Linux-Server-Hardening

Vorbei sind die Zeiten, in denen die Bestellung einer neuen Systeminstanz mehrere Wochen in Anspruch nehmen durfte. Begriffe wie "Time to market" bedeuten für denjenigen, der sich um die Installation und Konfiguration eines neuen Systems kümmern muss, heute großen Stress. Aufgaben, die früher mehrere Tage dauerten, müssen heute wesentlich schneller erledigt sein. Deshalb versuchen Verantwortliche oft, im Security-Bereich Zeit zu gewinnen: Ob das neu installierte System beispielsweise mit SELinux im Enforcing-Mode läuft oder nicht, ist für den Endanwender erst einmal nicht zu erkennen, also von untergeordneter Bedeutung.

Richtlinien zur sicheren Konfiguration eines Systems gibt es mittlerweile an jeder Ecke. Prominente Beispiele sind die Secure Technical Implementation Guides (STIG) [1] der DISA FSO und die Security Configuration Benchmarks [2] vom Center for Information Security (CIS). Einzelne Firmen entwerfen auf Basis solcher Guides eigene Richtlinien, die an die eigene Umgebung angepasst sind. Unter [3] finden sich beispielsweise die Sicherheitsanfoderungen, wie sie die Telekom an neue Systeme und Services stellt.

Aber es genügt nicht, passende Richtlinien zu haben – irgendjemand muss sie auch umsetzen. In vielen Firmen kommen immer noch die guten alten Excel-Sheets zum Einsatz, in denen die einzelnen Anforderungen aufgeführt sind. Glücklich kann sich schätzen, wer auch entsprechende Anweisungen geliefert bekommt, wie diese Anforderungen auf den jeweiligen Systemen umzusetzen sind. Und hier sind wir wieder am ursprünglichen Problem angelangt: Die Abarbeitung einer solchen Liste ist zeitintensiv und mühsam, weshalb an dieser Stelle gerne einmal ein Auge zugedrückt wird. Anders sind die vielen Installationen mit unsicheren Standard-Konfigurationen nicht zu erklären.

Änderungen überwachen

Erschwerend kommt hinzu, dass ein System auch in regelmäßigen

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.