Betriebssysteme härten - was heisst das?
Wenn Server vom Internet her zu erreichen sind, sind sie tagein tagaus der Gefahr von Angriffen ausgesetzt. Mit Firewalls und Web Application Firewalls kann man einen Grossteil solcher Angriffe stoppen, bevor sie den Server erreichen. Doch falls ein Angriff direkt über eine Applikation gelingen sollte, will man nicht, dass der Server ganz ungeschützt von Hackern übernommen werden kann. Das Härten, im Englischen "hardening" genannt, soll einen Server so sicher wie möglich vor lokalen Angriffen oder Users machen.
Software und Accounts: Weniger ist mehr
Anstatt sämtliche Software auf einem System zu installieren und dann im Nachhinein zu versuchen, diese so sicher wie möglich zu halten, ist es einfacher, wenn man nur das Notwendigste auf einem System installiert. Software und Accounts, die nicht benötigt werden, sollen entfernt oder zumindest gesperrt werden. Je weniger auf einem System läuft, desto besser hat man den Überblick welche Aufgaben die einzelnen Komponenten haben.
Applikationen: Trennen, trennen, trennen
Verschiedene Applikationen sollen soweit als möglich voneinander getrennt werden. Aus Kostengründen macht es oft keinen Sinn für jede Applikation einen eigenen Server zu betreiben. Mit unterschiedlichen Applikationsusern und Verzeichnissen kann man aber einfach sicherstellen, dass ein Angreifer nicht über eine Applikation eine zweite Applikation in seine Gewalt bringen kann, oder dass zwei Applikationen sich gegenseitig negativ beeinflussen können.
Rechte: Vorsichtig verteilen
Am einfachsten ist es, alles als Super-Administrator zu installieren und laufen zu lassen. So gibt es keine Probleme mit dem Zugriff auf Ressourcen wie Ports, Devices etc. Allerdings kann jede Applikation, die unter dem Admin Account läuft, das ganze System beeinflussen. Entsprechend verteilt man die Zugriffsrechte sehr vorsichtig und granular und vermeidet die Verwendung des Admin Accounts für Software so weit wie möglich.
Updates und Patches: Rasch einspielen
Jede Software enthält Fehler, die Programmierer sind ja nicht unfehlbar. Einige Fehler kommen sehr rasch ans Licht und werden über Updates oder Patches geschlossen. Diese Patches sollte man so rasch als möglich einspielen und das System so aktuell wie möglich halten. Dadurch kann man die Angriffsfläche für Hacker entscheidend klein halten.
Reviews: Regelmässig durch Dritte
Jedes System muss regelmässig kontrolliert werden, ob die eingerichteten User und Rechte noch den aktuellen Bedürfnissen entsprechen. Am besten lässt man das einen Dritten machen, weil man eigene Fehler gerne übersieht und man so eine Zweitmeinung einfliessen lässt.
Mit wenigen Punkten kann man einen Server einfach absichern, ohne den Betrieb allzu stark einzuschränken. Die bessere Übersicht, der einfachere Betrieb und die höhere Sicherheit entlohnen den Aufwand beim Härten um ein Vielfaches.