24.3.2005

Sicherheitsupdates

default

 

Sicherheitsupdates

Auch die Linuxdistribution, der ich in Sicherheitsfragen am meisten vertraue, ist nur so sicher, wie der jeweilige Administrator fähig ist. Die Situation im Internet ist im Augenblick (Anfang 2005) so, daß ein Rechner, sobald er mit dem Internet verbunden ist, pro Minute etwa 100 Verbindungswünsche bekommt. Die meisten sind ungefährlich. Aber nicht alle. Sobald man auch nur ein Sicherheitsupdate verpaßt, und wenn es nur für einen Tag ist, ist der Rechner - im Prinzip - ein gefundenes Fressen für böse Jungs.

 

Was sind "Verbindungswünsche"

Spezielle Netzwerktelegramme, die eine Datenverbindung von Rechner zu Rechner aufbauen sollen. Der Rechner ist normalerweise so konfiguriert, daß er alle Wünsche ablehnt. Nur wenn man bestimmte Funktionen des Internet benutzt, z.B. Filesharing-Netze oder Möglichkeiten, von zu Hause aus auf dem Firmenrechner zu arbeiten, werden die betreffenden Verbindungen überhaupt aufgebaut. Nach dem Aufbau der Verbindung hat dann jeder Dienst seine eigenen Methoden, z.B. die Identität des anderen Teilnehmers zu prüfen und gegebenenfalls die Verbindung wieder zu trennen.

Etwa die Hälfte der Verbindungswünsche sind Anfragen von Rechnern von Peer-To-Peer-Teilnehmern, die die IP-Adresse noch von einer anderen Verbindung her in ihrem Speicher haben, und nachfragen, ob der Partner von gestern wieder ansprechbar ist. Die sind in der Regel ungefährlich.

Die andere Hälfte kommt von Viren, Würmern und Trojanern auf infizierten Windows-Rechnern, die sich verbreiten wollen. Die sind ebenfalls für Linuxrechner ungefährlich.

Etwa einmal pro Tag kommt ein ernsterer Angriff bzw. eine Vorbereitung dazu, z.B. ein umfassender Test auf vorhandene offene Ports, ein Angriff auf eine verwundbare Version eines Dienstes, oder der Versuch, verbreitete Fehlkonfigurationen auszunutzen.

 

Kann man Sicherheitsupdates automatisch machen, wie Windows?

Im Prinzip nein. Manchmal ist das Linux-Kernel betroffen, und dann muß nach dem Update neu gebootet werden, sonst ist das Update noch nicht wirksam. Einen Rechner mitten bei der Arbeit irgendwann automatisch neu booten zu lassen wäre keine gute Idee.

Auf einem Arbeitsplatzrechner könnte man etwas einrichten, das den User mit Updatewünschen so lange nervt, bis er nachgibt. Man kann sich aber auch angewöhnen, morgens als erstes nachzusehen, ob es Updates gibt. Das ist etwas besser, weil man dann nicht während der Arbeit vom Rechner gestört wird.

Man sollte (mindestens) einmal am Tag nachsehen, z.B. auf http://www.de.debian.org/ unter "Security Advisories", und wenn dort etwas Neues steht:

  • Einloggen als 'root'
  • apt-get update
  • apt-get upgrade

Dann eventuelle Fragen beantworten, und wenn es nötig ist: reboot.

 

Beispiel: Test auf Fehlkonfiguration meines SSH-Servers (Ausschnitt)

Mar 23 10:14:53 vpn sshd[1637]: User root not allowed because not listed in AllowUsers

Mar 23 10:14:54 vpn sshd[1637]: User mail not allowed because not listed in AllowUsers

Mar 23 10:14:55 vpn sshd[1637]: User news not allowed because not listed in AllowUsers

Mar 23 10:14:56 vpn sshd[1637]: User nobody not allowed because not listed in AllowUsers

Mar 23 10:14:57 vpn sshd[1637]: User guest not allowed because not listed in AllowUsers

Mar 23 10:14:58 vpn sshd[1637]: User admin not allowed because not listed in AllowUsers

abatz.de Jörn Abatz - Technische Software Impressum