Abgehärtet

Sicherheit hat viele Aspekte. Die eines Computer-Systems verbessert sich nicht nur durch den Einsatz einer Firewall oder eines Viren-Programms, auch das Entfernen von Risikofaktoren trägt dazu bei. Im Englischen nennt man das "Operating System Hardening", etwa "das Betriebssystem (ab)härten". Dabei schaltet man erst einmal Dienste ab, die man nicht braucht und die über Sicherheitslöcher Angriffsmöglichkeiten bieten können.

Zu Ihren Diensten

Die meisten Linux-Distributionen installieren standardmäßig jede Menge Programme und Dienste; oft starten diese sogar automatisch. Welche Netzwerkdienste im Hintergrund arbeiten, erfahren Sie mit dem Befehl netstat (Listing 1).

antony@mars:~$ netstat -a
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address      Foreign Address State
tcp        0      0 *:login            *              LISTEN
tcp        0      0 *:shell            *              LISTEN
tcp        0      0 *:time             *              LISTEN
tcp        0      0 *:netbios-ssn      *              LISTEN
tcp        0      0 *:finger           *              LISTEN
[…]

Die netstat-Ausgabe zeigt eine Liste aller aktiver Netzwerkverbindungen Ihres Systems. Jeder Eintrag steht für einen Dienst, der vom jeweils angebundenen Netz (Intra- oder Internet) aus erreichbar ist. Die meisten dieser Services (selbst wenn ihre Implementation keine Sicherheitslöcher enthält) verraten über Ihren Computer oder sogar über Sie Details, die nicht unbedingt für den Rest der Welt bestimmt sind. Es empfiehlt sich daher, nicht benötigte Services auszuschalten oder sogar ganz zu deinstallieren.

In der netstat-Ausgabe aus Listing 1 sehen Sie den Eintrag finger. Dieser Dienst verrät einiges über den Rechner oder dessen Benutzer – und das nicht nur lokal, sondern auch auf entfernten Maschinen (Listing 2).

antony@mars:~$ finger pooh@saturn
[saturn.rockstone.co.uk]
Login: pooh                             Name: Pooh Bear
Directory: /home/pooh                   Shell: /bin/bash
Last login Sun Apr 27 14:55 (BST) on ttyp0 from jupiter
New mail received Sat May 10 12:59 2003 (BST)
     Unread since Fri May  9 15:18 2003 (BST)
No Plan.

Wie Sie sehen, gibt er einige recht vertrauliche Dinge preis: der Vor- und Nachnamen des Benutzers, Datum und Uhrzeit des letzten Login, den Name des Rechners, von dem aus die letzte Anmeldung erfolgte, oder mit Datum und Uhrzeit, wann User pooh die letzte Mail empfangen und gelesen hat. Der finger-Dienst ist ein Überbleibsel aus den Anfängen des Internets, als die Zahl der Nutzer noch überschaubar und die Übermittlung von Information wichtiger war als deren Schutz. Heutzutage gibt es fast keinen Grund mehr, den finger-Service auf einem Computer anzubieten – erst recht nicht über's Internet.

Doch nicht nur die unerwünschte Informationsweitergabe birgt Risiken. Netzwerkdienste können Sicherheitslöcher haben, durch die fremde Benutzer Ihren Rechner betreten und eventuell root-Rechte erlangen können.

Bevor Sie damit anfangen, Dienste abzuschalten, lohnt es sich klarzumachen, wie Linux Daten vor lokalen und fremden Benutzern schützt. Abbildung 1 zeigt, über welche Ebenen Daten für Benutzer erreichbar sind: Nur wenn Sie Anwendungen und Daemons kontrollieren, können Sie den Zugriff auf sensible Daten beeinflussen.

Abbildung 1: Gut geschachtelt – Zugriffskontrolle für Daten

Gehen wir davon aus, dass auf dem System keine Software mit nennenswerten Sicherheitslücken installiert ist. In dem Fall liegt der Hauptaugenmerk auf den Daemons. Nicht richtig konfiguriert, ermöglichen sie unter Umständen Zugriff auf sensible Daten. Noch viel schlimmer: Sie bilden häufig die Eingangstür für unerwünschte Besucher.

Daemons austreiben

Ein wichtiger Schritt zu mehr Sicherheit besteht daher darin, überflüssige Netzwerkdienste zu finden und abzuschalten. Viele davon kontrolliert der Super-Daemon inetd: Er startet sie nur dann, wenn sie benötigt werden – eine effizientere Lösung als die, dass ständig ein eigener Daemon für jeden Service läuft. In der Datei /etc/inetd.conf (Listing 3) findet inetd die Informationen darüber, welche Dienste wie gestartet werden.

ftp       stream   tcp   nowait   root     /usr/sbin/tcpd       proftpd
# telnet  stream   tcp   nowait   root     /usr/sbin/tcpd       in.telnetd
shell     stream   tcp   nowait   root     /usr/sbin/tcpd       in.rshd -L
login     stream   tcp   nowait   root     /usr/sbin/tcpd       in.rlogind
# exec    stream   tcp   nowait   root     /usr/sbin/tcpd       in.rexecd
# talk    dgram    udp   wait     root     /usr/sbin/tcpd       in.talkd
ntalk     dgram    udp   wait     root     /usr/sbin/tcpd       in.talkd
finger    stream   tcp   nowait   nobody   /usr/sbin/tcpd       in.fingerd -u
# systat  stream   tcp   nowait   nobody   /usr/sbin/tcpd       /bin/ps -auwwx
# netstat stream   tcp   nowait   root     /usr/sbin/tcpd       /bin/netstat -a
auth      stream   tcp   wait     nobody   /usr/sbin/in.identd  in.identd -P/dev/null

Zeilen, welche mit einer Raute # beginnen, ignoriert der inetd. Ein erster Schritt zum sicheren System ist also das Abschalten diverser Services durch Auskommentieren der Einträge in /etc/inetd.conf.

Grundsätzlich gilt: Wird ein Dienst nicht benötigt, schalten Sie ihn ab. Sie sollten auf der Maschine nur die Services starten, die Sie wirklich brauchen. Einige Dienste sind sogar so unsicher, dass wir völlig davon abraten (siehe Kasten 1).

Nachdem Sie alle überflüssigen Einträge in /etc/inetd.conf auskommentiert haben, kann es gut sein, dass Sie nur noch ein oder zwei Einträge übrig haben – nicht ungewöhnlich für ein halbwegs sicheres System. Anschließend muss der inetd neu gestartet werden:

kill -HUP `cat /var/run/inetd.pid`

Zur Sicherheit schauen Sie mit netstat -a nach, was noch läuft – das Programm darf die abgeschalteten Dienste nicht mehr anzeigen.