Server sicher konfigurieren: Worauf es ankommt

Server sicher konfigurieren: Worauf es ankommt

Technisch komplexe Websites mit vielen Besuchern werden oft auf eigenen Servern betrieben. Sie bieten deutlich mehr Leistung als Webspace-Pakete (Shared Hosting). Außerdem hat der Administrator die volle Kontrolle über die Server-Konfiguration: Er kann Betriebssystem und Software nach individuellen Bedürfnissen selbst einrichten. Das verlangt jedoch Fachwissen und braucht Zeit.

Administratoren eines Root Servers müssen sich vor allem mit dem Betriebssystem sehr gut auskennen. Meistens wird eine Linux-Variante gewählt, seltener Windows. Die Erstinstallation des Betriebssystems übernimmt zumeist der Hosting-Provider, sie kann aber auch durch den Kunden erfolgen. Bei STRATO lässt sich das Betriebssystem jederzeit kostenlos wechseln.

Allerdings ist der Administrator auf sich selbst gestellt: Sogar kleinere Probleme, welche sich meist mit einem Neustart des Systems beheben lassen, verlangen ein gewisses Verständnis der Linux-Welt. Wenn Sie die Linux-Administration nicht sicher beherrschen, mieten Sie besser einen Managed Server, bei dem sich der Hosting-Anbieter um Administration und Wartung kümmert.

Administrative Unterstützung vom Provider

Ganz ohne Hilfe ist der Administrator eines Root Servers allerdings auch nicht. In Notfällen hilft etwa ein Desaster Recovery System: Lässt sich das Linux nicht korrekt starten, ermöglicht das Notfall-System den Zugriff auf die gespeicherten Daten, so dass sie sich retten lassen. Bei STRATO heißt diese Funktion RecoveryManager.

Neben dem Linux-System müssen Administratoren auch die Webserver-Administration (in der Regel Apache), die Datenbank-Pflege (meist MySQL) und die Software-Installation beherrschen. Idealerweise gibt es ein helfendes Administrations-Programm. Zu den Root Servern von STRATO gehört zum Beispiel Parallels Plesk 12, das die Domain-Verwaltung, das Datenbank-Management und das Setup beliebter Web-Apps wie WordPress erleichtert. Mit wenigen Klicks lassen sich wichtige Einstellungen über eine benutzerfreundliche Web-Oberfläche vornehmen.

Das Wichtigste für jeden Root Server: Sicherheit

Die wesentliche Aufgabe für den Administrator eines Root Servers ist es, dauerhaft für höchste Sicherheit des Systems zu sorgen. Das beginnt damit, sichere Zugangsdaten zur Server-Administration zu nutzen und diese keinen Dritten zugänglich zu machen, und endet nicht mit der regelmäßigen Aktualisierung von Betriebssystem und Software.

Zur Server-Sicherheit gehört auch eine Web Application Firewall wie die in Parallels Plesk 12 enthaltene ModSecurity-Firewall: Sie untersucht alle eingehenden Anfragen und die Antworten des Webservers und sperrt den Zugriff, sobald verdächtige Inhalte erkannt werden. Somit wird verhindert, dass böswillige Internet-Nutzer Ihre Websites und die Ihrer Kunden beschädigen. Eine nützliche Ergänzung zur Firewall ist das Intrusion Prevention System Fail2Ban, das eine Vielzahl an Netzwerk-Angriffen erkennen und abwehren kann.

Generell sollten Sie die Angriffsfläche für Hacker so klein wie möglich halten. Alles, was nicht aus dem Internet erreichbar ist, kann nicht attackiert werden. Deshalb empfiehlt es sich, nicht benötigte Server-Dienste gar nicht erst zu installieren und bereits installierte Dienste zu deinstallieren.

Das Plus an Sicherheit: Logfiles und Backups

Logfiles sind automatisch aufgezeichnete Protokolle aller Server-Aktivitäten und zeigen daher nicht nur Nutzer-Zugriffe, Server-Antworten und Fehler, sondern möglicherweise auch Hacker-Angriffe. Deshalb sollten Sie die Logfiles des Root Servers regelmäßig überprüfen.

Ebenso wichtig sind geregelte Backups des Root Servers, die viele Hosting-Provider mit speziellen Tools erleichtern. Die manuelle Datensicherung erfolgt in der Regel per FTP-Zugriff. STRATO bietet je nach Root Server bis zu ein Terabyte Speicherplatz für FTP-Backups. Im Falle eines Datenverlustes lassen sich alle Server-Inhalte auf einen zeitnahen Stand wiederherstellen.

Professionelles Hosting glänzt mit Service

Auch wenn Betreiber eines Root Servers größtenteils ohne Hilfe des Hosters agieren, brauchen sie hin und wieder Rat und Tat. Kompetenter Support per Telefon und E-Mail ist ein nicht zu unterschätzendes Auswahlkriterium für den optimalen Hosting-Partner. Bitte denken Sie daran, im Verwaltungsbereich des Root Servers eine externe E-Mail-Adresse zu hinterlegen, damit Sie auch bei Ausfall des Servers mit dem Support kommunizieren können.

Teilen

  1. fox sagte am

    nice article..
    in this time we need perfect security…
    thank you for sharing this type of information…

    Antworten
  2. MogNet sagte am

    Ich kann es zwar verstehen, dass Strato Managed Server verkaufen möchte. Aber das Installationsimage mit rudimentären Sicherheitslöchern (Root SSH zugriff) oder eben ohne fail2ban, rkhunter oder chrootkit auszuliefern ist schon arg Fahrlässig.

    Man warnt zwar vor Haftungsansprüchen, da es sich aber um angepasste Images von Strato handelt wäre bei einem tatsächlichen Vorfall die Streitfrage warum Strato die Images von der Original Distribution abwandelt, aber die Sicherheit aufgrund dem Kaufargument zu Managed Servern vernachlässigt.

    Letztendlich benötigt man ja keinen Führerschein oder Ausbildung bzw. anerkanntes Studium zum Betrieb eines Servers, und wird der Server ertmal gehackt, steht Anzeige gegen Unbekannt. Regress sehe ich da erstmal nicht, da ich es ja nicht verursacht habe soweit ich nicht grob Fahrlässig die Passwörter im internet irgendwo streue.

    Wie wäre es mal mit nem Installationsimage ausgerichtet an Unbedarfte, die zumindest auf Sicherheit getrimmt sind, um die anderen vor denen zu schützen 😉 Was die danach selbst machen, ist ja ihr Bier, aber Strato könnte sich darauf stützen alles probiert zu haben.

    Antworten
    • STRATO AG sagte am

      Hallo MogNet,

      danke für Deinen Kommentar.

      Wir liefern nur Server aus, die vom Start an sicher sind: Beim root SSH Zugriff wollen wir unseren Kunden einen praktischen und einfachen Zugang ermöglichen. Bezogen auf den Auslieferungszustand mag dieser Zugriff ein „beliebter“ Angriffspunkt sein, von einer Lücke können wir allerdings nicht sprechen. Unsere Kunden können sich den Zugang direkt nach eigenen Wünschen konfigurieren. Wie sie ihn absichern können, erklären wir in unseren FAQ: https://www.strato.de/faq/article/1967/Wie-kann-ich-den-SSH-Dienst-auf-meinem-Linux-Server-absichern.html

      Bei den vorinstallierten Paketen ist es so, dass die Nutzerbedürfnisse und die Wünsche an die Pakete oft auseinander gehen. Wir versuchen, da einen guten Mittelweg zu finden. Deinen Hinweis nehmen wir natürlich gerne zu Kenntnis.

      Grundlegend steht den Nutzern aufgrund der Root-Rechte natürlich frei, Pakete nach Wunsch und Bedarf zu installieren. Gleiches gilt für Images. Ein auf Sicherheit getrimmtes Image, wie Du es beschreibst, nehmen wir als Vorschlag gerne auf.

      Wir versuchen, mithilfe von Tipps und Features unseren Kunden beim Handling ihres Servers zu unterstützen. Dazu gehören zum einen der STRATO SecurityScan, der offene Ports und Sicherheitslücken in Software-Paketen aufspürt und darüber informiert. Zum anderen gehören dazu auch unsere FAQ zum Thema Server: https://www.strato.de/faq/path/803/Server.html Hier arbeiten wir aktuell an einem neuen Artikel zum Thema Serversicherheit, den wir bald veröffentlichen.

      Viele Grüße
      Philipp

      Antworten
  3. Sven sagte am

    Das ist doch mal auf dem Punkt @Zomg.
    Darauf sollten sich die Betreiber mal etwas einfallen lassen.

    Antworten
Weitere Kommentare laden

Sie können erst kommentieren, wenn Sie unseren Datenschutzbestimmungen und den Cookies zugestimmt haben. Aus Datenschutzrechtlichen Gründen dürfen wir andernfalls keine personenbezogenen Daten von Ihnen aufzeichnen.

Klicken Sie dazu einfach unten im Browser Fenster auf den blauen Button Akzeptieren. Nach dem Neuladen der Seite können Sie Ihr Kommentar schreiben.

 

Diese Webseite verwendet Cookies, um die Nutzung der Seite zu verbessern, den Erfolg von Werbemaßnahmen zu messen und interessengerechte Werbung anzuzeigen. Durch die Nutzung dieser Seite erklären Sie sich damit einverstanden. Informationen