Die meisten Systeme haben vertrauliche Daten, die geschützt werden müssen. Um diese Daten zu schützen, müssen wir unser Linux-System absichern. Aber wie härtet man ein Linux-System richtig ab? In diesem Artikel werden wir dies Schritt für Schritt behandeln. Wir beginnen mit Maßnahmen, um zu verhindern, dass Unbefugte überhaupt auf das System zugreifen können. Als nächstes führen wir die Installation richtig durch, damit wir eine solide Grundlage haben. Schließlich wenden wir eine Reihe von allgemeinen Sicherheitsmaßnahmen an. Wenn wir damit fertig sind, sollte Ihr Server- oder Desktop-System besser geschützt sein.
Linux ist bereits standardmäßig sicher, oder?
Einer der Mythen über Linux ist, dass es sicher ist, da es nicht anfällig für Viren oder andere Formen von Malware ist. Das stimmt teilweise, da Linux die Grundlagen des ursprünglichen UNIX-Betriebssystems nutzt. Prozesse sind getrennt und ein normaler Benutzer ist in seinen Möglichkeiten auf dem System eingeschränkt. Dennoch ist Linux standardmäßig nicht vollkommen sicher. Einer der Gründe dafür sind die Linux-Distributionen, die den GNU/Linux-Kernel und die dazugehörige Software paketieren. Sie müssen zwischen Benutzerfreundlichkeit, Leistung und Sicherheit wählen.
Bei den schwierigen Entscheidungen, die Linux-Distributionen treffen müssen, können Sie sicher sein, dass sie Kompromisse eingehen. Diese Kompromisse führen in der Regel zu einem geringeren Maß an Sicherheit. Was ist mit Malware für Linux? Das ist definitiv ein Mythos. Auch die Linux-Plattform hat ihren Anteil an Backdoors, Rootkits, Works und sogar Ransomware. Das ist einer der Gründe, warum es wichtig ist, das System zu härten, Sicherheitsaudits durchzuführen und die Einhaltung technischer Richtlinien zu überprüfen.
Es gibt viele Aspekte der Linux-Sicherheit, einschließlich Linux-Systemhärtung, Auditing und Compliance, sodass sich der Arbeitsaufwand schnell summiert. Dieser IT-Service in München unterstützt Sie gerne und hält Ihre Systeme sauber und sicher.
Was ist Systemhärtung?
Um das Sicherheitsniveau eines Systems zu verbessern, ergreifen wir verschiedene Arten von Maßnahmen. Dies kann die Entfernung eines bestehenden Systemdienstes oder die Deinstallation einiger Softwarekomponenten sein.
Systemhärtung ist der Prozess, bei dem wir die „richtigen“ Dinge tun. Das Ziel ist es, das Sicherheitsniveau des Systems zu erhöhen. Es gibt viele Aspekte, um ein System richtig zu sichern. Die Grundlagen sind jedoch bei den meisten Betriebssystemen ähnlich. Der Prozess der Systemhärtung für Linux-Desktops und -Server ist also etwas ganz Besonderes.
Grundprinzipien der Systemhärtung
Wenn wir die Systemhärtung unter die Lupe nehmen, können wir den Prozess in ein paar Kernprinzipien unterteilen. Dazu gehören das Prinzip der geringsten Privilegien, die Segmentierung und die Reduzierung.
Prinzip der geringsten Privilegien
Das Prinzip der geringsten Privilegien bedeutet, dass Sie Benutzern und Prozessen das absolute Minimum an Berechtigungen erteilen, um ihre Aufgabe zu erfüllen. Es ist vergleichbar damit, einem Besucher Zugang zu einem Gebäude zu gewähren. Sie könnten ihm vollen Zugang zu dem Gebäude gewähren, einschließlich aller sensiblen Bereiche. Die andere Möglichkeit ist, dass Sie Ihrem Gast nur Zugang zu einem einzigen Stockwerk gewähren, in dem er sich aufhalten muss.
Beispiele:
- Wenn reiner Lesezugriff ausreicht, erteilen Sie keine Schreibberechtigungen
- Erlauben Sie keinen ausführbaren Code in Speicherbereichen, die als Datensegmente gekennzeichnet sind
- Führen Sie Anwendungen nicht als Root-Benutzer aus, sondern verwenden Sie stattdessen ein nicht privilegiertes Benutzerkonto
Segmentierung
Das nächste Prinzip ist, dass Sie größere Bereiche in kleinere aufteilen. Wenn wir uns das Gebäude noch einmal ansehen, haben wir es in mehrere Etagen unterteilt. Jedes Stockwerk kann weiter in verschiedene Zonen unterteilt werden. Vielleicht ist Ihr Besucher nur auf Etage 4, in der blauen Zone, erlaubt. Wenn wir dies auf die Sicherheit von Linux übertragen, würde dieses Prinzip auch für die Speichernutzung gelten. Jeder Prozess kann nur auf seine eigenen Speichersegmente zugreifen.
Reduktion
Dieses Prinzip zielt darauf ab, etwas zu entfernen, das für das Funktionieren des Systems nicht unbedingt erforderlich ist. Es ähnelt dem Prinzip der geringsten Privilegien, konzentriert sich aber darauf, etwas von vornherein zu verhindern. Ein Prozess, der nicht ausgeführt werden muss, sollte gestoppt werden. Ähnliches gilt für nicht benötigte Benutzerkonten oder sensible Daten, die nicht mehr verwendet werden.
Schritte zur Systemhärtung
1. Installieren Sie Sicherheitsupdates und Patches
Die meisten Schwachstellen in Systemen werden durch Fehler in der Software verursacht. Diese Fehler nennen wir Schwachstellen. Eine sorgfältige Verwaltung von Software-Patches trägt dazu bei, viele der damit verbundenen Risiken zu verringern. Die Installation von Updates birgt oft nur ein geringes Risiko, insbesondere wenn Sie zuerst mit den Sicherheitspatches beginnen. Die meisten Linux-Distributionen bieten die Möglichkeit, die Pakete, die Sie aktualisieren möchten, einzuschränken (alle, nur Sicherheitsupdates, pro Paket). Stellen Sie sicher, dass Ihre Sicherheitsupdates installiert werden, sobald sie verfügbar sind. Bevor Sie etwas implementieren, sollten Sie es natürlich zuerst auf einem (virtuellen) Testsystem testen.
Abhängig von Ihrer Linux-Distribution gibt es vielleicht eine Möglichkeit, Sicherheitspatches automatisch zu implementieren, wie z.B. unbeaufsichtigte Upgrades bei Debian und Ubuntu. Das macht die Verwaltung von Software-Patches sehr viel einfacher!
2. Verwenden Sie starke Passwörter
Der Hauptzugang zu einem System erfolgt über die Anmeldung als gültiger Benutzer mit dem zugehörigen Passwort dieses Kontos. Starke Kennwörter erschweren es Tools, das Kennwort zu erraten und böswillige Personen durch die Vordertür eindringen zu lassen. Ein starkes Passwort besteht aus einer Vielzahl von Zeichen (alphanumerisch, Zahlen, Sonderzeichen wie Prozent, Leerzeichen oder sogar Unicode-Zeichen).
3. Binden Sie Prozesse an localhost
Nicht alle Dienste müssen über das Netzwerk verfügbar sein. Wenn Sie beispielsweise eine lokale Instanz von MySQL auf Ihrem Webserver ausführen, lassen Sie sie nur auf einem lokalen Socket lauschen oder binden Sie sie an localhost (127.0.0.1). Konfigurieren Sie dann Ihre Anwendung so, dass sie eine Verbindung über diese lokale Adresse herstellt, die in der Regel bereits die Standardadresse ist.
4. Implementieren Sie eine Firewall
Im Idealfall sollte nur erlaubter Datenverkehr Ihr System erreichen. Um dies zu erreichen, implementieren Sie eine Firewall-Lösung wie iptables oder das neuere nftables.
Wenn Sie eine Richtlinie für Ihre Firewall erstellen, sollten Sie eine „Alles verweigern, einiges erlauben“-Richtlinie verwenden. Sie verweigern also standardmäßig den gesamten Datenverkehr und legen dann fest, welche Art von Datenverkehr Sie zulassen möchten. Dies ist vor allem für eingehenden Datenverkehr nützlich, um die gemeinsame Nutzung von Diensten zu verhindern, die Sie nicht freigeben wollten.
5. Halten Sie alles sauber
Alles, was auf einem System installiert ist, das dort nicht hingehört, kann sich nur negativ auf Ihren Rechner auswirken. Außerdem verlängert es Ihre Backups (und Wiederherstellungszeiten). Oder sie könnten Sicherheitslücken enthalten. Ein sauberes System ist oft ein gesünderes und sichereres System. Daher ist die Minimalisierung eine großartige Methode im Prozess der Linux-Härtung.
6. Sichere Konfigurationen
Die meisten Anwendungen verfügen über eine oder mehrere Sicherheitsmaßnahmen, um die Software oder das System vor bestimmten Bedrohungen zu schützen. Informieren Sie sich in der Manpage über alle Optionen und testen Sie diese Optionen sorgfältig.
7. Zugriff beschränken
Erlauben Sie den Zugriff auf den Rechner nur autorisierten Benutzern. Braucht jemand wirklich Zugriff oder gibt es alternative Methoden, um dem Benutzer das zu geben, was er will?
8. Überwachen Sie Ihre Systeme
Die meisten Eindringlinge bleiben unentdeckt, weil sie nicht überwacht werden. Implementieren Sie eine normale Systemüberwachung und eine Überwachung von Sicherheitsereignissen. Die Verwendung des Linux-Audit-Frameworks hat beispielsweise die Entdeckungsrate von verdächtigen Ereignissen erhöht.
9. Erstellen Sie Backups
Erstellen Sie regelmäßig ein Backup der Systemdaten. Dies kann Datenverluste verhindern. Noch wichtiger ist es, Ihre Backups zu testen. Eine Sicherungskopie zu haben ist schön, aber die Wiederherstellung ist das Entscheidende!
