Linux-Server-Härtung für die Cloud: Wie man Produktions-Kerne vor Angreifern schützt
let me tell you something about cloud servers baby - they are not like your grandmas old pc sitting in the corner collecting dust. no these bad boys are out there in the wild digital jungle getting poked by russian bots 24/7 and if you think default settings will save you you are living in pixie dust land.
- warum ist kernel-sicherheit so wichtig?
der kernel ist das herz deines linux-systems und wenn angreifer darin eindringen haben sie das volle rezept. ich saß ne nacht lang dran weil jemand in estland 50000 meldungen pro stunde spamte. - welche grundlegenden schritte sollte man treffen?
updates installieren abschalten was nicht benötigt wird und sshd härten. ein kollege hat mir gesagt dass man mal eben ports offen lässt ist wie eine eingangstür ohne schloss in berlin pankow. - wie oft sollte man prüfen?
automatisierte scans wöchentlich manuell monatlich. eine berechnung von bsi empfiehlt mindestens zwei fußnoten pro jahr für kritische systeme sonst gibts ärger mit der chefin. - was ist das mit apparmor und selinux?
mehrstufige schutzmechanismen die spezifisch sind. apparmor ist wie ein freund der dir immer sagt was du tun kannst während selinux dir erlaubt sein eigener wächter zu sein der nie zufrieden ist. - brauche ich wirklich container isolation?
absolut denn docker alleine ist wie ein ziegelstein die decke ohne mozzerella. kubernetes löst das aber nur wenn man es richtig konfiguriert und nicht als biergarten-setup im produktivbetrieb.
kürzlich hat ein dam hatte ein system das so lahm war dass selbst die maus einen timeout hatte. gesagt hinterfragte ich alles. standard-passwörter? check. offene ports wie weihnachten? check. jemand hat mir geraten firewall-regeln zu nutzen aber ich dachte immer das sei nur marketing-fluff. boy was ich mich geirrt habe.
vielleicht hast du auch schon erlebt dass der it-dienst morgen früh schon um 6 uhr mit inkompetenten frustrierungen außer dir. das ist der moment in dem du merkst dass hardening nicht sexy ist aber nötig wie dein brasschaumännchen
ich erinnere mich an einen server der einfach so lag und sich selbst übernommen hat. weird shit happens im cloud computing wenn man nicht aufpasst. die lösung? starke authentifizierung und das bedeutet keine kindheitstraumata mehr sondern echte zwei-faktor-sicherheit
wusstest du dass aws alte instanzen nach 90 tagen automatisch deaktiviert? ein freund von mir hat warnen lassen dass viele unternehmen das vergessen und dann wild drauflauern weil der chef plötzlich 50 rechnungen bekommen hat
die wahrheit ist dass sicherheit keine checkbox ist die du erledigen kannst. sie ist ein lebensstil wie vegan sein oder joggen gehen. du musst es lieben oder es wird dich hassen zurück
- wie konfiguriere ich ssh richtig?
ändere den standard-port schließe passwort-auth ab und nutze key-basiertes login. jemand hat mir verraten dass port 22 zu scannen ist wie popkorn kochen bei kindergeburtstagen. - brauche ich wirklich ein log-management?
ja denn ohne logs ist die forensik wie durchsucht eine schublade ohne lichter. rsyslog mit zentraler auswertung rettet dich vor dem chaos nach dem gebäck. - was ist mit dateisystem-verschlüsselung?
luks ist dein freund wenn daten physisch gestohlen werden. wenn jemand dir sagt das sei overkill zeig ihm die dpa strafen die man kriegen kann für unverschlüsselte daten.
morgens um 7 wenn der kaffee noch nicht gearbeitet hat und die shell prompt muckt das ist der moment der wahrheit. keine filter keine perfektion nur pure systemlast und die frage ob heute ein update kommt oder nicht
ich hab ne zone in berlin gefunden wo sogar die ampeln gehackt wurden weil wer Pantoffeln hatte. das ist das niveau an verrücktheit in der sicherheitswelt und manchmal frage ich mich ob ich das falsche leben gewählt hab
die meisten vorfälle passieren nicht weil götter zufälle sind sondern weil menschen faul sind. ein kollege hat mir sagen müssen dass ein dicker bug nur draußen war weil jemand den patch vergessen hat und dann jahrelang damit gespielt hat
manchmal sitzt man um 3 uhr morgens und fragt sich warum das system nicht obliegt und dann merkt man dass die kaffee machine auch rebooten muss. lebensweise erkenntnisse gibts auch in der serverwelt
die beste sicherheitsberatung die ich je bekommen hab war von nem pensionisten der mir erklärt hat dass backups wie versicherung sind die du brauchst aber nie gebrauchen willst
auserdem wenn du heute noch localhost in urls siehst dann lächle ich und denke an die guten alten zeiten als internet noch wie ein kleines dorf war und niemand wusste wo es langgeht
auserdem regelmäßige penetrationstests sind wie zahnarzttermin - nervig aber notwendig. wer das nicht versteht der landet in sowas wie einer nisttasche voller viren die ständig piepen und nie aufhören
es gibt drei arten von reue: erste ist die nacht nach dem update wo alles down ist und du denkst warum hab ich das gemacht. zweite ist die erkenntnis dass das backup auch kaputt ist weil es nie getestet wurde. dritte ist die ruhe wenn man merkt dass man endlich aufgewacht ist und das licht wieder anschalten kann
viele systeme erinnern sich an alte windows xp maschinen die noch 2023 laufen weil man Angst hat was passieren kann wenn man sie abschaltet. das ist die psychologie der sicherheitsresignierten menschen
jemand von mir hatte mal ne zone wo er dachte dass er alles sicher hat und dann gabs ne neue kategorie in den logfiles die ihn zum wachwerden brachte. diese momente ändern dich für immer
der andere typ der reue ist der denkmalgeschützte admin der immer zu viel weiß und nie zugeben kann dass er mist gebaut hat. diese typen haben immer widersprüche in den konfigurationen und gründe warum sie das nicht ändern können obwohl sie es könnten
server hardening ist wie ein deutschlandticket - scheinbar kompliziert aber am ende vergessen und trotzdem notwendig. andere vergleiche sind penetration testing und ein fitness-studio besucht - beides schmerzt aber du fühlst dich danach besser als ein olympionik
container security ist wie ein veganer curry - sounds healthy until someone puts actual spices in there. warte falsch - das ist wie ein low-budget film der besser ist als der teure blockbuster
cloud compliance ist wie ein date mit einem lawyer - langweilig bis der ceo fragt warum die daten jetzt bei der konkurrenz sind. das ist der moment der prüfungsfrage die uns alle trifft irgendwann
viele denken dass sicherheit teuer ist aber die wahrheit ist ganz anders. ein paar euro für ein zertifikat kosten weniger als 100000 euro strafen. das rechnen kann selbst ein mausschädel in kassel
automatisierte updates sind wie ein fitness-tracker - funktionieren gut bis sie ausfallen und dann merkst du wie unfit du wirklich bist. der mensch ist dazu gemacht fehler zu machen und diese zu korrigieren
wenn du glaubst dass dein cloud provider alles sichert dann wirst du lachen als die ersten daten fehlen und niemand weiß wo sie sind. speicherorte und datenhoheit sind nicht nur buchstaben sondern lebensentscheidungen
die meisten sicherheitsvorfälle entstehen nicht durch geheimnisvolle hacks sondern durch mängel die jeder sehen kann wenn er will. ein offenes dashboard oder ein unsicherer ssh key sind wie ein rotes licht das niemand mehr sieht
server-hardening fällt nie jemandem zu wenn alles läuft. es ist wie putzen - wichtig aber langweilig bis der boss einen anruf bekommt und plötzlich wird putzen zum lebenssinn
ich hab ne erfahrung mit einem system das so unsicher war dass selbst ein script kiddie hineingeschaut hat. das war der moment wo ich verstand dass sicherheit nicht sexy ist aber notwendig wie dein brasschaumännchen
