Profi-Tipps
Mehr Sicherheit für Linux
Für die meisten Sicherheitsaufgaben bringt Linux von Haus aus mächtige Werkzeuge mit. Gleich, ob Daten gesichert, Verbindungen verschlüsselt oder Regeln durchgesetzt werden sollen: Mit den folgenden Tipps können Sie Hacker nicht nur abwehren, sondern auch gezielt in die Falle locken. Sie können Ihre Daten nicht nur verschlüsseln, sondern dabei auch noch alle Spuren verwischen.
Schnelltest auf Rootkits
Hacker versuchen in der Regel, ihre Prozesse vor den Blicken eines aufmerksamen Administrators zu verstecken. Mit dem Befehl „ps“ sind Prozesse nicht zu sehen, im Systempfad „/proc“ tauchen diese aber meistens trotzdem auf. Die folgende Befehlszeile zählt die Prozesse, die ps anzeigt, und die, die in /proc gelistet sind:
ls -d /proc/* | grep [0-9]|wc -l; PS ax | wc -l
Weichen beide Zahlen erheblich voneinander ab, ist das ein Indiz für ein Rootkit: Dateien, die Ziffern in ihren Namen enthalten, verfälschen das Ergebnis.
Hacker versuchen in der Regel, ihre Prozesse vor den Blicken eines aufmerksamen Administrators zu verstecken. Mit dem Befehl „ps“ sind Prozesse nicht zu sehen, im Systempfad „/proc“ tauchen diese aber meistens trotzdem auf. Die folgende Befehlszeile zählt die Prozesse, die ps anzeigt, und die, die in /proc gelistet sind:
ls -d /proc/* | grep [0-9]|wc -l; PS ax | wc -l
Weichen beide Zahlen erheblich voneinander ab, ist das ein Indiz für ein Rootkit: Dateien, die Ziffern in ihren Namen enthalten, verfälschen das Ergebnis.
SSL für alle
Ihr bevorzugter Newsserver wurde auf SSLVerschlüsselung umgestellt und KNode kann nicht mehr zugreifen? Oder Sie möchten Ihre eigenen Server mit SSL ausrüsten, aber die eingesetzten Server-Dämonen beherrschen das nicht? Kein Problem mit Stunnel. Der universelle SSL-Wrapper verpackt beliebige TCP-Verbindungen ins Secure Socket Layer. Das Tool kann unter www.stunnel.org geladen werden.
Ihr bevorzugter Newsserver wurde auf SSLVerschlüsselung umgestellt und KNode kann nicht mehr zugreifen? Oder Sie möchten Ihre eigenen Server mit SSL ausrüsten, aber die eingesetzten Server-Dämonen beherrschen das nicht? Kein Problem mit Stunnel. Der universelle SSL-Wrapper verpackt beliebige TCP-Verbindungen ins Secure Socket Layer. Das Tool kann unter www.stunnel.org geladen werden.
VPN schnell und einfach
Virtuelle private Netze auf der Basis von IPsec sind oft knifflig zu installieren, nicht alle Clients vertragen sich mit allen Servern. OpenVPN (www.openvpn.net) schafft Abhilfe.Es wird an beiden Endpunkten der Verbindung installiert. Ein einzelnes Semikolon in der Konfigurationsdatei ernennt den einen Rechner zum Server und den anderen zum Client. OpenVPN steht auch für Windows zur Verfügung. Es benutzt standardmäßig Port 5000 mit dem Protokoll UDP, der muss also in allen beteiligten Firewalls freigeschaltet werden.
Virtuelle private Netze auf der Basis von IPsec sind oft knifflig zu installieren, nicht alle Clients vertragen sich mit allen Servern. OpenVPN (www.openvpn.net) schafft Abhilfe.Es wird an beiden Endpunkten der Verbindung installiert. Ein einzelnes Semikolon in der Konfigurationsdatei ernennt den einen Rechner zum Server und den anderen zum Client. OpenVPN steht auch für Windows zur Verfügung. Es benutzt standardmäßig Port 5000 mit dem Protokoll UDP, der muss also in allen beteiligten Firewalls freigeschaltet werden.
Käfighaltung
Sicherheitskritische Dienste wie Datei- oder Mailserver sollten immer in chroot-Umgebungen laufen. chroot setzt dem Dienst ein eigenes Startverzeichnis als root vor, so dass der Dienst auf das eigentliche Dateisystem keinen Zugriff hat. Wird der Dienst gehackt, kann der Angreifer nur innerhalb des chroot-Käfigs Schaden anrichten. Der Mailserver Postfix treibt das auf die Spitze, indem er seinen Dienst in mehrere Teilschritte aufteilt, die jeweils von eigenen Dämonen in eigenen chroot-Käfigen ausgeführt werden. Um einen Dienst in einem chroot-Käfig zu starten, stellen Sie dem Startbefehl die chroot-Funktion voraus, etwa mit
chroot /nimm/dies/als/root ftpd -o
option1
Sicherheitskritische Dienste wie Datei- oder Mailserver sollten immer in chroot-Umgebungen laufen. chroot setzt dem Dienst ein eigenes Startverzeichnis als root vor, so dass der Dienst auf das eigentliche Dateisystem keinen Zugriff hat. Wird der Dienst gehackt, kann der Angreifer nur innerhalb des chroot-Käfigs Schaden anrichten. Der Mailserver Postfix treibt das auf die Spitze, indem er seinen Dienst in mehrere Teilschritte aufteilt, die jeweils von eigenen Dämonen in eigenen chroot-Käfigen ausgeführt werden. Um einen Dienst in einem chroot-Käfig zu starten, stellen Sie dem Startbefehl die chroot-Funktion voraus, etwa mit
chroot /nimm/dies/als/root ftpd -o
option1
Hackquarium
Wer alle Standard-Sicherheitsmaßnahmen umgesetzt hat und noch mehr tun will, kann einen Honeypot aufstellen. Der sieht von außen aus wie ein lohnendes Angriffsziel. Von innen lassen sich aber die Aktivitäten des Hackers im Honeypot isolieren und beobachten wie in einem Aquarium. Schnell und einfach ist so eine Hackerfalle mit Honeywall aufgesetzt. Honeywall ist eine unsichtbare Bridging-Firewall, die zwei Netzwerk-Segmente verbindet. Der Traffic wird analysiert und über eine dritte Netzwerk-Schnittstelle zur Beobachtung weitergeleitet. Zwei alte PCs reichen, um die Falle aufzustellen. Die bootfähige Honeywall-CD gibt es unter www.honeynet.org/tools/cdrom/.
Wer alle Standard-Sicherheitsmaßnahmen umgesetzt hat und noch mehr tun will, kann einen Honeypot aufstellen. Der sieht von außen aus wie ein lohnendes Angriffsziel. Von innen lassen sich aber die Aktivitäten des Hackers im Honeypot isolieren und beobachten wie in einem Aquarium. Schnell und einfach ist so eine Hackerfalle mit Honeywall aufgesetzt. Honeywall ist eine unsichtbare Bridging-Firewall, die zwei Netzwerk-Segmente verbindet. Der Traffic wird analysiert und über eine dritte Netzwerk-Schnittstelle zur Beobachtung weitergeleitet. Zwei alte PCs reichen, um die Falle aufzustellen. Die bootfähige Honeywall-CD gibt es unter www.honeynet.org/tools/cdrom/.
Würmer angeln
Linux-Admins müssen meist auch Windows-Rechner vor Würmern schützen. Da ist es hilfreich, so schnell wie möglich über neue Wurm-Epidemien informiert zu sein. Nepenthes (http://nepenthes.mwcollect.org) ist ein Daemon, der wurmanfällige Windows-Dienste unter Linux emuliert. Spricht ein Schädling eine dieser Schnittstellen an, wird er heruntergeladen und für eine Analyse gespeichert. Mit den gefangenen Würmern können Sie eigene Analysen anstellen oder testen, wie schnell Ihr Antivirus-Hersteller auf neue Epidemien reagiert.
Linux-Admins müssen meist auch Windows-Rechner vor Würmern schützen. Da ist es hilfreich, so schnell wie möglich über neue Wurm-Epidemien informiert zu sein. Nepenthes (http://nepenthes.mwcollect.org) ist ein Daemon, der wurmanfällige Windows-Dienste unter Linux emuliert. Spricht ein Schädling eine dieser Schnittstellen an, wird er heruntergeladen und für eine Analyse gespeichert. Mit den gefangenen Würmern können Sie eigene Analysen anstellen oder testen, wie schnell Ihr Antivirus-Hersteller auf neue Epidemien reagiert.
Lesen Sie auf der nächsten Seite:
Vorherige Seite
Seite 4 von 6
Nächste Seite
