99% aller Server-Sicherheitslücken sind eh aufgrund menschlicher Fehlbedienung entstanden.
Das ist so nicht ganz richtig. Denn die Fehlbedienung beruht auf Unwissenheit, was für Sicherheitslücken es eigentlich alles gibt. Wenn man weiß, was unsicher ist, kann man dies eventuell auch beheben. Dies ist allerdings von den verwendeten Diensten und der Distribution des Softwarepaketes abhängig. Liefert der Anbieter nur zögernd Patches und man ist auf den Dienst angewiesen, kann man diese mal nicht so einfach durch die Deaktivierung des Dienstes schließen.
Die Bedienbarkeit eines OS hat auch nichts damit zu tun, ob man es schneller oder überhaupt absichern kann. Wichtig ist die Dokumentation des OS. Denn wer nicht weiß, wo man es abändert, dem wird kein Lollypop oder Klicki Bunti helfen. Dass die Bedienbarkeit bei Linux, trotz der vielen Ansätze namhafter Firmen, sehr zu wünschen lässt, darüber muss man nicht diskutieren.
Wir dachten früher auch bei der Migration von Windows auf Linux, dass es sicherer sei, aber Pustekuchen. Die Anzahl der Sicherheitslücken war bei einem voll gepatchten Linux-System immernoch höher als bei einem vergleichbaren Windows-System. Wobei wir wieder beim Liefern von Patches wären.
Erst externe Checks wiesen uns daraufhin, weil wir es einfach nicht wussten. Uns wurde Sicherheit suggeriert.
Ich habe bis jetzt noch keinen Mac OS X Server aufgesetzt, aber wenn dieser in der normalen Installation genauso ausschaut, wie Mac OS X für Clients, dann Mahlzeit. Denn auf einem Webserver zum Beispiel brauche ich keine GUI, Bedienbarkeit hin oder her. Ich brauche dort auch kein CUPS. Samba ist total unnutz.
Wenn man ein Minimum an Sicherheit liefern will, dann sollte man nach jeder Installation und den nachvolgenden Schritten einmal einen Schwachstellenscanner über das System laufen lassen. Für sehr kleine Firmen, lohnt es sich vielleicht, sich
Nessus anzuschauen.
Für größere Firmen, die einen gewissen Grad an Sicherheit liefern müssen, empfiehlt sich sicherlich eine Prüfung durch
Qualys.
Sowohl Nessus als auch Qualys geben einem nach erfolgter Prüfung Lösungsansätze um die gefundenen Schwachstellen zu schließen.
Eine Liste von Schwachstellen zu verschiedenen Betriebssystemen und Software gibt es auf
CVE
oder
SecurityFocus.
Für den heimischen Webserver mag dies alles uninteressant sein, aber gerade dort, wo es um Geld geht, sollte man die Sicherheit nicht unterschätzen. Generell sollte man immer mit ein wenig Paranoia ans Werk gehen. Nicht zuviel, sonst endet das Projekt vielleicht wie der Windows-Rechner vom Bekannten, wo 5 verschiedene Antispy-Programme laufen und man sich wundert, warum Minesweeper ruckelt.
Wenn mich jemand fragt, ob Windows sicher ist, dann lautet die Antwort definitiv nein. Bei Linux wäre die Antwort nein. Und bei Mac OS X würde ich dasselbe sagen, weil es kein Betriebssystem gibt, was sicher ist. Was jedoch nicht heißt, dass man es speziell für die benötigte Umgebung absichern kann.
Man sollte möglichst auch nur einen Dienst pro Server laufen lassen, da meist das Zusammenspiel verschiedener Dienste auf einem Server das Risiko eines Einbruchs erhöhen.
Grüße
Marco