 |
|
|
|
|
|
|
|||||||||||
|
|||||||||||
|
|||||||||||
|
|||||||||||
|
|||||||||||
| Home / Artikel / ausgabe / 2005 / 01 | |||||||||||
|
 |
|
||
|
Home | ||
|
|||
|
Suchen: |
||
|
|||
|
|
||||||||||||||||||||
|
|
||||||||||||||||||||
|
|
||||||||||||||||||||
|
|||||||||||||||||||||
von Achim Leitner
Vielleicht kennen Sie die platte Aussage "Linux ist nur deshalb sicherer als Windows, weil es viel weniger Benutzer hat". Die Behauptung ist in dieser Form zwar falsch, dennoch stecken zwei Körnchen Wahrheit in ihr:
Fehlbedienungen sind aber keine Domäne von Laien. Möchtegern-Profis experimentieren noch mutiger und wissen auch nicht immer, welche Folgen das nach sich zieht. Auch war Linux als Unix-ähnliches System immer schon ein attraktives Angriffsziel. Es muss also weitere Gründe geben, warum Linux vor Viren-Epidemien verschont bleibt. Dennoch gibt es gefährliche Schädlinge, die Linux-Systeme befallen: Beispielsweise Würmer oder direkte Angriffe von Crackern. Das verhindert kein Virenscanner.
Um sich wirksam zu schützen, hilft es, die Hintergründe und Zusammenhänge zu kennen. Angst und Panik sind ebenso falsch wie völlige Sorglosigkeit: Selbst wenn Sie keine wertvollen Daten auf ihrem PC haben, sollten Sie ihn gegen Angriffe sichern. Und sei es nur, um falsche Verdächtigungen zu vermeiden: Sollte ein Internet-Pirat Ihren Rechner entern und von dort aus die Deutsche Bank attackieren, dann wird der Staatsanwalt erst einmal gegen Sie ermitteln.
Die bekannteste Form von Software-Schädlingen (Malware) sind Viren. Sie verändern ein vorhandenes Programm und sorgen dafür, dass jeder Start dieses Programms auch den Virencode ausführt. Die Technik funktioniert zwar unter Linux, wie einige wenige real existierende Viren beweisen, eine Epidemie ist aber weitgehend ausgeschlossen.
Um sich weiter zu verbreiten, infiziert ein Virus andere Programme, die er auf der Festplatte findet. Unter älteren Windows-Versionen hat es dabei freie Hand, Linux bremst Viren aber aus. So lange Sie als normaler User und nicht als Root arbeiten, dürfen die Programme und damit auch die Viren System-Software und keine fremden Programmdateien überschreiben.
Dem Virus fehlt damit ein geeigneter Ausbreitungsweg. Dazu kommt, dass sich Linux-Anwender kaum gegenseitig Programme zuschicken, wie es unter Windows-Usern üblich ist. Daran wird sich künftig nichts ändern: Wenn die Programme frei verfügbar sind, sind Warez (Raubkopien) uninteressant.
Ihre eigenen Dateien sind zwar theoretisch durch Viren gefährdet, in der Praxis ist diese Gefahr aber gering. Selbst wenn jemand einen Virus verbreiten wollte, sind Sie dem nicht wehrlos ausgeliefert. So lange Sie als Linux-Anwender keine Programme starten, die aus dunklen Quellen stammen, findet kein Virus den Weg auf Ihren Rechner.
Makro-Viren funktionieren ähnlich. Sie befallen aber keine Programme, sondern Dokumente. Es sind durchaus Viren denkbar, die sich in Open-Office-Dateien einnisten und sich so verbreiten. Allerdings warnt Open Office den Benutzer, bevor es ein Makro aus einer unbekannten Quelle ausführt. Welche Quellen als bekannt und sicher gelten, können Sie selbst bestimmen (Abbildung 1). Voreingestellt sind (hier unter SuSE 9.1) als Pfadliste das Verzeichnis OpenOffice.org1.1/user in Ihrem Home-Verzeichnis (hier speichert OpenOffice per Default neue Dokumente) und das globale Verzeichnis /opt/OpenOffice.org.
Wenn Sie ein Dokument öffnen, das Makros enthält aber sich außerhalb diese Pfadliste im Dateisystem befindet, dann fragt Open Office nach, bevor es das Makro ausführt. So behalten Sie die Kontrolle -- seien Sie aber vorsichtig und klicken nicht unüberlegt auf Ja-Ich-Will-Makros-Ausführen-Schaltflächen. So lange Sie keine fremden Open-Office-Dateien öffnen und die darin enthaltenen Makros absichtlich zulassen, kann auch kein Virus Ihre Dateien befallen. Word-Makro-Viren haben sowieso keine Chance, da Open Office keine Microsoft-Makros (weder Word Basic noch VBA) ausführt.
Makro-Viren sind unter Unix alte Bekannte. Bereits sehr frühe Versionen des Editor-Klassikers vi kannten die so genannte Modeline, eine speziell formatierte Zeile im Text, deren Inhalt vom Editor interpretiert wird. Neuere Versionen lösen das Problem an seiner Wurzel: nvi ignoriert die Modeline vollständig und vim führt nur unbedenkliche Befehle aus.
Diese Strategien verfolgen die meisten Open-Source-Entwickler. Statt darauf zu hoffen, dass Anti-Viren-Hersteller rechtzeitig Gegenmittel gegen neu entdeckte Viren entwickeln, verhindern sie lieber, dass sich ein Virus überhaupt ausbreitet. Das gelingt ihnen auch sehr gut.
Die nächste Schädlingsart, die ihr Unwesen in Computernetzen treibt, sind Würmer. Im Gegensatz zu Viren benötigen sie kein Wirtsprogramm, sie sind selbständig lauffähig und breiten sich auch selbständig aus. Dazu missbrauchen sie fremde Programme und deren Sicherheitslücken. Der bekannteste Wurmträger ist wohl das E-Mail-Programm Outlook unter Windows.
Ein typischer E-Mail-Wurm versendet sich an alle Personen aus dem Adressbuch. Dem Empfänger schadet das nur, wenn er sorglos den E-Mail-Anhang öffnet oder wenn der Wurm eine Sicherheitslücke des Mail-Programms ausnutzt. Beides könnte auch unter Linux geschehen. Aber die Hürden, die sich dem Wurm in den Weg stellen, sind zahlreicher und höher:
Dennoch gilt unter Linux ebenso wie unter Windows: Öffnen Sie keine Anhänge von suspekten E-Mails. Und vor allem: Starten Sie keine unerwartet eintreffenden Programme. Damit würden Sie einen eventuellen Wurm selbst in ihren Rechner einsetzen. Der hätte dann zwar immer noch nicht die volle Kontrolle über den Computer, weil Sie ja als normaler Benutzer und nicht als Root arbeiten, dennoch bereitet der Schädling Ärger.
Ob ein Programm schädlich ist oder nicht lässt sich nur sehr schwer feststellen. Bei einem einfachen E-Mail-Wurm ist die Sachlage noch recht eindeutig. Manche bösartigen Funktionen verstecken sich aber gut getarnt in harmlos wirkenden Programmen. Diese Kategorie heißt trojanisches Pferd.
Oft weiß nicht einmal der Programmierer von den verborgenen Programmteilen in seiner Software. Eventuell hat ein Angreifer den Computer des Entwicklers geknackt und unbemerkt Zusatzfunktionen in seine Software eingefügt. In anderen Fällen ist es der Autor selbst, der dunkle Ziele verfolgt. Bei Open-Source-Software stehen die Chancen aber gut, dass andere Entwickler verborgene Fallen aufdecken und die Linux-Gemeinde warnen. Die Erfahrung zeigt, dass dies sehr schnell klappt.
Viele Linux-Distributoren beschäftigen mehrere Entwickler damit, Programme zu untersuchen und Schwachstellen, Sicherheitslücken und Hintertüren aufzuspüren. Hier bewährt sich Open Source: Den Sicherheitsspezialisten liegt der komplette Quellcode vor, sie können jede Zeile untersuchen. Die Schwierigkeit ist, jede Zeile auch zu verstehen und richtig zu beurteilen.
Es mag paradox erscheinen, aber die unter Linux typische Vielfalt (viele Programme für die gleiche Aufgabe) erhöht zusätzlich die Sicherheit. Die Lücken-Jäger haben dadurch zwar mehr Arbeit, da sie mehr Programme auf Fehler durchforsten müssen. Das selbe Problem trifft auch die bösen Buben, die dann im Ernstfall weniger Opfer vorfinden als wenn jeder Computer mit der identischen Software ausgestattet wäre.
Linux blieb bislang auch von der Plage der Dialer-Programme verschont. Diese ändern mehr oder weniger heimlich die Einwahlnummer ins Internet. Wer per ISDN oder Modem online geht, zahlt dann eine wesentlich höhere Verbindungsgebühr. Diese Programme müssten sich unter Linux erst Root-Rechte verschaffen, um die Einwahlnummer zu ändern. Und sie müssten für die verschiedenen Distributionen und Einwahltechniken die jeweils passenden Stellen im System ändern.
Die Hürden sind für Dialer-Programme schwer zu nehmen, gänzlich unmöglich sind solche Angriffe auf Ihren Geldbeutel aber nicht. Ein gesundes Misstrauen gegenüber obskuren Wunderprogrammen, Internet-Beschleunigern und ähnlichen Software-Trickkisten aus dunklen Quellen bewahrt Sie vor unangenehmen Überraschungen.
Bei den erwähnten E-Mail-Schädlingen handelt es sich nur eine mögliche Wurm-Variante. Andere Artgenossen wühlen sich über beliebige Verfahren durch das Netz und nisten in ihren Opfern. Bereits 1988, noch bevor Linux die Unix-Welt betrat, schockierte einer dieser Netzkiller die Fachwelt: Der Morris-Wurm, auch Internet-Wurm genannte, legte weite Teile des damals noch überschaubaren Internet lahm.
Er hatte zwar keine gewollte Schadensfunktion, aber allein durch seine Ausbreitung überlastete er viele Sun- und Dec-Workstations. Binnen kurzer Zeit waren die Computer und deren Administratoren nur noch mit dem Wurm beschäftigt. Um sich zu verbreiten, nutzte er mehrere Sicherheitslücken, die durch Programmierfehler in Server-Programmen entstanden.
Dieser mehrere Tage dauernde Vorfall führte unter anderem zur Gründung von Computer-Notfall-Teams (CERT, Computer Emergency Response Team) [2]. Diese Organisationen sorgen im Ernstfall dafür, dass sich die Verantwortlichen der einzelnen Netze auch ohne E-Mail und WWW verständigen können und helfen bei der Reaktion auf Computer-Einbrüche, sie sammeln und organisieren aber auch die berühmten CERT-Advisories. Diese Meldungen informieren über neue Sicherheitslücken und wie man sie behebt. Die übersetzten Texte eines der deutschen CERTs [3] lesen Sie unter anderem auf der Linux-Community [4].
Die Advisories zeigen, dass es unter Linux -- trotz seiner guten Sicherheitseigenschaften -- durchaus auch Schwächen gibt. Es handelt sich dabei meist um Programmierfehler, manchmal auch um unsichere Konfiguration oder eine untaugliche Architektur. Dann heißt es: Löcher stopfen, meist durch das Aktualisieren des betroffenen Programmpakets.
Beim Aktualisieren helfen Ihnen die modernen Distributionen. Deren Online-Update-Funktion sagt Ihnen, wenn es für ein installiertes Paket eine neue Version gibt. Ist die Ursache eine Sicherheitslücke, dann sollten Sie das Update möglichst rasch einspielen. Wie das funktioniert steht im letzten EasyLinux [7].
Heikel sind vor allem Sicherheitslücken in einem Server-Programm. Dieses Stück Software wartet darauf, dass sich ein anderes Programm (ein Client) mit ihm in Verbindung setzt (siehe Abbildung 2). Ein typischer Server ist zum Beispiel Apache (Web-Server), dazu passen Mozilla oder Konqueror als Client.
Über das Internet kann sich jeder mit einem Server verbinden und sein Unwesen treiben. Als Täter kommen Menschen mit dunklen Absichten in Frage (meist als Cracker tituliert) oder ein Stück Software -- letzteres zählt als weitere Wurmvariante. Zu großer Verbreitung gebracht haben es Ramen und Lion. Der Ramen-Wurm [5] griff 2001 den Wu-FTP-Server an, während der Lion-Wurm [6] eine Sicherheitslücke im DNS-Server Bind nutzte. In beiden Fällen waren die Lücken bereits länger bekannt, nur hatten die Betreiber vieler Unix- und Linux-Computer die Updates nicht eingespielt.
Um sich vor groß angelegten Angriffswellen zu schützen, verwenden viele Netze so genannte Firewalls (Abbildung 2). Diese Schutzwälle lassen nur Datenpakete durch, die bestimmten Kriterien genügen. Diese Kriterien aufzustellen ist bei großen Firewalls eine komplexe Aufgabe: Welcher Computer darf mit welchem anderen kommunizieren, welche Protokolle dürfen sie hierfür verwenden, zu welchen Uhrzeit ist was erlaubt -- die möglichen Einstellungen sind enorm umfangreich.
Eines ist allen Firewall gemein: Wenn sie eine Verbindung zulassen, dann müssen sich weiterhin die Client- und Server-Programme selbst schützen. Der beste Schutz ist, nur die wirklich benötigten Server zu installieren und zu starten. Firewalls verhindern aber, dass ein Server versehentlich seine Dienste dem Internet bereitstellt.
Im Markt der Firewalls spielt Linux inzwischen eine wichtige Rolle. Ob als selbst installiertes System oder fertig gekaufte Appliance -- Linux schützt heute viele Netze vor den Gefahren des Internet. Diese Technik können Sie aber auch daheim einsetzen, um Ihren Computer mit einer zusätzlichen Verteidigungslinie auszustatten.
Die einfachste Form sind Host-basierte Firewalls. Sie regeln, welche Datenpakete auf den Computer gelangen und welche ihn verlassen dürfen. Wie umfangreich und kompliziert der nötige Regelsatz ausfällt hängt davon ab, wofür Sie Ihr Linux einsetzen. Eine pauschale Empfehlung für korrekte Firewall-Regeln ist daher unmöglich.
Es gibt aber eine verbreiteten Anwendungsfall: Wenn Sie Ihren Rechner ausschließlich als Client-System einsetzen und keine Server betreiben, dann verbieten Sie einfach jede Verbindung vom Internet zu Ihrem Computer und erlauben in umgekehrter Richtung jede Kommunikation. Das schützt Sie zuverlässig, falls ein Programmpaket ohne Ihr Wissen einen Server-Dienst installiert oder Sie versehentlich einen Server starten.
Unter SuSE Linux haben Sie die Wahl zwischen mehreren Firewall-Varianten. Am einfachsten ist die SuSE Personal zu bedienen: Beim Einrichten Ihres Internet-Zugangs im Yast Control Center unter Netzwerk/Basis / Konfiguration von DSL aktivieren Sie die Checkbox Firewall aktivieren (Abbildung 3). Dann regelt die Firewall die gesamte Kommunikation, die über diese Schnittstelle läuft: Von innen nach außen ist jede Verbindung erlaubt, aber von außen zu Ihrem PC hin keine.
SuSE kann es noch flexibler: Im Standardumfang enthalten und über Yast zu konfigurieren ist die SuSE Linux Firewall2 (siehe Kasten "SuSE-Firewall"). Das Ergebnis der Mühe ist in Abbildung 4a und 4b zu bewundern: Der Sicherheitsscanner Nmap findet nur noch den (erwünschten) SSH-Dienst.
Wenn Sie den Zugriff von außen auf Ihren Rechner untersagen, dann verhindern Sie damit eventuell auch gewünschte Funktionen. Zum Beispiel bei File-Sharing-Programmen: Diese wollen für gewöhnliche selbst Server-Dienste anbieten. Da die Firewall das untersagt bewertet das File-Sharing-Netz Sie schlechter oder sperrt Sie sogar aus.
| SuSE-Firewall |
|
Die SuSE-Linux-Firewall konfigurieren Sie per YaST Control Center. Wählen Sie dazu K-Menü / System / YaST. Darauf erscheint ein Dialogfenster, in das Sie Ihr Root-Passwort eingeben müssen. Sie befinden sich dann im Control Center; hier wählen Sie links Sicherheit & Benutzer, dann rechts Firewall. Die folgende Beschreibung gilt für SuSE Linux 9.1; wo Version 9.0 abweicht, sind die Unterschiede extra genannt. Zuerst bestimmen Sie die Schnittstellen, die die Firewall absichern soll (Abbildung 5a). Ein Rechner, der mit dem Internet verbunden ist, hat zumindest eine externe Schnittstelle. Verwenden Sie einen DSL-Anschluss, ist das meist ppp0, bei einer ISDN-Wählverbindung wäre es ippp0. Die Standardschnittstelle für ein Modem heißt ppp0. Unter SuSE 9.1 tragen Ethernet-Schnittstellen eine längliche Kennung wie eth-id-00:d0:b.... Bei SuSE 9.0 ist der Name der ersten Netzwerkkarte einfach eth0. Da YaST die Namen in einer Auswahlliste bereitstellt, müssen Sie sich die Bezeichnungen nicht merken. Die Standardkonfiguration sieht zwei Schnittstellen vor: eine für die Kommunikation nach außen, die andere ist nach innen gerichtet. Auf einem einzelnen Rechner, der nicht als Zugangsschutz für ein internes Netz dient, ist keine interne Netzwerkschnittstelle vorhanden, dieser Teil kann daher entfallen. Die Firewall sichert dann nur die eigene Kommunikation des Rechners mit dem Internet. Die folgende Beschreibung geht davon aus, dass Sie kein eigenes Netzwerk betreiben und ignoriert daher die interne Schnittstelle. Im nächsten Schritt (Abbildung 5b) müssen Sie explizit die Server-Dienste bestimmen, die auf Ihrem Rechner erreichbar sein sollen. Jeder Dienst, den Sie hier angeben, macht die Firewall durchlässiger -- Sie sollten ausschließlich die unbedingt nötigen erlauben. Wenn Sie keine Server-Dienste anbieten, müssen Sie auch keine Dienste freigeben. Sinnvoller ist oft SSH, damit können Sie sich im Fall der Fälle auch von einem externen Rechner aus per Secure-Shell-Verbindung einloggen. Auch hier gilt: Aktivieren Sie die Checkbox Secure Shell (ssh) nur, wenn Sie sie auch benötigen. Lassen Sie alle anderen Checkboxen deaktiviert und bestätigen Sie mit Weiter. Nun geben Sie zusätzliche Optionen an. Zur Auswahl stehen:
Der letzte Punkt fehlte unter SuSE 9.0 noch. Das Masquerading ist nur für den Betrieb eines privaten Netzes nötig, lassen Sie diese Option deaktiviert. Bestätigen Sie danach wieder mit Weiter. Im letzten Schritt wählen Sie, wie ausführlich die Firewall ihre Entscheidungen protokolliert. Hier müssen Sie einen Kompromiss finden. Einerseits gilt: Je ausführlicher das Protokoll, desto besser können Sie nachvollziehen, wer auf Ihr System zugreifen wollte. Andererseits wachsen die Protokolldateien außerordentlich schnell, wenn Sie alle Pakete protokollieren. Das ist nur für Tests sinnvoll; in der Regel genügt es vollkommen, kritische Pakete zu protokollieren. |
| Fedora-Firewall |
|
Unter Fedora Code ist eine einfache Firewall schnell aktiviert. Mit der Menüfolge K-Menü / Systemeinstellungen / Sicherheitslevel starten Sie das grafische Firewall-Konfigurationstool. Nach der Abfrage des Root-Passworts stellt Sie das Fenster Sicherheitslevel-Konfiguration (Abbildung 6) vor die Wahl: Welche Dienste (Services) sollen erreichbar sein? Die empfohlene Einstellung lautet, alle Dienste bis auf den Secure-Shell-Zugang zu sperren. Sie können auf Wunsch weitere Dienste freigeben. Auch wenn Sie nur eine Netzwerkkarte haben, ist diese in der Liste Sichere Geräte aufgeführt (aber nicht aktiviert). Sie dürfen sie auf keinen Fall als sicheres Gerät aktivieren, denn in diesem Fall würde die Firewall jegliche Kommunikation über diese Karte erlauben. |
| Mandrake-Firewall |
|
Die Firewall-Einstellungen von Mandrake Linux 9.2 finden Sie im Mandrake-Kontrollzentrum. Das erreichen Sie per K-Menü / Einstellungen / Configure your Computer. Der Computer verlangt darauf Ihr Root-Passwort. Haben Sie es eingegeben, wählen Sie im Menü am linken Rand des Kontrollzentrums den Eintrag Sicherheit, danach rechts das Werkzeug DrakFirewall. Es erscheint die Firewall-Konfiguration (Abbildung 7a) Die Firewall ist per Default abgeschaltet. Entfernen Sie das Häkchen vor Alles (Keine Firewall) und erlauben Sie maximal SSH. Nach dem Klick auf OK sollte eigentlich die Shorewall starten. Das ist das Programmpaket, das Mandrake hinter den Kulissen für die Firewall-Konfiguration nutzt. Dieses Paket fehlt per Default aber; DrakeFirewall bemerkt dies auch und versucht, das Paket nachträglich von CD zu installieren. In einigen Versuchen stellte sich aber heraus, dass diese Installation versagte. Sie können der Firewall aber manuell auf die Sprünge helfen: Wählen Sie im Mandrake-Kontrollzentrum Software verwalten / RpmDrake und geben als Suche den Text Shorewall ein (Abbildung 7b), aktivieren das abgebildete Paket und klicken auf Installieren. Nach dieser Hilfsaktion funktioniert die Mandrake-Firewall klaglos. |
Neben Server-Programmen sind auch die Clients gefährdet. Sie müssen zwar zunächst von sich aus eine Verbindung öffnen, über diesen Weg kann sie dann aber der Server angreifen. Mit einer sicheren Konfiguration verringern Sie die Angriffsfläche. Je weniger potentiell gefährliche Features aktiviert sind, um so schwerer hat es ein Einbrecher, eine Lücke zu finden. Zusätzlich sollten Sie auch für Clients alle Sicherheits-Aktualisierungen einspielen, sobald sie verfügbar sind.
Dass jedes Programm fehlerhaft sein kann, hat die Secure Shell (SSH) eindrucksvoll gezeigt. Mit diesem Programm können sich Admins und Benutzer sicher auf fernen Computer einloggen. Es grenzt an Ironie des Schicksals, dass ausgerechnet in dieser hervorragenden Sicherheitssoftware mehrfach Lücken gefunden wurden. Andererseits zeigt dies, dass die Entwicklergemeinde solche Fehler findet und rasch behebt.
Die Aufgabe der SSH ist es, Remote-Logins zu schützen -- und zwar vor Angriffen auf die Verbindung. Welchen Weg ein Datenpaket durch das weltweite Netz nimmt, über welche Zwischenstationen (Router) es geleitet wird und wer dabei die Daten lesen oder verändern kann, ist kaum vorherzusagen.
Sogar in freundlich gesonnen Netzen, deren Admins keine schlechten Absichten hegen, lauern Gefahren. Schließlich könnte ein Computer-Cracker dort eingedrungen sein und sich so gut verstecken, dass die Netzbetreiber nichts bemerken. Sobald Ihre Daten Ihren Computer verlassen, sind sie potentiell gefährdet.
Bei einem Remote-Login mit einem unsicheren Verfahren wie Telnet oder Rlogin ist die Sicherheit beider Computer gefährdet -- als Abwehrtechnik benutzt die SSH kryptografische Verfahren. Unter anderem verschlüsselt es die Übertragung der Passwörter (siehe Kasten "Sichere Passwörter") und stellt damit sicher, dass auf dem Weg vom Client zum Server niemand dieses Geheimnis erfährt.
| Sichere Passwörter |
|
Das beste Krypto-Protokoll und das sicherste Linux verhindern nicht, dass sich Benutzer versehentlich oder leichtfertig in Gefahr begeben. Passwörter haben dabei zentrale Bedeutung. Sie stellen sicher, dass nur berechtigte Personen Zugriff erhalten. Wie sicher ein Passwort ist hängt davon ab, wie leicht jemand anderes dieses Geheimnis errät. Das Geburtsdatum der Freundin oder der Name der Hauskatze sind denkbar ungeeignet. Wer Passwörter knacken will, setzt dafür meist Programme ein, die das Raten automatisieren. Die Software benutzt umfangreiche Wortlisten in verschiedenen Sprachen, zusammen mit Regeln, wie man die Wörter zusammenfügt oder Teile von ihnen durch Zahlen oder Sonderzeichen ersetzt. Die Programme probieren auch zufällige Buchstaben- und Zahlenkombinationen. Um das Raten so schwer wie möglich zu machen, darf ein Passwort nicht zu kurz sein. Die meisten Unix- und Linux-Systeme erlauben leider nur acht Stellen. Sie sollten diese Länge ausnutzen und auf keinen Fall weniger als sieben Zeichen, besser acht, verwenden. Besonders die Anzahl unterschiedlicher Zeichen ist wichtig: Mischen Sie Groß- und Kleinbuchstaben, verwenden Sie Zahlen und Sonderzeichen wie #, <, >, _, =, (, ) usw. Verzichten Sie aber auf Zeichen, die nicht auf jeder Tastatur vorhanden sind: Das Euro-Zeichen ist hier kritisch, auch & und @ bereiten wegen ihrer Sonderbedeutung manchmal Ärger. Bei aller Vielfalt und Zufälligkeit müssen Sie sich Ihr Passwort aber noch merken können. Gern benutzt werden dazu so genannte Eselsbrücken, die Sie aber ebenso geheim halten müssen wie das Passwort. Als Merkhilfen nehmen viele User die Anfangsbuchstaben von jedem Wort in einem Satz. Aber Achtung: Auch dieser Satz muss schwer zu erraten sein! Und die genannten Regeln für gute Passwörter gelten weiter. Verwenden Sie Ihr Passwort immer nur für eine einzige Aufgabe. Das Passwort für den Login in ein Web-Forum sollte auf keinen Fall das gleiche sein wie für Ihren Root-Account. Sie wissen nicht, wem das im Web benutzte Passwort in die Hänge fällt. Gelegentlich landen diese Geheimnisse sogar wieder in Wortlisten für Passwort-Cracker. Dann ist das beste Passwort wertlos. Ändern Sie Ihr Passwort gelegentlich. Falls es doch einmal in die falschen Hände geraten sollte, begrenzen Sie damit den möglichen Schaden. |
Mit Linux benutzen Sie eine solide Basis, die sich gegen Eindringlinge aus dem Untergrund der Datennetze wehrt. Ihre Mithilfe vorausgesetzt, ist diese Abwehr auch sehr erfolgreich: So gilt Linux zu Recht als sicheres Betriebssystem mit verantwortungsvollen Benutzern. (fjl)
| Infos |
|
[1] Makro-Viren (englisch): http://www.plethora.net/~seebs/ops/ibm/cranky18.html
[2] Geschichte der CERTs: http://www.cert.org/encyc_article/tocencyc.html [3] DFN-Cert: http://www.dfn-cert.de [4] Linux-Community: http://www.linux-community.de/ [5] Ramen-Wurm: http://www.linux-community.de/story?storyid=848 [6] Lion-Wurm: http://www.linux-community.de/story?storyid=1196 [7] Achim Leitner, "Patches, Updates und Advisories -- so bleibt Linux sicher": EasyLinux 12/2004, S. 34 |
Dieser Online-Artikel kann Links enthalten, die auf nicht mehr vorhandene Seiten verweisen. Wir ändern solche "broken links" nur in wenigen Ausnahmefällen. Der Online-Artikel soll möglichst unverändert der gedruckten Fassung entsprechen.
Druckerfreundliche Version |
Feedback zu dieser Seite |
Datenschutz |
© 2012 Linux New Media AG |
Last modified: 2007-04-05 11:10
[Linux-Magazin]
[LinuxUser]
[Linux-Community]
[Admin-Magazin]
[Ubuntu User]
[Smart Developer]
[Linux Events]
[Linux Magazine]
[Ubuntu User]
[Admin Magazine]
[Smart Developer]
[Linux Magazine Poland]
[Linux Community Poland]
[Linux Magazine Brasil]
[Linux Magazine Spain]
[Linux Technical Review]