Schotten dicht!

Linux-Systeme vor Angriffen schützen, Teil 1

01.03.2001

"Linux ist sicher", hört man von vielen, wenn man sie nach Angriffsmöglichkeiten auf das freie Betriebssystem fragt. Doch schon mit der Standard-Installation einer Distribution kann man ganze Scheunentore öffnen.

Viele Anwender verwenden die Standard-Installation der jeweiligen Distribution im guten Glauben, dass hier alle benötigten Programme installiert und eingerichtet werden. Doch etliche Pakete sind weder im Normalbetrieb notwendig noch alles andere als harmlos, und man sollte deren Risiken und Nebenwirkungen kennen, ehe man sie auf das Internet loslässt.

Die Rede ist von den sogenannten Daemons, Dienstprogrammen, die entweder ständig im Hintergrund laufen, oder bei Zugriff auf bestimmte Rechner-Ressourcen vollautomatisch gestartet werden. Nach einer Standard-Installation tummeln sie sich im Dutzend auf dem heimischen Rechner. Abbildung 1 zeigt die Prozessliste eines Rechners mit SuSE 7.0.

Abbildung 1: Buntes Treiben: Die meisten Daemons sind am nachgestellen "d" zu erkennen, aber auch portmap, cardmgr und cron gehören dazu

In der letzten Spalte finden Sie den Dateinamen des jeweiligen Daemons, in der ersten steht der Benutzer-Name, mit dessen Rechten dieser Dienst läuft. Das ist im Falle des httpd einmal root und einmal wwwrun. Ein als root laufender Prozess ist potentiell problematisch, weil er alle Rechte des Administrators besitzt. In der abgebildeten Prozessliste, die Sie mit ps auxww erhalten, sind jedoch nur aktuell laufende Programme aufgelistet. Daemons, die nur auf Anfrage von außen gestartet werden, sind hier aber nicht zu finden. Diese werden vom inetd, dem "Internet Super-Server Daemon", gestartet. Mittels

grep -v "^#" /etc/inetd.conf

riskieren wir einen Blick in die Konfigurationsdatei des inetd, wobei Kommentare und abgeschaltete Dienste – deren Zeilen beginnen stets mit einer Raute – nicht angezeigt werden. In Abbildung 2 können Sie die freigegebenen Dienste der SuSE-Standardinstallation sehen.

Abbildung 2: Dienste, die (fast) niemand braucht: Auch in der /etc/inetd.conf verstecken sich Daemons, die vollautomatisch gestartet werden

In der ersten Spalte finden Sie den Namen des Dienstes, in der letzten den dazugehörigen Befehl zum Start des Daemons. Besonders wichtig und äußerst kritisch ist die fünfte Spalte: Hier steht der Benutzer, mit dessen Rechten der jeweilige Daemon gestartet wird.

Prinzipiell sind alle Dienste, insbesondere solche mit root-Privilegien, ein potentielles Sicherheitsrisiko. Einen absolut sicheren Rechner, so wünschenswert er ist, gibt es nicht und wird es voraussichtlich nicht geben. Allein die Betriebssysteme sind inzwischen viel zu komplex (der aktuelle Kernel 2.4.1 umfasst rund 3,5 Millionen Zeilen, ausgedruckt über 55.000 A4-Seiten oder rund 16 Kilometer Endlospapier!), als dass ein Einzelner oder eine kleine Gruppe ihn wirklich überblicken und auf Sicherheitsrisiken hin abklopfen könnte. Tatsächlich sind bislang nur besonders verdächtige Stellen geprüft worden, wobei prinzipiell nach jeder Änderung (Patch) eine komplette Neuprüfung erforderlich wäre.

Böses Internet

Eine gewisse paranoide Grundhaltung ist hier durchaus angebracht. Früher hielten sich Cracker meist an Server-Betreiber, um ihre Angriffswerkzeuge, sogenannte Root-Kits, unterzubringen und von dort aus Daten auszuspionieren oder einfach per DoS-Angriff andere Maschinen lahmzulegen. Die meisten Administratoren sind durch Schaden klug geworden und haben ihre Rechner zunehmend abgesichert.

Mit der Verbreitung der Flatrates haben die Cracker eine neue Spielwiese entdeckt: Viele Rechner bleiben ständig oder nur mit kurzen Unterbrechungen eingewählt, sind quasi stets präsent. Einziger Nachteil gegenüber echten Internet-Servern ist die wechselnde Adresse (IP) und geringere Bandbreite – beides lässt sich aber durch die erheblich größere Anzahl der Privatrechner mehr als ausgleichen. Das Auffinden eines präparierten Rechners ist auch kein Problem: Bei Flatrate-Angeboten sind die Nutzer an einen Anbieter gebunden und lassen sich so relativ leicht identifizieren.

Der aus Sicht der Angreifer größte Vorteil: Viele Rechner sind gar nicht oder nur völlig unzureichend geschützt, die Anwender kennen sich nicht richtig mit dem System aus und benutzen oft völlig veraltete Software mit längst bekannten Sicherheitslücken. Auch die Distributoren sind hier nicht ganz unschuldig, überall findet sich das eine oder andere veraltete Paket, für das bereits Angriffszenarien (Exploits) veröffentlicht und für jedermann einzusehen sind.

Unzuverlässige Diener

Besonders gefährlich sind Dienste, die entweder Auskunft über das eigene System liefern oder einen Zugang ermöglichen. Auch alle anderen Daemons, insbesondere die mit Administrator-Privilegien, stellen ein hohes Sicherheitsrisiko dar. Das Vorgehen eines Angreifers ist stets gleich: Feststellen, welches Betriebssystem läuft, nach unsicheren oder falsch eingerichteten Diensten suchen und schließlich Schwachstellen ausnutzen. Das schlimmste Szenario für den Anwender ist dabei keinesfalls der Verlust der persönlichen Daten – vielmehr ist es für Normalbenutzer inzwischen fast unmöglich, gute Root-Kits auf dem eigenen Rechner überhaupt noch aufzuspüren. Das System wird damit zur tickenden Zeitbombe, die zusammen mit anderen präparierten Computern auf einen unauffälligen Befehl hin ganze Netzwerke lahmlegen kann.

Ursache für die meisten Sicherheitslöcher in den Daemons sind Programmierfehler oder nicht beachtete Randbedingungen. Oft schätzt der Programmierer die Anwender als zu gutmütig ein und rechnet nicht damit, dass ihm statt eines einzugebenden Dateinamen in Wirklichkeit der Inhalt einer ganzen Festplatte verabreicht wird. Insbesondere über Buffer-Overflows, bei denen Eingaben einfach deutlich größer sind als vom Programmierer berücksichtigt, wurde über diverse Dienste Zugriff auf eine Shell erreicht – vornehmlich mit Root-Rechten.

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 

Ähnliche Artikel

  • Unnötige Systemdienste abschalten
    Der Feind lauert überall: Nicht nur das Einrichten einer Firewall oder der Einsatz eines Viren-Scanners, sondern auch das Abschalten von Diensten trägt dazu bei, den eigenen Rechner zu schützen. Wir zeigen, wie Sie Ihren Linux-PC ein bisschen besser abschotten.
  • Arbeiten mit dem Samba Web Administration Tool
    Das Samba-Paket erlaubt eine gewaltige Anzahl von Einstellungen und Optionen. Mit dem Frontend SWAT schlagen Sie eine Bresche in das Dickicht der Konfiguration und sorgen für eine bequeme Verwaltung des Servers.
  • Red Hat Linux updaten: Von 6.1 auf 7.0
    "Never change a running system." Das ist die Standard-Warnung des konservativen und Update-geschädigten Systemadministrators, der zu häufig erleben musste, wie nach einem Update nichts mehr wie vorher war… In Teil 2 unserer Mini-Serie werfen wir einen Blick auf den Update-Mechanismus von Red Hat Linux; wir testen das Update von Version 6.1 auf 7.0.
  • Samba
    Niemand trennt sich gern von Gewohnheiten, und so tut oft außer dem neuen Linuxrechner auch noch der eine oder andere Windowsrechner als Arbeitstier seinen Dienst. Im Zeitalter der Computernetze spricht viel dafür, Linux- und Windowsrechner den Drucker und die MP3-Sammlung gemeinsam nutzen – und Samba tanzen zu lassen.
  • NTP und andere Zeit-Server
    Eine korrekt gestellte Systemuhr ist nicht nur praktisch, sie hilft auch bei der Suche nach Konfigurations- und Netzwerksfehlern oder bei der Analyse von Angriffen. Aber woher bekommt man die richtige Zeit? Über's Internet.
Kommentare

Infos zur Publikation

LU 12/2014: ANONYM & SICHER

Digitale Ausgabe: Preis € 4,95
(inkl. 19% MwSt.)

Mit der Zeitschrift LinuxUser sind Sie als Power-User, Shell-Guru oder Administrator im kleinen Unternehmen monatlich auf dem aktuelle Stand in Sachen Linux und Open Source.

Sie sind sich nicht sicher, ob die Themen Ihnen liegen? Im Probeabo erhalten Sie drei Ausgaben zum reduzierten Preis. Einzelhefte, Abonnements sowie digitale Ausgaben erwerben Sie ganz einfach in unserem Online-Shop.

NEU: DIGITALE AUSGABEN FÜR TABLET & SMARTPHONE

HINWEIS ZU PAYPAL: Die Zahlung ist auch ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!       

Tipp der Woche

Ubuntu 14.10 und VirtualBox
Ubuntu 14.10 und VirtualBox
Tim Schürmann, 08.11.2014 18:45, 0 Kommentare

Wer Ubuntu 14.10 in einer virtuellen Maschine unter VirtualBox startet, der landet unter Umständen in einem Fenster mit Grafikmüll. Zu einem korrekt ...

Aktuelle Fragen

Nach Ubdates alles weg ...
Maria Hänel, 15.11.2014 17:23, 4 Antworten
Ich brauche dringen eure Hilfe . Ich habe am wochenende ein paar Ubdates durch mein Notebook von...
Brother Drucker MFC-7420
helmut berger, 11.11.2014 12:40, 1 Antworten
Hallo, ich habe einen Drucker, brother MFC-7420. Bin erst seit einigen Tagen ubuntu 14.04-Nutzer...
Treiber für Drucker brother MFC-7420
helmut berger, 10.11.2014 16:05, 2 Antworten
Hallo, ich habe einen Drucker, brother MFC-7420. Bin erst seit einigen Tagen ubuntu12.14-Nutzer u...
Can't find X includes.
Roland Welcker, 05.11.2014 14:39, 1 Antworten
Diese Meldung erhalte ich beim Versuch, kdar zu installieren. OpenSuse 12.3. Gruß an alle Linuxf...
DVDs über einen geeigneten DLNA-Server schauen
GoaSkin , 03.11.2014 17:19, 0 Antworten
Mein DVD-Player wird fast nie genutzt. Darum möchte ich ihn eigentlich gerne abbauen. Dennoch wür...