Sicherheitshinweise zur Internetbenutzung unter UNIX / LINUX
Kernaussage: UNIX-Systeme werden aufgrund ihrer besonderen Eignung häufig als Serversysteme eingesetzt. Durch eine Einbindung ins Netz bieten Sie daher Angriffspunkte von außerhalb. Die Schutzmechanismen sind stärker ausgeprägt als bei Windows-basierenden Systemen.
Ein Schutzmechanismus ist z.B. das durchgängige Berechtigungskonzept auf die Verarbeitungsprozesse und die Dateien.
Der einfachste Schutz ist daher:
Benutzen Sie das Internet über den Browser niemals als Benutzer ?root". Hierdurch sind die dafür laufenden Prozesse ebenfalls im Eigentum des ?root" und haben somit alle Rechte. Die beste Lösung ist: Legen Sie für die Benutzung des Browsers einen eigenen Useraccount an, der mit möglichst wenig Rechten ausgestattet ist.
Weitere Maßnahmen sind z.B.:
Stichwort | Lösungsansätze |
|---|---|
unnötige Ports schließen | In der Datei /etc/services sind die zur Netzkommunikation erforderlichen Ports und deren Verwendung beschrieben. Netzwerkdienste, die nicht unbedingt erforderlich sind, können abgeschaltet werden. |
Portscan abwehren | Ein früher Schritt eines Hackers ist die Prüfung: Welche Ports (sprich: welche Dienste) sind auf dem Rechner aktiv. Dies wird durch einen Portscan erkannt. Hierbei werden alle Ports angesprochen und eine Antwort protokolliert. Diesen Vorgang kann speziell hierfür entwickelte Software erkennen. Auf der SuSe-Distribution finden Sie sowas in der Serie ?sec" |
ftp-User begrenzen | Die User mit der Berechtigung zur Benutzung des Dienstes "?ftp" (File-Transfer-Protokoll) müssen auf das Mindestmaß beschränkt werden. Die in der Datei /etc/ftpusers eingetragenen User dürfen den Dienst nicht benutzen ! |
Passwortregelungen | Die Länge des Passwortes, deren Gültigkeisdauer ist in der Datei /etc/login.defs beschrieben. |
Überwachung auf schwache Passwörter. | Unter UNIX ist das Passwort in der Datei /etc/shadow verschlüsselt abgespeichert. Diese Verschlüsselungsart (crypt(3)) ist nicht dekodierbar, d.h. sie kann nicht zurückgerechnet werden. Aber: Ein bekanntes Wort kann auf die gleiche Art verschlüsselt und dann mit den abgespeicherten Wort verglichen werden. Im Internet gibt es Tools, die mit Hilfe von Wörterbüchern Passworte ?durchrechnen". Tun Sie dies ! - und überlegen Sie sich anschließend ein ?anspruchsvolles" Passwort. |
login des root begrenzen | Der User ?root" darf sich nur an den Terminals einloggen, die in der Datei /etc/securetty eingetragen sind. - also nur von der ?Konsole", nicht übers Netz. |
Nicht benötigte Logins löschen | Accounts von Benutzern, die nicht mehr auf dem Rechner arbeiten, sollen sofort gelöscht oder gesperrt werden. Das gilt ebenso für Benutzer deren Passwort eine bestimmte Zeit abgelaufen ist. LINUX liefert diese Kennungen u.U. schon mit: Bei Installation von bestimmten Anwendungen werden auch Logins für die Anwendungsadministratoren eingerichtet. Schauen Sie doch mal in die Datei /etc/passwd ! |
Gedanken zu einem Berechtigungskonzept | In UNIX gibt es eine (leider) selten genutzte Funktionalität: Eine Benutzer kann Mitglied in mehreren Gruppen sein. Gerade auf Servern, die in mittelgroßen bis großen Unternehmen stehen und User in verschiedenen Gruppen bedienen, stellt sich die Frage: Muß die eine Gruppe wissen was die andere macht ? Ein Schaden kann zumindestens begrenzt werden, wenn durch einen geknackten Account ein Benutzer nur auf seine oder die Gruppendaten zugreifen kann. Auf einen Gruppenwechsel kann auch ein Passwort gesetzt werden. Ziel ist, das für die ?Nicht-Gruppenmitglieder möglichst keine Rechte vergeben werden. Hierunter fallen dann auch Webbesucher, Gast-Logins etc. ! Hinweise zum Gruppenwechsel finden Sie in den Dateien /etc/group, sowie im Manual des Befehls ?passwd" (Setzen des Gruppenpassworts ist: |
Sensibiliät aller Benutzer | Die User sollen beim Einloggen auf die Meldung der Funktionalität ?lastlogin" achten. Wann war mein letzter login, waren in der Zwischenzeit fehlerhafte Logins ? |
Netzwerkdienste konfigurieren | Die häufigsten Dienste sind ?samba" (Datei- und Druckserver), ?squid" (Proxy) und ?httpd" (Ein Web-Server). Jeder Dienst für sich stellt eine Gefahr dar. Prüfen Sie in allen Fällen, ob nach dem Minimalprinzip die Benutzer und deren Rechte administriert sind. |
Natürlich kann man noch viel mehr zur UNIX-Sicherheit sagen. Wenn Ihnen was einfällt : Senden Sie mir bitte Ihre Ideen an klaus at keipke.de. |