Firewall auf Live-CD: Devil-Linux 1.2.5

Feuerteufel

Devil-Linux bootet von CD und ist ganz auf Sicherheit getrimmt. Mit dieser kompakten Distribution ergänzt der Heim-Admin in wenigen Schritten sein Netz um eine Firewall oder einen Webserver.

Entworfen von Admins für Admins – wir wissen, was ihr braucht, weil wir es ebenfalls brauchen!" Mit diesem markigen Slogan tritt das 2003 entstandene Devil-Linux [1] an. Dennoch gehören auch Freizeitadministratoren und fortgeschrittene Heimanwender zur Zielgruppe des Systems. Die Distribution unterscheidet sich deutlich von ihren populären Mitbewerbern à la Suse, Mandriva oder Fedora. Getreu dem Motto "Weniger ist (manchmal) mehr" verzichtet es auf KDE, Gnome oder andere grafische Desktops, die Entwicklern haben es stattdessen konsequent auf Sicherheit optimiert (Kasten 1).

Gar nicht teuflisch präsentiert sich Devil Linux gegenüber seinem Admin: Bei Installation, Basis-Konfiguration und im Arbeitsalltag unterstützt es ihn mit einfachen, aber wirkungsvollen Werkzeugen. Das Erstellen von Firewall-Regeln überlässt der symptische Teufel lieber anderen Spezialisten: Er verträgt sich bestens mit dem Firewall Builder [7], den ein Artikel in LinuxUser kürzlich vorgestellt hat [8]. Das Gespann arbeitet als sehr professionelle Firewall, die der Admin von seinem eigenen Rechner im internen Netz aus fernwartet.

Kasten 1: Teuflisch sicher

Devil-Linux schützt nicht nur das interne Netz vor Angriffen, sondern auch sich selbst vor böswilligen Zeitgenossen. Dazu verwenden die Entwickler vor allem den GRSecurity-Patch sowie den so genannten Stack Smashing Protector, mit dem sie fast alle Programme übersetzt haben.

GCC Stack Smashing Protector

Diese Compiler-Modifikation schützt in der Sprache C geschriebene Applikationen und Programme. Sie greift beim Übersetzen (kompilieren) von Quellcode in ausführbaren Programmcode. Das Ziel: Pufferüberläufen, so genannten Buffer Overflows, den Schrecken zu nehmen.

Bei Buffer Overflows versucht eine Software, Daten in einen zu kleinen Speicherbereich zu schreiben. Das tritt meist auf, wenn sich das Programm mit unerwartet großen Datenmengen konfrontiert sieht und das nicht erkennt, sondern sie stur in einen Puffer mit vorgegebener Größe ablegt. Durch gezieltes Ausnutzen solcher Schwachstellen wird es einem Angreifer möglich, eigenen Maschinencode mit den Rechten des attackierten Programms auszuführen. Das von IBM entwickelte GCC-Modul sorgt dafür, dass das Ausnutzen deutlich schwerer wird.

Fast alle Programme, die mit Devil-Linux ausgeliefert werden, sind mit dem Stack Smashing Protector kompiliert und daher in Bezug auf Buffer Overflows wesentlich weniger anfällig als gewöhnlich übersetzte Software (siehe auch [5]).

GRSecurity

Devil-Linux verwendet den GRSecurity-Patch, der weitreichende Sicherheitsmaßnahmen direkt im Kernel implementiert. Dazu gehören erweiterte Logging-Mechanismen, verstärkte Chroot-Beschränkungen, um Prozesse sicherer einzusperren, rollenbasierte Zugriffsbeschränkungen, Adressraum-Modifikationen, um den Speicherzugriff zu härten und vieles mehr. Eine Liste aller Features findet sich auf [6].

Lebendiger Fürst der Unterwelt

Im Gegensatz zum kürzlich in LinuxUser vorgestellten IPCop [2] ist Devil-Linux bewusst als Live-CD konzipiert. Das erhöht die Sicherheit im späteren Betrieb des Systems. Ein Eindringling hat keine Chance, dauerhaft Dateien zu manipulieren – nach einem Neustart ist erst einmal wieder alles im Lot. Dennoch kommt der Admin nicht umhin, im Ernstfall die Ursache der Kompromittierung aufzuspüren und die Lücke zu schließen, beispielsweise durch Rekonfiguration der Dienste oder Patchen des Systems. Verzichtet er darauf, sind die Eindringlinge schnell wieder im System.

Angenehmer Nebeneffekt der Live-CD: Der Rechner braucht keine Festplatte. Besonders für den Heimanwender ist das interessant, wenn sie auf mechanische Betriebsgeräusche im Büro oder Wohnzimmer verzichten wollen. Der kleine Teufel lässt sich sogar auf einem USB-Stick installieren, dann darf auch das (nicht immer leise) CD-Laufwerk entfallen. Allerdings muss der Rechner dafür das Starten von USB-Geräten unterstützen, bei älteren Modellen ist das oft nicht der Fall.

Wer auf dem Devil-System einen Dienst installieren möchte, der auf eine lokale Festplatte angewiesen ist (zum Beispiel einen Web-Proxy), bindet die Platte problemlos ein. Wie das funktioniert ist in der Dokumentation [3] hervorragend beschrieben.

Installation

Devil-Linux ist auf der Heft-CD dieser Ausgabe zu finden: Einfach einlegen, System booten und unverbindlich testen oder als Firewall in Betrieb nehmen. Das Original stammt von [2]. Um eine eigene Devil-Linux-CD zu bauen, lädt man die tar.bz2-Datei der aktuellen Version 1.2.5, entpackt sie und brennt das darin enthaltene ISO-Abbild mit cdrecord auf CD:

tar -xjf devil-linux-1.2.5-i486.↩
tar.bz2
su
cdrecord -v dev=0,0 devil-linux-↩
1.2.5-i486/bootcd.iso

Die Device-Nummern hinter dev= geben die Position des CDR-Laufwerks an. Welche das auf dem eigenen Rechner ist ermittelt der Aufruf cdrecord -scanbus. Statt cdrecord eignen sich auch grafische Toast-Programme wie K3B, um das ISO-Image bequem auf die CD zu bannen.

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Devil inside
    Der Teufel steckt im Detail: Devil-Linux läuft auch auf älteren Rechner und sichert Ihr Netzwerk gegen Viren und anderen Unrat aus dem Internet.
  • Verteufelt sicher
    Devil-Linux läuft auch auf älteren Rechner und sichert Ihr Netzwerk gegen Viren und andere Bedrohungen aus dem Netz.
  • Devil Linux 1.4 bringt aktualisierte Software

    Die Distribution Devil Linux, die besonderen Wert auf eine sicheres und kompaktes System legt, ist in Version 1.4 erhältlich.
  • Live-Linux-Distributionen
    Eine Live-CD ist ein vollständiges Betriebssystem, mit dem man von CD-ROM bootet und arbeitet. Auf der Festplatte werden dabei keine Daten abgelegt. Mit so einer CD kann sich mit dem Betriebssystem vertraut machen, aber auch den Rechner auf Fehler testen oder Viren prüfen. Wir haben uns sieben Live-CDs angesehen.
  • Leserbriefe
Kommentare

Infos zur Publikation

LU 09/2016: Ciao, Windows!

Digitale Ausgabe: Preis € 5,99
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Aktuelle Fragen

NOKIA N900 einziges Linux-Smartphone? Kein Support mehr
Wimpy *, 28.08.2016 11:09, 1 Antworten
Ich habe seit vielen Jahren ein Nokia N900 mit Maemo-Linux. Es funktioniert einwandfrei, aber ich...
Scannen nicht möglich
Werner Hahn, 19.08.2016 22:33, 3 Antworten
Laptop DELL Latitude E6510 mit Ubuntu 16,04, Canon Pixma MG5450. Das Drucken funktioniert, Scann...
Wie kann man das berichtigen
Udo Muelle, 17.07.2016 20:39, 1 Antworten
Fehlschlag beim Holen von http://extra.linuxmint.com/dists/rosa/main/binary-i386/Packages Hash-S...
Installation Genimotion
Horst Müller, 15.07.2016 17:00, 1 Antworten
Hallo, ich kann Genimotion nicht installieren. Folgende Fehlermeldung habe ich beim Aufruf erh...
Probleme beim Hochfahren der Terastaion 5400 mit Unix-Distrib
Sheldon Cooper, 10.07.2016 09:32, 0 Antworten
Hallo ihr lieben, habe seit zwei Tagen das Problem, das das NAS (Raid5) nicht mehr sauber hoch...