 |
|
|
|
|
|
|
|||||||||||
|
|||||||||||
|
|||||||||||
|
|||||||||||
|
|||||||||||
| Home / Artikel / ausgabe / 2003 / 09 | |||||||||||
|
 |
|
||
|
Home | ||
|
|||
|
Suchen: |
||
|
|||
|
|
||||||||||||||||||||
|
|
||||||||||||||||||||
|
|
||||||||||||||||||||
|
|||||||||||||||||||||
Sicherheit unter LinuxSelbstverteidigungvon Achim Leitner |
Mit Linux wäre das nicht passiert -- diesen Satz haben Sie vielleicht schon öfters gehört oder gar selbst benutzt. Gerade bei größeren Viren- und Wurm-Epidemien im Windows-Lager greift bei Linux-Freunden gerne eine gewisse Schadenfreude um sich, die von der anderen Seite sofort gekontert wird: Unter Linux gebe es nur deshalb kaum Viren, weil das System so wenig verbreitet sei.
Die Realität ist nicht ganz so einfach. Kurz gesagt: Ja, es gibt Viren unter Linux. Nein, sie spielen keine Rolle und werden auch mittelfristig keine echte Gefahr darstellen. Und doch, es gibt auch unter Linux gefährliche Schädlinge, die ein System befallen können -- das sind dann aber Würmer oder direkte Angriffe von Crackern. Davor schützt kein Virenscanner und die unter Windows neuerdings beliebten Personal Firewalls sind auch keine Lösung.
Um sich wirksam zu schützen, hilft es, die Hintergründe und Zusammenhänge zu kennen. Angst und Panik sind ebenso falsch wie völlige Sorglosigkeit: Selbst wenn Sie keine wertvollen Daten auf ihrem PC haben, sollten Sie ihn gegen Angriffe sichern. Und sei es nur, um falsche Verdächtigungen zu vermeiden: Sollte ein Internet-Pirat Ihren Rechner entern und von dort aus die Deutsche Bank attackieren, dann wird der Staatsanwalt erst einmal gegen Sie ermitteln.
Die bekannteste Form von Software-Schädlingen (Malware) sind Viren. Sie verändern ein vorhandenes Programm und sorgen dafür, dass jeder Start dieses Programms auch den Virencode ausführt. Diese Techniken sind auch unter Linux möglich, einige wenige real existierende Viren beweisen dies.
Um sich weiter zu verbreiten, infiziert ein Virus andere Programme, die er auf der Festplatte findet. Unter älteren Windows-Versionen hat er dabei freie Hand, Linux bremst ihn aber aus. So lange Sie als normaler User und nicht als Root arbeiten, dürfen die Programme und damit auch die Viren gar keine anderen Programmdateien überschreiben.
Dem Virus fehlt damit ein geeigneter Ausbreitungsweg. Dazu kommt, dass sich Linux-Anwender kaum gegenseitig Programme zuschicken, wie es unter Windows-Usern recht verbreitet ist. Auch daran wird sich vermutlich nichts ändern: Wenn die Programme frei verfügbar sind, sind Warez (Raubkopien) nicht interessant.
Ihre eigenen Dateien sind zwar theoretisch durch Viren gefährdet, in der Praxis ist diese Gefahr aber sehr gering. Selbst wenn jemand einen Virus verbreiten wollte: So lange Sie als Linux-Anwender keine Programme starten, die aus dunklen Quellen stammen, findet kein Virus den Weg auf Ihren Rechner.
Bei Makro-Viren ist die Situation ähnlich. Diese befallen keine Programme, sondern Dokumente. Es sind zwar durchaus Viren denkbar, die sich in Open-Office-Dateien einnisten und sich so verbreiten. Allerdings warnt Open Office den Benutzer, bevor es ein Makro aus einer unbekannten Quelle ausführt (siehe Abbildung 1). So lange Sie keine fremden Open-Office-Dateien öffnen und die darin enthaltenen Makros absichtlich zulassen, kann auch kein Virus Ihre Dateien befallen. Word-Makro-Viren haben sowieso keine Chance, da Open Office keine Microsoft-Makros (weder Word Basic noch VBA) ausführt.
Makro-Viren sind unter Unix aber keine Unbekannten. Bereits sehr frühe Versionen des Editor-Klassikers vi kannten die so genannte Modeline, eine speziell formatierte Zeile im Text, deren Inhalt vom Editor interpretiert wird. Neuere Versionen lösen das Problem an seiner Wurzel: nvi ignoriert die Modeline vollständig und vim führt nur unbedenkliche Befehle aus.
Diese Strategien verfolgen die meisten Open-Source-Entwickler: Statt darauf zu hoffen, dass ein Virus erst jemand anderes trifft und die Anti-Viren-Hersteller schnell ein Gegenmittel entwickeln, verhindern sie lieber, dass sich ein Virus überhaupt ausbreiten kann. Das gelingt ihnen auch sehr gut.
Die nächste Schädlingsart, die ihr Unwesen in Computernetzen treibt, sind Würmer. Im Gegensatz zu Viren benötigen sie kein Wirtsprogramm, sondern sind selbständig lauffähig und breiten sich auch selbständig aus. Sie missbrauchen dazu fremde Programme und deren Sicherheitslücken. Der bekannteste Wurmträger ist wohl das E-Mail-Programm Outlook unter Windows.
Ein typischer E-Mail-Wurm versendet sich an alle Personen aus dem Adressbuch. Er kann beim Empfänger aber nur Schaden anrichten, wenn der entweder sorglos den E-Mail-Anhang öffnet oder wenn sein Mailer eine Sicherheitslücke hat, die der Wurm ausnutzt. Beides könnte auch unter Linux geschehen. Aber die Hürden, die sich dem Wurm in den Weg stellen, sind zahlreicher und höher:
Dennoch gilt auch unter Linux die bei Windows-Anwendern verbreitete Warnung: Öffnen Sie keine Anhänge von suspekten E-Mails. Und vor allem: Starten Sie keine unerwartet eintreffenden Programme. Damit würden Sie einen eventuellen Wurm selbst in ihren Rechner einsetzen. Der hätte dann zwar immer noch nicht die volle Kontrolle über den Computer, weil Sie ja als normaler Benutzer und nicht als Root arbeiten, dennoch kann Ihnen der Schädling Ärger bereiten.
Ob ein Programm schädlich ist oder nicht lässt sich nur sehr schwer feststellen. Bei einem einfachen E-Mail-Wurm ist die Sachlage noch recht eindeutig -- manche bösartigen Funktionen sind aber gut getarnt in harmlos wirkenden Programmen versteckt. Diese Kategorie nennt sich dann trojanisches Pferd.
Oft weiß nicht einmal der Programm-Autor von den verborgenen Programmteilen: Ein Angreifer kann den Computer des Entwicklers geknackt und unbemerkt Zusatzfunktionen in seine Software eingefügt haben. In anderen Fällen ist es der Autor selbst, der dunkle Ziele verfolgt. Bei Open-Source-Software stehen die Chancen aber sehr gut, dass andere Entwickler verborgene Fallen aufdecken und die Linux-Gemeinde warnen. Die Erfahrung zeigt, dass dies sehr schnell klappt.
Bei den Linux-Distributoren sind meist mehrere Entwickler damit beschäftigt, Programme zu untersuchen und Schwachstellen, Sicherheitslücken und Hintertüren aufzuspüren. Da diese Sicherheitsspezialisten den kompletten Quellcode vorliegen haben, ist es sehr unwahrscheinlich, dass versteckte Funktionen unentdeckt bleiben.
So blieb Linux bislang auch von der Plage der Dialer-Programme verschont: Diese ändern mehr oder weniger heimlich die Einwahl-Nummer ins Internet. Wer per ISDN oder Modem online geht, zahlt dann eine wesentlich höhere Verbindungsgebühr. Diese Programme müssten unter Linux erst zu Root-Rechten gelangen, um die Einwahl-Nummer zu ändern. Und sie müssten für die verschiedenen Distributionen und Einwahl-Techniken auch unterschiedliche Stellen im System ändern.
Die Hürden sind für Dialer-Programme schwer zu nehmen, gänzlich unmöglich sind solche Angriffe auf Ihren Geldbeutel aber nicht. Ein gesundes Misstrauen gegenüber obskuren Wunderprogrammen, Internet-Beschleunigern und ähnlichen Software-Trickkisten aus dunklen Quellen schützt Sie vor unangenehmen Überraschungen.
Die bereits genannten E-Mail-Würmer sind nur eine mögliche Abart der Würmer. Sie können sich über beliebige Verfahren durch das Netz wühlen und sich in ihren Opfern einnisten. Bereits 1988, noch bevor Linux die Unix-Welt betrat, schockierte einer dieser Netzkiller die Fachwelt: Der Morris-Wurm, auch Internet-Wurm genannte, legte weite Teile des damals noch überschaubaren Internet lahm.
Er hatte zwar keine gewollte Schadensfunktion, aber allein durch seine Ausbreitung überlastete er viele Sun- und Dec-Workstations. Binnen kurzer Zeit waren die Computer und deren Admins nur noch mit dem Wurm beschäftigt. Um sich zu verbreiten, nutzte er mehrere Sicherheitslücken aus, die durch Programmierfehler in den jeweiligen Server-Programmen entstanden.
Dieser mehrere Tage dauernde Vorfall führte unter anderem zur Gründung von Computer-Notfall-Teams (CERT, Computer Emergency Response Team) [2]. Diese Organisationen sorgen im Ernstfall dafür, dass sich die Verantwortlichen der einzelnen Netze auch ohne E-Mail und WWW verständigen können und helfen bei der Reaktion auf Computer-Einbrüche, sie sammeln und organisieren aber auch die berühmten CERT-Advisories. Diese Meldungen informieren über neue Sicherheitslücken und wie man sie behebt. Die übersetzten Texte eines der deutschen CERTs [3] können Sie unter anderem auf der Linux-Community [4] lesen.
| Online-Update bei SuSE |
|
Sicherheitsupdates sollten möglichst rasch einspielen. SuSE bietet Online-Updates an, um Ihre Systemsoftware auf dem neuesten Stand zu halten. Das Update klappt ganz leicht mit YOU, dem Yast-Online-Update. Sie finden dieses Modul im Yast Control Center:
Wählen Sie unter Software das Online-Update.
Belassen Sie es bei der Voreinstellung Manuelles Update und der voreingestellten Installationsquelle und klicken Sie auf Weiter.
Im nächsten Fenster zeigt Ihnen YOU, für welche Pakete Updates vorhanden sind (linker oberer Bereich). Als erstes will YOU sich selbst aktualisieren: Bestätigen Sie das ausgewählte Paketupdate mit Akzeptieren.
Ist das erste Update abgeschlossen, müssen Sie YOU ein zweites Mal aufrufen. Im Fenster für die Patch-Auswahl erscheinen jetzt links alle verfügbaren Update-Pakete, die Sicherheits-Updates sind in roter Schrift hervorgehoben. Klicken Sie die roten Pakete an, können Sie auf der rechten Seite prüfen, ob das alte Paket auf Ihrem System überhaupt installiert ist -- dann ist die Checkbox mit einem Haken versehen. SuSE Linux 8.2 verwendet statt der Checkbox ein eigenes Update-Symbol: zwei rotierende Pfeile. Den Update-Vorgang stoßen Sie auch dieses mal mit einem Klick auf Akzeptieren an. Hat sich das Online-Update ohne Fehlermeldung beendet, ist Ihr System auf dem neuesten Stand.
|
| Online-Update bei Red Hat |
|
Für das Online-Update bei Red Hat 8.0 (Starter Kit 1) und 9 ist das Red Hat Network zuständig. Starten Sie das Programm über den Menüpunkt Red-Hat-Menü / Systemtools / Red Hat Network. Die Konfiguration können Sie bei den Standardeinstellungen belassen.
Red Hat verwendet einen GPG-Schlüssel, um die Update-Meldungen zu signieren. Eigentlich müssten Sie diesen Schlüssel prüfen und dessen Fingerprint mit einer sicheren Quelle vergleichen -- das Red Hat Network bietet ihnen eine einfachere Variante an:
Nachdem Sie hier Ja gewählt haben, öffnet sich der Red Hat Update Agent. Sie müssen sich zunächst für diesen Dienst registrieren; klicken Sie daher auf Vor.
Prüfen und bestätigen Sie das Privacy Statement von Red Hat. In diesem Datenschutzhinweis versichert das Unternehmen, keine personenbezogenen Daten weiter zu geben, die Sie während des Online-Updates eingeben.
Klicken Sie auf Vor und legen Sie Ihren Account mit Benutzername und Passwort an. Hinweis: Verwenden Sie ein neues Passwort, nicht Ihr Benutzerpasswort oder gar das Root-Passwort Ihres Rechners. Im nächsten Fenster können Sie genauere Daten angeben, insbesondere, ob und auf welche Arten Sie von Red Hat (oder Partnerfirmen) zugespammt werden wollen. Die Daten sind fakultativ, Sie müssen also keine angeben -- Sie dürfen sogar die Auswahl bei E-Mail deaktivieren.
Im nächsten Schritt können Sie ein Profil benennen, das Ihren Computer im Red Hat Network identifiziert. Falls Sie mehrere Red-Hat-Rechner per Online-Update aktuell halten möchten, lassen sich die Maschinen so besser unterscheiden.
Im nächsten Fenster gelangen Sie zur Paketauswahl. Hier teilen Sie dem System mit, welche RPM-Pakete auf Ihrem Rechner installiert sind. Das Red Hat Network prüft künftig, ob Aktualisierungen für diese Pakete verfügbar sind.
Im nächsten Schritt übermittelt das Programm Ihr Systemprofil an das Red Hat Network. Dort wird Ihr Rechner anhand dieser Daten einem so genannten Channel zugeordnet -- für das Starter Kit 1 ist dies Red Hat Linux 8.0 i386. Solch ein Channel entspricht einer Gruppe, die nur Update-Pakete anbietet, die für Ihr System passen. Als nächstes zeigt der Update Agent die Pakete, die nicht aktualisiert werden sollen, in der Voreinstellung ist das nur der Kernel. Mit dem Vor-Button gelangen Sie zur Auswahl der Pakete, die für ein Update verfügbar sind -- also die neuen Pakete für Ihr System.
Sie können hier zwar einzelne oder alle Pakete auswählen, das System zeigt Ihnen aber nicht, ob es sich bei einem Paket um ein Sicherheitsupdate oder schlicht eine neue Version handelt. Sie können dies aber über die Red-Hat-Webseiten ermitteln: In http://rhn.redhat.com/errata/ wählen Sie Ihre Version und schränken die Liste dann auf security ein. Nach der Wahl der Pakete prüft der Update Agent, ob er weitere Pakete nachinstallieren muss, um Paketabhängigkeiten zu erfüllen. Die zusätzlich benötigten Pakete installiert er automatisch. Die Pakete werden zunächst aus dem Red Hat Network geladen und danninstalliert. Ist alles fertig, zeigt der Update Agent im folgenden Fenster noch einmal die vollständige Liste der erneuerten Pakete an. Klicken Sie auf Finish, dann ist das Update vollendet und Ihr System auf dem neuesten Stand.
|
Die CERT-Advisories zeigen auch, dass es unter Linux -- trotz seiner guten Sicherheits-Eigenschaften -- durchaus auch Schwächen gibt. Es handelt sich dabei meist um Programmierfehler, manchmal auch um unsichere Konfiguration oder eine untaugliche Architektur. Dann heißt es: Löcher stopfen, meist durch das Aktualisieren des betroffenen Programmpakets.
Beim Aktualisieren helfen Ihnen moderne Distributionen: Deren Online-Update sagt Ihnen, warum es für ein installiertes Paket eine neue Version gibt. Ist die Ursache eine Sicherheitslücke, dann sollten Sie das Update einspielen (siehe Kasten "Online-Update bei SuSE" und Kasten "Online-Update bei Red Hat"). Falls Sie das Paket nicht benötigen, können Sie es stattdessen auch deinstallieren.
Besonders kritisch sind Sicherheitslücken in Server-Programmen. Ein Server ist ein Stück Software, das darauf wartet, dass sich ein anderes Programm (ein Client) mit ihm in Verbindung setzt (siehe Abbildung 2). Ein typischer Server ist zum Beispiel Apache (Web-Server), dazu passende Clients sind Mozilla oder Konqueror.
Kritisch sind Server-Programme, weil jedes schwarze Schaf sich über das Internet mit ihnen verbinden und sein Unwesen treiben kann. Dazu muss der Angreifer noch nicht einmal Ihre Adresse kennen, er durchsucht einfach große Teile des Netzes und hofft darauf, Opfer zu finden. Erschwerend kommt hinzu, dass Server oft mit Root-Rechte laufen -- nach einem Einbruch übernimmt der Datenspion die Rechte des Servers und kontrolliert damit Ihren Computer.
Bei dem Angreifer kann es sich um einen Menschen mit dunklen Absichten handeln (meist als Cracker tituliert), der Ihren Computer direkt attackiert, es kann aber auch ein Stück Software sein. Bei Letzterem handelt es sich wieder um eine Abart der Würmer: In jüngerer Zeit haben es vor allem Ramen und Lion zu größerer Verbreitung gebracht. Der Ramen-Wurm [5] griff 2001 den Wu-FTP-Server an, während der Lion-Wurm [6] eine Sicherheitslücke im DNS-Server Bind nutzte. In beiden Fällen waren die Lücken bereits länger bekannt, nur hatten die Betreiber vieler Unix- und Linux-Computer die Updates nicht eingespielt.
Um sich vor groß angelegten Angriffswellen zu schützen, verwenden viele Netze so genannte Firewalls (Abbildung 3). Diese Schutzwälle lassen nur Datenpakete durch, die bestimmten Kriterien genügen. Diese Kriterien aufzustellen ist bei großen Firewalls eine komplexe Aufgabe: Welcher Computer darf mit welchem anderen kommunizieren, welche Protokolle dürfen sie hierfür verwenden, zu welchen Uhrzeit ist was erlaubt -- die möglichen Einstellungen sind umfangreich.
Eines ist aber allen Firewall gemein: Wenn sie eine Verbindung zulassen, dann müssen sich weiterhin die Client- und Server-Programme selbst schützen. Der beste Schutz ist, nur die wirklich benötigten Server zu installieren und zu starten. Firewalls verhindern aber, dass ein für lokale Aufgaben gedachter Dienst vom Internet aus angreifbar ist oder dass ein vergessener Server das ganze interne Netz gefährdet.
Im Markt der Firewalls spielt Linux inzwischen eine wichtige Rolle. Ob als selbst installiertes System oder fertig gekaufte Appliance -- Linux schützt heute viele Netze vor den Gefahren des Internet. Diese Technik können Sie aber auch zuhause einsetzen, um Ihren Computer mit einer zusätzlichen Verteidigungslinie auszustatten.
Die einfachste Form sind Host-basierte Firewalls. Sie regeln, welche Datenpakete aus dem Internet auf den Computer gelangen und welche ihn verlassen dürfen. Der Regelsatz dazu kann recht umfangreich sein und hängt davon ab, wofür Sie Ihr Linux einsetzen. Eine pauschale Empfehlung für korrekte Firewall-Regeln ist daher unmöglich.
Wenn Sie Ihren Rechner ausschließlich als Client-System einsetzen und keine Server betreiben möchten, dann ist eine geeignete Konfiguration leicht: Verbieten Sie jede Verbindung vom Internet zu Ihrem Computer und erlauben Sie in umgekehrter Richtung jede Kommunikation. Das schützt sie zuverlässig, falls ein Programmpaket ohne Ihr Wissen einen Server-Dienst installiert oder Sie einen Fehler bei einer Konfiguration machen.
Unter SuSE Linux haben Sie die Wahl zwischen mehreren Firewall-Varianten. Am einfachsten ist die SuSE Personal zu bedienen: Beim Einrichten Ihres Internet-Zugangs im Yast Control Center unter Netzwerk/Basis / Konfiguration von DSL aktivieren Sie die Checkbox Firewall aktivieren. Dann regelt die Firewall die gesamte Kommunikation, die über diese Schnitstelle läuft: Von innen nach außen ist jede Verbindug erlaubt, aber von außen zu Ihrem PC hin keine.
SuSE kann es noch flexibler: Im Standardumfang enthalten und über Yast zu konfigurieren ist die SuSE Linux Firewall2 (siehe Kasten "SuSE-Firewall").
| SuSE-Firewall |
|
Die SuSE-Linux-Firewall konfigurieren Sie per Yast Control Center:
Darauf erscheint ein Dialogfenster, in das Sie Ihr Root-Passwort eingeben. Sie befinden sich dann im Control Center; hier wählen Sie links Sicherheit & Benutzer, dann rechts Firewall. Die Konfiguration benötigt nun vier Schritte.
Schritt 1: Zuerst bestimmen Sie die Schnittstellen, die die Firewall absichern soll. Ein Rechner, der mit dem Internet verbunden ist, hat zumindest eine externe Schnittstelle. Haben Sie einen DSL-Anschluss, ist das meistens ppp0, bei einer ISDN-Wählverbindung wäre es ippp0. Die Standardschnittstelle für ein Modem heißt ppp0.
Die Standardkonfiguration sieht zwei Schnittstellen vor: eine für die Kommunikation nach außen, die andere ist nach innen gerichtet. Auf einem einzelnen Rechner, der nicht als Zugangsschutz für ein internes Netz dient, ist keine interne Netzwerkschnittstelle vorhanden, dieser Teil kann daher entfallen. Die Firewall sichert dann nur die eigene Kommunikation des Rechners mit dem Internet. Die folgende Beschreibung geht davon aus, dass Sie kein eigenes Netzwerk betreiben, und ignoriert die interne Schnittstelle. Schritt 2: Im nächsten Schritt müssen Sie explizit die Server-Dienste bestimmen, die auf Ihrem Rechner erreichbar sein sollen. Jeder Dienst, den Sie hier angeben, macht die Firewall durchlässiger -- Sie sollten ausschließlich die unbedingt nötigen erlauben. Wenn Sie keine Server-Dienste anbieten, müssen Sie auch keine Dienste freigeben. Eine häufig sinnvoller Server ist SSH. Damit können Sie sich im Fall der Fälle auch von einem externen Rechner aus per Secure-Shell-Verbindung einloggen. Aber auch hier gilt: Aktivieren Sie die Checkbox Secure Shell (ssh) nur, wenn Sie sie auch benötigen. Lassen Sie alle anderen Checkboxen deaktiviert und bestätigen Sie mit Weiter.
Schritt 3: Im dritten Schritt geben Sie zusätzliche Optionen an. In der Voreinstellung erlaubt die Firewall Traceroute. Das bedeutet, dass Ihr Rechner bestimmte Signale nach außen senden darf, die für ein funktionierendes Internet wichtig sind -- auch wenn daraus vielleicht ein geringfügiges Sicherheitsrisiko erwächst.
Masquerading ist nur für den Betrieb eines privaten Netzes nötig, lassen Sie diese Option deaktiviert. Die Optionen Alle laufenden Dienste schützen und vor internem Netzwerk schützen sollten Sie aktiviert lassen. Schritt 4: Im letzten Schritt wählen Sie, wie ausführlich die Firewall ihre Entscheidungen protokolliert. Hier müssen Sie einen Kompromiss finden. Einerseits gilt: Je ausführlicher das Protokoll, desto besser können Sie nachvollziehen, wer auf Ihr System zugreifen wollte. Andererseits können die Protokolldateien (etwa /var/log/warn) außerordentlich schnell wachsen.
|
| Red-Hat-Firewall |
|
Unter Red Hat Linux 8.0 (Starter Kit 1) und 9 ist eine einfache Firewall schnell aktiviert. Mit der Menüfolge Red-Hat-Menü / Systemeinstellungen / Sicherheitslevel starten Sie das grafische Firewall-Konfigurationstool. Nach der Abfrage des Root-Passworts stellt Sie das Fenster Sicherheitslevel-Konfiguration vor die Wahl: Verwenden Sie die Standard-Firewall-Regeln oder stellen Sie eigene auf.
In der Grundeinstellung ist der Sicherheitslevel des Systems hoch, alle Dienste bis auf den Secure-Shell-Zugang sind gesperrt. Das ist die empfohlene Konfiguration. Sie können dennoch Dienste selbst freigeben, wenn Sie die Checkbox Benutzerdefinieren aktivieren.
Auch wenn Sie nur eine Netzwerkkarte haben, ist diese in der Liste Sichere Geräte aufgeführt (aber nicht aktiviert). Sie dürfen sie auf keinen Fall als sicheres Gerät aktivieren, denn in diesem Fall würde die Firewall jegliche Kommunikation über diese Karte erlauben. |
Neben Server-Programmen sind auch die Clients gefährdet. Sie müssen zwar zunächst von sich aus eine Verbindung öffnen, über diesen Weg kann sie dann aber der Server angreifen. Da Web-Browser mit die am häufigsten benutzten Clients sind und über sehr viele Funktionen verfügen, ist hier die Gefahr besonders groß. Wie Sie den Mozilla-Browser durch eine vorsichtige Konfiguration schützen, lesen Sie im Artikel ab Seite 32.
Mit einer sicheren Konfiguration verringern Sie die Angriffsfläche. Je weniger potentiell gefährliche Features aktiviert sind, um so schwerer hat es ein Einbrecher, eine Lücke zu finden. Zusätzlich sollten Sie auch für Clients alle Sicherheits-Aktualisierungen einspielen, so bald sie verfügbar sind.
Dass jedes Programm fehlerhaft sein kann, hat die Secure Shell (SSH) eindrucksvoll gezeigt. Mit diesem Programm können sich Admins und Benutzer sicher auf fernen Computer einloggen. Es grenzt an eine Ironie des Schicksals, dass ausgerechnet in dieser hervorragenden Sicherheitssoftware mehrfach Lücken gefunden wurden. Andererseits zeigt dies, dass die Entwicklergemeinde solche Fehler auch findet und rasch behebt.
Die Aufgabe der SSH ist es, Remote-Logins zu schützen -- und zwar vor Angriffen auf die Verbindung. Welchen Weg ein Datenpaket durch das weltweite Netz nimmt, über welche Zwischenstationen (Router) es geleitet wird und wer dabei die Daten lesen oder verändern kann, ist kaum vorherzusagen. Und ob alle Zwischenstationen vertrauenswürdig sind, ist erst recht unklar.
Sogar in freundlich gesonnen Netzen, deren Admins keine schlechten Absichten hegen, lauern Gefahren. Schließlich könnte ein Computer-Cracker dort eingedrungen sein und sich so gut verstecken, dass die Netzbetreiber nichts bemerken. Sobald Ihre Daten Ihren Computer verlassen, sind sie potentiell gefährdet.
Bei einem Remote-Login mit einem unsicheren Verfahren wie Telnet oder Rlogin ist die Sicherheit beider Computer gefährdet -- als Abwehrtechnik benutzt die SSH kryptografische Verfahren. Unter anderem verschlüsselt es die Übertragung der Passworte (siehe Kasten "Sichere Passworte") und stellt damit sicher, dass auf dem Weg vom Client zum Server niemand dieses Geheimnis erfahren kann.
| Sichere Passworte |
|
Das beste Krypto-Protokoll und das sicherste Linux verhindern nicht, dass Benutzer versehentlich oder leichtfertig ihre Sicherheit gefährden. Passworte haben dabei zentrale Bedeutung: Sie stellen sicher, dass nur berechtigte Personen Zugriff erhalten. Wie sicher ein Passwort ist hängt davon ab, wie leicht jemand anderes dieses Geheimnis erraten kann. Der Geburtstag der Freundin oder der Name der Hauskatze sind dafür denkbar ungeeignet. Wer Passworte knacken will, setzt dafür meist Programme ein, die das Raten automatisieren. Sie benutzen umfangreiche Wortlisten in verschiedenen Sprachen, zusammen mit Regeln, wie man die Worte zusammensetzt oder Teile von ihnen durch Zahlen oder Sonderzeichen ersetzt. Die Programme probieren auch zufällige Buchstaben- und Zahlenkombinationen. Um das Raten so schwer wie möglich zu machen, darf ein Passwort nicht zu kurz sein. Die meisten Unix- und Linux-Systeme erlauben nur acht Stellen, das sollten Sie dann aber auch ausnutzen. Besonders die Anzahl unterschiedlicher Zeichen spielt eine wichtige Rolle: Mischen Sie Groß- und Kleinbuchstaben, verwenden Sie Zahlen und Sonderzeichen wie #, <, >, _, =, (, ) usw. Verzichten Sie aber auf Zeichen, die nicht auf jeder Tastatur vorhanden sind: Das Euro-Zeichen ist hier kritisch, die Zeichen & und @ bereiten wegen ihrer Sonderbedeutung manchmal Ärger. Bei aller Vielfalt und Zufälligkeit müssen Sie sich Ihr Passwort aber doch noch merken können. Gern benutzt werden dazu so genannte Eselsbrücken, als Merkhilfen, die Sie aber ebenso geheim halten müssen wie das Passwort selbst. Verwenden Sie Ihr Passwort immer nur für eine Aufgabe. Das Passwort für den Login in ein Web-Forum sollte auf gar keinen Fall das gleiche sein wie für Ihren Root-Account. Ändern Sie Ihr Passwort gelegentlich -- falls es doch einmal in die falschen Hände geraten sollte, begrenzen Sie damit den möglichen Schaden. |
Der Schutz von Geheimnissen ist auch das Anliegen von GnuPG, dem GNU Privacy Guard. Dieses Programm verschlüsselt Dateien und E-Mails und sorgt dafür, dass der Empfänger einer E-Mail prüfen kann, ob die Absender-Adresse gefälscht ist und ob unterwegs jemand den Inhalt manipuliert hat.
Vollautomatisch kann dies allerdings nicht funktionieren: Das Programm weiß nicht, wem Sie vertrauen, ob "Hans-Georg Eßer" wirklich so heißt und wenn ja, ob es der selbe Eßer ist, den Sie vielleicht kennen. Mit anderen Worten: Sie müssen selbst einige Entscheidungen treffen und dem Programm mitteilen. Das ist aber nicht schwer und wird in folgenden drei Artikeln erklärt.
Der erste Beitrag zeigt einige Grundlagen von GnuPG und dem grafischen Hilfsprogramm Kgpg; zusätzliches Guru-Wissen über die Kommandozeilen-Version finden Sie ab Seite 21. GnuPG ist auch in die E-Mail-Programm KMail (Seite 26) und Evolution (Seite 28) integriert.
Mit Linux benutzen Sie eine solide Basis, die sich gegen Eindringlinge aus dem Untergrund der Datennetze wehrt. Ihre Mithilfe vorausgesetzt, ist diese Abwehr auch sehr erfolgreich: So gilt Linux zu Recht als sicheres Betriebssystem mit verantwortungsvollen Benutzern.
| Infos |
|
[1] Makro-Viren (englisch): http://www.plethora.net/~seebs/ops/ibm/cranky18.html
[2] Geschichte der CERTs: http://www.cert.org/encyc_article/tocencyc.html [3] DFN-Cert: http://www.dfn-cert.de [4] Linux-Community: http://www.linux-community.de/ [5] Ramen-Wurm: http://www.linux-community.de/story?storyid=848 [6] Lion-Wurm: http://www.linux-community.de/story?storyid=1196 |
Dieser Online-Artikel kann Links enthalten, die auf nicht mehr vorhandene Seiten verweisen. Wir ändern solche "broken links" nur in wenigen Ausnahmefällen. Der Online-Artikel soll möglichst unverändert der gedruckten Fassung entsprechen.
Druckerfreundliche Version |
Feedback zu dieser Seite |
Datenschutz |
© 2012 Linux New Media AG |
Last modified: 2007-01-25 16:24
[Linux-Magazin]
[LinuxUser]
[Linux-Community]
[Admin-Magazin]
[Ubuntu User]
[Smart Developer]
[Linux Events]
[Linux Magazine]
[Ubuntu User]
[Admin Magazine]
[Smart Developer]
[Linux Magazine Poland]
[Linux Community Poland]
[Linux Magazine Brasil]
[Linux Magazine Spain]
[Linux Technical Review]
