Linux härten: Systemhärtung für Ubuntu, Debian, Fedora & Co.: Wie geht das?

Nobody is perfect – besonders kein Betriebssystem! Deshalb ist auch eine Systemhärtung für Linux empfehlenswert. Die Umsetzung kann allerdings in Unternehmensumgebungen komplex ausfallen. Das sollten Sie beachten.

Warum muss man Linux härten?

Linux wird oft per se als “sicher” bezeichnet. Ein Trugschluss! Das Härten von Systemen durch eine entsprechende Systemkonfiguration ist extrem wichtig – das gilt auch für Linux.

Kommt das offene Betriebssystem im Business-Umfeld zum Einsatz, sollten Sie es unbedingt härten. Insbesondere dann, wenn sensible Daten verarbeitet werden!

Das hat die große Community erkannt, diverse Projekte greifen das Thema auf. Zum Beispiel:

Was ist die Herausforderung beim Härten von Linux?

Bei Linux ergeben sich im Vergleich zu Windows einige wichtige Unterschiede, die Sie bedenken müssen. Das sind die aus unserer Sicht wichtigsten Aspekte:

“Write programs that do one thing and do it well”

Anwendungen unter Linux haben (zumindest in der UNIX-Philosophie ) recht klare Zuständigkeitsbereiche. Sie sollen wenig bis gar nicht darüber hinausgehen.

Es kommt aber häufig in der Community eine Diskussion darüber auf, wie etwas “am besten” gelöst wird. Dies führt zu Fragmentierung und Forks. Das ist zwar prinzipiell wichtig, da es für die gewollte “Gewaltenteilung” sorgt, doch es kann die Verwaltung von Linux komplex machen.

“Everything is a file”

Windows nutzt abstrakt zentralisierte Ansätze wie Gruppenrichtlinien bzw. die zugehörigen Registry-Einträge, um Einstellungen zu setzen. Auf Linux-Seite wäre das Äquivalent solche Einstellungen über die Konfigurationsdateien vorzunehmen.

Aufgrund der oben beschriebenen, unterschiedlichen Lösungsansätze und der – im Gegensatz zu Windows – mehr oder weniger beinahe fundamental wichtigen Freiheitsgrade ergeben sich hier für einen Dienst oft diverse Implementierungen / Namen / Formate. Diese machen eine Automation herausfordernd.

Welche Folgen hat das?

Wird bei der Einführung von Linux-Infrastrukturen in einem Unternehmen nicht massiv standardisiert und automatisiert, ist die entstehende Welt an Linux-Derivaten, Diensten und diversen Konfigurationen eigentlich identischer Dienste nur mit großem Aufwand wieder “einzufangen”.

Es kommen dann derartige Fragen auf:

    • Welche Distribution wird eingesetzt?
    • Wer installiert wann die Updates?
    • Welche Firewall-Implementierung wird genutzt?
    • Wie ist der NTP-Dienst zu konfigurieren?
    • Wie sind Logging-Einstellungen zu konfigurieren?
    • Wie bekommen welche (zentral verwalteten) User-Accounts “sudo”-Rechte?
    • Wird eine Nutzung des “Root”-Accounts verboten? Oder zumindest der SSH-Zugang eingeschränkt?

Lesetipp: In diese Arch-Linux-Artikel sind weitere wichtige grundlegende Ideen und Fragen zusammengefasst.

Gibt es Hardening-Empfehlungen für Linux?

“Linux-Hersteller” sind je nach Distribution eine Einzelperson, kleine Gruppierungen, Vereine oder größere Firmen. Selbst wenn man sich nur am Kern von Linux (dem „Kernel“) orientiert, gibt keinen zentralen „Sprecher“. Allgemeine Empfehlungen sind daher schwer zu finden.

Allerdings gibt es bereits gute Handreichungen, beispielsweise diese:

Empfehlungen von Organisationen wie DISA, CIS, BSI & Co., die wir für Windows-Systemhärtungen in der Regel empfehlen, finden sich natürlich ebenfalls im Netz. Hier ein paar Beispiele:

Wie gut ist Ihr Linux-Hardening?

Wenn Sie Ubuntu, Debian oder Fedora  einer Systemhärtung unterziehen möchten, müssen Sie zuerst den Status Quo bestimmen. Das heißt: Wie gut haben Sie bislang Ihr Linux gehärtet bzw. sicher konfiguriert?

Seit dem letzten großen Versionssprung bietet das Audit Test Automation Package (kurz: AuditTAP) einen “Security Base Data”-Report für die gängigsten Linux-Varianten an.

Hierbei handelt es sich (noch) um keinen umfassenden Audit-Bericht im Bezug auf eine Linux-Härtung, aber um einen ersten wichtigen Schritt dahin. Wichtige Basis-Parameter werden hier geprüft. Sie geben einen ersten Eindruck einer Basis-Konfiguration.

AuditTAP Debian Report (Bild: FB Pro GmbH)

Systemhärtung: Mehr als die Anwendung eines Scripts!

Systemhärtung ist keine einmal zu erledigende Aufgabe. Für die Implementierung eines Security Configuration Managements ist neben der Umsetzung ebenso die regelmäßige Kontrolle und das Monitoring der Einstellungen wichtig.

Das wollen wir unterstützen. Unsere Mission lautet daher: Nicht nur Windows-Systeme müssen professionell gehärtet werden, sondern auch Linux!

Diese Mission gehen wir schrittweise an. Deshalb werden wir regelmäßig diesen Beitrag aktualisieren und mit neuen Informationen anreichern, um das Hardening von Ubuntu, Debian und Co. für Unternehmen klar zu beschreiben. Stay tuned!

Haben Sie noch Fragen zum Thema Systemhärtung oder zum AuditTAP? Melden Sie sich ganz unverbindlich bei uns!

Kontakt aufnehmen

Bild: Freepik

 

Schreibe einen Kommentar