Verteufelt sicher

Kleine Brötchen zu backen, muss nichts Schlechtes bedeuteten, wie man an Devil-Linux [1] sieht. Das Archiv auf der Heft-DVD umfasst gerade einmal 200 MByte, macht aber speziell Besitzern älterer Rechner große Freude. Das Teufelchen verwandelt einen harmlosen und seit Jahren vor sich hin staubenden Blechcontainer in einen scharfen Wachhund. Den platzieren Sie direkt an der Schnittstelle zwischen dem Internet und Ihrem Heimnetzwerk. Der Wachhund spart Ihnen nicht nur Geld, in Sachen Sicherheit übertrifft Devil-Linux sogar einige kommerzielle Router.

Neben einer Firewall, die Sie über Shorewall bis ins Detail konfigurieren, bringt Devil-Linux Spamassassin mit, um den elektronischen Briefkasten frei von ungewollten Nachrichten zu halten. Über ClamAV filtert der elektronische Concierge auch Viren, was hilft, wenn Sie im häuslichen Netzwerk auch Windows-Rechner einsetzen. Devil-Linux arbeitet als Live-CD und lädt sich selbst lediglich in den Arbeitsspeicher. Daher läuft die Distribution auch auf Rechnern ohne Festplatte. Devil-Linux unterstützt zahlreiche Plattformen bis hinunter zum 486-DX2/66 (die Variante auf der Heft-CD benötigt allerdings mindestens eine Pentium-CPU) und gibt sich dabei im Extremfall mit 32 MByte RAM und einem bootbaren CD-Laufwerk respektive USB-Anschluss zufrieden – allerdings dürfte Ihnen diese Kombination wenig Freude bereiten.

Teufelswerk

Der Umgang mit dem Teufelszeug bereitet keine Probleme: Sie booten die Distribution, diese erkennt die Hardware und fragt nach einem Medium, auf das sie die Konfigurationsdatei schreiben kann. Alle Veränderungen, die Sie am System vornehmen, speichern Sie auf diesem Medium ab – sei es beim Einrichten des Netzwerks oder beim Einstellen einer anderen Zeitzone. Dabei sichert Devil-Linux zunächst eine Standardkonfiguration namens etc.tar.bz2, die es dann später regelmäßig mit den neuesten Einstellungen überschreibt.

Legen Sie eine Diskette in das Laufwerk oder geben Sie eine Partition frei, auf der Devil-Linux diese Daten speichern darf. Andernfalls verschwinden nach einem Neustart des Systems sämtliche von Ihnen gemachten Änderungen. Wollen Sie sichergehen, dass niemand die Konfiguration anrührt, brennen Sie die Daten gleich auf eine CD. Fahren Sie Devil-Linux beim nächsten Mal hoch, so greift die Distribution auf Ihre Konfiguration zurück und richtet sich korrekt ein. Sie sollten das Konfigurationsmedium allerdings von fremden Händen fern halten, da es unter anderem das Root-Passwort enthält.

Schaffe, schaffe

Natürlich bezahlt auch Devil-Linux für seine Schlankheit einen Preis: Die Distribution bringt keine grafische Oberfläche mit. Sie müssen also recht fit auf der Kommandozeile sein, um mit Devil-Linux zu arbeiten. Das Fehlen der GUI lässt sich aber auch als Vorteil betrachten: Erstens installieren Sie die Software vermutlich auf einem Rechner, der ausschließlich als Gateway für Ihr häusliches Netzwerk dient. Diesen Rechner starten Sie im Normalfall einmal und rühren ihn dann nicht mehr an. Zweitens macht eine grafische Oberfläche ein System anfälliger für Angriffe aus dem Netz, da zahlreiche zusätzliche Prozesse im Hintergrund laufen. Mehr Prozesse bringen potentiell auch mehr Angriffspunkte mit.

Aber nicht nur die grafische Oberfläche fehlt, die Entwickler setzen auch zum großen Teil auf ältere Versionen von Programmen. So verwendet Devil-Linux von der Heft-CD den Kernel 2.4.35.2-grsec, der vor allem ältere Hardware unterstützt. Der Vorteil besteht in der Stabilität. Bekanntlich bringen ältere Kernel wesentlich mehr Bugfixes mit und blicken auf eine längere Entwicklung zurück. Systeme, die Stabilität priorisieren, setzen daher nicht selten ältere Kernel-Versionen ein.

Apropos Kernel: In puncto Sicherheit wirbt Devil-Linux damit, dass es mehr Netfilter-Module in den Standard-Kernel integriert und auf Iptables mit Connection Tracking setzt. Die neue Version bringt auch wieder neue Iptables-Module mit. Dank des mitgelieferten Shorewall konfigurieren Sie recht unkompliziert Regeln für die Firewall.

Überhaupt steht die Sicherheit hoch im Kurs: Die "GCC Stack Smash Protection" kompiliert in der Sprache C geschriebene Programme für Devil-Linux mit zusätzlichem Code. Der soll verhindern, dass Angreifer Buffer Overflows auslösen und auf diese Weise fremden Code in das System einschleusen. Zudem schützt ein Chroot Jail sensible Bereiche des Systems, indem es ein untergeordnetes Verzeichnis zum Root-Verzeichnis erklärt und so bestimmte Prozesse und ihre Kindprozesse in diesen Bereich wie in einem Käfig einsperrt.