1126375

Linux schützt Windows: So sichern Sie Ihre PCs ab

05.11.2020 | 09:03 Uhr | Thorsten Eggeling

Linux ist kaum von Viren, Würmern und Trojanern betroffen. Ein Linux-PC im eigenen Netzwerk kann jedoch dazu beitragen, den Schutz von beteiligten Windows-Rechnern zu verbessern.

Jeden Tag entdecken die Virenlabore mehrere hunderttausend neue Viren und andere Schadsoftware. Die werden meist automatisch generiert und immer leicht verändert, damit Antivirensoftware sie nicht so leicht aufspüren kann. Ziel sind vor allem Windows-Rechner. Die sind zwar aus technischer Perspektive prinzipiell nicht viel unsicherer als Linux, aber das Nutzerverhalten ist dort ein anderes. Vor allem ist Windows für Angreifer lohnender, weil das System weitverbreitet ist. Wer in einem gemischten Netzwerk arbeitet, also mit Linux- und Windows-Rechnern, kann für etwas Entspannung sorgen. Dateifreigaben für Windows lassen sich unter Linux mit einem eigenen Virenscanner überwachen. Das sorgt für mehr Sicherheit, sollte die Schutzsoftware unter Windows aufgrund einer Infektion ausfallen.

Eine besondere Bedrohung, die auch Netzwerkfreigaben betrifft, stellen Verschlüsselungs-Trojaner dar. Vor dem Verlust wichtiger Dateien kann jedoch ein regelmäßiges Backup auf einen Linux-PC schützen.

Drohende Gefahren für Ihre Rechner 

Sichere Software: Linux- Nutzer laden neue Programme nicht irgendwo aus dem Internet, sondern in der Regel über gut geschützte Paketquellen, die frei von Schadsoftware sind.
Vergrößern Sichere Software: Linux- Nutzer laden neue Programme nicht irgendwo aus dem Internet, sondern in der Regel über gut geschützte Paketquellen, die frei von Schadsoftware sind.

Es gibt im Wesentlichen nur zwei Angriffsszenarien auf Computer. Die größte Bedrohung geht vom Benutzer aus, der vor dem Bildschirm sitzt. Wer Software aus fragwürdiger Quelle ohne Prüfung installiert oder Programme aus E-Mail-Anhängen startet, holt sich am schnellsten Schadsoftware auf den Rechner. Das gilt im Prinzip für Windows und Linux gleichermaßen. Allerdings verwenden Linux-Anwender für die Softwareinstallation überwiegend die Paketquellen der jeweiligen Distribution. Dass darüber Viren auf den Rechner gelangen, ist so gut wie ausgeschlossen. Dateien aus E-Mail-Anhängen sind unter Linux standardmäßig nicht startfähig. Nur wenn der Benutzer selbst eine Datei als „ausführbar“ kennzeichnet, lässt sie sich starten. Auch PDF-Dateien oder Makros in Office-Dokumenten können Sicherheitslücken ausnutzen oder Schadsoftware mitbringen. Dagegen hilft nur, die Software stets aktuell zu halten und in den Sicherheitseinstellungen der Office-Software die Ausführung von Makros zu verbieten oder nur auf Nachfrage zu erlauben. Das ist jedoch die Standardeinstellung.

Das andere Szenario kommt ohne Mithilfe des Nutzers aus: Angriffe aus das Internet oder dem lokalen Netzwerk, etwa von einem infizierten Rechner aus, können Sicherheitslücken im Betriebssystem nutzen, um Schadsoftware zu verbreiten.

Reine Desktop- oder Büro-PCs sind davon in der Regel kaum betroffen, denn standardmäßig laufen dort keine Dienste, die von außen erreichbar sind (siehe Kasten „Schutz von Linux-Servern“). Daher gibt es auch keine Angriffsfläche. Das gilt für Linux wie Windows.

Sichere Netzwerkfreigaben unter Linux

Freigaben (auch) für Windows: In der zentralen Konfigurationsdatei „smb.conf“ legen Sie fest, welche Ordner Sie freigeben möchten und wer Schreib- oder nur Lesezugriff hat.
Vergrößern Freigaben (auch) für Windows: In der zentralen Konfigurationsdatei „smb.conf“ legen Sie fest, welche Ordner Sie freigeben möchten und wer Schreib- oder nur Lesezugriff hat.

Gewähren Sie nur die Zugriffsrechte, die wirklich erforderlich sind. Wenn Windows-Rechner keinen Schreibzugriff auf Netzwerkfreigaben besitzen, kann auch kein Schaden angerichtet werden. Wird der Linux-PC beispielsweise nur als Speicher für Backups genutzt, ist das problemlos möglich (siehe unten „Regelmäßige Backups erstellen“). Anders sieht es aus, wenn Freigaben zum Datenaustausch zwischen den Rechnern im lokalen Netzwerk dienen sollen. Dafür muss der Schreibzugriff möglich sein.

Wenn noch nicht geschehen, richten Sie auf Ihrem Linux-Rechner den Freigabedienst Samba in einem Terminal ein:

sudo apt install samba

Bearbeiten Sie die Konfigurationsdatei mit einem Editor Ihrer Wahl: 

sudo nano /etc/samba/smb.conf 

Ändern Sie die Bezeichnung hinter „workgroup=“ auf die Arbeitsgruppe, die Sie in Ihrem Netzwerk verwenden. Der Standard ist „WORKGROUP“. Eine schreibgeschützte und ohne Anmeldung (Gastzugang) erreichbare Freigabe erzeugen Sie mit diesen Zeilen: 

[public] 
path=/public 
guest ok = yes

Die Angabe hinter „path=“ gibt den Pfad zu einem Ordner im Dateisystem an, den Sie als Speicherplatz im Netzwerk verwenden wollen. „guest ok = yes“ ermöglicht den Zugriff für alle Windows- und Linux-Rechner ohne Benutzernamen und Passwort.

Die restriktivere Konfiguration für einen Ordner mit Schreibzugriff kann folgendermaßen aussehen: 

[share] 
path=/share 
writeable = no 
write list = @staff 
inherit owner = yes 
force group = staff 
force directory mode = 770
create mask = 664 
force create mode = 664

Hier erhalten nur Mitglieder der Gruppe „staff“ den vollen Schreibzugriff. Neue und geänderte Dateien sowie Ordner versieht Samba mit passenden Zugriffsrechten. Damit das funktioniert, müssen einige Voraussetzungen erfüllt sein.

1. Benutzer müssen über ein Konto auf dem Linux-Rechner verfügen. Erstellen Sie neue Benutzer beispielsweise unter Ubuntu 20.04 in den „Einstellungen“ unter „Benutzer“.

2. Jeder Benutzer benötigt ein Samba-Passwort, das Sie mit 

sudo smbpasswd -a [User] 

festlegen. Für den Platzhalter „[User]“ setzen Sie den jeweiligen Benutzernamen ein.

3. Die Benutzer müssen in unserem Beispiel zur Gruppe „staff“ gehören, die bei Ubuntu standardmäßig vorhanden ist. Fügen Sie Benutzer mit 

sudo usermod -a -G staff [User] 

zur Gruppe hinzu. Sie können auch eine andere Gruppe verwenden oder mit „sudo groupadd“ eine neue Gruppe erstellen.

4. Der freigegebene Ordner, in unserem Beispiel „/share“, muss der gewählten Gruppe gehören. Legen Sie die Berechtigungen im Dateisystem mit 

sudo chown -R root:staff /share 

fest.

Beim Server anmelden: Beim Zugriff auf einen Server über den Dateimanager haben Sie die Wahl zwischen einer anonymen Verbindung als Gast oder mit Benutzernamen und Passwort.
Vergrößern Beim Server anmelden: Beim Zugriff auf einen Server über den Dateimanager haben Sie die Wahl zwischen einer anonymen Verbindung als Gast oder mit Benutzernamen und Passwort.

Wenn Benutzernamen und Passwörter auf den Client-PCs mit denen auf dem Server übereinstimmen, erfolgt der Zugang ohne die Abfrage von Anmeldeinformationen. Sollte das aus Sicherheitsgründen unerwünscht sein, legen Sie andere Benutzernamen und/oder Passwörter fest. Linux und Windows fragen dann nach den Anmeldeinformationen. Wenn Sie diese nicht speichern, erfolgt nach einem Neustart des Systems keine automatische Anmeldung. Die Freigabe ist dann zumindest nicht permanent für Schadsoftware erreichbar.

Siehe auch: Sichere Windows-Freigaben einrichten - so geht´s

Hinweise: Wenn es einen Benutzer mit dem gleichen Namen auf dem Linux-Server gibt, aber mit einem abweichenden Passwort, fragt Windows nach Benutzernamen und Passwort. Soll nur die Verbindung zur Gastfreigabe erfolgen, tippen Sie als Benutzernamen beispielsweise „gast“ ein und lassen das Passwort leer. Für Samba spielt der Name des Gastbenutzers übrigens keine Rolle. Es werden alle unbekannten Benutzernamen als „bad user“ behandelt und damit als Gäste. Wenn es den Benutzer auf dem Linux-Server nicht gibt, versucht Windows eine automatische Anmeldung als Benutzer „Gast“ und Samba gewährt den Zugriff auf Gastfreigaben.

Unter Linux erscheint in jedem Fall ein Dialog, in dem Sie die Option „Anonym verbinden“ (Gast) wählen oder „Registrierter Benutzer“ und dann Benutzernamen und Passwort eintippen. Sollte im Ubuntu-Dateimanager der Zugriff auf Freigaben über „Andere Orte –› Windows Netzwerk“ nicht klappen, drücken Sie Strg-L und tippen die Adresse der Samba-Freigabe in der folgenden Form 

smb://[Server]/[Freigabe] 

direkt ein.

Virenscanner I: Sophos Antivirus 

Sophos Anti-Virus einrichten: Die Installation der Schutzsoftware erfolgt im Terminal. Ein Assistent fragt die Parameter ab, die Sie zum Großteil einfach mit der Eingabetaste bestätigen.
Vergrößern Sophos Anti-Virus einrichten: Die Installation der Schutzsoftware erfolgt im Terminal. Ein Assistent fragt die Parameter ab, die Sie zum Großteil einfach mit der Eingabetaste bestätigen.

Sophos bietet eine kostenlose Antivirenlösung für Linux an. Technischen Support gibt es aber nur bei der Bezahlversion. Für den Download über https://m6u.de/sopho müssen Sie sich registrieren. Das Programm lässt sich ausschließlich über die Kommandozeile steuern, eine grafische Oberfläche gibt es nicht. Entpacken Sie die heruntergeladene Datei, öffnen Sie ein Terminal und wechseln Sie in das Verzeichnis der Software.

Dort starten Sie mit 

sudo ./install.sh 

die Einrichtung. Folgen Sie den Anweisungen des Assistenten. Übernehmen Sie alle Vorgaben per Druck auf die Eingabetaste, außer bei der Frage „Do you wish to install the Free (f) or Supported (s) version of SAV for Linux?“. Hier tippen Sie „f“ ein und bestätigen mit Eingabetaste. Nach der Installation starten Sie

sudo /opt/sophos-av/bin/savupdate 

zum Update der Virensignaturen. Das müssen Sie später nicht manuell wiederholen, weil Sophos Antivirus automatisch alle 60 Minuten nach Updates sucht. Danach können Sie mit 

sudo /opt/sophos-av/bin/savscan / 

das gesamte System auf Schadsoftware untersuchen. Standardmäßig ist die On-Access-Überprüfung aktiv. Sophos Anti-Virus prüft alle Dateioperationen, also jede Datei, die neu hinzukommt oder kopiert wird. Sollte Schadsoftware enthalten sein, wird die Datei blockiert, aber nicht gelöscht oder verschoben. Auch Windows-Nutzer, die eine infizierte Datei von einer Netzwerkfreigabe öffnen wollen, erhalten darauf keinen Zugriff. Mit 

sudo /opt/sophos-av/bin/savlog

lassen Sie sich die Protokolle ausgeben. Man sollte in regelmäßigen Abständen nach Schadsoftware suchen, betroffene Dateien verschieben, dann genauer untersuchen und gegebenenfalls löschen. Verwenden Sie die folgende Befehlszeile, wenn Sie nur den Ordner „/share“ prüfen und infizierte Dateien nach „/infected“ verschieben wollen: 

sudo /opt/sophos-av/bin/savscan -nc -move=/infected /share 

Die Option „-nc“ unterdrückt eventuelle Rückfragen. Informationen zu weiteren Optionen liefern 

man savscan 

sowie die Konfigurationsanleitung  und die Startupanleitung  für Linux.

Automatischer Scan: Laden Sie die Konfigurationsdatei des Crondienstes mit 

sudo crontab -e

und tragen Sie dort diesen Auftrag ein (Beispiel): 

0 1 * * * /opt/sophos-av/bin/savscan -nc -move=/infected /share >> /var/log/savscan.log 

Dies würde den Virenscanner jede Nacht um 1:00 Uhr starten.

Virenscanner II: Eset Nod32 Antivirus

Eset Nod32 Antivirus: Dieser Virenscanner bietet eine grafische Oberfläche, die Sie aber nur selten bemühen müssen. Die Echtzeitprüfung beseitigt Schadsoftware automatisch.
Vergrößern Eset Nod32 Antivirus: Dieser Virenscanner bietet eine grafische Oberfläche, die Sie aber nur selten bemühen müssen. Die Echtzeitprüfung beseitigt Schadsoftware automatisch.

Von Eset gibt es einen Virenscanner für Linux, der auch eine grafische Oberfläche bietet. Über www.eset.com/de/home/antivirus-linux lässt sich eine kostenlose Version herunterladen, die Sie 30 Tage lang testen können. Für den Download ist eine Registrierung erforderlich. Die Vollversion kostet ab 29,95 Euro pro Jahr. Damit sich das Programm installieren lässt, müssen Sie unter Ubuntu oder Linux Mint ein zusätzliches Paket installieren:

sudo apt install libc6:i386

Danach verwenden Sie im Downloadverzeichnis diese beiden Befehle: 

chmod 774 eset_nod32av_64bit_de.linux
sudo ./eset_nod32av_64bit_de.linux 

Ein Assistent führt Sie durch die Installation. Zum Abschluss startet das Programm automatisch und aktualisiert selbständig die Virensignaturen. Über „Computer prüfen –› Standardprüfung“ führen Sie einen ersten Virenscan auf allen lokalen Laufwerken durch.

Eset Nod32 Antivirus schützt den Rechner mit dem Echtzeit-Dateischutz. Neue Dateien werden automatisch geprüft, auch in den im Netzwerk freigegebenen Ordnern. Wird eine Bedrohung erkannt, versucht das Programm, die Datei zu säubern. Wenn das nicht gelingt, landet die Datei in Quarantäne. Klicken Sie links unten im Fenster auf „Erweiterten Modus aktivieren“. Damit blenden Sie zusätzliche Optionen ein. Gehen Sie auf „Tools –› Log-Dateien“. Hier sehen Sie Meldungen zu den erkannten Bedrohungen. Unter „Tools –› Quarantäne“ finden Sie eine Liste mit Dateien, die in Quarantäne verschoben wurden. Sollten Sie Vireninfektionen als Irrtum verifizieren, lassen sich solche Dateien wiederherstellen. Mit 

sudo /opt/eset/esets/sbin/esets_scan [Pfad] 

starten Sie einen Virenscan auf der Kommandozeile.

Das ist nützlich, wenn Sie per SSH mit dem Server verbunden sind und gezielt bestimmte Ordner untersuchen wollen. Wenn die Echtzeitprüfung aktiv ist, sollte das jedoch in der Regel nicht nötig sein.

Tipp: Ist mein PC gehackt? So erkennen Sie Angriffe

Regelmäßige Backups erstellen 

Backuptool: Duplicati beherrscht auch die Datensicherung über SFTP (SSH). Windows hat auf den Backupordner keinen Zugriff, weshalb eventuelle Schadsoftware nichts ausrichten kann.
Vergrößern Backuptool: Duplicati beherrscht auch die Datensicherung über SFTP (SSH). Windows hat auf den Backupordner keinen Zugriff, weshalb eventuelle Schadsoftware nichts ausrichten kann.

Backups auf Freigaben, für die standardmäßig der Schreibzugriff erlaubt ist, sind keine gute Idee. Backups sollten möglichst auf Laufwerken gespeichert werden, die nicht ständig mit dem Windows-PC verbunden. Die Gefahr, dass Backups unter die Kontrolle von Schadsoftware geraten, lässt sich nur reduzieren, wenn Dateien von Windows-Rechnern auf anderem Wege gesichert werden.

Ein empfehlenswertes Tool zum Sichern persönlicher Dateien ist Duplicati . Die Software läuft unter Windows, Linux und Mac-OS. Konfiguration und Bedienung erfolgen über eine Weboberfläche im Browser.

Als Backupziel unterstützt das Programm lokale Ordner und Laufwerke, aber auch Onlinespeicher wie Google Drive oder Dropbox. Zum Datenschutz lassen sich die Backups verschlüsseln.

Im lokalen Netzwerk mit einem Linux-Server empfiehlt sich die Sicherung mit Duplicati über SFTP (SSH). Unter Linux muss dazu das Paket „openssh-server“ installiert sein und unter Windows Duplicati. Standardmäßig hat Windows über SSH keinen Zugriff auf den Linux-Server. Die Backups können somit auch nicht durch Schadsoftware kompromittiert werden. 

Die Themen in Tech-up Weekly #203:

► Sony lüftet letztes PS5-Geheimnis (00:47):
blog.de.playstation.com/2020/10/10/ps4-spiele-auf-ps5-antworten-auf-eure-brennendsten-fragen/

► Radeon RX 6000: AMD kündigt Big-Navi-Serie für den 28.10. an (03:15):
www.pcgameshardware.de/Grafikkarten-Grafikkarte-97980/News/Radeon-RX-6000-Big-Navi-1359799/

► 12-Jähriger baut Fusionsreaktor im Kinderzimmer (05:55):
www.pcwelt.de/news/12-Jaehrigem-gelingt-Kernfusion-im-Kinderzimmer-10902204.html

Web-Fundstück der Woche

► XCloud: Doom läuft auf Samsung-Kühlschrank (06:55):
www.pcwelt.de/news/xCloud-Doom-laeuft-auf-Samsung-Kuehlschrank-10901216.html

► Zum PC-WELT T-Shirt-Shop:
www.pcwelt.de/fan

PC-WELT Marktplatz

1126375