Beruflich Dokumente
Kultur Dokumente
1 Seite 1
7/3 Linux-System
härten – sichere
Netzwerkdienste
Zunächst gilt es, sich einen Überblick über die aktuell verfüg- Portscanner Nmap
baren Dienste zu verschaffen. In vielen Linux-Distributionen
wird automatisch ein Web-Server gestartet, oder ein FTP-
Dämon läuft, ohne dass er vom Administrator eingerichtet
wurde. Diese nicht konfigurierten Dienste sind potenzielle
Angriffspunkte für einen Hacker. Der Portscanner Nmap
zeigt alle Netzwerkdienste an.
5
Teil 7/3.1 Seite 2 Linux-System härten – sichere Netzwerkdienste
Internet-Dämon inetd
5
Teil 7/3.2 Seite 2 Linux-System härten – sichere Netzwerkdienste
Internet-Dämon inetd
Prüfen Sie den durch Nmap erstellten Report genau und ent-
scheiden Sie, welche Netzwerkdienste Sie wirklich benöti-
gen. So kann z. B. der unsichere Telnet-Zugang deaktiviert
werden, wenn der Zugriff über sichere SSH-Verbindungen
möglich ist. Die Konfiguration der angebotenen Dienste
sollte nach dem Grundsatz erfolgen: Ein Linux-Rechner stellt
im Netzwerk nur die Dienste zur Verfügung, die für den Be-
trieb notwendig sind und durch andere Server oder die An-
wender genutzt werden.
• inetd-Konfiguration anpassen
• Berechtigungsdateien erstellen
• Protokollierung festlegen
• Inetd neu starten
5
Teil 7/3.3 Seite 2 Linux-System härten – sichere Netzwerkdienste
die Zeile
Hinweis Laden Sie die neue inetd-Konfiguration erst, wenn Sie sämt-
liche Konfigurationsschritte des TCP-Wrappers abgeschlos-
sen haben, da Sie sich sonst unter Umständen selbst von Ih-
rem System aussperren!
Dienst-Liste: Client-Liste
Wildcard Bedeutung
ALL Trifft auf alles zu und ist universell ein-
setzbar.
LOCAL Entspricht allen Hostnamen, die keinen
Punkt enthalten.
KNOWN Entspricht allen Benutzern und Hosts,
deren Name identifiziert werden kann.
UNKNOWN Entspricht allen Benutzern und Hosts, de-
ren Name nicht identifiziert werden kann.
Beachten Sie, dass bei der Angabe einer Domain-Adresse der Hinweis
Punkt vor dem Namen mit anzugeben ist.
5
Teil 7/3.3 Seite 4 Linux-System härten – sichere Netzwerkdienste
Tipp Gehen Sie bei der Regeldefinition sorgfältig vor. Testen Sie
ihre selbst erstellte Konfiguration vor der Aktivierung mit den
TCP-Wrapper-Dienstprogrammen tcpdchk und tcpdmatch.
5
Teil 7/3.4 Seite 2 Linux-System härten – sichere Netzwerkdienste
defaults
{ log_type = FILE /var/log/xinetd.log
log_on_success = HOST EXIT DURATION
log_on_failure = HOST ATTEMPT RECORD
only_from = localhost 192.168.1.0
instances = 2
enabled = ftp
disabled = rstatd
}
5
Teil 7/3.4 Seite 4 Linux-System härten – sichere Netzwerkdienste
kill -s 12 <xinetd-PID>
Linux-System härten – sichere Netzwerkdienste Teil 7/3.5.1 Seite 1
Anwendungen wie rsh und rlogin erlauben den Zugriff auf Rsh & Co.
einen entfernten Linux-Recher, um dort eine Shell zu starten
oder direkt Befehle auszuführen. Erlangt ein Unbefugter auf
diese Weise Zugriff auf das Linux-System, kann großer
Schaden entstehen. Ein einfacher Weg, diesen Angriffspunkt
zu schützen, ist das Abschalten der Dienste login und shell in
der inetd- bzw. xinetd-Konfiguration. Kann man auf diese
Dienste nicht verzichten, sollten die folgenden Sicherheits-
maßnahmen beachtet werden.
5
Teil 7/3.5.1 Seite 2 Linux-System härten – sichere Netzwerkdienste
Versteckte Passwörter
5
Teil 7/3.6 Seite 2 Linux-System härten – sichere Netzwerkdienste
Passwort-Konventionen
Passwort ändern Um sein Passwort zu ändern, ruft ein Benutzer das Komman-
do passwd auf.
Linux-System härten – sichere Netzwerkdienste Teil 7/3.6 Seite 3
Konfigurationseintrag Bedeutung
PASS_MIN_DAYS Minimale Anzahl von Tagen, die bis zur Pass-
wortänderung vergehen müssen.
PASS_MAX_DAYS Maximale Anzahl von Tagen, die ein Passwort
gültig ist.
PASS_WARN_AGE Anzahl der Tage, die der Benutzer im Voraus
gewarnt wird, bevor sein Passwort ungültig wird.
PASS_CHANGE_TRIES Anzahl der maximal fehlgeschlagenen Versuche,
bis passwd automatisch abbricht.
PASS_MIN_LEN Minimale Passwortlänge
PASS_MAX_LEN Maximale Passwortlänge. Wird der herkömmliche
DES-Algorithmus verwendet, ist maximal eine
Länge von 8 Zeichen möglich. Erst mit dem Ein-
satz von MD5 werden bis zu 256 Zeichen lange
Passwörter unterstützt.
OBSCURE_CHECKS_ENAB Ist dieser Wert auf true gesetzt, wird das neue
Passwort erst akzeptiert, wenn die Passwortlän-
ge den Anforderungen genügt.
MD5_CRYPT_ENAB Mit dem Wert Yes belegt, wird an Stelle des
DES-Verfahrens der MD5-Algorithmus zur Pass-
wortverschlüsselung verwendet.
5
Teil 7/3.6 Seite 4 Linux-System härten – sichere Netzwerkdienste
Login-Einstellungen
Steuerung des Neben den Optionen für die Passworterstellung erlaubt log-
Login-Prozesses in.defs eine Reihe von Einstellungen für den Login-Prozess.
Konfigurationseintrag Bedeutung
CONSOLE Zeigt auf eine Datei, in der die Konsolen angegeben
sind, auf denen sich der Benutzer Root anmelden darf.
FAILLOG_ENAB Ist diese Option aktiviert, werden fehlgeschlagene
Logins in der Datei /var/log/faillog protokolliert.
FAIL_DELAY Bestimmt die Zeit, die nach einem falschen Login-Ver-
such gewartet wird.
LASTLOG_ENAB Das Aktivieren dieser Option führt dazu, dass fehlge-
schlagene Login-Versuche bei der nächsten erfolgrei-
chen Anmeldung angezeigt werden.
LOGIN_RETRIES Bestimmt die Anzahl fehlgeschlagener Login-Versu-
che, bis der Login-Prozess sich automatisch beendet.
LOGIN_TIMEOUT Legt die Dauer fest, die zwischen Eingabe von Login
und Passwort vergehen darf.
Rootlogin kontrollieren
Sicherheit im Dateisystem
Mit Hilfe der SUID- und SGID-Flags können Anwendungen SUID und SGID
bei der Ausführung mit den Rechten des eingetragenen Datei- sinnvoll einsetzen
Besitzers oder der Datei-Benutzergruppe ausgeführt werden.
Auf diese Weise kann das Programm auf Dateien zugreifen,
auf die der ausführende Benutzer gemäß den Zugriffsrechten
eigentlich keine Berechtigungen besitzt. Das bekannteste
Beispiel dürfte das Kommando passwd sein. Mit dessen Hilfe
kann jeder Benutzer sein Passwort ändern, obwohl er eigent-
lich keine Schreibrechte für die Datei /etc/passwd besitzt. Bei
vielen Anwendungen ist das SUID/SGID-Flag gesetzt, ob-
wohl dies für die Ausführung der Anwendung überflüssig ist.
In diesen Fällen stellt das Flag eine Gefahr dar, da diese Da-
teien durch gezielte Manipulationen einem Benutzer zusätzli-
che Rechte im System verschaffen können.
5
Teil 7/3.7 Seite 2 Linux-System härten – sichere Netzwerkdienste
Sicherheit im Dateisystem
Wann eine Datei zuletzt geändert wurde und wie groß diese
Datei ist, lässt sich schnell mit Hilfe des Kommandos ls -l
anzeigen. Wichtige Dateien wie etwa Installationspakete und
Konfigurationsdateien bedürfen jedoch erweiterter Sicherheits-
mechanismen, um ihre Unveränderlichkeit zu überprüfen.
Die Kryptografie kennt eine Reihe von Hash-Algorithmen,
die die Sicherheit von Nachrichten und Dateien erhöhen.
Hierzu bilden diese Verfahren mit Hilfe einer Einweg-Hash-
Funktion einen Message Digest, der einer Art Prüfsumme
entspricht. Mit dessen Hilfe kann die Unversehrtheit des Ori-
ginals zu einem späteren Zeitpunkt überprüft werden. Eines
der bekanntestes Verfahren ist der Message-Digest-Algorith-
mus MD5, der unter Linux zur Verfügung steht.
cd /etc
md5sum * > etcsignatures
chmod 600 etcsignatures
Linux-System härten – sichere Netzwerkdienste Teil 7/3.7 Seite 3
Sicherheit im Dateisystem
cd /etc
md5sum –c etcsignatures
erkennen. Beim Test wird für jede Datei erneut die Prüfsum-
me gebildet und mit dem gespeicherten Wert verglichen.
Stimmen beide Werte nicht überein, weist das Programm den
Anwender darauf hin.
Shutdown kontrollieren
Nur der Superuser verfügt über die Rechte, ein Linuxsystem Reboot
ordnungsgemäß zu beenden oder neu zu starten. Nach einer verhindern
Standardinstallation erlauben viele Distributionen jedoch den
Reboot des Systems über die Tastenkombination <STRG>+
<ALT>+<ENTF>. Sitzt der Benutzer direkt am Linux-Rech-
ner, hat er die Möglichkeit, den Bootvorgang zu manipulie-
ren. Damit sich Linux nicht über die genannte Tastenkombi-
nation beenden lässt, muss folgender Eintrag in der Datei
/etc/inittab gelöscht werden:
ca::ctrlaltdel:/sbin/shutdown -r -t 4 now
5
Teil 7/3.7 Seite 4 Linux-System härten – sichere Netzwerkdienste
Sicherheit im Dateisystem
System Nachdem die Zeile entfernt wurde, kann nur noch der Super-
neu starten user den Rechner mit Hilfe der Kommandos halt oder shut-
down ordnungsgemäß beenden.
Bootmanager Lilo
delay = 0
timeout = 0
# prompt