Surfen mit dem Linux-PC: Zehn Tipps für mehr Sicherheit

4. Konfiguration der Dateien /etc/hosts.deny und /etc/hosts.allow

Im vorausgegangenen Abschnitt wurde dargestellt, wie über die Firewall durch das Öffnen von Port 22 der Secure-Shell-Dienst für Netzwerk-Datenströme geöffnet werden kann. Um diesen Server besser vor unerwünschten Datenströmen oder gar vor Hackern zu schützen, bietet es sich an, die Anzahl der Hosts oder Computer, die sich an diese Serveranwendung anbinden können, zu reduzieren. Genau diese Einstellungen werden mithilfe der Dateien /etc/hosts.deny und /etc/hosts.allow vorgenommen.

Wenn ein Computer versucht, auf einen Dienst wie den Secure-Shell-Server eines Linux-PCs zuzugreifen, werden die Dateien /etc/hosts.deny und /etc/hosts.allow aufgerufen. Der Zugriff wird dann, nach ein paar einfach zu konfigurierenden Regeln, entweder gewährt oder abgelehnt. Häufig ist es für Linux-PCs sinnvoll, die folgende Zeile in die Datei /etc/hosts.deny zu übernehmen:


ALL: ALL:

Damit wird allen Diensten von allen Hosts der Zugang verwehrt. Das scheint auf den ersten Blick eine allzu restriktive Einstellung, wer aber dann einzelne Hosts in die Datei /etc/hosts.allow übernimmt, kann darüber den Zugang zu verschiedenen Diensten wieder aktivieren. Im Folgenden zwei Beispiele, wie einigen Hosts ein Remote-Zugriff über Secure Shell gewährt werden kann:

Die beiden genannten Dateien stellen sehr leistungsfähige hostbasierte Filtermethoden für den Linux-PC dar.

5. Nicht erforderliche Dienste ausschließen oder entfernen

Genau wie unter Windows können auch bei Linux im Hintergrund Dienste laufen, die entweder nicht erwünscht sind oder keinen Zweck erfüllen. Über den Linux-Befehl chkconfig lässt sich ermitteln, welche Dienste derzeit aktiv sind, und es können einzelne Dienste nach Bedarf aktiviert oder deaktiviert werden. Ist ein Dienst erst einmal abgeschaltet, kann er auch keine Sicherheitslücke mehr darstellen, durch die potentielle Hacker eindringen könnten. Zudem beschlagnahmt ein deaktivierter Dienst keine kostbare Prozessor-Rechenkraft.

6. Erforderliche Dienste sichern

Wenn ein neuer Linux-PC über Dienste verfügt, über die eine Verbindung ins Internet hergestellt wird, sollte der Benutzer über die Konfiguration dieser Dienste genau Bescheid wissen. Wer beispielsweise über den Linux-PC Secure-Shell-Anbindungen empfängt, sollte sich die Datei sshconfig (für Mandriva zu finden unter: /etc/ssh/sshd_config) genauestens anschauen und Optionen wie Root-Login deaktivieren. Jeder Linux-PC hat einen Root-Nutzer. Das Root-Login über SSH muss deaktiviert werden, um Brute-Force-Angriffe, mit dem das Passwort des Superuser-Kontos entschlüsselt werden kann, zu verhindern.

7. Netzwerk-Sicherheitsoptionen des Betriebssystems einstellen

Auch das Linux-Betriebssystem selber kann zur Netzwerksicherheit beitragen. Es ist daher empfehlenswert, sich mit den Optionen in der Datei /etc/sysctl.conf vertraut zu machen und sie je nach Bedarf einzustellen. Die Optionen in dieser Datei steuern beispielsweise, welche Netzwerkinformationen in den Systemprotokollen eines Rechners festgehalten werden.

Page: 1 2 3

ZDNet.de Redaktion

Recent Posts

Bedrohungen in Europa: Schwachstellen in der Lieferkette dominieren

Hinter 84 Prozent der Zwischenfälle bei Herstellern stecken Schwachstellen in der Lieferkette. Auf dem Vormarsch…

6 Tagen ago

Bericht: Apple arbeitet an faltbarem iPad

Es kommt angeblich 2028 auf den Markt. Das aufgeklappte Gerät soll die Displayfläche von zwei…

6 Tagen ago

HPE baut Supercomputer am Leibniz-Rechenzentrum

Das System basiert auf Hardware von HPE-Cray und Nvidia. Die Inbetriebnahme erfolgt 2027.

7 Tagen ago

Bund meldet Fortschritte in der Netzversorgung

Die Bundesnetzagentur hat ihr Gigabit-Grundbuch aktualisiert. Drei von vier Haushalten sollen jetzt Zugang zu Breitbandanschlüssen…

7 Tagen ago

Vorinstallierte Schadsoftware auf IoT-Geräten

Mit dem Internet verbundene Digitale Bilderrahmen oder Mediaplayer können mit Schadsoftware infiziert werden und sind…

1 Woche ago

iOS und iPadOS 18.2 beseitigen 21 Sicherheitslücken

Schädliche Apps können unter Umständen einen Systemabsturz auslösen. Mindestens eine Anfälligkeit erlaubt eine Remotecodeausführung.

1 Woche ago