Rheinwerk Computing < openbook > Rheinwerk Computing - Professionelle Bücher. Auch für Einsteiger.
Professionelle Bücher. Auch für Einsteiger.

Inhaltsverzeichnis
Vorwort
1 Einleitung
TEIL I: Einstieg in Linux
2 Die Installation
3 Erste Schritte
4 Linux als Workstation für Einsteiger
TEIL II: Grundlagen
5 Kernel
6 Grundlagen aus Anwendersicht
TEIL III: Die Shell
7 Die Shell
8 Reguläre Ausdrücke
9 Konsolentools
10 Die Editoren
11 Shellskriptprogrammierung mit der bash
12 Die C-Shell
TEIL IV: System- & Netzwerkadministration
13 Benutzerverwaltung
14 Grundlegende Verwaltungsaufgaben
15 Netzwerkgrundlagen
16 Anwendersoftware für das Netzwerk
17 Netzwerkdienste
18 Mailserver unter Linux
19 LAMP & Co.
20 DNS-Server
21 Secure Shell
TEIL V: Die grafische Oberfläche
22 Die grafische Oberfläche
23 Window-Manager und Desktops
24 X11-Programme
25 Multimedia und Spiele
TEIL VI: Systeminterna
26 Prozesse und IPC
27 Bootstrap und Shutdown
28 Dateisysteme
29 Virtualisierung und Emulatoren
TEIL VII: Programmierung und Sicherheit
30 Softwareentwicklung
31 Crashkurs in C und Perl
32 Einführung in Computersicherheit
33 Netzwerksicherheit überwachen
TEIL VIII: Anhang
A Lösungen zu den einzelnen Aufgaben
B Kommandoreferenz
C X11-InputDevices
D MBR
E Buch-DVDs
F Glossar
G Literatur
Stichwort
Ihre Meinung?

Spacer
Linux von Johannes Plötner, Steffen Wendzel
Das umfassende Handbuch
Buch: Linux

Linux
Rheinwerk Computing
1282 S., 5., aktualisierte Auflage 2012, geb., mit 2 DVDs
49,90 Euro, ISBN 978-3-8362-1822-1
Pfeil 32 Einführung in Computersicherheit
Pfeil 32.1 Sicherheitskonzepte
Pfeil 32.2 Unix und Sicherheit
Pfeil 32.2.1 Benutzer und Rechte
Pfeil 32.2.2 Logging
Pfeil 32.2.3 Netzwerkdienste
Pfeil 32.3 Grundlegende Absicherung
Pfeil 32.3.1 Nach der Installation
Pfeil 32.3.2 Ein einfaches Sicherheitskonzept
Pfeil 32.4 Backups und Datensicherungen
Pfeil 32.4.1 Backup-Strategien
Pfeil 32.4.2 Software
Pfeil 32.5 Updates
Pfeil 32.6 Firewalls
Pfeil 32.6.1 Grundlagen
Pfeil 32.6.2 Firewalling unter Linux: Netfilter/iptables
Pfeil 32.6.3 iptables im Detail
Pfeil 32.7 Proxyserver
Pfeil 32.7.1 Funktion
Pfeil 32.7.2 Einsatz
Pfeil 32.7.3 Beispiel: Squid unter Linux
Pfeil 32.8 Virtuelle private Netzwerke mit OpenVPN
Pfeil 32.8.1 Pre-shared Keys
Pfeil 32.8.2 Zertifikate mit OpenSSL
Pfeil 32.8.3 OpenVPN als Server einrichten
Pfeil 32.8.4 OpenVPN als Client
Pfeil 32.9 Verdeckte Kanäle und Anonymität
Pfeil 32.10 Mails verschlüsseln: PGP und S/MIME
Pfeil 32.10.1 PGP/GPG
Pfeil 32.10.2 S/MIME
Pfeil 32.11 Trojanische Pferde
Pfeil 32.12 Logging
Pfeil 32.13 Partitionierungen
Pfeil 32.14 Restricted Shells
Pfeil 32.15 Loadable Kernel Modules
Pfeil 32.16 chroot
Pfeil 32.17 Kernel-Erweiterungen und ProPolice
Pfeil 32.17.1 ProPolice
Pfeil 32.17.2 SELinux/SEBSD und AppArmor
Pfeil 32.17.3 Openwall (OWL)
Pfeil 32.17.4 grsecurity
Pfeil 32.17.5 PaX
Pfeil 32.18 Sichere Derivate und Distributionen
Pfeil 32.18.1 Trusted Solaris (jetzt Teil von Solaris)
Pfeil 32.18.2 OpenBSD
Pfeil 32.18.3 TrustedBSD
Pfeil 32.18.4 Hardened Gentoo
Pfeil 32.18.5 Openwall
Pfeil 32.18.6 Fedora Core
Pfeil 32.19 Zusammenfassung
Pfeil 32.20 Aufgaben

Rheinwerk Computing - Zum Seitenanfang

32.2 Unix und SicherheitZur nächsten Überschrift

Im Folgenden wollen wir zunächst klären, mit welchen Sicherheitskonzepten Linux und BSD von Haus aus bereits ausgestattet sind. Erst wenn man diese Eigenschaften versteht und richtig nutzt, macht eine weitergehende Absicherung Sinn.


Rheinwerk Computing - Zum Seitenanfang

32.2.1 Benutzer und RechteZur nächsten ÜberschriftZur vorigen Überschrift

Unix ist von Haus aus mehrbenutzerfähig. Dies impliziert das bereits ausführlich vorgestellte Benutzer- und Rechtesystem. Ein normaler Benutzer hat dabei in aller Regel keinen Vollzugriff auf das System – und das ist unter Sicherheitsgesichtspunkten auch gut so.

Schließlich braucht man keine Schreibrechte auf wichtige Programme – man will sie nur ausführen. Man möchte als normaler Benutzer Geräte nur benutzen und keine neuen Treiber für sie konfigurieren. Auch gehen einen die Dateien anderer Benutzer nichts an, es sei denn, der Zugriff würde explizit erlaubt.

Da der Eigentümer eine Eigenschaft eines Prozesses ist, können und sollten Serverdienste unter speziellen Benutzerkennungen laufen. Wird nämlich ein solcher Dienst durch einen Exploit (also eine Software zum Ausnutzen von Programmierfehlern) dazu gebracht, Code eines Angreifers auszuführen, läuft dieser Code unter einem eingeschränkten Benutzerkonto. Wenn der Administrator also nicht als root am System arbeitet oder Dienste laufen lässt, so ist eine gewisse Grundsicherheit auf jeden Fall gewährleistet.


Rheinwerk Computing - Zum Seitenanfang

32.2.2 LoggingZur nächsten ÜberschriftZur vorigen Überschrift

Eine weitere, sicherheitsrelevante Eigenschaft von Linux/Unix ist das Logging. Darüber kann nachvollzogen werden, was im System passiert und schon passiert ist. Im Falle einer Systemkompromittierung kann nachvollzogen werden, wer sich wann und von welcher IP-Adresse aus eingeloggt hat. Bei einem Serverproblem kann anhand der Logfiles in der Regel nachvollzogen werden, wo das Problem genau liegt und wie es vielleicht behoben werden kann.

Natürlich besteht der erste Schritt eines Angreifers normalerweise darin, die Logfiles zu »desinfizieren« – also entweder nur die verdächtigen Meldungen oder gleich die ganzen Logfiles zu löschen. Setzt man dagegen einen zentralen Logging-Server ein, wie in Abschnitt Syslog beschrieben wurde, wird dieses Unterfangen für den Angreifer schon schwieriger.


Rheinwerk Computing - Zum Seitenanfang

32.2.3 NetzwerkdiensteZur vorigen Überschrift

Aber auch die normalerweise installierten Netzwerkdienste sind in der Regel auf Sicherheit bedacht. So wird zum Beispiel der SSH-Dienst, der Verschlüsselungsalgorithmen nutzt, anstelle des unsicheren Telnet installiert. Dabei handelt es sich zwar um einen sicheren Dienst, aber eine wichtige Frage stellt sich doch: Was braucht man eigentlich wirklich?

Oft werden zum Beispiel folgende Dienste installiert, die man auf einem Serversystem kaum benötigen wird:

  • portmap
    Setzt man auf dem Server kein NFS und keinen famd ein, so kann man den Dienst portmap deinstallieren. Alternativ kann dieser so konfiguriert werden, dass er nur auf dem Loopback-Device horcht.
  • *identd
    Über diesen Dienst kann man herausfinden, unter welchen Benutzerrechten ein Prozess läuft, der eine bestimmte TCP-Verbindung geöffnet hat – bloß weg damit!
  • fingerd
    Über den Dienst fingerd können Sie herausfinden, welche Benutzer gerade eingeloggt sind. Dies ist nichts, was man auf einem öffentlichen Server haben möchte.
  • etc.
    Leider gibt es noch viel mehr unsichere (besonders auch unbekannte) Dienste, so dass wir sie an dieser Stelle nicht alle aufzählen können.


Ihr Kommentar

Wie hat Ihnen das <openbook> gefallen? Wir freuen uns immer über Ihre freundlichen und kritischen Rückmeldungen.

>> Zum Feedback-Formular
<< zurück
 Ihre Meinung?
Wie hat Ihnen das <openbook> gefallen?
Ihre Meinung

 Buchempfehlungen
Zum Katalog: Linux Handbuch






 Linux Handbuch


Zum Katalog: Linux Server






 Linux Server


Zum Katalog: Raspberry Pi






 Raspberry Pi


Zum Katalog: Ubuntu 14.04 LTS






 Ubuntu 14.04 LTS


Zum Katalog: Roboter bauen mit Arduino






 Roboter bauen
 mit Arduino


 Shopping
Versandkostenfrei bestellen in Deutschland und Österreich
InfoInfo




Copyright © Rheinwerk Verlag GmbH 2012
Für Ihren privaten Gebrauch dürfen Sie die Online-Version natürlich ausdrucken. Ansonsten unterliegt das <openbook> denselben Bestimmungen, wie die gebundene Ausgabe: Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Alle Rechte vorbehalten einschließlich der Vervielfältigung, Übersetzung, Mikroverfilmung sowie Einspeicherung und Verarbeitung in elektronischen Systemen.


Nutzungsbestimmungen | Datenschutz | Impressum

Rheinwerk Verlag GmbH, Rheinwerkallee 4, 53227 Bonn, Tel.: 0228.42150.0, Fax 0228.42150.77, service@rheinwerk-verlag.de