Server allgemein
-
Auf Kommandozeilen keine Benutzernamen oder Passwörter als Parameter von Befehlen anhängen da diese sonst über die Prozessliste ausgelesen werden können
- stattdessen sensible Dateien immer über Konfigurationsdatei übergeben
-
Nach außen immer nur die Ports die notwendig sind freischalten und alle anderen schließen
- -> Überprüfen mit nmap (siehe Kapitel Vulnerability-Scanning)
-
Unter Linux automatische Updates aktivieren, siehe Artikel auf ubuntuusers.de
-
Kein anonymes FTP aktivieren da sonst Angreifer bösartige Dateien hochladen können und diese über eventuelle Schwachstellen in der Webanwendung die auf dem gleichen Server läuft ausführen können
Webserver
-
nur Verbindungen mit TLS 1.2 oder 1.3 zulassen
- SSL, TLS 1.0 und TLS 1.1 werden nicht mehr unterstützt und als nicht mehr sicher betrachtet
-
stets Standardkonfiguration überprüfen
-
in Apache Webservern Informationsseiten /apache-server und /apache-info deaktivieren da sonst sensible Informationen an die Außenwelt gelangen können
-
Keine Backup-Dateien (z.B. backup.zip oder dump.sql.gz) oder sonstige unnötige Dateien auf dem Webserver belassen da diese mit Tools aufgespürt werden können und Hacker aus diesen sensible Daten wie Benutzername und Passwörter entnehmen können