Linux-Sicherheit. Welche Angriffspunkte gibt es? Welche Gegenmaßnahmen sind möglich und nötig? Thomas Rüger, Uni Bayreuth, Rechenzentrum

Transkript

1 Linux-Sicherheit Welche Angriffspunkte gibt es? Welche Gegenmaßnahmen sind möglich und nötig?

2 Angriffspunkte existieren Auf Hardwareebene Vor dem und beim Booten Bei der Neuinstallation von LINUX-Systemen Im laufenden System

3 Auf Hardwareebene Jeder, der physikalischen Zugriff auf den Rechner hat, kann diesen hardwaremäßig beeinflussen Aufstellen des Rechners in einem Raum oder Schrank, zu dem nur ausgewählte Leute Zugang haben.

4 Vor und beim Booten Jeder, der Zugriff auf das Bios oder den Bootloader hat, kann das System kontrollieren. Einstellen eines BIOS-Passwortes und Absichern des Bootloaders (LILO oder GRUB) durch Passwort.

5 Beispiel für das Absicheren des GRUB Erzeuge ein verschlüsseltes Passwort: host grub-md5-crypt Password: Retype password: $1$U$JK7xFegdxWH6VuppCUSIb. Dieses Passwort in /boot/grub/menu.lst (verlinkt mit grub.conf) eintragen: menu.lst Beispiel für passwortgeschuetzten Bootloader default= timeout=1 password -md5 $1$U$JK7xFegdxWH6VuppCUSIb. splashimage=(hd,)/grub/splash.xpm.gz title Fedora ( fc8) root (hd,) kernel /boot/vmlinuz fc8 ro root=label=/ rhgb quiet initrd /boot/initrd fc8.img title Windows lock chainloader (hd1,) +1

6 Bei der Installation eines Systems erhält man normalerweise beim Punkt Bootloader direkt die Möglichkeit, ein Passwort anzugeben

7 Sicherheitsaspekte bei der Neuinstallation von LINUX-Systemen Fragen, die es gilt, im Vorfeld zu beachten: Welche LINUX-Distribution wähle ich? Welches Installationsprofil (Server, Workstation) wähle ich? Welche Pakete installiere ich (zusätzlich)? Wie konfiguriere ich die installierten Pakete sicher? Wie vertraut ist der/die Systemverwalter(in) mit LINUX? Welche Sicherheitspolicy verfolge ich? wer erhält Zugriff auf das System? wer muss das Superuser-Passwort wissen und warum? werden auf dem System sensible/vertrauliche Informationen gespeichert? müssen Benutzer von außen auf das System zugreifen? brauche ich Zugang zum Internet? wie viel Zugang vom Internet auf das System muss erlaubt sein? was mache ich, wenn ich einen Durchbrechen der Sicherheit feststelle?

8 Gängige LINUX-Distributionen Vorteile Nachteile Feststehende Veröffentlichungstermine und Unterstützungsdauer geeignet für Anfänger umfangreiche Dokumentation Ein Teil der durch Ubuntu entwickelten Software (z. B. Launchpad, Rosetta) ist proprietär fehlende Kompatibilität mit Debian Zentrales Konfigurationstool YAST2. Gut auf den europäischen Markt abgestimmt. Großes Softwareangebot. Die umfangreiche Ausstattung des Desktop und dessen grafische Dienstprogramme werden manchmal als "aufgebläht und langsam" angesehen 2 Versionen: Fedora für Heimanwender und Workstations, Redhat Enterprise Linux für professionelle Anwendungen. Hoch innovativ herausragende Sicherheitsmerkmale große Anzahl unterstützter Pakete strenge Befolgung der Philosophie freier Software Kein zentrales Konfigurationstool. Sehr stabil bemerkenswerte Qualitätskontrolle umfasst über 2. Softwarepakete unterstützt mehr Prozessor-Architekturen als jede andere Linux Distribution Infolge Unterstützung vieler ProzessorArchitekturen werden neueste Technologien nicht immer integriert langsamer Veröffentlichungsturnus (ein stabiler Release alle 1-3 Jahre) Nachinstallation von Paketen erfordert umfangreiches Basiswissen Genaue Übersicht:

9 Auswahl der Pakete Nur die Pakete installieren, die auch gebraucht werden. Besser Paketverwaltungen einsetzen statt selbst Einzelauswahl zu treffen Suse: Yast2 Debian: Synaptic, dselect, aptitude Ubuntu: Synaptic, Adept, aptitude Fedora/Redhat: kpackage oder pirut Regelmäßig die Sicherheitsupdates (auch übers Internet) nachziehen. (yast2, yum, apt-get, Synaptic, pirut...)

10 SuSE: YaST2

11 Debian und Ubuntu: Synaptic

12 Fedora: KPackage

13 Redhat oder Fedora: Pirut

14 Auswahl der Pakete Werden Serverdienste installiert, müssen sie auch konfiguriert werden. Unkonfigurierte Dienste stellen oft eine Sicherheitslücke dar! Keine unnötigen Dienste installieren, d.h. die Installation von www-, ftp-, telnet-, mail-, lpd-serverdiensten sollte nur dann erfolgen, wenn sie auch benötigt werden. Bei unnötigen Diensten (Daemonen) ist die Deinstallation der Deaktivierung vorzuziehen. Verwenden der "moderneren" Dienste und Pakete Ersetzen der "r"-dienste durch "s"-dienste für interaktiven Remotezugang: ssh statt rsh, rlogin, telnet zum Filetransfer: sftp bzw. scp statt ftp bzw. rcp Benutzen von cups oder LPRng statt lpr/lpd Einsatz von exim oder postfix oder qmail statt sendmail

15 Auswahl der Pakete Die meisten Distributionen bieten Standardinstallationen an, die die entsprechend auf die gewünschte Systemart (Workstation, Server,...) abgestimmten Pakete installieren. Grundsätzlich nur (zwingend) benötigte Pakete installieren. z.b. Officesystem ohne Netzwerktools z.b. Workstation ohne zusätzliche Netzwerkdienste (apache, BIND-Server, FTP-Server...) z.b. Server ohne Entwicklungsumgebung Nötigenfalls manuelle Nachbearbeitung der Paketauswahl, um Abhängigkeiten von Paketen zu erfüllen

16 Konfiguration der (Netzwerk-)Dienste Nachdem das System installiert ist, gilt es, dies sicher zu machen. Zugriffe von außen auf die Rechner beschränken, die Zugriff haben müssen. In den Dateien /etc/hosts.deny und /etc/hosts.allow lassen sich Rechner eintragen die Zugriff oder keinen Zugriff erhalten sollen. Diese Dateien werden von tcpd bzw. xinetd ausgewertet) inetd und xinetd: inetd (bei älteren Distributionen) Alle Dienste, die nicht gebraucht werden, in /etc/inetd.conf auskommentieren ( vor die Zeile) Dienste, die gebraucht werden, über den tcp-wrapper (tcpd) konfigurieren xinetd (bei neueren Distributionen) Nur die Dienste, die auch wirklich benötigt werden, sollten aktiviert werden ("disable = yes" in /etc/xinetd.conf bzw. Konfigurationsfiles in / etc/xinetd.d/) Zugriffsbeschränkungen z.b. über "only_from = /16" setzen

17 Konfiguration von hosts.allow + hosts.deny btrzx2 cat /etc/hosts.allow /etc/hosts.allow Format: <daemon list>: <client list> [: <option>: <option>:...] ftpd :.rz.uni-bayreuth.de sshd: ALL EXCEPT telnetd: /etc/telnet.hosts ALL: btrzx2 cat /etc/hosts.deny /etc/hosts.deny Format: <daemon list>: <client list> [: <option>: <option>:...] ALL: ALL: DENY

18 Konfiguration von xinetd This is the master xinetd configuration file. Settings in the default section will be inherited by all service configurations unless explicitly overridden in the service configuration. See xinetd.conf in the man pages for a more detailed explanation of these attributes. defaults { The next two items are intended to be a quick access place to temporarily enable or disable services. enabled = disabled = Define general logging characteristics. log_type = SYSLOG daemon info log_on_failure = HOST log_on_success = PID HOST DURATION EXIT Define access restriction defaults no_access = only_from = max_load = cps = 5 1 instances = 5 per_source = 1 Address and networking defaults bind = mdns = yes v6only = no setup environmental attributes passenv = groups = yes umask = 2 Generally, banners are not used. This sets up their global defaults banner = banner_fail = banner_success = } includedir /etc/xinetd.d

19 Konfiguration von xinetd /etc/xinetd.d/amanda: /etc/xinetd.d/rsync: default: off description: The client for the Amanda backup system. This must be on for systems being backed up by Amanda. default: off description: The rsync server is a good addition to an ftp server, as it allows crc checksumming etc. service rsync { disable = yes flags = IPv6 socket_type= stream wait = no user = root server = /usr/bin/rsync server_args = --daemon log_on_failure += USERID } service amanda { socket_type protocol wait user group server server_args disable only_from } = dgram = udp = yes = amanda = disk = /usr/lib/amanda/amandad = -auth=bsd amdump = no = /24

20 Unnötige offene Ports schließen (Portnummern stehen im /etc/services) Folgenden Dienste können abgeschaltet werden: echo TCP/UDP 7 echot alle an ihn gesendeten Daten discard TCP/UDP 9 offener Empfangsport, verwirft Daten sysstat TCP/UDP 11 liefert Informationen über das System chargen TCP/UDP 19 Character Generator, geeignet als Relais für DOS Attacken ftp TCP/UDP 21 ftp Filetransfer, besser sftp, scp verwenden telnet TCP/UDP 23 telnet, besser ssh verwenden finger TCP/UDP 79 liefert Infos über Benutzer auf Remoterechnern rshd TCP/UDP 514 Remote Shell Deamon, besser sshd verwenden Schließen der Ports erfolgt durch auskommentieren () der Zeile im /etc/inetd.conf bzw.eintrag von disable = yes im entsprechenden File in /etc/xinetd.d/<servicename>

21 Konfiguration der (Netzwerk-)Dienste Beispiel: SuSE

22 Konfiguration der (Netzwerk-)Dienste Beispiel: Fedora 8

23 Konfiguration der (Netzwerk-)Dienste Aktivieren Sie nur die benötigten Dienste Nicht benötigte Dienste (Daemonen) über die Paketverwaltung deinstallieren. Das Konfigurieren einer Firewall ist bei Beachten der obigen Punkte eigentlich für Workstation-Installationen nicht nötig, da hier keine Serverdienste installiert werden. Es bietet aber dennoch eine erhöhte Sicherheit, da selbst nicht behobene Sicherheitslücken in Serverdiensten von Hackern nicht nutzbar sind. Die Netfilter/Iptables Firewall ist seit Version 2.4 direkt im Kernel enthalten. Ihre Funktionen umfassen Paketfilterung und NAT (Network Address Translation) incl. Masquerading und Portweiterleitung.

24 Firewall Konfigurieren einer Firewall Konfigurationsdatei am Beispiel von iptables Firewall configuration written by system-config-securitylevel Manual customization of this file is not recommended. *filter :INPUT ACCEPT [:] :FORWARD ACCEPT [:] :OUTPUT ACCEPT [:] :RH-Firewall-1-INPUT - [:] -A INPUT -j RH-Firewall-1-INPUT -A FORWARD -j RH-Firewall-1-INPUT -A RH-Firewall-1-INPUT -i lo -j ACCEPT -A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT -A RH-Firewall-1-INPUT -p 5 -j ACCEPT -A RH-Firewall-1-INPUT -p 51 -j ACCEPT -A RH-Firewall-1-INPUT -p udp --dport d j ACCEPT -A RH-Firewall-1-INPUT -p tcp --dport 8 -j ACCEPT -A RH-Firewall-1-INPUT -p udp --dport 8 -j ACCEPT -A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT -A RH-Firewall-1-INPUT -p tcp --dport 6 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT -A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited COMMIT

25 Firewall: Konfiguration mit YaST (SuSE)

26 Firewall: Konfiguration unter Fedora Core

27 Firewall: Konfiguration unter Debian/Ubuntu

28 Installierte Systeme: Sicherheitsüberlegungen Eine gute Angriffsfläche bieten lange laufende, schlecht gewartete Systeme, auf denen keine Updates eingespielt werden! Sicherheitslücken unter LINUX sind in der gesamten einschlägigen Szene bekannt. => Regelmäßige Sicherheitsupdates minimieren das Risiko, Ziel eines erfolgreichen Angriffs zu werden und machen Hacker unglücklich! SuSE, Fedora Core, Debian und Ubuntu-Systeme sind standardmäßig so eingestellt, dass man automatisch über vorhandene Updates benachrichtigt wird.

29 Informationen über das System Was läuft? Auch bei schon länger laufenden Systemen sollte man sich von Zeit zu Zeit den Systemstatus kontrollieren und Informationen über das System und die aktiven Dienste sammeln. - Bestimmung der laufenden Dienste über: * Dateien und Verzeichnisse: Inittab (/etc/inittab) Startskripte (/etc/rc?d/*) [x]inetd (/etc/[x]inetd.conf bzw /etc/xinetd.d/*) * Tools who -r (bzw runlevel) netstat ps lsof

30 Informationen über das System Was läuft? Ermitteln des Runlevels: btrx18 who -r run-level 5 Jan 24 8:23 last=s cat /etc/inittab /etc/inittab This is the main configuration file of /sbin/init, which is executed by the kernel on startup. It describes what scripts are used for the different run-levels. All scripts for runlevel changes are in /etc/init.d/. The default runlevel is defined here id:5:initdefault: First script to be executed, if not booting in emergency (-b) mode si::bootwait:/etc/init.d/boot l::wait:/etc/init.d/rc l1:1:wait:/etc/init.d/rc 1 l2:2:wait:/etc/init.d/rc 2 l3:3:wait:/etc/init.d/rc 3 l4:4:wait:/etc/init.d/rc 4 l5:5:wait:/etc/init.d/rc 5 l6:6:wait:/etc/init.d/rc 6

31 Informationen über das System Was läuft? Startskripte Runlevel 5: /etc/init.d/rc5.d btrx36:~ ls -l /etc/init.d/rc5.d [...] lrwxrwxrwx 1 root root 13 Feb 23 lrwxrwxrwx 1 root root 13 Feb 23 lrwxrwxrwx 1 root root 12 Feb 23 lrwxrwxrwx 1 root root 7 Feb 23 [...] lrwxrwxrwx 1 root root 6 Feb 23 lrwxrwxrwx 1 root root 1 Feb 23 lrwxrwxrwx 1 root root 8 Feb 23 lrwxrwxrwx 1 root root 12 Feb 23 lrwxrwxrwx 1 root root 7 Feb 23 lrwxrwxrwx 1 root root 6 Feb 23 lrwxrwxrwx 1 root root 12 Feb 23 lrwxrwxrwx 1 root root 9 Feb 23 lrwxrwxrwx 1 root root 7 Feb 23 lrwxrwxrwx 1 root root 6 Feb 23 lrwxrwxrwx 1 root root 7 Feb 23 lrwxrwxrwx 1 root root 1 Feb 23 lrwxrwxrwx 1 root root 8 Feb 23 lrwxrwxrwx 1 root root 7 Feb 23 lrwxrwxrwx 1 root root 12 Feb 23 lrwxrwxrwx 1 root root 13 Feb 23 [...] 26 K4cupsrenice ->../cupsrenice 26 K5powersaved ->../powersaved 26 K6haldaemon ->../haldaemon 26 K7cron ->../cron 26 S1nfs ->../nfs 26 S1nfsboot ->../nfsboot 26 S12acpid ->../acpid 26 S12alsasound ->../alsasound 26 S12cups ->../cups 26 S12kbd ->../kbd 26 S12microcode ->../microcode 26 S12splash ->../splash 26 S12sshd ->../sshd 26 S13xdm ->../xdm 26 S14nscd ->../nscd 26 S14postfix ->../postfix 26 S14smbfs ->../smbfs 26 S15cron ->../cron 26 S16haldaemon ->../haldaemon 26 S17powersaved ->../powersaved

32 Informationen über das System Was läuft? Aktive Server mit netstat ermitteln btrx18 netstat -ltp Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address tcp localhost.localdomain:irdmi tcp *:3374 tcp *:netbios-ssn tcp *:5669 tcp *:sunrpc tcp localhost.localdomain:ipp tcp localhost.lo:x11-ssh-offset tcp *:microsoft-ds tcp *:http tcp *:ssh tcp ::1:x11-ssh-offset Foreign Address *:* *:* *:* *:* *:* *:* *:* *:* *:* *:* *:* State LISTEN LISTEN LISTEN LISTEN LISTEN LISTEN LISTEN LISTEN LISTEN LISTEN LISTEN PID/Program name 1837/nasd 196/smbd 1596/rpc.statd 12285/rpcbind 1781/cupsd 2753/5 196/smbd 369/httpd 1792/sshd 2753/5 btrx18 netstat -lup Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address udp *:filenet-tms udp *:32916 udp *:924 udp *:mdns udp *:sunrpc udp *:112 udp *:ipp udp btrx28.rz.uni-bayr:ntp udp localhost.localdomain:ntp udp *:ntp udp fe8::28:c7ff:febf:ntp udp ::1:ntp udp *:ntp Foreign Address *:* *:* *:* *:* *:* *:* *:* *:* *:* *:* *:* *:* *:* State PID/Program name 1596/rpc.statd 1235/avahi-daemon: 1596/rpc.statd 1235/avahi-daemon: 12285/rpcbind 12285/rpcbind 1781/cupsd 1818/ntpd 1818/ntpd 1818/ntpd 1818/ntpd 1818/ntpd 1818/ntpd

33 Informationen über das System Was läuft? Aktive Prozesse bestimmen btrx18 ps auxw USER PID %CPU %MEM VSZ RSS TTY root ? root 2..? root 3..? root 4..? [...] rpcuser ? root ? root ? root ? root ? root ? root ? dbus ? root ? root ? root ? root ? ntp ? root pts/6 root pts/6 [...] STAT START Ss Jan1 S< Jan1 S< Jan1 S< Jan1 TIME COMMAND :26 init [5] : [kthreadd] :3 [migration/] :6 [ksoftirqd/] Ss S<sl S<sl S< S< Ss S Ss Ss Ss Ss Ss Ss Ss R+ : rpc.statd :6 auditd :4 /sbin/audispd : [rpciod/] : [rpciod/1] : rpc.idmapd : [lockd] :1 dbus-daemon --system : /usr/sbin/acpid : cupsd : /usr/sbin/sshd : xinetd -stayalive -pidfile /var/run/xinetd.pid :5 ntpd -u ntp:ntp -p /var/run/ntpd.pid : -bash : ps auxw Jan1 Jan1 Jan1 Jan1 Jan1 Jan1 Jan1 Jan1 Jan1 Jan1 Jan1 Jan1 Jan1 11:45 11:56

34 Informationen über offene Ports Offene Ports mit Scannern und Bordmitteln herausfinden: Scanner: nmap Nessus (Network Security Scanner) ( Sara (Security Auditor's Research Assistent) (www-arc.com/sara/sara.html) Bordmittel: telnet ftp nslookup

35 Informationen über offene Ports Offene Ports mit nmap (Portscanner) ermitteln ~] nmap -st -O btrx28 Starting Nmap 4.52 ( ) at :25 CET Interesting ports on btrx28.rz.uni-bayreuth.de ( ): Not shown: 171 closed ports PORT STATE SERVICE 22/tcp open ssh 111/tcp open rpcbind 139/tcp open netbios-ssn 445/tcp open microsoft-ds Device type: general purpose Running: Linux 2.6.X OS details: Linux Uptime: days (since Thu Jan 1 8:14:2 28) Network Distance: hops OS detection performed. Please report any incorrect results at Nmap done: 1 IP address (1 host up) scanned in seconds [root@btrx28 ~] nmap -su btrx28 Starting Nmap 4.52 ( ) at :28 CET Interesting ports on btrx28.rz.uni-bayreuth.de ( ): Not shown: 1481 closed ports PORT STATE SERVICE 111/udp open filtered rpcbind 123/udp open filtered ntp 631/udp open filtered unknown 924/udp open filtered unknown 112/udp open filtered sometimes-rpc1 5353/udp open filtered zeroconf 32768/udp open filtered omad Nmap done: 1 IP address (1 host up) scanned in seconds

36 Sicherheitslücken mit Nessus finden Nessus ist ein Portscanner, der Sicherheitslücken ermittelt. Er besteht aus einem Server, der auf dem zu testenden System läuft und einem Client auf dem testenden System. Eine freie Version lässt sich von herunterladen.

37 Sicherheitslücken mit Sara finden SARA ist ein Netzwerksicherheit Analyse Tool der dritten Generation. Gesteuert wird es über ein Web-Interface. Es ist Freeware und kann unter: www-arc.com/sara/sara.html heruntergeladen werden.

38 Sicherheitslücken mit Sara finden

39 Informationen über offene Ports Offene Ports mit telnet testen ~] telnet btrx36 smtp Trying Connected to btrx36. Escape character is '^]'. 22 btrx36.rz.uni-bayreuth.de ESMTP Sendmail /8.12.5; Fri, 25 Jan 28 12:35:19 +1 HELP This is sendmail version Topics: HELO EHLO MAIL RCPT DATA RSET NOOP QUIT HELP VRFY EXPN VERB ETRN DSN AUTH STARTTLS For more info use "HELP <topic>" To report bugs in the implementation send to For local information send to Postmaster at your site End of HELP info QUIT btrx36.rz.uni-bayreuth.de closing connection Connection closed by foreign host.

40 Zugriffe auf das System und Programme Im /etc/password alle non-login-accounts sichern kein Account ohne Password alle mit ungültiger login-shell, z.b. /bin/false, /sbin/nologin als Shell Shadow-Passwords verwenden (pwconv) (sollte mittlerweile Standard sein!) cat /etc/passwd root:x:::root:/root:/bin/bash bin:x:1:1:bin:/bin:/sbin/nologin daemon:x:2:2:daemon:/sbin:/sbin/nologin adm:x:3:4:adm:/var/adm:/sbin/nologin lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin sync:x:5::sync:/sbin:/bin/sync shutdown:x:6::shutdown:/sbin:/sbin/shutdown halt:x:7::halt:/sbin:/sbin/halt mail:x:8:12:mail:/var/spool/mail:/sbin/nologin news:x:9:13:news:/etc/news:/bin/false ftp:x:14:5:ftp User:/var/ftp:/sbin/nologin nobody:x:99:99:nobody:/:/bin/false apache:x:48:48:apache:/var/www:/sbin/nologin xfs:x:43:43:x Font Server:/etc/X11/fs:/sbin/nologin amanda:x:33:6:amanda user:/var/lib/amanda:/bin/bash btr11:x:911:19:t. Rueger,,,:/home/btr/btr11:/bin/tcsh btr19:x:919:19:b. Winkler,,,:/home/btr/btr19:/bin/tcsh btr29:x:929:19:h. Kolinsky,,,:/home/btr/btr29:/bin/tcsh

41 Zugriffe auf das System und Programme Setuid-Bits von Programmen entfernen, die nie gebraucht werden oder normale Benutzer nicht ausführen können sollen Beispiele: /bin/ping /bin/mount /usr/bin/suidperl /usr/sbin/traceroute root-account sollte aktuelles Verzeichnis aus Sicherheitsgründen nie im Pfad haben! Sichere Defaultwerte umask in den Loginskripten für Benutzer setzen (umask 22 <-> o:rwx, g:rx, o:rx) für root umask 77 (Keine Rechte für group oder others)

42 Zugriffe auf das System und Programme Schreibrechte für Benutzer, nur wo diese nötig sind: $HOME $MAIL /tmp ( sticky -bit!: chmod 1777 /tmp) Keine Schreibrechte für Benutzer, wo diese unnötig sind: Systemverzeichnisse (/, /bin, /etc, /usr/bin...) Systemdateien (/etc/passwd, /etc/shadow, /etc/group...) /dev (außer tty) Jedes Zugriffsbit birgt potentielle Risiken: Bit read write exec suid sgid sticky mögliche Probleme Lesen sensitiver Daten Verändern sensitiver Daten Ausführen von unerlaubtem Code Rechteübername (z.b. von root) Rechteübername einer Gruppe (z.b. mem) Möglicher Schreibzugriff auf Daten anderer, Symlinkattacken

43 Zugriffsrechte - Sicherheit Empfehlung zum Umgang mit Zugriffsrechten: Keine SUID-root-Skripte Möglichst wenige SUID-Binaries (insb. root) Möglichst wenige SGID-Binaries SUID möglichst auf einen anderen User als root Binaries in den Systemordnern gehören im Zweifelsfall root/root Regelmäßige Kontrolle von Zugriffsrechten: Suche nach Dateien mit SUID-Bit: find / -perm 4 -print Suche nach Dateien mit SGID-Bit: find / -perm 2 -print Abgleich der Liste mit gespeicherter Liste, u.u. Über cron Einsatz von Programmen wie z.b. tripwire, scanlogd, logcheck um Angriffe frühzeitig zu erkennen

44 Zugriffsrechte - Sicherheit Anwendung von ACLs: Alle modernen Filesysteme (ext2, ext3, jfs, xfs, reiserfs) bieten die Möglichkeit, feiner abgestimmte Zugriffsrechte als user, group und other zu vergeben. Beispiel: btrx36 /tmp> ls -l test.txt -rw-r--r-- 1 btr11 bt_r :24 test.txt btrx36 /tmp> setfacl --modify=nobody:rw test.txt btrx36 /tmp> ls -l test.txt -rw-rw-r--+ 1 btr11 bt_r :24 test.txt btrx36 /tmp> getfacl test.txt file: test.txt owner: btr11 group: bt_r user::rwuser:nobody:rwgroup::r-mask::rwother::r--

45 Mount - Optionen Generell: Vorsicht bei der Einbindung von Dateisystemen insbesondere, wenn sie außerhalb der eigenen Kontrolle sind! NFS, CIFS (Samba), Floppy, CD-Rom, /tmp, etc. Mount-Optionen: nosuid noexec nodev Ignoriert SUID-Bit, Programme wechseln nicht die UID Dateien lassen sich trotz exec-bit nicht ausführen Device-Dateien werden ignoriert (Bsp. /dev/kmem Zugriff auf den Hauptspeicher kann nicht nachgebildet werden) readonly Keine Änderungen am Filesystem möglich acl Die Anwendung von Access Control Lists wird unterstützt user_xattr Extended User Attributes (mime-type, encoding, character-set, labeling für SE-Linux Domains) (Remote)Filesysteme mit Home-Verzeichnissen oder andere Filesysteme, die fremder Kontrolle unterliegen mit nosuid, nodev mounten, Filesysteme, die nicht verändert werden müssen, mit readonly mounten. /etc/fstab: LABEL=/ LABEL=/usr LABEL=/usr/local LABEL=/var LABEL=/tmp /dev/sda5 btrzxe:/home/btr / /usr /usr/local /var /tmp swap /home/btr ext3 ext3 ext3 ext3 ext3 swap nfs acl,user_xattr 11 acl,user_xattr 12 acl,user_xattr,ro 1 2 acl,user_xattr 12 acl,user_xattr,nosuid,nodev defaults rw,hard,bg,nosuid,nodev 12

46 SE-Linux SELinux (Security-Enhanced Linux, dt. sicherheitsverbessertes Linux): Erweiterung des Linux-Kernels. Entwicklung unter starker Beteiligung der NSA. Implementiert die Zugriffskontrollen auf Ressourcen im Sinne von Mandatory Access Control. Mandatory Access Control (MAC): Konzepte für die Kontrolle und Steuerung von Zugriffsrechten Entscheidung über Zugriffsberechtigungen nicht nur auf der Basis der Identität des Akteurs (Benutzers, Prozesses) und des Objektes (die Ressource auf welche zugegriffen), sondern aufgrund zusätzlicher Regeln und Eigenschaften (wie Kategorisierungen, Labels und Code-Wörter) SELinux besteht aus: Kernel-Patch (für 2.4.x) In Kernelversion 2.6.x direkt integriert. Zahlreichen Erweiterungen für Systemprogramme.

47 SE-Linux Fedora Core ist erste Distribution, die von Haus aus SELinuxUnterstützung mitlieferte. Fedora Core 3 und Red Hat Enterprise Linux 4 wurden als erste Distributionen mit voller SELinux-Unterstützung ausgeliefert. Mittlerweile ebenfalls fester Bestandteil von Hardened Gentoo, Debian Etch und OpenSuse. Implementierungen für Slackware und Ubuntu in Arbeit. Für das Festlegen der Regeln gibt es eine sogenannte Policy. Die meisten Distributionen bieten spezielle SELinux-Policy-Pakete für ihre Programme an, die die Policy um das jeweilige Programm erweitern. Alle Dateien werden gelabelt, also einem bestimmter Domain zugeordnet. Zuordnungen werden in den erweiterten Attributen des Dateisystems gespeichert, deshalb läuft SELinux nur auf Systemen, deren Dateisysteme Erweiterte DateiAttribute unterstützen; derzeit machen das nur Ext2/3 und XFS. (Mountoption: user_xattr!)

48 SE-Linux Negativ: SELinux viel zu komplex, um von normalen Benutzern administriert werden zu können. Folge: Die meisten Benutzer konfigurieren ein solches System entweder nur unsicher oder schalten es komplett ab. Links zu SE-Linux: Online-Dokumentation

49 Beseitigung von Sicherheitslücken in bestehenden LINUX-Installationen Regelmäßiges Einfahren von Sicherheitsupdates! Da Linux ein Open-Source-Betriebssystem ist, werden aufgetretene und bekannt gewordene Sicherheitslücken von vielen Hackern sofort ausgenutzt. Infos über Sicherheitslücken und -patches: Bundesamt für Sicherheit und Informationstechnik: Security Space: DFN Cert: Allgemeine Linux Sicherheitsinfos: / Downloads der Sicherheitsupdates über den entsprechenden Paketmanager. Automatische Updates einstellen! Suse: Yast2 Debian: Synaptic, dselect, aptitude Ubuntu: Synaptic, Adept, aptitude Fedora/Redhat: kpackage oder pirut

50 Rootkits / Trojaner Was sind Rootkits / Trojaner? Rootkits sind versteckte Netzwerkdienste, die ein Einbrecher installiert, um den Rechner langfristig für seine Zwecke missbrauchen zu können. Trojaner sind Schaden verursachende Programme, die sich unter dem Namen bekannter Programme verstecken. Wie vermeide ich eine "Infektion" meines Rechners? Vermeiden von Einbrüchen. Keine Programme aus unsicheren Quellen installieren, insbesondere keine RPMs ohne Überprüfung der MD5-Checksumme. Warum sind Rootkits so schwer zu entdecken? Rootkits tauschen teilweise nahezu alle Programme aus, die ihre Entdeckung ermöglichen würden (z.b. ls, ps, md5sum, top, netstat, find). Moderne Rootkits installieren dazu sogar eigene Kernelmodule. Wie kann ich sie trotzdem finden? Sicherheitskopien der o. g. Programme auf CD, USB-Stick oder Floppy speichern. chkrootkit ( von Zeit zu Zeit laufen lassen.

51 Allgemeine Wachsamkeit Unerklärliche Plattenaktivitäten Wenn der Rechner heftig auf die Platte zugreift, obwohl kein eigener Task läuft, sollte man nachsehen, was denn da los ist. ==> Überwachung der Systemaktivität mit "top" oder "ps" Heftige Netzwerkaktivitäten Wenn das Netzwerk ohne ersichtlichen Grund langsam wird oder der Port am Switch/Router heftige Netzwerkzugriffe zeigt, kann das auf unerkannte bzw. unberechtigte Aktivitäten hindeuten. ==> Überwachung der Netzaktivitäten mit "netstat" Überprüfen der verdächtigen Dateien Wenn Dateien an Stellen stehen, wo sie normalerweise nichts verloren haben (z.b. /tmp/cron, /usr/tmp/lpr, /usr/share/bin/*), handelt es sich wahrscheinlich um ein gehacktes System. Überprüfung des Inhalts mit strings, um mögliche Hinweise zu bekommen. Nach verdächtigen Directories suchen! (Diese sind meistens mit., damit sie im ls nicht auftauchen. Beliebt z.b.: '. ' oder '...')

52 Allgemeine Wachsamkeit Unerklärliches Dateiverhalten Wenn sich Dateien nicht löschen oder verschieben lassen, obwohl es von der Permission her gehen sollte, ist auch Vorsicht geboten. Dateien wurden möglicherweise von Hackern modifiziert. Überprüfung der Attribute mit lsattr btrx36:/tmp ls -l test.txt -rw-r--r-- 1 btr11 bt_r 242 Jan 28 15:24 test.txt btrx36:/tmp rm test.txt rm: remove write-protected regular file `test.txt'? y rm: cannot remove `test.txt': Operation not permitted btrx36:/tmp lsattr test.txt ----i test.txt btrx36:/tmp chattr -i test.txt btrx36:/tmp rm test.txt btrx36:/tmp

53 Datensicherungen Regelmäßige Backups bieten Schutz gegen: Hardwarefehler (Plattendefekte, Diebstahl) Datenverlust durch Hackerangriffe versehentliches Löschen (z.b. rm -r / tmp/*) und Überschreiben Backupprogramme: Lokal: dump tar Remote: amanda rsync Sicherung am Besten auf Festplatte an anderem Rechner in anderem Raum: Sicherheit bei Hardwaredefekt und -diebstahl Sicherheit bei gehacktem System

54 Absolute Sicherheit lässt sich nicht erreichen! Man kann es den Angreifern aber so schwer machen, dass sie aufgeben.