Bei Prepaid-Hoster steht die Sicherheit deines Servers an oberster Stelle. Deshalb haben wir den Sicherheits-Manager entwickelt – ein mächtiges Tool, das deinen Linux-Server auf bekannte Schwachstellen prüft und dir Ratschläge gibt, wie du diese Lücken schließen kannst. In diesem FAQ-Eintrag erfährst du, welche Sicherheitsüberprüfungen der Security Manager durchführt und wie du deinen Server effektiv absicherst.
Mögliche Schwachstellen
Vionity prüft deinen Linux Server auf mögliche Schwachstellen. Wir konzentrieren uns dabei auf beliebte Lücken, die auch von unerfahrenen Nutzern gefüllt werden können.
| Name | Problem | Beschreibung |
|---|---|---|
| SSH Default Port | Standard-SSH-Port verwendet | Der Standard-SSH-Port (22) ist weit verbreitet und daher ein beliebtes Ziel für Angriffe. Das Ändern des Ports kann die Sicherheit erhöhen. |
| FAIL2Ban nicht installiert | Schutz vor Brute-Force-Angriffen fehlt | FAIL2Ban ist ein Sicherheitsprogramm, das IP-Adressen nach mehreren fehlgeschlagenen Anmeldeversuchen blockiert. Ohne FAIL2Ban ist der Server anfälliger für Brute-Force-Angriffe. |
| Keine Root SSH Keys | Authentifizierung per Passwort | SSH-Schlüssel sind sicherer als Passwörter. Ohne SSH-Schlüssel ist der Server anfälliger für Passwort-Diebstahl und Brute-Force-Angriffe. |
| SSH Root Passwort Auth aktiv | Root-Login per Passwort erlaubt | Der direkte Root-Login per Passwort ist unsicher. Es ist besser, Root-Logins zu deaktivieren oder nur über SSH-Schlüssel zu erlauben. |
| Failed Login attempts (high) | Viele fehlgeschlagene Anmeldeversuche | Viele fehlgeschlagene Anmeldeversuche können auf Brute-Force-Angriffe hinweisen. Dies erfordert sofortige Aufmerksamkeit und entsprechende Maßnahmen. |
| Java Root Process | Java als Root-Prozess | Java-Prozesse, die als Root ausgeführt werden, können ein Sicherheitsrisiko darstellen, da jede Sicherheitslücke in Java vollständigen Zugriff auf das System ermöglichen kann. |
| TeamSpeak Root Process | TeamSpeak als Root-Prozess | TeamSpeak-Prozesse sollten nicht als Root ausgeführt werden, da Sicherheitslücken in der Software dann das gesamte System gefährden können. |
Detaillierte Beschreibung der Sicherheitsprobleme
SSH Default Port
Der SSH-Standardport 22 ist oft das Ziel automatisierter Angriffe. Durch die Änderung dieses Ports auf eine andere, weniger bekannte Nummer kannst du die Angriffsfläche deines Servers reduzieren. Dies ist eine einfache, aber effektive Maßnahme, um die Sicherheit zu erhöhen.
FAIL2Ban nicht installiert
FAIL2Ban schützt deinen Server vor Brute-Force-Angriffen, indem es IP-Adressen nach mehreren fehlgeschlagenen Login-Versuchen blockiert. Ohne diese Schutzmaßnahme bleibt dein Server anfällig für wiederholte Angriffsversuche, die letztlich erfolgreich sein könnten.
Keine Root SSH Keys
Die Nutzung von SSH-Schlüsseln anstelle von Passwörtern bietet eine höhere Sicherheit. Passwörter können leichter gestohlen oder durch Brute-Force-Angriffe erraten werden, während SSH-Schlüssel schwerer zu kompromittieren sind. Es wird empfohlen, den Root-Zugang nur über SSH-Schlüssel zu erlauben.
SSH Root Passwort Auth aktiv
Direkte Root-Logins per Passwort sollten deaktiviert werden, da sie ein erhebliches Sicherheitsrisiko darstellen. Es ist sicherer, Root-Zugriff nur über einen normalen Benutzer zu gewähren, der dann mit sudo oder su Root-Rechte erlangen kann.
Failed Login attempts (high)
Eine hohe Anzahl fehlgeschlagener Login-Versuche kann ein Indikator für laufende Brute-Force-Angriffe sein. Es ist wichtig, diese Versuche zu überwachen und entsprechende Maßnahmen zu ergreifen, wie z.B. das Blockieren der Angreifer-IP oder die Implementierung zusätzlicher Sicherheitsmechanismen.
Java Root Process
Java-Anwendungen sollten nicht als Root-Prozess ausgeführt werden, da Sicherheitslücken in Java zu vollständiger Systemkompromittierung führen können. Es ist sicherer, Java-Anwendungen mit einem nicht-privilegierten Benutzer auszuführen.
TeamSpeak Root Process
Ähnlich wie bei Java, sollte auch TeamSpeak nicht als Root-Prozess ausgeführt werden. Sicherheitslücken in TeamSpeak könnten ausgenutzt werden, um das gesamte System zu kompromittieren. Es ist besser, TeamSpeak mit einem eigenen, eingeschränkten Benutzerkonto auszuführen.
Genereller Rat
Regelmäßige Updates
Stelle sicher, dass dein System und alle installierten Pakete regelmäßig aktualisiert werden. Sicherheitsupdates schließen bekannte Schwachstellen und verbessern die Stabilität.
Firewall einrichten
Verwende eine Firewall wie ufw (Uncomplicated Firewall) oder iptables, um unautorisierten Zugriff zu verhindern. Aktiviere nur die benötigten Ports.
Benutzerverwaltung
Erstelle separate Benutzerkonten für verschiedene Aufgaben und gewähre nur die notwendigen Rechte. Vermeide es, regelmäßig als Root zu arbeiten.
Backups erstellen
Erstelle regelmäßige Backups deiner Daten und Konfigurationen. Automatisiere den Backup-Prozess, um Datenverlust zu vermeiden.
Kopiere keine Befehle, die du nicht verstehst
Schaue dir einen Befehl erst an, bevor du ihn in deine Konsole kopierst. Ein falsches rm -rf oder ein chmod im falschen Verzeichnis können die Sicherheit deines Servers bedrohen und den Server unbrauchbar machen.
Schnelllösungen
Quellen
- SSH Security Best Practices
- FAIL2Ban Official Documentation
- SSH Key Authentication Guide
- Java Security Overview
- TeamSpeak Security Advisory
Falls du weitere Informationen benötigst oder spezifische Anleitungen zur Umsetzung der Sicherheitsmaßnahmen wünschst, lass es mich wissen!
DE:
Wie sichere ich meinen Linux Server ab?
EN:
How can I secure my Linux server?
