Systemsicherheit: Unix richtig konfigurieren
Unix ist mit seinen Derivaten Solaris, Linux, FreeBSD usw. von Hause aus wenig angreifbar. Doch gerade diese Betriebssystemfamilie besticht eben gerade dadurch, daß auf ihnen einfach nichts mehr unmöglich ist. Unter GNU/GPL ist eine Unzahl an perfekt funktionierender Server-Software zum Nulltarif und weil's so schön ist, auch noch im Quelltext verfügbar.
Ein Systemadministrator, der seinen Wrapper (inetd oder was auch immer) nicht absichert, dort Telnet, RSH und weitere "zugangsfreundliche" Dienste starten läßt und sich des weiteren nicht um sichere Passwörter kümmert, der muß sich nicht wundern, wenn sich bald die Hacker wie die Osterhasen auf seinem Rechner tummeln.
Grundsätzlich gelten auch für die sonst so sicheren Unix-Betriebssysteme folgende Sicherheitsmaßregeln:
- Klartextübertragung vermeiden
- Die SSH ist nicht nur für einen Konsolezugang bestens geeignet, man kann mit ihr auch jeden beliebigen Port tunneln. Vorteil: Die gesamte Übertragung erfolgt verschlüsselt, auch die getunnelten Protokolle. Besonders schick: Der gesamte Datenverkehr läßt sich auch komprimieren, was die scheinbare Bandbreite des Internetzugangs beträchtlich vergrößert. Kommandos wie ftp, cp, rsh werden überflüssig und durch ihre sicheren Pendants sftp, scp und ssh ersetzt. Den inetd muß man auch nicht zwingend starten.
- Möglichst nicht als "root" arbeiten
- Beim "normalen" Arbeiten mit einem Unix-Desktop genügt es volkommen, sich als einfacher User einzuloggen. Sollte also doch einmal ein (bisher noch nicht bekannter) Virus an dem System vergreifen wollen, dann hat er eben nur eingeschränkte Rechte und kann dem System nichts anhaben. Web- und Mailserver niemals mit Rootrechten laufen lassen!
- Eine Firewall kann auch nicht schaden
- Wenn dann noch eine Firewall dazu kommt, wird das Unix-System zum Bollwerk! Bei einem Server,
der seine Dienste weltweit zur Verfügung stellen soll, die Paketfilterung restriktiv gestalten.
Meist reichen die Ports 22 (SSH), 25 (SMTP), 80 (HTTP),
110 (POP3), 443 (HTTPS) völlig aus. FTP läßt
sich leicht durch ein getunneltes RSYNC ersetzen.
Um herauszufinden, welche Ports auf einem Unix-System offen sind, genügt die Ausgabe des Kommandos socklist, man muß also nicht, wie unter Windows, ein extra Programm dazu installieren.
Bei einem reinen Desktop-System können eingehende Verbindungen auf allen Ports komplett geblockt werden.
Die in Unix integrierbaren Paketfilter arbeiten weit besser als alle Windows-basierten Pendants, die uns bekannt sind. Sie sind außerdem weit besser konfigurierbar.