Welche bewährten Methoden für die Sicherung meines auf Lightsail ausgeführten Linux-Servers gibt es?

Letzte Aktualisierung: 28.10.2021

Ich bin Systemadministrator für Amazon-Lightsail-Instances, auf denen Linux ausgeführt wird. Welche bewährten Methoden für die Serversicherheit kann ich anwenden, um meine Daten zu schützen?

Behebung

Im Folgenden werden grundlegende bewährte Methoden zur Linux-Serversicherheit beschrieben. Obwohl es sich hierbei um wichtige Überlegungen zur Sicherheit von Linux-Servern handelt, ist diese Übersicht nicht erschöpfend. Es gibt viele komplexe Einstellungen, die von Ihrem lokalen Systemadministratorteam basierend auf Ihren spezifischen Anforderungen und Ihrem Anwendungsfall konfiguriert und berücksichtigt werden sollten.

  • Verschlüsseln Sie die Datenkommunikation zu und von Ihrem Linux-Server.
    Verwenden Sie SCP, SSH, rsync oder SFTP für Dateiübertragungen. Vermeiden Sie die Verwendung von Diensten wie FTP, Telnet usw., da diese nicht sicher sind. Installieren und konfigurieren Sie ein SSL-Zertifikat auf Ihrem Server, um eine sichere Verbindung (HTTPS) zu verwenden.
  • Minimieren Sie die Verwendung von Software, um Schwachstellen in Linux zu minimieren, und führen Sie regelmäßig Sicherheitsaudits durch.
    Installieren Sie keine unnötige Software. So vermeiden Sie Schwachstellen aus Software oder Installationspaketen. Identifizieren und entfernen Sie nach Möglichkeit alle unerwünschten Pakete.
  • Halten Sie den Linux-Kernel und die Software auf dem neuesten Stand.
    Das Anwenden von Sicherheitspatches ist ein wichtiger Bestandteil der Wartung Ihres Linux-Servers. Linux bietet alle notwendigen Tools, um Ihr System auf dem neuesten Stand zu halten. Linux ermöglicht auch einfache Upgrades zwischen den Versionen. Überprüfen und wenden Sie alle Sicherheitsupdates so schnell wie möglich an und stellen Sie sicher, dass Sie auf den neuesten verfügbaren Kernel aktualisieren. Verwenden Sie die entsprechenden Paketmanager, die auf Ihren Linux-Distributionen basieren, wie yum, apt-get oder dpkg, um alle Sicherheitsaktualisierungen anzuwenden.
  • Verwenden Sie Linux-Sicherheitserweiterungen.
    Linux verfügt über verschiedene Sicherheitsfunktionen, mit denen Sie sich vor falsch konfigurierten oder kompromittierten Programmen schützen können. Verwenden Sie nach Möglichkeit SELinux und andere Linux-Sicherheitserweiterungen, um Beschränkungen für das Netzwerk und andere Programme durchzusetzen. Zum Beispiel bietet SELinux eine Vielzahl von Sicherheitsrichtlinien für den Linux-Kernel.
  • Deaktivieren Sie das Root-Login.
    Es empfiehlt sich, sich nicht als Root-Benutzer anzumelden. Bei Bedarf sollten Sie sudo verwenden, um Befehle auf Root-Ebene auszuführen. Sudo erhöht die Sicherheit des Systems erheblich, ohne die Anmeldeinformationen mit anderen Benutzern und Administratoren zu teilen.
  • Suchen Sie mit ss oder netstat nach auf Anfragen wartenden Netzwerkports und schließen oder beschränken Sie alle anderen Ports.
    Kontrollieren Sie genau, welche Ports auf den Netzwerkschnittstellen des Systems auf Anfragen warten. Verwenden Sie dazu ss oder netstat. Alle offenen Ports könnten Hinweise auf ein Eindringen sein.
  • Konfigurieren Sie sowohl die Lightsail-Firewall als auch Firewalls auf Betriebssystemebene auf Linux-Servern, um die Sicherheit weiter zu erhöhen.
    Verwenden Sie die Lightsail-Firewall, um Datenverkehr zu filtern und nur erforderlichen Datenverkehr zu Ihrem Server zuzulassen. Die Firewall auf Betriebssystemebene ist ein Anwendungsprogramm für den Benutzerbereich, mit dem Sie die vom Linux-Kernel bereitgestellten Firewalls konfigurieren können. Sie können iptables, ufw, firewalld usw. verwenden, abhängig von Ihrer Linux-Distribution.
  • Verwenden Sie auditd für die Systemverwaltung.
    Linux bietet Audits für die Systemüberwachung. Auditd schreibt Audit-Datensätze auf die Festplatte. Es überwacht auch verschiedene Systemaktivitäten wie Systemanmeldungen, Authentifizierungen, Kontoänderungen und SELinux-Ablehnungen. Diese Aufzeichnungen helfen Administratoren dabei, böswillige Aktivitäten oder unbefugten Zugriff zu erkennen.
  • Installieren Sie ein Intrusion Detection System (IDS).
    Verwenden Sie fail2ban oder denyhost als IDS. Fail2Ban und denyhost scannen die Protokolldateien auf zu viele fehlgeschlagene Anmeldeversuche und blockieren die IP-Adresse, die Anzeichen böswilliger Aktivitäten zeigt.
  • Erstellen Sie regelmäßig Backups.
    Weitere Informationen finden Sie unter Snapshots in Amazon Lightsail.
  • Vermeiden Sie es, Benutzern, Gruppen und anderen Lese-, Schreib- und Ausführungsberechtigungen (777) für Dateien und Verzeichnisse zu erteilen.
    Sie können chmod verwenden, um den Zugriff auf Dateien und Verzeichnisse wie das web-root-Verzeichnis, document-root-Verzeichnis usw. einzuschränken. Bearbeiten Sie die Berechtigungen, um nur autorisierten Benutzern Zugriff zu gewähren.