 "Aufmacher Artikel")
Entworfen von Admins für Admins – wir wissen, was ihr braucht, weil wir es ebenfalls brauchen!" Mit diesem markigen Slogan tritt das 2003 entstandene Devil-Linux [1] an. Dennoch gehören auch Freizeitadministratoren und fortgeschrittene Heimanwender zur Zielgruppe des Systems. Die Distribution unterscheidet sich deutlich von ihren populären Mitbewerbern à la Suse, Mandriva oder Fedora. Getreu dem Motto "Weniger ist (manchmal) mehr" verzichtet es auf KDE, Gnome oder andere grafische Desktops, die Entwicklern haben es stattdessen konsequent auf Sicherheit optimiert (Kasten 1).
Gar nicht teuflisch präsentiert sich Devil Linux gegenüber seinem Admin: Bei Installation, Basis-Konfiguration und im Arbeitsalltag unterstützt es ihn mit einfachen, aber wirkungsvollen Werkzeugen. Das Erstellen von Firewall-Regeln überlässt der symptische Teufel lieber anderen Spezialisten: Er verträgt sich bestens mit dem Firewall Builder [7], den ein Artikel in LinuxUser kürzlich vorgestellt hat [8]. Das Gespann arbeitet als sehr professionelle Firewall, die der Admin von seinem eigenen Rechner im internen Netz aus fernwartet.
Kasten 1: Teuflisch sicher
Devil-Linux schützt nicht nur das interne Netz vor Angriffen, sondern auch sich selbst vor böswilligen Zeitgenossen. Dazu verwenden die Entwickler vor allem den GRSecurity-Patch sowie den so genannten Stack Smashing Protector, mit dem sie fast alle Programme übersetzt haben.
GCC Stack Smashing Protector
Diese Compiler-Modifikation schützt in der Sprache C geschriebene Applikationen und Programme. Sie greift beim Übersetzen (kompilieren) von Quellcode in ausführbaren Programmcode. Das Ziel: Pufferüberläufen, so genannten Buffer Overflows, den Schrecken zu nehmen.
Bei Buffer Overflows versucht eine Software, Daten in einen zu kleinen Speicherbereich zu schreiben. Das tritt meist auf, wenn sich das Programm mit unerwartet großen Datenmengen konfrontiert sieht und das nicht erkennt, sondern sie stur in einen Puffer mit vorgegebener Größe ablegt. Durch gezieltes Ausnutzen solcher Schwachstellen wird es einem Angreifer möglich, eigenen Maschinencode mit den Rechten des attackierten Programms auszuführen. Das von IBM entwickelte GCC-Modul sorgt dafür, dass das Ausnutzen deutlich schwerer wird.
Fast alle Programme, die mit Devil-Linux ausgeliefert werden, sind mit dem Stack Smashing Protector kompiliert und daher in Bezug auf Buffer Overflows wesentlich weniger anfällig als gewöhnlich übersetzte Software (siehe auch [5]).
GRSecurity
Devil-Linux verwendet den GRSecurity-Patch, der weitreichende Sicherheitsmaßnahmen direkt im Kernel implementiert. Dazu gehören erweiterte Logging-Mechanismen, verstärkte Chroot-Beschränkungen, um Prozesse sicherer einzusperren, rollenbasierte Zugriffsbeschränkungen, Adressraum-Modifikationen, um den Speicherzugriff zu härten und vieles mehr. Eine Liste aller Features findet sich auf [6].
Lebendiger Fürst der Unterwelt
Im Gegensatz zum kürzlich in LinuxUser vorgestellten IPCop [2] ist Devil-Linux bewusst als Live-CD konzipiert. Das erhöht die Sicherheit im späteren Betrieb des Systems. Ein Eindringling hat keine Chance, dauerhaft Dateien zu manipulieren – nach einem Neustart ist erst einmal wieder alles im Lot. Dennoch kommt der Admin nicht umhin, im Ernstfall die Ursache der Kompromittierung aufzuspüren und die Lücke zu schließen, beispielsweise durch Rekonfiguration der Dienste oder Patchen des Systems. Verzichtet er darauf, sind die Eindringlinge schnell wieder im System.
Angenehmer Nebeneffekt der Live-CD: Der Rechner braucht keine Festplatte. Besonders für den Heimanwender ist das interessant, wenn sie auf mechanische Betriebsgeräusche im Büro oder Wohnzimmer verzichten wollen. Der kleine Teufel lässt sich sogar auf einem USB-Stick installieren, dann darf auch das (nicht immer leise) CD-Laufwerk entfallen. Allerdings muss der Rechner dafür das Starten von USB-Geräten unterstützen, bei älteren Modellen ist das oft nicht der Fall.
Wer auf dem Devil-System einen Dienst installieren möchte, der auf eine lokale Festplatte angewiesen ist (zum Beispiel einen Web-Proxy), bindet die Platte problemlos ein. Wie das funktioniert ist in der Dokumentation [3] hervorragend beschrieben.
Installation
Devil-Linux ist auf der Heft-CD dieser Ausgabe zu finden: Einfach einlegen, System booten und unverbindlich testen oder als Firewall in Betrieb nehmen. Das Original stammt von [2]. Um eine eigene Devil-Linux-CD zu bauen, lädt man die tar.bz2-Datei der aktuellen Version 1.2.5, entpackt sie und brennt das darin enthaltene ISO-Abbild mit cdrecord auf CD:
tar -xjf devil-linux-1.2.5-i486.↩ tar.bz2 su cdrecord -v dev=0,0 devil-linux-↩ 1.2.5-i486/bootcd.iso
Die Device-Nummern hinter dev= geben die Position des CDR-Laufwerks an. Welche das auf dem eigenen Rechner ist ermittelt der Aufruf cdrecord -scanbus. Statt cdrecord eignen sich auch grafische Toast-Programme wie K3B, um das ISO-Image bequem auf die CD zu bannen.
Einem Freund empfehlen
