“ ist.
Server absichern
Sicheres Passwort verwenden
Benutzen Sie ein sehr sicheres Passwort oder noch besser: setzen Sie auf Key-Authentifizierung, denn mit Root-Rechten kann ein Angreifer `alles´ auf Ihrem vServer machen. Tutorials dazu, wie man Key-Authentifizierung nutzt, gibt es im Netz zu genüge.
Ein Passwort sollte, damit es möglichst sicher ist, folgende Kriterien erfüllen. Das gilt nicht nur für vServer, sondern für alle Dienste im Netz.
- Keine Wörter aus dem Duden, Geburtstage, etc…
- Kombination aus Buchstaben, Nummern und Sonderzeichen, Leerzeichen, etc.
- Verschiedene Groß-/Kleinschreibung
- Mindestens 8 – 10 Zeichen besitzen
- Möglichst einmalig sein
- Das ist aber nur die halbe Miete, denn das hilft noch nicht ganz gegen die Eindringlinge. Mit ein wenig Glück für den Angreifer, kann auch dieses Passwort herausgefunden werden. Ein Treffer und der Server ist kompromittiert.
Regelmäßige Updates
Sorge für regelmäßige Updates auf deinem Server. Je aktueller die Programme, desto weniger Sicherheitslücken können ausgenutzt werden. Mindestens 1x die Woche sollte dein System auf den neuesten Stand gebracht werden.
Fail2Ban installieren & konfigurieren
Eine automatisierte Firewall, wie beispielsweise Fail2Ban, kann bei der Eindämmung von Hack-Versuchen helfen. Fail2Ban kann so konfiguriert werden, dass es jegliche IP-Adressen für einen bestimmten Zeitraum sperrt, die mehr als X failed Logins haben. Das gilt nicht nur für den SSH-Server, sondern auch für bspw. Mail-Server. Es kann sogar so konfiguriert werden, dass IP-Adressen, die X mal eine 404-Seite finden, gesperrt werden. Das Tool sollte auf jeden Fall installiert werden & reicht in der Standard-Konfiguration für die meisten Fälle bereits aus.
Passwort-Authentifizierung für root-User abschalten
Der Root-Zugriff via SSH sollte komplett abgeschaltet werden. Ein non-root-Nutzer sollte angelegt werden, der sich dann ausschließlich mit Key-Authentifizierung anmelden kann. Wie ein solcher Key erstellt wird, haben wir im Private-Key-Tutorial geschrieben.
SSH Port ändern
Das Ändern des Port für Ihren SSH-Servers kann dabei helfen, Attacken zu verringern. Da 22 der weltweit meist angegriffene Port ist, macht eine Änderung des Ports sinn. Nutzen Sie einen freien Port über 1024.
Damit wird die Gefahr des Hacks zwar nicht komplett verhindert, allerdings erschwert. Die meisten Bot-Systeme prüfen lediglich den Port 22 auf Vorhandensein eines SSH-Servers. Wenn dieser dort nichts findet, wird der Server meistens „in Ruhe“ gelassen.
Weitere Maßnahmen
Es gibt noch viel mehr Maßnahmen, um den Server abzusichern. Darunter fällt beispielsweise Port-Knocking oder das Starten von Programmen unter einem non-Root User.
Dein Server, Deine Verantwortung!
With great power comes great responsibility.
Wenn du einen Server im Internet betreibst, dann hast du die alleinige Kontrolle darüber. Und das soll auch so bleiben. Damit einher geht auch eine große Verantwortung. Stelle dir vor, du kaufst ein Haus. Dann machst du dir ja auch Gedanken darüber, wie du deine wertvollen Gegenstände absicherst. So verhält es sich auch mit einem Server.
Noch Fragen?
Für sicherheitsrelevante Fragen, Probleme oder andere Anliegen steht der Support von Prepaid-Hoster.de jederzeit zur Verfügung.