8 Tools für die Sicherheit von Linux-Servern

Linux-Server auf dem neuesten Stand zu halten und mit Patches zu versehen, ist nicht die Aufgabe eines einzigen Tools. Sie benötigen mehrere Tools, um sicherzustellen, dass Ihre Server ordnungsgemäß konfiguriert sind und kein Ziel für die neuesten Exploits darstellen. Die Überprüfung eines einzelnen Servers könnte manuell erfolgen, aber wenn Sie für Hunderte von kritischen Servern verantwortlich sind, benötigen Sie Tools, um die aktuelle Serverfunktionalität zu überprüfen, Software zu aktualisieren, Konfigurationen festzulegen und alle anderen während der Wartung erforderlichen Aktionen durchzuführen. Die folgende Liste von Tools ist eine Aufschlüsselung der besten Software, die Administratoren bei der proaktiven Verwaltung von Linux-Servern, Konfigurationsmanagement, Updates und Patches hilft.

Inhalte:

1. Schwachstellen-Management
2. Konfigurationsmanagement
3. Live-Patching
4. Schlussfolgerung

Schwachstellen-Management

Die Netz- und Bedrohungslandschaft von heute wird morgen nicht mehr dieselbe sein. Neue Technologien werden eingeführt, und Angreifer finden neue Wege, um Schwachstellen auszunutzen. Administratoren benötigen Tools, um Server zu scannen und Fehlkonfigurationen, veraltete Software oder andere Infrastrukturprobleme zu finden, die zu einer Gefährdung führen könnten. Diese Tools werden von einigen der größten Unternehmen der Welt eingesetzt, um sicherzustellen, dass ihre Server gepatcht und sicher sind.

Tenable Nessus

Einer der beliebtesten Schwachstellen-Scanner ist wohl Tenable Nessus. Tenable ist das Schwachstellen-Management-Tool (Tenable.io ist ein Cloud-basiertes Management-Tool, das bei Kunden, die Nessus-Scans nutzen, sehr beliebt ist), und Nessus ist der in seinem Paket enthaltene Scanner. Ein Merkmal von Nessus, das es für Unternehmen attraktiv macht, ist seine vorhersehbare Priorisierung. Diese Funktion bietet Administratoren eine Orientierungshilfe bei der Entscheidung, welche Schwachstellen zuerst behandelt werden sollten. 

Nessus eignet sich am besten für Server vor Ort, bei denen Administratoren die Sicherheit interner und öffentlich zugänglicher Server gewährleisten müssen. Nessus eignet sich auch hervorragend, wenn das Unternehmen weiß, dass andere Tools nicht effektiv genug scannen können und Patches installiert werden müssen. Mit den Priorisierungsfunktionen können Administratoren bekannte Probleme auf Servern beheben, indem sie die schlimmsten Bedrohungen zuerst angehen.

Rapid7 Metasploit

Während Nessus nach Schwachstellen scannt, sucht Rapid7 Metasploit ist der König der Penetrationstests. Es ermöglicht Benutzern, Exploit-Code zum Testen von Schwachstellen einzusetzen. Mit anderen Worten: Nessus scannt nach Schwachstellen, aber mit Metasploit können Sie sie ausnutzen. Natürlich sollte dies nicht in einer Produktionsumgebung durchgeführt werden, aber es ist gut für Entwickler und Administratoren, die sich für die Cybersicherheit ihrer Infrastruktur und Software interessieren. 

Metasploit ist für Sicherheitsteams von Vorteil, da es ihnen ermöglicht, die Sicherheit in der gesamten Umgebung zu verbessern. Entwicklern kann es helfen, Schwachstellen zu überprüfen, Risiken zu bewerten und andere über den Schweregrad einer bestimmten Schwachstelle zu informieren. Außerdem können Sie proaktiv vorgehen, wenn es darum geht, Schwachstellen in Ihrer Software zu identifizieren und zu beheben.

Qualys

Für Unternehmen, die den Großteil ihrer Infrastruktur in der Cloud betreiben, Qualys eine gute Wahl für Cloud-basiertes Schwachstellen-Scanning. Qualys eignet sich hervorragend für das Scannen von Umgebungen, die entweder vollständig in der Cloud liegen oder eine Mischung aus Vor-Ort- und Cloud-Infrastruktur aufweisen. Es kann zu 100 % als SaaS-basierte Lösung zum Scannen von Anwendungen und Infrastrukturen eingesetzt werden, die im Rechenzentrum eines Cloud-Anbieters gespeichert sind.

Ähnlich wie Nessus wird auch Qualys Schwachstellen priorisieren und jedem Risiko einen Wert zuordnen, so dass Unternehmen potenziell Tausende von Problemen auf die wenigen Dutzend reduzieren können, die am wichtigsten sind. Qualys gibt es schon seit Jahren, daher ist seine API etwas veraltet. Die API ist eine nicht-REST, XML-basierte API, die in Ihre eigenen Anwendungen integriert werden kann.

Konfigurationsmanagement

Fehlkonfigurationen können zu schwerwiegenden Datenverstößen führen. Wenn Administratoren die Cloud-Infrastruktur und Server nicht richtig konfigurieren, können Angreifer, die über die richtigen Scanning-Tools und Exploits verfügen, Schwachstellen entdecken. Konfigurationsmanagement-Tools stellen Konfigurationen während der Software-Promotion für die Produktion bereit und verhindern menschliche Fehler bei der manuellen Konfiguration von Hunderten von Servern.

Chefkoch

Für Unternehmen, die mit Entwicklern und kundenspezifischer Software arbeiten, Chef eine gute Wahl für die Bereitstellung und Verwaltung von Konfigurationen. Chef wurde für Entwickler entwickelt, insbesondere für diejenigen, die die Sprache Ruby verstehen. Chef zieht auch aktuelle Konfigurationen, so dass sie vor dem nächsten Push überprüft werden können. 

Chef ist vollständig programmierbar und flexibel. Wenn sich Ihre Programmierer mit Ruby auskennen, ist es ein Leichtes, groß angelegte Konfigurationsänderungen auf mehreren Servern zu implementieren. SaaS-Versionen des Tools bieten Analyse- und Berichtsfunktionen.

SaltStack

In Linux-Umgebungen, SaltStack ein gängiges Tool für die Bereitstellung von Konfigurationen und SSH-Befehlen über eine verschlüsselte Kommunikation mit Ihren Servern. SaltStack hat eine ähnliche Lernkurve wie Chef, erfordert aber weniger Programmierkenntnisse als Chef. Es kann zur horizontalen oder vertikalen Skalierung von Ressourcen während der Bereitstellung verwendet werden. Anstelle von Ruby verwendet SaltStack Python, eine bei Linux-Administratoren weitaus beliebtere Sprache.

Um Vorlagen zu erstellen, können Benutzer YAML-Vorlagen erstellen, die Standardkonfigurationen in der gesamten Umgebung bereitstellen. SaltStack ist für große Umgebungen gedacht, in denen die Last ausgeglichen werden muss und die Administratoren einen Standard für jeden Server benötigen. Es verfügt über einen zentralen Server und Agenten, sogenannte Minions, die auf jedem Server laufen.

Marionette

Puppet ist einer der beliebtesten Konfigurationsmanager auf der Liste. Es wird von sehr prominenten Unternehmen im Internet verwendet, darunter Reddit, Google, PayPal und Oracle. Es ist Open-Source und in der Sprache Ruby geschrieben, und Administratoren können eine Befehlszeilenschnittstelle verwenden oder sich für die Arbeit mit der grafischen Benutzeroberfläche entscheiden.

Agenten müssen auf jedem Knoten ausgeführt werden, was einen gewissen Aufwand für Sicherheit und Berechtigungen erfordert. Die Entwickler von Puppet erlauben Ruby-Befehle in der Befehlszeilenschnittstelle (CLI), sind aber auf dem Weg zu einer Puppet-eigenen Sprache. Dies könnte eine enorme Lernkurve für zukünftige Puppet-Einsätze verursachen.

Ansible

Roter Hut Ansible ist ein leichtgewichtiges Konfigurationstool, das sich perfekt für Netzwerkadministratoren eignet, die eine Möglichkeit benötigen, Befehle in Python an Server zu senden, anstatt komplexe proprietäre Sprachen oder Ruby zu verwenden. Das Besondere an dieser Lösung ist, dass Befehle in jeder Sprache geschrieben werden können und nicht auf das zugrunde liegende Framework beschränkt sind.

Konfigurationsdateien, so genannte Playbooks, können in YAML erstellt werden, um Konfigurationen über mehrere Server hinweg zu standardisieren. Auf den Client-Zielcomputern sind keine Agenten erforderlich, so dass der Aufwand für die Bereitstellung und Konfiguration für die ersten Schritte deutlich geringer ist. Konfigurationen können auch in Cloud-Umgebungen oder auf virtuellen Maschinen mit VMWare in Ihrem lokalen Netzwerk bereitgestellt werden.

Live-Patching

KernelCare

Schwachstellen-Scanner und Tools für die Konfigurationsbereitstellung sind großartig für die Automatisierung und das Auffinden von Problemen, aber Sie brauchen immer noch eine Möglichkeit, den Linux-Kernel zu patchen. Patches und Aktualisierungen von Anbietern erfordern einen Neustart, was bedeutet, dass Sicherheitspatches erst zu einem geplanten Datum eingespielt werden. Live-Patching ermöglicht ein rebootfreies Patchen, aber die meisten Lösungen patchen nur eine bestimmte Distribution.

KernelCare lässt sich mit Schwachstellen-Scannern und Konfigurationsmanagern integrieren, um Linux automatisch zu patchen, wenn eine Sicherheitslücke gefunden wird. Nach Abschluss des Live-Patchings meldet KernelCare die aktualisierte Version an Schwachstellen-Scanner. Neben der Zusammenarbeit mit Scannern kann KernelCare auch mithilfe von Konfigurationsmanagement-Tools wie Puppet, Chef, Ansible und SaltStack auf jedem Server bereitgestellt werden.

Schlussfolgerung

Jede große Umgebung benötigt Tools, die den Administratoren helfen, die Stabilität des Netzwerks aufrechtzuerhalten. KernelCare kann sich um die Sicherheitspatches für den Linux-Kernel kümmern, ohne dass ein Neustart erforderlich ist, so dass Sie das Patchen nicht verzögern müssen. Es arbeitet nahtlos mit den oben erwähnten Tools für das Schwachstellen- und Konfigurationsmanagement zusammen. Wir haben Server, die seit 6 Jahren nicht mehr neu gestartet wurden, und diese Kunden sind weiterhin SOC2-konform. Mit KernelCare können Sie einen Großteil des Aufwands für die Serverwartung und zeitraubende Prozesse vermeiden.