Auch Linux-Systeme müssen geschützt werden

Linux-Systeme härten mit dem Harden-Paket

von - 30.03.2016
19,9 Tage dauert es im Durchschnitt, um alle Folgen eines DDoS-Angriffs zu beseitigen (Quelle: Ponemon Institute)
Auch wenn im Unternehmen eine Endpoint-Security eta­bliert ist, hat der Administrator noch genügend zu tun. Seine Aufgabe ist es etwa, dafür zu sorgen, das das Linux-Betriebssystem und die darauf laufenden Programme abgesichert werden. Man spricht hier auch von Härten.
Die Linux-Distribution Debian und deren Abkömmlinge sind sehr häufig auf Linux-Servern zu finden. Für Debian ist ein Paket namens Harden erhältlich, das die Installation von schädlichen Programmen sowie das Löschen wichtiger Software wirksam verhindert. Für Distributionen, die nicht von Debian abstammen, gibt es in der Regel vergleichbare Pakete.
Im Harden-Paket sind verschiedene kleinere Pakete enthalten. Alle Harden-Pakete werden laufend aktualisiert. Sicherheitskritische Software wird durch entsprechende Abhängigkeiten, die in diesen Paketen festgelegt sind, von der Installation ausgeschlossen. Wenn ein Benutzer etwa versucht, den als unsicher geltenden Telnet-Daemon zu installieren, dann erhält er von dem Paketverwaltungssystem die Warnung, dass sich Telnet und Harden gegenseitig ausschließen. Um Telnet zu installieren, müsste also zuvor Harden deinstalliert werden. Und das kann nur der Administrator.
20 Tipps für Linux-Admins
  • Nicht benötigte Dienste deaktivieren
  • Nicht benötigte Softwarepakete deinstallieren
  • Fernzugriff nur über SSH erlauben
  • SSH sicher konfigurieren, Port ändern
  • Root-Login per SSH verhindern
  • Unverschlüsselte Netzwerkdienste wie Telnet und FTP deaktivieren
  • BIOS und Bootloader per Passwort schützen
  • Boot-Partition auf read-only stellen
  • Kennwortrichtlinien einführen – etwa bezüglich Alter, Qualität und Mindestlänge des Passworts
  • Kernel und Softwarepakete stets auf dem neuesten Stand halten
  • Pakete nur aus sicheren Quellen installieren
  • Mandatory Access Control (MAC) einsetzen, etwa SELinux
  • Schlüsselbasierte Anmeldung verwenden
  • Kein Filesharing via NFS und SMB
  • Regelmäßige System-Backups durchführen und testen
  • IPv6 deaktivieren, da hierfür noch keine ausgereiften
  • Monitoring-Tools existieren
  • Ein Intrusion Detection System installieren
  • In der Firewall eingehenden Verkehr blockieren und aus­gehenden Verkehr erlauben
  • Benutzerkonten auf leere Passwörter prüfen
  • Die Erkennung von USB-Sticks deaktivieren
Indem er ein Harden-Paket installiert und entsprechend einrichtet, sorgt der Administrator also dafür, dass keine potenziell sicherheitskritischen Programme in das System gelangen oder sicherheitsrelevante Anwendungen entfernt werden.
Seite
  1. Teil: Auch Linux-Systeme müssen geschützt werden
  2. Teil: Endpoint-Security-Lösungen für Linux
  3. Teil: Linux-Systeme härten mit dem Harden-Paket
  4. Teil: Schutz vor DDoS-Angriffen auf Netzwerkebene
  5. Teil: Linux-Systeme und das Internet der Dinge
Verwandte Themen

Mehr zum Thema