Sicherheit und Linux
Heute geht es wieder um das Thema Sicherheit unter Linux als Desktop. Zunächst muss einmal festgestellt werden, das Linux-Desktopsysteme, wenn sie regelmäßig mit Updates versorgt werden, schon einmal sicherer als Server sind. Das liegt schlicht an der Tatsache, das Server verschiedene Dienste anbieten, die vom Internet aus erreichbar sein müssen. Dazu gibt es in der Regel einige offene "Ports", also Schnittstellen nach außen. Diese werden in der Regel durch eine Firewall geschützt, die, zumindest in der Theorie, verdächtigen Verkehr abfängt. Beim Desktop gibt es aber viel weniger Angriffsflächen nach außen, da er solche Dienste normalerweise nicht anbietet. Die wenigen Viren, die es für Linux gibt, zielen vor allem auf Server ab, und das hat einen guten Grund. Denn an vielen Linuxservern hängen Windows-Clients, die oft das eigentliche Ziel des Angriffs sind.
Doch auch ein Desktopsystem sollte gepflegt werden. Wie schon eingangs erwähnt, sind regelmäßige Sicherheitsupdates das wichtigste. Wenn man sich damit nicht belasten will, gibt es für Debian-basierte Systeme z. B. das Paket "unattended-upgrades", das automatisch Sicherheitsupdates einspielt. Alle größeren Linux-Distributionen wie Debian, Mint, Fedora, Ubuntu und Opensuse werden mit Updates versorgt. Aber auch bei dem Rolling-Releasesystem Manjaro ist man auf der sicheren Seite, da dahinter die Arch-Linux Community steht. Über Virenscanner habe ich ja schon berichtet, hier kann man sich darüber streiten, ob sie nötig sind. Außerdem sollte ein Virenscanner nicht Systemdateien löschen oder in Quarantäne schicken können, da sich dann eine veritable Sicherheitslücke auftun würde. Viele werden von Windows auch die Trennung von Administrator und normaler Benutzer kennen, die bei Linux, soweit ich weiss, schon immer aktiviert war (im Gegensatz zu Windows). Linux ist so konzipiert, dass man generell nur dann "root" (der Administrator) werden kann, wenn man sein Passwort eingibt. Es sollte selbstverständlich sein, dass man ein Passwort auswählt, das nicht von einer Wörterbuchattacke geknackt werden kann. Interessant ist das Konzept von Apparmor, hier geht es, so weit ich das verstanden habe, um die Rechte, die ein Programm hat. Von wichtigen Programmen sind sog. "Profile" angelegt, also was ein Programm darf oder nicht. Wenn es außerhalb dieses Profiles agiert, wird dies von Apparmor unterbunden. Andere Sicherheitskonzepte basieren auf Änderungen an System und Programmdateien. Wenn eine Änderung einer Programmdatei registiert wird, die nicht den Ursprung in einer normalen Installation oder eines Updatevorganges hat, dann wird Alarm geschlagen.
Wichtig sind auch die Systemlogs in dem Verzeichnis "/var/log", diese sollten zu Rate gezogen werden, wenn man schon einen Verdacht hat. Sehr nützlich ist das Terminal-Programm "rkhunter", das ich hier exemplarisch vorstellen möchte. Dieses hat allerdings in der Version von Debian Stretch (stable) und Ubuntu 18.04 einen kleinen Bug, da sich die Update-Funktion nicht aktivieren lässt. Aber dies lässt sich durch folgende Veränderungen an der Datei /etc/rkhunter.conf wieder beheben (sudo nano /etc/rkhunter.conf):
UPDATE_MIRRORS=0 #UPDATE_MIRRORS=1 MIRRORS_MODE=1 #MIRRORS_MODE=0 #LANGUAGE=de LANGUAGE=de UPDATE_LANG="en" #UPDATE_LANG="" WEB_CMD="/bin/false" #WEB_CMD=""
(die erste Zeile ist die alte Codezeile, die durch die zweite Zeile ersetzt werden muss)
"#" steht vor einem Kommentar, oder wenn man Code deaktivieren will, ohne ihn zu löschen
Näheres zu dem Bug ist bei "debianforum.de" zu finden: https://debianforum.de/forum/viewtopic.php?t=166137
Doch auch ein Desktopsystem sollte gepflegt werden. Wie schon eingangs erwähnt, sind regelmäßige Sicherheitsupdates das wichtigste. Wenn man sich damit nicht belasten will, gibt es für Debian-basierte Systeme z. B. das Paket "unattended-upgrades", das automatisch Sicherheitsupdates einspielt. Alle größeren Linux-Distributionen wie Debian, Mint, Fedora, Ubuntu und Opensuse werden mit Updates versorgt. Aber auch bei dem Rolling-Releasesystem Manjaro ist man auf der sicheren Seite, da dahinter die Arch-Linux Community steht. Über Virenscanner habe ich ja schon berichtet, hier kann man sich darüber streiten, ob sie nötig sind. Außerdem sollte ein Virenscanner nicht Systemdateien löschen oder in Quarantäne schicken können, da sich dann eine veritable Sicherheitslücke auftun würde. Viele werden von Windows auch die Trennung von Administrator und normaler Benutzer kennen, die bei Linux, soweit ich weiss, schon immer aktiviert war (im Gegensatz zu Windows). Linux ist so konzipiert, dass man generell nur dann "root" (der Administrator) werden kann, wenn man sein Passwort eingibt. Es sollte selbstverständlich sein, dass man ein Passwort auswählt, das nicht von einer Wörterbuchattacke geknackt werden kann. Interessant ist das Konzept von Apparmor, hier geht es, so weit ich das verstanden habe, um die Rechte, die ein Programm hat. Von wichtigen Programmen sind sog. "Profile" angelegt, also was ein Programm darf oder nicht. Wenn es außerhalb dieses Profiles agiert, wird dies von Apparmor unterbunden. Andere Sicherheitskonzepte basieren auf Änderungen an System und Programmdateien. Wenn eine Änderung einer Programmdatei registiert wird, die nicht den Ursprung in einer normalen Installation oder eines Updatevorganges hat, dann wird Alarm geschlagen.
Wichtig sind auch die Systemlogs in dem Verzeichnis "/var/log", diese sollten zu Rate gezogen werden, wenn man schon einen Verdacht hat. Sehr nützlich ist das Terminal-Programm "rkhunter", das ich hier exemplarisch vorstellen möchte. Dieses hat allerdings in der Version von Debian Stretch (stable) und Ubuntu 18.04 einen kleinen Bug, da sich die Update-Funktion nicht aktivieren lässt. Aber dies lässt sich durch folgende Veränderungen an der Datei /etc/rkhunter.conf wieder beheben (sudo nano /etc/rkhunter.conf):
UPDATE_MIRRORS=0 #UPDATE_MIRRORS=1 MIRRORS_MODE=1 #MIRRORS_MODE=0 #LANGUAGE=de LANGUAGE=de UPDATE_LANG="en" #UPDATE_LANG="" WEB_CMD="/bin/false" #WEB_CMD=""
(die erste Zeile ist die alte Codezeile, die durch die zweite Zeile ersetzt werden muss)
"#" steht vor einem Kommentar, oder wenn man Code deaktivieren will, ohne ihn zu löschen
Einen allgemeinen Check startet man mit "sudo rkhunter -c", das Update der Datenbank mit "sudo rkhunter --update". Näheres findet man im wiki von "ubuntuusers.de". Aber Achtung: rkhunter produziert zuweilen falsche Alarme, hier hilft aber oft Tante Google weiter, wenn man die Ausgabe von rkhunter im Suchfeld eingibt.
Ein weites Feld ist die Firewall, hier gibt es bei vielen Usern von Ubuntu die Meinung, dass bei einem Desktop keine Dienste nach außen angeboten werden, die geschützt werden müssen. Aber mit dem Tool "gufw" hat man zumindest einen weiteren Schutz, falls man sich auf die Firewall im Router nicht verlassen will. Es gibt auch keinen Konflikt mit der Update-Funktion von rkhunter, nur die Update-Funktion von dem Virenscanner "Clamav" (Befehl: freshclam) habe ich nicht getestet.
Update 13.12.2018:
Zu Beginn der Linux-Installation sollte man die Iso-Datei verfizieren. Wie das geht, steht hier (Ubuntu-Mate): http://ubuntu-mate.org/how-to-verify-downloads/ (Englisch)
Es hat schon verschiedene Versuche gegeben, in Software-Repositories einzudringen oder gefälschte ISOs unter die Leute zu bringen. Zum Glück ist die Anzahl solcher Nachrichten aber überschaubar.
Ein weites Feld ist die Firewall, hier gibt es bei vielen Usern von Ubuntu die Meinung, dass bei einem Desktop keine Dienste nach außen angeboten werden, die geschützt werden müssen. Aber mit dem Tool "gufw" hat man zumindest einen weiteren Schutz, falls man sich auf die Firewall im Router nicht verlassen will. Es gibt auch keinen Konflikt mit der Update-Funktion von rkhunter, nur die Update-Funktion von dem Virenscanner "Clamav" (Befehl: freshclam) habe ich nicht getestet.
Update 13.12.2018:
Zu Beginn der Linux-Installation sollte man die Iso-Datei verfizieren. Wie das geht, steht hier (Ubuntu-Mate): http://ubuntu-mate.org/how-to-verify-downloads/ (Englisch)
Es hat schon verschiedene Versuche gegeben, in Software-Repositories einzudringen oder gefälschte ISOs unter die Leute zu bringen. Zum Glück ist die Anzahl solcher Nachrichten aber überschaubar.
Kommentare
Kommentar veröffentlichen