[FONT="]Admins aufgepasst: Wir geben Tipps für Datensicherung, Verschlüsselung, Backup und Hackerabwehr.[/FONT]
[FONT="]Für die meisten Sicherheitsaufgaben bringt Linux von Haus aus mächtige Werkzeuge mit. Der erste Teil unseres zweiteiligen Beitrags konzentrierte sich auf den Bereich Datensicherung. Mit den folgenden Tipps können Sie Hacker nicht nur abwehren, sondern auch gezielt in die Falle locken. Sie können Ihre Daten nicht nur verschlüsseln, sondern dabei auch noch alle Spuren verwischen. [/FONT]
[FONT="]Schnelltest auf Rootkits[/FONT]
[FONT="]Hacker versuchen in der Regel, ihre Prozesse vor den Blicken eines aufmerksamen Administrators zu verstecken. Mit dem Befehl "ps" sind Prozesse nicht zu sehen, im Systempfad "/proc" tauchen diese aber meistens trotzdem auf. Die folgende Befehlszeile zählt die Prozesse, die ps anzeigt, und die, die in /proc gelistet sind:[/FONT]
[FONT="]ls -d /proc/* | grep [0-9]|wc -l; PS ax | wc -l[/FONT]
[FONT="]Weichen beide Zahlen erheblich voneinander ab, ist das ein Indiz für ein Rootkit: Dateien, die Ziffern in ihren Namen enthalten, verfälschen das Ergebnis.[/FONT]
[FONT="]SSL für alle[/FONT]
[FONT="]Ihr bevorzugter Newsserver wurde auf SSL-Verschlüsselung umgestellt und KNode kann nicht mehr zugreifen? Oder Sie möchten Ihre eigenen Server mit SSL ausrüsten, aber die eingesetzten Server-Dämonen beherrschen das nicht? Kein Problem mit Stunnel. Der universelle SSL-Wrapper verpackt beliebige TCP-Verbindungen ins Secure Socket Layer. Das Tool kann unter
[FONT="]VPN schnell und einfach[/FONT]
[FONT="]Virtuelle private Netze auf der Basis von IPsec sind oft knifflig zu installieren, nicht alle Clients vertragen sich mit allen Servern.
[FONT="]Käfighaltung[/FONT]
[FONT="]Sicherheitskritische Dienste wie Datei- oder Mailserver sollten immer in chroot-Umgebungen laufen. chroot setzt dem Dienst ein eigenes Startverzeichnis als root vor, so dass der Dienst auf das eigentliche Dateisystem keinen Zugriff hat. Wird der Dienst gehackt, kann der Angreifer nur innerhalb des chroot-Käfigs Schaden anrichten. Der Mail-server Postfix treibt das auf die Spitze, indem er seinen Dienst in mehrere Teilschritte aufteilt, die jeweils von eigenen Dämonen in eigenen chroot-Käfigen ausgeführt werden. Um einen Dienst in einem chroot-Käfig zu starten, stellen Sie dem Startbefehl die chroot-Funktion voraus, etwa mit [/FONT]
[FONT="]chroot /nimm/dies/als/root ftpd -o option1[/FONT]
[FONT="]Hackquarium[/FONT]
[FONT="]Wer alle Standard-Sicherheitsmaßnahmen umgesetzt hat und noch mehr tun will, kann einen Honeypot aufstellen. Der sieht von außen aus wie ein lohnendes Angriffsziel. Von innen lassen sich aber die Aktivitäten des Hackers im Honeypot isolieren und beobachten wie in einem Aquarium. Schnell und einfach ist so eine Hackerfalle mit Honeywall aufgesetzt. Honeywall ist eine unsichtbare Bridging-Firewall, die zwei Netzwerk-Segmente verbindet. Der Traffic wird analysiert und über eine dritte Netzwerk-Schnittstelle zur Beobachtung weitergeleitet. Zwei alte PCs reichen, um die Falle aufzustellen. Die Link veralten (gelöscht) gibt es Link veralten (gelöscht).[/FONT]
[FONT="]Würmer angeln[/FONT]
[FONT="]Linux-Admins müssen meist auch Windows-Rechner vor Würmern schützen. Da ist es hilfreich, so schnell wie möglich über neue Wurm-Epidemien informiert zu sein.
[FONT="]Unveränderliche Dateien[/FONT]
[FONT="]Die Dateisysteme EXT2 und EXT3 bieten zusätzliche Dateiattribute, mit deren Hilfe Dateien noch besser geschützt werden können. Die Attribute lassen sich mit dem Kommando "lsattr" anzeigen und mit dem Befehl "chattr" ändern. Dateien, die Sie besonders gut schützen wollen, können Sie mit dem Attribut "-i" für immutable versehen. Diese Dateien bleiben dann selbst für root unveränderlich, bis das Attribut wieder entfernt wird. [/FONT]
[FONT="]USB-Stick verschlüsseln[/FONT]
[FONT="]Als Backup-Medien für wichtige Dateien sind USB-Sticks optimal – solange sie nicht gestohlen werden oder verlorengehen. USB-Sticks sollten daher immer verschlüsselt sein, etwa mit
[FONT="]cryptsetup -c aes-cbc-essiv:sha256 -s 256 luksFormat /dev/sda1[/FONT]
[FONT="]Im Container kann dann ein Dateisystem angelegt werden.
[FONT="]Auto-Backup[/FONT]
[FONT="]Sicherungskopien sollten auf zentralen Servern angelegt werden. Empfehlenswert ist es, einmal wöchentlich ein Komplett-Backup mit tar auf den zentralen Server zu spielen und dieses täglich mit rsync zu aktualisieren. Dabei bietet es sich an, das rsync-Kommando auf den Clients als Shutdown-Script anzulegen:[/FONT]
[FONT="]rsync -az /home/edgar [/FONT][FONT="]
backupzentrale:/home/edgar[/FONT]
[FONT="]Dabei schaltet die Option "-a" die rekursive Kopie zu Archivzwecken ein, und "z" sorgt für Komprimierung.[/FONT]
[FONT="]Dienste abschalten[/FONT]
[FONT="]Um mögliche Angriffsziele zu minimieren, sollte der Admin grundsätzlich alle nicht benötigten Dienste abschalten, etwa echo, charges, discard, daytime, time, talk, ntalk sowie die als extrem unsicher geltenden Kommandos rsh, rlogin und rcp. Für Letztere gibt es die sicheren Alternativen ssh und scp. Nachdem die nicht benötigten Dienste deaktiviert sind, sollte der Systemverwalter prüfen, ob der Dienst inetd überhaupt noch benötigt wird – Dienste können alternativ auch als Daemon gestartet werden. Wenn ja, gibt es empfehlenswerte Alternativen zu inetd, die vielfältiger konfiguriert werden können, beispielsweise xinetd oder rlinetd.[/FONT]
[FONT="]Dateien überwachen[/FONT]
[FONT="]Eine wichtige Aufgabe des Systemadministrators ist die regelmäßige Überwachung aller Dateien im System. Angreifer können etwa durch das Verändern von Systemdateien oder von Programmdateien die Kontrolle über einen Rechner erhalten. Das Auffinden dieser Veränderungen ist nur möglich, wenn der Stand vor der Veränderung bekannt ist. Debian-basierte Linux-Distributionen überprüfen mit Hilfe des ausgeklügelten Paketsystems die installierten Dateien. Das Tool cruft untersucht das komplette Dateisystem nach Dateien, die im Grunde nicht vorhanden sein sollten, beziehungsweise nach Dateien, die sich nicht mehr im Dateisystem finden lassen. [/FONT]
Quelle
C-Welt
[FONT="]Für die meisten Sicherheitsaufgaben bringt Linux von Haus aus mächtige Werkzeuge mit. Der erste Teil unseres zweiteiligen Beitrags konzentrierte sich auf den Bereich Datensicherung. Mit den folgenden Tipps können Sie Hacker nicht nur abwehren, sondern auch gezielt in die Falle locken. Sie können Ihre Daten nicht nur verschlüsseln, sondern dabei auch noch alle Spuren verwischen. [/FONT]
[FONT="]Schnelltest auf Rootkits[/FONT]
[FONT="]Hacker versuchen in der Regel, ihre Prozesse vor den Blicken eines aufmerksamen Administrators zu verstecken. Mit dem Befehl "ps" sind Prozesse nicht zu sehen, im Systempfad "/proc" tauchen diese aber meistens trotzdem auf. Die folgende Befehlszeile zählt die Prozesse, die ps anzeigt, und die, die in /proc gelistet sind:[/FONT]
[FONT="]ls -d /proc/* | grep [0-9]|wc -l; PS ax | wc -l[/FONT]
[FONT="]Weichen beide Zahlen erheblich voneinander ab, ist das ein Indiz für ein Rootkit: Dateien, die Ziffern in ihren Namen enthalten, verfälschen das Ergebnis.[/FONT]
[FONT="]SSL für alle[/FONT]
[FONT="]Ihr bevorzugter Newsserver wurde auf SSL-Verschlüsselung umgestellt und KNode kann nicht mehr zugreifen? Oder Sie möchten Ihre eigenen Server mit SSL ausrüsten, aber die eingesetzten Server-Dämonen beherrschen das nicht? Kein Problem mit Stunnel. Der universelle SSL-Wrapper verpackt beliebige TCP-Verbindungen ins Secure Socket Layer. Das Tool kann unter
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
geladen werden. [/FONT][FONT="]VPN schnell und einfach[/FONT]
[FONT="]Virtuelle private Netze auf der Basis von IPsec sind oft knifflig zu installieren, nicht alle Clients vertragen sich mit allen Servern.
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
schafft Abhilfe. Es wird an beiden Endpunkten der Verbindung installiert. Ein einzelnes Semikolon in der Konfigurationsdatei ernennt den einen Rechner zum Server und den anderen zum Client. OpenVPN steht auch für Windows zur Verfügung. Es benutzt standardmäßig Port 5000 mit dem Protokoll UDP, der muss also in allen beteiligten Firewalls freigeschaltet werden.[/FONT][FONT="]Käfighaltung[/FONT]
[FONT="]Sicherheitskritische Dienste wie Datei- oder Mailserver sollten immer in chroot-Umgebungen laufen. chroot setzt dem Dienst ein eigenes Startverzeichnis als root vor, so dass der Dienst auf das eigentliche Dateisystem keinen Zugriff hat. Wird der Dienst gehackt, kann der Angreifer nur innerhalb des chroot-Käfigs Schaden anrichten. Der Mail-server Postfix treibt das auf die Spitze, indem er seinen Dienst in mehrere Teilschritte aufteilt, die jeweils von eigenen Dämonen in eigenen chroot-Käfigen ausgeführt werden. Um einen Dienst in einem chroot-Käfig zu starten, stellen Sie dem Startbefehl die chroot-Funktion voraus, etwa mit [/FONT]
[FONT="]chroot /nimm/dies/als/root ftpd -o option1[/FONT]
[FONT="]Hackquarium[/FONT]
[FONT="]Wer alle Standard-Sicherheitsmaßnahmen umgesetzt hat und noch mehr tun will, kann einen Honeypot aufstellen. Der sieht von außen aus wie ein lohnendes Angriffsziel. Von innen lassen sich aber die Aktivitäten des Hackers im Honeypot isolieren und beobachten wie in einem Aquarium. Schnell und einfach ist so eine Hackerfalle mit Honeywall aufgesetzt. Honeywall ist eine unsichtbare Bridging-Firewall, die zwei Netzwerk-Segmente verbindet. Der Traffic wird analysiert und über eine dritte Netzwerk-Schnittstelle zur Beobachtung weitergeleitet. Zwei alte PCs reichen, um die Falle aufzustellen. Die Link veralten (gelöscht) gibt es Link veralten (gelöscht).[/FONT]
[FONT="]Würmer angeln[/FONT]
[FONT="]Linux-Admins müssen meist auch Windows-Rechner vor Würmern schützen. Da ist es hilfreich, so schnell wie möglich über neue Wurm-Epidemien informiert zu sein.
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
ist ein Daemon, der wurmanfällige Windows-Dienste unter Linux emuliert. Spricht ein Schädling eine dieser Schnittstellen an, wird er heruntergeladen und für eine Analyse gespeichert. Mit den gefangenen Würmern können Sie eigene Analysen anstellen oder testen, wie schnell Ihr Antivirus-Hersteller auf neue Epidemien reagiert.[/FONT][FONT="]Unveränderliche Dateien[/FONT]
[FONT="]Die Dateisysteme EXT2 und EXT3 bieten zusätzliche Dateiattribute, mit deren Hilfe Dateien noch besser geschützt werden können. Die Attribute lassen sich mit dem Kommando "lsattr" anzeigen und mit dem Befehl "chattr" ändern. Dateien, die Sie besonders gut schützen wollen, können Sie mit dem Attribut "-i" für immutable versehen. Diese Dateien bleiben dann selbst für root unveränderlich, bis das Attribut wieder entfernt wird. [/FONT]
[FONT="]USB-Stick verschlüsseln[/FONT]
[FONT="]Als Backup-Medien für wichtige Dateien sind USB-Sticks optimal – solange sie nicht gestohlen werden oder verlorengehen. USB-Sticks sollten daher immer verschlüsselt sein, etwa mit
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
. Auf dem USB-Stick wird ein verschlüsselter Container erzeugt:[/FONT][FONT="]cryptsetup -c aes-cbc-essiv:sha256 -s 256 luksFormat /dev/sda1[/FONT]
[FONT="]Im Container kann dann ein Dateisystem angelegt werden.
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
.[/FONT][FONT="]Auto-Backup[/FONT]
[FONT="]Sicherungskopien sollten auf zentralen Servern angelegt werden. Empfehlenswert ist es, einmal wöchentlich ein Komplett-Backup mit tar auf den zentralen Server zu spielen und dieses täglich mit rsync zu aktualisieren. Dabei bietet es sich an, das rsync-Kommando auf den Clients als Shutdown-Script anzulegen:[/FONT]
[FONT="]rsync -az /home/edgar [/FONT][FONT="]
backupzentrale:/home/edgar[/FONT]
[FONT="]Dabei schaltet die Option "-a" die rekursive Kopie zu Archivzwecken ein, und "z" sorgt für Komprimierung.[/FONT]
[FONT="]Dienste abschalten[/FONT]
[FONT="]Um mögliche Angriffsziele zu minimieren, sollte der Admin grundsätzlich alle nicht benötigten Dienste abschalten, etwa echo, charges, discard, daytime, time, talk, ntalk sowie die als extrem unsicher geltenden Kommandos rsh, rlogin und rcp. Für Letztere gibt es die sicheren Alternativen ssh und scp. Nachdem die nicht benötigten Dienste deaktiviert sind, sollte der Systemverwalter prüfen, ob der Dienst inetd überhaupt noch benötigt wird – Dienste können alternativ auch als Daemon gestartet werden. Wenn ja, gibt es empfehlenswerte Alternativen zu inetd, die vielfältiger konfiguriert werden können, beispielsweise xinetd oder rlinetd.[/FONT]
[FONT="]Dateien überwachen[/FONT]
[FONT="]Eine wichtige Aufgabe des Systemadministrators ist die regelmäßige Überwachung aller Dateien im System. Angreifer können etwa durch das Verändern von Systemdateien oder von Programmdateien die Kontrolle über einen Rechner erhalten. Das Auffinden dieser Veränderungen ist nur möglich, wenn der Stand vor der Veränderung bekannt ist. Debian-basierte Linux-Distributionen überprüfen mit Hilfe des ausgeklügelten Paketsystems die installierten Dateien. Das Tool cruft untersucht das komplette Dateisystem nach Dateien, die im Grunde nicht vorhanden sein sollten, beziehungsweise nach Dateien, die sich nicht mehr im Dateisystem finden lassen. [/FONT]
Quelle
C-Welt
