Brandschutz

Linux gilt als sicheres Betriebssystem, weil es viele restriktive Mechanismen mitbringt. Dadurch haben Viren und andere Schädlinge unter Linux einen schweren Stand. Verbindet sich Ihr Rechner hingegen mit dem Internet, bieten sich Angreifern trotzdem einige Möglichkeiten. Um diese möglichst klein zu halten, setzt OpenSuse eine Personal Firewall [1] ein, die beim Start des Rechners automatisch hochfährt.

Pro und Contra

Das Wichtigste Vorweg: So lange Sie mit Ihrem Rechner keine Probleme feststellen, sollten Sie an den Firewall-Einstellungen nichts ändern. Sie schützt auch den SSH-Dienst, der in OpenSuse 11.4 in der Grundeinstellung nicht aktiviert ist. Der Artikel erklärt weiter unten, wie Sie einzelne Ports für bestimmte Dienste freischalten. Richten Sie über YaST andere Dienste ein, zum Beispiel einen Webserver, passt YaST die Firewall automatisch an. Installieren Sie hingegen ein Programm, das gegen Ihr Wissen einen Dienst im Internet anbieten möchte, dann bietet Ihnen die Firewall guten Schutz. Doch was macht die Firewall genau?

Eine Firewall benötigen Sie vor allem, wenn Sie auf dem Rechner so genannte Serverdienste betreiben, die nach außen kommunizieren und von dort Verbindungen annehmen. Die Kommunikation zwischen zwei Rechnern erfolgt über so genannte Ports. Möchten Sie zum Beispiel über das verschlüsselte SSH-Protokoll auf einen anderen Rechner zugreifen, muss auf dem Rechner, an dem Sie sich anmelden möchten, der SSH-Serverdienst aktiv sein. Dieser benutzt in der Grundeinstellung den Port 22 zur Kommunikation.

Ohne Firewall hat jedes Programm über diesen Port Zugriff auf den Dienst. Eine Firewall kontrolliert im wesentlichen, woher die Pakete stammen (Adresse/Port), wohin Sie wollen (Adresse/Port) und welchen Weg sie dabei nehmen (Interface). Eine Firewall arbeitet daher als Paketfilter.

Läuft auf Ihrem Rechner kein solcher Serverdienst, dann benötigen Sie somit theoretisch keine Firewall. Weil die meisten Nutzer sich jedoch nicht bewusst sind, ob Sie einen Serverdienst aktiviert haben, nutzt OpenSuse standardmäßig eine Firewall. Ebenfalls keine Firewall benötigen Sie, wenn Sie per (WLAN-)Router ins Internet gehen, da diese Geräte meistens über eine Firewall verfügen.

Diese schützt im Unterschied zur Personal Firewall nicht nur einen Rechner, sondern alle Rechner, die per Router über das Internet kommunizieren. Um zu überprüfen, ob Ihr Rechner externe Dienste anbietet, eignet sich das Tool Nmap, das Sie im Terminal mit Befehl sudo zypper install nmap installieren. Über den Aufruf nmap localhost zeigt es, welche Ports der Rechner bereitstellt (Abbildung 1).

Abbildung 1: Auf diesem Rechner sind die Ports 25, 111 und 631 offen. Eine Firewall blockiert sie bei Bedarf.

OpenSuse-Firewall

Um die Firewall unter OpenSuse einzurichten, drücken Sie [Alt]+[F2] und starten YaST über den Befehl kdesu yast2. Hier rufen Sie das Modul Sicherheit und Benutzer | Firewall auf (Abbildung 2). Ist die Checkbox neben Automatischen Firewall-Start aktivieren markiert, startet die Firewall bei jedem Systemstart automatisch. Im Abschnitt An- und ausschalten sehen Sie, ob die Firewall zurzeit arbeitet (Aktueller Status). Möchten Sie die Firewall vorübergehend ausschalten, klicken Sie auf den Button Firewall jetzt stoppen.

Abbildung 2: Das Firewall-Modul von YaST führt Sie in wenigen Schritten durch die Konfiguration.

Den Status der Firewall überprüfen und die Firewall vorübergehend ausschalten, können Sie auch ohne YaST. Ob die Firewall gerade läuft, verrät die Ausgabe des Befehls rcSuSEfirewall2 status als Benutzer root in einem Terminal mit Systemverwaltungsmodus. Über rcSuSEfirewall2 stop deaktivieren Sie die Brandschutzmauer, über rcSuSEfirewall2 start starten Sie sie wieder (Abbildung 3).

Abbildung 3: Als Systemadministrator können Sie die Firewall im Terminal (Systemverwaltungsmodus) vorübergehend anhalten und wieder starten.