Wie Sie Ihren Root Server sicher machen können und was es dabei zu beachten gibt, erklären wir hier. Richtet man sich einen Rootserver ein, öffnet man damit leider gleichzeitig auf Tür und Tor für Hacker. Durch die permanente Erreichbarkeit aus dem Internet, macht sich ein Rootserver natürlich angreifbar. Mit diesen Tipps können Sie Ihren Root Server absichern.
Im Rootserver Bereich wird hauptsächlich auf Linux Distributionen und Windows Server gesetzt. Generell haben natürlich alle Betriebssysteme Schwachpunkte, die einen mehr die anderen weniger. Server Sicherheit ist jedoch gerade für Anfänger bei Linux ein größeres Problem. Viele Nutzer verwenden hier oft zum ersten Mal Linux und bemerken möglicherweise die Fremdzugriffe nicht einmal. Windows Server ist natürlich ebenso alles andere als sicher, hier ist jedoch vorab die Firewall schon einmal so eingestellt, dass der Server nicht auf Pings reagiert, auch so gut wie alle andere öffentlichen Ports werden automatisch gesperrt. Sicherheitsupdates und Patch installiert Windows Server ebenfalls automatisch, sofern Sie diese Funktion nicht abgeschaltet haben.
Für Linux Distributionen müssen Sie diese Schritte leider manuell durchführen, aber mit diesen Tipps können Sie in wenigen Schritten Ihren Root Server sicher machen.
SSH Zugang absichern
Über SSH verbinden Sie sich auf die Konsole Ihres Linux Rootservers. Hier melden Sie sich in der Standardeinstellung mit einem Benutzernamen und einem Passwort an. Diese Daten erhalten Sie von Ihrem Anbieter. Durch Bruteforce Attacken ist es jedoch möglich, diesen Zugang zu knacken. Da die Angreifer einfach beliebig oft einfach nur diverse Passwörter in Verbindung mit dem „root“ Login ausprobieren müssen. Mit diesen Maßnahmen können Sie Ihren Root Server sicher machen:
- Standard SSH Port Ändern
SSH nutzt standardmäßig Port 22, da durch entsteht eine Sicherheitslücke. Ändern Sie den Port möglichst auf einen 4 oder 5-Stellige Zahl.
- Den „root“ Login sperren
Legen Sie einen neuen Benutzer an, dessen Benutzernamen und Passwort nur Sie kennen. Damit werden erfolgreiche Bruteforce Angriffe extrem unwahrscheinlich
- Benutzer / Passwort Eingabe durch SSH-Key ersetzen
Alternativ können Sie den Login via Benutzername und Passwort ganz verbieten. Dann können Sie sich nur noch mit Ihrem eigenem SSH Key einloggen. Diesen generieren Sie zuvor und kopieren Ihn dann auf den Server. Beachten Sie jedoch bitte folgendes, verlieren Sie Ihre eigenen Privaten SSH Key, können auch Sie sich nicht mehr auf den Server einloggen. Dies sollten Sie also nur in Betracht ziehen, wenn Sie eine alternative Zugriffsmöglichkeit haben, z.B. via KVM, VNC oder anderen Remote Zugängen.
Installation von Updates und upgrades
Ihre Linux Server Distribution updatet sich im Gegensatz zu Windows nicht automatisch. Sie müssen sich also regelmäßig auf Ihr System einloggen und die Updates von Hand anstoßen. Nur so können Sie sicher sein, dass keine Kritischen Sicherheitslücken im System oder den Diensten vorliegen.
Wenn Sie sich damit nicht beschäftigen möchten, können Sie bei vielen Anbietern einen Managed Server mieten. Hier werden Updates und Patches direkt von professionellen IT-Fachkräften automatisch auf Ihrem Server installiert. Der Anbieter kümmert sich sowohl um die Pflege der Hardware also auch um die installierte Software.
Wiederholte Login Versuche Sperren
Möchten Sie die SSH Logins nicht ändern, können Sie dennoch wiederholte Fehlgeschlagene Login Versuche überwachen und entsprechend sperren. Installieren Sie dazu Fail2ban, dieser Dienst überwacht die SSH Login Versuche und sperrt entsprechend die IPs der Angreifer aus. Sie müssen nur das Maximum an Login Versuchen festlegen und die Dauer des Bans. Fail2ban prüft dann die Logs und sperrt entsprechende IPs via Iptables aus. Aber auch hier ist Vorsicht geboten, es können zwar IPs auf eine Whitelist gesetzt werden, aber wenn Sie diese nicht haben und sich selbst mehrfach Fehlerhaft einloggen möchten, werden Sie ebenfalls ausgesperrt.
Windows Server 2008/2012/2016 absichern
Achten Sie bei Ihrem Windows Rootservern immer darauf, dass die Firewall eingeschaltet ist und alle überflüssigen Ports blockt. Unterdrücken Sie auf keinen Fall wichtige Sicherheitsupdates, diese patchen oft kritische Sicherheitslücken. Auch hier ist es Sinnvoll den Port für den RDP Login des Servers zu ändern. Ändern Sie nach Möglichkeit auch den Administrator Login, bzw. erstellen Sie ein zweites Administrator Konto mit anderem Benutzernamen und deaktivieren Sie das normale Administrator Konto.