250095

So sichern Sie Ihren Linux-PC ab

Ist Ihr Linux-PC einbruchsicher, oder tummeln sich bereits unerwünschte Besucher auf der Festplatte? Wir zeigen Ihnen, wie Sie Eindringlinge aufspüren und Ihr System absichern.

Von Marion Exner und Christoph Jopp

Nicht zuletzt angesichts der Diskussion um den Bundestrojaner befürchten viele Anwender Eindringlinge auf dem PC und Beschädigungen ihres Systems. Falls Sie den Verdacht haben, auf Ihrem System könnten Unbefugte am Werk sein, sollten Sie auf Nummer sicher gehen und nachsehen. Wir zeigen Ihnen, wie das geht.

Präventionsmaßnahmen

Je übersichtlicher Ihr System ist, desto leichter behalten Sie im Blick, was darauf vor sich geht. Setzen Sie beispielsweise bei der Aktualisierung Ihrer Software auf das zentrale Paketmanagement Ihrer Distribution, anstatt die Programme einzeln nach Updates suchen zu lassen. So erkennen Sie leichter, wenn Netzwerkverkehr durch Updates erzeugt wird. Weniger problematisch sind Programme mit Update-Links, bei denen Sie aktiv entscheiden, wann die Update-Suche stattfindet. Prozesse, die Sie selbst angestoßen haben, können Sie beim Überprüfen Ihres Systems recht einfach identifizieren. Immerhin wissen Sie, ob und wann Sie zum Beispiel ein Update Ihrer Office-Suite durchgeführt haben.

Log-Dateien nach unbefugten Log-ins durchsuchen

Linux ist ein Multi-User-System, es können sich also prinzipiell mehrere Nutzer einloggen, oder ein Anwender kann sich mehrfach anmelden. Selbst wenn Sie schon als root eingeloggt sind, kann ein weiterer root-Log-in stattfinden. Mit Konsolen-Tools wie who verschaffen sich Systemadministratoren einen Überblick über die gegenwärtig eingeloggten User. Administrative Werkzeuge wie who oder das Kommando "w" eignen sich aber nur bedingt, um unbefugte Log-ins aufzuspüren. Sie lassen sich leicht umgehen und liefern zum Beispiel unter Ubuntu keine brauchbaren Ausgaben.

Eine erste Anlaufstelle für die Kontrolle des eigenen Systems sind die Log-Dateien, die sich in der Regel im Verzeichnis "/var/log/" befinden. Sie lassen sich mit root-Rechten auch auf der Konsole besichtigen. Einige dieser Log-Dateien sammeln aber im Laufe der Zeit sehr viele Einträge, deshalb bietet es sich an, mit Hilfe entsprechender Tools gezielt nach Ausdrücken zu suchen. Profis setzen dabei auf KommandozeilenTools wie grep. Besser zurecht kommt man aber mit grafischen Tools, mit denen sich die Log-Dateien ebenfalls betrachten und durchsuchen lassen. Unter Ubuntu/Gnome steht dafür beispielsweise der Systemprotokollbetrachter zur Verfügung. Für KDE gibt es das Pendant KSystemlog. Sie müssen diese Tools gegebenenfalls nachinstallieren.

Unter Ubuntu rufen Sie das praktische Ansichtswerkzeug über "System, Systemverwaltung, Systemprotokoll" auf. Links in der Übersicht finden Sie ganz oben "auth.log" (Authenticationlog) für die Anzeige erfolgreicher und gescheiterter Log-in-Versuche mit Datum und Uhrzeit sowie Infos über Benutzerwechsel ("su") oder das Starten von Prozessen mit anderen Benutzerrechten ("sudo"). Das gewünschte Datum wählen Sie per Klick im Kalender aus. Über "Ansicht, Filter" grenzen Sie Ihre Suche weiter ein und suchen so zum Beispiel nach "sudo"-Befehlen. Das kann sinnvoll sein, um alle mit root-Rechten vorgenommenen Kommandos daraufhin zu überprüfen, inwieweit Sie sie selbst gegeben haben.

Die Ausgaben der Log-Dateien sind stets ähnlich strukturiert. Hier ein Beispiel für einen Eintrag für das Benutzer-Log-in beim Systemstart:

Nov 4 07:35:27 testsystem gdm[4870]: pam_unix(gdm:session): session opened for user tester by (uid=0)

Nach Datum und Uhrzeit folgen Ihr Systemname (hier "testsystem"), Prozessname und Prozess-ID (in eckigen Klammern) und das Modul (hier den Gnome-Desktop-Manager). Am Ende des Eintrags finden Sie das konkrete Ereignis, hier den Start der Benutzersitzung. Je nach Konfiguration weichen die Einträge gelegentlich von diesem Schema ab. In der Regel machen sich Einbrecher nicht gern die Arbeit, Log-Dateien umzuschreiben, sondern löschen diese einfach. Ein Indiz für einen Angriff ist daher eher das vollständige Fehlen von Log-Dateien.

0 Kommentare zu diesem Artikel
250095