Linux sicherer machen

Linux sicherer machen

Wer Linux benutzt, fühlt sich meistens sicherer als unter anderen proprietären Betriebssystemen. Schließlich weiß man bei diesen nicht, welche Daten im Hintergrund an welche Firma übermittelt werden. Durch das OpenSource-Konzept ist es möglich, bösartigen Code und Sicherheitslücken frühzeitig zu erkennen und schnell zu beheben.

Nach einer frischen Installation ist das Linux-System jedoch noch ziemlich offen und bietet etliche Angriffsziele. Das hat den Grund, dass der Systemadministrator relativ einfach an sein System kommen möchte, wenn einmal etwas nicht funktioniert oder er ein Kennwort vergessen hat. Möchtest du jedoch ein sicheres Linux-System, ist immer etwas Handarbeit nötig. Auf dieser Seite stelle ich dir ein paar Möglichkeiten vor, wie du deinen Rechner absichern kannst.

Wichtiger Hinweis: An einem Linux-Rechner arbeitet man NIEMALS als Benutzer "root"!!! Dieser Benutzer ist ausschließlich für Administrationszwecke gedacht.

Festplatte & Dateisystem

Wenn der Rechner jedem zugänglich ist, kann beispielsweise jemand die Festplatte ausbauen und über einen zweiten Linux-Rechner darauf zugreifen. Dazu muss er lediglich die Root-Partition mounten und mit "chroot" darauf zugreifen. Abhilfe schafft zum Einen ein Gehäuseschloss und zum Anderen ein verschlüsseltes Dateisystem, welches bei Notebooks mit brisanten Daten ohnehin eingesetzt werden sollte.

BIOS

Nach dem Einschalten des Rechners könnte ein BIOS-Kennwort die ersten Angreifer abschrecken - vorausgesetzt der Passwortschutz lässt sich nicht mit Standard-Kennwörtern aushebeln. Durch ein BIOS-Kennwort kommt niemand an das Betriebssystem und kann nicht mal eben schnell ein Linux-Rescue-System von Diskette oder CDROM booten und das Root-Kennwort zurücksetzen. Die Bootreihenfolge sollte außerdem auf "C: A:" stehen.

LILO

Ist bei dem Bootmanager "Linux Loader" (LILO) der Passwortschutz nicht aktiviert, kann ein Angreifer dem Kernel Parameter übergeben und beispielsweise eine Root-Shell mit vollem Zugriff auf alle Daten erhalten. Wie du das verhindern kannst, erfährst du in dem Artikel [DOC:START:99]Kurztipp: Bootmanager LILO absichern[DOC:END].

Root-Kennwort

Es wird immer empfohlen, ein schwieriges Kennwort zu wählen. Das ist jedoch leichter gesagt als getan. Mein Tipp: Überleg dir einen Satz, den du nicht so schnell vergisst. Nun nimmst du die Anfangsbuchstaben von jedem Wort und setzt daraus das Kennwort zusammen. Aus dem Satz "Ich arbeite Montag - Freitag von 8 bis 16 Uhr." wird beispielsweise das kryptische Kennwort "IaM-Fv8b1U". Das Root-Kennwort sollte übrigens genauso geheimgehalten werden wie die Geheimzahl der EC-Karte - also, nicht aufschreiben und den Zettel aus Versehen unter der Tastatur vergessen. ;-) Zusätzlich sollte man die Benutzer zwingen, [DOC:START:169]Sichere Kennwörter[DOC:END] zu verwenden. Ein [DOC:START:164]su[DOC:END] sollte ebenfalls nicht für alle Benutzer möglich sein.

Netzwerkdienste

Da Linux von Haus aus netzwerkfähig ist, zeigen die Distributoren gerne, was das Betriebssystem alles kann. Es werden also standardmäßig etliche Dienste gestartet. Mit einem Portscanner kannst du herausfinden, welche dieser Dienste laufen. Anschließend kannst du die nicht benötigten Dienste deaktivieren. Wenn bei deinem Linux-Rechner der "inetd" laufen sollte, wäre die Umstellung auf den "xinetd" anzuraten. Beim "xinetd" kann man nicht nur für jeden Dienst die erlaubten Hosts und die Protokollierung, sondern auch die maximale Anzahl der Verbindungen einstellen. Somit werden "(Distributed) Denial Of Service" Attacken vermieden. OpenSSH-Daemon und Webserver sollten so konfiguriert werden, dass diese nur Anfragen aus dem internen Netz beantworten.

Firewall

Damit ein Angreifer von außen gar nicht erst so weit kommt, um mit einem Portscanner die laufenden Dienste herauszubekommen, solltest du eine Firewall einsetzen. Bei vielen Linux-Distributionen wird standardmäßig eine kleine Firewall installiert. Wie du für deinen DSL-Router eine eigene Firewall erstellst, kannst du in unserer Dokumentation [DOC:START:73]Selbstgebaute Firewall (ipchains)[DOC:END] nachlesen. Weiterhin gibt es ein Dokument über die Einrichtung einer [DOC:START:137]Workstation-Firewall[DOC:END].

Telnet

Unverschlüsseltes Telnet ist veraltet und sollte nicht mehr oder höchstens noch im privaten Netzwerk zu Hause eingesetzt werden. Kennwörter wandern bei Telnet unverschlüsselt über die Netzwerkleitungen. Statt Telnet solltest du OpenSSH einsetzen.

Emails

Genauso wie bei Telnet werden deine Emails im Klartext über das Internet verschickt. Da du nicht weißt, wer alles mitliest, solltest du diese verschlüsseln. Für diesen Zweck bietet sich GnuPG an. Es geht ja schließlich niemanden etwas an, was du deinem/deiner Liebsten schreibst. ;-) Momentan bieten wir dir drei Dokumente zu GnuPG bzw. PGP an: [DOC:START:79]GnuPG - Hintergrundinfos[DOC:END], [DOC:START:82]GnuPG einrichten und benutzen[DOC:END] und [DOC:START:94]Anleitung: Emails verschlüsseln[DOC:END]

Artikelbewertung: 
5
Average: 5 (1 vote)
War dieser Artikel hilfreich?