Linux Magazin Sonderheft 02/2008

Das aktuelle Sonderheft des Linux Magazins beschäftigt sich dem Untertitel Sicher im Netz entsprechend durchgehend mit der IT-Sicherheit und richtet dabei das Hauptaugenmerk auf Webserver. Nach einer kurzen Vorstellung der Distribution Nubuntu (Network Ubuntu), welches entgegen dem sonst so bunten Ubuntu völlig auf grafischen Schnickschnack verzichtet und dafür eine Fülle an Tools zum Testen der Sicherheit von Servern und Netzwerk bietet.

Direkt danach kommen 8 Seiten, die sich mit dem äußerst unangenehmen Thema Rootkits beschäftigen. Neben der grundlegenden Funktionsweise unterschiedlich komplexer Rootkits wird dort umfassend aufgezeigt, was nach dem Einschleusen eines Rootkits dabei alles im System verbogen sein könnte. Die Standardbefehle wie ps, ls usw. sind klar, aber auch einige weit tiefer greifende Gefahren wie sie zum Beispiel durch Rootkits auf Kernelebene (Kernelmodul) entstehen werden beleuchtet. Bisher zum Glück in der freien Wildbahn noch irrelevant sind die in Forschungskreisen bereits vorhandenen Varianten mit Virtualisierung. Die Gefahr steckt im Begriff: das Rootkit selbst wird zum Herr der Lage und virtualisiert das eigentliche Betriebssystem. Je nach Komplexität dieser in naher Zukunft durchaus denkbaren Gefahr wird dabei eine Erkennung vor allem auf in Rechenzentren stehenden Servern problematisch. Dieser Bereich der Zeitschrift beschäftigt sich ebenfalls mit der Erkennung eines Befalls und nennt zahlreiche Tools, von denen ein Teil (z.B. chkrootkit) Serveradmins bereits aus aktuellen Hostinglösungen bekannt sein sollte.

Gerade für Server, die regelmäßig mit BruteForce-Attacken bearbeitet werden, bieten sich die beiden Daemons sshutout und fail2ban an. Während ersterer schlank daherkommt und nur die Logs nach fehlgeschlagenen ssh-Logins durchsucht, lassen sich mit fail2ban bekanntlich zahlreiche Dienste überwachen. Beiden Tools gemein ist, dass sie nach einigen fehlgeschlagenen Loginversuchen automatisch iptables-Regeln hinzufügen und später wieder entfernen. Auf den Seiten 20/21 des Sonderheftes gibt es dafür einen kleinen Einblick. Wer mit fail2ban allerdings mehr überwachen und schützen möchte, als nur ssh bzw. den htaccess-Zugriffschutz des Apache, der muss sich noch etwas tiefer ins Thema einarbeiten - dank der Einführung und vorhandener bzw. frei verfügbarer zusätzlicher Jails (vsftpd, proftpd, diverse Mailserver, …) sollte dies kein Problem darstellen.

Recht interessant für extrem sicherheitsrelevante Bereiche ist auch der sich anschließende Artikel über SE Linux mit seinen Zugriffsrechte-Erweiterungen. SE Linux ist eine Kernelerweiterung, die ursprünglich von der NSA entwickelt seit Kernel 2.6 fester Bestandteil von Linux ist. Die jedem Linux-Nutzer bekannte Zugriffskontrolle per DAC (Mandatory Access Control) wird mittels SE Linux um die MAC (Mandatory Access Control) erweitert, welche objektbasiert Zugriffsrechte auf Dateien, Ports usw. bedeutend detaillierter definierbar macht. Mit Hilfe vorgefertigter Policies lässt sich der Administrationsaufwand in Grenzen halten. Allerdings wird im Artikel ausdrücklich darauf hingewiesen, dass ohne weitere Anpassungen Fedora Core momentan für SE Linux am besten ausgestattet ist. Weiter hinten im Heft wird auch novh ein Buch zu SE Linux und App Armor vorgestellt.
Direkt im Anschluss daran findet sich ein in der Unternehmens-Praxis noch weit wichtigeres und doch sehr ähnliches Thema: ACLs. Mit Hilfe von ACLs (Zugriffskontrollisten) lassen sich auch unter Linux problemlos Rechte für Dateien über die Standardmöglichkeiten von User/Gruppe/Alle hinaus erweitern. Alle heute gängigen großen Distributionen sollten die entsprechenden Boardmittel mitbringen bzw. leicht nachinstallierbar (Debian 4.0 Etch: apt-get install acl) zur Verfügung stellen. Im Artikel werden umfangreich die ACL-Standardbefehle getfacl und setfacl beschrieben. Da noch lange nicht alle Linux-Programme die sogenannten Posix-ACLs unterstützen, ist beim Kopieren und Packen von per ACL erweiterten Dateirechten so einiges zu beachten. Besonders kritisch wird es, wenn die Daten auf andere Dateisysteme kopiert werden sollen - auf einem Windowsserver als Ziel dürfte man anschließend gut beschäftigt sein. So praktisch es in vielen Fällen auch sein mag, den Usern die Möglichkeit zu geben, ihre Dateien auch bestimmten Personen anderer Gruppen zugänglich zu machen, so wird damit dennoch gleichzeitig ein administrativer Minuspunkt erzeugt. Schließlich sollte der Admin beim Einsatz von ACLs nicht nur Standardrechte mittels Masken vergeben, sondern er muss zukünftig auch regelmäßig beim ls auf das kleine “+”-Zeichen hinter den rwx-Angaben achten, welches auf eine Rechteerweiterung per ACL hinweist. Dadurch bedingt, dass Debian die zur Manipulation notwendigen Tools aus dem Paket acl standardmäßig nicht mitinstalliert hat, kann man nach dem Aufsetzen des Servers sich jedoch noch in aller Ruhe später mit der umfangreicheren Rechtevergabe beschäftigen.

Jeder, der als Admin schon mal für Behörden etc. als Netzwerkadmin tätig war, kennt die dortigen Regelungen zur IT-Sicherheit, die sich anfänglich am IT-Grundschutzhandbuch des BSI und später an der ISO 27001 festklammern. Wer öffentliche Aufträge ergattern möchte, benötigt oft eine Zertifizierung nach ISO 27001 und auch manche große Unternehmen, die zwar keine derartigen Aufträge annehmen, nutzen zur Dokumentation ihres IT-Sicherheitsmanagements die Vorgaben der ISO-Norm. Für kleine und mittlere Firmen schießt das Thema meist über die Erfordernisse weit hinaus. Wer nur ein paar Server mit jeweils nur wenigen angebotenen Diensten und einige Dutzend User hat, kommt meist mit einer sinnvollen Dokumentation ohne ISO 27001 aus und fährt damit um Welten effektiver. Sobald die Anzahl der benötigten Admins für das Netzwerk allerdings wächst, hat dies den Grund zumeist in großen und durchaus komplizierten Netzwerken. Um dort eine einheitliche Dokumentation und vor allem den dann meist auch vorhandenen weniger guten Admins eine umfangreiche Hilfestellung bieten zu können, leisten die BSI-Grundschutzkataloge gute Dienste. Besonders nützlich bei der Erstellung der nach der ISO-Norm 27001 geforderten Dokumentation und bei der Überwachung der Handlungsschritte ist das unter der GPLv3 stehende Tool Verinice von der Sernet GmbH. Dieses bildet die kompletten Kataloge (Bausteine, Gefährdungen, Maßnahmen) ab und vereinfacht Verknüpfungen zwischen den Objekten. Mit diesem Thema befaßt sich im aktuellen Linux Magazin Sonderheft ein sechseitiger Artikel ab Seite 38.

Weitere Themen:
Die Superserver inetd udn dessen Nachfolger xinetd werden kurz behandelt. Weitaus umfangreicher sind die Texte rund um die geplante Staatsspionage via Staatstrojaner und die Aufweichung verschiedener Gesetze. Auch der Kriminalisierung von sicherheitsbewußten Admins und Anwendern per Strafgesetzbuch §202c, die letztes Jahr für reichlich hohe Wellen aus dem Kreis der IT-Fachleute gegen die unwissenden Parlamentarier sorgte, widmeten sich erneut einige deutliche Worte. Der beim Aufbau der digitalen Brandschutzwand sehr hilfreiche FireWall-Builder fwbuilder, der die Administration der iptables-Regeln auf diversen Systemen vereinfacht und auch Testläufe zuläßt, wird umfangreich vorgestellt. Etwas weiter hinten wird sich das ebenfalls per fwbuilder nutzbare iptables-Modul Recent durchleuchtet. Es folgen Hardware-Vorstellungen der Balabit SCB (ein SSH-Logger), des Astaro Security Gateway ASG 320 (Firewall, VPN-Gateway, http-Proxy, eMail-Proxy, QoS, Port-Trunking), Limes MF (Managed Firewall), Edenwall Version 2.1 (Hardware-Firewall mit NuFW und Clientsoftware zur Usererkennung). Mittels der Heft-CD kann eine Live-Version von NuFW 1.0.2 (englisch) getestet werden. Der Wunsch nach sicherer Daten-Verschlüsselung spiegelt sich in einigen weiteren Artikeln wider. Verschlüsselung per Steganografie (Daten in Bildern) und die Verschlüsselung von Daten bei Oracle-Datenbanken werden ebenso vorgestellt, wie die X509-Zertifikate unterstützende VPN-Software OpenVPN und die eMail-Verschlüsselung via S/Mime. Im Unterbereich Web sind Artikel über die php-Webserver-Absicherung, die zusätzliche Absicherung des Apache mittels der Applikation Firewall ModSecurity (aktuell v2.5.4) und die Anonymisierung beim Surfen via der bekannten Tools Jap, Tor und i2p angesiedelt.

Fazit: Das Sonderheft ist für IT-Admins mit Sicherheitsbedürfnis die knapp 10 Euro wert. Selbst wer viele der vorgestellten Themen bereits kennt, wird dennoch sehr wahrscheinlich das ein oder andere bisher an ihm vorbeigegangene finden oder zumindest angestaubtes Wissen auffrischen können.

Einen Kommentar schreiben