Galileo Computing < openbook > Galileo Computing - Professionelle Bücher. Auch für Einsteiger.
Professionelle Bücher. Auch für Einsteiger.

Inhaltsverzeichnis
Vorwort
1 Einleitung
2 Die Installation
3 Erste Schritte
4 Linux als Workstation für Einsteiger
5 Der Kernel
6 Die Grundlagen aus Anwendersicht
7 Die Shell
8 Reguläre Ausdrücke
9 Konsolentools
10 Die Editoren
11 Shellskriptprogrammierung mit der bash
12 Die C-Shell
13 Benutzerverwaltung
14 Grundlegende Verwaltungsaufgaben
15 Netzwerkgrundlagen
16 Anwendersoftware für das Netzwerk
17 Netzwerkdienste
18 Mailserver unter Linux
19 LAMP
20 DNS-Server
21 Secure Shell
22 Die grafische Oberfläche
23 Window-Manager und Desktops
24 X11-Programme
25 Multimedia und Spiele
26 Prozesse und IPC
27 Bootstrap und Shutdown
28 Dateisysteme
29 Virtualisierung und Emulatoren
30 Softwareentwicklung
31 Crashkurs in C und Perl
32 Einführung in die Sicherheit
33 Netzwerksicherheit überwachen
A Lösungen zu den einzelnen Aufgaben
B Kommandoreferenz
C X11-InputDevices
D MBR
E Die Buch-DVDs
F Glossar
G Literatur
Stichwort

Download:
- ZIP, ca. 15,7 MB
Buch bestellen
Ihre Meinung?

Spacer
 <<   zurück
Linux von Johannes Pl&ouml;tner, Steffen Wendzel
Das umfassende Handbuch
Buch: Linux

Linux
geb., mit 2 DVDs
1302 S., 39,90 Euro
Galileo Computing
ISBN 978-3-8362-1704-0
Pfeil 32 Einführung in die Sicherheit
  Pfeil 32.1 Sicherheitskonzepte
  Pfeil 32.2 Unix und Sicherheit
    Pfeil 32.2.1 Benutzer und Rechte
    Pfeil 32.2.2 Logging
    Pfeil 32.2.3 Netzwerkdienste
  Pfeil 32.3 Grundlegende Absicherung
    Pfeil 32.3.1 Nach der Installation
    Pfeil 32.3.2 Ein einfaches Sicherheitskonzept
  Pfeil 32.4 Backups und Datensicherungen
    Pfeil 32.4.1 Die Backup-Strategie
    Pfeil 32.4.2 Die Software
  Pfeil 32.5 Updates
  Pfeil 32.6 Firewalls
    Pfeil 32.6.1 Grundlagen
    Pfeil 32.6.2 Firewalling unter Linux: netfilter/iptables
    Pfeil 32.6.3 Iptables im Detail
  Pfeil 32.7 Proxyserver
    Pfeil 32.7.1 Funktion
    Pfeil 32.7.2 Einsatz
    Pfeil 32.7.3 Beispiel: Squid unter Linux
  Pfeil 32.8 Virtuelle private Netzwerke mit OpenVPN
    Pfeil 32.8.1 Pre-shared Keys
    Pfeil 32.8.2 Zertifikate mit OpenSSL
    Pfeil 32.8.3 OpenVPN als Server einrichten
    Pfeil 32.8.4 OpenVPN als Client
  Pfeil 32.9 Verdeckte Kanäle und Anonymität
    Pfeil 32.9.1 Anonymität und tor
  Pfeil 32.10 Mails verschlüsseln: PGP und S/MIME
    Pfeil 32.10.1 PGP/GPG
    Pfeil 32.10.2 S/MIME
  Pfeil 32.11 Trojanische Pferde
  Pfeil 32.12 Logging
    Pfeil 32.12.1 Bei der Analyse Zeit sparen
  Pfeil 32.13 Partitionierungen
  Pfeil 32.14 Restricted Shells
  Pfeil 32.15 Loadable Kernel Modules
  Pfeil 32.16 chroot
  Pfeil 32.17 Kernel-Erweiterungen und gcc-propolice
    Pfeil 32.17.1 gcc propolice
    Pfeil 32.17.2 SeLinux/SeBSD und AppArmor
    Pfeil 32.17.3 OpenWall (OWL)
    Pfeil 32.17.4 grsecurity
    Pfeil 32.17.5 PaX
  Pfeil 32.18 Sichere Derivate und Distributionen
    Pfeil 32.18.1 Trusted Solaris (jetzt Teil von Solaris)
    Pfeil 32.18.2 OpenBSD
    Pfeil 32.18.3 TrustedBSD
    Pfeil 32.18.4 Hardened Gentoo
    Pfeil 32.18.5 OpenWall
    Pfeil 32.18.6 Fedora Core
  Pfeil 32.19 Zusammenfassung
  Pfeil 32.20 Aufgaben


Galileo Computing - Zum Seitenanfang

32.2 Unix und Sicherheit  Zur nächsten ÜberschriftZur vorigen Überschrift

Im Folgenden wollen wir zunächst klären, mit welchen Sicherheitskonzepten Linux und BSD von Haus aus bereits ausgestattet sind. Erst wenn man diese Eigenschaften versteht und richtig nutzt, macht eine weitergehende Absicherung Sinn.


Galileo Computing - Zum Seitenanfang

32.2.1 Benutzer und Rechte  Zur nächsten ÜberschriftZur vorigen Überschrift

Unix ist von Haus aus mehrbenutzerfähig. Dies impliziert das bereits ausführlich vorgestellte Benutzer- und Rechtesystem. Ein normaler Benutzer hat dabei in aller Regel keinen Vollzugriff auf das System – und das ist unter Sicherheitsgesichtspunkten auch gut so.

Schließlich braucht man keine Schreibrechte auf wichtige Programme – man will sie nur ausführen. Man möchte als normaler Benutzer Geräte nur benutzen und keine neuen Treiber für sie konfigurieren. Auch gehen einen die Dateien anderer Benutzer nichts an, es sei denn, der Zugriff wird explizit erlaubt.

Da der Eigentümer eine Eigenschaft des Prozesses ist, können und sollten Serverdienste unter speziellen Benutzern laufen. Wird nämlich ein solcher Dienst durch einen Exploit dazu gebracht, Code eines Angreifers auszuführen, läuft dieser Code unter einem eingeschränkten Benutzerkonto. Wenn der Administrator also nicht als root am System arbeitet und als root auch keine Dienste laufen lässt, so ist eine gewisse Grundsicherheit auf jeden Fall gewährleistet.


Galileo Computing - Zum Seitenanfang

32.2.2 Logging  Zur nächsten ÜberschriftZur vorigen Überschrift

Eine weitere, sicherheitsrelevante Eigenschaft von Linux/Unix ist das Logging. Über das Logging kann nachvollzogen werden, was im System passiert und schon passiert ist. Im Falle einer Systemkompromittierung kann nachvollzogen werden, wer sich wann und von welcher IP-Adresse aus eingeloggt hat. Im Falle eines Serverproblems kann anhand der Logfiles in der Regel nachvollzogen werden, wo das Problem genau liegt und wie es vielleicht behoben werden kann.

Natürlich besteht der erste Schritt eines Angreifers normalerweise darin, die Logfiles zu »desinfizieren« – also entweder nur die verdächtigen Meldungen oder gleich die ganzen Logfiles zu löschen. Setzt man dagegen einen zentralen Logging-Server ein, wie in Abschnitt 14.4.2 beschrieben wurde, wird dieses Unterfangen für den Angreifer schon schwieriger.


Galileo Computing - Zum Seitenanfang

32.2.3 Netzwerkdienste  topZur vorigen Überschrift

Aber auch die normalerweise installierten Netzwerkdienste sind in der Regel auf Sicherheit bedacht. So wird zum Beispiel der SSH-Dienst, der Verschlüsselungsalgorithmen nutzt, anstelle des unsicheren Telnets installiert. Dabei handelt es sich zwar um einen sicheren Dienst, aber eine wichtige Frage stellt sich doch: Was braucht man eigentlich wirklich?

Oft werden zum Beispiel folgende Dienste installiert, die man auf einem Serversystem kaum benötigen wird:

  • famd
    Der file alteration monitor daemon (famd) überwacht die Veränderung von Dateien. Wenn man zum Beispiel auf der Konsole eine Datei löscht, so kann die Ansicht im Dateimanager unter KDE aktualisiert werden. Allerdings gibt es nur wenige Serverdienste, die diesen Dienst wirklich brauchen, daher kann er ruhig deinstalliert werden.
  • portmap
    Setzt man auf dem Server kein NFS und keinen famd ein, so kann man den Dienst portmap deinstallieren. Alternativ kann dieser Dienst so konfiguriert werden, dass er nur auf dem Loopback-Device hört.
  • *identd
    Über diesen Dienst kann man herausfinden, unter welchen Benutzerrechten ein Prozess läuft, der eine bestimmte TCP-Verbindung geöffnet hat – bloß weg damit!
  • fingerd
    Über den Dienst fingerd können Sie herausfinden, welche Benutzer gerade eingeloggt sind. Das ist nichts, was man auf einem öffentlichen Server haben möchte.
  • etc.
    Leider gibt es noch viel mehr unsichere (besonders auch unbekannte) Dienste, sodass wir sie an dieser Stelle nicht alle aufzählen können.


Ihr Kommentar

Wie hat Ihnen das <openbook> gefallen? Wir freuen uns immer über Ihre freundlichen und kritischen Rückmeldungen.






 <<   zurück
  Zum Katalog
Zum Katalog: Linux, Ausgabe 2011






Linux, Ausgabe 2011
Jetzt bestellen


 Ihre Meinung?
Wie hat Ihnen das <openbook> gefallen?
Ihre Meinung

 Buchempfehlungen
Zum Katalog: Linux-Server






 Linux-Server


Zum Katalog: Linux Hochverfügbarkeit






 Linux Hoch-
 verfügbarkeit


Zum Katalog: LPIC-1






 LPIC-1


Zum Katalog: Debian GNU/Linux






 Debian GNU/Linux


Zum Katalog: openSUSE 11.2






 openSUSE 11.2


Zum Katalog: Shell-Programmierung






 Shell-Programmierung


Zum Katalog: Ubuntu GNU/Linux






 Ubuntu GNU/Linux


 Shopping
Versandkostenfrei bestellen in Deutschland und Österreich
InfoInfo




Copyright © Galileo Press 2011
Für Ihren privaten Gebrauch dürfen Sie die Online-Version natürlich ausdrucken. Ansonsten unterliegt das <openbook> denselben Bestimmungen, wie die gebundene Ausgabe: Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Alle Rechte vorbehalten einschließlich der Vervielfältigung, Übersetzung, Mikroverfilmung sowie Einspeicherung und Verarbeitung in elektronischen Systemen.


[Galileo Computing]

Galileo Press, Rheinwerkallee 4, 53227 Bonn, Tel.: 0228.42150.0, Fax 0228.42150.77, info@galileo-press.de