Nobody is perfect – besonders kein Betriebssystem! Deshalb ist auch eine Systemhärtung für Linux empfehlenswert. Die Umsetzung kann allerdings in Unternehmensumgebungen komplex ausfallen. Das sollten Sie beachten.
Warum muss man Linux härten?
Linux wird oft per se als “sicher” bezeichnet. Ein Trugschluss! Bislang gab es unter anderem deshalb weniger Attacken, weil das Betriebssystem seltener als zum Beispiel Windows zum Einsatz kommt.
Doch mittlerweile hat sich der Wind gedreht: Da Linux in immer mehr Systemen und somit auch bei einer wachsenden Anzahl an Unternehmen “unter der Haube arbeitet”, wächst das Interesse der Cybergangster an dem OS. Wie eine Studie von Trend Micro zeigt, nimmt die Anzahl der Linux-Attacken deutlich zu.
Die System Hardening durch eine entsprechende Systemkonfiguration ist extrem wichtig – das gilt auch für Linux! Kommt das offene Betriebssystem im Business-Umfeld zum Einsatz, sollten Sie es unbedingt härten. Insbesondere dann, wenn sensible Daten verarbeitet werden!
Das hat die große Community erkannt, diverse Projekte greifen das Thema auf. Zum Beispiel:
Was ist die Herausforderung beim Härten von Linux?
Bei Linux ergeben sich im Vergleich zu Windows einige wichtige Unterschiede, die Sie bedenken müssen. Das sind die aus unserer Sicht wichtigsten Aspekte:
“Write programs that do one thing and do it well”
Anwendungen unter Linux haben (zumindest in der UNIX-Philosophie ) recht klare Zuständigkeitsbereiche. Sie sollen wenig bis gar nicht darüber hinausgehen.
Es kommt aber häufig in der Community eine Diskussion darüber auf, wie etwas “am besten” gelöst wird. Dies führt zu Fragmentierung und Forks. Das ist zwar prinzipiell wichtig, da es für die gewollte “Gewaltenteilung” sorgt, doch es kann die Verwaltung von Linux komplex machen.
“Everything is a file”
Windows nutzt abstrakt zentralisierte Ansätze wie Gruppenrichtlinien bzw. die zugehörigen Registry-Einträge, um Einstellungen zu setzen. Auf Linux-Seite wäre das Äquivalent solche Einstellungen über die Konfigurationsdateien vorzunehmen.
Aufgrund der oben beschriebenen, unterschiedlichen Lösungsansätze und der – im Gegensatz zu Windows – mehr oder weniger beinahe fundamental wichtigen Freiheitsgrade ergeben sich hier für einen Dienst oft diverse Implementierungen / Namen / Formate. Diese machen eine Automation herausfordernd.
Welche Folgen hat das?
Wird bei der Einführung von Linux-Infrastrukturen in einem Unternehmen nicht massiv standardisiert und automatisiert, ist die entstehende Welt an Linux-Derivaten, Diensten und diversen Konfigurationen eigentlich identischer Dienste nur mit großem Aufwand wieder “einzufangen”.
Es kommen dann derartige Fragen auf:
-
- Welche Distribution wird eingesetzt?
- Wer installiert wann die Updates?
- Welche Firewall-Implementierung wird genutzt?
- Wie ist der NTP-Dienst zu konfigurieren?
- Wie sind Logging-Einstellungen zu konfigurieren?
- Wie bekommen welche (zentral verwalteten) User-Accounts “sudo”-Rechte?
- Wird eine Nutzung des “Root”-Accounts verboten? Oder zumindest der SSH-Zugang eingeschränkt?
Lesetipp: In diese Arch-Linux-Artikel sind weitere wichtige grundlegende Ideen und Fragen zusammengefasst.
Gibt es Hardening-Empfehlungen für Linux?
“Linux-Hersteller” sind je nach Distribution eine Einzelperson, kleine Gruppierungen, Vereine oder größere Firmen. Selbst wenn man sich nur am Kern von Linux (dem „Kernel“) orientiert, gibt keinen zentralen „Sprecher“. Allgemeine Empfehlungen sind daher schwer zu finden.
Allerdings gibt es bereits gute Handreichungen, beispielsweise diese:
-
- Für Arch Linux steht eine Security-Übersicht zur Verfügung
- Auf debian.org findet man das Handbuch “Securing Debian“
- Für SUSE Linux Enterprise gibt es den “Hardening Guide“
Empfehlungen von Organisationen wie DISA, CIS, BSI & Co., die wir für Windows-Systemhärtungen in der Regel empfehlen, finden sich natürlich ebenfalls im Netz. Hier ein paar Beispiele:
Eine weitere Möglichkeit ist, nicht beispielsweise Debian zu härten, sondern auf ein anderes Linux zu setzen. Security-Insider empfiehlt hierzu diese “hochsichere” Distributionen.
Linux Server härten – wie geht das?
Auch dafür finden sich im Netz einige Tipps. So gibt es auf Youtube diverse Linux-Guides – zum Beispiel dieses Video zur Absicherung des SSH-Zugangs auf Linux Server.
Gehärtetes Linux: Wie gut ist Ihre Konfiguration?
Wenn Sie Ubuntu, Debian oder Fedora einer Systemhärtung unterziehen möchten, müssen Sie zuerst den Status Quo bestimmen. Das heißt: Wie gut haben Sie bislang Ihr Linux gehärtet bzw. sicher konfiguriert?
Seit dem letzten großen Versionssprung bietet das Audit Test Automation Package (kurz: AuditTAP) einen “Security Base Data”-Report für die gängigsten Linux-Varianten an.
Hierbei handelt es sich – noch – um keinen umfassenden Audit-Bericht im Bezug auf eine Linux-Härtung, aber um einen ersten wichtigen Schritt dahin. Wichtige Basis-Parameter werden hier geprüft. Sie geben einen groben Eindruck einer Basis-Konfiguration.
Linux-Systemhärtung: Mehr als die Anwendung eines Scripts!
Systemhärtung ist keine einmal zu erledigende Aufgabe. Für die Implementierung eines Security Configuration Managements ist neben der Umsetzung ebenso die regelmäßige Kontrolle und das Monitoring der Einstellungen wichtig.
Das wollen wir unterstützen. Unsere Mission lautet daher: Nicht nur Windows-Systeme müssen professionell gehärtet werden, sondern auch Linux!
Diese Mission gehen wir schrittweise an. Deshalb werden wir regelmäßig diesen Beitrag aktualisieren und mit neuen Informationen anreichern, um das Härten von Debian, Ubuntu, Fedora und Co. für Unternehmen klar zu beschreiben. Stay tuned!
Haben Sie noch Fragen zum Thema Systemhärtung oder zum AuditTAP? Melden Sie sich ganz unverbindlich bei uns!
Bild: Freepik