AV-Lösung für Plesk-Server?

[Dsimon24]

Moin zusammen,

U.a. nutzen wir einen CentOS-Plesk-Server.
Dort haben wir eine Website, auf der ein Datenupload ermöglicht wird.
Neben der Prüfung, welche Files hochgeladen werden dürfen (bspw. .doxc .xlsx .pdf)
ist es notwendig, auch die Inhalte der Files auf Viren zu prüfen. Könnt ihr mir dazu eine
Software empfehlen? Am besten eine Software, die sich auf einfacher Weise über
Plesk installieren lässt?

VG,

 

[madmax2010]

ClamAV eignet sich dafür. Ist der Standard, den man auch auf mailservern nutzt

Ob man das über Plesk installieren kann, kann ich dir nicht sagen

 

[snaxilian]

Die Erkennungsrate von clamav ist halt bescheiden...
Welche Schlangenöl Produkte für Linux hast du denn bereits selbst gefunden und warum kamen diese bisher nicht in Frage?

 

[Dsimon24]

Bisher habe ich ImunifyAV und Imunify360 gefunden - ebenfalls lassen sich diese gut in Plesk installieren. Leider scannen diese Programme aber keine MS Office-Dokumente oder PDF-Dokumente auf mögliche Vireninhalte. Sowas habe ich leider noch gar nicht gefunden.

 

[snaxilian]

Das direkt Viren, Malware, etc. in Office Dokumenten steckt ist seltener geworden. Die häufigste Variante beinhaltet "nur" den Downloader, der den eigentlichen Schadcode dann nach lädt.
Ansonsten erweitere mal deinen Horizont weg von Klickibunti-Plesk und suche allgemeiner nach Schlangenöl für Linux.

 

[madmax2010]

Den nachsatz von @snaxilian hatte ich mir vorhin extra verkniffen, aber er hat recht.

Das klingt, als wuerde da halt ein kleiner webserver mit kleinem datenbankserver laufen -wenn eine gute anleitung wie man sowas ohne plesk macht gebraucht wird: frag uns
Plesk ist teuer, inkosistent und ein sicherheitsrisiki, welches vermutlich relevanter ist, als ein potentiell infiziertes dokument.

Webserver + db +ssl + filestorage ist kein hexenwerk und wir helfen gern

 

[snaxilian]

Ein halbwegs korrekt konfiguriertes Plesk würde ich noch nicht als Sicherheitsrisiko bezeichnen, da mir keine größeren Probleme oder Lücken damit bekannt sind. Wenn dann lag es an fehlerhafter Konfiguration, fehlendem TLS, zu kurzen Kennwörtern etc.
Der Nachteil an solchen Lösungen ist halt die damit verbundenen Einschränkungen. Alles ist toll in dieser vereinfachten Welt, solange es darin funktioniert. Sobald man den "goldenen Käfig" verlassen will oder muss, wird es schnell komplex. Zum einen muss man sich dann doch mit der CLI auseinander setzen und zum anderen aufpassen, dass man nicht dem bestehenden Administrationswerkzeug, in dem Fall Plesk, dazwischen grätscht.

Stark vereinfacht gesagt: Wenn man in Plesk eine Einstellung auf 1 setzt aber die an-Plesk-vorbei-Software es erfordert, dass diese Einstellung auf 0 ist und man dies manuell setzt dann hat man eine Inkonsistenz geschaffen weil Plesk jetzt davon ausgeht, dass die Einstellungen ja noch auf 1 ist. Außer Plesk prüft regelmäßig alle Einstellungen ob diese abweichend sind und warnt wovon ich nicht ausgehe.

 

[Dsimon24]

Hauptsächlich bin ich damit beschäftigt, Websites und WebApps (bspw. mittels
PHP, Laravel) zu erstellen. Ggf. auch mal WordPress usw. - daher war Plesk immer
eine gute Sache, da ich mich mit der Serververwaltung nicht besonders gut auskenne.

Da kan ich per Klick Datenbanken exportieren, importieren, erstellen - Domains
einbinden, Subdomains erstellen, FTP-Zugänge anlegenusw... - Ohne Plesk würde ich
es möglicherweise auch schaffen - aber ich bekomme die Sicherheitsaspekte nicht vernünftig
umgesetzt und hätte (Stand jetzt) keine Ahnung, wie ich das Ganze nachhalten kann, was ich
da gemacht habe, und was nicht.

Klar könnte ich mich jetzt ewig einarbeiten, aber dann dürfte ich längere Zeit nichts mehr
deployen, bis ich es richtig (zu 100%) 'verstanden' habe und keine Sicherheitsprobleme
unberücksichtigt lasse.

Oder gibt es bspw. 1zu1 Anleitungen, wie ich einen sicheren Web-Server einrichte
(mit DB, SSL, Filestorage) - mittels dieser Anleitung ich schon ohne besondere
Kenntnisse vorgehen kann?

Mein Ziel ist es sichere Websites zu hosten. Gerne lasse ich mich da inspirieren, andere
Wege einzuschlagen. Allerdings fehlt mir da aktuell noch die entsprechend notwendige
Erfahrungen.

 

[snaxilian]

Oh cool ihr macht also DevOps nur ohne Ops? Also DevOoooops

Nein, da gibt es nix allgemein gültiges als fertiges Skript oder Anleitung was immer und überall passt. Also es gibt da diverse Möglichkeiten und Hinweise, wie z.B. hier: https://dev-sec.io/
Aber solche Anleitungen nehmen als Voraussetzung immer die grüne Wiese an, u.U. zerschießt es dir bereits den Plesk. Oder irgendwelche anderen Dinge, die deine Anwendung aktuell braucht oder machen will. Daher ist selbstverständlich entsprechender Sachverstand notwendig um es an die eigenen Bedürfnisse anzupassen.
Stabiler IT-Betrieb und Security bedeutet nun einmal nicht, irgendwas aus dem Netz abzutippen und dann ist man fertig.
Ansonsten findet man idR entsprechende Guidelines wenn man "$Produkt/Komponente hardening" bei Google eingibt, also z.B. mariadb hardening und findet dann dies: https://mariadb.com/kb/en/securing-mariadb/
Mozilla betreibt einen Config Generator für diverse Dienste: https://ssl-config.mozilla.org/ oder diese Übersichtsseite rund um TLS und Webanwendungen: https://infosec.mozilla.org/guidelines/web_security.html
Aber auch da gilt, dass man dies regelmäßig evaluieren sollte. Derjenige, der etwas (Server) betreibt ist für den Betrieb und die Absicherung verantwortlich.

 

[Dsimon24]

Das ist ja nicht unser Kern-Geschäft - daher geht´s noch.
Aber ich bin interessiert daran, das Ganze zu erlernen.

Ich werde mir mal virtuell einen Ubuntu-WebServer einrichten (ich denke mittels Parallels o.ä.).
Kann ich denn da (falls ja, wie) die WebSites auf dem virtuellen, lokalen Server per fiktiver
Domain erreichen? Ich denke, da kann ich das Ganze mal gut testen.

 

[snaxilian]

Klar, musst nur im DNS einen passenden Eintrag von Domain zu IP setzen und dem Webserver ggf. sagen, dass er auch diese Domain hören soll.