Virenschutz unter Linux

Systemsicherheit mit LIDS und Snort

In der Regel verfügt nur der Administrator über umfassende Root-Rechte. Um zu verhindern, dass sich ein Angreifer Root-Rechte verschafft, bietet sich das Linux Intrusion Detection System (LIDS) an. Über dieses frei zugängliche System können sensitive Dateien und Verzeichnisse geschützt werden. Ferner ist es möglich, Root-Rechte und damit den zentralen Zugriff zu System- und Konfigurationsdateien genauer zu definieren. Das hält den Schaden möglichst gering, falls es zu einem erfolgreichen Einbruch in das System kommt. Bei einem unberechtigten Zugriff schließt das Linux Intrusion Detection System die Shell, von der aus der Zugriffsversuch erfolgte, und informiert den Administrator.

Als Sensor und Alarmsystem für Systemeinbruchversuche auf Netzwerkebene lässt sich das frei zugängliche Network Intrusion Detection System (NIDS) Snort einsetzen. Dabei entscheiden die individuellen Filterregeln darüber, welche Bandbreite an Angriffen erkannt wird. Grundsätzlich umfasst dies CGI-Angriffe, Buffer-Overflow-Attacken und versteckte Scans. Daneben können aber auch Denial-of-Service-Angriffe, Floodings und IP Stack Fingerprints erkannt werden. Einem Test der NSS Group zufolge, bei dem von IDS-Lösungen unter anderem 82 verschiedene Netzattacken zu erkennen waren, konnte Snort ohne spezielle Anpassungen 63 Angriffe, also 77 Prozent der Angriffe, erkennen. Doch letztendlich gilt auch hier der Grundsatz, dass es absolute Sicherheit nicht gibt.