32.3 Grundlegende Absicherung
In diesem Abschnitt wollen wir uns den grundlegenden Maßnahmen zur Absicherung eines Linux-Systems widmen.
32.3.1 Nach der Installation
Möchte man ein System absichern, sollte man sich zuerst die Frage stellen, was man wirklich braucht. Schließlich ist jede unnütz installierte Software und jeder unnötig laufende Dienst ein Sicherheitsloch. Und leider ist die Installation diverser Linux-Distributionen und BSD-Derivate nicht unbedingt minimal. Davon abgesehen gibt es natürlich noch mehr Schritte, um ein System sicher zu machen. Vor allem bei den besonders anfälligen Serversystemen ist die Absicherung besonders wichtig. Dabei könnten Sie wie folgt vorgehen:
- Minimalität
Je nach Distribution beziehungsweise Derivat können Sie während der Installation mehr oder weniger detailliert auswählen, was installiert werden soll. Aber auch nach der Installation sollten Sie noch einmal die installierten Softwarepakete auf ihre Relevanz überprüfen. So verschafft ein standardmäßig auf einem Webserver installierter Port-Scanner nur einem Angreifer einen Vorteil. [Fn. Natürlich kann ein Admin solche Software zu Testzwecken installieren. Jedoch sollte er diese Tools nach dem Test auch wieder entfernen.] - Laufende Dienste
Auch die Anzahl der laufenden Dienste sollten Sie minimieren. Wenn bei einem Webserver noch Port 25 samt dahinter laufendem Exim offen ist, so ist das schlicht ein weiterer Angriffspunkt für potenzielle Hacker. Welche Dienste nach einer Installation laufen, erführt man zum Beispiel über ps oder auch durch einen Portscan mittels nmap. - Security-Patches und -Software
Ein weiterer Schritt besteht in der Installation von diversen Security-Patches beziehungsweise dedizierter Sicherheitssoftware. Security-Patches können verschiedenste Formen haben: Es gibt zum Beispiel Kernel-Patches, die das Ausführen von Datenbereichen im Hauptspeicher verhindern. Zwar kann es vorkommen, dass einige Programme damit Probleme haben, aber in der Regel wird dies einfach nur Angriffe mittels Buffer-Overflows verhindern.
Bevor wir den letzten Schritt noch etwas ausführlicher darstellen, sollen die essenziellen Grundlagen eines Sicherheitskonzepts besprochen werden.
32.3.2 Ein einfaches Sicherheitskonzept
Ein einfaches Konzept, wie es zum Beispiel für ein Heimnetzwerk oder eine sehr kleine Firma tauglich wäre, besteht wenigstens aus den folgenden drei Komponenten:
- einer Backup-Strategie
- einer Update-Richtlinie
- einem Firewall-Konzept
Der Datenschutz muss natürlich auch immer im Auge behalten werden. Ebenso wichtig wird bei größeren Setups die physische Sicherheit und damit die Frage, wer Zutritt zum Serverraum bekommt und wo dieser Raum angelegt werden soll – im Keller, bei der Hauptwasserleitung? Viel Spaß beim nächsten Rohrbruch ...
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet auf seiner Webseite den IT-Grundschutz an. Dieses Handbuch empfiehlt Standardsicherheitsmaßnahmen für typische IT-Systeme und hilft dabei, Sicherheitskonzepte »einfach und arbeitsökonomisch zu realisieren«. Vor allem verhindern diese Ausführungen, dass man etwas Grundlegendes vergisst.
Im Folgenden wollen wir nun die einzelnen von uns im Rahmen dieses Buches für wichtig erachteten Sicherheitsaspekte näher beleuchten.
Ihr Kommentar
Wie hat Ihnen das <openbook> gefallen? Wir freuen uns immer über Ihre freundlichen und kritischen Rückmeldungen.