Teil 1: Die Anforderung
Teil 2: Die Ressourcen
Teil 3: Die Absicherung
Teil 4: Das Dateisystem
Teil 5: Die Datenbank-Containerisierung
Teil 6: Verschlüsselung
Dieser Schritt ist auf allen Servern identisch. Die Absicherung.
Auf die ganzen Standards gehe ich nicht ein. Root Login zu verbieten und den SSH Port zu ändern sollte mittlerweile obligatorisch sein. Die Basics der Serverabsicherung lassen sich auch hier nachlesen.
E-Mail-Anbindung
Interessanter wird es dann aber bei Tools, wie Apticron oder dem RKHunter bei denen eine E-Mail-Anbindung sehr viel Sinn macht.
Wenn man nicht möchte, dass die E-Mails im Spamordner landen, dann lohnt es sich hier nochmal detaillierter rein zu schauen und nicht einfach nur den mail-Befehl zu verwenden.
Der erste Schritt sollte es sein den Server erstmal überhaupt unter seiner Domain als Subdomain einzugliedern. Für diese Subdomain nimmt man in der DNS-Konfiguration noch einen SPF-Eintrag vor. Wir benutzen für Music2Web.de Cloudflare und Cloudflare macht es einem hier sehr einfach. Man kann einen freien TXT-Eintrag einlegen. Dieser bekommt den Namen der Subdomain und als Inhalt die Zeile „v=spf1 +a +mx ~all“.
Jetzt muss noch der Hostname auf dem Server selbst geändert werden. Bei den meisten Systemen geht dies mit der Zeile:
hostnamectl set-hostname [server-adresse]
Ausgeführt als root natürlich. Eventuell müsst ihr vorher noch dbus installieren. Das würde euch hostnamectl aber als Fehler ausgeben.
Die Alternative ist übrigens die Datei /etc/hostname direkt zu ändern und hier die Server-Adresse einzutragen.
Funktioniert dies nicht oder wird nach einem Reboot immer der Hostname zurückgesetzt, müssen wir doch in die Systemkonfiguration.
Die Datei /etc/sysctl.conf kann hierfür angepasst werden.
Dafür setzt man den Wert kernel.hostname auf die Server-Adresse und führt hinter als root noch folgenden Befehl aus:
sysctl -p
Natürlich muss dann noch der E-Mail-Server eingerichtet werden. Tipp: Viele E-Mail-Server können mittlerweile auch IPv6. Hat euer Server keine IPv6-Adresse, schaut in der Konfiguration des E-Mail-Servers nach wo und wie ihr dieses deaktivieren könnt, weil es sonst mit dem Versand an verschiedene E-Mail-Provider sonst zu Fehlern kommen kann.
Probleme mit RKHunter
Führt ihr RKHunter zum ersten Mal aus, kann es auch hier zu Warnungen kommen. Die meisten verschwinden mit Ausführen von
rkhunter –propupd
Manchmal kann es jedoch notwendig sein tiefer rein zuschauen. Bekannte Probleme sind, dass Dateien mittlerweile nicht mehr an den alten Stellen zu finden sind und RKHunter dieses dann als Warnung meldet. Die False Positives, auf die ich gestoßen bin ließen sich in der Datei /etc/rkhunter.conf ändern. Hier waren folgende Whitelist-Einträge vorhanden:
SCRIPTWHITELIST=/bin/egrep
SCRIPTWHITELIST=/bin/fgrep
SCRIPTWHITELIST=/bin/which
Diese müssen umgeändert werden zu:
SCRIPTWHITELIST=/usr/bin/egrep
SCRIPTWHITELIST=/usr/bin/fgrep
SCRIPTWHITELIST=/usr/bin/which
Foto: Bethany Drouin / Pixabay