Appendix A
A. Linux Specials
Von August Hörandl
Auch bei einem Linux Rechner sollten einige Vorkehrungen gegen Eindringlinge getroffen werden. Zur Vereinfachung der Konfiguration gibt es einige Tools.
Ich persönlich verwende folgende IP-Chains Regeln:
Datei /root/ipchains.rules
:input ACCEPT :forward ACCEPT :output ACCEPT -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -i eth0 -p 6 -l -y -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -i eth0 -p 6 -j DENY -yDamit werden alle Versuche eines Verbindungsaufbaus (-y SYN Pakete) mitgeloggt und dann abgelehnt. Einzelne Ports kann man mit einer zusätzlichen Zeile öffnen (am Anfang einfügen).
Beispiel: Zugriffe auf Port 123 zulassen:
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 123 -i eth0 -p 6 -j ACCEPT -yBeim Start wird folgendes Kommando ausgeführt (habe ich bei meiner S.u.S.E. in /sbin/init.d/firewall eingefügt):
/sbin/ipchains-restore < /root/ipchains.rulesHOWTO: Telekabel & Linux
Informationen zu Linux von Berthold Müller, recht aktuelle Web-Seite mit den Kapiteln Hinweise zum Erstellen einer Firewall mit IPCHAINS und Praktisches Beispiel einer Firewall mit IPCHAINS.
comp.os.linux.security FAQ – Häufig gestellte Fragen und deren Antworten (englisch) aus der Usenet-Newsgruppe, zusammengestellt und betrieben von Daniel Swan. Neu seit Anfang 2001!Firewall unter Linux 2.4
Paket-Handling & andere ErweiterungenDeutlich verbessert wurde unter Linux 2.4 unter anderem auch der Firewall-Code. Verbessertes Paket-Handling erleichtert die Realisierung von transparenten Proxys, aber auch den Betrieb von Clustern zur optimalen Lastaufteilung und Ähnliches. Das Tollste an der neuen Architektur ist aber die vorgesehene Möglichkeit, erweiterte Filtermethoden zu implementieren. Dazu der Artikel von SecurityPortal: Linux Gets Stateful Firewalling. The Netfilter Project. (Quelle: ORF/FutureZone, 23. 01. 2001)
Artikel bei Nickles.de: Angst vor Hacker? - So schützt man sein Linux
Freedom Internet Privacy Suite von Zero-Knowledge
Details zu diesem Produkt hier.
Linux Kernel 2.2.17 verfügbar; ernstes Sicherheitsproblem behoben!
Der neueste Linux-Kernel behebt unter anderem einen Bug der Kernel-Versionen bis 2.2.15, der es lokalen Benutzern gestattet, sich zum SuperUser "root" aufzuschwingen. Obwohl bislang keine Angriffe bekannt geworden sind, die diesen Fehler ausnutzen, ist ein Kernelupdate wärmstens zu empfehlen.
Kommentar eines Lesers: »Man mußte nur eine Applikation finden, die mit SuperUser-Rechten läuft, einen Teil dieser Rechte freiwillig wieder abgibt und einem nachher die Möglichkeit gibt, eben diese Rechte auszunutzen (weil das freiwillige Abgeben der Rechte nicht hinhaut).«
Ausführlicherer Artikel dazu bei heise online.
Download Kernel 2.2.17: Goodie Domain, The Public Linux Archive.Quelle: ORF FutureZone, 11.06.2000Siehe auch FuZo-Artikel vom 8. September 2000:
Schwere Sicherheitslücke bei Unix entdeckt
.:eSS:. Der Ech0 Security Scanner (eSS) checkt Remote Hosts auf bekannte Sicherheitslücken.
TOP 50 unter den derzeit verfügbaren Security Tools (vorwiegend für Linux). Aktuelle Liste und Kurzbeschreibungen der Software, veröffentlicht von Insecure.Org, Entwickler des Linux-Port-Scanners nmap (gibt es seit kurzem auch für Windows NT). Nessus, Netcat, Tcpdump, Snort, Saint, Etheral, Whisker, Abacus Portsentry, Satan, Firewalk, traceroute/ping/telnet, Cerberus, Nemesis und so weiter sind übersichtlich aufgezählt, mit WWW-Hyperlinks versehen und von Abonnenten der einschlägigen Mailing-Liste bewertet.
Gauntlet Unix für BSDI Internet Server 3.1, Solaris 2.6 oder HP-UX 10.20 von Network Associates (Nasdaq: NETA) gilt als eine der sichersten Firewalls, obwohl soeben ein böses Sicherheitsloch entdeckt wurde.
Auf unserer Virenscanner-Seite sind ein paar Unix-Virenscanner angeführt.
Heise Newsticker: Anti-Viren-Software F-Prot für Linux
Auch unter Unix kann es mit eMail-Datei-Beilagen Probleme geben.
Lutz Donnerhacke empfiehlt in der Newsgroup de.comp.security procmail: »Ein Schweizer-Taschenmesser für automatische Verarbeitung einkommender eMail.« Thomas Bueschgens ergänzt: »procmail ist ein Tool von Stephen van den Berg (BugLess), welches mit einer eher als kryptisch zu bezeichnenden Sprache in der Lage ist, eingehende Mails an verschiedenen Stellen im System zu behandeln. Entweder auf Userseite, wenn Sendmail die Mail bei ihm abgeworfen hat (so war es vor X Jahren eigentlich nur im Einsatz), später dann auch als lokaler Mail-Verschieber, der von Sendmail unter anderem eingesetzt wird.
Da ja die meisten ›guten‹ Mailserver nach wie vor unter Sendmail/Qmail oder wegen meiner auch Smail laufen, bietet sich hier die Möglichkeit, mittels procmail die Mails vor der Auslieferung an den User nach bestimmten Zeichenketten nahezu beliebiger Komplexität zu durchsuchen, also auch sämtliche ausführbaren Anhänge zu entschärfen, wenn die Policy dies vorsehen sollte.
Wie gesagt, die Kommandosprache ist etwas gewöhnungsbedürftig, aber als Physiker hatte Stephen da wohl keine Probleme.«
Jemand anderer meint: »Die Procmail-Sourcen sind nicht sehr erfreulich und Vertrauen einflößend, und es gab auch schon Sicherheitsprobleme. Daher empfehle ich stattdessen Maildrop.«
Thomas dazu: »Nun, daß Stephen in den ersten Versionen wohl einige Probleme hatte (ich erinnere mich an 1994 oder so), mag ja sein. Mittlerweile wird Procmail sogar vom CERT empfohlen, um eMail-Viren anzugehen.
Hier ein paar Beispiele:
CERT Advisory CA-99-04-Melissa-Macro-Virus
CERT Advisory CA-2000-04 Love Letter Worm
CERT® Coordination Center Alerts
Nahezu jedes eMail-Problem, welches durch Virenscanner immer nur ›durch Reaktion des Virentoolverkäufers‹ behandelt werden kann, ist durch Procmail unmittelbar nach Bekanntwerden bestimmter Charakteristika zu erledigen.
Komischerweise empfiehlt das CERT maildrop gar nicht... strange.«
Umstieg möglich?
Genug von den ständigen Meldungen über Sicherheitslöcher in Windows-Betriebssystemen und Windows-Software? Was ist dran am hochgelobten Linux? Wer mal einen kleinen Eindruck vom Look & Feel von Linux gewinnen möchte, kann dies sogleich online ohne Installations-Hürden verwirklichen. Funktioniert mit jedem Betriebssystem:
Man gehe zu WorkSpot und registriere sich dort (Sign Up Here). Der Account wird in ein paar Minuten freigeschaltet (eMail), nicht in ein paar Tagen wie dort angekündigt. Während man auf die Mail wartet, muß man den VNC-Viewer installieren – eigentlich nur downloaden und die File-Extension dem Windows-System bekanntgeben (genaue Anleitung steht dort).
Nach dem Log-In kann man dann seinen privaten Linux-Desktop über die Karteikarte auf der Web-Seite anfordern. In einer Minute stellt der Browser tatsächlich einen weitestgehend funktionstüchtigen »KDE-Desktop« dar! Die Applikation kfm ist schon geöffnet, in die Adreßzeile kann sogleich eine URL eingegeben werden, die dann auch angesurft wird.
Die anderen Linux-Browser finden sich hinter dem K ganz links auf der unteren Leiste (wo sich »normalerweise« der Start-Button befindet). Dort "Debian Applications", "Apps", "Net" anwählen, die Browser heißen gzlla, Lynx (sehr puristisch) und Mozilla Navigator (funktioniert am besten).
Dateien können auf dem WorkSpot-Server zur weiteren Bearbeitung abgespeichert werden. Der einzige Unterschied zu einem richtig installierten Linux ist die Geschwindigkeit, aber zum testweise Rumspielen reichts, sogar MineSweeper funktioniert. Für einen »realen« Umstieg sollte man sich zunächst um die Hardware-Kompatibilität kümmern.
Viel Spaß!
elektronischen Privatsphäre im Breitband-Internet
Diese Seite wurde zuletzt am Donnerstag, dem 07. März MMII, aktualisiert
Redaktion: ms
URL: http://www.home.pages.at/heaven/sec.htm