Sicherheitstechnisch muss ein virtueller Server genauso betreut werden wie ein dedizierter. Wer bisher nur mit Shared Hosting vertraut ist, der sollte sich im Klaren darüber sein, dass sein virtueller Server das Ziel ständiger Angriffe ist. Darunter fallen auch Angriffe, die erst kürzlich entdeckte Sicherheitslücken ausnutzen. Ein regelmäßiges Patchen, am besten mehrmals wöchentlich, bleibt nicht aus. In Logfiles, meist /var/log/messages, zeigt sich, dass fortwährend Angriffe gegen DNS und SSH gefahren werden. Man sollte sich daher nach der Installation mit den Update-Mechanismen der jeweiligen Linux-Distribution vertraut machen. Bild 5 zeigt das Yast-Online-Update (YOU) der Suse-Distributionen.
Grundsätzlich sollte man alle Ports für das Internet sperren, auf denen keine Dienste für die Öffentlichkeit angeboten werden. Wenn man reines Webhosting betreibt, sind das alle Ports außer 80 für HTTP und 443 für HTTPS. Eine Ausnahme sollte Port 22 für den SSH-Zugang bilden. Nach Möglichkeit gewährt man Shell-Access nur dem Benutzer root und wählt ein sicheres Passwort. Sollten weitere Nutzer Shell-Zugang ohne Root-Rechte benötigen, sollte man den Zugang auf ein Minimum an Usern beschränken.
Für weitere Administrationsaufgaben empfiehlt es sich, ein VPN einzurichten. Neben dem Klassiker OpenVPN ist vor allem Hamachi eine gute Lösung. Letzteres gibt es für Linux, Windows und Mac OS. Es ist sehr einfach einzurichten. Alle Hamachi-Netzwerkteilnehmer bekommen eine Adresse aus dem Bereich 5.0.0.0/8. So kann man Administrationsdienste auf dem virtuellen Server nur an das Hamachi-Interface binden oder über Firewall-Regeln nur Traffic aus dem Adressbereich 5.x.x.x zulassen.
Diese Vorgehensweise kann man beispielsweise beim Voice-Conferencing-System Teamspeak nutzen. So lassen sich die Ports für das Web-Admin-Interface und Telnet nur auf bestimmte Rechner einschränken. Durch die Verschlüsselung in OpenVPN und Hamachi werden die ansonsten unverschlüsselten Protokolle mit AES abgesichert.
Eine andere Methode zur Absicherung ist stunnel. Das funktioniert gut bei Web-Admin-Interfaces. Auch andere Dienste wie Telnet lassen sich auf diese Weise absichern. Zu beachten ist jedoch, dass man in diesem Fall einen Client benötigt, der auch das telnets-Protokoll beherrscht. Weiterer Nachteil ist, dass nicht von vornherein eine Einschränkung der Rechner vorgenommen wird, von denen überhaupt Admin-Aufgaben durchgeführt werden dürfen.
Neueste Kommentare
2 Kommentare zu Echte Server statt Webspace: Anwendungen sicher betreiben
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
leider nur and er Oberfläche gekratzt
Um sich einen Überblick zu verschaffen ist der Artikel ganz nett, aber mir fehlt der Tiefgang bei den wichtigen sicherheitskritischen Aspekten.
Warum kann man hier nicht ein paar beschreibende Worte darüber verlieren, wie z.B. ein VPN installiert wird. Oder wie man den sftp Zugang nutzt. Nein, man muss diesen Artikel wieder benutzen und googlen um sich weitere tiefere Infos zu beschaffen – irgendwie lästig. Klar findet man alles, aber Ihr hättet die Möglichkeit diese Infos für alle auf einen Blick/Klick verfügbar zu machen…
AW: leider nur and er Oberfläche gekratzt
Habe mir einen vserver bei servcity.org geholt läuft super!