Linux Web Server einbruchssicher aufsetzen – Teil 3: Sinnvolle weitere Tools

Sinnvolle weitere Tools

Um die Sicherheit eines WebServers unter Debian Linux aufzusetzen, gibt es einige Tools deren
Verwendung sinnvoll ist. Ich führe in diesem Artikel einige Tools auf, mit deren Verwendung ich
gute Erfahrung habe. Die Konfiguration der Tools kann mitunter recht komplex werden, so dass ich hier
nur die Tools inhaltlich beschreibe.

IPTables

IPTables ist, so wie ich bereits im Artikel Webserver Security – Teil 2: Härten des Betriebssystems beschrieben habe, eine Firewall-Software.
Sofern keine Hardware-Firewall besteht, ist IPTables eine gute Lösung, nur spezielle Ports freizugeben.

rkhunter – Rootkit Hunter

Der Malware-Scanner rkhunter ist ein Malware-Scanner unter Linux. Er besitzt mehrere sinnvolle Funktionen,
unter Anderem prüft er Änderungen im Dateisystem.

Fail2ban

Das Tool Fail2ban kann in Kombination mit iptables und SSH sehr gut dazu genutzt werden, Brute-Force-Angriffe
abzuwehren. Fail2Ban wird so konfiguriert, dass es Verbindungen von Angreifer-IP-Addressen nach einer gewissen Anzahl
fehlerhaften Logins für eine gewisse Zeit sperrt.

LogCheck

Logcheck scannt Logfiles der wichtigen Services und benachrichtigt den Administrator per E-Mail
über wichtige Vorkommnisse.
Hinweis: Nach meiner Erfahrung benötigt Logcheck hin und wieder manuelle Korrekturen, damit es den
Administrator nicht mit unkritischen Nachrichten zuspammt.

auditd – Linux Audit daemon

Das Security Auditing-Tool auditd führt einen Scan über das Betriebssystem durch und empfiehlt Verbesserungen,
um die Betriebssystemsicherheit zu erhöhen.

SMTP-Server

Auch wenn ein SMTP-Server die Sicherheit nicht erhöht, so ist dessen Konfiguration zumeist dennoch sinnvoll.
Hiermit kann sichergestellt werden, dass Alarmbenachrichtigungen an den Administrator zugesendet werden können.

Fazit und Ausblick

Sicherheitstools sind sinnvolle Ergänzungen für einen sicheren Webserver.
Der nächste Artikel „Security by Obscurity“ nennen ein Beispiel zu einem eher ungewöhnlichen Ansatz.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.