In diesem Tutorial möchte ich auf die großen Sicherheitslücken der Szene hinweisen und helfen diese zu schließen.
Unter Sicherheitslücken verstehe ich unsichere Kennwörter, unverschlüsselte Dateien und Virenschleudern.
In diesem Teil werde ich einige Dinge ansprechen, die helfen könnten, euren Server sicher zu halten.
Das bedeutet: Sicher vor Datenklau, etc.
Wenn man sich einen Server kauft, sollte man niemals das Standard Kennwort benutzen. Nach dem ersten Login sofort ändern.
Dabei sollte man beachten ein sicheres Kennwort zu verwenden oder generieren zu lassen.
Bevor man überhaupt etwas tut sollte man die Updates aktivieren und den Server alle verfügbaren Updates installieren lassen.
Nachdem erforderlichen Neustart kann es an die Installation gehen.
Wichtig: Niemals auf dem Server surfen. Ich kann es euch nur im Guten sagen.
Bearbeitet eure Dateien auf euren echten Rechnern und sendet diese dann an den Server.
Runterladen ist strikt verboten. Es könnten Viren und Trojaner auf den Server gelangen, welche ihn verlangsamen und ein hohes Sicherheitsrisiko entsteht.
Einrichten eines FTP Servers
Man sollte nachdem man den Server eingerichtet hat, ebenfalls einen FTP Server einrichten.
Dieser sollte nur Zugriff auf einen Ordner besitzen; nämlich /wwwroot/
Dort ladet ihr die Dateien vom PC aus auf den Server. Einfacher und sicherer geht es nicht.
Bedenkt jedoch auch dort ein anderes Kennwort zu verwenden und niemanden das Kennwort weiterzugeben.
Weder vom Server selbst, noch vom FTP Zugang. Es sei denn, ihr erstellt einen zweiten Zugang, der für eure Techniker (bspsw.) bestimmt ist.
Ihr müsst dann bei IIS eine zweite Seite einrichten und nennt diese als Beispiel beta.habbo.de.
Dann erstellt ihr einen Ordner dazu, und richtet diesen für einen zweiten FTP Zugang ein. Diesen Zugang wird nur der Techniker benutzen.
Wenn es dir gefällt, was er unter beta.habbo.de macht, dann kannst du es selber vom /beta/ nach /wwwroot/ senden.
Vergiss nicht, auch das beta Hotel strikt lückenfrei zu halten und am besten mit der .htaccess oder web.config zu verschlüsseln.
Auch hier sollte ein sicheres Kennwort benutzt werden, dass niemand, außer der Techniker wissen sollte.
Nun zum Thema Software. Wie ich bereits oben erwähnte, sollte man niemals etwas auf dem Server suchen/surfen oder runterladen.
Bevor man jedoch Tools vom FTP Server hochlädt, sollte man schauen, ob diese sinnvoll und virenfrei sind. (bsp.: Navicat oder PHP Variante phpmyadmin.)
Sollte jedoch wirklich etwas gesucht werden, sollte man den Internet Explorer dazu verwenden und keine schädlichen Seiten aufrufen.
Ein Beispiel für eine schädliche Seite wären Torrents.
Wenn man dies alles einhält, hat man einen wirklich sicheren Server, bei dem eigentlich nichts geklaut werden kann,
außer es gelangen tatsächlich durch irgendwelche Content bedingte Lücken Spyware oder Trojaner auf dem Server.
Daher empfiehlt es sich die Firewall strikt einzuschalten und Programme wie den Phoenix Emulator in der Regelliste zu erlauben.
(sofern man weiß, dass dieser keinen Schaden anrichtet.)
In Teil 2 meiner Reihe werde ich euch sagen, wie man die Firewall richtig einrichtet und welche Sicherheitsmaßnahmen man gegen Angriffe tun sollte.
Mit freundlichen Grüßen
Nuclear
