Firewall auf Live-CD: Devil-Linux 1.2.5

Feuerteufel

Devil-Linux bootet von CD und ist ganz auf Sicherheit getrimmt. Mit dieser kompakten Distribution ergänzt der Heim-Admin in wenigen Schritten sein Netz um eine Firewall oder einen Webserver.

Entworfen von Admins für Admins – wir wissen, was ihr braucht, weil wir es ebenfalls brauchen!" Mit diesem markigen Slogan tritt das 2003 entstandene Devil-Linux [1] an. Dennoch gehören auch Freizeitadministratoren und fortgeschrittene Heimanwender zur Zielgruppe des Systems. Die Distribution unterscheidet sich deutlich von ihren populären Mitbewerbern à la Suse, Mandriva oder Fedora. Getreu dem Motto "Weniger ist (manchmal) mehr" verzichtet es auf KDE, Gnome oder andere grafische Desktops, die Entwicklern haben es stattdessen konsequent auf Sicherheit optimiert (Kasten 1).

Gar nicht teuflisch präsentiert sich Devil Linux gegenüber seinem Admin: Bei Installation, Basis-Konfiguration und im Arbeitsalltag unterstützt es ihn mit einfachen, aber wirkungsvollen Werkzeugen. Das Erstellen von Firewall-Regeln überlässt der symptische Teufel lieber anderen Spezialisten: Er verträgt sich bestens mit dem Firewall Builder [7], den ein Artikel in LinuxUser kürzlich vorgestellt hat [8]. Das Gespann arbeitet als sehr professionelle Firewall, die der Admin von seinem eigenen Rechner im internen Netz aus fernwartet.

Kasten 1: Teuflisch sicher

Devil-Linux schützt nicht nur das interne Netz vor Angriffen, sondern auch sich selbst vor böswilligen Zeitgenossen. Dazu verwenden die Entwickler vor allem den GRSecurity-Patch sowie den so genannten Stack Smashing Protector, mit dem sie fast alle Programme übersetzt haben.

GCC Stack Smashing Protector

Diese Compiler-Modifikation schützt in der Sprache C geschriebene Applikationen und Programme. Sie greift beim Übersetzen (kompilieren) von Quellcode in ausführbaren Programmcode. Das Ziel: Pufferüberläufen, so genannten Buffer Overflows, den Schrecken zu nehmen.

Bei Buffer Overflows versucht eine Software, Daten in einen zu kleinen Speicherbereich zu schreiben. Das tritt meist auf, wenn sich das Programm mit unerwartet großen Datenmengen konfrontiert sieht und das nicht erkennt, sondern sie stur in einen Puffer mit vorgegebener Größe ablegt. Durch gezieltes Ausnutzen solcher Schwachstellen wird es einem Angreifer möglich, eigenen Maschinencode mit den Rechten des attackierten Programms auszuführen. Das von IBM entwickelte GCC-Modul sorgt dafür, dass das Ausnutzen deutlich schwerer wird.

Fast alle Programme, die mit Devil-Linux ausgeliefert werden, sind mit dem Stack Smashing Protector kompiliert und daher in Bezug auf Buffer Overflows wesentlich weniger anfällig als gewöhnlich übersetzte Software (siehe auch [5]).

GRSecurity

Devil-Linux verwendet den GRSecurity-Patch, der weitreichende Sicherheitsmaßnahmen direkt im Kernel implementiert. Dazu gehören erweiterte Logging-Mechanismen, verstärkte Chroot-Beschränkungen, um Prozesse sicherer einzusperren, rollenbasierte Zugriffsbeschränkungen, Adressraum-Modifikationen, um den Speicherzugriff zu härten und vieles mehr. Eine Liste aller Features findet sich auf [6].

Lebendiger Fürst der Unterwelt

Im Gegensatz zum kürzlich in LinuxUser vorgestellten IPCop [2] ist Devil-Linux bewusst als Live-CD konzipiert. Das erhöht die Sicherheit im späteren Betrieb des Systems. Ein Eindringling hat keine Chance, dauerhaft Dateien zu manipulieren – nach einem Neustart ist erst einmal wieder alles im Lot. Dennoch kommt der Admin nicht umhin, im Ernstfall die Ursache der Kompromittierung aufzuspüren und die Lücke zu schließen, beispielsweise durch Rekonfiguration der Dienste oder Patchen des Systems. Verzichtet er darauf, sind die Eindringlinge schnell wieder im System.

Angenehmer Nebeneffekt der Live-CD: Der Rechner braucht keine Festplatte. Besonders für den Heimanwender ist das interessant, wenn sie auf mechanische Betriebsgeräusche im Büro oder Wohnzimmer verzichten wollen. Der kleine Teufel lässt sich sogar auf einem USB-Stick installieren, dann darf auch das (nicht immer leise) CD-Laufwerk entfallen. Allerdings muss der Rechner dafür das Starten von USB-Geräten unterstützen, bei älteren Modellen ist das oft nicht der Fall.

Wer auf dem Devil-System einen Dienst installieren möchte, der auf eine lokale Festplatte angewiesen ist (zum Beispiel einen Web-Proxy), bindet die Platte problemlos ein. Wie das funktioniert ist in der Dokumentation [3] hervorragend beschrieben.

Installation

Devil-Linux ist auf der Heft-CD dieser Ausgabe zu finden: Einfach einlegen, System booten und unverbindlich testen oder als Firewall in Betrieb nehmen. Das Original stammt von [2]. Um eine eigene Devil-Linux-CD zu bauen, lädt man die tar.bz2-Datei der aktuellen Version 1.2.5, entpackt sie und brennt das darin enthaltene ISO-Abbild mit cdrecord auf CD:

tar -xjf devil-linux-1.2.5-i486.↩
tar.bz2
su
cdrecord -v dev=0,0 devil-linux-↩
1.2.5-i486/bootcd.iso

Die Device-Nummern hinter dev= geben die Position des CDR-Laufwerks an. Welche das auf dem eigenen Rechner ist ermittelt der Aufruf cdrecord -scanbus. Statt cdrecord eignen sich auch grafische Toast-Programme wie K3B, um das ISO-Image bequem auf die CD zu bannen.

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Devil inside
    Der Teufel steckt im Detail: Devil-Linux läuft auch auf älteren Rechner und sichert Ihr Netzwerk gegen Viren und anderen Unrat aus dem Internet.
  • Verteufelt sicher
    Devil-Linux läuft auch auf älteren Rechner und sichert Ihr Netzwerk gegen Viren und andere Bedrohungen aus dem Netz.
  • Devil Linux 1.4 bringt aktualisierte Software

    Die Distribution Devil Linux, die besonderen Wert auf eine sicheres und kompaktes System legt, ist in Version 1.4 erhältlich.
  • Live-Linux-Distributionen
    Eine Live-CD ist ein vollständiges Betriebssystem, mit dem man von CD-ROM bootet und arbeitet. Auf der Festplatte werden dabei keine Daten abgelegt. Mit so einer CD kann sich mit dem Betriebssystem vertraut machen, aber auch den Rechner auf Fehler testen oder Viren prüfen. Wir haben uns sieben Live-CDs angesehen.
  • Leserbriefe
Kommentare

Infos zur Publikation

LU 03/2017: EFFIZIENTES BÜRO

Digitale Ausgabe: Preis € 5,95
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Aktuelle Fragen

Develop Drucker
Jürgen Kos, 27.02.2017 18:15, 0 Antworten
Hallo Comunity. Ich habe nen älteren Developdrucker D3550iD und wollte ihn ins Netzwerk einbin...
Probleme mit der Maus
Thomas Roch, 21.02.2017 13:43, 1 Antworten
Nach 20 Jahren Windows habe ich mich zu Linux Ubuntu probeweise durchgerungen!!! Installation - k...
KWin stürzt ab seit Suse Leap 42.2
Wimpy *, 21.02.2017 09:47, 4 Antworten
OpenSuse 42.2 KDE 5.8.3 Framework 5.26.0 QT 5.6.1 Kernel 4.4.46-11-default 64-bit Open-GL 2....
Shell-Befehl zur Installation von Scanner-Treiber
Achim Zerrer, 15.02.2017 12:13, 10 Antworten
Hallo, ich habe Einen Brother Drucker mit Scanner. Nachdem ich mit Hilfe der Community den Druck...
kiwix öffnet ZIM Datei nicht
Adrian Meyer, 13.02.2017 18:23, 1 Antworten
Hi, ich nutze Zim Desktop für mein privates Wiki. Fürs Handy habe ich mir kiwix heruntergelade...