Von: Dr. Klaus Plessner
Dass Linux unsicher sei, kann man nicht gerade behaupten. Denn die Open-Source-Gemeinde hat gut gearbeitet und Add-ons für verschiedenste Zwecke gezimmert. Die "internationalen Kernel-Patches" von Alexander Kjeldaas bringen dem Systemkern das Verschlüsseln bei, die Projekte "Crypto IP Encapsulation" (CIPE) und "Freeswan" entwickeln VPN-Komponenten, Zusätze wie "Linux Intrusion Detection System" (LIDS), "Medusa", Rule Set Based Access Control for Linux (RSBAC) und Mandatory Access Control (MAC) schützen Systemressourcen vor unberechtigten Zugriffen. Der einzige Haken ist der, dass der Anwender selbst Hand anlegen muss, wenn er diese Auswahl nützen will. Es sei denn, er installiert von Haus aus eine "sichere Distribution", die seinen Anforderungen genügt.
"Secure Linux" von der Firma Trustix dürfte die erste Plattform sein, die unter der Bezeichnung "sichere Distribution" auf den Community-Markt ging. Denn die Konkurrenzprojekte "Khaos" und "Slinux" haben noch keine fertigen Produkte hervorgebracht, die man aus dem Web laden könnte. "Mandrake Linux 7.0 Secure Server Edition" von Macmillan Software zielt speziell auf Content- oder Service-Provider ab mit einer Kombination aus einem Apache-Web-Server und SSL-Funktionen, die mit "Bsafe" von RSA gestrickt sind. Und schließlich "Bastille Linux", ein Programm, das die Konfiguration einer installierten Distribution sicherer gestalten soll, momentan mit Versionen für Red-Hat- und Mandrake-Linux.
Postfix statt Sendmail
Gegenüber der ersten Ausgabe Trustix Secure Linux 1.0 haben die Entwickler lediglich Fehler ausgebügelt. Neue Funktionen sind keine dazugekommen, die Zusammenstellung realisiert fast alle Vorhaben, die die Planer des Projekts in ihrem "Mission Statement" als "leicht umzusetzen" deklarierten. So hat man dem Paket nur eine kleine Auswahl von Diensten mitgegeben, die nach Ansicht von Trustix der Serverbetrieb erforderlich macht, darunter NFS, DNS, SMB-Fileservice, HTTP und E-Mail. Außerdem wurde die Default-Konfiguration verändert, so dass Services zum Beispiel nicht ohne das ausdrückliche "Ja" des Administrators starten. Gängige Software ersetzte der Distributor zudem durch angeblich sicherere Alternativen, zum Beispiel "Sendmail" für den Mail-Server durch "Postfix", "ProFTPd" anstelle des FTP-Dämons "wuftpd".
Von den als schwieriger eingestuften Zielen hat die Trustix-Werkstatt noch keines erreicht. Weder erlaubt der Kernel fein abgestufte Benutzerrechte, noch kann er Daten chiffrieren, die Protokolldaten über SMS oder einen Pager herausgeben oder Einmalpassworte generieren. An Errungenschaften der Open-Source-Szene wurden Open SSL, Open PGP und Open SSH beigefügt, außerdem die SSL-Versionen von Apache, POP 3 (SPOP) und IMAP (SIMAP). Nicht berücksichtigt sind demgegenüber die VPN-Pakete CIPE, Freeswan und Ressourcenschützer wie Medusa oder RSBAC.
Nicht über 1024
Den Setup-Prozess startet der Benutzer mit der CD-ROM des Pakets oder mit einer Boot-Diskette, die er auch auf einer Windows-Plattform erzeugen kann. Die ASCII-orientierte Installationsroutine beginnt mit der Frage, welchen Keyboard-Zeichensatz das Betriebssystem verwenden soll. Anschließend kann der Installateur die erforderlichen Partitionen einrichten, und zwar à la Red Hat entweder mit Hilfe von Fdisk oder mit dem ASCII-Tool "Diskdruid".
Den Bootloader schreibt Setup auf Wunsch entweder in den Masterboot-Sektor oder an den Anfang der Root-Partition. Falls diese jenseits des Sektors 1024 liegt, bricht die Setup-Routine kurz vor Schluss mit einer Fehlermeldung ab, obwohl das Programm dem Benutzer anbietet, eine Startdiskette zu erzeugen, die Linux auch jenseits der berüchtigten "1024" in Gang bringen könnte. Und noch ein Haken: Obwohl wir auf einer primären Partition installierten, die von Anfang bis Ende unterhalb der kritischen Grenze lag, meldete Setup zum Schluss den 1024er-Fehler und gab auf.
Es folgt die Konfiguration des Netzwerks. Hier muss der Anwender alle IP-Daten angeben, weil die Plattform die Adressen zunächst nicht dynamisch bezieht. DHCP lässt sich nur später einrichten. Zur Konfiguration der Authentifizierungsmechanismen entscheidet der Benutzer, ob er Shadow-Passwörter, MD5-Passwörter und NIS verwenden will. Schließlich wird der Installierende aufgefordert, einen Standard-User einzutragen.
Zuletzt folgt die Paketauswahl. Wir haben uns für "everything" entschieden, weil die Setup-Routine nicht über die verschiedenen Wahlmöglichkeiten informiert. Das Gesamtpaket belegt rund 400 MByte und enthält die Man-Pages. Beim ersten Hochfahren lädt das System die Module für die Netzwerkkarten, bleibt aber stehen, wenn eine der installierten Steckkarten nicht ans LAN angeschlossen ist. Bevor es weiterging, mussten wir die inaktiven Interfaces ausbauen.
Für den Anfang keine Dienste
Wie von den Entwicklern angekündigt, starten keine Netzwerkdienste, auch wenn der Rechner im Runlevel 3 hochfährt. Dennoch sind die Services gut vorbereitet durch Musterdateien für die Konfiguration. Auf welchen Betriebsebenen dabei welche Programme laufen, stellt der Benutzer mit Hilfe des bewährten Red-Hat-Befehls chkconfig ein. Und zum Starten von Netzdämonen für Services wie Telnet, Mail, Tftp und Finger braucht er in der vorbereiteten Datei inetd.conf nur jeweils ein Kommentarzeichen zu löschen.
Für die Ausgabe 2.0, die noch in diesem Jahr erscheinen soll, hat Trustix einige Verbesserungen geplant. So soll künftig die Kernel-Erweiterung des "Openwall"-Projekts die Benutzerrechte einschränken und das Tool "Tripwire" melden, wenn eine Systemdatei geändert wird. Ein "Plugged Authentication Module" (PAM) wird Einmalpasswörter ins Spiel bringen und die Syslog-Ausgabe wird auf Wunsch auch Pager und Handys ansprechen. Auch den internationalen Kernel-Patch wollen die Entwickler einbauen, voraussichtlich in einer eingeschränkten Version ohne patentierte Algorithmen. Mit dem Verschlüsseln von Dateisystemen werden sie, abgesehen davon, noch warten, weil sie mit dem gängigen Umweg über das Loop-back-Gerät nicht zufrieden sind. Vielmehr streben sie eine Lösung an, bei der das Betriebssystem ganz ohne Klartext auskommt und von einer chiffrierten Festplatte aus bootet.