Nach einem Einbruch auf einem Linux-Rechner kann der Administrator diesen wie ein Gerichtsmediziner untersuchen und analysieren. Der Artikel zeigt die ersten Schritte und die erforderlichen Werkzeuge dafür.
Auch wer seinen Rechner nach bestem Wissen und Gewissen absichert [1] ist nicht gefeit vor Einbrüchen und Einbruchsversuchen – es sei denn, man arbeitet ausschließlich offline. Der beste Rat lautet daher, nicht angsterstarrt wie das sprichwörtliche Kaninchen auf die Schlange zu starren, sondern sich offensiv für den Fall des Falles vorzubereiten. Dazu zählt unter anderem auch, sich mit den Methoden potentieller Angreifer vertraut zu machen.
Erste Schritte des Bösewichts
Wenn ein Einbrecher auf einem Rechner eingedrungen ist, hat er vordringlich drei Ziele: das Beseitigen der Sicherheitslücke, die Installation von Hintertüren und das Verwischen von Spuren. Im ersten Schritt wird er die Sicherheitslücke, die er selbst ausgenutzt hat, schließen, damit nicht ein weiterer Angreifer ihm den Rechner streitig macht. Böse Zungen behaupten, kompromittierte Rechner seien die am besten geschützten Rechner.
Im zweiten Schritt wird er Hintertüren und zusätzliche Software installieren. Hierbei handelt es sich zum Beispiel um weitere Angriffswerkzeuge oder Kennwortsniffer.
Anschließend folgt in der Regel der Versuch, Spuren zu verwischen und verräterische Anhaltspunkte in den Protokolldateien und im Dateisystem zu entfernen. Dem lässt sich vorbeugen, indem man die Protokolle zusätzlich auf einem zentralen Protokollserver sammelt und das Dateisystem überwacht.
Sicherheitskopien von Logdateien anderer Rechner erstellt von Haus aus bereits der klassische BSD-Syslogd, den die meisten Linux-Distributionen mitliefern, und zwar dann, wenn er auf dem zentralen Protokollserver mit dem Kommandozeilenparameter -r (für “remote”, “entfernt”) gestartet wird. Dieses “Flag” aktiviert die Fähigkeit, Protokollmeldungen über das Netzwerk entgegenzunehmen.
Bei den meisten Distributionen konfiguriert man die Startparameter der Systemdienste im /etc/sysconfig-Verzeichnis. Hier befindet sich meistens eine Datei syslog, in der der Anwender die Option hinzufügt. Bei Suse wird dabei aus der Zeile SYSLOGD_PARAMS=””
SYSLOGD_PARAMS="-r"
Nach einem Neustart des Syslogd (/etc/init.d/syslog restart) bietet der Daemon diese Funktion an. Bei anderen Distributionen wie Debian findet sich die zu ändernde Variable (hier: SYSLOGD) mit einem entsprechenden Hinweis direkt im Syslog-Startskript (bei Debian /etc/init.d/sysklogd):
# Options for start/restart the daemons # For remote UDP logging use SYSLOGD="-r" SYSLOGD=""
Auf den Client-Rechnern, die ihre Protokolle an den zentralen Server schicken sollen, muss der Administrator die Syslog-Konfigurationsdatei /etc/syslog.conf anpassen. Zunächst entscheidet er, welche Meldungen er auf den Protokollserver schicken möchte. Wenn es sich um alle handelt, so genügt es, die folgende Zeile in der Datei einzufügen:
*.* @centrallog
Den Platzhalter centrallog ersetzt man durch den Namen oder die IP-Adresse des Logservers. Nach dem Neustart des Syslogd auf dem Client schickt dieser nun alle Protokollmeldungen auch an den Server, und zwar mit dem UDP–Protokoll an Port 514.
Hat man nun bei Durchsicht der Logdateien [1] auf dem Client-Rechner das Gefühl, etwas könne nicht stimmen, kann man die dortigen Einträge mit denen in den entsprechenden Protokolldateien auf dem Logserver vergleichen – gibt es Unterschiede, liegt eine Manipulation vor. Alle Meldungen, die in der Datei /var/log/messages auf dem Logserver vom Rechner enterprise.linux-magazin.de (und nicht vom Logserver-Rechner selbst) stammen, findet man mit dem Befehl grep:
logserver # grep "enterprise.linux-magazin.de" /var/log/messages May 21 18:37:40 enterprise.linux-magazin.de syslogd 1.4.1#11: restart.
… hier zum Beispiel den Beweis, dass der Syslogd neu gestartet wurde.
Änderungen unerwünscht
Um Manipulationen eines Einbrechers an normalerweise unveränderlichen Konfigurations- und Programmdateien auf die Spur zu kommen, überwacht man das Dateisystem am sinnvollsten mit als “System Integrity Verifier” (SIV) bezeichneten Werkzeugen wie Tripwire [2,3] und Aide [4,5]. Beide legen Informationen zu Dateien, die auf Veränderungen hin beobachtet werden sollen, in einer zentralen Datenbank ab. Durch regelmäßige Überprüfungen erkennen sie Modifikationen und alarmieren den Administrator. Dieser muss nun entscheiden, ob es sich um eine von ihm gewollte Änderung handelt oder ob ein Dritter am Werk war.
Da beide Anwendungen nach jedem Update und jeder Neuinstallation eines Pakets Änderungen melden, entsteht ein recht hoher Administrationsaufwand, der meist nur für die Überwachung von Servern im Internet betrieben wird. Für Desktop-Rechner kann zu einem gewissen Teil das Paketverwaltungssystem der Distribution einspringen.
RPM hilft
So bietet der “Red Hat Packet Manager” rpm (der unter anderem auch bei Suse, Mandrake und Fedora zum Einsatz kommt) die Option -V (für englisch “verify”), mit der sich der Zustand installierter Pakete überprüfen lässt. Das RPM-System vergleicht dann den aktuellen Zustand der Dateien mit ihrem Zustand zum Zeitpunkt der Installation. Da viele Dateien (z. B. die für ein System kritischen Konfigurationsdateien) nach der Installation angepasst und modifiziert werden, lässt sich die Methode nur eingeschränkt verwenden. Sie taugt aber zum Beispiel, um sich zu vergewissern, dass wichtige Systemprogramme nicht durch gleichnamige Tools mit Hintertüren ersetzt wurden.
In guter alter Unix-Manier gibt der Befehl rpm -V Paketname nichts aus, wenn alles in Ordnung ist. Hingegen erkennt der Administrator im folgenden Beispiel …
$ rpm -V coreutils S.5….T /bin/ls
…, dass der Befehl /bin/ls aus dem coreutils-Paket bezüglich Größe, Inhalt und Datum (S steht für “Size”, 5 für MD5-Prüfsumme und T für “Time”) manipuliert wurde. rpm -V bemerkt zudem Änderungen am Eigentümer der Datei (U – “User), an der Eigentümergruppe (G), an symbolischen Links (L), an Gerätedateien (D – “Device”) und am Dateityp sowie den Dateirechten [6] (M – “Mode”).
Alle per Paketmanager installierten Pakete auf einmal überprüft der Befehl rpm -Va. Selbst auf frisch aufgespielten Systemen sorgt er für Unmengen an Meldungen. Entweder ignoriert man die mit einem c (für “configuration file”) oder einem d (für “documentation”) gekennzeichneten Dateien oder schränkt die Analyse von vornherein auf die Dateien in den für ausführbare Programme und Bibliotheken reservierten Verzeichnissen bin/ und lib/ ein:
rpm -Va | grep 'bin/' rpm -Va | grep 'lib/'
Rootkit-Erkennung
Während Tripwire und Aide den “guten” Zustand des Betriebssystems in einer Datenbank speichern und regelmäßig mit dem aktuellen Zustand vergleichen, schlägt Chkrootkit [7] den umgekehrten Weg ein. Es kennt die vom Angreifer installierten Werkzeuge, Rootkit genannt, und deren typische Pfade und fahndet auf dem Linux-System spezifisch danach. Zusätzlich sucht und findet Chkrootkit allgemeine Hinweise auf Rootkits, wie zum Beispiel versteckte Prozesse, ungewöhnliche offene Ports und sniffende Netzwerkkarten. Daher erkennt Chkrootkit auch einige Rootkits, die erst nach seinem letzten Update (Dezember 2003) “auf den Markt kamen”.
Bei Rootkits (vgl. Kasten 1) handelt es sich meist um eine Sammlung von Tools, die es dem Angreifer vereinfachen, seine Gegenwart zu verbergen und zusätzliche Software zu installieren. Um ihnen mit Chrootkit auf die Spur zu kommen, lädt der Administrator eines Rechners das aktuelle Chkrootkit-Quelltextarchiv von [7] und übersetzt dieses:
tar xzf chkrootkit-0.43.tar.gz cd chkrootkit-0.43 make
Eine anschließende Installation ist nicht vorgesehen, stattdessen ruft root das Programm aus dem Arbeitsverzeichnis mit dem Befehl ./chkrootkit auf. Dabei analysiert das Tool die wichtigsten Befehle des Linux-Systems und schaut sich typische Installationsorte der bekannten Rootkits an: Bei den Meldungen not infected (“nicht infiziert”), nothing/not found (“nicht/s gefunden”), nothing deleted (“nichts gelöscht”) und no suspect files (“keine verdächtigen Dateien”) handelt es sich um die guten Nachrichten; Befunde in Großbuchstaben wie in Abbildung 1 entlarven einen kompromittierten Rechner.
Abbildung 1: Chkrootkit hat in “su”, “ifconfig” und “inetd” infizierte Dateien gefunden.
Sinnvollerweise übersetzt der Administrator Chkrootkit nicht auf dem zu testenden Rechner selbst, sondern auf einem System, über dessen unversehrten Zustand er sich sicher ist. Da das nicht immer möglich ist, stellt der Autor unter [8] vorkompilierte RPM-Pakete zur Verfügung.
Da verschiedene Rootkits immer intelligentere Methoden verwenden, um sich auf dem System zu verstecken, sollte der chrootkit-Lauf im Single-User-Modus des Betriebssystems oder (noch besser) nach dem Booten einer Live-CD durchgeführt werden. Dafür eignet sich zum Beispiel Knoppix, das Chkrootkit in seiner aktuellsten Version mitbringt. Chkrootkit bemerkt sicherlich nicht alle existierenden Rootkits, hat aber eine hohe Erkennungsrate.
Inzwischen gibt es auch spezielle Boot-CDs, die für die forensische Systemanalyse entwickelt wurden. Knoppix-STD [9] ist die bekannteste Live-CD unter ihnen. Sie enthält weitere wertvolle Werkzeuge fürs weitergehende Durchleuchten eines Rechners, zum Beispiel Sleuthkit ([10–12]).
Startet der Administrator Chkrootkit von einer CD aus, muss er vorher sicherstellen, dass die Festplattendateisysteme gemountet wurden. Zu diesem Zweck sollte er zunächst ein Verzeichnis /tmp/mount (o. ä.) erzeugen und die Dateisysteme so auf Unterverzeichnisse davon mounten, dass es unterhalb von /tmp/mount aussieht wie im Wurzelverzeichnis des laufenden Systems.
Für das System aus Abbildung 2 würde der Administrator im gebooteten Live-System die Verzeichnisse /tmp/mount, /tmp/mount/boot, /tmp/mount/home, /tmp/mount/usr und /tmp/mount/var erzeugen und die Partitionen /dev/hda5, /dev/hda1, /dev/hda6, /dev/hda7 und /dev/hda8 entsprechend einbinden. Listing 1 zeigt die nötigen Befehle.
Abbildung 2: Linux-Systeme verteilen sich häufig über mehrere Partitionen.
Listing 1
Vorbereitungen für die Überprüfung bei gebootetem Live-System
mkdir -p /tmp/mount/boot mkdir /tmp/mount/home mkdir /tmp/mount/usr mkdir /tmp/mount/var mount /dev/hda5 /tmp/mount mount /dev/hda1 /tmp/mount/boot mount /dev/hda6 /tmp/mount/home mount /dev/hda7 /tmp/mount/usr mount /dev/hda8 /tmp/mount/var
Anschließend teilt er chkrootkit mit der Option -r den Ort des zu untersuchenden Verzeichnisbaums mit:
chkrootkit -r /tmp/mount
Durch Einsatz einer Live-CD löst er gleichzeitig ein weiteres Problem: Chkrootkit benötigt für die Analyse des Dateisystems weitere Kommandos, darunter awk, cut und find. Der Angreifer kann das Ergebnis der Chkrootkit-Analyse verfälschen, wenn er diese Befehle austauscht. Führt der Administrator die Analyse jedoch von einer Knoppix-CD aus durch, werden die unveränderten Knoppix-Befehle genutzt.
Kasten 1: Rootkits
Die Werkzeugsammlungen [13], die ein Einbrecher nutzt, um Hintertüren zu installieren, Dateien und Prozesse zu verstecken und Kennwörter zu sammeln, heißen deshalb Rootkits, weil sie es dem Einbrecher ermöglichen, als root zu arbeiten, ohne dass der echte Systemadminstrator dies bemerkt (Wikipedia: http://de.wikipedia.org/wiki/Rootkit).
Es gibt im Wesentlichen drei verschiedene Arten: Die ältesten und einfachsten Rootkits, darunter zum Beispiel das Linux-Rootkit-5 [14], tauschen lediglich einige Befehle aus. Die manipulierten Versionen zeigen einige Dateien und Prozesse nicht mehr an und bieten zusätzliche Hintertüren. Hierbei handelt es sich zum Beispiel um einen modifizierten inetd-Superserver, der auf einem zusätzlichen Port ein root-Login erlaubt. Verbindet sich der Angreifer per telnet-Kommando mit diesem Port, so erhält er direkt einen root–[15], das in der Lage ist, Aide und Tripwire zu überlisten. Es erkennt, ob eine Datei gelesen oder ausgeführt wird und präsentiert entweder die originale unveränderte Datei oder die vom Angreifer modifizierte Version. Obwohl also die modifizierte Datei bei der Ausführung verwendet wird, sehen der Administrator und auch Tripwire bzw. Aide nur die Originaldatei. Dieses Verfahren wird als Execution-Redirection bezeichnet.
Knark kann aber wie viele andere Kernel-Rootkits nur modulare Kernel angreifen. Daher wurde in der Vergangenheit häufig die Kompilierung eines monolithischen Kernels (ohne Module) für sicherheitssensitive Systeme empfohlen. Silvio Cesare zeigte allerdings bereits 1999, dass es auch möglich ist, diese Kernel anzugreifen.
Das erste Rootkit, das dieses Verfahren verwendete, war das Kernel-Intrusion-System (KIS) von Optyx [16]. Dieses auf der Defcon 9 [17] im Jahr 2001 vorgestellte Rootkit kann einen monolitischen Kernel zur Laufzeit angreifen und modifizieren. Dabei bietet es dem Benutzer sogar eine grafische Oberfläche für die Administration (Abbildung 3). Inzwischen gibt es viele weitere Rootkits mit ähnlichen Fähigkeiten. Das bekannteste und am häufigsten eingesetzte ist Suckit [18].
Abbildung 3: KIS lässt sich mit einer grafischen Oberfläche fernsteuern.
Reaktion
Wenn ein Einbruch tatsächlich stattgefunden hat und der Rechner möglicherweise kompromittiert wurde, sollte der Administrator vom Schlimmsten ausgehen. Das bedeutet, dass eine Neuinstallation einer möglicherweise nur teilweisen Reparatur immer vorzuziehen ist. Möchte man den Einbruch später analysieren, empfiehlt es sich, die Festplatten auszubauen und neue zu verwenden oder den Inhalt der Festplatten mit dd zu sichern [19].
Nach der Neuinstallation des Systems (und abschließendem Update [1]) dürfen nur nicht ausführbare Dateien aus dem Backup wieder aufgespielt werden, denn es steht zu erwarten, dass der Angreifer bereits vor dem Erstellen der Sicherungskopie Änderungen angebracht hat. Diese dürfen unter keinen Umständen auf dem neuen, sauberen System landen! Auch Konfigurationsdateien sollte der Administrator mit der nötigen Skepsis betrachten und bei fehlendem Überblick aus den Originaldateien neu anpassen.
Sobald der Rechner wiederhergestellt wurde, überprüft der Admin die Sicherheitseinstellungen und verbessert sie, um erneuten Einbrüchen auf dem Rechner vorzubeugen. Der beste Schutz ist ein aktuelles und ständig aktualisiertes Betriebssystem. Um dieses auf dem neuesten Stand zu halten, bietet sich die Einrichtung eines Cronjobs [20] an, der jede Stunde nach neuen Updates für das System sucht und diese automatisch einspielt.
Listing 2 zeigt ein Beispiel für Red Hat, während [1] demonstriert, welche Befehle für Debian und Fedora nötig sind. Suse erlaubt die Konfiguration seiner Auto-Update-Funktion via Yast [21].
Viele Anwender scheuen die automatische Aktualisierung aus Angst, dass hierbei etwas schief geht. Diese Gefahr fällt in der Praxis eher gering aus: In den letzten drei Jahren kam es beim Autor aus diesem Grund erst zweimal zu einem Ausfall eines Dienstes. Dennoch sollte man abwägen, ob man die Updates lieber per Hand einspielt und per Cronjob nur prüft, ob auf den neuesten Stand gebrachte Pakete zur Verfügung stehen. Falls das betroffene Programm wider Erwarten nach dem Update nicht mehr funktioniert, bleibt zumindest das beruhigende Gefühl, dass die Sicherheitslücke damit auch nicht mehr existiert.
Listing 2
Automatisches Update auf Red-Hat-Rechnern
#! /bin/sh
up2date -u &> /tmp/up2date.log
# Falls kein automatisches Update durchgeführt, sondern nur die
# Liste der Updates angezeigt werden soll, kann der folgende Befehl genutzt
# werden:
# up2date -l &> /tmp/up2date.log
if ! grep -q "All packages are currently up to date" /tmp/up2date.log
then
cat /tmp/up2date.log
fi
Der Autor
Ralf Spenneberg arbeitet als freier Unix/Linux-Trainer und Autor. Er veröffentlichte die Bücher “Intrusion Detection für Linux-Server” und “VPN mit Linux”, entwickelte Kursunterlagen und bietet Inhouse-Schulungen im Bereich Unix/Linux an.
Glossar
-
Kennwortsniffer
-
Ein Programm, das wie die Linux-Befehle “tcpdump” oder “ethereal” alle Netzwerkpakete mitschneidet. Es interessiert sich jedoch nur für die Pakete, die Anmeldeinformationen enthalten, und analysiert diese genauer. Der bekannteste Kennwortsniffer ist “dsniff” (http://www.monkey.org/~dugsong/dsniff/).
-
Syslogd
-
Der “System-Log-Daemon” ist ein Programm, das im Hintergrund läuft und die Aktivitäten von System- und Server-Diensten in sogenannten Log-Dateien (in der Regel im Verzeichnis “/var/log”) protokolliert.
-
UDP
-
Das “User Datagram Protocol” schickt im Gegensatz zum bekannteren TCP (“Transmission Control Protocol”) die Datenpakete “auf gut Glück” zum Empfänger und vergisst sofort, was gerade geschah. Kommt ein Datenpaket nicht am Ziel an, wird es einfach übergangen. TCP würde in diesem Falle beim Absender nochmals nachfragen und dieser das fehlende Datenpaket erneut senden. UDP kommt außer bei Syslog z. B. bei Video- und Audio-Echtzeit-Übertragungen zum Einsatz.
-
Protokoll
-
Eine Vereinbarung, was an einer Aktion Beteiligte (zum Beispiel ein Client und ein Server) tun müssen (welche Anforderungen, welche Bestätigung senden etc.), damit die Reaktion der Gegenseite – wie beim diplomatischen Protokoll – vorhersehbar ist.
-
Port
-
Eine mit einer Nummer versehene “Anlegestelle”, an der Clients übers Netzwerk einen Serverdienst in Anspruch nehmen können. Für gängige Dienste definiert die Datei “/etc/services” die entsprechende Portnummer, für Syslog 514 via UDP.
-
MD5-Prüfsumme
-
MD5 ist ein kryptographischer Algorithmus, der sich sehr gut zum Errechnen von Prüfsummen eignet: Identische Eingaben erzeugen immer denselben 128 Bit langen Wert; schon leichte Änderungen sorgen für eine stark veränderte Prüfsumme.
-
symbolischen Links
-
Verweis auf eine andere Datei, prinzipiell also nichts anderes als ein zweiter Name. Symbolische Links zeigen ins Leere (“broken symlinks”), wenn die ursprüngliche Zieldatei gelöscht oder verschoben wird.
-
Gerätedateien
-
Eine Datei, die eine Hardware-Komponente (zum Beispiel eine Festplatte, eine Partition, die Maus etc.) repräsentiert. “Device-Files” befinden sich im Normalfall ausschließlich im Verzeichnis “/dev”.
-
sniffende Netzwerkkarte
-
Netzwerkkarte, die in den sogenannten “Promiscuous Mode” versetzt wurde und die dadurch alle Pakete im Netzwerk “anschaut”, nicht nur die für den eigenen Rechner gedachten.
-
Single-User-Modus
-
Die meisten Linux-Distributionen kennen unterschiedliche Betriebszustände (Run-Level), darunter einen Wartungszustand namens Single-User-Modus. Hier darf sich nur der Administrator am System anmelden; Netzwerkdienste starten üblicherweise keine. Aus einem laufenden System kann “root” meist mit dem Befehl “init 1” in den Single-User-Modus wechseln. Damit man sich nicht aussperrt, empfiehlt es sich, dieses Kommando direkt am Rechner und nicht übers Netzwerk abzusetzen. Zurück in den grafischen Modus geht es mit “init 5”.
-
forensische Systemanalyse
-
Untersuchung eines Rechnersystems, das mutmaßlich Opfer einer kriminellen Handlung wurde.
-
mkdir -p
-
Erzeugt nicht nur das angegebene Verzeichnis, sondern alle bisher nicht existierenden Oberverzeichnisse (im Beispiel “/tmp/mount”) gleich mit (“-p” steht für “parent”, Elternteil).
-
inetd
-
Ein Server, der dafür sorgt, dass Serverdienste wie FTP oder CUPS nicht ständig laufen müssen, sondern bei Bedarf gestartet werden. Manche Distributionen wie Suse 9.1 verwenden statt “inetd” die Software “xinetd” für diesen Zweck.
-
Prompt
-
Das Bereitzeichen der Shell, die meist mit einem # (traditionell nur bei “root”-Rechten), einem $ oder einem > und ggf. zusätzlichen Angaben wie dem aktuellen Verzeichnis, dem Rechner- und dem Benutzernamen signalisiert, dass jetzt Kommandos eingegeben werden können.
Infos
[1] Rechner gegen Angriff absichern: Ralf Spenneberg, “Vorsorge ist besser…”, LinuxUser 05/2004, S. 27 ff.
[2] Tripwire-Projektseite: http://www.tripwire.org/
[3] Tripwire-Einführung: Thorsten Scherf, “Spurensucher”, Linux-Magazin-Sonderheft 01/2004 (Security Edition), S. 60 ff.
[4] Aide-Projektseite: http://www.cs.tut.fi/~rammer/aide.html
[5] Aide-Einführung: Thorsten Scherf, “Hilfe bei der Spurensuche”, Linux-Magazin 04/2004, S. 80 f., http://www.linux-magazin.de/Artikel/ausgabe/2004/04/aide/aide.html
[6] Dateirechte: Patricia Jung, “Alles Recht”, LinuxUser 12/2003, S. 31 ff.
[7] Chkrootkit: http://www.chkrootkit.org/
[8] Chkrootkit-RPM-Pakete: http://www.spenneberg.org/Forensics/chkrootkit/
[9] Knoppix-STD: http://www.knoppix-std.org/
[10] Sleuthkit: http://www.sleuthkit.org/
[11] Einführung in Sleuthkit: Ralf Spenneberg, “Detektiv-Arbeit”, Linux-Magazin 09/2003, S. 60 ff.
[12] Sleuthkit und sein Webfrontend Autopsy: Ralf Spenneberg, “Spürhund mit Sehhilfe”, Linux-Magazin 10/2003, S. 58 ff.
[13] Rootkits: http://www.packetstormsecurity.org/UNIX/penetration/rootkits/
[14] Linux-Rootkit-5: http://packetstormsecurity.org/UNIX/penetration/rootkits/lrk5.src.tar.gz
[15] Knark: http://packetstormsecurity.org/UNIX/penetration/rootkits/knark-0.59.tar.gz
[16] Kernel-Intrusion-System von Optyx: http://packetstormsecurity.org/UNIX/penetration/rootkits/kis-0.9.tar.gz
[17] Defcon-Konferenz: http://www.defcon.org/
[18] Suckit: http://www.phrack.org/show.php?p=58&a=7
[19] dd: Heike Jurzik, “Dies Bildnis ist bezaubernd schön”, LinuxUser 01/2003, S. 82 f., http://www.linux-user.de/ausgabe/2003/01/082-mkisofs/
[20] Cronjobs einrichten: Jürgen Jentsch, “Pünktlich ausgeführt”, LinuxUser 06/2002, S. 81 f., http://www.linux-user.de/ausgabe/2002/06/081-cron/cron-at-3.html
[21] Yast-Autoupdate einrichten: Nico Lumma, “Die andere Seite”, LinuxUser 06/2004, S. 35 ff.
