Volle Deckung

Die Devise kann also nur lauten: Abschalten, was nicht unbedingt gebraucht wird, und alles andere so gut wie irgend möglich schützen. Eine völlige Sicherheit wird man dadurch nicht erreichen, man sollte aber dem Angreifer das Leben so schwer wie irgend möglich machen.

Dazu zählt vor allem, dem Cracker möglichst wenig Informationen zum laufenden System zugänglich zu machen. An erster Stelle steht hier der finger-Daemon, der Auskünfte über die im System eingetragenen User in die weite Welt trägt. Die entsprechende Zeile in der /etc/inetd.conf sollte daher auf allen Rechnern auskommentiert werden, indem eine Raute (#) vorangestellt wird.

Es gibt auch, von Distribution zu Distribution unterschiedlich, verschiedene Werkzeuge zur Bearbeitung der /etc/inetd.conf, doch in den meisten Fällen verwirren diese mehr als sie nützen – wir empfehlen an dieser Stelle, die Änderungen wirklich per Text-Editor wie kedit oder emacs vorzunehmen.

Das gleiche Schicksal wie finger sollte die ebenfalls in der /etc/inetd.conf eingetragenen Dienste telnet, shell und login ereilen – diese erlauben einen ungeschützten und unverschlüsselten Zugang von außen, wobei das eingebene Passwort völlig offen und ausdrücklich als solches gekennzeichnet durch das ganze Internet wandert. Insbesondere der Zugang mittels telnet ist nach wie vor eines der größten Sicherheitslöcher überhaupt – auch heute bieten viele Internet-Provider noch Telnet-Zugänge an, obwohl sie genau wissen, dass tausende Programme Tag täglich den Datenverkehr filtern und nur nach solchen Passwörtern spähen (sniffen) – um bei nächster Gelegenheit das System zu infiltrieren. Hier sollten Sie auf einem verschlüsselten Zugang mittels SSH bestehen, mehr dazu finden Sie im Kasten "SSH & Co.".

SSH & Co.

Um sich auf einem fremden Rechner einzuloggen, wird heute noch häufig das Programm telnet verwendet. Es übermittelt die eigenen Tastatureingaben an die Gegenstation und zeigt die Daten der Gegenstation auf dem eigenen Bildschirm an. Es ist fast so, als hätte man ein langes Tastatur- und Monitorkabel zum fremden Rechner gelegt. Doch die Verbindung wird im Klartext, eins zu eins übertragen – es kann also jeder, der zwischen dem eigenen Rechner und der Gegenstelle sitzt (also das ganze Internet) die Arbeit verfolgen. Das Hauptproblem ist, dass auch das zum Login nötige Passwort im Klartext übertragen wird – jeder, der es aufschnappt, kann sich als man selbst ausgeben und auf der Gegenstation Schaden anrichten.

Die Secure Shell, kurz SSH, schafft hier Abhilfe. Sie arbeitet mit verschiedenen Verschlüsselungsverfahren, die von Anfang an benutzt werden. Ein Lauscher bekommt also von Anfang an nichts mit. Grundsätzlich ist es zwar möglich, die Verbindung nachträglich zu entschlüsseln, das dauert aber selbst auf Großrechnern noch Wochen und Monate. Zudem nimmt SSH von jedem Rechner beim ersten Verbindungsaufbau einen Fingerabdruck. Stimmt dieser irgend wann nicht mehr, könnte es sich um einen Angriff auf die Gegenstelle handeln, bei dem jemand anders die Identität des Servers vorgaukelt. In solchen Fällen warnt SSH entsprechend.

Zusätzlich kann man bei SSH-Verbindungen auch grafische Programme wie einen Browser auf der entfernten Maschine aufrufen – er wird trotzdem auf dem eigenen Monitor dargestellt, SSH überträgt aber nur die Mausbewegungen und Tastatureingaben. Der Aufruf von SSH erfolgt nach dem Schema:

ssh Benutzer@Rechner

Secure Copy

Auch der FTP-Dienst, mit dem man Dateien zwischen zwei Rechnern austauschen kann, ist sehr unsicher. Wie bei Telnet ist die gesamte Verbindung unverschlüsselt und von jedem nachvollziehbar. Solange es sich um anonymes FTP handelt, wo man sich als Benutzer anonymous anmeldet und kein Passwort braucht, ist das kein großes Problem. Doch wenn ein regulärer User seine Daten vom Server nach Hause transferieren möchte, muss er seinen Benutzernamen und das Passwort eingeben – und wieder sind einem Mitleser Tür und Tor geöffnet.

Statt FTP kann man den Befehl scp benutzen:

scp Benutzer@Rechner:Datei Datei

Damit kopieren Sie die "Datei" vom entfernten Rechner auf Ihren, sie wird dort als "Datei" abgelegt. Das Ganze funktioniert auch umgekehrt, hier an einem konkreten Beispiel:

scp Artikel.txt mdoelle@linux-user.de:/home/mdoelle/Artikel.tx

Damit landet "Artikel.txt" auf unserem Redaktions-Server. Im übrigen funktioniert scp genau wie cp, man kann sogar Dateien lokal kopieren.

Generell sollten Sie für alle Verbindungen, bei denen Sie Passworte eingeben müssen, auf verschlüsselte Übertragungswege setzen, um es Angreifern möglichst schwer zu machen.

Der POP3-Dienst erlaubt ebenfalls einen Login auf Ihrem System, wenn auch in einer Art Sandkasten, war aber in der Vergangenheit ebenfalls Ansatzpunkt für Angriffe. Sie benötigen ihn nur, wenn andere Rechner bei Ihnen Mails abholen, zum Beispiel weil Sie ein Heim-Netzwerk aufgebaut haben. In allen anderen Fällen sollte auch die Zeile beginnend mit pop3 mit einer Raute versehen und so auskommentiert werden.

Unter talk und ntalk ist der talk-Daemon eingetragen. Läuft er, so kann von lokalen und fremden Rechnern per talk eine Verbindung zu Benutzern auf Ihrer Maschine aufgebaut werden. Wir halten dies grundsätzlich für eine schlechte Idee: Ist die Ausgabe von Meldungen nicht mit mesg no explizit im xterm oder auf der Konsole abgeschaltet worden, wird der Verbindungs-Wunsch der Gegenstelle an der Cursor-Position ausgegeben – völlig gleichgültig, ob Sie gerade einen Text bearbeiten oder im Midnight Commander Dateien kopieren. Das bringt regelmäßig den Bildschirm durcheinander und lässt zudem den Rechner piepen. In unseren Augen eine unnötige Belästigung, der man durch Auskommentieren der beiden Zeilen in der /etc/inetd.conf begegnen kann. Abgesehen davon ist das Talk-Programm alles andere als komfortabel, weshalb die meisten Anwender IRC (Internet Relay Chat) bevorzugen. Nicht zuletzt schließen wir durch Auskommentieren von talk und ntalk eine weitere mögliche Sicherheitslücke – denn der Daemon in.talkd wird ebenfalls mit Root-Rechten gestartet.

SuSE-Hilfe

Ein insbesondere bei SuSE-Distributionen seit Jahren anzutreffender Dienst verbirgt sich hinter http-rman. Dabei handelt es sich um einen Web-Aufsatz für das rman-Kommando, das manual pages in andere Dateiformate übersetzt. Es wird für das interne SuSE-Hilfe-System verwendet, das darüber manpages anzeigt. Leider ist dieser Dienst von außen erreichbar. Auch wenn er als Benutzer nobody läuft, hat ein Angreifer im Falle eines Einbruchs doch immerhin beschränkten Zugriff auf das System und kann nach weiteren Möglichkeiten suchen, Administrator-Privilegien zu erschleichen. Wenn Sie das SuSE-Hilfe-System verwenden, sollten Sie es mit der in der nächsten Ausgabe beschriebenen Firewall schützen. Zwar sind konkret keine Angriffe bekannt, dennoch sind sie nicht auszuschließen. Diese Besonderheit betrifft nur SuSE-Benutzer.

Verblieben sind nun noch die beiden time-Einträge sowie ftp und swat. Da nur wenige Anwender Uhrzeit und Datum des eigenen Rechners von einem der Internet-Server übernehmen, werden die beiden time-Einträge nur in Ausnahmefällen benötigt. Auch wenn uns bislang kein erfolgreicher Angriff bekannt ist, sollte man generell ungenutzte Dienste abschalten.

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 

Ähnliche Artikel

  • Unnötige Systemdienste abschalten
    Der Feind lauert überall: Nicht nur das Einrichten einer Firewall oder der Einsatz eines Viren-Scanners, sondern auch das Abschalten von Diensten trägt dazu bei, den eigenen Rechner zu schützen. Wir zeigen, wie Sie Ihren Linux-PC ein bisschen besser abschotten.
  • Arbeiten mit dem Samba Web Administration Tool
    Das Samba-Paket erlaubt eine gewaltige Anzahl von Einstellungen und Optionen. Mit dem Frontend SWAT schlagen Sie eine Bresche in das Dickicht der Konfiguration und sorgen für eine bequeme Verwaltung des Servers.
  • Red Hat Linux updaten: Von 6.1 auf 7.0
    "Never change a running system." Das ist die Standard-Warnung des konservativen und Update-geschädigten Systemadministrators, der zu häufig erleben musste, wie nach einem Update nichts mehr wie vorher war… In Teil 2 unserer Mini-Serie werfen wir einen Blick auf den Update-Mechanismus von Red Hat Linux; wir testen das Update von Version 6.1 auf 7.0.
  • Samba
    Niemand trennt sich gern von Gewohnheiten, und so tut oft außer dem neuen Linuxrechner auch noch der eine oder andere Windowsrechner als Arbeitstier seinen Dienst. Im Zeitalter der Computernetze spricht viel dafür, Linux- und Windowsrechner den Drucker und die MP3-Sammlung gemeinsam nutzen – und Samba tanzen zu lassen.
  • NTP und andere Zeit-Server
    Eine korrekt gestellte Systemuhr ist nicht nur praktisch, sie hilft auch bei der Suche nach Konfigurations- und Netzwerksfehlern oder bei der Analyse von Angriffen. Aber woher bekommt man die richtige Zeit? Über's Internet.
Kommentare

Infos zur Publikation

title_2014_09

Digitale Ausgabe: Preis € 5,95
(inkl. 19% MwSt.)

Mit der Zeitschrift LinuxUser sind Sie als Power-User, Shell-Guru oder Administrator im kleinen Unternehmen monatlich auf dem aktuelle Stand in Sachen Linux und Open Source.

Sie sind sich nicht sicher, ob die Themen Ihnen liegen? Im Probeabo erhalten Sie drei Ausgaben zum reduzierten Preis. Einzelhefte, Abonnements sowie digitale Ausgaben erwerben Sie ganz einfach in unserem Online-Shop.

NEU: DIGITALE AUSGABEN FÜR TABLET & SMARTPHONE

HINWEIS ZU PAYPAL: Die Zahlung ist auch ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!       

Tipp der Woche

Schnell Multi-Boot-Medien mit MultiCD erstellen
Schnell Multi-Boot-Medien mit MultiCD erstellen
Tim Schürmann, 24.06.2014 12:40, 0 Kommentare

Wer mehrere nützliche Live-Systeme auf eine DVD brennen möchte, kommt mit den Startmedienerstellern der Distributionen nicht besonders weit: Diese ...

Aktuelle Fragen

Videoüberwachung mit Zoneminder
Heinz Becker, 10.08.2014 17:57, 0 Antworten
Hallo, ich habe den ZONEMINDER erfolgreich installiert. Das Bild erscheint jedoch nicht,...
internes Wlan und USB-Wlan-Srick
Gerhard Blobner, 04.08.2014 15:20, 2 Antworten
Hallo Linux-Forum: ich bin ein neuer Linux-User (ca. 25 Jahre Windows) und bin von WIN 8 auf Mint...
Server antwortet mit falschem Namen
oin notna, 21.07.2014 19:13, 1 Antworten
Hallo liebe Community, Ich habe mit Apache einen Server aufgesetzt. Soweit, so gut. Im Heimnet...
o2 surfstick software für ubuntu?
daniel soltek, 15.07.2014 18:27, 1 Antworten
hallo zusammen, habe mir einen o2 surfstick huawei bestellt und gerade festgestellt, das der nic...
Öhm - wozu Benutzername, wenn man dann hier mit Klarnamen angezeigt wird?
Thomas Kallay, 03.07.2014 20:30, 1 Antworten
Hallo Team von Linux-Community, kleine Zwischenfrage: warum muß man beim Registrieren einen Us...