Hardending

danton

Debian User
Wenn man sein System entsprechend konfiguriert, wird man zeitnah von diesem darüber informiert, dass neue Updates anstehen und installiert werden sollen. Außerdem gibt es z.B. bei Debien eine Mailingliste, über die Sicherheitsupdates bekannt gegeben werde - hier kannst du oft auch nachlesen, wie die Schwachstelle aussieht und in wieweit zu betroffen bist (einige Lücken treten z.B. nur bei bestimmten Konfigurationen auf) und somit wie schnell man handeln muss.
Neben dem Haftungsapekt kommt übrigens noch dazu, dass man bei einem erfolgreichen Einbruch natürlich auch so noch jede Menge Trouble hat - wenn ein Spammer deinen Server mißbraucht hat, z.B. um wieder von den Blacklists zu kommen, die Sicherheitslücke und finden und zu schließen und sicherstellen, dass der Einbrechende nicht noch einen Hintertür geschaffen hat, usw.
Debian 8 (Squeeze) wird derzeit noch als LTS mit Updates versorgt (bis Ende Juni 2020), aber hier muss man aufpassen, da mit LTS einige Pakete aus dem Support fallen. Debian 9 (Stretch) wird noch bis 2022 mit Updates versorgt und dürfte danach auch ans LTS-Team gehen. Drittrepositories muss man auch immer etwas mit Vorsicht geniessen - hier gelten teilweise andere Support-Zyklen, so dass man auf einem supporteten System dann mit einem Mal doch ungepatchte Software hat.
 

jmar83

Member
Vielen Dank für deine ausführliche Antwort.

"einige Lücken treten z.B. nur bei bestimmten Konfigurationen auf"

Ja, man kann ja auch ein "Hardening" (richtiger Begriff) vornehmen, das wird ja auch bei nicht mehr gesupporteten Windows-Versionen von gewissen Firmen gemacht. (Wenn die sich einen spez. Vertrag mit M$ nicht leisten können, um weiter mit Updates versorgt zu werden) Die Problematischen Dienste/Komponenten werde dann

a.) Deaktiviert falls möglich

oder

b.) Anders konfiguriert, so dass die Lücke irgendwie geschlossen wird

Sicher ist eigentlich aber nur, dass es keine absolute Sicherheit gibt - je nachdem halt ein Bisschen mehr oder auch weniger. ;-)
 

danton

Debian User
Ja, man kann ja auch ein "Hardening" (richtiger Begriff) vornehmen, das wird ja auch bei nicht mehr gesupporteten Windows-Versionen von gewissen Firmen gemacht. (Wenn die sich einen spez. Vertrag mit M$ nicht leisten können, um weiter mit Updates versorgt zu werden)
Hardening hat nichts mit nicht supporteter Software zu tun, sondern ist vereinfacht ausgedrückt das Vorgehen, ein System gegen Angriffe von außen abzusichern - und geht es nicht (nur) um Sicherheitslücken, sondern eben um eine sichere Konfiguration. Eine solche Massnahme wäre beispielsweise, dass der SSH-Server nur bestimmte sichere Cipher verwendet, Mindesanforderungen an Passwörter usw.
Was die Absicherung von nicht mehr supporteten Windows-Versionen angeht, halte ich da Produkte, die versprechen, Windows 7 (oder gar XP) sicher weiterbetreiben zu können, für reine Geldmacherei - das ist Snakeoil. Vor Sicherheitslücken schützt nur eins: Das Beseitigen eben dieser durch eine patchte Version - die im Falle von Windows von Microsoft kommt. Bei OpenSoucre-Software könntest du das - entsprechende Kenntnisse vorausgesetzt - auch selber machen.
 

jmar83

Member
Vielen Dank für deinen Beitrag. Bei Linux sieht es dank OpenSource natürlich schon ganz anders aus.

Dann werde ich mich mal besser früher als später auf das Thema Plesk-Update vorbereiten. Dank der Virtualisierung kann ich ja vorher einen Snapshot anlegen. Und ein Unterbruch von ein paar Stunden ist bei meinen Sachen auch nicht allzu tragisch. ;-)
 
Top