Sicherheit
wirt: ist ein reiner Webserver und bietet nach aussen keine anderen Dienste, auch keine Managementdienste, an. Das komplette Management des Servers wird manuell auf der Kommandozeile mit ssh erledigt. Dadurch gibt es keine Angriffsvektoren über komplexe Managementwerkzeuge. Der Zugriff über ssh ist auf sechs IP Adressen beschränkt - so ist wirt: im Prinzip nur über Port 80 http und Port 443 https offen. Beim Patchmanagement des Servers wird Aktualität vor Stabilität gesetzt. Besser einmal öfter abgestützt als gehackt und Daten verloren oder manipuliert.
Netzwerk
- keine Dienste offen ausser http Port 80 und https Port 443
- auch alle lokalen Dienste sind nach aussen geschlossen
- zusätzlich ist noch eine lokale Firewall aktiv
- ftp läuft auf eigener IP isoliert chroot'et (vsftpd)
- kein phpmyadmin
- kein webmin oder Plesk, Kloxo, HyperVM
- ssh nur über bekannte IP Adressen oder Portknocking
Software
- minimal Installation Betriebssystem
- alle Provider Management tools deinstalliert
- die von aussen erreichbaren Dienste laufen in virtuellen Containern
- Loadbalancer vor Webserver zur DoS-Abwehr
- Webserver Benutzer hat nur Leserechte an den Sites
- Prozesse und php auf Benutzerebene
- alle Aussendienste mit SSP übersetzt
- extrem aggressiv zeitnahes Patchmanagement
- MySQL mit GreenSQL-Proxy (SQL-Injection IPS)
Virenschutz und IPS zentral im Webserver
- zentraler Virenscanner für alle Uploads
- XSS-/PHP-/cmd- und SQL-Injection Patternscanner
ITIL Betrieb
- tägliche manuelle Überprüfung der Einbruchserkennung
- tägliche manuelle Inspektion der Logdateien
- siebenstufiger Backup (Provider, extern, DB-Replikation, Backupserver, Google-Cloud, Strato HiDrive)
- kontinuierlich getestete Wiederherstellungsprozeduren