94210

Sicherheits-Tipps für Administratoren

07.12.2009 | 09:11 Uhr |

Admins aufgepasst: Wir geben Tipps für Datensicherung, Verschlüsselung, Backup und Hackerabwehr.

Für die meisten Sicherheitsaufgaben bringt Linux von Haus aus mächtige Werkzeuge mit. Der erste Teil unseres zweiteiligen Beitrags konzentrierte sich auf den Bereich Datensicherung. Mit den folgenden Tipps können Sie Hacker nicht nur abwehren, sondern auch gezielt in die Falle locken. Sie können Ihre Daten nicht nur verschlüsseln, sondern dabei auch noch alle Spuren verwischen.

Schnelltest auf Rootkits

Hacker versuchen in der Regel, ihre Prozesse vor den Blicken eines aufmerksamen Administrators zu verstecken. Mit dem Befehl "ps" sind Prozesse nicht zu sehen, im Systempfad "/proc" tauchen diese aber meistens trotzdem auf. Die folgende Befehlszeile zählt die Prozesse, die ps anzeigt, und die, die in /proc gelistet sind:

ls -d /proc/* | grep [0-9]|wc -l; PS ax | wc -l

Weichen beide Zahlen erheblich voneinander ab, ist das ein Indiz für ein Rootkit: Dateien, die Ziffern in ihren Namen enthalten, verfälschen das Ergebnis.

SSL für alle

Ihr bevorzugter Newsserver wurde auf SSL-Verschlüsselung umgestellt und KNode kann nicht mehr zugreifen? Oder Sie möchten Ihre eigenen Server mit SSL ausrüsten, aber die eingesetzten Server-Dämonen beherrschen das nicht? Kein Problem mit Stunnel. Der universelle SSL-Wrapper verpackt beliebige TCP-Verbindungen ins Secure Socket Layer. Das Tool kann unter www.stunnel.org geladen werden.

VPN schnell und einfach

Virtuelle private Netze auf der Basis von IPsec sind oft knifflig zu installieren, nicht alle Clients vertragen sich mit allen Servern. OpenVPN schafft Abhilfe. Es wird an beiden Endpunkten der Verbindung installiert. Ein einzelnes Semikolon in der Konfigurationsdatei ernennt den einen Rechner zum Server und den anderen zum Client. OpenVPN steht auch für Windows zur Verfügung. Es benutzt standardmäßig Port 5000 mit dem Protokoll UDP, der muss also in allen beteiligten Firewalls freigeschaltet werden.

Käfighaltung

Sicherheitskritische Dienste wie Datei- oder Mailserver sollten immer in chroot-Umgebungen laufen. chroot setzt dem Dienst ein eigenes Startverzeichnis als root vor, so dass der Dienst auf das eigentliche Dateisystem keinen Zugriff hat. Wird der Dienst gehackt, kann der Angreifer nur innerhalb des chroot-Käfigs Schaden anrichten. Der Mail-server Postfix treibt das auf die Spitze, indem er seinen Dienst in mehrere Teilschritte aufteilt, die jeweils von eigenen Dämonen in eigenen chroot-Käfigen ausgeführt werden. Um einen Dienst in einem chroot-Käfig zu starten, stellen Sie dem Startbefehl die chroot-Funktion voraus, etwa mit

chroot /nimm/dies/als/root ftpd -o option1

0 Kommentare zu diesem Artikel
94210