Bedenkliches linuxconf

Auch das bei Red Hat und Mandrake anzutreffende linuxconf ist sicherheitstechnisch bedenklich. Wie bei swat wird das Passwort bei linuxconf unverschlüsselt übertragen, was einem Angreifer natürlich Tür und Tor öffnet. Da linuxconf zudem fast das gesamte System verwaltet, braucht ein Angreifer nur dieses eine Tool, um auf dem Rechner viel Schaden anrichten zu können. Wenn Sie linuxconf benötigen, sollten Sie es zumindest per Firewall schützen, ansonsten ebenfalls durch eine Raute am Anfang der Zeile in der /etc/inetd.conf abschalten.

In Abbildung 3 sehen Sie die Früchte unserer Arbeit am Beispiel der /etc/inetd.conf unseres SuSE-Systems mit aktiviertem http-rman und swat (stellvertretend für linuxconf).

Abbildung 3: Fast alle Dienste waren überflüssig: http-rman benötigen wir für das SuSE-Hilfe-System, swat steht stellvertretend für das System-Verwaltungsprogramm linuxconf anderer Distributionen

Dienste abschalten

Damit wäre die /etc/inetd.conf im Idealfall leer, und wir könnten selbst den inetd abschalten. Je nach verwendeter Distribution gibt es dazu unterschiedliche Konfigurations-Tools. Bei SuSE Linux setzen Sie im grafischen YaST 2 Netzwerk/Dienste / inetd ein-/ausschalten auf Aus, inetd nicht starten. Bei Mandrake tun Sie dies über das Tool DrakConf, dort unter Startup-Dienste (Abbildung 4).

Per Kommandozeile geht es einfacher: Unter /etc/rc.d sind im Unterverzeichnis init.d bei (fast) allen Distributionen die Start-Skripte der einzelnen Dienste sowie in den Unterverzeichnisen rc0.d bis rc5.d Verweise auf die jeweiligen Start-Skripte gespeichert. Über diese Verweise wird letzendlich der Dienst beim Hochlaufen aufgerufen. Der Dienst läuft aktuell, weshalb er zunächst ordnungsgemäß angehalten werden sollte. Dazu rufen Sie das Skript von Hand auf, hier am Beispiel des inetd:

/etc/rc.d/init.d/inetd stop

Möchten Sie nun einen Dienst dauerhaft abschalten, brauchen Sie nur den Namen des jeweiligen Start-Scripts in /etc/rc.d/init.d umzubenennen:

mv /etc/rc.d/init.d/inetd /etc/rc.d/init.d/inetd.nein

Die Endung ".nein" haben wir willkürlich gewählt. Damit laufen die Verweise aus den anderen Unterverzeichnissen ins Leere, und der Dienst wird nicht mehr gestartet. Zum Reaktivieren benennen Sie das Start-Skript einfach wieder mit dem ursprünglichen Namen. Bleibt nur noch anzumerken, dass Sie für all diese Aktionen Root-Rechte benötigen.

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 

Ähnliche Artikel

  • Unnötige Systemdienste abschalten
    Der Feind lauert überall: Nicht nur das Einrichten einer Firewall oder der Einsatz eines Viren-Scanners, sondern auch das Abschalten von Diensten trägt dazu bei, den eigenen Rechner zu schützen. Wir zeigen, wie Sie Ihren Linux-PC ein bisschen besser abschotten.
  • Arbeiten mit dem Samba Web Administration Tool
    Das Samba-Paket erlaubt eine gewaltige Anzahl von Einstellungen und Optionen. Mit dem Frontend SWAT schlagen Sie eine Bresche in das Dickicht der Konfiguration und sorgen für eine bequeme Verwaltung des Servers.
  • Red Hat Linux updaten: Von 6.1 auf 7.0
    "Never change a running system." Das ist die Standard-Warnung des konservativen und Update-geschädigten Systemadministrators, der zu häufig erleben musste, wie nach einem Update nichts mehr wie vorher war… In Teil 2 unserer Mini-Serie werfen wir einen Blick auf den Update-Mechanismus von Red Hat Linux; wir testen das Update von Version 6.1 auf 7.0.
  • Samba
    Niemand trennt sich gern von Gewohnheiten, und so tut oft außer dem neuen Linuxrechner auch noch der eine oder andere Windowsrechner als Arbeitstier seinen Dienst. Im Zeitalter der Computernetze spricht viel dafür, Linux- und Windowsrechner den Drucker und die MP3-Sammlung gemeinsam nutzen – und Samba tanzen zu lassen.
  • NTP und andere Zeit-Server
    Eine korrekt gestellte Systemuhr ist nicht nur praktisch, sie hilft auch bei der Suche nach Konfigurations- und Netzwerksfehlern oder bei der Analyse von Angriffen. Aber woher bekommt man die richtige Zeit? Über's Internet.
Kommentare

Infos zur Publikation

LU 07/2015: Daten sichern

Digitale Ausgabe: Preis € 4,95
(inkl. 19% MwSt.)

Mit der Zeitschrift LinuxUser sind Sie als Power-User, Shell-Guru oder Administrator im kleinen Unternehmen monatlich auf dem aktuelle Stand in Sachen Linux und Open Source.

Sie sind sich nicht sicher, ob die Themen Ihnen liegen? Im Probeabo erhalten Sie drei Ausgaben zum reduzierten Preis. Einzelhefte, Abonnements sowie digitale Ausgaben erwerben Sie ganz einfach in unserem Online-Shop.

NEU: DIGITALE AUSGABEN FÜR TABLET & SMARTPHONE

HINWEIS ZU PAYPAL: Die Zahlung ist auch ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!       

Tipp der Woche

Grammatikprüfung in LibreOffice nachrüsten
Grammatikprüfung in LibreOffice nachrüsten
Tim Schürmann, 24.04.2015 19:36, 0 Kommentare

LibreOffice kommt zwar mit einer deutschen Rechtschreibprüfung und einem guten Thesaurus, eine Grammatikprüfung fehlt jedoch. In ältere 32-Bit-Versionen ...

Aktuelle Fragen

Fernwartung oder wartung im haus
heide marie voigt, 29.06.2015 10:37, 2 Antworten
gerne hätte ich jemanden in Bremen nord, der mir weiter hilft - angebote bitte mit preis HMVoigt
Druckeranschluss DCP-195C
heide marie voigt, 29.06.2015 10:35, 1 Antworten
installiert ist linux ubuntu 15.04 offenbar auch der treiber für den Drucker DCP-195C. Die Konta...
keine arbeitsleiste beim einloggen
heide marie voigt, 27.06.2015 13:31, 0 Antworten
seit der neu-installierung von linux ubuntu 15.04 erscheint die arbeitsleiste rechts oben erst na...
raid platte an linux mint 17.1
andreas schug, 23.06.2015 19:44, 1 Antworten
folgende thematik NAS Iomega Storage Center wird auf einmal nicht mehr im netzwerk erkannt .....
SUSE 13.2 - Probleme mit kmail
kris kelvin, 03.06.2015 13:26, 2 Antworten
Hallo, nach dem Umstieg auf 13.1 hatte ich das Problem, daß kmail extrem langsam reagierte. Nun...