Linux System Hardening: Die 10 wichtigsten Tipps, um ein System abzusichern

Der Prozess des System Hardening kann bereits während der Installation des Betriebssystems oder sogar früher gestartet werden. Dies geschieht in der Phase der Ressourcenzuweisung. Es sollte jeweils ein Dienst, z.B. ein Datenbankserver, bei der Installation des Systems ausgeführt werden – unabhängig davon, ob es sich um eine physische Maschine oder eine virtuelle Plattform handelt. Es geht darum, Situationen zu vermeiden, in denen ein einzelner Serverfehler das ganze System zum Absturz bringen könnte.

Das System Hardening soll aber auch dem physischen Schutz der Maschine selbst dienen, z.B. in Bezug auf die Zugriffsberechtigung auf den Server, das Öffnen der Server-Racks, etc. Ein Angreifer könnte beispielsweise beim Betriebssystem Kali annehmen, dass der Server die Default-Werte enthält (den Benutzernamen „root“ und das Passwort „toor“) – und sofort hätte er Zugriff auf das gesamte System. Genau um dies zu vermeiden, sollte das System gehärtet werden.

Noch vor der Installation des Betriebssystems sollte der Zugriff auf das BIOS mit einem starken Passwort gesichert werden. Nach Abschluss der Installation sollte man die Möglichkeit, das System von externen Medien zu starten, deaktivieren. Wenn die physische Zugriffssteuerung auf einem ausreichend hohen Niveau ist, wird es schwierig, die Sicherheitsschranken zu durchbrechen. Ist allerdings auch nur eine einzige Schwachstelle im System zu finden, kann es für das Unternehmen böse Folgen haben. Eine sichere Server-Infrastruktur ist ein wichtiger Bestandteil eines erfolgreichen Unternehmens, denn auf den meisten Systemen sind auch vertrauliche Daten gespeichert, die geschützt werden müssen.

Der Kernel ist bei Linux-Systemen durchwegs komplex, auf der Sicherheitsseite müssen Dateisysteme, Netzwerke, Prozesse und mehr in ein entsprechendes Sicherheitssystem einbezogen werden. Welche Tasks zum Hardening Ihres Linux Systems besondere Priorität haben, hängt dabei vom im Einsatz befindlichen Kernel ab. Wir haben zehn der wichtigsten Strategien zum Härten Ihrer Linux Server zusammengefasst. Einige davon sollten selbstverständlich sein, werden aber trotzdem aus Bequemlichkeit oder Zeitmangel gerne ausgelassen.

Die 10 wichtigsten Tipps um ein Linux-System sicher zu machen

1. SSH-Optimierung

Mit SSH kann man eine sichere Datenübertragung zwischen Server und Client schaffen. SSH ist die Tür zum Betriebssystem, diese kann man sichern, indem man das root-Login direkt vom SSH deaktiviert und komplett auf Authentifizierung via SSH Schlüssel umsteigt, sowie das detaillierte Logging aktiviert.

2. Updating & Patching

Nach dem ersten Start sollte das System zuerst über die aktuellen Updates aktualisiert werden. Dies sowie eine regelmäßige Update- und Patching-Strategie sollten selbstverständlich sein.

3. Backup-Strategie

Ebenfalls selbstverständlich sein sollte eine durchdachte Backup-Strategie. Damit ist man nicht nur bei physischen Schäden des Systems auf der sicheren Seite, sondern auch im Falle von korrupten Daten, Hackangriffen, etc.

4. Zugriffsberechtigungen

Wenn mehrere Benutzer auf Ihren Linux-Server zugreifen können, sollte großer Wert auf eine sichere Verwaltung der Zugriffsberechtigungen gelegt werden. Die Berechtigungen für Dateien und Verzeichnisse einzuschränken sorgt nicht nur für einen höheren Grad an Sicherheit, sondern auch für bessere DSGVO-Konformität.

5. SELinux

Mit der Kernel-Erweiterung SELinux (Security Enhanced Linux), die eine flexible Mandatory Access Control (MAC) bietet, werden die Berechtigungen von Benutzern für Objekte wie Sockets, Dateien und andere Prozesse verteilt.

6. BIOS sichern

Das BIOS sollte in jedem Fall mit einem starken Passwort geschützt werden, um zu verhindern, dass die Sicherheitseinstellungen im BIOS geändert oder außer Kraft gesetzt werden können.

7. Hard Disk Partitionierung

Die Partitionierung der Festplatten sorgt auch im Falle eines Systemfehlers für konstante Leistung und Sicherheit.

8. Firewall Konfiguration

Eine IT-Infrastruktur ohne Firewall zu betreiben ist wie russisches Roulette mit vollem Lauf zu spielen – dem wird wohl kaum jemand widersprechen. Die Konfiguration der Firewall ist dabei von essentieller Bedeutung, um ungewollte Besucher aus Ihrem Netzwerk fernzuhalten. Gehen Sie auch nicht davon aus, dass sich Ihre Firewall um alles kümmern wird. Weitere Möglichkeiten, Ihr Netzwerk zu sichern, sind beispielsweise die Deaktivierung der IP-Weiterleitung und der Redirects, etc.

9. Authentifizierungsdienste

Authentifizierungsdienste wie z.B. Kerberos schützen die Server und die Endgeräte vor Man-in-the-Middle-Angriffen. Jeder Benutzer und Service hat ein eigenes Passwort, welches beim Einloggen zur Authentifizierung eingetippt werden muss. Kerberos sichert so die Kommunikation, aber auch den Datenaustausch zwischen verschiedenen Endgeräten.

10. Datenträger-Verschlüsselung

Die Verschlüsselung von Hard Disks und anderen Datenträgern stellt sicher, dass Ihre Daten auch im Fall von Diebstahl oder Hackangriffen nicht ausgelesen werden können. Gerade bei sensiblen Unternehmensdaten ein Muss!

Passende Richtlinien für ein Linux System Hardening und mehr Server-Sicherheit zu haben ist ein erster Schritt. Die konsequente Umsetzung und kontinuierliche Wartung und Optimierung gehören allerdings ebenso dazu. Auch wenn das Abarbeiten von Checklisten zur optimalen Absicherung eines Systems oft zeitintensiv ist, sollten Unternehmen und Organisationen keinesfalls darauf verzichten. Denn die Zahl von Cyberangriffen stieg in den letzten Jahren exorbitant und die durch einen solchen Angriff verursachten Kosten übersteigen die für ein perfekt implementiertes und gewartetes System bei weitem.