Allgemein

Webserver Security – Teil 1: Wahl des Betriebssystems

Serie Webserver Security – Teil 1: Wahl des Betriebssystems

Im Netz findet Google 666.000 Suchergebnisse zum Begriff
„Webserver Security“. Der Bereich Webserver Security ist ein riesiges Feld mit zahlreichen Facetten.
Diese Artikelserie hat den Fokus auf Webserversecurity und im Speziellen auf den Einbruchsschutz.
Sie stellt einen Erfahungsbericht über den Setup eines Webservers auf Linux-Basis dar.

Der erste Artikel beschäftigt sich mit dem Überblick und der richtigen Auswahl einer Linux-Distribution.

Webserver Security – Bottom Up!

Wenn man den Setup einer Webapplikation plant und sich mit dem Thema Sicherheit beschäftigt,
so muss man sich mit mehreren Ebenen beschäftigen. Häufig steht in Internet-Tutorials nur die Applikationssicherheit im Fokus, allerdings ist das ggf. nicht ausreichend. Vielmehr muss man sich mit alle Ebenen des Technologiestacks beschäftigen, sofern man sie nicht fertig durch einen Hoster bezieht.

Technologiestack der Webserver Security
Ebenen der Sicherheit, mit der man sich beschäftigen muss. Selbst verwalten oder kaufen?

Es gibt 2 Extreme:

  • Der Webserver wird im eigenen Haus gehostet. Dieses Szenario ist wahrscheinlich nur für große Firmen, echte Experten und vagemutige Bastler interessant.
  • Die Webapplication wird komplett von einem Anbieter gemietet. Ideal für Leute ohne technische Vorkenntnisse.

Diese Artikelserie beginnt bei dem Aspekt „Betriebssystemsicherheit“.

Die richtige Auswahl des Betriebssystems

Wer sich mit Betriebssystemsicherheit beschäftigt muss sich erst mal die Frage stellen:
Welches Betriebssystem möchte ich verwenden? Ich gehe im Weiteren von der Verwendung eines Linux aus.

In die Wahl der „richtigen“ Linux-Distribution gehen verschiedene Faktoren ein:

  • Gibt es Herstellerspezifische Anforderungen der Applikation?
  • Eignung der Distribution für den Anwendungsfall?
  • Aktualität der Software / Releasestrategien der Distribution?
  • Preferenz / Erfahrung mit dem Betriebssystem?
  • Welche Distribution kann eingesetzt werden, gibt es organisatorische Einschränkungen?

Gut eignet sich für das Aufsetzen eine Webservers Debian Stable, da Debian Stable:

  • Eher gereifte Softwareversionen beinhaltet, die Wahrscheinlichkeit von Sicherheitsproblemen
    durch neue Programmversionen ist reduziert.
  • Bei Sicherheitslücken zeitnah gepatched wird – Es existiert eine aktive Community
  • Eine gewisse Vorkonfiguration besitzt
  • weit verbreitet ist

Ich habe gute Erfahrungen mit der Nutzung einer Minimalinstallation von Debian gemacht.

Betriebssystem- und Paketupdates

Das regelmäßige Einspielen von Betriebs- und Paketupdates ist eine Grundanforderung. In Debian geschieht das
mit den Kommandos

apt-get update --> Einlesen der Paketliste
apt-get upgrade --> Download und Installation der Pakete.

Up-To-Date sein

Es ist sehr sinnvoll, einschlägige Newsletter, wie z.B. die Debian Security Mailingliste
https://www.debian.org/MailingLists/
oder den Heise Security Newsletter http://www.heise.de/newsletter/
zu abbonieren, um über sicherheitsrelevante Probleme informiert zu werden.

Fazit & Ausblick

Der folgende 2. Teil wird sich mit dem Härten des Betriebssystems beschäftigen.