Mehr denn je leben wir in einer Welt, in der Organisationen ständig von Sicherheitsverletzungen bombardiert werden, die durch den Erwerb äußerst sensibler und vertraulicher Daten motiviert sind, die äußerst wertvoll sind und eine enorme finanzielle Belohnung darstellen.
Es ist eher überraschend, dass die meisten Unternehmen trotz des hohen Risikos, Opfer eines möglicherweise verheerenden Cyberangriffs zu werden, nicht gut vorbereitet sind oder die Warnsignale einfach übersehen, oft mit verheerenden Folgen.
Im Jahr 2016 erlitt Equifax einen katastrophalen Datenverstoß, bei dem Millionen äußerst vertraulicher Kundenaufzeichnungen gestohlen wurden, nachdem eine Reihe von Sicherheitslücken aufgetreten waren. Ein ausführlicher Bericht deutete darauf hin, dass der Verstoß vermeidbar gewesen wäre, wenn das Sicherheitsteam von Equifax die richtigen Sicherheitsmaßnahmen implementiert hätte.
Tatsächlich wurde Equifax Monate vor dem Verstoß vor einer potenziellen Schwachstelle in ihrem Webportal gewarnt, die ihre Sicherheit gefährden würde, aber leider blieb die Warnung unbeachtet, mit schwerwiegenden Folgen. Viele andere große Unternehmen sind Opfer von Angriffen geworden, die mit jedem Moment zunehmend komplexer werden.
Wir können nicht genug betonen, wie wichtig die Sicherheit Ihres Linux-Systems ist. Sie sind vielleicht kein finanzstarkes Institut, das ein potentielles Ziel für Verstöße darstellt, aber das bedeutet nicht, dass Sie Ihre Wachsamkeit vernachlässigen sollten.
Die Sicherheit sollte bei der Einrichtung Ihres Linux-Servers besonders im Vordergrund stehen, wenn er mit dem Internet verbunden und von einem entfernten Standort aus zugänglich sein wird. Grundkenntnisse in Sicherheit sind unerlässlich, um Ihren Linux-Server zu schützen.
In dieser Anleitung konzentrieren wir uns auf einige grundlegende Sicherheitsmaßnahmen, die Sie ergreifen können, um Ihr System vor Eindringlingen zu schützen.
Cyber-Angriffsvektoren
Eindringlinge nutzen eine Vielzahl von Angriffstechniken, um auf Ihren Linux-Server zuzugreifen. Bevor wir uns einigen der Maßnahmen widmen, die Sie ergreifen können, um Ihr System zu schützen, lassen Sie uns einige der häufigen Angriffsvektoren untersuchen, die ein Hacker verwenden kann, um Systeme zu infiltrieren.
1. Brute-Force-Angriffe
A brute-force attack is an attack where the hacker uses trial and error to guess the login credentials of the user. Usually, the intruder will use automated scripts to continuously gain entry until the right combination of the username and password is obtained. This kind of attack is most effective where weak & easily guessable passwords are used.
2. Schwache Anmeldeinformationen
Wie bereits erwähnt, schwache Anmeldeinformationen wie kurze und leicht zu erratende Passwörter wie password1234 stellen ein potenzielles Risiko für Ihr System dar. Je kürzer und weniger komplex ein Passwort ist, desto höher sind die Chancen, dass Ihr System kompromittiert wird.
3. Phishing
Phishing ist eine sozial-ingenieurtechnische Methode, bei der der Angreifer dem Opfer eine E-Mail sendet, die von einer angesehenen Institution oder jemandem scheint, den Sie kennen oder mit dem Sie Geschäfte machen.
In der Regel enthält die E-Mail Anweisungen, die das Opfer dazu veranlassen, vertrauliche Informationen preiszugeben, oder enthält einen Link, der sie zu einer gefälschten Seite führt, die sich als Unternehmensseite ausgibt. Sobald das Opfer versucht, sich anzumelden, werden seine Anmeldeinformationen vom Angreifer erfasst.
4. Schadsoftware
Malware ist die Kurzform für bösartige Software. Es umfasst eine Vielzahl von verdächtigen Anwendungen wie Viren, Trojaner, Würmer und Ransomware, die darauf ausgelegt sind, schnell zu verbreiten und das System des Opfers in Geiselhaft zu nehmen, um ein Lösegeld zu erpressen.
Solche Angriffe können verheerend sein und das Geschäft eines Unternehmens lahmlegen. Einige Schadprogramme können in Dokumente wie Bilder, Videos, Word- oder PowerPoint-Dokumente eingebettet und in einer Phishing-E-Mail verpackt werden.
5. Denial of Service-Angriffe (DoS)
A DoS attack is an attack that limits or impacts the availability of a server or computer system. The hacker floods the server with traffic or ping packets that render the server inaccessible to users for prolonged durations.
A DDoS (Distributed Denial of Service) attack is a kind of DoS that employs multiple systems that flood a target with traffic rendered it unavailable.
6. SQL-Einspritzangriff
Als Abkürzung für Structured Query Language, SQL ist eine Sprache, die zum Kommunizieren mit Datenbanken verwendet wird. Sie ermöglicht es Benutzern, in der Datenbank Datensätze zu erstellen, zu löschen und zu aktualisieren.
Ein SQL-Einspritzangriff nutzt eine bekannte SQL-Schwachstelle, die den Server dazu bringt, vertrauliche Datenbankinformationen preiszugeben, die er normalerweise nicht preisgibt, indem bösartiges SQL-Code eingespeist wird. Dies stellt ein enormes Risiko dar, wenn die Datenbank personenbezogene Informationen wie Kreditkartennummern, Sozialversicherungsnummern und Passwörter speichert.
7. Man-in-the-Middle-Angriff
Häufig als MITM abgekürzt, beinhaltet der Man-in-the-Middle-Angriff einen Angreifer, der Informationen zwischen zwei Punkten abfängt, um Lauschangriff oder Änderung des Datenverkehrs zwischen den beiden Parteien zu erreichen. Ziel ist es, das Opfer auszuspionieren, die Daten zu korrumpieren oder vertrauliche Informationen zu stehlen.
Grundlegende Tipps zur Absicherung Ihres Linux-Servers
Nachdem wir die potenziellen Einbruchstore betrachtet haben, die ein Angreifer nutzen kann, um Ihr System zu infiltrieren, gehen wir über einige grundlegende Maßnahmen ein, die Sie ergreifen können, um Ihr System zu schützen.
1. Physische Sicherheit
Es wird nicht viel Gedanken darauf verwendet, wo und wie Ihr Server physisch gesichert ist, jedoch, wenn Sie Ihren Server in einer On-Premise-Umgebung haben, ist dies normalerweise der Punkt, an dem Sie beginnen würden.
Es ist wichtig sicherzustellen, dass Ihr Server sicher in einem Rechenzentrum mit Notstromversorgung, redundantem Internet-Anschluss und ausreichender Kühlung gesichert ist. Zugang zum Rechenzentrum sollte nur autorisierten Personen gestattet werden.
2. Aktualisieren Sie Ihre System-Repositories und Pakete
Sobald der Server eingerichtet ist, ist der erste Schritt, die Repositorys und Anwendungspakete wie folgt zu aktualisieren. Das Aktualisieren des Pakets schließt alle eventuellen Lücken, die in den vorhandenen Versionen der Anwendungen vorhanden sein könnten.
Für Ubuntu / Debian Distributionen:
$ sudo apt update -y $ sudo apt upgrade -y
Für RHEL / CentOS Distributionen:
$ sudo yum upgrade -y
3. Einrichten einer Firewall
A firewall is an application that filters incoming and outgoing traffic. You need to install a robust firewall such as the UFW firewall and enable it to only allow the required services and their corresponding ports.
Zum Beispiel können Sie es auf Ubuntu mit dem folgenden Befehl installieren:
$ sudo apt install ufw
Sobald es installiert ist, aktivieren Sie es wie folgt:
$ sudo ufw enable
Um einen Dienst wie HTTPS zuzulassen, führen Sie den folgenden Befehl aus;
$ sudo ufw allow https
Alternativ können Sie den entsprechenden Port zulassen, der 443 ist.
$ sudo ufw allow 443/tcp
Dann laden Sie neu, damit die Änderungen wirksam werden.
$ sudo ufw reload
Um den Status Ihres Firewalls, einschließlich zugelassener Dienste und geöffneter Ports, zu überprüfen, führen Sie
$ sudo ufw status
4. Schalten Sie unnötige Dienste/Ports ab
Zusätzlich sollten Sie in Betracht ziehen, alle ungenutzten oder unnötigen Dienste und Ports am Firewall zu deaktivieren. Das Vorhandensein mehrerer nicht genutzter Ports erhöht nur den Angriffsspielraum.
5. SSH-Protokoll sichern
Die Standardeinstellungen für SSH sind nicht sicher, und daher sind einige Anpassungen erforderlich. Stellen Sie sicher, dass die folgenden Einstellungen angewendet werden:
- Deaktivieren Sie den Root-Benutzer für den Remote-Login.
- Aktivieren Sie die passwortlose SSH-Authentifizierung mithilfe von SSH-öffentlichen/privaten Schlüsseln.
Für den ersten Punkt bearbeiten Sie die Datei /etc/ssh/sshd_config und ändern Sie die folgenden Parameter so, wie sie angezeigt werden.
PermitRootLogin no
Sobald Sie den Root-Benutzer für den Remote-Login deaktiviert haben, erstellen Sie einen regulären Benutzer und weisen Sie ihm sudo-Rechte zu. Zum Beispiel.
$ sudo adduser user $ sudo usermod -aG sudo user
Um die Passwortlosen Authentifizierung zu aktivieren, gehen Sie zuerst zu einem anderen Linux-PC – am besten zu Ihrem eigenen PC – und erstellen Sie ein SSH-Schlüsselpaar.
$ ssh-keygen
Kopieren Sie dann den öffentlichen Schlüssel auf Ihren Server
$ ssh-copy-id user@server-IP
Sobald Sie angemeldet sind, deaktivieren Sie die Passwortauthentifizierung, indem Sie die Datei /etc/ssh/sshd_config bearbeiten und das angezeigte Parameter ändern.
PasswordAuthentication no
Achten Sie darauf, Ihren SSH-privaten Schlüssel nicht zu verlieren, da dies die einzige Möglichkeit ist, mit der Sie sich anmelden können. Bewahren Sie ihn sicher auf und kopieren Sie ihn am besten in die Cloud.
Zum Schluss starten Sie SSH neu, um die Änderungen wirksam werden zu lassen
$ sudo systemctl restart sshd
Zusammenfassung
In einer Welt mit sich entwickelnden Cyber-Bedrohungen sollte die Sicherheit eine hohe Priorität haben, wenn Sie Ihren Linux-Server einrichten. In diesem Leitfaden haben wir einige der grundlegenden Sicherheitsmaßnahmen hervorgehoben, die Sie ergreifen können, um Ihren Server zu verstärken. Im nächsten Thema werden wir tiefer eintauchen und zusätzliche Schritte betrachten, die Sie ergreifen können, um Ihren Server zu härten.