Profi-Tipps
Unveränderliche Dateien
Die Dateisysteme EXT2 und EXT3 bieten zusätzliche Dateiattribute, mit deren Hilfe Dateien noch besser geschützt werden können. Die Attribute lassen sich mit dem Kommando „lsattr“ anzeigen und mit dem Befehl „chattr“ ändern. Dateien, die Sie besonders gut schützen wollen, können Sie mit dem Attribut „-i“ für immutable versehen. Diese Dateien bleiben dann selbst für root unveränderlich, bis das Attribut wieder entfernt wird.
USB-Stick verschlüsseln
Als Backup-Medien für wichtige Dateien sind USB-Sticks optimal – solange sie nicht gestohlen werden oder verlorengehen. USBSticks sollten daher immer verschlüsselt sein, etwa mit LUKS (http://luks.endorphin.org). Auf dem USB-Stick wird ein verschlüsselter Container erzeugt:
cryptsetup -c aes-cbc-essiv:sha256 -s256 luksFormat /dev/sda1.
Im Container kann dann ein Dateisystem angelegt werden. Eine Anleitung finden Sie unter http://home.ircnet.de/cru/luks/.
Als Backup-Medien für wichtige Dateien sind USB-Sticks optimal – solange sie nicht gestohlen werden oder verlorengehen. USBSticks sollten daher immer verschlüsselt sein, etwa mit LUKS (http://luks.endorphin.org). Auf dem USB-Stick wird ein verschlüsselter Container erzeugt:
cryptsetup -c aes-cbc-essiv:sha256 -s256 luksFormat /dev/sda1.
Im Container kann dann ein Dateisystem angelegt werden. Eine Anleitung finden Sie unter http://home.ircnet.de/cru/luks/.
Auto-Backup
Sicherungskopien sollten auf zentralen Servern angelegt werden. Empfehlenswert ist es, einmal wöchentlich ein Komplett-Backup mit tar auf den zentralen Server zu spielen und dieses täglich mit rsync zu aktualisieren. Dabei bietet es sich an, das rsync-Kommando auf den Clients als Shutdown-Script anzulegen:
rsync -az /home/edgar
backupzentrale:/home/edgar
Dabei schaltet die Option „-a“ die rekursive Kopie zu Archivzwecken ein, und „z“ sorgt für Komprimierung.
Sicherungskopien sollten auf zentralen Servern angelegt werden. Empfehlenswert ist es, einmal wöchentlich ein Komplett-Backup mit tar auf den zentralen Server zu spielen und dieses täglich mit rsync zu aktualisieren. Dabei bietet es sich an, das rsync-Kommando auf den Clients als Shutdown-Script anzulegen:
rsync -az /home/edgar
backupzentrale:/home/edgar
Dabei schaltet die Option „-a“ die rekursive Kopie zu Archivzwecken ein, und „z“ sorgt für Komprimierung.
Dienste abschalten
Um mögliche Angriffsziele zu minimieren, sollte der Admin grundsätzlich alle nicht benötigten Dienste abschalten, etwa echo, charges, discard, daytime, time, talk, ntalk sowie die als extrem unsicher geltenden Kommandos rsh, rlogin und rcp. Für Letztere gibt es die sicheren Alternativen ssh und scp. Nachdem die nicht benötigten Dienste deaktiviert sind, sollte der Systemverwalter prüfen, ob der Dienst inetd überhaupt noch benötigt wird – Dienste können alternativ auch als Daemon gestartet werden. Wenn ja, gibt es empfehlenswerte Alternativenzu inetd, die vielfältiger konfiguriert werden können, beispielsweise xinetd oder rlinetd.
Um mögliche Angriffsziele zu minimieren, sollte der Admin grundsätzlich alle nicht benötigten Dienste abschalten, etwa echo, charges, discard, daytime, time, talk, ntalk sowie die als extrem unsicher geltenden Kommandos rsh, rlogin und rcp. Für Letztere gibt es die sicheren Alternativen ssh und scp. Nachdem die nicht benötigten Dienste deaktiviert sind, sollte der Systemverwalter prüfen, ob der Dienst inetd überhaupt noch benötigt wird – Dienste können alternativ auch als Daemon gestartet werden. Wenn ja, gibt es empfehlenswerte Alternativenzu inetd, die vielfältiger konfiguriert werden können, beispielsweise xinetd oder rlinetd.
Dateien überwachen
Eine wichtige Aufgabe des Systemadministrator ist die regelmäßige Überwachung aller Dateien im System. Angreifer können etwa durch das Verändern von Systemdateien oder von Programmdateien die Kontrolle über einen Rechner erhalten. Das Auffinden dieser Veränderungen ist nur möglich, wenn der Stand vor der Veränderung bekannt ist. Debian-basierte Linux-Distributionen überprüfen mit Hilfe des ausgeklügelten Paketsystems die installierten Dateien. Das Tool cruft untersucht das komplette Dateisystem nach Dateien, die im Grunde nicht vorhanden sein sollten, beziehungsweise nach Dateien, die sich nicht mehr im Dateisystem finden lassen.
Eine wichtige Aufgabe des Systemadministrator ist die regelmäßige Überwachung aller Dateien im System. Angreifer können etwa durch das Verändern von Systemdateien oder von Programmdateien die Kontrolle über einen Rechner erhalten. Das Auffinden dieser Veränderungen ist nur möglich, wenn der Stand vor der Veränderung bekannt ist. Debian-basierte Linux-Distributionen überprüfen mit Hilfe des ausgeklügelten Paketsystems die installierten Dateien. Das Tool cruft untersucht das komplette Dateisystem nach Dateien, die im Grunde nicht vorhanden sein sollten, beziehungsweise nach Dateien, die sich nicht mehr im Dateisystem finden lassen.
Lesen Sie auf der nächsten Seite:
Vorherige Seite
Seite 5 von 6
Nächste Seite
