Muss man ein Linux-System wirklich härten? Was ist bei der Umsetzung unbedingt zu beachten? Und welche Herausforderungen haben Sie zu meistern, damit das Hardening wirklich nachhaltig realisiert werden kann? Die Antworten gibt es hier.
Warum sollte man Linux härten?
Linux galt lange Zeit als besonders sicheres Betriebssystem. Im Vergleich zu Windows schien es weniger anfällig für Malware und Cyber-Angriffe zu sein, was unter anderem auf den Open-Source-Charakter, die strenge Rechteverwaltung und die aktive Entwicklergemeinde zurückgeführt wurde. Aber diese Zeiten sind längst vorbei!
Moderne Angriffstechniken, komplexe Software-Abhängigkeiten und immer größere Systemlandschaften haben gezeigt, dass auch Linux-Systeme nicht per se sicher sind. Prominente Vorfälle wie die Sicherheitslücke in OpenSSL (Heartbleed Bug) oder die Schwachstellen in Sudo und Polkit/PolicyKit bewiesen, dass weit verbreitete und gut geprüfte Linux-Komponenten vulnerabel sind.
Ein besonders gravierendes Beispiel war Ende 2021 die Log4j-Sicherheitslücke, die unter anderem als “Größte Schwachstelle in der Geschichte des Computing” bezeichnet wurde. Diese ermöglichte es Angreifern, über einfache Anfragen beliebigen Code auszuführen – mit globalen Auswirkungen auf Millionen von Servern, darunter viele Linux-Systeme.
👉 Das bedeutet zusammengefasst: Die verschiedenen Linux-Derivate besitzen wie Windows-Systeme zahlreiche Angriffsflächen und Schwachstellen, die ausgenutzt werden können. Sie sollten daher geschützt werden – unter anderem durch Systemhärtung (engl. System Hardening).
Linux-Härtung: Welche Community-Lösungen gibt es?
Ist Linux-Hardening ein “nice to have”? Im Privatbereich kann man sagen: Ja.
👉 Wird aber in einem Unternehmen ein Linux-System eingesetzt, muss es unbedingt gehärtet werden – insbesondere in sensiblen Geschäftsbereichen. Wer das nicht tut, handelt grob fahrlässig. Im schlimmsten Fall riskiert man einen Cybersecurity-Vorfall, der unter Umständen extrem teure Folgen hat.
Laut der IBM-Studie “Cost of a Data Breach” belaufen sich die Kosten im Durchschnitt auf rund 5 Millionen Dollar. Im schlimmsten Fall kann die Existenz des gesamten Unternehmens gefährdet sein. “Jedes fünfte Unternehmen stand nach einem Cyberangriff schon einmal am Rande der Insolvenz”, so ESET.
Die Linux-Community hat daher verschiedene Sicherheitslösungen entwickelt. Dazu gehören unter anderen diese:
Linux Hardened Kernel
Schützt vor Exploits wie Buffer Overflows und Speicherfehlern durch Techniken wie ASLR und CFI.
SELinux (Secure Enhanced Linux)
Erzwingt feingranulare Zugriffskontrollen und verhindert unautorisierte Zugriffe – auch für kompromittierte Prozesse. Da SELinux aus der Feder von Red Hat und der NSA stammt, ist es eben hauptsächlich auf Red Hat, SUSE und verwandten Distributionen zu finden.
AppArmor
Ähnlich wie SELinux, typisch für Debian und Ubuntu. Die Konfiguration ist etwas differenzierter und basiert auf Profilen, die den Zugriff auf Programme oder Dateien einschränken.
Auditd
Zeichnet sicherheitsrelevante Ereignisse auf und hilft, verdächtige Aktivitäten wie das Ausführen oder Lesen von unberechtigten Dateien frühzeitig zu erkennen. Auditd ist keine Härtung im engeren Sinne, da Aktivitäten von ohnehin unautorisierten Tätigkeiten geloggt werden!
Das große ABER: Warum die Lösungen keine sind
👉 So nützlich diese Werkzeuge auch erscheinen mögen, so muss doch klar gesagt werden: Sie alleine reichen nicht aus, um ein Linux-System umfassend zu härten!
Viele der damit möglichen Maßnahmen verbessern zwar die Sicherheit durch Überwachung, Zugriffsbeschränkungen oder Speicherverwaltungsmechanismen, reduzieren aber nicht alle potentiellen Angriffsflächen ausreichend.
Zudem folgen Lösungen wie AppArmor oder SELinux keinem etablierten Standard. Während Sicherheitsrichtlinien wie die CIS Benchmarks, NIST 800-53 oder ISO 27001 klare Vorgaben für die sichere Konfiguration eines Systems (die Härtung) liefern, sind die Tools der Linux-Community eher als Bausteine zu verstehen. Sie müssen immer noch individuell konfiguriert und mit anderen Lösungen kombiniert werden.
👉 Eine konsequente Systemhärtung erfordert immer ein umfassendes Sicherheitskonzept, das sich an bewährten Standards orientiert!
Ein Beispiel: Die im September 2023 entdeckte CUPS-Sicherheitslücke. Selbst wenn der Kernel umfassend gegen Exploits geschützt ist, bleibt ein offener Druckerdienst eine “Einladung” für Angreifer. Diese Schwachstelle zeigt einmal mehr, dass Anwendungen oder Dienste, die unnötigerweise öffentlich zugänglich sind, oft das größte Sicherheitsrisiko darstellen. Das Center for Internet Security (CIS) empfiehlt daher dringend, CUPS zu deaktivieren oder zu deinstallieren.
Die größten Probleme bei der Linux-Härtung
Die Umsetzung einer effektiven Linux Systemhärtung ist oft schwieriger als erwartet. Zu den Herausforderungen gehören:
🛑 Verteilte Konfigurationen
Windows verfügt über eine zentrale Registry. Bei Linux hingegen sind die Sicherheitseinstellungen über viele Dateien und Verzeichnisse verteilt. Dies führt zu einem hohen Aufwand.
🛑 Unterschiedliche Distributionen
Sicherheitsmechanismen und Standardkonfigurationen variieren zwischen Ubuntu, Red Hat Enterprise Linux, Debian und anderen Linux-Betriebssystemen, was eine einheitliche Härtung erschwert.
🛑 Mehrere Pakete für sicherheitsrelevante Tools
Jeder Linux-Experte kennt diese Fragen: “Verwende ich nun ufw, nftables oder direkt iptables für meine Firewall? Was nehme ich für meine Zeit-Synchronisation – chrony, systemd-timesycd?” Leider hat jede Lösung ihre eigenen Syntax.
🛑 Sicherheitsupdates und Abhängigkeiten
Viele Schwachstellen entstehen nicht durch den Kernel selbst, sondern durch veraltete Softwarepakete oder fehlerhafte Konfigurationen.
Woran Sie bei der Linux (Server) Härtung denken müssen
Wenn bei der Einführung von Linux-Infrastrukturen nicht massiv standardisiert und automatisiert wird, ist die entstehende Welt von Linux-Derivaten, Diensten und diversen Konfigurationen von eigentlich identischen Diensten nur mit großem Aufwand wieder “einzufangen”.
Im Rahmen einer Systemhärtung kommen dann unter anderem derartige Fragen auf:
-
- Welche Distribution wird eingesetzt?
- Ist alles auf einer Partition?
- Oder sollen /var, /home, /tmp separat eingebunden werden?
- Wer installiert wann die Updates?
- Welche Firewall-Implementierung wird genutzt?
- Wie ist der NTP-Dienst zu konfigurieren?
- Wie sind Logging-Einstellungen zu konfigurieren?
- Wie bekommen welche (zentral verwalteten) User-Accounts “sudo”-Rechte?
Lesetipp: In diesem Arch-Linux-Artikel sind weitere wichtige und grundlegende Ideen und Fragen zusammengefasst.
Sie haben Fragen zum Thema? Kontaktieren Sie uns!
Gibt es Hardening-Empfehlungen für Linux?
Oder anders formuliert: Was sagen die Hersteller? Eine gute Frage, denn: “Linux-Hersteller” sind je nach Distribution eine Einzelperson, kleine Gruppierungen, Vereine oder größere Firmen. Es gibt somit keinen zentralen Sprecher. Allgemein gültige Empfehlungen sind daher schwer zu finden.
Sie können aber diese Ratgeber studieren:
✅ Für Arch Linux steht eine Security-Übersicht zur Verfügung
✅ Auf debian.org findet man das “Debian Sicherheitshandbuch“
✅ Für SUSE Linux Enterprise gibt es den “Security and Hardening Guide“
Empfehlungen von Organisationen wie DISA, CIS, BSI & Co., die wir generell für Windows-Systemhärtungen empfehlen, finden sich natürlich auch im Netz. Hier drei Beispiele:
✅ CIS: Debian Linux Benchmarks
Wie gut sind vor-gehärtete Linux-Systeme?
Manche Linux-Distributionen wie Red Hat Enterprise Linux (RHEL) und Ubuntu (Canonical) werden bereits mit vorkonfigurierten Sicherheitsmaßnahmen ausgestattet, um eine “Grundhärtung” zu gewährleisten. Diese beinhalten unter anderem diese Security-Elemente:
Red Hat Enterprise Linux
-
- SELinux ist standardmäßig aktiviert und setzt strikte Zugriffskontrollen durch.
- Kernel-Härtungen wie Stack Canaries, ASLR (Address Space Layout Randomization) und NX-Bit zum Schutz vor Exploits.
- Systemd-Sandboxing für viele systemnahe Dienste, um Angriffsflächen zu minimieren.
- FIPS-Modus (Federal Information Processing Standards) für kryptografische Sicherheit nach US-Behörden-Standards.
- SCAP Security Guide (SSG) zur automatisierten Einhaltung von Compliance-Vorgaben (bspw. CIS, DISA STIGs).
Ubuntu (Canonical)
-
- AppArmor als standardmäßige MAC-Lösung (Mandatory Access Control) zur Begrenzung von Prozessrechten.
- Unattended Upgrades, die sicherstellen, dass sicherheitskritische Updates automatisch eingespielt werden.
- Livepatch-Service für Kernel-Patches ohne Neustart (besonders relevant für Server).
- Minimale Standardinstallation, um die Angriffsfläche von vornherein zu reduzieren.
- UEFI Secure Boot, um sicherzustellen, dass nur signierter Code beim Systemstart geladen wird.
- Angesichts der Vielzahl an Security-Tools, vordefinierten Richtlinien und besonderen Einstellungen könnte man meinen, dass Linux-Systeme heute durchgehend sicher sind. Doch das ist ein Trugschluss!
Selbst wenn eine Distribution mit einem gehärteten Kernel, restriktiven Zugriffsrechten und einer sicheren SSH-Konfiguration ausgeliefert wird – wer garantiert, dass dieser Zustand nach zwei Monaten oder gar fünf Jahren noch besteht? Es gibt also diese grundlegenden Probleme:
🛑 Drift der Systemkonfiguration
Updates, neue Softwareinstallationen oder manuelle Eingriffe können Sicherheitskonfigurationen ungewollt aufweichen.
🛑 Fehlendes Monitoring
Viele Linux-Sicherheitslösungen setzen auf eine initiale Härtung oder einmalige Audits, ohne fortlaufend Abweichungen zu erkennen und zu korrigieren.
🛑 Keine durchgehende Standardisierung
Es fehlt eine universelle Lösung, die sicherstellt, dass ein System allen bekannten Benchmarks (CIS, DISAC etc.) entspricht.
Wie gut ist Ihr Linux gehärtet? Machen Sie den Test!
Wenn Sie Ihr Linux (Server) System einer richtigen Härtung unterziehen möchten, sollten Sie zuerst den Status Quo bestimmen. Es gilt damit zu klären: Wie sicher ist Ihr Betriebssystem bereits gehärtet? Welche Optimierungspotenziale gibt es? An welchen Stellen besteht ein hoher Handlungsbedarf? Diese Fragen beantwortet Ihnen das kostenlose AuditTAP.
Mit dem AuditTAP führen Sie Hardening Checks für alle gängigen Windows- und Linux-Systeme durch. Bei jedem Audit werden alle Einstellungen intensiv gegen die Vorgaben von CIS und Co. geprüft. Als Ergebnis erhalten Sie einen detaillierten Bericht. Der AuditTAP-Report zeigt Ihnen dann, wie gut Ihr Ubuntu-, Debian-, Red-Hat- oder SUSE-System gehärtet ist.
Weist Ihre Linux-Härtung signifikante Mängel auf? Dann sollten Sie eine professionelle Systemhärtung durchführen. Dabei müssen nicht nur “kleine” Angriffsflächen wie die CUPS-Lücken geschlossen, sondern hunderte von Einstellungen angepasst werden – und das pro System! Wollen Sie das manuell erledigen? In großen, heterogenen IT-Landschaften mit dutzenden oder gar tausenden von Clients und Servern ist das extrem zeitaufwändig.
Um diesen Aufwand zu reduzieren, empfiehlt sich der Einsatz eines Hardening-Tools wie dem Enforce Administrator. Mit diesem können Sie Ihre Linux-Systeme mit einfachen PowerShell-Befehlen zentral und sicher konfigurieren und verwalten.
Darüber hinaus werden Ihre gehärteten Systeme überwacht. Treten Abweichungen auf, weil versehentlich oder absichtlich Änderungen vorgenommen wurden, macht der Enforce Administrator diese automatisch rückgängig. Auf diese Weise entsteht eine Art “selbstheilendes System”.
Enforce Administrator: Weitere Informationen
Fazit
Systemhärtung ist keine lapidare, singuläre Aufgabe – weder für Windows-, noch für Debian-, Fedora-, Ubuntu- und andere Linux-Systeme! Für die Implementierung eines nachhaltigen Security Configuration Managements ist neben der Umsetzung ebenso die regelmäßige Kontrolle und das Monitoring der Einstellungen wichtig. Nutzen Sie dazu vorhandene Tools, um sich die Arbeit zu erleichtern.
Wollen Sie mehr über System Hardening erfahren und praktische Tipps zur sicheren Konfiguration von Systemen erhalten? Folgen Sie uns auf LinkedIn! Oder möchten Sie wissen, wie Sie eine (automatisierte) Systemhärtung professionell realisieren und in Ihrem Unternehmen implementieren können? Sprechen Sie uns an – unsere Experten sind gerne für Sie da!
Jetzt einen Termin vereinbaren!
Bild: Freepik, FB Pro