Galileo Computing < openbook > Galileo Computing - Professionelle Bücher. Auch für Einsteiger.
Professionelle Bücher. Auch für Einsteiger.

Inhaltsverzeichnis
Vorwort
Leitfaden für die Nutzung des Buchs und der beiliegenden DVDs
Das Terminal – sinnvoll oder überflüssig?
1 Die Wurzeln von Ubuntu
2 Was ist Ubuntu?
3 Die Versionen im Detail
4 Daten sichern, migrieren und synchronisieren
5 Die Installation
6 Erste Schritte
7 Kubuntu
8 Programme und Pakete installieren
9 Internet und E-Mail
10 Office
11 Grafik und Bildbearbeitung
12 Multimedia
13 Programmierung und Design
14 Software- und Paketverwaltung
15 Architektur
16 Backup und Sicherheit
17 Desktop-Virtualisierung
18 Serverinstallation
19 Administration und Monitoring
20 Netzwerke
21 LAN-Server – im Firmennetzwerk oder als Multimediazentrale
22 Der Server im Internet
23 Servervirtualisierung mit KVM
24 Servervirtualisierung mit Xen
25 Hilfe
26 Befehlsreferenz
A Mark Shuttleworth
Stichwort

Download:
- ZIP, ca. 50,6 MB
Buch bestellen
Ihre Meinung?

Spacer
 <<   zurück
Ubuntu GNU/Linux von Marcus Fischer
Das umfassende Handbuch, aktuell zu Ubuntu 11.04 »Natty Narwhal«
Buch: Ubuntu GNU/Linux

Ubuntu GNU/Linux
geb., mit 2 DVDs
1118 S., 39,90 Euro
Galileo Computing
ISBN 978-3-8362-1765-1
Pfeil 16 Backup und Sicherheit
  Pfeil 16.1 Berechtigungen
    Pfeil 16.1.1 Dateiberechtigungen
    Pfeil 16.1.2 PAM
  Pfeil 16.2 Backup-Grundlagen
    Pfeil 16.2.1 Vorüberlegungen und Vorbereitung
    Pfeil 16.2.2 Partitionierung
    Pfeil 16.2.3 Partitionierung der Zweitplatte (extern oder intern)
    Pfeil 16.2.4 Verkleinerung von bestehenden Partitionen
    Pfeil 16.2.5 Inkrementelles Backup mit rsnapshot
    Pfeil 16.2.6 Verwenden von Rsync
  Pfeil 16.3 Ist Linux sicherer als Windows?
    Pfeil 16.3.1 Verschiedene Konzepte
    Pfeil 16.3.2 Root versus Sudo
    Pfeil 16.3.3 SELinux
    Pfeil 16.3.4 AppArmor
  Pfeil 16.4 Virenscanner und Firewall
    Pfeil 16.4.1 Virenscanner
    Pfeil 16.4.2 Firewall
    Pfeil 16.4.3 Sicherheits-Updates
  Pfeil 16.5 Verschlüsselung
    Pfeil 16.5.1 Integrierte Verschlüsselung
    Pfeil 16.5.2 Verschlüsselung anderer Partitionen
  Pfeil 16.6 Verschlüsseln mit GPG
    Pfeil 16.6.1 Verschlüsselung einzelner Dateien
    Pfeil 16.6.2 E-Mails verschlüsseln mit GnuPG

»Real men don't make backups. They upload it via FTP and let the world mirror it.« Linus Benedict Torvalds (* 28.12.1969), finnischer Informatiker und Linux-Initiator

16 Backup und Sicherheit

Was Sie in diesem Kapitel erwartet

Wir kommen nun zu einem besonders heiklen Thema, dem Thema Sicherheit. Wir werden im Folgenden gemeinsam untersuchen, ob Linux wirklich sicherer ist oder sein kann als Windows. Die Idee scheint verlockend, dass Sie bei der Verwendung von Linux auf Virenscanner, Firewalls, Anti-Spyware und vieles, was es sonst noch alles gibt, wirklich verzichten können. Aber ist diese Vorstellung auch realistisch?

Dieses Kapitel ist der Absicherung des Systems gewidmet. Wenngleich unter Linux Viren derzeit kein großes Thema sind, erfordert der Aufbau eines eigenen Servers mit Internetzugang die Beschäftigung mit Themen wie Firewalls und Datensicherung.

Ich werde zu Beginn auf die Themen Rechte und Datensicherung eingehen. Auch das sicherste System kann Sie z. B. nicht vor einer kaputten Festplatte schützen. Die kleinen Gemeinheiten des Tages können Sie nicht verhindern, aber glücklich ist derjenige, der immer ein aktuelles Backup seiner Daten besitzt.

Benötigtes Vorwissen

Es sind grundlegende Kenntnisse im Umgang mit der Shell nötig.


Galileo Computing - Zum Seitenanfang

16.1 Berechtigungen  Zur nächsten ÜberschriftZur vorigen Überschrift

Wie Sie schon am Anfang dieses Buches lesen konnten, zeichnet sich Linux gerade auf dem Gebiet der Benutzer- und Rechteverwaltung aus. Sie benötigen also Kenntnisse, wie Sie durch einige leichte Befehle die Dateirechte verändern können.


Galileo Computing - Zum Seitenanfang

16.1.1 Dateiberechtigungen  Zur nächsten ÜberschriftZur vorigen Überschrift

Mit dem Befehl chmod verändern Sie die Zugriffsrechte einer Datei. Der Befehl allein bewirkt noch gar nichts, wenn Sie nicht gleichzeitig mit angeben, für welche Datei Sie die Rechte verändern möchten und auf welche Art und Weise dies geschehen soll.

Ein typischer Befehl sieht so aus:

chmod u=rwx,g=rwx,a=r <Dateiname>

Das Gleiche drückt aber auch der Befehl chmod 774 <Dateiname> aus. Doch Sie fragen sich zu Recht, was diese Abk"urzungen bedeuten sollen. Wie Sie an dem Befehl erkennen, setzt sich die Option, die direkt nach dem Befehl steht, aus drei Teilen zusammen.


Tabelle 16.1  Wichtige Optionen zur Verwendung von »chmod«

Option Wirkung

u

User

g

Gruppe

o

andere

a

alle

+

Recht hinzuf"ugen

-

Recht entfernen

=

Recht zuordnen

r

Lesen

w

Schreiben

x

Ausf"uhren

s

su-Bit


Da Sie bei dieser Methode doch ziemlich viel tippen müssen, gibt es alternativ die Möglichkeit, einen dreistelligen Code zu verwenden. Dabei stehen die drei Ziffern f"ur die Rechte eines Users, einer Gruppe und der anderer. Die Ziffern ergeben sich durch Addition folgender Werte:


Tabelle 16.2  Code-Werte zur Verwendung mit »chmod«

Wert Wirkung

4

Lesen

2

Schreiben

1

Ausführen


SU-Bit

Eine vorangestellte 4 setzt das su-Bit. Die Reihenfolge der Ziffern ist ebenso festgelegt. Zuerst erfolgt die Vergabe der Rechte an den User (also Sie), danach an die Gruppe (zu der Sie eventuell gehören) und als Letztes an die anderen. Mit einer 7 vergeben Sie die maximalen Rechte. Das obige Beispiel legt also fest, dass die Datei von User und Gruppe les-, schreib- und ausführbar sein soll und für alle anderen lesbar. Möchten Sie rekursiv für alle Leserechte hinzufügen, können Sie das mit folgendem Aufruf erledigen: chmod -R a+rX.


Tabelle 16.3  Weitere wichtige Optionen zur Verwendung von »chmod«

Option Wirkung

-R

rekursiv

a+

für alle folgende Rechte hinzufügen

r

Leserecht

X

nur für Verzeichnisse: das Recht, das Verzeichnis aufzulisten (ls)


Die Rechte einzelner Dateien und Verzeichnisse lassen sich natürlich auch grafisch verändern (siehe Abbildung), wenngleich die beschriebene Vorgehensweise über das Terminal wesentlich bequemer ist.

Abbildung 16.1  Die Rechte lassen sich auch bequem über eine grafische Oberfläche definieren. Klicken Sie dazu mit der rechten Maustaste auf die jeweilige Datei, und wählen Sie den Punkt »Eigenschaften«.

PolicyKit

Mit der Version 2.22 der Desktop-Umgebung GNOME begann die Integration des PolicyKits. Über PolicyKit können Anwendungen mit Benutzerrechten gestartet und später mit Root-Rechten versehen werden. Mittels PolicyKit lassen sich des Weiteren Rechte fein verteilen. So ist es beispielsweise möglich, Benutzer zu bestimmen, denen bestimmte Aktionen erlaubt werden, für die normalerweise Root-Rechte vonnöten wären (siehe Abbildung). Beispielsweise ist es möglich, einem Benutzer zu erlauben, die Netzwerkeinstellungen oder die Uhrzeit des Systems zu verändern, ohne ihn in die admin-Gruppe aufnehmen zu müssen.

Abbildung 16.2  Um Anwendungen mit Root-Rechten zu starten, musste man diese bisher als Root in einem Terminal aufrufen (sudo) oder auf eine integrierte Abfrage hoffen.

Ausblick

Sobald PolicyKit einmal in den Dateimanager Nautilus oder in den Texteditor gedit von GNOME eingebaut sein wird, können Sie beispielsweise Dateien in Verzeichnisse verschieben oder diese editieren, ohne dass das Programm mit Root-Rechten gestartet sein muss. Sind höhere Rechte für eine Operation nötig, erscheint eine Abfrage, über die Sie die gewünschte Operation autorisieren. Leider ist die Integration von PolicyKit – beispielsweise in Nautilus – in letzter Zeit nicht deutlich fortgeschritten. Dabei wäre ein einfaches grafisches Kopieren mit optionaler Abfrage von Root-Rechten eine wünschenswerte Sache – gerade für Einsteiger, die ja zur Zielgruppe von Ubuntu gehört.


Tipp 233: Passwort ändern

Wenn Sie die Passwörter der Benutzer – auch Ihr eigenes – ändern möchten, so haben Sie zwei Möglichkeiten. Als Erstes haben Sie die Möglichkeit, dies grafisch zu erledigen. Öffnen Sie hierzu System • Systemverwaltung • Benutzer und Gruppen, entsperren Sie die Anwendung durch einen Klick auf den Button Entsperren, und geben Sie Ihr Passwort ein. Nun können Sie den betreffenden User markieren und auf Eigenschaften klicken. Im Bereich Passwort können Sie nun ein neues Passwort definieren. Nach der Bestätigung mit OK tritt Ihr neues Passwort sofort in Kraft.

Wesentlich bequemer können Sie dies auch über das Terminal erledigen. Um das Passwort des gerade angemeldeten Benutzers zu ändern, reicht die Eingabe des Kommandos passwd. Geben Sie zuerst Ihr altes und dann zweimal Ihr neues Passwort ein, um die Änderung zu übernehmen. Mit sudo passwd user können Sie übrigens auch das Passwort jedes beliebigen Benutzers ändern, ohne dass dessen altes Passwort verlangt wird (user müssen Sie durch den betreffenden Benutzernamen ersetzen).



Galileo Computing - Zum Seitenanfang

16.1.2 PAM  topZur vorigen Überschrift

PAM (Pluggable Authentication Modules) erlaubt die Kontrolle von Logins. Statt die Einzelheiten der Authentisierung in jeder Applikation neu zu formulieren, bietet die PAM-API einen standardisierten Dienst in Form von Modulen an. In einer Konfigurationsdatei kann der Systemadministrator die Authentisierungsmodule einzelnen Diensten zuordnen, ohne dafür die Software, die diese Dienste realisiert, neu kompilieren zu müssen.

Zentrale Speicherung der Anmeldedaten

PAM wird in der Praxis häufig dafür eingesetzt, verschiedenste Serverdienste, wie SSH und FTP, mit nur einem Authentisierungsdienst zu verbinden. Dies ermöglicht die zentrale Speicherung der Anmeldedaten dieser Dienste. Wird das Passwort an der zentralen Stelle geändert, können Sie sich bei allen Diensten direkt mit dem neuen, zentral gespeicherten Passwort anmelden. Getrennte Passwortdatenbanken für einzelne Dienste sind nicht notwendig.

/etc/pam.d/*                   # PAM-Konfiguration
/etc/pam.d/login               # PAM-Konfiguration des Logins
/etc/security/*                # PAM-Modulparameter
/etc/securetty                 # Konfiguration des root-Login auf der Konsole
/etc/login.defs                # generelle Logins

Falls wirklich (auf eigene Gefahr) ein Login an der Konsole ohne Passwort möglich sein soll, können Sie die Datei /etc/pam.d/login wie folgt ändern:

#auth         required      pam_unix.so nullok
auth         required      pam_permit.so

Ähnlich funktioniert das auch mit xdm, gdm usw., um sich ohne Passwort an einer anderen X-Konsole anzumelden.

Andererseits können Sie das Paket cracklib2 installieren und /etc/pam.d/passwd wie folgt anpassen, um einen guten Passwortschutz zu erhalten:

password required         pam_cracklib.so retry=3 minlen=6 difok=3

Ein einmaliges Nutzen eines Login-Passworts zur Zugangsaktivierung kann auch hilfreich sein. Dafür verwenden Sie das passwd-Kommando mit der Option -e.

Prozesse

Die maximale Anzahl an Prozessen kann mit ulimit -u 1000 in der Bash-Shell gesetzt werden oder auch in der Datei /etc/security/limits.conf mit PAM. Andere Parameter, wie z. B. core, können so ebenfalls gesetzt werden. Die Anfangseinstellung von PATH kann in /etc/login.defs festgelegt werden, bevor die Shell Skripte startet.

Die Dokumentation von PAM befindet sich im Paket libpam-doc. Das in diesem Paket enthaltene Buch Linux-PAM System Administrator’s Guide von Andrew G. Morgan und Thorsten Kukuk behandelt PAM, die verfügbaren Module usw. Die Dokumentation enthält auch The Linux-PAM Application Developers’ Guide und The Linux-PAM Module Writers’ Guide.



Ihr Kommentar

Wie hat Ihnen das <openbook> gefallen? Wir freuen uns immer über Ihre freundlichen und kritischen Rückmeldungen.






 <<   zurück
  
  Zum Katalog
Zum Katalog: Ubuntu GNU/Linux

Ubuntu GNU/Linux
Jetzt bestellen


 Ihre Meinung?
Wie hat Ihnen das <openbook> gefallen?
Ihre Meinung

 Buchempfehlungen
Zum Katalog: Linux Server






 Linux Server


Zum Katalog: Linux-Server einrichten und administrieren






 Linux-Server
 einrichten und
 administrieren


Zum Katalog: Linux Hochverfügbarkeit






 Linux Hoch-
 verfügbarkeit


Zum Katalog: Linux






 Linux


Zum Katalog: Debian






 Debian


Zum Katalog: Android 3






 Android 3


Zum Katalog: GIMP






 GIMP


Zum Katalog: Webserver einrichten und administrieren






 Webserver einrichten
 und administrieren


 Shopping
Versandkostenfrei bestellen in Deutschland und Österreich
InfoInfo




Copyright © Galileo Press 2011
Für Ihren privaten Gebrauch dürfen Sie die Online-Version natürlich ausdrucken. Ansonsten unterliegt das <openbook> denselben Bestimmungen, wie die gebundene Ausgabe: Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Alle Rechte vorbehalten einschließlich der Vervielfältigung, Übersetzung, Mikroverfilmung sowie Einspeicherung und Verarbeitung in elektronischen Systemen.


[Galileo Computing]

Galileo Press, Rheinwerkallee 4, 53227 Bonn, Tel.: 0228.42150.0, Fax 0228.42150.77, info@galileo-press.de