Ein eigener Server ist eine feine Sache. Man muss seine Ressourcen nicht teilen und als Admin kann man selber entscheiden welche Software auf dem Server installiert ist. Die Kehrseite der Medaille ist natürlich das man als Admin selber darauf achten muss, das die installierte Software aktuell bleibt.
Warum aktuelle Software wichtig ist
Aktuelle Software ist DER wichtigste Aspekt um die Sicherheit seines Servers zu gewährleisten! Potentielle Angreifer suchen in der Regel zuerst Schwachstellen in der Software, die auf dem Server installiert ist. Schwachstellen die durch Softwareupdates geschlossen werden. Erfährt die Hersteller einer Software, dass es zum Beispiel eine Sicherheitslücke in seinem System gibt, schreibt er ein Programm, welches die Sicherheitslücke in seiner Software schließt. Einen sogenannten „Patch“.
Als Benutzer von Software sollte ich also immer darauf achten, dass ich alle aktuellen Patches auf meinem System zeitnah einspiele.
Nicht den Überblick verlieren
Um also meinen Server softwareseitig sicher zu halten, sollte ich regelmäßig kontrollieren, ob es patches für die von mir eingesetzte Software gibt. Dabei können wir zwischen zwei Arten von Software unterscheiden – dem Betriebssystem inklusive der Standardsoftware der eingesetzten Linuxdistribution (zum Beispiel Ubuntu mit Apache, PHP und MySQL) und den installierten Applikationen (zum Beispiel das Plesk Servermanagement Panel oder der WordPress-Blogsoftware). Für beide Gruppen muss man als Admin sicherstellen, dass aktuelle Patches zeitnah eingespielt werden. Nur wo erfahre ich von den Patches?
Applikationen patchen
Bei den Applikationen gestaltet sich das sehr unterschiedlich. Allerdings machen viele Softwarehersteller einem mittlerweile das Leben einfach. So zeigen WordPress und Plesk zum Beispiel dem Admin direkt im Dashboard an, wenn Updates verfügbar sind. Diese können dann in der Regel mit einem Klick installiert werden. Wird man von der Software nicht von sich aus mit solchen Informationen versorgt, bleibt einem nur, die Newsletter des Herstellers zu abonnieren oder häufig dessen Webseite zu frequentieren. Die Art und Weise wie der Softwarehersteller seinen Kunden mit Patches versorgt, sollte durchaus ein Entscheidungskriterium bei der Wahl des Servermanagementpanels, des Blogs oder des eShops sein.
Patchen der Distribution
Im April sind wir schon einmal in einem Artikel auf unserem Patchservice-Servermanagement VCS eingegangen. In diesem Artikel geht es ums „selbermachen“. Wie das Patchen funktioniert ist bei jeder Distribution anders. Grundsätzlich gilt es aber immer folgende Punkte durchzuführen.
- Überschaffe Dir einen Überblick über die aktuellen Patches
- Verstehe was da aktualisiert werden soll
- Spiel die aktuellen Patches auf dein System ein
Im folgenden gehen wir kurz darauf ein, wie man die einzelnen Distributionen patcht:
Ubuntu
Bei Ubuntu gibt man folgende Befehle in der Shell ein
- sudo apt-get update
- sudo apt-get upgrade
- sudo apt-get dist-upgrade
- sudo apt-get autoclean
Debian
Hier sind die Befehle für Debian-Distributionen:
- Füge die Zeile:
deb http://security.debian.org/ squeeze/updates main contrib non-free
in die Datei
/etc/apt/sources.list
ein. - Anschließend führe den Befehl
apt-get update &&apt-get upgrade
aus.
Fedora
Die schnellste Variante ist es, Updates direkt über yum einzuspielen. Dafür ist folgender Befehl notwendig:
yum update
Danach öffnet sich ein Dialog in den man gefragt wird ob man die einzelnen Pakete updaten möchte oder nicht.
Fazit
Ohne patchen geht es nicht! Wer sich Serveradmin nennt, muss sich regelmäßig um die Sicherheitsupdates der Serversoftware kümmern. Einen Teil der Arbeit kann man zum Glück an seinen Provider abgeben, aber zumindest um die Applikationen auf dem Server muss man sich selber kümmern.