Pinguin-Patrol
Nur wer seine Systeme im Griff hat und gleichzeitig auf Details achtet, kann sie gegen Manipulation und unbefugten Zugriff sichern. Das fängt bei der Installation an und hört aber nach der Konfiguration längst nicht auf.
- Lukas Grunwald
Kaum eine Woche vergeht, da nicht die Kunde neu entdeckter Sicherheitslücken die Runde macht - die auch für Linux-Rechner gelten. Den größten Schaden verursachen unzureichende Konfiguration der Systeme und mangelnde Organisation. Dementsprechend beschäftigt sich der erste Teil dieses Tutorials mit dem generischen Absichern eines Linux-Systems am Beispiel eines dedizierten Webservers.
Um ein System zu härten, das heißt sein Sicherheitsniveau zu erhöhen, empfiehlt es sich, es innerhalb eines separaten Netzes ohne Verbindung zum internen Firmen-Intranet oder zu externen Netzen wie dem Internet neu aufzusetzen. Dafür verbindet man einen zweiten Rechner, der als Auditsystem dient, über ein Crossover-Kabel oder einen Hub mit dem künftigen Server. Ein weiterer Rechner mit Internet-Anschluss dient der Suche nach Patches und Updates, mit Wechselmedien lassen sich diese einspielen.
Bei der Installation einer Linux-Distributionen ist darauf zu achten, dass man die minimale Konfiguration wählt, die dem Zweck entspricht, den der Server, die Firewall oder das sicherheitskritische System erfüllen soll. Nichtsdestotrotz bringen die meisten Installationstools eine Menge überflüssiger und sicherheitskritischer Komponenten auf das System, die man im Nachhinein manuell entfernen oder härten muss.
Deshalb ist eine automatische Installation auf jeden Fall zu vermeiden. Stattdessen empfiehlt es sich, über die manuelle Auswahl das System so klein wie möglich halten. Vor allem sollte man sämtliche Entwicklertools und Programmiersprachen aus der Auswahl entfernen, die ein Angreifer für seine Zwecke, etwa das Kompilieren von Angriffswerkzeugen oder Root-Kits, benutzen könnte. Auch sollte man nach dem Aufspielen des Basissystems - oder des zu härtenden Zielsystems -, weder taskselect (Debian) noch yast (Suse) ausführen, da sonst die Flut der Pakete das Härten und Abspecken des Systems unweigerlich erschweren würde.
Auf der Suche nach Schwachstellen
Während der Grundkonfiguration bieten ein Debian- ebenso wie ein Red-Hat-Linux als Erstes die Option, statt der klassischen Unix-Crypt-Passwörter MD5-Passwörter zu verwenden, was sich dringend empfiehlt, da sie einen besseren Schutz bieten. Wer die MD5-Passwörter nachträglich aktiviert - etwa bei einem Suse-Linux in den Dateien /etc/security/pam_unix2.conf und /etc/security/pam_pwcheck.conf die Option password: md5 setzt -, sollte danach das root-Passwort neu vergeben, um den MD5-Hash-Wert zu bilden.
Die Aktivierung der Shadow-Passwörter stellt außerdem sicher, dass Angreifer bei einer Schwachstelle des Webservers die verschlüsselten Passwörter nicht ohne „Root Exploit“ auslesen können.
Nach der Installation ist über das Internet zu überprüfen, ob weitere Hot-fixes oder Updates beziehungsweise Upgrades verfügbar sind. Außerdem empfiehlt es sich, über die bekannten Vulnerability Databases (Schwachstellen-Datenbanken) wie Bugtraq, Security Focus oder Open Source Vulnerability Database zu überprüfen, ob bekannte Schwachstellen in den verwendeten Versionen vorhanden sind.
Ist der Upgrade-Zyklus durchlaufen, kann das Härten des Systems beginnen. Zuerst ist vom Auditsystem aus mit dem Portscanner nmap zu überprüfen, welche Rechnerports in der Defaultkonfiguration geöffnet sind. Das Ergebnis des Portscans fließt nach der Interpretation selbstredend in die Dokumentation für Auditkreislauf und Security-Change-Management über künftige Änderungen und Updates ein.
In der Printausgabe finden Sie den vollständigen ersten Teil des Tutorials und eine Anleitung zum Bau einer transparenten Firewall mit Linux.
Tutorial-Inhalt
Teil 1: Härten und Abspecken eines sicherheitsrelevanten Linux-Minimalsystems am Beispiel eines dedizierten Webservers.
Teil 2: Erstellen von Ereignismitschnitten und Auswertung von Log-Dateien.
(sun)
