Information:
Der folgende Artikel thematisiert die wichtigsten Punkte bezüglich Sicherheit in einer geteilten Hosting-Umgebung und vermittelt entsprechende Ratschläge und Hinweise hierzu.
Sicherheit als fortlaufender Prozess erfordert eine vorgängige Prüfung der eigenen Ziele. Dies bedeutet je sicherer die Umgebung gestaltet werden soll, desto aufwendiger wird die Implementation und die Wartung dieser.
Eine öffentlich zugängliche Präsenz bietet per se bereits eine Anzahl möglicher Schwachstellen, da diese auch für jedermann zugänglich sein soll. Es muss somit sichergestellt werden, dass die einzelnen Zugriffsvarianten gegen Fremdeinflüsse gut geschützt sind.
Folgender wichtiger Punkt vorab gilt für jegliche Komponenten:
- Weichen Sie von Standards ab
Jede Web-Applikation arbeitet mit einem entsprechenden Administratoren-Zugang, welcher standard-mässig mit einem vordefinierten Benutzernamen zugänglich gemacht wird. Ändern Sie diesen spätestens bei Umschaltung auf den Produktivbetrieb.
Ebenfalls arbeiten viele Applikationen mit vordefinierten Datenbank-Tabellenpräfixen und Verzeichnis-pfaden. Ändern Sie auch diese bei Installation, um automatisierte Angriffe (Exploit Scans) ins Leere laufen zu lassen.
- Web-Applikation
– Stellen Sie sicher, dass Sie jeweils die aktuelle Version des Programmes einsetzen
– Installieren Sie nur Module / Komponenten, die Sie auch wirklich benötigen. Jedes zusätzliche Modul erhöht die Angriffsfläche - Web-Server
– Verwenden Sie zur PHP-Ausführung FastCGI, um PHP unter dem FTP-Benutzernamen betreiben zu können
– Ändern Sie die Rechte kritischer Konfigurationsdateien (Passwortdateien) ausnahmslos auf 600.
– Verhindern Sie Web-Zugriffe auf sicherheitsrelevante Scripts via .htaccess (Deny from all)
– Verhindern Sie unprivilegierte Web-Zugriffe auf nicht öffentliche Bereiche mit einem Passwortschutz. - FTP-Server
– Verbinden Sie sich ausschliesslich verschlüsselt mit dem FTP-Server. - Mail-Server
– Verbinden Sie sich ausschliesslich verschlüsselt mit dem Posteingang- sowie Postausgangsserver.
POP3 over SSL = Port 995
IMAP over SSL = Port 993
SMTP over SSL = Port 465 - Datenbank-Server
– Vermeiden Sie Standard-Datenbanknamen wie typo3, gallery etc. - Passwörter
Achten Sie ausserdem darauf, dass Sie die Passwörter für den Backend-Zugang, FTP-Zugriff, Mail-Adresse sowie den DB-Benutzer jeweils regelmässig ändern und mit einem Passwortgenerator generieren
oder nach folgendem Schema vorgehen:
Das generierte Passwort …
- schöpft die volle Möglichkeit von mind. 8 (besser 10 oder mehr) Zeichen aus
- enthält mind. 2 Buchstaben unter Verwendung von Gross- als auch Kleinbuchstaben
- enthält mind. 2 Ziffern oder Sonderzeichen
- enthält keine (erkennbare) Systematik, d.h. erscheint wie eine zufällig erzeugte Zeichenfolge
- ist kein Wort einer bekannten Sprache
- ist nur dem Inhaber der Kennung bekannt
- wird in angemessenen Abständen geändert.