Sicherheit

[Lakritz]

Hallo Forum,

ich bin sowohl neu hier als auch im Thema und mir drängt sich eine Frage auf:

Überall lese ich, dass bei Einrichtung eines (v)Servers unbedingt Dinge erfolgen sollten, wie ftp abschalten, ssh-Port ändern, usw.

All das machen aber z.b. die großen Anbieter bei ihren managed Servern oder auch bei den Webhostingangeboten ja gerade nicht!

Wie gewähren sie trotzdem optimale Sicherheit? Oder anders gefragt: Sind diese Server unsicher?

Gruß, L.

 

[nexus]

ich bin sowohl neu hier als auch im Thema

Dann erstmal herzlich willkommen

Zu dem Thema ansich gibt es hier im Forum zig Threads mit hunderten Beiträgen. Also bitte auch die Forensuche bemühen.

Aber ein paar grundsätzliche Anmerkungen zu deiner Frage:

Überall lese ich, dass bei Einrichtung eines (v)Servers unbedingt Dinge erfolgen sollten, wie ftp abschalten, ssh-Port ändern, usw.

Das ist das Problem bei fast allen HowTo's, die für Anfänger gedacht sind. Da werden Empfehlungen gegeben, die teilweise absolut unsinnig sind und im schlimmsten Fall sogar noch weitere Sicherheitslücken öffnen.
Richtig konfiguriert ist ein System auch mit 'Standardeinstellungen' sicher.
Ein Beispiel: Das Verlegen des SSH-Ports bringt keinerlei Sicherheitsgewinn. Einzig positiver Effekt dabei ist, daß die Logfiles etwas kleiner sind, weil eben viele Angriffsversuche auf SSH über den Standardport erfolgen.
Viel wichtiger ist hier z.B., daß man die Authentifizierungsmethode richtig wählt, also Login mit Paßwort deaktivieren und nur Key-basierte Logins zulassen.

All das machen aber z.b. die großen Anbieter bei ihren managed Servern oder auch bei den Webhostingangeboten ja gerade nicht!

Wie gewähren sie trotzdem optimale Sicherheit? Oder anders gefragt: Sind diese Server unsicher?

Siehe die vorherigen Ausführungen. Die haben ihre Infrastruktur vernünftig abgesichert.
Und wenn die Server unsicher wären, könnten solche Anbieter sich nicht lange am Markt halten

Aber es gibt zwei Dinge, die viel wichtiger sind als diese teilweise ominösen Empfehlungen, die du gelesen hast:
1. Man muß als Serveradmin auch wissen, was man tut. Es reicht eben nicht, irgendwelche HowTo's abzutippen und sich dann zu freuen, wenn die Kiste läuft.
Solides Basiswissen über das System und die darin ablaufenden Vorgänge sind ebenso wichtig wie die permanente Pflege des Systems. Dazu zählen z.B. regelmäßige Updates des Systems und der Anwendungssoftware (FTP-, DB, Webserver, etc.) genauso wie eine kontinuierliche Überwachung des Systems (Monitoring, Logfileanalyse), um Angriffsversuche zu erkennen, dadurch mögliche Schwachstellen zu identifizieren und Sicherheitslücken zu schließen.
2. Der weitaus größte Teil aller Angriffe findet nicht auf Systemebene (SSH, FTP, usw.) sondern über Anwendungsprogramme (Foren, CMS, Webshops) statt. Hier gilt es genauso, die Software immer aktuell zu halten und auch immer einen Blick auf stattgefundene Angriffsversuche zu haben, um mögliche Sicherheitslücken schnell schließen zu können.

 

[Lakritz]

Dann erstmal herzlich willkommen

Danke. Und ein willkommen retoure.

Dann erstmal herzlich willkommen

Viel wichtiger ist hier z.B., daß man die Authentifizierungsmethode richtig wählt, also Login mit Paßwort deaktivieren und nur Key-basierte Logins zulassen.

Prizipiell: Einverstanden.
Aber: Auch das machen "die Großen" ja meist nicht.

Insofern steht auch dieser Tip in einer Reihe mit den vielen anderen Tips, bei denen ich mich frage, ob ein System "der Großen" unsicherer ist, weil sie sich z.b. auch an diesen Tip nicht halten.

Oder sind diese Tips alle nach der Lesart zu verstehen, dass man ohnehin keine vernünftige Sicherheitsstruktur erreicht und das durch genau dererlei Kniffe "kaschieren" sollte.

Gruß, L.

 

[nexus]

Aber: Auch das machen "die Großen" ja meist nicht.

Insofern steht auch dieser Tip in einer Reihe mit den vielen anderen Tips, bei denen ich mich frage, ob ein System "der Großen" unsicherer ist, weil sie sich z.b. auch an diesen Tip nicht halten.

Das Beispiel mit dem Key-based Auth war auch eher im Kontext zu den sinnfreien Ratschlägen aus den HowTo's zu verstehen und richtet sich eher an (Hobby-)Admins, die nur einen oder wenige Server unter ihrer Verwaltung haben.

Die Großen wie du sie nennst, arbeiten da teilweise mit ganz anderen Methoden, so werden z.B. die einzelnen User in Chroot-/Jail-Umgebungen voneinander isoliert u.v.m.
Aber dazu kann dir sicher der eine oder andere hier im SSF aktive Anbieter Genaueres sagen.

 

[danton]

Absicherung ist auch immer ein wenig eine Abwägung zwischen Restriktionen und Komfort o.ä.
Beispiel: Eine rein key-basierte Authentifizierung des SSH-Zugangs erhöht zwar die Sicherheit, sorgt aber auch für ein höheres Supportaufkommen, denn die Einrichtung auf der Clientseite ist ja nicht ganz so einfach wie bei einer Anmeldung mit Username und Passwort. Es gibt ja genug Kunden, die keine Computerprofis sind.
Und so gibt es auch andere Gründe, die für oder gegen bestimmte Sicherheitsmasnahmen sprechen. Ein Hoster kann seine Infrastruktur ja auch ganz anders absichern, z.B. durch vorgeschaltete IDS-Systeme oder ein umfangreiches Monitoring - Dinge, die in diesem Maße dem Mieter eines einzelnen Root-Servers nicht zur Verfügung stehen.
Für jedes Szenario gelten andere Anforderungen an die Sicherheit, auch abhängig davon, was für Möglichkeiten zur Verfügung stehen.

 

[Joe User]

Bei "den Grossen" fängt man meist mit diesen Features an die Systeme sicherer zu machen (bitte auch die im jeweiligen Text und den See Also enthaltenen Links beachten):
https://en.wikipedia.org/wiki/File_system_permissions
https://en.wikipedia.org/wiki/Access_control_list
https://en.wikipedia.org/wiki/Discretionary_access_control
https://en.wikipedia.org/wiki/Mandatory_access_control
https://en.wikipedia.org/wiki/Role-based_access_control

Dann kommen diverse OS-bedingte Default-Securityfeatures hinzu, ebenso wie einige optionale OS-bedingte Securityfeatures. Darüberhinaus werden auch gerne eigene Kernelpatches gepflegt, um etwa unbenötigte/gefährliche Syscalls zu entfernen oder andere Dinge zu manipuieren.

Bei Bedarf baut man zusätzlich auch noch eine Jail/Chroot-Struktur auf, dies ist aber oft nicht mehr nötig, sofern man die vorigen Dinge gut umgesetzt hat.

Erst jetzt widmet man sich den einzelnen Diensten und Konfiguriert diese ausführlich. Auch hier werden bei Bedarf eigene Patches gepflegt, um unnötige/gefährliche Features zu entsorgen oder bestimmte Securityfeatures nachzurüsten.

Zum Schluss wirft man dann noch mit IDS, Monitoring, Backup und anderen Hilfsmittelchen um sich und fertig ist ein relativ sicheres Hosting-System.

Dabei müsste man aus Sicherheitsgründen noch nichtmal die Dienste auf unterschiedliche Systeme aufteilen, wird dies jedoch aus Performance- und Managementgründen trotzdem tun.



Das war nur ein ganz grober Überblick, Details fallen fast immer unter Geschäftsgeheimnis, weshalb man diese kaum erfahren wird.

Am Ende kochen aber Alle nur mit Wasser

 

[Lakritz]

Danke für Eure Antworten.

Bleibt unterm Strich dennoch der Eindruck bei mir übrig (man möge mich korrigieren, wenn ich absolut falsch liegen sollte), dass "die Großen" ganz andere Möglichkeiten haben und trotzdem sicherer sind als "wir Kleinen", die sich mit Tricks dann eben versuchen, möglichst an sicheres Niveau heranzutasten.

Gruß, L.

 

[nexus]

dass "die Großen" ganz andere Möglichkeiten haben und trotzdem sicherer sind als "wir Kleinen", die sich mit Tricks dann eben versuchen, möglichst an sicheres Niveau heranzutasten.

Nein.
Das Sicherheitslevel ist bei einem (richtig konfigurierten) privaten Server genauso gut wie bei einem Hoster. Es wird nur auf unterschiedlichen Wegen erreicht und diese sind bedingt durch die Konzeption.
Ein kleiner Hobbyadmin hat keine tausende Kunden zu verwalten und ist eben nur für einen oder mehrere einzelne Server verantwortlich, während ein Hoster eine Vielzahl an Kunden hat und seine Infrastruktur aus mehr oder weniger großen Serverclustern zusammengesetzt ist.
Andere Rahmenbedingungen erfordern eben auch andere Umsetzungsstrategien...das aber bei (ziemlich) gleichem Ergebnis.

 

[Joe User]

Entscheident ist, wogegen man sein System absichern muss/will.
1.) Gegen Bedrohungen von aussen auf die laufenden Dienste müsssen sich sowohl der Hobby-Admin als auch "die Grossen" wappnen und hier werden Alle mehr oder weniger die selben Abwehrmassnahmen treffen.
2.) "Die Grossen" müssen sich darüberhinaus aber auch gegen Bedrohungen von innen wappnen, etwa Kunden die absichtlich Schaden anrichten wollen, oder gehackte Kundenaccounts von denen aus dann Schaden angerichtet wird, oder auch eigene Mitarbeiter die (un)absichtlich Mist bauen, oder Hacker die sich im Netzwerk breit machen, oder schlicht einfache Fehlkonfigurationen oder Hardwareausfälle die plötzlich hunderte/tausende Kunden betreffen.

Um 2. muss sich der Hobby-Admin hingegen deutlich weniger Sorgen machen.
Daher reicht für 1. oft ein vernünftig konfiguriertes minimalistisches System mit ein paar kleinen Securityfeatures, welches regelmässig gewartet wird, aus.
Hinreicendes Grundlagenwissen und Erfahrung brauchen aber alle Admins zwingend.

 

[danton]

Bleibt unterm Strich dennoch der Eindruck bei mir übrig (man möge mich korrigieren, wenn ich absolut falsch liegen sollte), dass "die Großen" ganz andere Möglichkeiten haben und trotzdem sicherer sind als "wir Kleinen", die sich mit Tricks dann eben versuchen, möglichst an sicheres Niveau heranzutasten.

Ich würde das nicht Tricks nennen. Bekanntlich führen alle Wege nach Rom und das Sprichwort kann man auch ein wenig auf die Sicherheit übertragen. Es gibt unterschiedliche Mittel, um ein System abzusichern und man setzt das ein, was man zur Verfügung hat. Auch hat jeder ein anderes Verständnis von Sicherheitskomzept. Wenn du dir mal hier im Forum einige ältere Beiträge ansiehst, sehen einige z.B. Fail2Ban als zusätzliches Sicherheitsfeature, während andere es verteufeln (es bringt ja auch einige Nachteile mit). Ich will hier aber die alte Diskussion dazu nicht wieder aufflämmen lassen - falls du da mehr wissen willst, solltest du mal ein wenig die Forensuche nutzen.
Vieles ist beim Hobby-Admin auch nur eine Kostenfrage. Wenn ich entsprechend Geld ausgebe, finde ich auch Anbieter, die eine exteren Hardware-Firewall oder ein vorgeschaltetes IDS-System zur Verfügung stellen - da kommt dann die Kosten-Nutzen-Rechnung ins Spiel.