Galileo Computing < openbook > Galileo Computing - Professionelle Bücher. Auch für Einsteiger.
Professionelle Bücher. Auch für Einsteiger.

Inhaltsverzeichnis
Vorwort
Einleitung
1 Was ist Ubuntu?
2 Die Versionen im Detail
3 Die Shell
4 Migration und Synchronisation
5 Die Installation
6 Erste Schritte
7 Ubuntu mobil
8 Derivate
9 Internet und E-Mail
10 Office
11 Grafik und Bildbearbeitung
12 Multimedia und Spiele
13 Programmierung und Design
14 Hardware-Konfiguration
15 Software- und Paketverwaltung
16 Architektur
17 Backup und Sicherheit
18 Server-Installation
19 Datei- und FTP-Server
20 Weitere Server-Dienste
21 Kontrolle und Monitoring
22 Desktop-Virtualisierung
23 Server-Virtualisierung mit KVM
24 Server-Virtualisierung mit Xen
25 Hilfe
26 Befehlsreferenz Ubuntu Linux
A Übersicht: Software für (K)Ubuntu
B Mark Shuttleworth
C Glossar
D Häufig gestellte Fragen
Stichwort

Download:
- ZIP, ca. 36,6 MB
Buch bestellen
Ihre Meinung?
Spacer
<< zurück
Ubuntu GNU/Linux von Marcus Fischer
Das umfassende Handbuch, aktuell zu Ubuntu 9.04 - Jaunty Jackalope
Buch: Ubuntu GNU/Linux

Ubuntu GNU/Linux
4., aktualisierte und erweiterte Auflage, geb.
1.120 S., 39,90 Euro
Galileo Computing
ISBN 978-3-8362-1439-1
Pfeil 17 Backup und Sicherheit
Pfeil 17.1 Berechtigungen
Pfeil 17.1.1 Dateiberechtigungen
Pfeil 17.1.2 PAM
Pfeil 17.2 Grundlagen der Sicherung
Pfeil 17.2.1 Partitionierung
Pfeil 17.2.2 Partitionierung der Zweitplatte
Pfeil 17.2.3 Verkleinerung von bestehenden Partitionen
Pfeil 17.3 Backup-Strategien
Pfeil 17.3.1 Inkrementelles Backup
Pfeil 17.3.2 Direktes Klonen via dd
Pfeil 17.4 Ist Linux sicherer als Windows?
Pfeil 17.4.1 Verschiedene Konzepte
Pfeil 17.4.2 Root versus Sudo
Pfeil 17.4.3 AppArmor
Pfeil 17.5 Virenscanner und Firewall
Pfeil 17.5.1 Virenscanner
Pfeil 17.5.2 Firewall
Pfeil 17.5.3 Sicherheits-Updates
Pfeil 17.6 Verschlüsselung
Pfeil 17.6.1 Einrichtung des Systems
Pfeil 17.6.2 Konfiguration der Krypto-Partitionen
Pfeil 17.6.3 Umwandlung der unverschlüsselten Partitionen
Pfeil 17.6.4 Der erste verschlüsselte Start
Pfeil 17.6.5 Datenspuren vernichten
Pfeil 17.7 Verschlüsseln mit GPG
Pfeil 17.7.1 Verschlüsselung einzelner Dateien
Pfeil 17.7.2 E-Mails verschlüsseln mit GnuPG
Pfeil 17.8 OpenSSH


Galileo Computing - Zum Seitenanfang

17.5 Virenscanner und Firewall Zur nächsten ÜberschriftZur vorigen Überschrift

Sicherheitsprogramme unter Windows sind zwar unverzichtbar, betreiben aber zu einem sehr großen Teil auch nur Augenwischerei. Anti-Viren-Programme und Firewalls versuchen durch Icons oder Meldungsfenster auf sich aufmerksam zu machen, damit der Anwender sich rundum geschützt fühlt. Dummerweise kann ein Virus den Virenscanner oder die Firewall leicht deaktivieren oder verändern, wenn es einmal im System angekommen ist. Schließlich hat ein Administrator (und diesen Status hat ein Virus unter Windows) jedes Recht dazu.

Unter Linux ist ein Virenscanner mangels Viren überflüssig. Es gibt zwar auch Virenscanner für Linux, aber die dienen in erster Linie dazu, Dateien oder Mails auf Windows-Viren hin zu untersuchen.

Überprüfung des Systems

Natürlich kann man mit einigem Glück und Können auch in ein Linux-System einbrechen, wobei der Aufwand bei einem Desktop-System in keinem vernünftigen Verhältnis zu dem zu erwartenden Ertrag steht. Eine Überprüfung ist selbstverständlich trotzdem möglich. Am besten ist es natürlich, wenn Sie Ihr System von außen überprüfen, beispielsweise von einer separaten CD (z. B. Knoppix) aus. Alle anderen Möglichkeiten wie Virenscanner und Firewalls, die beide nur intern im System laufen, sind eher als Vorbeugung zu betrachten. Unter Windows ist das im Prinzip natürlich nicht anders.


Galileo Computing - Zum Seitenanfang

17.5.1 Virenscanner Zur nächsten ÜberschriftZur vorigen Überschrift

ClamAV ist ein Open-Source-Virenscanner, den Sie ganz einfach über Synaptic bekommen. Die jeweils neue Version von ClamAV befindet sich in der Universe-Sektion. Das zu installierende Paket heißt clamav. Sie können ClamAV natürlich auch über

apt-get install clamav

installieren. Bitte achten Sie darauf, dass Sie dies per sudo, nicht als Root, tun. ClamAv wird als Benutzer im Terminal mit dem Kommando clamscan gestartet.

clamscan

Dabei werden die gescannten Verzeichnisse/Dateien angezeigt. Zunächst können folgende einfache Scan-Befehle verwendet werden (alle als normaler User ohne Root-Rechte):

  • clamscan hallo.pdf scannt die Datei hallo.pdf im aktuellen Verzeichnis.
  • clamscan /etc scannt das Verzeichnis /etc ohne die Unterverzeichnisse.
  • clamscan -r /etc führt einen rekursiven Scan des Verzeichnisses /etc und aller Unterverzeichnisse durch.
  • sudo freshclam führt ein Update der Virendefinitionen aus.

Der Befehl

clamscan -ril /home/user/Desktop/clamscan.txt --bell --remove \ 
--unrar=/usr/bin/unrar --tgz=/bin/tar /home

scannt das Home-Verzeichnis inklusive Unterverzeichnissen, schreibt eine Logdatei (clamscan.txt) nach /home/user/Desktop, piepst bei einem Virenfund, löscht das Virus und benutzt unrar (für *.zip) und tar (für *.tar.gz). Weitere Informationen lesen Sie in der Hilfe, die Sie mit clamscan -h aufrufen.

Grafisches Scannen

Für weniger versierte Benutzer steht in der Universe-Sektion auch das Paket clamtk bereit, das eine grafische Benutzeroberfläche für ClamAV installiert. Nach erfolgter Installation können Sie den Virenscanner nun mit dem Befehl clamtk aufrufen.

Abbildung
Hier klicken, um das Bild zu vergrößern

Abbildung 17.7 Mit ClamAV (ClamTK) scannen Sie bequem Ihr Ubuntu.

Um die Virendefinitionen auf den neuesten Stand zu bringen, muss ClamTK mit Root-Privilegien gestartet werden. Dies erreichen Sie mit folgendem Befehl:

gksudo clamtk

Galileo Computing - Zum Seitenanfang

17.5.2 Firewall Zur nächsten ÜberschriftZur vorigen Überschrift

Wenn Sie Windows verwenden, sind Sie es gewohnt eine Firewall einzusetzen, um Ihren Computer zu schützen. Diese Firewall kann entweder software-seitig als Programm innerhalb von Windows installiert sein oder hardware-seitig in Form eines vorgeschalteten Routers. Die zweite Variante mittels eines Routers ist eindeutig zu bevorzugen, da eventuelle Angriffe direkt von diesem geblockt werden und Ihr PC »unberührt« bleibt. Ohne existierende Firewall ist Windows innerhalb von Minuten »verseucht«. Unter Ubuntu macht der Einsatz einer Firewall nur in bestimmten Fällen Sinn.

Eine Personal Firewall hat prinzipiell zwei Aufgaben:

  • Sie blockiert Zugriffe aus dem Internet auf Dienste, die auf dem Rechner laufen. Die Ubuntu-Standardinstallation bietet im Internet erst gar keine Dienste an, also gibt es auch nichts, was man blockieren könnte.
  • Sie blockiert ebenfalls unerwünschte Zugriffe vom Computer auf das Internet für Programme, die man absichtlich oder unabsichtlich (Viren, Trojaner, versteckte Spionageprogramme) auf seinem Computer installiert hat. Unter der Software, die über die offiziellen Ubuntu-Quellen installiert werden kann, befinden sich solche Spionageprogramme erst gar nicht.

Uncomplicated Firewall

Seit Ubuntu 8.04 ist in Ubuntu das Paket ufw (uncomplicated firewall. dt. unkomplizierte Firewall) enthalten. ufw ist nichts anderes als ein Verwaltungswerkzeug, um Firewall-Regeln auf dem Level des Kernels zu generieren. Es stellt also keine neue Technik zum Abwehren von Angriffen dar, sondern bedient sich zweier etablierter und in Ubuntu enthaltener Werkzeuge:

  • netfilter Vom technischen Standpunkt aus gesehen befindet sich in jedem Linux-Kernel eine Firewall, die mit netfilter-Kernel-Modulen realisiert ist. Um diese Kernel-Module zu nutzen, sind allerdings Regeln notwendig, die ein spezielles Filtern explizit erlaubt oder verbietet. Ohne diese Regeln sind die Kernel-Module untätig.
  • iptables Im Userspace (also außerhalb des Kernels) befindet sich das zweite Werkzeug: die iptables. Die iptables sind ein weit verbreitetes Tool, das auch in Ubuntu standardmäßig installiert ist. Allerdings sind in Ubuntu keinerlei Regeln für die iptables definiert.

Die uncomplicated firewall wurde entwickelt, um das Erstellen von Firewall-Regeln zu vereinfachen. iptables besitzt leider eine sehr komplizierte Syntax, sodass das Erstellen eigener Regeln zu Beginn sehr zeitaufwendig sein.

So müssen Sie normalerweise für iptables folgendes Kommando verwenden, um die Verbindungen einer spezifischen IP-Adresse (192.168.1.12) zu blockieren:

sudo iptables -A INPUT -s 192.168.1.12 -j REJECT

Mit ufw verwendet man für den gleichen Zweck das folgende Kommando:

sudo ufw deny from 192.168.1.12

Der Befehl ist durch ufw nicht nur kürzer, sondern auch lesbarer und damit für den Administrator verständlicher geworden. Man sollte dabei aber nicht außer Acht lassen, dass ufw im Hintergrund trotzdem weiterhin iptables verwendet. ufw fungiert quasi lediglich als Übersetzer von einem Kommando in ein anderes. Das Einsatzgebiet liegt hauptsächlich im Serverbereich. Hier spart das einfache Erstellen von Firewall-Regeln wertvolle Zeit und Nerven.


Kommando Bedeutung

ufw enable

Die Firewall einschalten

ufw disable

Die Firewall ausschalten

ufw default allow

Alle Verbindungen standardmäßig erlauben

ufw default deny

Alle Verbindungen standardmäßig verbieten

ufw status

Zeigt den aktuellen Status und Regeln an

ufw allow 'port'

Erlaube Traffic auf 'port'

ufw deny 'port'

Verbiete Traffic auf 'port'

ufw deny from 'ip'

Blockiere eine spezielle 'ip'

Tabelle 17.6 Befehle für die Ubuntu-Firewall

Aufgrund der Tatsache, dass ufw nur ein »Kommandp-Übersetzer« ist, macht die Entwicklung einer grafischen Oberfläche für ufw keinen Sinn. Es gibt hinreichend gute und einfach zu bedienende grafische Oberfläche für die Konfiguration von iptables. Das wohl prominenteste Beispiel ist Firestarter, das ich Ihnen im folgenden Tipp vorstelle. Seit Ubuntu 9.04 gibt es aus zwei Gründen dennoch auch eine grafische Oberfläche für die uncomplicated Firewall:

  • Firestarter kann jeweils nur eine Schnittstelle überwachen. Während dies für einen Server oder Desktop-PC völlig ausreicht, ist es für Notebook-Besitzer ein Ärgernis. Sie müssen bei wechselnden Netzen die Firewall jedes Mal neu konfigurieren.
  • Des Weiteren unterliegt Firestarter zurzeit (Stand 2009) keiner aktiven Entwicklung mehr. Dies ist zwar prinzipiell kein Problem, da das Programm ausgereift ist. Es ist allerdings fraglich, ob zukünftig auftretende Sicherheitslücken oder Kompatibilitätsprobleme behoben werden. Das Projekt ist derzeit auf der Suche nach einem neuen Paketbetreuer.

Diese grafische Oberfläche befindet sich in den Paketquellen und lässt sich durch sudo apt-get install gufw installieren. Sie finden das Programm nach der Installation unter SystemSystemverwaltungFirewall Configuration.

Der Funktionsumfang reicht allerdings nicht an Firestarter heran. Deshalb empfehle ich Ihnen zurzeit noch Firestarter zu verwenden, falls Sie Ihren Desktop-PC durch eine Firewall absichern möchten.


Die Firewall grafisch einrichten

Eine sehr gute und bequem zu konfigurierende Firewall stellt Firestarter dar. Das Paket firestarter befindet sich in der Sektion universe und ist einfach über Synaptic zu installieren. Das Programm lässt sich durch das Kommando firestarter oder mit der Maus über Anwendungen • Internet starten. Beim ersten Start erscheinen einige leicht verständliche Aufforderungen, wie z. B. »Bitte wählen Sie das mit dem Internet verbundene Netzwerkgerät aus der Liste der verfügbaren Geräte.« etc. Nach Beendigung des Assistenten werden alle wichtigen Firewall-Regeln automatisch angelegt. Auf den zu schützenden Rechner darf erst einmal keiner zugreifen (»DROP all«), und der Rechner gibt keine Antwort auf Fragen wie z. B. ping.

Grundlegende Einstellungen wie z. B. die Antwort auf Ping-Abfragen können Sie dann unter Bearbeiten • Einstellungen vornehmen. Sinnvoll ist es hier, unter dem Punkt Benutzeroberfläche die beiden Häkchen zu setzen. Damit minimiert sich das Fenster beim Schließen in der Taskleiste, und Sie können Zugriffe direkt durch ein rotes Icon erkennen. Diese Zugriffe werden im Reiter Ereignisse im Hauptfenster protokolliert und angezeigt.

Im Reiter Richtlinie können Sie dann entsprechende Richtlinien wie z. B. Zugriffe aus dem Intranet zulassen anlegen, indem Sie mit der rechten Maustaste in die entsprechende Kategorie klicken und dann auf Regel hinzufügen. Das System startet beim nächsten Booten automatisch.

Abbildung
Hier klicken, um das Bild zu vergrößern

Abbildung 17.8 Firestarter – eine einfach zu konfigurierende Firewall

Offene Ports anzeigen

Um eine Firewall gezielt einzusetzen, ist es von Vorteil, wenn Sie wissen, welche Ports offen sind. Ein Port ist ein Teil einer Adresse, der Datensegmente einem Netzwerkprotokoll zuordnet. Beispiele für Ports sind 21 (FTP), 22 (SSH), 53 (DNS), 80 (HTTP) oder 3306 (MySQL).

Bei einer lokalen Firewall werden in der Regel nur die tatsächlich benötigten Ports freigegeben – alle anderen Ports bleiben gesperrt. Somit werden die Angriffspunkte auf ein Minumum reduziert. Mit einigen Bordmitteln können Sie viel über die offenen Ports Ihres Systems erfahren.


Kommando Bedeutung

iptables -L -n | less

Teste Paket-Filter.

netstat -a

Finde alle offenen Ports.

netstat -l --inet

Finde alle auf Eingabe wartenden Ports.

netstat -ln --tcp

Ebenso (TCP, numerisch) Ports

Tabelle 17.7 Grundlagen – Prüfen der Ports

Ich möchte hier nicht ins Detail gehen, Ihnen aber dennoch die grundsätzlichen Prinzipien zeigen, mit denen Sie an Informationen Ihres Systems herankommen. Für weitere Informationen benutzen Sie die Manpages oder schauen einfach im Internet nach.


Offene Ports anzeigen

Wenn Sie wissen wollen, welche Ports (sozusagen die Türen nach draußen) offen sind, ist der Befehl nmap genau richtig. Sie müssen dieses Programm erst mit dem Befehl
apt-get install nmap

installieren. Anschließend genügt ein einfaches
nmap localhost

Der eben genannte Befehl verschafft Ihnen schon einen recht guten Überblick über die Außentüren, die derzeit offen stehen. Er liefert beispielsweise folgende Ausgabe:
Starting nmap 3.81 (http://www.insecure.org/nmap/) at 2006-01-05 21:29 CET Interesting ports on localhost.localdomain: (The 1660 ports scanned but not shown below are in state: closed) PORT STATE SERVICE 631/tcp open ipp 32770/tcp open sometimes-rpc3 32771/tcp open sometimes-rpc5 Nmap finished: 1 IP address (1 host up) scanned in 0.430 seconds

Wenn Sie aber einen detaillierteren Überblick haben möchten, dann reicht dieser Befehl nicht mehr aus. Für solche Einsätze brauchen Sie netstat. Nicht jeder offene Port ist ein Einfallstor für Schädlinge. Einen Dienst mit dem Status »unbekannt« sollten Sie sich aber immer genauer anschauen.


Galileo Computing - Zum Seitenanfang

17.5.3 Sicherheits-Updates topZur vorigen Überschrift

Sicherheitslücken können auf jedem Computersystem vorkommen. Unter Ubuntu ist der Umgang damit besonders bequem gelöst:

  • Einmal täglich sucht Ubuntu automatisch in der Datenbank der verfügbaren Programme nach Sicherheits-Updates. Das betrifft nicht nur das Grundsystem, sondern normalerweise alle installierten Programme. Bei den Programmen, die in der Paketverwaltung Synaptic mit einem Ubuntu-Symbol gekennzeichnet sind, werden schnelle Sicherheits-Updates sogar garantiert.
  • Wenn Sicherheits-Updates vorliegen, erscheint im oberen Panel ein kleines Symbol, der Update-Notifier. Sie brauchen nur auf dieses Symbol zu klicken und Ihr Passwort einzugeben. Ihnen werden dann die verfügbaren Updates angezeigt, und Sie können diese installieren. So bleiben Sie einfach und zuverlässig auf dem neuesten Stand. Ab der Version Ubuntu 9.04 erscheint kein Hinweis auf verfügbare Updates mehr. Stattdessen wird sofort die Aktualisierungsverwaltung gestartet.
  • Bei Verwendung der original Ubuntu-Repositorys kann ausgeschlossen werden, dass sich Viren auf diesem Weg in Ihrem Rechner einnisten. Die Pakete sind hier von den Ubuntu-Entwicklern geprüft und mit einem zusätzlichen Schlüssel gekennzeichnet, der vor jeder Installation geprüft wird.

Seit Ubuntu 9.04 werden Ihnen verfügbare Sicherheits-Updates sofort angezeigt. Hierzu öffnet sich die Aktualisierungsverwaltung automatisch, um Sie auf diese Updates hinzuweisen. Wenn Sie diese Aktualisierung ignorieren, werden Sie täglich erinnert. Im Gegensatz hierzu werden Sie auf »normale « Updates lediglich alle sieben Tage hingewiesen.


Ihr Kommentar

Wie hat Ihnen das <openbook> gefallen? Wir freuen uns immer über Ihre freundlichen und kritischen Rückmeldungen. >> Zum Feedback-Formular
<< zurück
  Zum Katalog
Zum Katalog: Ubuntu GNU/Linux





Ubuntu GNU/Linux
Jetzt bestellen
 Ihre Meinung?
Wie hat Ihnen das <openbook> gefallen?
Ihre Meinung

 Buchtipps
Zum Katalog: Linux






 Linux
Zum Katalog: IT-Handbuch für Fachinformatiker






 IT-Handbuch für
 Fachinformatiker
Zum Katalog: Webserver einrichten und administrieren






 Webserver einrichten
 und administrieren
Zum Katalog: Xen






 Xen
Zum Katalog: VirtualBox






 VirtualBox
Zum Katalog: LPIC-1






 LPIC-1
Zum Katalog: Einstieg in Ubuntu 8.10 »Intrepid Ibex«





 Einstieg in Ubuntu
 8.10 »Intrepid Ibex«
Zum Katalog: Einstieg in Ubuntu Linux - Videotraining





 Einstieg in Ubuntu
 Linux - Videotraining
Zum Katalog: Debian GNU/Linux






 Debian GNU/Linux
 Shopping
Versandkostenfrei bestellen in Deutschland und Österreich
InfoInfo


Copyright © Galileo Press 2009
Für Ihren privaten Gebrauch dürfen Sie die Online-Version natürlich ausdrucken. Ansonsten unterliegt das <openbook> denselben Bestimmungen, wie die gebundene Ausgabe: Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Alle Rechte vorbehalten einschließlich der Vervielfältigung, Übersetzung, Mikroverfilmung sowie Einspeicherung und Verarbeitung in elektronischen Systemen.


[Galileo Computing]

Galileo Press, Rheinwerkallee 4, 53227 Bonn, Tel.: 0228.42150.0, Fax 0228.42150.77, info@galileo-press.de