Häufige Sicherheitsprobleme, mit denen Sie als Linux-(Web-)Hosting-Anbieter konfrontiert sind

Die Praxis, jedem mit einem PayPal-Konto oder einer Kreditkarte Benutzerzugriff zu gewähren, ist an und für sich Wahnsinn. Ich arbeite seit fast sechs Jahren in der Hosting-Branche und finde es immer noch verrückt.

Dies ist eine Liste meiner Aufgaben für die meisten Server (gemeinsam genutzt oder nicht), in keiner bestimmten logischen Reihenfolge:

• Ich verwende den von der Distribution bereitgestellten Kernel fast nie. Ich behalte unseren eigenen Kernel-Baum bei, der mit dem Linux-Mainline Schritt hält ... soweit grsecurity dies zulässt. Das ist nicht nur eine Sicherheitsmaßnahme, sondern auch eine Optimierungsmaßnahme. Sie werden in unseren Kerneln keine Dinge wie Parallel-/USB-/Audio-Unterstützung finden (da Webserver diese nicht benötigen). Die Kernel sind so aufgebaut, dass sie nur die Dinge auf der Platine verwenden, die wir brauchen.
• 9/10 schlechte Dinge werden durch fehlerhafte Benutzerskripte zugelassen. Viele Kunden kennen genug PHP, um gefährlich zu sein. mod_security ist einer meiner besten Freunde. Ich bezahle für Abonnements für gehärtete Regelsätze und halte sie fast wöchentlich auf dem neuesten Stand.
• Die Prüfung ist von entscheidender Bedeutung. Ich empfehle außerdem die Verwendung von OSSEC oder etwas Ähnlichem.
• Alle meine Server sind an ein Wartungs-LAN angeschlossen, das ich unabhängig vom öffentlichen Netzwerk erreichen kann. Wenn etwas schief geht und Ihr Server so beschäftigt ist, Junk-Pakete durch das ganze Internet zu senden, werden Sie es zu schätzen wissen, einen anderen Zugang zu haben. Ich habe außerdem auf allen Servern IP-KVMs oder IPMI installiert, je nach Hardware.
• In letzter Zeit verwende ich Xen als Verwaltungsebene für gemeinsam genutzte Server. Ich erstelle einen einzelnen Gast, der über 99 % des Systemspeichers verfügt. Auf diese Weise kann ich Dinge wie Dateisystemreparaturen, Snapshots usw. ziemlich problemlos durchführen. Es kann bei der Wiederherstellung wirklich hilfreich sein, wenn etwas schief geht (und es ist praktisch, das LAN vor dem gemeinsam genutzten Server zu verbergen).
• Ich unterhalte eine sehr strenge, auf iptables basierende Firewall, die besonders streng ist, wenn es um den ausgehenden Datenverkehr geht.
• Ich bin sehr vorsichtig, was den Zugriff auf den Systemcompiler und die Verknüpfungstools angeht.
• Ich aktualisiere die Systemsoftware regelmäßig.
• Ich führe regelmäßige Scans durch, um sicherzustellen, dass Benutzer nicht unabsichtlich alte und anfällige Versionen beliebter Anwendungen wie Wordpress, PHPBB usw. ausführen.
• Ich biete die kostenlose Installation von Sachen an, die Kunden „im Internet finden“. Das hilft mir wirklich dabei, zu prüfen, was gehostet wird, und bietet den Kunden gleichzeitig einen Mehrwert. Es hilft auch sicherzustellen, dass die Dinge sicher und korrekt installiert werden.
• Härten Sie PHP immer, immer, immer ab und stellen Sie sicher, dass Sie auch suexec für PHP verwenden. Nichts ist schlimmer, als einen Bot in /tmp zu finden, der „niemandem“ gehört :)

Und zu guter Letzt:

• Ich habe tatsächlich die Systemprotokolldateien gelesen.Viele Hosts rennen los, um nachzuschauen, was schiefgelaufen ist, erst nachdem ein Problem bemerkt wurde. Selbst bei der Verwendung von Tools wie OSSEC ist es wichtig, proaktiv zu sein.

Es sieht so aus, als würden andere Leute in viele Details gehen, aber die größte Quelle böswilliger Aktivitäten ist wohlFTP.

Beschränken Sie den Dienst auf bestimmte IP-Adressen und deaktivieren Sie ihn für Konten, die ihn nicht benötigen. Deaktivieren Sie den Dienst sogar, sofern er nicht angefordert wird.

Ich musste mich mit Dutzenden von Hacks auseinandersetzen, nachdem bösartiger Code auf Websites hochgeladen wurde, der entweder die Welt mit Spam überflutete oder Besucher mit Iframe-Injektionen umleitete. Sie erhalten selten Root- oder Shell-Zugriff, sondern verursachen nur eine Menge manueller Hausarbeit, bei der Server von der schwarzen Liste genommen und Code manuell durchsucht werden muss.

Die Hauptquelle des Hacks ist nicht der Server selbst, sondern infizierte Endbenutzer-PCs, die FTP-Passwörter abfangen und an das Mutterschiff zurücksenden, um sie später von einem anderen Computer aus zum Hochladen des Codes zu verwenden.

Ich habe eine Zeit lang für ein Webhosting-Unternehmen gearbeitet und es ist ein Albtraum, die Sicherheit aller Benutzer zu gewährleisten. Besonders in einer gemeinsam genutzten Umgebung. Private Server sind viel einfacher zu überwachen, da Sicherheitsprobleme nur auf dieses System beschränkt sind.

Einige Dinge, die Sie bei einem Shared Hosting beachten sollten:

• Ein Fehler auf einer Site kann sich auf alle anderen auswirken. Versuchen Sie daher, die Möglichkeiten jedes einzelnen Benutzers zu begrenzen und die Berechtigungen zu beschränken. Dazu gehören ulimit, PHP-Limits usw.
• Überwachen Sie das System und einzelne Sites. Ein Tool wie OSSEC kann sehr praktisch sein, um alle Informationen zu verarbeiten.
• Der Linux-Kernel ist nicht gut auf lokale Exploits vorbereitet. Stellen Sie daher sicher, dass er immer auf dem neuesten Stand ist, und verwenden Sie Kernel-Sicherheitserweiterungen (grsecurity, SELinux usw.).

Bei den privaten Servern überlassen Sie die Sicherheit Ihren Benutzern, achten Sie jedoch darauf, die richtigen QOS-, NIDS- und Anti-DOS-Tools in Ihrem Netzwerk zu installieren.