Linux? Aber mit Sicherheit!

Jeder Rechner mit Internetzugang kann potentiell Ziel eines Hacker-Angriffs werden. Auch wenn die Wahrscheinlichkeit dafür recht gering ist, gilt auch hier: Vorbeugen ist besser als Heilen.

Linux ist ein Multiuser-Betriebssystem. So können mehrere Benutzer einen Rechner gleichzeitig benutzen (z.B. indem sie sich über das Internet oder ein lokales Netz einloggen). Deshalb muss für jeden Benutzer ("User") ein Account, also ein Benutzerkonto, angelegt werden.

Damit haben Viren auf einem Linuxrechner ein schweres Leben: Zunächst laufen DOS/Windows-Viren nicht unter Linux. Sollte in Zukunft einmal ein Linux-Virus aufkommen, können im schlimmsten Fall nur Dateien desjenigen Benutzers befallen werden, der den ungebetenen Gast eingeschleppt hat. Kaum ein Problem also für Jemanden, der als nichtprivilegierter Benutzer seine Briefe schreibt. Arbeitet man dagegen als root, riskiert man evtl. die Zerstörung von Systemdateien. Die Konsequenz ist simpel: Loggen Sie sich als root nur ein, wenn es sich nicht vermeiden lässt (z.B. zum Einspielen von RPM-Softwarepaketen oder zur Systemkonfiguration).

Angriff aus dem Netz

Wer mit Linux von zu Hause aus im Internet surft, dessen Rechner ist ein vollwertiger Internetteilnehmer, der selbst einige Netzwerk-Dienste für seine Umwelt bereitstellt: Bereits nach erfolgter Installation starten häufig automatisch industrietaugliche Web-, FTP-, Datei- und Mailserver u.a.

Jeder dieser Dienste bietet eine potentielle Angriffsfläche für Hacker. Nicht dass diese Serverprogramme völlig unsicher wären, aber wenn ungünstige Umstände zusammentreffen, kann ein ungewollter Fremdzugriff aus dem Netz Erfolg haben. Deshalb sollten alle nicht benötigten Netzwerkdienste abgeschaltet werden. Dies kann zum Großteil mit dem Konfigurationswerkzeug linuxconf geschehen (Verwaltung->System->Dienste).

Weitere Dienste sind in der Datei /etc/inetd.conf definiert. finger, systat und netstat liefern z.B. Detailinformationen über das eigene System. Für ein Intranet ist das in Ordnung, allerdings erleichtern diese Dienste einen möglichen Angriff durch Außenstehende. Auch telnet für den Zugriff von entfernten Rechnern ist eine schicke Sache – wer über ein lokales Netz verfügt, kann so schnell mal etwas auf dem anderen Rechner nachschauen, eine CD abspielen oder ein abgestürztes Programm "abschießen", ohne ins Nachbarzimmer zu gehen. Wer aber nur im Web surft, sollte diese Dienste durch Kommentieren des Eintrags (durch Voranstellen eines # am Enfang der Zeile) abschalten. Danach sichert die Ausführung von killall -HUP inetd die Wirksamkeit der Änderungen.

Auch Dienste, die Dateien für andere Rechner bereitstellen (z.B. NFS ("Network File System") und Samba) können bei fehlerhafter Konfiguration schamlos missbraucht werden. Auch sie lassen sich per linuxconf deaktivieren.

Alternativ dazu könnte man den heimischen Rechner durch Aufstellung geeigneter Firewall-Regeln schützen – dies ist aber insbesondere für einen Linux-Einsteiger keine triviale Sache.

Panikmache?

Auch ohne Einhaltung oben genannter Regeln ist eine private Linux-Box in der Regel sicher, da nicht jede Fehlkonfiguration unmittelbar eine Sicherheitslücke nach sich zieht. Die Angriffswahrscheinlichkeit selbst nimmt mit den Online-Zeiten zu, und ein Rechner mit statischer IP-Adresse ist größerer Gefahr ausgesetzt als der dynamisch verbundene Rechner eines Gelegenheitssurfers.