sicherer Betrieb der virtuellen Maschinen
Aus aktuellem Anlass: Eine virtuelle Maschine auf Morloc.de bringt eine Menge Möglichkeiten, jedoch auch eine nicht zu unterschätzende Verantwortung mit sich.
In den vergangenen Tagen wurde fast zeitgleich in mindestens 2 verschiedene VMs eingebrochen. Die kompromittierten VMs nahmen an DDoS-Angriffen teil, wobei sie ein Volumen von knapp 500GB innerhalb einer Woche (!!) sendeten - davon entfiel ein Volumen von ca. 90GB auf eine einzige Stunde.
Der Server von morloc.de ist derzeit mit 200MBit/s an das Internet angebunden, die bei Bedarf jeder einzelnen VM uneingeschränkt zur Verfügung stehen - dieser Verantwortung sollte sich jeder Nutzer bewusst sein!
Aus diesem Grund noch einmal allgemeine Hinweise zur sicheren Konfiguration einer VM:
-1- Dem Nutzer "root" den Zugriff via SSH verbieten
-2- Firewall so restriktiv wie möglich konfigurieren
Ein-, Aus- und durchgehender Datenverkehr sollte per Policy generell verworfen werden. Für gewünschten Datenverkehr können hiervon abweichende Regeln erstellt werden.
-3- BruteForce- und Portscan-Abwehr
Das Werkzeug Fail2Ban erlaubt die Blockade von Teilnehmern auf Zeit, die wiederholt falsche Zugangsdaten (Brute-Force Angriff) an den Server senden oder Ports scannen. Fail2Ban ist für fast alle Dienste konfigurierbar, etwa SSH, FTP, Mail, ...
-4- Regelmäßig Updates ausführen
Eine unsichere Softwareversion ist ein Einfallstor für Angreifer - Debian bietet mit "aptitude safe-upgrade" ein einfaches Werkzeug an, welches regelmäßig genutzt werden sollte.
Selbstkompilierte Software muss manuell überwacht werden. Es empfiehlt sich Software-Versionen nicht öffentlich auszugeben, etwa beim Apache-Webserver.
-5- Monitoring
Um über Unregelmäßigkeiten im Betrieb zeitnah informiert zu werden sollte die VM durch einen Monitoring-Dienst überwacht werden.
-6- Testinstallationen
Experimente mit Software sollten im Idealfall auf einer VM auf dem lokalen Rechner stattfinden. Eine fehlerhaft konfigurierte Software ist ein nicht minder gefährliches Einfallstor für Angreifer.
Für die Webspace-Nutzer gilt: Webanwendungen sind regelmäßig auf bekannte Sicherheitslücken und Softwareaktualisierungen zu prüfen. Potentiell unsichere Scripte oder Scripte für den Testgebrauch sollten hinter einer Nutzerauthentifizierung versteckt werden (z.B. AuthBasic - htaccess)
In den vergangenen Tagen wurde fast zeitgleich in mindestens 2 verschiedene VMs eingebrochen. Die kompromittierten VMs nahmen an DDoS-Angriffen teil, wobei sie ein Volumen von knapp 500GB innerhalb einer Woche (!!) sendeten - davon entfiel ein Volumen von ca. 90GB auf eine einzige Stunde.
Der Server von morloc.de ist derzeit mit 200MBit/s an das Internet angebunden, die bei Bedarf jeder einzelnen VM uneingeschränkt zur Verfügung stehen - dieser Verantwortung sollte sich jeder Nutzer bewusst sein!
Aus diesem Grund noch einmal allgemeine Hinweise zur sicheren Konfiguration einer VM:
-1- Dem Nutzer "root" den Zugriff via SSH verbieten
-2- Firewall so restriktiv wie möglich konfigurieren
Ein-, Aus- und durchgehender Datenverkehr sollte per Policy generell verworfen werden. Für gewünschten Datenverkehr können hiervon abweichende Regeln erstellt werden.
-3- BruteForce- und Portscan-Abwehr
Das Werkzeug Fail2Ban erlaubt die Blockade von Teilnehmern auf Zeit, die wiederholt falsche Zugangsdaten (Brute-Force Angriff) an den Server senden oder Ports scannen. Fail2Ban ist für fast alle Dienste konfigurierbar, etwa SSH, FTP, Mail, ...
-4- Regelmäßig Updates ausführen
Eine unsichere Softwareversion ist ein Einfallstor für Angreifer - Debian bietet mit "aptitude safe-upgrade" ein einfaches Werkzeug an, welches regelmäßig genutzt werden sollte.
Selbstkompilierte Software muss manuell überwacht werden. Es empfiehlt sich Software-Versionen nicht öffentlich auszugeben, etwa beim Apache-Webserver.
-5- Monitoring
Um über Unregelmäßigkeiten im Betrieb zeitnah informiert zu werden sollte die VM durch einen Monitoring-Dienst überwacht werden.
-6- Testinstallationen
Experimente mit Software sollten im Idealfall auf einer VM auf dem lokalen Rechner stattfinden. Eine fehlerhaft konfigurierte Software ist ein nicht minder gefährliches Einfallstor für Angreifer.
Für die Webspace-Nutzer gilt: Webanwendungen sind regelmäßig auf bekannte Sicherheitslücken und Softwareaktualisierungen zu prüfen. Potentiell unsichere Scripte oder Scripte für den Testgebrauch sollten hinter einer Nutzerauthentifizierung versteckt werden (z.B. AuthBasic - htaccess)