Galileo Computing < openbook > Galileo Computing - Professionelle Bücher. Auch für Einsteiger.
Professionelle Bücher. Auch für Einsteiger.

Inhaltsverzeichnis
Vorwort
Leitfaden
1 Die Wurzeln von Ubuntu
2 Was ist Ubuntu?
3 Die Versionen im Detail
4 Die Möglichkeiten der beiliegenden DVDs
5 Daten aus Windows sichern
6 Die Installation
7 Erste Schritte
8 Kubuntu und Xubuntu
9 Ubuntu mobil
10 Programme und Pakete installieren
11 Internet und E-Mail
12 Office
13 Grafik und Bildbearbeitung
14 Multimedia
15 Das Terminal
16 Programmierung und Design
17 Einrichtung der grundlegenden Hardware
18 Software- und Paketverwaltung
19 Architektur
20 Backup und Sicherheit
21 Desktop-Virtualisierung
22 Server-Installation
23 Sicherheit und Monitoring
24 Netzwerke
25 Server im Heim- und Firmennetzwerk
26 Der Server im Internet
27 Server-Virtualisierung mit KVM
28 Server-Virtualisierung mit Xen
29 Hilfe
30 Befehlsreferenz
Mark Shuttleworth
Glossar
Stichwort

Download:
- ZIP, ca. 34,8 MB
Buch bestellen
Ihre Meinung?

Spacer
<< zurück
Ubuntu GNU/Linux von Marcus Fischer
Das umfassende Handbuch, aktuell zu Ubuntu 10.04 LTS "Lucid Lynx"
Buch: Ubuntu GNU/Linux

Ubuntu GNU/Linux
5., aktualisierte und erweiterte Auflage, gebunden, mit 2 DVDs
1.104 S., 39,90 Euro
Galileo Computing
ISBN 978-3-8362-1654-8
Pfeil 20 Backup und Sicherheit
Pfeil 20.1 Berechtigungen
Pfeil 20.1.1 Dateiberechtigungen
Pfeil 20.1.2 PAM
Pfeil 20.2 Grundlagen der Sicherung
Pfeil 20.2.1 Partitionierung
Pfeil 20.2.2 Partitionierung der Zweitplatte
Pfeil 20.2.3 Verkleinerung von bestehenden Partitionen
Pfeil 20.3 Backup-Software
Pfeil 20.3.1 Deja Dup
Pfeil 20.3.2 Inkrementelles Backup mit rsnapshot
Pfeil 20.3.3 Direktes Klonen via dd
Pfeil 20.4 Ist Linux sicherer als Windows?
Pfeil 20.4.1 Verschiedene Konzepte
Pfeil 20.4.2 Root versus Sudo
Pfeil 20.4.3 AppArmor
Pfeil 20.5 Virenscanner und Firewall
Pfeil 20.5.1 Virenscanner
Pfeil 20.5.2 Firewall
Pfeil 20.5.3 Sicherheits-Updates
Pfeil 20.6 Verschlüsselung
Pfeil 20.6.1 Einrichtung des Systems
Pfeil 20.6.2 Konfiguration der Krypto-Partitionen
Pfeil 20.6.3 Umwandlung der unverschlüsselten Partitionen
Pfeil 20.6.4 Der erste verschlüsselte Start
Pfeil 20.6.5 Datenspuren vernichten
Pfeil 20.7 Verschlüsseln mit GPG
Pfeil 20.7.1 Funktionen von GnuPG
Pfeil 20.7.2 Verschlüsselung einzelner Dateien
Pfeil 20.7.3 E-Mails verschlüsseln mit GnuPG

»Real men don't make backups. They upload it via FTP and let the world mirror it.« Linus Benedict Torvalds (* 28.12.1969), finnischer Informatiker und Linux-Initiator

20 Backup und Sicherheit

Was Sie in diesem Kapitel erwartet

Wir kommen nun zu einem besonders heiklen Thema, dem Thema Sicherheit. Wir werden im Folgenden gemeinsam untersuchen, ob Linux wirklich sicherer ist oder sein kann als Windows. Die Idee scheint verlockend, dass Sie bei der Verwendung von Linux auf Virenscanner, Firewalls, Anti-Spyware und vieles, was es sonst noch alles gibt, wirklich verzichten können. Aber ist diese Vorstellung auch realistisch?

Dieses Kapitel ist der Absicherung des Systems gewidmet. Wenngleich unter Linux Viren derzeit kein großes Thema sind, erfordert der Aufbau eines eigenen Servers mit Internetzugang die Beschäftigung mit Themen wie Firewalls und Datensicherung.

Ich werde zu Beginn auf die Themen »Rechte« und »Datensicherung« eingehen. Auch das sicherste System kann Sie z. B. nicht vor einer kaputten Festplatte schützen. Die kleinen Gemeinheiten des Tages können Sie nicht verhindern, aber glücklich ist derjenige, der immer ein aktuelles Backup seiner Daten besitzt.

Benötigtes Vorwissen

Es sind grundlegende Kenntnisse im Umgang mit der Shell nötig.


Galileo Computing - Zum Seitenanfang

20.1 Berechtigungen Zur nächsten ÜberschriftZur vorigen Überschrift

Wie Sie schon am Anfang dieses Buches lesen konnten, zeichnet sich Linux gerade auf dem Gebiet der Benutzer- und Rechteverwaltung aus. Sie benötigen also hier Kenntnisse, wie Sie durch einige leichte Befehle die Dateirechte verändern können.


Galileo Computing - Zum Seitenanfang

20.1.1 Dateiberechtigungen Zur nächsten ÜberschriftZur vorigen Überschrift

Mit dem Befehl chmod verändern Sie die Zugriffsrechte einer Datei. Der Befehl allein bewirkt noch gar nichts, wenn Sie nicht gleichzeitig mit angeben, für welche Datei Sie die Rechte verändern möchten und auf welche Art und Weise dies geschehen soll.

Ein typischer Befehl sieht so aus:

chmod u=rwx,g=rwx,a=r <Dateiname>

Das Gleiche drückt aber auch der Befehl chmod 774 <Dateiname> aus. Doch Sie fragen sich zu Recht, was diese Abkürzungen bedeuten sollen. Wie Sie an dem Befehl erkennen können, setzt sich die Option, die direkt nach dem Befehl steht, aus drei Teilen zusammen.


Tabelle 20.1 Wichtige Optionen zur Verwendung von chmod

Option Wirkung

u

User

g

Gruppe

o

andere

a

alle

+

Recht hinzufügen

-

Recht entfernen

=

Recht zuordnen

r

Lesen

w

Schreiben

x

Ausführen

s

su-Bit


Da man bei dieser Methode doch ziemlich viel tippen muss, gibt es alternativ auch die Möglichkeit, einen dreistelligen Code zu verwenden. Dabei stehen die drei Ziffern für die Rechte eines Users, einer Gruppe und der anderer. Die Ziffern ergeben sich durch Addition folgender Werte:


Tabelle 20.2 Code-Werte zur Verwendung mit chmod

Wert Wirkung

4

Lesen

2

Schreiben

1

Ausführen


SU-Bit

Eine vorangestellte 4 setzt das su-Bit. Die Reihenfolge der Ziffern ist ebenso festgelegt. Zuerst erfolgt die Vergabe der Rechte an den User (also Sie), danach an die Gruppe (zu der Sie eventuell gehören) und als Letztes an die anderen. Mit einer 7 vergeben Sie die maximalen Rechte. Das obige Beispiel legt also fest, dass die Datei von User und Gruppe les-, schreib- und ausführbar sein soll und für alle anderen lesbar. Mit dem Befehl chmod werden die Zugriffsrechte einer Datei geändert. Möchten Sie rekursiv für alle Leserechte hinzufügen, können Sie das mit folgendem Aufruf erledigen: chmod -R a+rX.


Tabelle 20.3 Weitere wichtige Optionen zur Verwendung von chmod

Option Wirkung

-R

rekursiv

a+

für alle folgende Rechte hinzufügen

r

Leserecht

X

Nur für Verzeichnisse: Das Recht, das Verzeichnis aufzulisten (ls)


Abbildung 20.1 Die Rechte lassen sich auch bequem über eine grafische Oberfläche definieren. Klicken Sie dazu mit der rechten Maustaste auf die jeweilige Datei, und wählen Sie den Punkt »Eigenschaften«.


Galileo Computing - Zum Seitenanfang

20.1.2 PAM topZur vorigen Überschrift

PAM (Pluggable Authentication Modules) erlaubt die Kontrolle von Logins. Statt die Einzelheiten der Authentisierung in jeder Applikation neu zu formulieren, bietet die PAM-API einen standardisierten Dienst in Form von Modulen an. In einer Konfigurationsdatei kann der Systemadministrator die Authentisierungsmodule einzelnen Diensten zuordnen, ohne dafür die Software, die diese Dienste realisiert, neu kompilieren zu müssen.

PAM wird in der Praxis häufig dafür eingesetzt, verschiedenste Serverdienste, wie SSH und FTP, mit nur einem Authentisierungsdienst zu verbinden. Dies ermöglicht die zentrale Speicherung der Anmeldedaten dieser Dienste. Wird das Passwort an der zentralen Stelle geändert, kann man sich bei allen Diensten direkt mit dem neuen, zentral gespeicherten Passwort anmelden. Getrennte Passwortdatenbanken für einzelne Dienste sind nicht notwendig.

/etc/pam.d/*                   # PAM-Konfiguration
/etc/pam.d/login               # PAM-Konfiguration des Logins
/etc/security/*                # PAM-Modulparameter
/etc/securetty                 # Konfiguration des root-Login auf der Konsole
/etc/login.defs                # generelle Logins

Falls wirklich (auf eigene Gefahr) ein Login an der Konsole ohne Passwort möglich sein soll, können Sie die Datei /etc/pam.d/login wie folgt ändern:

#auth         required      pam_unix.so nullok
 auth          required      pam_permit.so

Ähnlich funktioniert das auch mit xdm, gdm usw., um sich ohne Passwort an einer anderen X-Konsole anzumelden.

Andererseits können Sie das Paket cracklib2 installieren und /etc/pam.d/passwd wie folgt anpassen, um einen guten Passwortschutz zu erhalten:

password required         pam_cracklib.so retry=3 minlen=6 difok=3

Ein einmaliges Nutzen eines Login-Passworts zur Zugangsaktivierung kann auch hilfreich sein. Dafür verwenden Sie das passwd-Kommando mit der Option -e.

Prozesse

Die maximale Anzahl an Prozessen kann mit ulimit -u 1000 in der Bash-Shell gesetzt werden oder auch in der Datei /etc/security/limits.conf mit PAM. Andere Parameter, wie z. B. core können so ebenfalls gesetzt werden. Die Anfangseinstellung von PATH kann in /etc/login.defs festgelegt werden, bevor die Shell Skripte startet.

Die Dokumentation von PAM befindet sich im Paket libpam-doc. Das in diesem Paket enthaltene Buch Linux-PAM System Administrator’s Guide von Andrew G. Morgan und Thorsten Kukuk behandelt PAM, die verfügbaren Module usw. Die Dokumentation enthält auch The Linux-PAM Application Developers’ Guide und The Linux-PAM Module Writers’ Guide.


Passwort ändern

Wenn Sie die Passwörter der Benutzer – auch Ihr eigenes – ändern möchten, so haben Sie zwei Möglichkeiten. Als Erstes haben Sie die Möglichkeit, dies grafisch zu erledigen. Öffnen Sie hierzu System · Systemverwaltung · Benutzer und Gruppen, entsperren Sie die Anwendung durch einen Klick auf den Button Entsperren, und geben Sie Ihr Passwort ein. Nun können Sie den betreffenden User markieren und auf Eigenschaften klicken. Im Bereich Passwort können Sie nun ein neues Passwort definieren. Nach der Bestätigung mit OK tritt Ihr neues Passwort sofort in Kraft.

Wesentlich bequemer können Sie dies auch über das Terminal erledigen. Um das Passwort des gerade angemeldeten Benutzers zu ändern, reicht die Eingabe des Kommandos passwd. Geben Sie zuerst Ihr altes und dann zweimal Ihr neues Passwort ein, um die Änderung zu übernehmen. Mit sudo passwd user können Sie übrigens auch das Passwort jedes beliebigen Benutzers ändern, ohne dass das alte Passwort desjenigen verlangt wird (user müssen Sie durch den betreffenen Benutzernamen ändern).


PolicyKit

Zurzeit erlebt die Organisation der Rechtevergabe einen großen Umbruch in GNOME. Mit der Version 2.22 der Desktop-Umgebung begann die Integration des PolicyKit. Über PolicyKit können Anwendungen mit Benutzerrechten gestartet und später mit Root-Rechten versehen werden.

Fein verteilte Rechte

Mittels PolicyKit lassen sich des Weiteren Rechte fein verteilen. So ist es beispielsweise möglich, Benutzer zu bestimmen, denen bestimmte Aktionen erlaubt werden, für die normalerweise Root-Rechte vonnöten wären. Beispielsweise ist es möglich, einem Benutzer zu erlauben, die Netzwerkeinstellungen oder die Uhrzeit des Systems zu verändern, ohne ihn in die admin-Gruppe aufnehmen zu müssen.

Abbildung 20.2 Um Anwendungen mit Root-Rechten zu starten, musste man bisher diese als root in einem Terminal starten (sudo) oder auf eine integrierte Abfrage hoffen.

Ausblick

Sobald PolicyKit einmal in den Dateimanager Nautilus oder in den Texteditor gedit von GNOME eingebaut sein wird, kann man beispielsweise Dateien in Verzeichnisse verschieben oder diese editieren, ohne dass das Programm mit Root-Rechten gestartet sein muss. Sind höhere Rechte für eine Operation nötig, erscheint eine Abfrage, über die man die gewünschte Operation autorisieren kann.



Ihr Kommentar

Wie hat Ihnen das <openbook> gefallen? Wir freuen uns immer über Ihre freundlichen und kritischen Rückmeldungen.






<< zurück
  Zum Katalog
Zum Katalog: Ubuntu GNU/Linux

Ubuntu GNU/Linux
Jetzt bestellen


 Ihre Meinung?
Wie hat Ihnen das <openbook> gefallen?
Ihre Meinung

 Buchempfehlungen
Zum Katalog: Linux






 Linux


Zum Katalog: OpenVPN






 OpenVPN


Zum Katalog: LPIC-1






 LPIC-1


Zum Katalog: Debian GNU/Linux






 Debian GNU/Linux


Zum Katalog: Shell-Programmierung






 Shell-Programmierung


Zum Katalog: Webserver einrichten und administrieren






 Webserver einrichten
 und administrieren


Zum Katalog: VirtualBox






 VirtualBox


Zum Katalog: IT-Handbuch für Fachinformatiker






 IT-Handbuch für
 Fachinformatiker


 Shopping
Versandkostenfrei bestellen in Deutschland und Österreich
InfoInfo




Copyright © Galileo Press 2010
Für Ihren privaten Gebrauch dürfen Sie die Online-Version natürlich ausdrucken. Ansonsten unterliegt das <openbook> denselben Bestimmungen, wie die gebundene Ausgabe: Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Alle Rechte vorbehalten einschließlich der Vervielfältigung, Übersetzung, Mikroverfilmung sowie Einspeicherung und Verarbeitung in elektronischen Systemen.


[Galileo Computing]

Galileo Press, Rheinwerkallee 4, 53227 Bonn, Tel.: 0228.42150.0, Fax 0228.42150.77, info@galileo-press.de