Serie Webserver Security – Teil 1: Wahl des Betriebssystems
Im Netz findet Google 666.000 Suchergebnisse zum Begriff
„Webserver Security“. Der Bereich Webserver Security ist ein riesiges Feld mit zahlreichen Facetten.
Diese Artikelserie hat den Fokus auf Webserversecurity und im Speziellen auf den Einbruchsschutz.
Sie stellt einen Erfahungsbericht über den Setup eines Webservers auf Linux-Basis dar.
Der erste Artikel beschäftigt sich mit dem Überblick und der richtigen Auswahl einer Linux-Distribution.
Webserver Security – Bottom Up!
Wenn man den Setup einer Webapplikation plant und sich mit dem Thema Sicherheit beschäftigt,
so muss man sich mit mehreren Ebenen beschäftigen. Häufig steht in Internet-Tutorials nur die Applikationssicherheit im Fokus, allerdings ist das ggf. nicht ausreichend. Vielmehr muss man sich mit alle Ebenen des Technologiestacks beschäftigen, sofern man sie nicht fertig durch einen Hoster bezieht.

Es gibt 2 Extreme:
- Der Webserver wird im eigenen Haus gehostet. Dieses Szenario ist wahrscheinlich nur für große Firmen, echte Experten und vagemutige Bastler interessant.
- Die Webapplication wird komplett von einem Anbieter gemietet. Ideal für Leute ohne technische Vorkenntnisse.
Diese Artikelserie beginnt bei dem Aspekt „Betriebssystemsicherheit“.
Die richtige Auswahl des Betriebssystems
Wer sich mit Betriebssystemsicherheit beschäftigt muss sich erst mal die Frage stellen:
Welches Betriebssystem möchte ich verwenden? Ich gehe im Weiteren von der Verwendung eines Linux aus.
In die Wahl der „richtigen“ Linux-Distribution gehen verschiedene Faktoren ein:
- Gibt es Herstellerspezifische Anforderungen der Applikation?
- Eignung der Distribution für den Anwendungsfall?
- Aktualität der Software / Releasestrategien der Distribution?
- Preferenz / Erfahrung mit dem Betriebssystem?
- Welche Distribution kann eingesetzt werden, gibt es organisatorische Einschränkungen?
- …
Gut eignet sich für das Aufsetzen eine Webservers Debian Stable, da Debian Stable:
- Eher gereifte Softwareversionen beinhaltet, die Wahrscheinlichkeit von Sicherheitsproblemen
durch neue Programmversionen ist reduziert. - Bei Sicherheitslücken zeitnah gepatched wird – Es existiert eine aktive Community
- Eine gewisse Vorkonfiguration besitzt
- weit verbreitet ist
Ich habe gute Erfahrungen mit der Nutzung einer Minimalinstallation von Debian gemacht.
Betriebssystem- und Paketupdates
Das regelmäßige Einspielen von Betriebs- und Paketupdates ist eine Grundanforderung. In Debian geschieht das
mit den Kommandos
apt-get update --> Einlesen der Paketliste apt-get upgrade --> Download und Installation der Pakete.
Up-To-Date sein
Es ist sehr sinnvoll, einschlägige Newsletter, wie z.B. die Debian Security Mailingliste
https://www.debian.org/MailingLists/
oder den Heise Security Newsletter http://www.heise.de/newsletter/
zu abbonieren, um über sicherheitsrelevante Probleme informiert zu werden.
Fazit & Ausblick
Der folgende 2. Teil wird sich mit dem Härten des Betriebssystems beschäftigen.