Hacker-Schutz

Lynis: Fixer Sicherheits-Check für Ihren Linux-Server

Ein Linux-System kann nur so nur sicher sein, wie es seine Konfiguration zulässt. Automatisierte Checks helfen, potenziell unsichere Einstellungen, manipulierte Dateien und typische Konfigurationsfehler aufzuspüren.

Die großen Linux-Distributionen Debian, Ubuntu, Fedora, Cent-OS und Open Suse sind nicht nur auf dem Desktop zu Hause, sondern für den Einsatz auf Servern geschaffen. Sie müssen deshalb hohe Ansprüche an Sicherheit und Zuverlässigkeit erfüllen. Dazu gehört mehr als die schnelle Reaktion auf Sicherheitslücken und die rechtzeitige Bereitstellung von Patches. Die Systeme legen großen Wert auf eine sichere Grundkonfiguration von Systemkomponenten und Diensten. Neben der Konfiguration, die Funktionen und Verhalten von Server-Diensten festlegen, sind dafür Zugriffsrechte im Dateisystem von Linux ausschlaggebend. Denn diese legen fest, worauf ein Dienst zugreifen darf.

Der restriktive Ansatz geht oft auf Kosten von Komfort und Bequemlichkeit. Er verhindert aber, dass ein Linux-Server schon durch die Installation eines Dienstes aufgrund dessen Standardkonfiguration angreifbar wird. Das weitere Schicksal des Systems bleibt dann den Administratoren und Anwendern mit root-Privilegien überlassen, und es ist durchaus kein Problem, ein anfangs sicheres Linux-System durch nicht eingespielte Aktualisierungen und Konfigurationsfehler völlig unsicher zu machen. Die schlimmsten Lücken werden nicht von genialen Hackern gerissen, sondern durch Nachlässigkeit bei der Administration und Pflege des Systems.

Automatische Suche nach Lücken mit Lynis

Ob es aktualisierte Programmpakete gibt, zeigt ein Lauf des Paketmanagers, und über den Taskplaner Cron kann die Software-Aktualisierung automatisiert werden. Aber wie findet man potenziell unsichere Einstellungen und Konfigurationsfehler auf einem Server-System, das bereits eine Weile in Betrieb war und an dem eventuell mehrere Admins gearbeitet haben?

Es gibt Hilfe zum Aufspüren potenzieller Sicherheitslücken in der Konfiguration: Das Werkzeug Lynis sucht das System anhand einer Liste nach bekannten Fehlern und problematischen Einstellungen ab. Das Open-Source-Werkzeug Lynis stammt vom Entwickler des Rootkit-Scanners Rkhunter. Lynis sah seine erste Veröffentlichung vor sieben Jahren und wird bis heute erweitert und für neue Ausgaben von Linux-Distributionen angepasst. Dabei ist Linux nur eines von mehreren unterstützen Systemen: Lynis läuft auch unter Unix und verschiedenen BSD-Systemen, inklusive Mac-OS X. Je nachdem, welche Server-Dienste auf einem System aktiv, wählt Lynis die passenden Tests aus seiner Datenbank aus und liefert eine englischsprachige Auswertung in seiner eigenen Logdatei. Anders als Tools wie der Scanner Nessus simuliert Lynis keine Angriffe und darf deshalb auch auf produktiv eingesetzten Systemen zum Einsatz kommen, da es den laufenden Betrieb nicht stört und keine Flut von Logeinträgen bei den getesteten Server-Diensten erzeugt.

Natürlich kann man sich nicht blind auf ein Tool dieser Art mit seinen automatisierten Tests verlassen. Je mehr Dienste auf einem Linux-Server ihre Arbeit verrichten sollen, desto komplexer fällt die Konfiguration des Systems aus. Dazu kommen noch eine Menge kleinerer Unterschiede zwischen Linux-Distributionen. Der automatische Scan mit Lynis findet aber zumindest die üblichen Sicherheitslücken. Gerade bei öffentlich erreichbaren Servern im Internet ist ein gewissenhafter Check des Systems auch für Gelegenheits-Admins Pflicht. Ein Tool wie Lynis ist für den Einstieg gut geeignet, zumal es weiterführende Informationen zu gefundenen Problemen liefert.

Scans von Lynis finden immer nur auf dem System statt, das getestet werden soll, und benötigen einen root-Zugang. Der Scanner ist also Admin-Werkzeug und nicht für Angriffssimulationen auf ein System über das Netzwerk oder von einem normalen Benutzerkonto aus zu gebrauchen.

Installation und erster Start von Lynis

Viele Distributionen bieten Lynis in ihren Paketquellen zur Installation an, aber dabei handelt es sich oft um veraltete Versionen. Es ist besser, Lynis direkt in seiner aktuellsten Ausgabe von der Entwickler-Webseite zu holen, zumal das Script-basierte Tool nicht kompiliert werden muss. Die letzte Version liegt stets unter https://cisofy.com/download/lynis zum Download. Nach dem Herunterladen empfiehlt es sich, in einem Terminal-Fenster die Checksumme des tar.gz-Archivs mit dem Kommandosha1sum [Dateiname] zu berechnen und mit der Angabe auf der Webseite zu vergleichen, um eine Manipulation auszuschließen. Entpackt wird das Archiv mit

sudo tar xzvf [Dateiname]

mit vorangestelltemsudo oder als root-Benutzer. Das ist nötig, da Lynis seine eigenen Dateiberechtigungen überprüft und sich weigert, alle Tests auszuführen, wenn die Script-Dateien nicht root gehören. Ein Entpacken mit sudo ändert gleich den Besitzer der Dateien zu root. Nach dem Wechsel in das Verzeichnis mitcd lynis rufen Sie das Tool mit dem Kommando

sudo ./lynis -c -Q

auf. Die beiden angehängten Parameter weisen das Script an, alle in Frage kommenden Tests in einer Reihe auszuführen. Währenddessen zeigt Lynis den Fortschritt und Warnungen im Terminal-Fenster an. Nach dem Abschluss des Testlaufs präsentiert Lynis Empfehlungen zur Absicherung des Systems sowie URLs zum Nachlesen von Hintergrundinformationen zu einem potenziellen Problem. Einige der Links auf der Entwickler-Webseite sind allerdings Nutzern der kostenpflichtigen Lynis Enterprise Suite vorbehalten.

Sicherheitsratgeber für Debian-basiertes Linux

Anleitungen zum Absichern von Linux-Servern füllen üblicherweise Bücher und setzen solides Wissen vom Aufbau eines Linux-Systems voraus. Für Debian und seine Derivate hilft das deutschsprachige, umfangreiche Dokument „ Anleitung zum Absichern von Debian“ aus dem Jahr 2013. Es erklärt detailliert alle Aspekte, wie Debian und Abkömmlinge abgesichert werden, beschäftigt sich mit der Frage einer sicheren Netzwerkumgebung und bietet weitere Informationen über die Sicherheitswerkzeuge in Debian. Zuletzt wurde das Dokument für Debian 7 aktualisiert, die Diensteverwaltung mittels Systemd ab Debian 8 ist daher noch nicht enthalten.

(PC-Welt/ad)