Galileo Computing < openbook > Galileo Computing - Professionelle Bücher. Auch für Einsteiger.
Professionelle Bücher. Auch für Einsteiger.

Inhaltsverzeichnis
Vorwort
Leitfaden
1 Die Wurzeln von Ubuntu
2 Was ist Ubuntu?
3 Die Versionen im Detail
4 Die Möglichkeiten der beiliegenden DVDs
5 Daten aus Windows sichern
6 Die Installation
7 Erste Schritte
8 Kubuntu und Xubuntu
9 Ubuntu mobil
10 Programme und Pakete installieren
11 Internet und E-Mail
12 Office
13 Grafik und Bildbearbeitung
14 Multimedia
15 Das Terminal
16 Programmierung und Design
17 Einrichtung der grundlegenden Hardware
18 Software- und Paketverwaltung
19 Architektur
20 Backup und Sicherheit
21 Desktop-Virtualisierung
22 Server-Installation
23 Sicherheit und Monitoring
24 Netzwerke
25 Server im Heim- und Firmennetzwerk
26 Der Server im Internet
27 Server-Virtualisierung mit KVM
28 Server-Virtualisierung mit Xen
29 Hilfe
30 Befehlsreferenz
Mark Shuttleworth
Glossar
Stichwort

Download:
- ZIP, ca. 34,8 MB
Buch bestellen
Ihre Meinung?

Spacer
<< zurück
Ubuntu GNU/Linux von Marcus Fischer
Das umfassende Handbuch, aktuell zu Ubuntu 10.04 LTS "Lucid Lynx"
Buch: Ubuntu GNU/Linux

Ubuntu GNU/Linux
5., aktualisierte und erweiterte Auflage, gebunden, mit 2 DVDs
1.104 S., 39,90 Euro
Galileo Computing
ISBN 978-3-8362-1654-8
Pfeil 20 Backup und Sicherheit
Pfeil 20.1 Berechtigungen
Pfeil 20.1.1 Dateiberechtigungen
Pfeil 20.1.2 PAM
Pfeil 20.2 Grundlagen der Sicherung
Pfeil 20.2.1 Partitionierung
Pfeil 20.2.2 Partitionierung der Zweitplatte
Pfeil 20.2.3 Verkleinerung von bestehenden Partitionen
Pfeil 20.3 Backup-Software
Pfeil 20.3.1 Deja Dup
Pfeil 20.3.2 Inkrementelles Backup mit rsnapshot
Pfeil 20.3.3 Direktes Klonen via dd
Pfeil 20.4 Ist Linux sicherer als Windows?
Pfeil 20.4.1 Verschiedene Konzepte
Pfeil 20.4.2 Root versus Sudo
Pfeil 20.4.3 AppArmor
Pfeil 20.5 Virenscanner und Firewall
Pfeil 20.5.1 Virenscanner
Pfeil 20.5.2 Firewall
Pfeil 20.5.3 Sicherheits-Updates
Pfeil 20.6 Verschlüsselung
Pfeil 20.6.1 Einrichtung des Systems
Pfeil 20.6.2 Konfiguration der Krypto-Partitionen
Pfeil 20.6.3 Umwandlung der unverschlüsselten Partitionen
Pfeil 20.6.4 Der erste verschlüsselte Start
Pfeil 20.6.5 Datenspuren vernichten
Pfeil 20.7 Verschlüsseln mit GPG
Pfeil 20.7.1 Funktionen von GnuPG
Pfeil 20.7.2 Verschlüsselung einzelner Dateien
Pfeil 20.7.3 E-Mails verschlüsseln mit GnuPG


Galileo Computing - Zum Seitenanfang

20.5 Virenscanner und Firewall Zur nächsten ÜberschriftZur vorigen Überschrift

Sicherheitsprogramme unter Windows sind zwar unverzichtbar, betreiben aber zu einem sehr großen Teil auch nur Augenwischerei. Anti-Viren-Programme und Firewalls versuchen durch Icons oder Meldungsfenster auf sich aufmerksam zu machen, damit der Anwender sich rundum geschützt fühlt. Dummerweise kann ein Virus Virenscanner oder Firewalls leicht deaktivieren oder verändern, wenn es einmal im System angekommen ist. Schließlich hat ein Administrator (und diesen Status hat ein Virus unter Windows) jedes Recht dazu.

Unter Linux ist ein Virenscanner mangels Viren überflüssig. Es gibt zwar auch Virenscanner für Linux, aber die dienen in erster Linie dazu, Dateien oder E-Mails auf Windows-Viren hin zu untersuchen.

Überprüfung des Systems

Natürlich kann man mit einigem Glück und Können auch in ein Linux-System einbrechen, wobei der Aufwand bei einem Desktop-System in keinem vernünftigen Verhältnis zu dem zu erwartenden Ertrag steht. Eine Überprüfung ist selbstverständlich trotzdem möglich. Am besten ist es natürlich, wenn Sie Ihr System von außen überprüfen, beispielsweise von einer separaten CD (z. B. Knoppix) aus. Alle anderen Möglichkeiten wie Virenscanner und Firewalls, die beide nur intern im System laufen, sind eher als Vorbeugung zu betrachten. Unter Windows ist das im Prinzip natürlich nicht anders.


Galileo Computing - Zum Seitenanfang

20.5.1 Virenscanner Zur nächsten ÜberschriftZur vorigen Überschrift

ClamAV ist ein Open-Source-Virenscanner, den Sie ganz einfach über Synaptic bekommen. Die jeweils neue Version von ClamAV befindet sich in der Universe-Sektion. Das zu installierende Paket heißt clamav. Sie können ClamAV natürlich auch über

apt-get install clamav

installieren. Bitte achten Sie darauf, dass Sie dies per sudo, nicht als Root, tun. ClamAv wird als Benutzer im Terminal mit dem Kommando clamscan gestartet.

clamscan

Dabei werden die gescannten Verzeichnisse bzw. Dateien angezeigt. Zunächst können Sie folgende einfache Scan-Befehle verwenden (alle als normaler User ohne Root-Rechte):

  • clamscan hallo.pdf
    scannt die Datei hallo.pdf im aktuellen Verzeichnis.
  • clamscan /etc
    scannt das Verzeichnis /etc ohne die Unterverzeichnisse.
  • clamscan -r /etc
    führt einen rekursiven Scan des Verzeichnisses /etc und aller Unterverzeichnisse durch.
  • sudo freshclam
    führt ein Update der Virendefinitionen aus.

Der Befehl

clamscan -ril /home/user/Desktop/clamscan.txt --bell --remove \
--unrar=/usr/bin/unrar --tgz=/bin/tar /home

scannt das Home-Verzeichnis inklusive Unterverzeichnissen, schreibt eine Logdatei (clamscan.txt) nach /home/user/Desktop, piepst bei einem Virenfund, löscht das Virus und benutzt unrar (für *.zip) und tar (für *.tar.gz). Weitere Informationen lesen Sie in der Hilfe, die Sie mit clamscan -h aufrufen.

Grafisches Scannen

Für weniger versierte Benutzer steht in der Universe-Sektion auch das Paket clamtk bereit, das eine grafische Benutzeroberfläche für ClamAV installiert. Nach erfolgter Installation können Sie den Virenscanner nun mit dem Befehl clamtk oder über das Menü Anwendungen · Zubehör · Virenscanner aufrufen.

Abbildung 20.10 Mit »ClamAV« (bzw. der grafischen Oberfläche »ClamTK«) scannen Sie bequem Ihr Ubuntu.

Um die Virendefinitionen auf den neuesten Stand zu bringen, muss ClamTK mit Root-Privilegien gestartet werden. Dies erreichen Sie mit folgendem Befehl:

gksudo clamtk

Selbstverständlich gelingt dies auch grafisch über Erweitert · AV Einrichtungs-Assistenten erneut ausführen. Wählen Sie hier Systemweit, wenn es sich um ein Mehrbenutzer-System handelt, d. h. wenn es noch andere Benutzerkonten außer des Ihrigen gibt.

Standardmäßig durchsucht ClamTK keine Verzeichnisse. Für eine genauere Untersuchung auch innerhalb der Ordner wählen Sie unter Erweitert · Einstellungen den Punkt Alle Dateien und Ordner innerhalb eines Verzeichnisses durchsuchen.

Planung

ClamTK nimmt seinen Job sehr ernst und sucht sehr zeitintensiv nach Viren. Dies hat zur Folge, dass Sie den Leistungseinbruch beim Arbeiten selbst bei einem schnellen Rechner durchaus merken. Das ganze System wird mehr oder weniger ausgebremst. Daher macht es Sinn, wenn Sie das Scannen auf Zeiten beschränken, in denen Sie nicht produktiv mit dem System arbeiten wollen, beispielsweise nachts. Zu diesem Zweck hat ClamTK einen Zeitplaner. Sie können unter Erweitert · Zeitplaner einen Zeitpunkt für das Scannen definieren (siehe Abbildung 20.11).

Abbildung 20.11 Nachts scannt es sich am bequemsten.


Galileo Computing - Zum Seitenanfang

20.5.2 Firewall Zur nächsten ÜberschriftZur vorigen Überschrift

Wenn Sie Windows verwenden, sind Sie es gewohnt, eine Firewall einzusetzen, um Ihren Computer zu schützen. Diese Firewall kann entweder software-seitig als Programm innerhalb von Windows installiert sein oder hardware-seitig in Form eines vorgeschalteten Routers.

Vorzugsweise mit einem Router

Die zweite Variante mittels eines Routers ist eindeutig zu bevorzugen, da eventuelle Angriffe direkt von diesem geblockt werden und Ihr PC »unberührt« bleibt. Ohne existierende Firewall ist Windows innerhalb von Minuten »verseucht«. Unter Ubuntu macht der Einsatz einer Firewall nur in bestimmten Fällen Sinn.

Eine Personal Firewall hat prinzipiell zwei Aufgaben:

  • Sie blockiert Zugriffe aus dem Internet auf Dienste, die auf dem Rechner laufen. Die Ubuntu-Standardinstallation bietet im Internet erst gar keine Dienste an, also gibt es auch nichts, was man blockieren könnte.
  • Sie blockiert ebenfalls unerwünschte Zugriffe vom Computer auf das Internet für Programme, die man absichtlich oder unabsichtlich (Viren, Trojaner, versteckte Spionageprogramme) auf seinem Computer installiert hat. Unter der Software, die über die offiziellen Ubuntu-Quellen installiert werden kann, befinden sich solche Spionageprogramme erst gar nicht.

Uncomplicated Firewall

Seit Ubuntu 8.04 ist in Ubuntu das Paket ufw (uncomplicated firewall. dt. unkomplizierte Firewall) enthalten. ufw ist nichts anderes als ein Verwaltungswerkzeug, um Firewall-Regeln auf dem Level des Kernels zu generieren. Es stellt also keine neue Technik zum Abwehren von Angriffen dar, sondern bedient sich zweier etablierter und in Ubuntu enthaltener Werkzeuge:

  • netfilter
    Vom technischen Standpunkt aus gesehen, befindet sich in jedem Linux-Kernel eine Firewall, die mit netfilter-Kernel-Modulen realisiert ist. Um diese Kernel-Module zu nutzen, sind allerdings Regeln notwendig, die ein spezielles Filtern explizit erlauben oder verbieten. Ohne diese Regeln sind die Kernel-Module untätig.
  • iptables
    Im Userspace (also außerhalb des Kernels) befindet sich das zweite Werkzeug: die iptables. Die iptables sind ein weit verbreitetes Tool, das auch in Ubuntu standardmäßig installiert ist. Allerdings sind in Ubuntu keinerlei Regeln für die iptables definiert.

Hooks: Netfilter sind sogenannte »Hooks«. Diese Hooks sind Schnittstellen, mit denen fremder Programmcode in eine bestehende Anwendung integriert werden kann. Dies kann entweder in der Absicht erfolgen, die Anwendung zu erweitern, deren Ablauf zu modifizieren oder um bestimmte Ereignisse abzufangen. Die Iptables-Befehle verwenden diese Hooks (Netfilter), um die von ihnen bearbeiteten Pakete zu untersuchen, zu manipulieren oder zu finden.


Die uncomplicated firewall wurde entwickelt, um das Erstellen von Firewall-Regeln zu vereinfachen. iptables besitzt leider eine sehr komplizierte Syntax, sodass das Erstellen eigener Regeln zu Beginn sehr zeitaufwendig sein kann. So müssen Sie normalerweise für iptables folgendes Kommando verwenden, um die Verbindungen einer spezifischen IP-Adresse (192.168.1.12) zu blockieren:

sudo iptables -A INPUT -s 192.168.1.12 -j REJECT

Mit ufw verwenden Sie für den gleichen Zweck das folgende Kommando:

sudo ufw deny from 192.168.1.12

Der Befehl ist durch ufw nicht nur kürzer, sondern auch lesbarer und damit für den Administrator verständlicher geworden. Lassen Sie dabei aber nicht außer Acht, dass ufw im Hintergrund trotzdem weiterhin iptables verwendet. ufw fungiert quasi lediglich als Übersetzer von einem Kommando in ein anderes. Das Einsatzgebiet liegt hauptsächlich im Serverbereich. Hier spart das einfache Erstellen von Firewall-Regeln wertvolle Zeit und Nerven.


Tabelle 20.6 Befehle für die Ubuntu-Firewall – allen Befehlen muss ein »sudo« vorangestellt werden.

Kommando Bedeutung

ufw enable

Die Firewall einschalten

ufw disable

Die Firewall ausschalten

ufw default allow

Alle Verbindungen standardmäßig erlauben

ufw default deny

Alle Verbindungen standardmäßig verbieten

ufw status

Zeigt den aktuellen Status und Regeln an.

ufw allow 'port'

Erlaube Traffic auf 'port'.

ufw deny 'port'

Verbiete Traffic auf 'port'.

ufw deny from 'ip'

Blockiere eine spezielle 'ip'.


Aufgrund der Tatsache, dass ufw nur ein »Kommando-Übersetzer« ist, macht die Entwicklung einer grafischen Oberfläche für ufw keinen Sinn. Es gibt hinreichend gute und einfach zu bedienende grafische Oberflächen für die Konfiguration von iptables. Das wohl prominenteste Beispiel ist Firestarter, das ich Ihnen im folgenden Tipp vorstelle. Seit Ubuntu 9.04 gibt es aus zwei Gründen dennoch auch eine grafische Oberfläche für die uncomplicated Firewall:

  • Firestarter kann jeweils nur eine Schnittstelle überwachen. Während dies für einen Server oder Desktop-PC völlig ausreicht, ist es für Notebook-Besitzer ein Ärgernis. Sie müssen bei wechselnden Netzen die Firewall jedes Mal neu konfigurieren.
  • Des Weiteren wird Firestarter nicht mehr aktiv weiterentwickelt. Dies ist zwar prinzipiell kein Problem, da das Programm ausgereift ist. Es ist also fraglich, ob zukünftig auftretende Sicherheitslücken oder Kompatibilitätsprobleme behoben werden.

Diese grafische Oberfläche befindet sich in den Paketquellen und lässt sich durch sudo apt-get install gufw installieren. Sie finden das Programm nach der Installation unter System · Systemverwaltung · Firewall Configuration.

Standardmäßig ist die Firewall inaktiv. Wenn Sie die Option Firewall aktiviert durch Setzen eines Häkchens auswählen, startet im Hintergrund die uncomplicated firewall und blockiert zunächst den gesamten ankommenden Datenverkehr. Dieses Verhalten ist erwünscht, sodass Sie Ausnahmen für bestimmte Programme definieren müssen. Hilfreich sind hier die drei Optionen Einfach, Vorkonfiguriert und Erweitert.

Der Funktionsumfang von gufw reicht allerdings nicht an Firestarter heran.

Abbildung 20.12 Die grafische Oberfläche zur »uncomplicated firewall« bietet vordefinierte Einstellungen an.


Die Firewall grafisch einrichten

Eine sehr gute und bequem zu konfigurierende Firewall ist Firestarter. Das Paket firestarter befindet sich in der Sektion universe und ist einfach über Synaptic zu installieren. Das Programm lässt sich durch das Kommando firestarter oder mit der Maus über Anwendungen · Internet starten. Beim ersten Start erscheinen einige leicht verständliche Aufforderungen, wie z. B. »Bitte wählen Sie das mit dem Internet verbundene Netzwerkgerät aus der Liste der verfügbaren Geräte.« etc. Nach Beendigung des Assistenten werden alle wichtigen Firewall-Regeln automatisch angelegt. Auf den zu schützenden Rechner darf erst einmal keiner zugreifen (»DROP all«), und der Rechner gibt keine Antwort auf Fragen wie z. B. ping.

Grundlegende Einstellungen wie z. B. die Antwort auf Ping-Abfragen können Sie dann unter Bearbeiten · Einstellungen vornehmen. Sinnvoll ist es hier, unter dem Punkt Benutzeroberfläche die beiden Häkchen zu setzen. Damit minimiert sich das Fenster beim Schließen in der Taskleiste, und Sie können Zugriffe direkt durch ein rotes Icon erkennen. Diese Zugriffe werden im Reiter Ereignisse im Hauptfenster protokolliert und angezeigt.

Im Reiter Richtlinie können Sie dann entsprechende Richtlinien wie z. B. Zugriffe aus dem Intranet zulassen anlegen, indem Sie mit der rechten Maustaste in die entsprechende Kategorie klicken und dann auf Regel hinzufügen. Das System startet beim nächsten Booten automatisch.


Abbildung 20.13 »Firestarter« – eine einfach zu konfigurierende Firewall

Offene Ports anzeigen

Um eine Firewall gezielt einzusetzen, ist es von Vorteil, wenn Sie wissen, welche Ports offen sind. Ein Port ist ein Teil einer Adresse, der Datensegmente einem Netzwerkprotokoll zuordnet. Beispiele für Ports sind 21 (FTP), 22 (SSH), 53 (DNS), 80 (HTTP) oder 3306 (MySQL).

Bei einer lokalen Firewall werden in der Regel nur die tatsächlich benötigten Ports freigegeben – alle anderen Ports bleiben gesperrt. Somit werden die Angriffspunkte auf ein Minimum reduziert. Mit einigen Bordmitteln können Sie viel über die offenen Ports Ihres Systems erfahren.


Tabelle 20.7 Grundlagen – Prüfen der Ports

Kommando Bedeutung

iptables -L -n | less

Teste Paket-Filter.

netstat -a

Finde alle offenen Ports.

netstat -l --inet

Finde alle auf Eingabe wartenden Ports.

netstat -ln --tcp

Finde (TCP, numerisch) Ports


Ich möchte hier nicht ins Detail gehen, Ihnen aber dennoch die grundsätzlichen Prinzipien zeigen, mit denen Sie an Informationen Ihres Systems herankommen. Für weitere Informationen benutzen Sie die Manpages oder schauen einfach im Internet nach.


Offene Ports anzeigen

Wenn Sie wissen wollen, welche Ports (sozusagen die Türen nach draußen) offen sind, ist der Befehl nmap genau richtig. Sie müssen dieses Programm erst mit dem Befehl

apt-get install nmap

installieren. Anschließend genügt ein einfaches

nmap localhost

Der eben genannte Befehl verschafft Ihnen schon einen recht guten Überblick über die Außentüren, die derzeit offen stehen. Er liefert beispielsweise folgende Ausgabe:

Starting nmap 3.81 (http://www.insecure.org/nmap/)
at 2006-01-05 21:29 CET
Interesting ports on localhost.localdomain:
(The 1660 ports scanned but not shown below are in
state: closed)
PORT      STATE SERVICE
631/tcp   open  ipp
32770/tcp open  sometimes-rpc3
32771/tcp open  sometimes-rpc5
Nmap finished: 1 IP address (1 host up) scanned in
0.430 seconds

Wenn Sie aber einen detaillierteren Überblick haben möchten, dann reicht dieser Befehl nicht mehr aus. Für solche Einsätze brauchen Sie netstat. Nicht jeder offene Port ist ein Einfallstor für Schädlinge. Einen Dienst mit dem Status »unbekannt« sollten Sie sich aber immer genauer anschauen.



Galileo Computing - Zum Seitenanfang

20.5.3 Sicherheits-Updates topZur vorigen Überschrift

Sicherheitslücken können auf jedem Computersystem vorkommen. Unter Ubuntu ist der Umgang damit besonders bequem gelöst:

  • Einmal täglich sucht Ubuntu automatisch in der Datenbank der verfügbaren Programme nach Sicherheits-Updates. Das betrifft nicht nur das Grundsystem, sondern normalerweise alle installierten Programme. Bei den Programmen, die in der Paketverwaltung Synaptic mit einem Ubuntu-Symbol gekennzeichnet sind, werden schnelle Sicherheits-Updates sogar garantiert.
  • Wenn Sicherheits-Updates vorliegen, erscheint im oberen Panel ein kleines Symbol, der Update-Notifier. Sie brauchen nur auf dieses Symbol zu klicken und Ihr Passwort einzugeben. Ihnen werden dann die verfügbaren Updates angezeigt, und Sie können diese installieren. So bleiben Sie einfach und zuverlässig auf dem neuesten Stand. Ab der Version Ubuntu 9.04 erscheint kein Hinweis auf verfügbare Updates mehr. Stattdessen wird sofort die Aktualisierungsverwaltung gestartet.
  • Bei Verwendung der original Ubuntu-Repositorys kann ausgeschlossen werden, dass sich Viren auf diesem Weg in Ihrem Rechner einnisten. Die Pakete sind hier von den Ubuntu-Entwicklern geprüft und mit einem zusätzlichen Schlüssel gekennzeichnet worden, der vor jeder Installation geprüft wird.

Ubuntu zeigt Ihnen verfügbare Sicherheits-Updates sofort an. Hierzu öffnet sich die Aktualisierungsverwaltung automatisch, um Sie auf diese Updates hinzuweisen. Wenn Sie diese Aktualisierung ignorieren, werden Sie täglich erinnert. Im Gegensatz hierzu werden Sie auf »normale« Updates lediglich alle sieben Tage hingewiesen.



Ihr Kommentar

Wie hat Ihnen das <openbook> gefallen? Wir freuen uns immer über Ihre freundlichen und kritischen Rückmeldungen.






<< zurück
  Zum Katalog
Zum Katalog: Ubuntu GNU/Linux

Ubuntu GNU/Linux
Jetzt bestellen


 Ihre Meinung?
Wie hat Ihnen das <openbook> gefallen?
Ihre Meinung

 Buchempfehlungen
Zum Katalog: Linux






 Linux


Zum Katalog: OpenVPN






 OpenVPN


Zum Katalog: LPIC-1






 LPIC-1


Zum Katalog: Debian GNU/Linux






 Debian GNU/Linux


Zum Katalog: Shell-Programmierung






 Shell-Programmierung


Zum Katalog: Webserver einrichten und administrieren






 Webserver einrichten
 und administrieren


Zum Katalog: VirtualBox






 VirtualBox


Zum Katalog: IT-Handbuch für Fachinformatiker






 IT-Handbuch für
 Fachinformatiker


 Shopping
Versandkostenfrei bestellen in Deutschland und Österreich
InfoInfo




Copyright © Galileo Press 2010
Für Ihren privaten Gebrauch dürfen Sie die Online-Version natürlich ausdrucken. Ansonsten unterliegt das <openbook> denselben Bestimmungen, wie die gebundene Ausgabe: Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Alle Rechte vorbehalten einschließlich der Vervielfältigung, Übersetzung, Mikroverfilmung sowie Einspeicherung und Verarbeitung in elektronischen Systemen.


[Galileo Computing]

Galileo Press, Rheinwerkallee 4, 53227 Bonn, Tel.: 0228.42150.0, Fax 0228.42150.77, info@galileo-press.de