Der gesunde Menschenverstand¶

Viele Angriffe auf Computersysteme basieren nicht (nur) auf technischen Unzulänglichkeiten der Systeme, sondern nutzen Techniken des Social Engineering, also die Schwachstellen des Menschen. Eines der wichtigsten Werkzeuge gegen Computerkriminalität ist daher der Verstand. Wenn jemand an der Tür klingelt und etwas sagt wie "Guten Tag, ich komme von Ihrer Bank und muss Ihr Konto überprüfen. Geben Sie mir Ihre EC-Karte und Ihre Geheimnummer, dann erledige ich das kurz und bringe sie Ihnen sofort zurück. Ansonsten wird Ihr Konto gesperrt.". In dem Fall würde jeder normale Mensch erstmal verdutzt gucken, dann die Tür zuschlagen und die Polizei rufen.

Merkwürdigerweise funktioniert dieser Trick (sog. Phishing) per E-Mail ausgeführt aber immer wieder. Dazu für den Täter mit einem viel geringeren Risiko, erwischt zu werden.

Solche Angriffe lassen sich nur sehr schwer, wenn überhaupt, mit technischen Mitteln verhindern. Deshalb ist es unerlässlich, bei der Benutzung eines Computers immer im Hinterkopf zu haben, dass es viele unredliche Mitmenschen auf dieser Welt gibt, die über das Internet alle gleich um die Ecke wohnen und Böses im Schilde führen. Wenn man also über das Internet von irgendwem aufgefordert wird, unbekannte Befehle auszuführen, Dateien zweifelhafter Herkunft zu öffnen oder persönliche Daten in eine Eingabemaske einzugeben, dann sollte man immer daran denken, dass nichts so sein muss, wie es scheint, im Zweifelsfall noch nicht einmal der Absender einer E-Mail.

Immer aktuell sein¶

Wie jedes komplexe Computersystem ist auch Ubuntu mit seinen zahlreichen Anwendungen nicht fehlerfrei. Von Zeit zu Zeit werden deswegen auch in den mit Ubuntu gelieferten Programmen Fehler gefunden, die evtl. zu einer Verminderung der Systemsicherheit führen können. In einem solchen Fall bemüht sich das Ubuntu-Security-Team, schnellstmöglich ein korrigiertes Paket bereitzustellen.

Im Gegensatz zu einigen anderen Linux-Distributionen versucht Ubuntu, die Codebasis innerhalb einer Ubuntu-Version möglichst stabil zu halten, und aktualisiert wirklich nur solche Pakete, in denen Sicherheitsprobleme oder andere (schwerwiegende) Fehler aufgetreten sind. Eine Einteilung in "nützliche" und "unnütze" Aktualisierungen kann man sich also sparen.

Das Vorhandensein aktualisierter Pakete erkennt man am entsprechenden Symbol oder der minimiert startenden Aktualisierungsverwaltung. Im Detail beschrieben wird der Aktualisierungsprozess im Artikel Automatische Updates.

Eine andere Möglichkeit, sich über Sicherheits-Updates zu informieren, bietet die – allerdings englischsprachige – Mailingliste ubuntu-security-announce .

xkcd.com (CC BY-NC 2.5)

Passwörter¶

Ein wichtiges Element nahezu jedes Sicherheitssystems sind Passwörter. Egal ob für die elektronische Post, für Ebay, für Webforen oder um sich überhaupt erstmal an einem Ubuntu-System anzumelden – ein Passwort sorgt dafür, dass man als derjenige authentisiert wird, der man zu sein vorgibt. Dumm ist nur, wenn jemand anderer sich des eigenen Passworts bemächtigt. Die Folgen reichen von grobem Unfug (diffamierende Forenbeiträge oder E-Mails im Namen von jemand anderem) über massive finanzielle Schäden (z.B. Ebay-Betrug) bis zu Ärger mit Ermittlungsbehörden, wenn jemand den eigenen Computer zur Verbreitung von Spam, Raubkopien oder anderem verbotenen Material (Kinder-Pornographie, radikale Propaganda) missbraucht.

Sowohl der Diebstahl als auch das Erraten der eigenen Passwörter muss deshalb um jeden Preis verhindert werden. Deswegen sollte man im Umgang mit Passwörtern folgende Regeln beachten:

• "Ein Passwort darf auf keinen Fall einfach zu erraten sein."
  Namen von Verwandten oder Geburtsdaten scheiden deswegen schon mal definitiv aus. Aber auch andere Begriffe können durch eine Wörterbuchattacke innerhalb kürzester Zeit geknackt werden. Cracker benutzen dafür ellenlange Listen mit Wörtern aus allen Sprachen der Welt, inkl. Suaheli, Elfisch oder Klingonisch. Auch eine Buchstabenkombination wie "qwertz" oder "asdfg" oder das einfache Anhängen einer Zahl ist nicht originell. Ein sicheres Passwort besteht deswegen aus mindestens 12 Stellen und enthält sowohl Klein- als auch Großbuchstaben, Ziffern und nach Möglichkeit Interpunktions- oder ähnliche Zeichen. Es gilt: (Anzahl der möglichen Passwörter) = (Anzahl der möglichen Zeichen) ^{Passwort-Länge}. Die Länge des Passwortes ist also bei (pseudo-)zufällig erzeugten Passwörtern das Wichtigste. (Siehe auch Password strength, Random passwords.) Es gibt diverse Möglichkeiten, solche Passwörter zu generieren:

  • Man kann ähnlich aussehende Zeichen ersetzen, z.B. "1" statt "l" oder "i", oder neue Zeichen beispielsweise in die Mitte des Passworts einfügen. Außerdem kann man ein wenig mit der ⇧ -Taste spielen: So kann man diese z.B. in einem eingängigen Takt drücken. Diese Methoden kann man besonders gut mit anderen (wie den folgenden) kombinieren.

  • Man denkt sich einen Passwort-Satz aus: Dies ist eine einfache Methode, um lange Passwörter zu erzeugen. Man nimmt sich z.B. einen Satz, den man sowieso schon auswendig kann oder in einem Buch gefunden hat, und modifiziert ihn mit den gerade genannten Methoden.

  • Alternativ kann man auch einen Merksatz wie "Meine Mutter hat vier Brüder, zwei Schwestern und ein Auto." nehmen und daraus den jeweils ersten Buchstaben verwenden: "MMh4B,2Su1A." Dies wäre ein gutes Passwort, wenn es hier nicht gerade als Beispiel öffentlich "verbrannt" worden wäre.

  • Man kann auch mathematische Formeln als Ausgangsbasis verwenden. So wird E=mc² z.B. zu "En3rgi3 = Mass3 * Lichtg3schwindigk3it^2".

  • Eine weitere Möglichkeit, ein solches Passwort zu generieren, ist das Kommandozeilenprogramm pwgen. Für Passwörter mit 12 Zeichen gibt man beispielsweise den folgenden Befehl in einem Terminal ein:

    pwgen 12 

    Das Kommando zeigt mehr oder weniger einfach aussprechbare (merkbare) Passwörter. Mit der Option --help werden zahlreiche weitere interessante Optionen angezeigt, mit denen man einfachere oder kompliziertere Passwörter erhält (siehe auch diesen Artikel aus dem Linux-Magazin ). Neben pwgen stehen auch noch andere Programme wie z.B. makepasswd aus dem universe-Repository zur Verfügung.

• "Umlaute und exotische Sonderzeichen in Passwörtern vermeiden."
  Das klingt wie ein Widerspruch zu dem voranstehend Gesagten, hat aber folgenden Hintergrund: Zeichen werden auf einem Rechner in Form von Zahlenwerten gespeichert. Welcher Zahlenwert einem Zeichen zugeordnet ist, bestimmt die Zeichenkodierung, z.B. UTF-8 oder ISO-8859-15. Gerade bei Umlauten unterscheiden sich die Kodierungen. Setzt man von Rechner A aus ein Passwort, das Umlaute enthält, so kann ein Anmeldeversuch von Rechner B aus fehlschlagen, wenn dieser eine andere Zeichenkodierung verwendet. Zudem ist nicht sichergestellt, dass auf der Tastatur eines anderen Rechners die Zeichen überhaupt eingegeben werden können. Groß- und Kleinbuchstaben ohne Umlaute, Ziffern, die gängigen Satzzeichen und +-*/ sollten keine Problem bereiten, sprich, die druckbaren Zeichen des guten, alten ASCII-Codes. Für Passwörter, die immer am selben Rechner eingegeben werden, wie z.B. das Passwort für das Ubuntu-Benutzerkonto, gilt diese Einschränkung natürlich nicht.

• "Passwörter sollten nicht für mehrere Zwecke verwendet werden."
  Die Verwendung desselben Passwortes für mehrere Zwecke sollte unbedingt vermieden werden, um den Schaden beim Diebstahl eines Passwortes gering zu halten. Insbesondere ist hierbei zu beachten, dass Passwörter bei Webanwendungen auf dem betreffenden Server gespeichert werden und dass dessen Sicherheit außerhalb des eigenen Kontrollbereiches liegt. Webforen werden bspw. tagtäglich geknackt, aber auch große Unternehmen sind nicht vollkommen sicher, wie man z.B. durch eine kurze Suche auf heise.de sehen kann. Aber nicht nur Cracker, sondern auch die Administratoren haben vollen Zugriff auf die Datenbank. Sollte man diesen Leuten das System-, E-Mail- oder Ebay-Passwort anvertrauen?

• "Niemals sollte man ein Passwort an jemand anderen weitergeben."
  Und zwar aus Prinzip. Es ist kein "Mangel an Vertrauen", wenn man einen Bekannten bittet, während der Eingabe eines Passwortes kurz wegzuschauen. Ebenso sollte man niemandem ein Passwort geben, um irgendwelche Dinge erledigen zu können. Wenn man bspw. einem Mitbewohner die Benutzung des eigenen Rechners erlauben will, ist es ein leichtes, ihm ein eigenes Benutzerkonto mit einem eigenen Passwort einzurichten.

• "Ein Passwort sollte nicht aufgeschrieben werden."
  Insbesondere sollte es nie auf einen Klebe-Zettel geschrieben und in der Nähe des Computers angeheftet werden. Das Notieren auf einem Zettel, den man dann in seine Brieftasche steckt, wäre wohl noch akzeptabel. Allerdings sollte man hier vermeiden, den Zweck des Passwortes mit zu notieren. Wenn man dann das Passwort nach wiederholter Verwendung auswendig kann, sollte man den Zettel vernichten.

• "Ein Passwort sollte regelmäßig geändert werden."
  Man sollte sich angewöhnen, Passwörter regelmäßig zu ändern, um den Schaden durch unbemerkt bekannt gewordene Passwörter einzugrenzen.

Diese Grundprinzipien der Passwortsicherheit klingen erst einmal hart und nur schwer einzuhalten, so dass man sich vielleicht gezwungen sieht, Kompromisse einzugehen. Bspw. ist es vertretbar, für mehrere unwichtige Dinge das gleiche Basis-Passwort zu verwenden. Dieses kann man dann je nach Verwendungszweck noch um ein kleines Anhängsel, wie z.B. den Namen der Website, ergänzen. Man sollte es mit der Nachlässigkeit allerdings nicht übertreiben und besonders bei Zugangs- und E-Mail-Passwörtern sowie allem, was mit Geld zu tun hat, die obigen Regeln beherzigen. Mit geeigneten Hilfsmitteln ist das aber eine reine Gewohnheitssache. Unterstützung erhält man dabei von "Passwort-Safes". Das sind Programme, die alle Passwörter eines Benutzers verwalten und mit einem Master-Passwort verschlüsselt auf der Festplatte speichern. Nun muss man sich nur noch ein Passwort merken, bei dessen Auswahl man allerdings besonders sorgfältig sein sollte. Näheres erfährt man im Wiki-Artikel Passwortmanager.

Wer sein Benutzerpasswort ändern will, kann dies unter GNOME mit Hilfe des Dialogs aus dem Menü "System -> Einstellungen -> Persönliche Angaben" tun, unter KDE über "Systemeinstellungen -> Persönliche Informationen -> Passwort ändern" oder über die Kommandozeile durch einfaches Aufrufen des Befehls passwd.

Browser¶

Als Hauptinteraktionsinstrument eines Desktop-Systems mit dem Internet ist der Webbrowser neben dem E-Mailprogramm natürlich besonders durch Schadprogramme gefährdet. Auch die freien Browser wie z.B. Mozilla Firefox und Konqueror waren in der Vergangenheit nicht vor Sicherheitslücken gefeit. Bis jetzt wurde zwar noch keine Schadsoftware in nennenswerter Menge in freier Wildbahn gesichtet, die auf Linux-Desktops zielt, aber entsprechende Machbarkeitsstudien existieren bereits. Deswegen kann man an dieser Stelle nur nochmal betonen, wie wichtig die Installation der Sicherheits-Updates ist.

E-Mail¶

Obwohl es viele Leute gibt, die sich über ihren Webbrowser bei ihrem E-Mail-Anbieter anmelden und ihre Post in einem Browser-Fenster verwalten, sind spezialisierte E-Mail-Programme wie Thunderbird, KMail, Evolution oder Mutt doch weitaus praktischer, vor allem wenn man viel Post bekommt. Die Benutzung eines dieser Programme kann aber nicht nur aus Sicht der Benutzerfreundlichkeit, sondern auch vom Standpunkt der Sicherheit sinnvoll sein.

Im Gegensatz zu Webseiten, zu deren Besuch man sich meist frei entscheidet, kann man sich nicht immer aussuchen, von wem man E-Mail empfangen möchte. Die Regel, dubiose Webseiten zu meiden, greift hier also nicht. Deswegen ist man über E-Mail potentiell größeren Gefahren ausgesetzt als beim normalen Surfen. Auch gezielte Attacken sind einfacher durchzuführen.

Office-Pakete¶

Gängige Office-Pakete unterstützen heutzutage die Einbindung mächtiger Interpretersprachen wie Basic oder sogar Python in ihre Dokumente. Das birgt die Gefahr, dass sich auf diesem Wege schädliche Skripte (Makroviren) verbreiten, wenn man Dokumente an andere Leute verschickt. Auch gezielte Angriffe durch das Zusenden manipulierter Dokumente sind so möglich. Standardmäßig fragen Office-Pakete wie LibreOffice deswegen heutzutage beim Benutzer nach, wie sie damit umgehen sollen, wenn sie beim Laden eines Dokuments auf solchen Programmcode stoßen. In der Regel sollte man dann die Ausführung desselben ablehnen. Wegen dieser Sicherheitsmaßnahme haben Makroviren heute keine nennenswerte Verbreitung mehr, und es gab sie für freie Bürosoftware auch noch nie in signifikanter Zahl.

Sonstige Desktop-Software¶

Von Instant-Messengern über Internet Relay Chat, Videokonferenzen und Filesharing bis hin zu Online-Spielen gibt es noch viele Programme, die mit anderen Rechnern im Internet kommunizieren. Auch hier gilt: Sicherheitsaktualisierungen möglichst schnell einspielen und den gesunden Menschenverstand nicht ausschalten. Keine dubiosen Tipps von Unbekannten anwenden und keine Software unbekannter oder zweifelhafter Herkunft auf dem eigenen Rechner ausführen (Vorsicht bei Fremdquellen).

Nichts für Anfänger¶

Um es vorweg zu nehmen: Die Administration eines Servers, der Internetdienste bereitstellen soll, ist wirklich nichts für Anfänger! Ohne Ahnung von der Materie, nur über die vom Hoster bereitgestellte Weboberfläche ist ein Root-Server nicht angemessen zu betreiben. Frei im Netz herumstehend mit einer Anbindung, von der ein Normalsterblicher nur träumen kann, stellt er falsch konfiguriert eine erhebliche Gefahr sowohl für den Eigentümer als auch für die restlichen Benutzer im Internet dar. Genauso wenig kann man sich darauf verlassen, dass der eigene Heimserver an der DSL-Leitung "einfach nicht gefunden wird". Viel zu viele Leute verlassen sich darauf, dass Linux "einfach sicher" ist. Früher oder später wird ihr Server "gecrackt" und für illegale Zwecke verwendet.

Das kann leicht sehr teuer werden. Ein "Serverpaket", d.h. die vertraglich festgelegte Dienstleistung des Server-Betreibers für den Mieter, bietet üblicherweise ein begrenztes Datentransfer-Volumen ("Traffic"-Kontingent). Wenn mehr beansprucht wird, kann es empfindlich teuer werden. Beispiel: Ein "Cracker" lädt ein DVD-Image auf einen Server, den er kompromittieren konnte, und verteilt den Link an 100 Leute. Das erzeugt ca. ein halbes Terabyte an Datenverkehr!

Zusätzlich kann man sich leicht noch Ärger mit der Polizei oder der Staatsanwaltschaft einhandeln, wenn es sich bei den verteilten Daten um illegale Ware wie Raubkopien, radikale Propaganda oder Kinderpornografie handelt oder wenn vom gecrackten Server Angriffe auf weitere Maschinen im Netz gestartet werden (DDoS), was fast immer der Fall ist. In diesem Falle kann man sich auch nicht auf den Vermieter oder Anbieter berufen, da man für die Sicherheit auf einem Rootserver selbst verantwortlich ist und dies so im Vertrag hinterlegt ist.

Wer sich also noch nicht mehr oder weniger ausführlich mit Unix bzw. Linux beschäftigt hat, insbesondere mit der Kommandozeile und Konfigurationsdateien, der sollte sich ernsthaft überlegen, bei einem "gemanageten" Hosting-Angebot zu bleiben. Der Begriff Managed Server bedeutet, dass man nur die Leistung und "Befehlsgewalt" über einen Server hat. Um die Systemkonfiguration, Sicherheit und dergleichen kümmert sich der Anbieter. Selbstverständlich sind solche Angebote teurer als einfache Rootserver. Dafür erhält man aber auch eine adäquate Gegenleistung – man braucht sich quasi um nichts zu kümmern – und das Schadensrisiko liegt beim Anbieter.

Noch aktueller sein¶

Als erstes gilt: Noch schneller und gewissenhafter mit Systemaktualisierungen umgehen als bei einem Desktop-System. Spätestens jetzt sollte man die betreffende Sicherheits-Mailingliste der auf dem Server verwendeten Distribution abonnieren, ebenso wie die betreffenden Mailinglisten aller Softwarepakete, die man zusätzlich installiert. Gerade Gameserver und Content-Management-Systeme, also Dinge, die man sehr häufig auf eigenen Servern installieren möchte, werden häufig nicht gerade mit dem Hauptaugenmerk auf Sicherheit entwickelt, und es werden regelmäßig schwerwiegende Lücken gefunden, die dann oft innerhalb kürzester Zeit auch im größeren Umfang ausgenutzt werden. Das einzige, was einen davor schützen kann, ist immer "up to date" zu sein.

Einen Plan erstellen¶

Bevor man einen Server aufsetzt, sollte man einen Plan erstellen, was man mit diesem Server eigentlich erreichen will und welche Software man dafür benötigt. Für die meisten Zwecke gibt es unter Linux durchaus mehrere Alternativen, von denen man sich unter folgenden Kriterien eine aussuchen sollte:

• Was für Ausstattungsmerkmale benötigt man? Welche Software bietet diese, und am besten nur diese, Merkmale?

• Was für eine Sicherheitsgeschichte bzw. Ruf hat eine Software? Gehört Sicherheit zu den erklärten Designzielen?

• Reichen die eigenen Fähigkeiten aus, um die Konfiguration der Software zu verstehen bzw. die Software zu beherrschen?

• Wird die Software von der Distribution unterstützt? (Das trifft im Falle von Ubuntu nur auf die Pakete des main-Repositories uneingeschränkt zu!)

Am besten setzt man zu Hause einen Testserver auf, an dem man erstmal gefahrlos rumprobieren kann. Insbesondere sollte man den Server auch auf seine Sicherheit überprüfen, u.a. mit einem Portscan. Wenn der Server beweglich ist (soll heißen, er steht nicht in einem Rechenzentrum), kann man ihn auch im lokalen Netz installieren und dann erst im fertigen Zustand mit dem Internet verbinden.

Sichere Authentifizierung¶

Noch viel wichtiger als bei einem relativ unangreifbaren Desktop-System ist bei einem Server die sichere Authentifizierung. Alle Grundsätze der Passwort-Sicherheit, die oben im Abschnitt "Desktop" angesprochen wurden, gelten natürlich auch hier und müssen besonders ernst genommen werden. Wer einmal einen Server administriert hat (und die Logs ab und zu gelesen hat), der weiß, wie häufig Fremde aus Übersee mit Attacken durch einfaches Raten schwache Passwörter zu finden versuchen.

Ferner sollte man beachten, wenn der Server außer Haus steht, dass möglichst keine Passwörter im Klartext übermittelt werden. Insbesondere zur Administration sollte man das ssh2-Protokoll (openssh) verwenden, das von Haus aus eine starke Verschlüsselung bietet. Mit den Befehlen scp und sftp kann man über dieses Protokoll auch Dateitransfers durchführen, so dass man auf den unsicheren FTP-Dienst ebenfalls verzichten kann. Einige grafische FTP-Programme wie z.B. gFTP unterstützen ebenfalls das ssh-Protokoll (siehe auch FTP).

Andere Dienste wie die verschiedenen Mail-Protokolle können mit wenig Aufwand zur Benutzung von SSL-Verschlüsselung überredet werden, was man auch tunlichst machen sollte.

Wenn die Möglichkeit einer noch stärkeren Authentifizierungsmethode besteht, sollte ganz auf die Verwendung von normalen Passwörtern verzichtet werden. SSH kann bspw. auch mit kryptographischen Schlüsseln authentifizieren, was der Passwortmethode in jedem Fall vorzuziehen ist. Zusätzlich zur erhöhten Sicherheit ermöglicht die Verwendung eines SSH-Agenten, die Schlüssel im Arbeitsspeicher vorzuhalten, damit man nicht bei jedem Anmelden das Passwort eintippen muss. Wir haben hier also einen der seltenen Fälle, wo gesteigerte Sicherheit auch gesteigerten Komfort bedeutet. Genaueres kann man im Wiki-Artikel SSH und in den Handbuchseiten der OpenSSH-Suite ("apropos ssh") nachlesen, insbesondere mit:

man ssh-keygen 

Firewall¶

Wer Serverdienste im Internet zur Verfügung stellt, der sollte die zugehörigen Rechner auf keinen Fall im internen, vertrauenswürdigen Netzwerk platzieren, wo er auch lokale Dienste wie CUPS, Samba, NFS, etc. laufen hat. Die Gefahr ist zu groß, dass doch mal in den Server eingebrochen wird, und dann verfügt der Angreifer über einen perfekten Brückenkopf ins private Netz. Wenn man seine Serverdienste also nicht von einem dedizierten Server aus einem Rechenzentrum anbietet, sondern von zu Hause bzw. vom Büro aus, dann sollte man den oder die Server mit Hilfe einer Firewall in eine Demilitarisierte Zone (DMZ) einsperren.

Diese sollte sowohl vom Internet als auch vom privaten Netz so weit wie möglich abgeschottet werden, d.h. nur solche Verbindungen, die dem Zweck des Servers dienen oder für die Administration essentiell sind, sollten erlaubt werden.

Außerdem sollten auf der Firewall alle ungewöhnlichen Verbindungen, besonders wenn sie von der DMZ ausgehen, ausführlich protokolliert werden (und die Protokolle auch regelmäßig gelesen werden), um Einbrüche kurzfristig erkennen zu können. Hierbei hilft auch die Installation von Intrusion Detection Systemen (IDS) bzw. Intrusion Prevention Systemen (IPS)

In den Ubuntu-Paketquellen findet man dazu bspw. tripwire und Aide als prüfsummenbasierte Host-IDSe sowie snort als signaturbasiertes Netzwerk-IDS.