14 Sicherheit
Für jedes System ist die Sicherheit von Bedeutung; Angriffen von Aussen vorzubeugen, sowie
vertrauliche Daten zu sichern versuchen. Dieses Kapitel beschreibt nun insgesamt, wie ein Slackware -
System anfänglich gegen "script kiddies, "cracker" und "rogue hamsters", ( was soviel wie
Fälscher oder Gaunerhamster heißt ) zu sichern ist. Bitte behalten Sie in der Überlegung, dass es
hier um den Anfang einer Sicherung des Systems geht; Sicherheit ist im Fortschritt begriffen, kein
Zustand ansich.
14.1 Dienste deaktivieren
Nach der Installation Slackwares sollte der erste Schritt das Abschalten nicht benötigter
Dienste beinhalten. Jeder laufende "Service" Dienst beinhaltet ein Sicherheitsrisiko, wo es nun
angezeigt scheint, so wenige Dienste wie eben nötig, nur solche die auch unbedingt gebraucht
werden, in Stand zu setzen, zu aktivieren.
Services, Dienste starten hauptsächlich von zwei Ausgangspunkten im System, '- inetd' und 'init-scripts'.
14.1.1 Dienste die von inetd gestartet werden
Viele der Daemonen ( "dienstbarer Geister" ), die mit Slackware ausgeliefert werden laufen als 'inetd(8),
'inetd' ist ein Daemon, der über alle Tore ( ports ) wacht, derer Dienstleistungen zusammenführt, startet und
einen Verbindungsaufbau des betreffenden Daemon herstellt. Daemonen die von 'inetd' gestartet sind,
können gesperrt werden, mittels Auskommentierens der betreffenden Zeilen in '/etc/inetd.conf'.
In der Praxis öffnen sie die Datei 'inetd.conf' mit einem Editor ihrer Wahl ( z.b. vi ), wo sie dann folgende
Zeilen, ähnlich wie dieser sehen sollten:
telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd
Um nun diesen Dienst / Daemon, und in Folge auch jeden Anderen zu sperren, auszukommentieren,
stellen sie in der betreffenden Zeile das Raute # Zeichen vorweg. Die oben genannte Zeile sehe dann
wie folgt aus:
#telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd
Wenn nun 'inetd' neu gestartet wird ist der Dienst gesperrt. Der Start ( restart ) kann mit folgender
Eingabe auf der Kommandozeile bewerkstelligt werden:
# kill -HUP $(cat /var/run/inetd.pid)
14.1.2 Dienste die von Init Skripten gestartet werden
Die übrigen Dienste welche gestartet werden, wenn der Rechner hochfährt, sind diejenigen
genannter 'init scripts', im Verzeichnis '/etc/rc.d/'. Diese nun können auf zweierlei Weise gesperrt werden,
einmal indem man dem gewünschten Skript das Ausführungsrecht nimmt, oder die entsprechenden
Zeilen im jeweiligen Skript auskommentiert.
Zum Beispiel wird 'SSH' durch ein eigenes Skript als 'etc/rc.d/rc.sshd' gestartet. Brauche ich diesen Dienst
nicht, dient folgende Anweisung:
# chmod -x /etc/rc.d/rc.sshd
Der Services die kein eigenes Skript mitbringen können entsprechender Zeilen in den 'init' Skripten
auskommentiert werden.
Zum Beispiel wird der 'portmap' Daemon über folgende Zeilen in der 'etc/rc.d/rc.inet2' gestartet:
#This must be running in order to mount NFS volumes. # Start the RPC portmapper: if [ -x /sbin/rpc.portmap ]; then echo "Starting RPC portmapper: /sbin/rpc.portmap" /sbin/rpc.portmap fi # Done starting the RPC portmapper.
Dieser kann nun durch ein Voranstellen des # Raute Zeichen in den jeweiligen Zeilen gestoppt werden:
# This must be running in order to mount NFS volumes. # Start the RPC portmapper: #if [ -x /sbin/rpc.portmap ]; then # echo "Starting RPC portmapper: /sbin/rpc.portmap" # /sbin/rpc.portmap #fi # Done starting the RPC portmapper.
Diese Veränderungen tragen erst nach einem Neustart, oder einem Wechsel von oder
zu 'runlevel', der Startvorgabe 3 oder 4 ihre Wirkung. Bewerkstelligt kann dieses
durch folgende Eintragungen in der Konsole werden, (nach den Änderungen ist ein erneutes einloggen
in den 'runlevel' 1 erforderlich.)
# telinit 1 # telinit 3
