Abgehärtet

Kehraus

Die meisten einzeln und nicht über indetd zu startenden Daemons nehmen beim Booten ihren Dienst auf – und das sollen sie beim nächsten Systemstart nicht wieder. Um sie aus der dabei abgearbeiteten "Liste" zu entfernen, verwenden die verschiedenen Linux-Distributionen unterschiedliche Tools: Bei Debian erledigt das Perl-Skript update-rc.d oder noch einfacher das Tool rcconf diese Aufgabe. Starten Sie dieses als root, und deaktivieren Sie die unnötigen Dienste. Nach Bestätigen durch Ok löscht update-rc.d die Symlinks der entsprechenden Daemon-Start-Skripte in /etc/rc*.d.

Bei SuSE finden Sie den Runlevel-Editor im Arbeitsmenü unter Administration / YaST2 Module / System / Runlevel-Editor. Red-Hat-Anwender benutzen das Shell-Tool chkconfig, das eine sehr hilfreiche Manpage mitbringt. Alternativ lassen sich die symbolischen Links für die nicht länger erwünschten Dienste in den Verzeichnissen /etc/rc.d/rc0.d, /etc/rc.d/rc1.d usw. auch von Hand löschen.

Slackware besitzt kein spezielles Tool zur Runlevel-Konfiguration. Hier müssen Sie die entsprechenden Dateien im Verzeichnis /etc/rc.d (z. B. /etc/rc.d/rc.inet2) von Hand editieren. Setzen Sie in dieser Datei einfach das Raute-Zeichen # vor die unerwünschten Einträge.

All diese Änderungen treten erst beim nächsten Neustart des Rechners in Kraft. Wollen Sie nicht solange warten und laufende Netzwerkdienste sofort loswerden, rufen Sie das entsprechende Init-Skript als root mit dem Argument stop auf. So beendet

root@venus # /etc/init.d/postfix stop
Shutting down mail service (Postfix)

den Mailserver postfix. Alternativ finden Sie mit dem ps-Kommando die Prozess-ID des jeweiligen Daemons heraus. Diese steht in der ersten Spalte der Ausgabe unter PID. Anschließend werden Sie ihn mit dem Befehl kill los:

kill prozessnummer

Platte geputzt

Nachdem alle unsicheren Dienste abgeschaltet sind, sollten hoffentlich keine sensiblen Daten mehr über's Netz geschickt oder Türen für Angreifer geöffnet werden. Natürlich kann es auch immer Sicherheitslücken in anderen Programmen, die Sie wirklich benötigen, geben. Websites wie [3--5] geben Informationen über bekannte Sicherheitsprobleme und liefern Anleitungen, wie entsprechende Security-Fixes eingespielt werden.

Am besten schalten Sie unerwünschte Dienste nicht einfach nur ab, sondern deinstallieren Sie sie wirklich. Überschreibt ein Distributions-Upgrade beispielsweise die veränderte Datei /etc/inetd.conf, antworten plötzlich die einstmals sorgfältig auskommentierten Netzwerkdienste wieder auf Anfragen. Ein deinstallierter fingerd startet jedoch auch dann nicht. Sollten Sie einen abgeschalteten Dienst zu einem späteren Zeitpunkt doch benötigen, lässt er sich jederzeit neu installieren.

Sobald Sie mit der Abschalterei ferig sind, vergessen Sie nicht, das System nochmal mit einem Port-Scan zu testen.