Boehrsi.de - Blog

Server-Crash und Neuinstallation - Lynis

Erstellt am event Uhr von account_circle Boehrsi in label Development
Server-Crash und Neuinstallation - Lynis Bild

Nach meinen Server Problemen im letzten Jahr, habe ich versucht mein Setup zu optimieren. Dazu gehören diverse Anpassungen bei Abläufen wie Backups und der Statuserfassung, mehr Automatisierung z.B. bei der Einrichtung von Diensten und vor allem mehr Backups.
Im Bereich Software habe ich Lynis als zusätzliche Hilfe installiert. Ein Tool welches unter anderem diverse Einstellungen, die installierte Software und die Sicherheit überprüft. Am Ende erhält man dann eine Zusammenfassung mit Vorschlägen zur Verbesserung der Systemintegrität. Die Hinweise die man bekommt sollte man nicht blindlings anwenden, sondern sich informieren und bei Bedarf nutzen. Es sollte nicht das Ziel sein eine Wertung von 100 zu erhalten, denn die Hinweise sind zwar mitunter alle durchdacht, passen aber eben nicht zu jedem Setup.

Ich habe Tipps bezüglich der Installation von hilfreichen Tools angenommen. Hier habe ich z.B. die Linux Pakete debsums open_in_new und apt-show-versions open_in_new kennengelernt. Meine SSH Config konnte ich abseits von z.B. der Deaktivierung des Root Accounts mit Lynis noch etwas weiter optimieren und auch die Postfix Config Hinweise waren sehr hilfreich. Alte Pakete komplett zu via Purge zu entfernen brachte ebenfalls etwas bessere Strukturen in das gesamt Setup. Im Bereich PHP konnte ich einiges verbessern, Altlasten deaktivieren und die generelle Konfiguration auf den neusten Stand bringen und so sicherer machen.
Ebenfalls interessant fand ich die Änderung der Default Permissions für Dateien und Ordner. Auf einem Server, auf welchem generell mehrere Nutzer unterwegs sind, sollten selbige etwas restriktiver sein. Dies war die Meinung von Lynis und diese teilte ich. Problematisch wird es bloß wenn es das eine oder andere Script gibt, welches Dinge lesen oder schreiben muss. Unter Linux gibt es bekanntlich nicht nur Nutzer-Accounts für reale Personen, sondern gerne auch für bestimmte Bereiche oder einzelne Dienste. Hier muss man also aufpassen, wenn man die Berechtigungen für neue Inhalte global anpasst. Ich hatte ein paar Kopfschmerzen durch die restriktiveren Rechte, konnte aber mein Tooling anpassen und bin bei selbigen geblieben.
Vor allem der letzte Teil zeigt aber wiederum was ich schon weiter oben erwähnte. Tools die euch Hinweise geben sind gut, aber man sollte sie auf keinen Fall ohne ein fundiertes Grundwissen anwenden. Systeme sind unterschiedlich, die Anwendungszwecke eines Desktopsystems und eines Servers gehen z.B. sehr weit auseinander und entsprechend muss alles verhältnismäßig sein.
Ich konnte mein System mit Lynis aber definitiv verbessern und kann das Tool somit empfehlen, es muss eben nur richtig angewendet werden.

Related Links
Kommentare  
Kommentar erstellen
Mit dem Abschicken des Kommentars erklären sie sich mit der in der Datenschutzerklärung dargelegten Datenerhebung für Kommentare einverstanden. Spam, unangebrachte Werbung und andere unerwünschte Inhalte werden entfernt. Das Abonnieren via E-Mail ist nur für E-Mail Adressen erlaubt die Sie rechtmäßig administrieren. Widerrechtliche Abonnements werden entfernt.