Devil inside

Für jedes Töpfchen gibt es einen Deckel, lautet ein schöner Spruch, der auch auf Linux-Distributionen zutrifft. Devil-Linux [1] passt eher auf kleinere Töpfchen: Das Archiv auf unserer Heft-CD umfasst gerade einmal um die 220 MByte. Speziell Besitzern älterer Rechner bereitet die Distribution Freude, verwandelt sie doch den seit Jahren vor sich hin staubenden Blechcontainer in ein nützliches Werkzeug. Dank umfassender Sicherheitsstandards schützen Sie Ihr privates Netzwerk, indem Sie Devil-Linux als Gateway zwischen Internet und Heimnetz einsetzen. Das erspart Ihnen nicht nur Kosten, auch den strengen Sicherheitsanforderungen genügen kommerzielle Router mitunter nicht. Sie schützen also Ihr privates Netzwerk unter Umständen besser, als mit einem kommerziellen Gerät.

Neben einer Firewall, die Sie über Shorewall bis ins Detail konfigurieren, bringt Devil-Linux Spamassassin mit, um den elektronischen Briefkasten frei von ungewollten Nachrichten zu halten. Über ClamAV filtert der elektronische Concierge auch Viren, was hilft, wenn Sie auch Windows-Rechner im häuslichen Netzwerk einsetzen. Da Devil-Linux als Live-CD arbeitet und sich selbst lediglich in den Arbeitsspeicher lädt, läuft die Distribution auch auf Rechnern ohne Festplatte. Devil-Linux unterstützt zahlreiche Plattformen bis hinunter zum 486-DX2/66 und gibt sich dabei im Extremfall mit 32 MByte RAM und einem bootbaren CD-Laufwerk respektive USB-Anschluss zufrieden – allerdings dürfte Ihnen diese Kombination wenig Freude bereiten.

Teufelswerk

Der Umgang mit dem Teufelszeug bereitet keine Probleme: Sie booten die Distribution, sie erkennt die Hardware und fragt nach einem Medium, auf das sie die Konfigurationsdatei schreiben kann. Alle Veränderungen, die Sie am System vornehmen, speichern Sie auf diesem Medium ab – sei es beim Einrichten des Netzwerks oder beim Einstellen einer anderen Zeitzone. Dabei sichert Devil-Linux zunächst eine Standardkonfiguration namens etc.tar.bz2, die es dann später regelmäßig mit den neuesten Einstellungen überschreibt.

Legen Sie eine Diskette in das Laufwerk oder geben Sie eine Partition frei, auf der Devil-Linux diese Daten speichern darf. Andernfalls verschwinden nach einem Neustart des Systems sämtliche von Ihnen gemachten Änderungen. Wollen Sie sichergehen, dass niemand die Konfiguration anrührt, brennen Sie die Daten gleich auf eine CD. Fahren Sie Devil-Linux beim nächsten Mal hoch, so greift die Distribution auf Ihre Konfiguration zurück und richtet sich korrekt ein. Sie sollten das Konfigurationsmedium allerdings von fremden Händen fern halten: Es enthält auch das Root-Passwort.

Schaffe, schaffe

Natürlich bezahlt auch Devil-Linux für seine Schlankheit einen Preis: Die Distribution bringt keine grafische Oberfläche mit. Sie müssen also recht fit auf der Kommandozeile sein, um mit Devil-Linux zu arbeiten. Das Fehlen der GUI lässt sich aber auch als Vorteil betrachten: Erstens installieren Sie die Software vermutlich auf einem Rechner, der ausschließlich als Gateway für Ihr häusliches Netzwerk dient. Diesen Rechner starten Sie im Normalfall einmal und rühren ihn dann nicht mehr an. Zweitens macht eine grafische Oberfläche ein System anfälliger für Angriffe aus dem Netz, da zahlreiche zusätzliche Prozesse im Hintergrund laufen. Mehr Prozesse bringen potentiell auch mehr Angriffspunkte mit.

Aber nicht nur die grafische Oberfläche fehlt, die Entwickler setzen auch zum großen Teil auf ältere Versionen von Programmen. So verwendet Devil-Linux von der Heft-CD den Kernel 2.4.33.3-grsec, der vor allem ältere Hardware unterstützt. Der Vorteil besteht in der Stabilität. Bekanntlich bringen ältere Kernel wesentlich mehr Bugfixes mit und blicken auf eine längere Entwicklung zurück. Systeme, die Stabilität priorisieren, setzen daher nicht selten ältere Kernel-Versionen ein.

Apropos Kernel: In puncto Sicherheit wirbt Devil-Linux damit, dass es mehr Netfilter-Module in den Standard-Kernel integriert und auf IPtables mit Connection Tracking setzt. Dank des mitgelieferten Shorewall konfigurieren Sie recht unkompliziert Regeln für die Firewall.

Überhaupt steht die Sicherheit hoch im Kurs: Die "GCC Stack Smash Protection" kompiliert in der Sprache C geschriebene Programme für Devil-Linux mit zusätzlichem Code. Der soll verhindern, dass Angreifer Buffer Overflows auslösen und auf diese Weise fremden Code in das System einschleusen. Zudem schützt ein Chroot Jail sensible Bereiche des Systems, indem es ein untergeordnetes Verzeichnis zum Root-Verzeichnis erklärt und so bestimmte Prozesse und ihre Kindprozesse in diesen Bereich wie in einem Käfig einsperrt.