Der Teufel steckt im Detail: Devil-Linux läuft auch auf älteren Rechner und sichert Ihr Netzwerk gegen Viren und anderen Unrat aus dem Internet.

Für jedes Töpfchen gibt es einen Deckel, lautet ein schöner Spruch, der auch auf Linux-Distributionen zutrifft. Devil-Linux [1] passt eher auf kleinere Töpfchen: Das Archiv auf unserer Heft-CD umfasst gerade einmal um die 220 MByte. Speziell Besitzern älterer Rechner bereitet die Distribution Freude, verwandelt sie doch den seit Jahren vor sich hin staubenden Blechcontainer in ein nützliches Werkzeug. Dank umfassender Sicherheitsstandards schützen Sie Ihr privates Netzwerk, indem Sie Devil-Linux als Gateway zwischen Internet und Heimnetz einsetzen. Das erspart Ihnen nicht nur Kosten, auch den strengen Sicherheitsanforderungen genügen kommerzielle Router mitunter nicht. Sie schützen also Ihr privates Netzwerk unter Umständen besser, als mit einem kommerziellen Gerät.

Neben einer Firewall, die Sie über Shorewall bis ins Detail konfigurieren, bringt Devil-Linux Spamassassin mit, um den elektronischen Briefkasten frei von ungewollten Nachrichten zu halten. Über ClamAV filtert der elektronische Concierge auch Viren, was hilft, wenn Sie auch Windows-Rechner im häuslichen Netzwerk einsetzen. Da Devil-Linux als Live-CD arbeitet und sich selbst lediglich in den Arbeitsspeicher lädt, läuft die Distribution auch auf Rechnern ohne Festplatte. Devil-Linux unterstützt zahlreiche Plattformen bis hinunter zum 486-DX2/66 und gibt sich dabei im Extremfall mit 32 MByte RAM und einem bootbaren CD-Laufwerk respektive USB-Anschluss zufrieden – allerdings dürfte Ihnen diese Kombination wenig Freude bereiten.

Teufelswerk

Der Umgang mit dem Teufelszeug bereitet keine Probleme: Sie booten die Distribution, sie erkennt die Hardware und fragt nach einem Medium, auf das sie die Konfigurationsdatei schreiben kann. Alle Veränderungen, die Sie am System vornehmen, speichern Sie auf diesem Medium ab – sei es beim Einrichten des Netzwerks oder beim Einstellen einer anderen Zeitzone. Dabei sichert Devil-Linux zunächst eine Standardkonfiguration namens etc.tar.bz2, die es dann später regelmäßig mit den neuesten Einstellungen überschreibt.

Legen Sie eine Diskette in das Laufwerk oder geben Sie eine Partition frei, auf der Devil-Linux diese Daten speichern darf. Andernfalls verschwinden nach einem Neustart des Systems sämtliche von Ihnen gemachten Änderungen. Wollen Sie sichergehen, dass niemand die Konfiguration anrührt, brennen Sie die Daten gleich auf eine CD. Fahren Sie Devil-Linux beim nächsten Mal hoch, so greift die Distribution auf Ihre Konfiguration zurück und richtet sich korrekt ein. Sie sollten das Konfigurationsmedium allerdings von fremden Händen fern halten: Es enthält auch das Root-Passwort.

Schaffe, schaffe

Natürlich bezahlt auch Devil-Linux für seine Schlankheit einen Preis: Die Distribution bringt keine grafische Oberfläche mit. Sie müssen also recht fit auf der Kommandozeile sein, um mit Devil-Linux zu arbeiten. Das Fehlen der GUI lässt sich aber auch als Vorteil betrachten: Erstens installieren Sie die Software vermutlich auf einem Rechner, der ausschließlich als Gateway für Ihr häusliches Netzwerk dient. Diesen Rechner starten Sie im Normalfall einmal und rühren ihn dann nicht mehr an. Zweitens macht eine grafische Oberfläche ein System anfälliger für Angriffe aus dem Netz, da zahlreiche zusätzliche Prozesse im Hintergrund laufen. Mehr Prozesse bringen potentiell auch mehr Angriffspunkte mit.

Aber nicht nur die grafische Oberfläche fehlt, die Entwickler setzen auch zum großen Teil auf ältere Versionen von Programmen. So verwendet Devil-Linux von der Heft-CD den Kernel 2.4.33.3-grsec, der vor allem ältere Hardware unterstützt. Der Vorteil besteht in der Stabilität. Bekanntlich bringen ältere Kernel wesentlich mehr Bugfixes mit und blicken auf eine längere Entwicklung zurück. Systeme, die Stabilität priorisieren, setzen daher nicht selten ältere Kernel-Versionen ein.

Apropos Kernel: In puncto Sicherheit wirbt Devil-Linux damit, dass es mehr Netfilter-Module in den Standard-Kernel integriert und auf IPtables mit Connection Tracking setzt. Dank des mitgelieferten Shorewall konfigurieren Sie recht unkompliziert Regeln für die Firewall.

Überhaupt steht die Sicherheit hoch im Kurs: Die “GCC Stack Smash Protection” kompiliert in der Sprache C geschriebene Programme für Devil-Linux mit zusätzlichem Code. Der soll verhindern, dass Angreifer Buffer Overflows auslösen und auf diese Weise fremden Code in das System einschleusen. Zudem schützt ein Chroot Jail sensible Bereiche des Systems, indem es ein untergeordnetes Verzeichnis zum Root-Verzeichnis erklärt und so bestimmte Prozesse und ihre Kindprozesse in diesen Bereich wie in einem Käfig einsperrt.

Installation

Die Installation verläuft recht unspektakulär: Sie entpacken über tar xvjf devil-linux-1.2.11-i586-SMP.tar.bz2 das Archiv von der Heft-CD und brennen die ISO-Datei als Image auf eine CD. Das funktioniert zum Beispiel mit K3b über ExtrasCD-Abbilddatei brennen. Nun haben Sie eine vollwertige Live-CD. Damit der Rechner von der CD bootet, stellen Sie eventuell noch im BIOS das CD-Laufwerk als Bootmedium ein. Anschließend legen Sie die CD ins Laufwerk und starten den Rechner neu.

Beim Start findet dieser ein bootfähiges System auf der CD und lädt ein Bootmenü, über das Sie die Software mit verschiedenen Bildschirmauflösungen starten. Leider sehen Sie das Menü gerade einmal fünf Sekunden lang, dann wählt es automatisch die erste Einstellung. Verwenden Sie einen vergleichsweise aktuellen Monitor, geben Sie schnell eine 3 ein und bestätigen Ihre Wahl durch [Eingabe]. Über [F1] erreichen Sie weitere Menüs, die Ihnen Optionen anzeigen, die Sie beim Booten einsetzen können.

Devil-Linux versucht nun, Ihre Hardware zu erkennen und zu nutzen. Findet es keine bestehende Konfigurationsdatei, will es wissen, auf welches Medium es schreiben soll. Die Software schlägt verschiedene Medien vor. Sie entscheiden mit [Y] und [N], ob sie das jeweilige Medium zum Speichern der Datei verwenden soll. Dabei fällt auf: Devil-Linux nutzt zunächst eine englische Tastaturbelegung. Das können Sie später ändern, zunächst benutzen Sie einfach [Z] für ein [Y] und umgekehrt.

Lehnen Sie sämtliche Speichermedien ab, erkundigt sich Devil-Linux schließlich, ob es ganz ohne Config-Datei starten soll (Abbildung 1). Das funktioniert natürlich auch, macht aber nur Sinn, wenn Sie nicht vorhaben, irgendwelche Änderungen an dem System vorzunehmen. In diesem Fall gehen alle Modifikationen nach dem Neustart verloren.

Abbildung 1: Stellen Sie der Distribution kein Medium zur Verfügung, um Veränderungen zu speichern, verschwinden diese nach einem Neustart.

Wundern Sie sich nicht über ein paar merkwürdige Piepgeräusche während des Bootens: Die verursacht der kleine Teufel ohne wirklichen Grund. Sie bedeuten nicht, dass Ihr Rechner kurz vor der Explosion steht. Geben Sie nach dem Login /etc/init.d/beep restart ein, reproduzieren Sie die lustigen Piepser übrigens.

Nach erfolgtem Bootvorgang landen Sie beim Login. Geben Sie als Benutzer root ein und drücken Sie anstelle eines Passworts zunächst einfach [Eingabe]. Ein neues Passwort sollten Sie natürlich als erstes festlegen, handelt es sich doch bei dessen Fehlen um ein Sicherheitsrisiko. Dazu geben Sie den Befehl setup ein, der ein Menü mit grafischen Elementen aufruft, über das Sie die komplette Konfiguration der Distri erledigen (Abbildung 2). Durch das sich öffnende Menü bewegen Sie sich mit Hilfe der Cursor-Tasten, um mit [Eingabe] eine Auswahl zu treffen. Wollen Sie eine unter vielen Optionen ankreuzen, nutzen Sie [Leer]. Um nun das Root-Passwort zu ändern, wählen Sie die Option LoginPW und geben ein neues Passwort ein.

Abbildung 2: Funktionales Design: Devil-Linux bringt keine grafische Oberfläche mit und hält auch den Setup-Dialog eher schlicht.

Dann lokalisieren Sie Ihre Version von Devil-Linux. Wechseln Sie mit [Eingabe] in das Menü Basic und bewegen Sie den Cursor zum Parameter Keyboard. Dort drücken Sie [Eingabe] und erhalten nun eine ganze Liste von Keymaps(Abbildung 3). Suchen Sie nach der deutschen Tastaturbelegung (de), setzen Sie mit [Leertaste] ein Kreuzchen und kehren Sie mit OK ins Menü Basic zurück. Erst nach dem Speichern der Konfiguration über Config und einem Neustart funktionieren die neue Tastaturbelegung und das Passwort. Wo Sie schon einmal hier sind, passen Sie auch gleich die Timezone an.

Basic. Bis dahin nutzen Sie Z statt Y und umgekehrt.” width=”300″ height=”197″ /> Abbildung 3: Die Tastaturbelegung ändern Sie über das Menü Basic. Bis dahin nutzen Sie Z statt Y und umgekehrt.

Dienste einrichten

Welche der zahlreichen Dienste die Distribution beim Starten lädt, bestimmen Sie auch selbst. Dazu wechseln Sie zum Menüpunkt Services, suchen die gewünschten Dienste aus und drücken jeweils [Leer]. Devil-Linux lädt diese Dienste dann nach einem Neustart. Sicher kennen Sie nicht sämtliche Dienste mit Namen. Eine kleine Beschreibung, die unterhalb des Fensters erscheint, sobald Sie eine Software auswählen, erleichtert die Wahl.

Um ins Internet zu gelangen, brauchen Sie eine Netzwerkkarte. Die konfigurieren Sie über den Menüpunkt NET. Wählen Sie hier den ersten Eintrag 1NIC für die erste Karte aus. Im nächsten Fenster steht als oberster Eintrag rechts Network card Module [Unknown] (Abbildung 4). Devil-Linux kennt den zur Netzwerkkarte gehörenden Treiber nicht. Sie müssen diese Information selbst herausfinden. Bewegen Sie den Cursor über den Eintrag und drücken [Eingabe], bietet Ihn eine Oberfläche eine Reihe von Treibern zur Auswahl an. Am besten wäre es natürlich, wenn Sie bereits wissen, welchen Treiber die Grafikkarte braucht. Sie bewegen den Cursor dann an die entsprechende Stelle und drücken [Leer] und [Eingabe], dann Load Module.

Abbildung 4: Zeitintensiv: Wissen Sie nicht, welchen Treiber Ihre Netzwerkkarte benötigt, können Sie die vorhandenen Treiber durchprobieren.

Sie können hier aber auch einen beliebigen Treiber wählen. Das Laden des Moduls schlägt dann höchstwahrscheinlich fehl. Sie erfahren dadurch aber zumindest, welche Netzwerkkarte Sie verwenden (Abbildung 5), und stoßen mit ein bisschen Recherche im Netz vielleicht auch auf den passenden Treiber. Alternativ probieren Sie alle vorhandenen Treiber durch. Das ist mühselig, führt aber auch zum Ziel.

Abbildung 5: Um zu erfahren, wie Ihre Netzwerkkarte überhaupt heißt, laden Sie ein beliebiges Kernel-Modul als Treiber.

Im Untermenü 1NIC legen Sie auch fest, wie die erkannte Karte später ihre IP-Adresse erhält. Um sie fest zu vergeben, schalten Sie die Option UseDHCP ab. Über die Punkte 2NIC und 3NIC richten Sie weitere Netzwerkkarten ein, um zum Beispiel eine so genannte demilitarisierte Zone aufzubauen.

Sicherheit und Hilfestellung

In Services stoßen Sie auf eine Reihe von Programmen, mit denen Sie die Sicherheit des aufgesetzten Systems steigern. Die Dokumentation zu Devil-Linux [2] erläutert, wie Sie die einzelnen Komponenten des Systems so einrichten, dass es Ihren Sicherheitsanforderungen entspricht.

Devil-Linux schützt nicht nur die Anwender mit einer Chroot-Umgebung: Dank des GRSecurity-Patches im Kernel erweitert die Distribution die Chroot-Beschränkungen noch und stopft so auch Lücken, welche der Käfig selbst mitbringt. Auch ein ACL-System hat der kleine Teufel an Bord, deaktiviert es aber standardmäßig. Auch hier lesen Sie in der Dokumentation, wie Sie das Hilfsmittel einsetzen.

Fazit

Mit dem Teufel steht die Distribution sicher nicht im Bunde, eher geht es um das Austreiben desselben. Devil-Linux bietet solide Hausmannskost und ein großes Maß an Sicherheit. Es schützt das System mit einer Reihe durchdachter Sicherheitsmaßnahmen vor Angriffen und gibt alten Rechner auf sinnvolle Weise ein Stück Jugend zurück.