32.5 Updates
Eine Update-Policy ist für die Sicherheit der Serversysteme extrem wichtig. Man kann zwar einen Webserver durch Firewalls absichern, auf die grundlegende Funktionalität – eben den angebotenen Serverdienst – kann man aber von außen immer noch zugreifen. Ist die dort laufende Software irgendwann veraltet oder werden signifikante Sicherheitslücken bekannt, so wird der Dienst und damit der Rechner sowie das gesamte Netzwerk angreifbar.
»Never change a running system.« Leider, aber verständlicher Weise, leben noch viele Administratoren nach diesem Grundsatz. Bei der Sicherheit und im Zusammenhang mit wichtigen Sicherheitsupdates sollte man eine Ausnahme von dieser Regel machen. Auch in Bezug auf unscheinbare Kommandozeilen-Tools ist bei Servern natürlich Minimalität, aber eben auch Aktualität gefragt.
[zB]Wenn zum Beispiel ein Angreifer den Webserver, der als Benutzer httpd läuft, durch eine Sicherheitslücke dazu bringt, eigenen Code auszuführen, kann er so eine Shell auf dem Serversystem starten. Diese Shell läuft nun unter den Rechten des Webservers – als httpd. Weil man damit als Angreifer aber nicht viel machen kann, wird der Angreifer früher oder später nach lokalen Sicherheitslücken suchen. Als Grundlage dieser Suche dienen alle Tools, die er auf dem Server findet. Nachinstallieren kann er selbst zu diesem Zeitpunkt noch nichts, was ihm Root-Rechte verschaffen könnte.
Problematisch bei Updates ist nur, dass (gleich mit welchem System sie durchgeführt werden) hinterher immer die Gefahr besteht, dass irgendetwas nicht funktioniert. Daher sollten Updates – zumindest im Sinne neuer Programmversionen – eigentlich nicht automatisch installiert werden, auch wenn einige Linux-Distributionen dies anbieten.
Ihr Kommentar
Wie hat Ihnen das <openbook> gefallen? Wir freuen uns immer über Ihre freundlichen und kritischen Rückmeldungen.