Fazit
Als Fazit lassen sich einige interessante Funde benennen. Zum einen waren wir überrascht wie gut Hetzner mit den großen Anbietern wie AWS und GCP mithalten kann, in Bezug auf Sicherheit. Ebenfalls ist auch der Vergleich zwischen den Marketplace Images des LAMP-Stacks und des selbst erstellten sehr interessant.
Weiter lässt sich aber sagen, dass alle Ergebnisse sehr nah beieinander liegen, und deshalb nur marginale Unterschiede zu erkennen sind. Dies haben wir aber von Anfang an erwartet. Dies beruht höchstwahrscheinlich darauf, dass oftmals nicht der Server selbst das Sicherheitsproblem darstellt, sondern die komplette Anwendungslandschaft hier zusammenspielt.
Zu den Tools lässt sich sagen, dass die Auswahl und das Finden der Tools sich als unvorhergesehen schwer herausgestellt hat. Viele Tools haben wenig Dokumentation, wie sie zu benutzen sind, geschweige denn, was sie Intern tun. Auch die Codequalität und Aktualität lässt oftmals zu wünschen übrig.
Am Beispiel des JShielders ist dies sehr gut zu sehen. Es wird viel versprochen, aber die Umsetzung ist sehr schwer verständlich und in manchen Fällen sogar fehlerhaft.
Zuletzt ist noch der Output der Tools zu erwähnen. Als Musterbeispiel kann hier Lynis herangezogen werden. Lynis bietet zu jedem Problem, welches gefunden wird, eine Art Issue-Id in der Lynis Datenbank an. Anhand dieser kann dann genau bestimmt werden, was der Fehler ist, und wie dieser zu beheben ist. Otseca hingegen gibt zwar schönen HTML Output, aber markiert die Tests lediglich durch eine grüne, gelbe oder rote Farbe. Was diese Farbwahl nun ausgelöst hat, wird nicht erwähnt.
Ausblick
Das Projekt ist aber trotz vieler Probleme nicht in einer Sackgasse angekommen. Es ist immer möglich, weitere Tools in den Test aufzunehmen oder neue Umgebungen hinzuzufügen. Auch können eigene Nachforschungen angestellt werden, um weitere Tests für erweiterte Angriffsvektoren zu schreiben. Ebenfalls ist der Parser sehr modular gestaltet, was einfache Erweiterbarkeit bietet.