Mehr Sicherheit für Linux: unnötige Dienste stoppen


Wenn man seinen Linux-Rechner als Einzelplatz-Desktop mit Internetzugang verwendet, sollte man zuerst überprüfen, ob die in Tabelle A aufgeführten Dienste aktiv sind.

Tabelle A

Oft installierte Dienste, die nicht über das Internet laufen sollten
Dienst Empfehlungen
NFS (Network File System) sowie zugehörige Dienste: nfsd, lockd, mountd, statd, portmapper etc. NFS ist der Standard-UNIX-Dienst für das File-Sharing in einem Netzwerk. Er sollte nur zum Austausch von Dateien innerhalb eines LANs verwendet werden, nicht über das Internet. NFS sollte auf einem Einzelplatzrechner nicht aktiviert sein.
r* Dienste: rsh, rlogin, rexec, rcp etc. Diese erscheinen in der Ausgabe von netstat ohne r (rlogin wird als login angezeigt). Im Bedarfsfall lieber ssh verwenden.
telnet server Besser sshd verwenden.
ftp server Nur mit einem dedizierten FTP-Server verwenden, der überwacht und abgesichert werden kann. Zum Dateiaustausch sollte man scp oder http verwenden.
BIND (named), DNS-Server-Package Dieser Dienst wird nur auf Systemen benötigt, die als autoritativer Name-Server für eine Domäne fungieren. Er sollte eingeschränkt oder hinter einer Firewall platziert werden, wenn man ihn über das Internet benutzt.
Mail Transport Agent: sendmail, exim, postfix, qmail Diese Dienste werden auf einem Einzelplatzrechner nicht gebraucht, der den POP-Server eines ISPs verwendet statt E-Mails direkt vom Internet-Host zu empfangen. Für das direkte Empfangen von E-Mails von anderen Hosts im LAN sollte man diese Dienste nur hinter einer Firewall und mit den entsprechenden Zugriffsrichtlinien verwenden.

Im Beispielfall meldete netstat, dass die Dienste login und shell ausgeführt wurden. Wie in Tabelle A angemerkt, sind dies in Wirklichkeit die Dienste rlogin und rsh, die abgeschaltet werden sollten. Die aufgeführten telnet und ftp-Daemons sind Server, die Verbindungen zum Rechner von außen akzeptieren. Wiederum gilt: Auf einem Einzelplatzrechner sollte man diese Dienste deaktivieren. Man kann jederzeit einen FTP- oder Telnet-Client verwenden, wenn man Dateien aus dem Internet herunterladen oder einen Telnet-Dienst benutzen will. Der Befehl netstat berichtet auch, dass der http-Server läuft, der von einigen Distributionen zum Zugriff auf Online-Dokumentation benötigt wird. Wenn man diesen Dienst aktiviert lassen will, sollte man sicherstellen, dass er von außerhalb des Systems nicht zugänglich ist.

Außerdem läuft ein Print-Server. Print-Server können Ports offen halten, falls das Drucken über ein Netzwerk erfolgt. Da der Drucker in diesem Fall direkt an den Rechner angeschlossen ist, ist es ungefährlich, den Printer-Daemon aktiviert zu lassen. Außerdem kann man /X aktiviert lassen, ein portables, Netzwerk-transparentes Fenstersystem, das Benutzereingaben für Client-Programme entgegennimmt und verteilt. Falls der Rechner als dedizierter Server verwendet würde, wäre /X überflüssig und könnte deaktiviert werden.

Themenseiten: Betriebssystem, Linux, Open Source, Security-Praxis

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

3 Kommentare zu Mehr Sicherheit für Linux: unnötige Dienste stoppen

Kommentar hinzufügen
  • Am 20. Januar 2004 um 10:37 von Majid Bagheri

    Permanentes Aktivieren und deaktivieren von diensten unter Suse
    Unter Suse gibt es die Möglichkeit mit
    dem Kommando "insserv" und den entsprechenden Schaltern den jeweilgen dienst zu aktivieren oder deaktivieren.
    insserv -r dienstname Entfernt das Skript aus allen Runlevels
    insserv -d dienstnameInstalliert das Skript in den vorgegebenen Runleveln

    Global für alle Linux Distrobutionen gilt der befehl "chkconfig". Dieser Befehl zeigt eine Übersicht aller zur Zeit laufenden Diensten mit dem entsrechenden Flag.Der Flag kann dann
    auch manuell auf on oder off gestellt werden.

    Nähere Informationen findet ihr hier:
    http://www.mcsr.olemiss.edu/cgi-bin/man-cgi?chkconfig+1

    Ich erwarte eigentlich etwas mehr professionalität bei der Erstellung eines solchen berichts.Dass es den befehl "netstat" gibt ist glaube ich nicht erwähnenswert.

  • Am 27. November 2003 um 8:52 von c dreizler

    /etc/rc* etc.
    zum dauerhaften abschalten reichen die
    angaben aber nicht. da muss noch ein bisschen mehr modifiziert werden, dies ist aber von der linux-variante abhängig.

    • Am 19. Januar 2004 um 23:04 von oecue

      AW: /etc/rc* etc.
      sorry Leute aber warum schreibt Ihr dann überhaupt so ein Artikel wenn das Ziel nicht erreicht wird ???
      Mann hätte zumindest ein Beispiel pro Distri geben können oder zumindest für meist benutzte Distris.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *