Wurzelbehandlung

Teil 3: Erste Schritte mit dem Root-Server

Der nächste Schritt sollte die Aktualisierung der installierten Anwendungs-Software sein. Hierfür müssen Sie zunächst prüfen, ob Server für das Online-Update konfiguriert sind. Unter SUSE erledigt dies das YaST-Modul YOU Konfiguration, unter Debian und Ubuntu sollten Sie einen Blick in die /etc/apt/sources.list werfen und sich davon überzeugen, dass für jeden Stream ein Eintrag für Security-Updates der Form

Erste Schritte mit dem Root-Server

© Archiv

Unter Debian erledigt apt die Sicherheits-Updates - zwei Zeilen genügen.
deb http://security.ubuntu.com/ubuntu
dapper-security main restricted

existiert. Unter Debian/Ubuntu startet die Befehlsfolge

apt-get update
apt-get upgrade

notwendige Aktualisierungen, unter SUSE ist das YaST Online Update zuständig, erst ab openSUSE 10.1 steht mit rug ein Kommandozeilentool debianesker Art zur Verfügung:

rug update

Mit der soeben vorgenommenen Grundsicherung und einem geänderten Root-Passwort haben Sie potentiellen Einbrechern die Arbeit bereits deutlich erschwert.

Schotten dicht

Dennoch sollten Sie das System dahingehend prüfen, dass keine unnötigen Dienste an externen Netzwerkschnittstellen lauschen. Einen Überblick verschafft der Befehl

lsof -i
der alle bereitgestellten Netzwerkdienste und aktive Verbindungen auflistet. Besonders interessant sind die mit (LISTEN) gekennzeichneten Dienste. Meist können Sie Webmin (Port 9000) deaktivieren und nur bei Bedarf temporär einschalten. Auch der oft aktivierte FTP-Server ist in den meisten Fällen unnötig: Auf dem System angelegte Nutzer können per SCP oder SFTP ihre Daten zum Server transferieren - dafür muss lediglich der SSH-Daemon aktiviert sein.

Downloads bis zwei Gigabyte Größe können meist per HTTP genauso effizient zur Verfügung gestellt werden. SCP-Clients existieren für alle gängigen Systeme, unter Windows ist WinSCP sehr beliebt, unter Linux unterstützt der Konqueror SFTP.

Erste Schritte mit dem Root-Server

© Archiv

Abgeklopft: Ein Scan mit Nessus findet unnötige und veraltete Dienste.

Wird das auf dem Root-Server installierte Mailsystem zunächst nur verwendet, um Statusmeldungen zu verschicken, sollten Sie Port 25 (und gegebenenfalls 587) an localhost binden. Gleiches gilt für möglicherweise erreichbare IMAP- und POP-Server. Bei nicht benötigten Diensten ist die vollständige Deinstallation meist der effizienteste Weg, den Dienst loszuwerden. Wird ein Dienst gelegentlich gebraucht, reicht die Löschung des korrespondierenden Softlinks im Init-Verzeichnis des Default-Runlevels, eine Aufgabe für die SUSE einen Runlevel-Editor bietet.

Zu guter Letzt sollten Sie prüfen, ob der Meta- Daemon inetd oder xinetd Dienste beim Zugriffsversuch startet. Liefert der Befehl

ps waux | grep inetd

einen aktiven Prozess, werfen Sie bitte einen Blick in die Konfigurationsdatei /etc/xinetd.conf und die in /etc/xinetd.d eingebundenen Konfigurationsdateien und setzen Sie unbenötigte Dienste auf

disable = yes

Zugemauert?

Viele Tutorials empfehlen die Einrichtung einer Firewall auf dem Root-Server. Diese Maßnahme wird oft überbewertet, da wirksame Angriffe meist über geöffnete Dienste wie den Webserver erfolgen und in der Regel schlecht programmierte Scripte zum Ziel haben. Eine Firewall würde einen derartigen Angriff nicht abwehren können. Sie kann jedoch verhindern, dass ein vom Angreifer geöffneter IRC-Server Befehle entgegennimmt. Verwenden Sie den Paketfilter des Linux-Kernels, sollten Sie sich jedoch bewusst sein, dass ein Angreifer, der Root-Rechte erlangt hat, auch die Firewall deaktivieren kann. Mehr Schutz bieten deshalb vorgeschaltete Hardware-Firewalls, wie sie 1&1 mitliefert.

Erste Schritte mit dem Root-Server

© Archiv

Doch auch diese sind nicht perfekt: Mittelmäßig begabte Hacker können eine ausgehende Verbindung als Tunnel für eingehende verwenden - bereits ein Blick in die Manual Page von ssh offenbart diese Möglichkeit. Firewalls können deshalb bestenfalls als kleines Mosaiksteinchen eines umfassenden Sicherheitskonzeptes gelten.

Mehr zum Thema

Netflix
Streaming

Preise, kompatible Geräte, Datenrate, Serien- und Filmangebot von Netflix: Wir beantworten die wichtigsten Fragen rund um den Streaming-Dienst.
Amazon Blitzangebote
Technik-Deals

Die Highlights der Amazon Blitzangebote - heute mit Xbox-One-Tagesangeboten, Denon AV-Receiver, Asus Smartphone und mehr.
Tipps zum leisen PC
Tipps und Tricks

Die Komponenten eines PCs erzeugen Hitze. Lüfter sorgen meist für eine lästige Geräuschkulisse. Mit unseren Tricks wird Ihr PC flüsterleise.
SSD Mythen Tipps
Solid State Disk

SSD-Tuning - was ist wahr, was ist falsch? Wir verraten, welche SSD-Mythen Sie vergessen können und welche Tipps wirklich helfen.
Urlaubsbilder
Fotografieren im Sommer

Von Sommerlicht bis Sonnernuntergang: Unsere 7 Tipps verraten, wie Sie Urlaubsfotos richtig machen und schöne Bilder mit nachhause bringen.