Einleitung

Oft höre ich, wenn ich mich Vorstelle und meinen Aufgabenbereich definiere „Mein(e) Server ist/sind Sicher, ich habe Linux drauf“ oder „Was kann mir schon groß passieren ?“. Dieser Text über grundlegende Sicherheitsaspekte unter Linux nimmt genau dieses Thema in Angriff.
In der heutigen Zeit wo Server zu Dumping vertrieben werden, kaufen oder mieten sich viele jung- und mittelständische Unternehmen Linux Server ohne sich mit der Materie Linux auseinander gesetzt zu haben. Aus Kostengründen werden keine Administratoren beschäftigt, die den laufenden Betrieb der Server überwachen, sondern es wird auf Verwaltungssoftware gesetzt, die sich per Mausklick bedienen lässt. Das diese Software einen Administrator nicht im geringsten ersetzt, vergessen diese Unternehmen, sie wissen nicht was sich auf Ihren Server abspielt und wundern sich im schlimmsten Fall über sehr hohe Traffic Kosten, Mahnschreiben, Polizeiliche Ermittlungen oder die unerreichbarkeit Ihrer Server.
Um eine kleine Einsicht ins Thema Sicherheit zu bekommen, habe ich ein paar Vorurteile gesammelt und werde meine persönlichen Erfahrungen und mein Wissen dazu schreiben. Ich beziehe mich vor allem auf Linux Debian, aber auch jedes andere Linux basierende Betriebssystem kann abgeleitet werden. Die Frage wieso ich Debian bevorzuge werde ich hier nicht beantworten, dazu schreibe ich ein eigenes Buch, auch Grundsatzfragen zu Linux versuche ich nach besten Wissen aus dem Wege zu gehen.

Linux ist standardmäßig Sicher:

Das ist der größte Aberglaube den es gibt. Linux hat ein breites Spektrum an Aufgabengebieten, nicht nur im Serverbetrieb sondern auch für den Heimbereich. Für jeden erdenklichen Zweck gibt es Programme und Dienste. Natürlich versuchen die Distribution der jeweiligen Hersteller eine breite Fläche abzudecken, was zur Folge hat, dass viele Programme vorinstalliert sind. Viele Programme und Dienste bedeuten viele Angriffspunkte und Sicherheitslücken. Also wäre unser erster Schritt das System zu entschlacken. Wir folgen dem Grundsatz: Was wir nicht unbedingt brauchen, wird deinstalliert.
Wichtig:
Auch der Kernel ist so ausgelegt, dass er ein breites Spektrum an Hardware und Software unterstützt. Ein schlanker durchdachter Kernel hat deshalb nicht nur Performance Vorteile. Die Opensource-Scene hat neben kostenloser und stabiler Software noch viele weitere Vorteile. Ein Vorteil aus der Sicht des Angreifers ist aber der offene Quelltext, den der Cracker nach Sicherheitslücken durchsuchen und ausnutzen kann. Neue noch nicht getestete Software hat sicher die neusten Futures, aber auch Gefahren in sich. Die Opensource-Scene arbeitet aber sehr Fix gegen so welche Sicherheitslücken und stellt schnell Updates zur Verfügung. Diese Updates müssen aber auch eingespielt werden. Ich habe Systeme gesichert, wo Jahre kein Administrator einen Fuß drauf gesetzt hat. IRC und FTP Server mit illegalen Inhalten waren die harmlosesten Fälle die ich gefunden habe. Ich kann die Liste neben Suid-Bits, Ssh, Ftp, Apache, Php usw.. noch weiter ausführen, aber das eigentliche Ziel meiner Aussage sollte klar sein. Ein Standard Linux ist nur bedingt sicher und es sollte mindestens auf jeden Fall aktuell gehalten werden.

Meine Daten sind nicht Wertvoll:

Diese Frage kann sich jeder selber am besten beantworten, aber ein Server hat ja eine Aufgabe und für diese Aufgabe ist Zeit und Wissen zu investieren. Ich denke nur an die ganzen Configs und Skripte die ich auf meinen Server habe. Sie sind zwar jetzt nicht so wichtig wie meine Kreditkarte aber wenn Sie weg wären müsste ich alle neu schreiben, uploaden oder einstellen. Das wird einen dann bewusst wenn es zu spät ist und das Backup (Falls vorhanden) bisschen älter ist. Neben der Zeit die dadurch verloren geht, können auch nicht mehr zu finden Daten sehr ärgerlich sein.

Was kann mir schon passieren, wenn mein Server gecrackte wurde?

Dieses Thema mache ich in Stichpunkten. Mit kurzen Beispielen.

- Illigaler Ftp Server:
Mit Raubkopien, Pornografischen, Rechtsradikalen Inhalt der über dem Server verteilt wird. Neben Ihrer Ip und Domain ist auch Ihr Name oder Firma mit dem Server verbunden und kann von Jedermann über die Denic abgefragt werden.
- Offener Email Server:
Spammails mit illegalen Inhalten oder Werbung, in der Email steht dann Ihr Server Absender.
- IRC Netze:
IRC Server können für Downloads oder illegale Inhalte, Gespräche genutzt werden. Auch Botnetze sind möglich um Ddos Angriffe gegen andere Server durchzuführen.
- Defacement:
Sie haben eine Homepage mit Ihrer Firma? Viele Cracker machen sich einen Spass heraus Ihre Startseite zu verändern mit mehr oder weniger sinnvollen Äußerungen. Berühmte Homepages wurden so in ein schlechtes Licht gerückt.
- Weiter Angriffe:
Ihr Server wird dazu missbraucht weitere Angriffe zu Starten, dadurch ist es den Cracker möglich seine Identität gegen Ihre einzutauschen.
- Sniffing:
Ein geschickter Cracker installiert so genannte Logger der Ihre Tastaturanschläge und Passwörter ausliest. Wenn Sie z.b mehrere Server mit den gleichen Passwort benutzen ist es ein leichtes die auszulesen und in Ihre anderen Server einzubrechen. Nachdem der Cracker einige Passwörter ausgelesen und Sie analysiert hat, könnte er auch Rückschlüsse auf Ihre Internet Tätigkeiten wie z.b Foren oder Kaufhäuser ziehen und die Passwörter abgleichen.
- Löschen:
Natürlich machen sich auch einige Cracker einen Spass heraus um Sie ein bisschen zu ärgern, wie z.b eine Cronjob zu installieren der alle 8 Stunden Ihren Webserver runter fährt oder Dateien löscht. Auch könnte er den MBR oder die Festplatten löschen.

Cracker sind schlaue Menschen:

Dem ist leider nicht so, sonst würde er sich schwere Ziele oder sinnvollen Aufgaben widmen. Es gibt genug Software die das automatisierte Ausnutzen der Sicherheitslücken per Mausklick ausführen. Software für Massenscanns nach Sicherheitslücken gibt es wie Sand am Meer. Der
Cracker sieht einfach in seiner Software nach, welche Server die Sicherheitslücke offen haben. Eine Ip-Range hat man mit DSL Leitungen innerhalb einer Stunde nach einen Port gescannt. Gecrackte Server mit 100 Mbit Anbindungen machen das Scannen noch schneller und effektiver.

Manipulation und Spionage:

Nehmen wir an, Sie verkaufen eine Software und ein Cracker oder die Konkurrenz bricht in Ihren Server ein und klaut oder löscht Ihre Software. Das das schlimm genug ist kann sich Jeder der Software entwickelt denken, aber mit ein paar Backups ist alles wieder behoben. Was wäre aber wenn der Cracker nicht die Software löscht sondern kleine Fehler einbaut? Es könnten Jahre vergehen bis diese Fehler oder die Sicherheitslücken entdeckt werden. Auch Backups sind da meist sehr alt oder nicht mehr vorhanden.

Externe Angriffe Dos/DDos

Dos/DDos Angriffe haben das Ziel einen Server von Netz abzuschneiden, das erreichen Sie
dadurch das Sie massenweise Pakte an einen Serverdienst senden. Der Server wird so in die Knie gezwungen und die Homepage oder der Dienst ist nicht mehr zu erreichen. Das betroffene Unternehmen bekommt so keine Aufträge mehr oder verliert Kunden. Meist werden diese Angriffe von der Konkurrenz oder Neider ausgeführt um das Unternehmen von Markt zu verdrängen. Ich hoffe, Ich konnte Sie bisschen aufklären das so ein Server nicht richtig Administriert eine Waffe sein kann. Vielleicht bedenken Sie bisschen Ihre Sicherheitseinstellungen zu Ihren Servern.

Copyright und Lizenz

Das Copyright unterliegt der Firma aycore.de und damit der natürlichen Person Christian Synoradzki.
Der Autor dieses Dokuments behält sich Änderungen und die Richtigkeit vor. Jede Art von Feedback oder Verbesserungsvorschlägen ist erwünscht und kann an info@aycore.de gemailt werden.