Als Serverbetreiber sind Sie grunds\u00e4tzlich f\u00fcr die Sicherheit selbst verantwortlich. Wird Ihr System gehackt, ist es meistens schon zu sp\u00e4t. Ein einmal gehackter Server kann meistens nicht mehr richtig abgesichert werden. Doch soweit muss es erst gar nicht kommen. Sch\u00fctzen Sie sich und machen Sie Ihren Server sicherer \u2013 wir zeigen Ihnen wie es geht!<\/p>\n
<\/p>\n
Tipp 1: Halten Sie Ihren Server immer aktuell<\/span><\/strong><\/p>\n Viele Sicherheitsl\u00fccken werden vom Hersteller des Betriebssystems zeitnah geschlossen, daher ist es wichtig, dass Sie regelm\u00e4\u00dfig (mindestens 1mal pro Woche) Updates einspielen. Idealerweise spielen Sie Updates t\u00e4glich mit Hilfe von automatischen Tasks (Cronjobs) ein.<\/p>\n Windows:<\/span><\/p>\n In Windows k\u00f6nnen Sie Updates \u00fcber die Systemsteuerung > Windows-Updates einspielen. Ebenso k\u00f6nnen Sie dort festlegen, wann automatische Windows-Updates eingespielt werden sollen.<\/p>\n Debian & Ubuntu:<\/span><\/p>\n Unter Debian & Ubuntu Linux Systemen nutzen Sie die folgenden zwei Befehle, um Ihr System zu aktualisieren. CentOS:<\/span><\/p>\n Unter Centos Linux System nutzen Sie den folgenden Befehl, um Ihr System zu aktualisieren: <\/p>\n Tipp 2: SSH Einstellungen \u00e4ndern<\/strong><\/span><\/p>\n Die meisten Angreifer versuchen die Standard Ports f\u00fcr den Remote-Zugang zu nutzen. Unter Linux ist dies f\u00fcr SSH Port 22 und unter Windows f\u00fcr RDP Port 3389 Windows:<\/span><\/p>\n Zum \u00c4ndern des RDP Ports \u00f6ffnen Sie die Registry. Dies f\u00fchren Sie durch, indem Sie \u201eAusf\u00fchren<\/strong>\u201c \u00f6ffnen und dort \u201eregedit<\/strong>\u201c eingeben.<\/p>\n Navigieren Sie zu HKEY_LOCAL_MACHINE\\System\\CurrentControlSet\\Control\\TerminalServer\\WinStations\\RDP-Tcp<\/em><\/p>\n Dort finden Sie die Datei mit dem Namen \u201ePortNumber<\/strong>\u201c. \u00c4ndern Sie diesen Eintrag von Port 3389 auf beispielsweise 17845<\/p>\n Ganz besonders wichtig ist, dass Sie in der Windows-Firewall nun noch den Port 17845 \u00f6ffnen, da sonst nach einem Neustart des Servers kein Remotedesktop-Zugriff mehr m\u00f6glich ist.<\/p>\n In der Windows-Firewall legen Sie daher eine \u201eEingehende Regel\u201c mit dem TCP-Port 17845 an.<\/p>\n Danach starten Sie den Server neu.<\/p>\n Wenn Sie nun eine Verbindung zu Ihrem Server herstellen m\u00f6chten, tragen Sie in das Programm \u201eRemotedesktopverbindung<\/strong>\u201c die IP-Adresse des Servers gefolgt von einem Doppelpunkt und dem Port ein. Linux:<\/span><\/p>\n \u00d6ffnen Sie die Datei \/etc\/ssh\/sshd_config<\/em> und \u00e4ndern Sie dort die Zeile<\/p>\n Port 22<\/strong><\/p>\n Auf einen beliebigen anderen Port. Beispielsweise<\/p>\n Port 14754<\/strong><\/p>\n Anschlie\u00dfend m\u00fcssen Sie den SSH-Dienst neustarten: Aktive SSH Verbindungen bleiben offen. \u00d6ffnen Sie nun ein neues Terminalfenster und testen Sie ob Sie SSH mit Ihrem angegebenen Port erreichen, bevor Sie das aktive Fenster schlie\u00dfen<\/p>\n <\/p>\n Tipp 3: Immer sichere, komplexe Kennw\u00f6rter verwenden<\/strong><\/span><\/p>\n Verwenden Sie f\u00fcr s\u00e4mtliche Benutzer, jedoch ganz besonders f\u00fcr Administratoren und Root-Zug\u00e4nge, sichere und komplexe Kennw\u00f6rter.<\/p>\n Immer wieder sto\u00dfen wir bei unserer Arbeit mit Kunden auf Passw\u00f6rter wie \u201eKatze123\u201c, \u201eMax482\u201c, \u201eSchatzi\u201c. Jedes dieser Passw\u00f6rter w\u00e4re beim ersten W\u00f6rterbuchangriff sofort geknackt.<\/p>\n Um Ihre Daten bzw. Ihren Server vor unerlaubten Zugriffen zu sch\u00fctzen ben\u00f6tigen Sie deshalb ein sicheres Passwort.<\/p>\n Das beste Passwort ist ein rein zuf\u00e4lliges Kennwort, bestehend aus allen Buchstaben, Zahlen und Sonderzeichen. Dabei sollte kein Teil des Passworts in einem W\u00f6rterbuch zu finden sein. Nat\u00fcrlich k\u00f6nnen sie sich Kennw\u00f6rter wie \u201eZd7612!7d68a\u201c kaum merken. Daher haben wir einen Tipp f\u00fcr Sie:<\/p>\n Mit einer Eselsbr\u00fccke k\u00f6nnen sie sich die schwierigsten Passwortkombinationen leicht merken! <\/p>\n Tipp 4: Halten Sie Ihre Webapplikationen immer aktuell<\/strong><\/span><\/p>\n Viele Serverbetreiber nutzen Content-Management-Systeme wie Joomla, Typo3, WordPress oder Contao. Schaut man sich einmal die Statistiken an, sind die Zahlen alarmierend. 3 von 4 CMS-Installationen sind veraltet und somit angreifbar f\u00fcr Hacker. Teilweise laufen \u00fcber 90 % aller Joomla-Webseiten mit einer veralteten Joomla-Version.<\/p>\n Deshalb halten Sie Ihre Webapplikationen immer aktuell. Pr\u00fcfen Sie Ihr CMS regelm\u00e4\u00dfig auf neuere Versionen und spielen Sie diese zeitnah ein.<\/p>\n Achten Sie dabei auch unbedingt darauf, dass Sie zus\u00e4tzlich installierte Plug-Ins ebenfalls aktualisieren.<\/p>\n <\/p>\n Tipp 5: Sperren von unsicheren php Funktionen<\/strong><\/span><\/p>\n Viele Angriffe werden \u00fcber PHP-Funktionen ausgef\u00fchrt, die es erlauben Befehle direkt auf Root-Ebene des Betriebssystems auszuf\u00fchren. Aus diesem Grund sollten Sie unsichere PHP-Funktionen in der php.ini sperren.<\/p>\n \u00d6ffnen Sie hierzu die PHP.ini<\/p>\n Windows:<\/span> C:\\Program Files x86)\\Parallels\\Plesk\\Additional\\PleskPHP<version>\\php.ini Suchen Sie dort die Zeile Und ersetzen Sie diese durch<\/p>\n Anschlie\u00dfend f\u00fchren Sie noch einen Neustart des Apache2 bzw. IIS durch, um die \u00c4nderungen zu \u00fcbernehmen.<\/p>\n <\/p>\n
\n#apt-get update
\n#apt-get upgrade<\/p>\n
\n#yum update<\/p>\n
\nAus diesem Grund ist es wichtig, diese Ports zu \u00e4ndern oder noch besser den Zugriff auf SSH oder RDP nur von einem bestimmten Standort bzw. einer bestimmten IP-Adresse zuzulassen.<\/p>\n
\nz.B. 141.132.12.14:17845<\/strong><\/p>\n
\n#\/etc\/init.d\/ssh restart<\/em><\/p>\n
\nDenken Sie sich einen Satz aus wie z.B. Meine Oma f\u00e4hrt im H\u00fchnerstall Motorrad!
\nDaraus machen Sie nun das Kennwort: MOfiHM!
\nMischen Sie den Buchstaben noch eine oder zwei Zahlen hinzu und fertig ist Ihr sicheres Passwort.<\/p>\n
\nLinux:<\/span> \/etc\/php.ini , sowie ggf. unter: \/opt\/plesk\/php\/<version>\/etc\/php.ini<\/p>\n
\ndisable_functions =<\/code><\/p>\ndisable_functions = dl,passthru,proc_close,proc_get_status,proc_nice,proc_open,proc_terminate,shell_exec,system,apache_note,apache_setenv,closelog,debugger_off,debugger_on,define_syslog_variables,openlog,syslog,exec,symlink<\/code><\/p>\n