Tipps und Tricks: Allgemeine Hinweise zur Sicherheit

In Übereinstimmung mit dem Prinzip, immer nur mit den eingeschränktesten Berechtigungen für die einzelnen Aufgaben zu arbeiten, sollten Sie Ihre täglichen Routine-Aufgaben nicht als root erledigen. Das verringert das Risiko, sich ein Kuckucksei oder einen Virus einzufangen, und schützt Sie vor eigenen Fehlern.

Verwenden Sie nach Möglichkeit immer verschlüsselte Verbindungen, um Arbeiten von einem entfernten Standort aus durchzuführen. Verwenden Sie standardmäßig ssh (secure shell) anstelle von telnet, ftp, rsh und rlogin.

Benutzen Sie keine Authentifizierungsmethoden, die allein auf der IP-Adresse basieren.

Halten Sie Ihre wichtigsten Pakete für den Netzwerkbereich immer auf dem neuesten Stand und abonnieren Sie die entsprechenden Mailinglisten, um neue Versionen der jeweiligen Software (bind, postfix, ssh usw.) zu erhalten. Dasselbe gilt für Software, die nur lokale Sicherheitsrelevanz hat.

Optimieren Sie die Zugriffsrechte für sicherheitskritische Dateien im System, indem Sie die Datei /etc/permissions an die Sicherheitsanforderungen des Systems anpassen. Wenn Sie das setuid-Bit aus einem Programm entfernen, kann dieses seine Aufgabe möglicherweise nicht mehr ordnungsgemäß erledigen. Auf der anderen Seite stellt das Programm dann aber in der Regel auch kein Sicherheitsproblem mehr dar. Mit einer ähnlichen Vorgehensweise können Sie auch allgemein schreibbare Dateien (Berechtigungsstufe "world") und Verzeichnisse bearbeiten.

Deaktivieren Sie jegliche Netzwerkdienste, die Sie auf Ihrem Server nicht zwingend brauchen. Das macht Ihr System sicherer. Offene Ports (mit Socket-Status LISTEN) finden Sie mit dem Programm netstat. Als Optionen bieten sich netstat -ap oder netstat -anp an. Mit der Option -p können Sie sehen, welcher Prozess einen Port unter welchem Namen belegt.

Vergleichen Sie die Ergebnisse von netstat mit einem vollständigen Portscan des Hosts von außen. Das Programm nmap ist dafür hervorragend geeignet. Es überprüft nicht nur jeden einzelnen Port des Hosts, sondern kann anhand der Antwort des Hosts Schlüsse über einen hinter dem Port wartenden Dienst ziehen. Scannen Sie niemals einen Rechner ohne das direkte Einverständnis des Administrators, denn dies könnte als aggressiver Akt aufgefasst werden. Denken Sie daran, dass Sie nicht nur TCP-Ports scannen sollten, sondern auf jeden Fall auch UDP-Ports (Optionen -sS und -sU).

Um die Integrität der Dateien in Ihrem System zuverlässig zu überwachen, verwenden Sie das Programm AIDE (Advanced Intrusion Detection Environment), das unter openSUSE verfügbar ist. Verschlüsseln Sie die von AIDE erstellte Datenbank, um unbefugte Zugriffe auf diese zu verhindern. Bewahren Sie außerdem ein Backup dieser Datenbank an einem sicheren Ort auf. Verwenden Sie dazu jedoch ein externes Speichermedium, das nicht über eine Netzwerkverbindung mit Ihrem Computer verbunden ist.

Seien Sie vorsichtig beim Installieren von Drittanbietersoftware. Es gab schon Fälle, wo ein Angreifer tar-Archive einer Sicherheitssoftware mit einem trojanischen Pferd versehen hat. Zum Glück wurde dies schnell bemerkt. Wenn Sie ein Binärpaket installieren, sollten Sie sicher sein, woher das Paket kommt.

SUSE-RPM-Pakete sind mit GPG signiert. Der von SUSE zum Signieren verwendete Schlüssel lautet wie folgt:

ID:9C800ACA 2000-10-19 SUSE Package Signing Key <build@suse.de>
Key fingerprint = 79C1 79B2 E1C8 20C1 890F 9994 A84E DAE8 9C80 0ACA

Der Befehl rpm --checksig package.rpm zeigt an, ob die Prüfsumme und die Signatur eines (nicht installierten) Pakets korrekt sind. Sie finden den Schlüssel auf der ersten CD der Distribution oder auf den meisten Schlüsselservern der Welt.

Überprüfen Sie regelmäßig die Backups der Benutzer- und Systemdateien. Ohne eine zuverlässige Aussage über die Qualität des Backups ist das Backup unter Umständen wertlos.

Überprüfen Sie die Protokolldateien. Nach Möglichkeit sollten Sie sich ein kleines Skript schreiben, welches die Protokolldateien nach ungewöhnlichen Einträgen absucht. Diese Aufgabe ist alles andere als trivial. Schließlich wissen nur Sie, was ungewöhnlich ist und was nicht.

Verwenden Sie tcp_wrapper, um den Zugriff auf die einzelnen Dienste Ihres Computers einzuschränken, und explizit anzugeben, welchen IP-Adressen der Zugriff gestattet ist. Weitere Informationen zu tcp_wrapper finden Sie auf den man-Seiten zu tcpd und hosts_access (man 8 tcpd, man hosts_access).

Verwenden Sie SuSEfirewall, um die durch tcpd (tcp_wrapper) zur Verfügung gestellte Sicherheit zu verbessern.

Entwickeln Sie redundante Sicherheitsmaßnahmen: Eine doppelt angezeigte Meldung ist besser als keine Meldung.

Wenn Sie "Suspend to Disk" verwenden, können Sie nach Wunsch die Suspend-Image-Verschlüsselung mithilfe des Skripts configure-suspend-encryption.sh ausführen. Das Programm erstellt den Schlüssel, kopiert ihn zu /etc/suspend.key und ändert /etc/suspend.conf so, dass für Suspend-Images Verschlüsselung verwendet wird.