Linux härten: Systemhärtung für Ubuntu, Debian, Fedora & Co. – Wie geht das?

Nobody is perfect – besonders kein Betriebssystem! Deshalb ist auch eine Systemhärtung für Linux empfehlenswert. Die Umsetzung kann allerdings in Unternehmensumgebungen komplex ausfallen. Das sollten Sie beachten.

Warum muss man Linux härten?

Linux wird oft per se als “sicher” bezeichnet. Ein Trugschluss! Bislang gab es unter anderem deshalb weniger Attacken, weil das Betriebssystem seltener als zum Beispiel Windows zum Einsatz kommt.

Doch mittlerweile hat sich der Wind gedreht: Da Linux in immer mehr Systemen und somit auch bei einer wachsenden Anzahl an Unternehmen “unter der Haube arbeitet”, wächst das Interesse der Cybergangster an dem OS. Wie eine Studie von Trend Micro zeigt, nimmt die Anzahl der Linux-Attacken deutlich zu.

Das OS Hardening bzw. System Hardening durch eine entsprechende Systemkonfiguration ist extrem wichtig – das gilt auch für Linux! Kommt das offene Betriebssystem im Business-Umfeld zum Einsatz, sollten Sie es unbedingt härten. Insbesondere dann, wenn sensible Daten verarbeitet werden!

Das hat die große Community erkannt, diverse Projekte greifen das Thema auf. Zum Beispiel:

Was ist die Herausforderung beim Härten von Linux?

Bei Linux ergeben sich im Vergleich zu Windows einige wichtige Unterschiede, die Sie bedenken müssen. Das sind die aus unserer Sicht wichtigsten Aspekte:

“Write programs that do one thing and do it well”

Anwendungen unter Linux haben (zumindest in der UNIX-Philosophie ) recht klare Zuständigkeitsbereiche. Sie sollen wenig bis gar nicht darüber hinausgehen.

Es kommt aber häufig in der Community eine Diskussion darüber auf, wie etwas “am besten” gelöst wird. Dies führt zu Fragmentierung und Forks. Das ist zwar prinzipiell wichtig, da es für die gewollte “Gewaltenteilung” sorgt, doch es kann die Verwaltung von Linux komplex machen.

“Everything is a file”

Windows nutzt abstrakt zentralisierte Ansätze wie Gruppenrichtlinien bzw. die zugehörigen Registry-Einträge, um Einstellungen zu setzen. Auf Linux-Seite wäre das Äquivalent solche Einstellungen über die Konfigurationsdateien vorzunehmen.

Aufgrund der oben beschriebenen, unterschiedlichen Lösungsansätze und der – im Gegensatz zu Windows – mehr oder weniger beinahe fundamental wichtigen Freiheitsgrade ergeben sich hier für einen Dienst oft diverse Implementierungen / Namen / Formate. Diese machen eine Automation herausfordernd.

Welche Folgen hat das?

Wird bei der Einführung von Linux-Infrastrukturen in einem Unternehmen nicht massiv standardisiert und automatisiert, ist die entstehende Welt an Linux-Derivaten, Diensten und diversen Konfigurationen eigentlich identischer Dienste nur mit großem Aufwand wieder “einzufangen”.

Es kommen dann derartige Fragen auf:

    • Welche Distribution wird eingesetzt?
    • Wer installiert wann die Updates?
    • Welche Firewall-Implementierung wird genutzt?
    • Wie ist der NTP-Dienst zu konfigurieren?
    • Wie sind Logging-Einstellungen zu konfigurieren?
    • Wie bekommen welche (zentral verwalteten) User-Accounts “sudo”-Rechte?
    • Wird eine Nutzung des “Root”-Accounts verboten? Oder zumindest der SSH-Zugang eingeschränkt?

Lesetipp: In diese Arch-Linux-Artikel sind weitere wichtige grundlegende Ideen und Fragen zusammengefasst.

Sie haben Fragen zum Thema? Kontaktieren Sie uns!

Gibt es Hardening-Empfehlungen für Linux?

“Linux-Hersteller” sind je nach Distribution eine Einzelperson, kleine Gruppierungen, Vereine oder größere Firmen. Selbst wenn man sich nur am Kern von Linux (dem „Kernel“) orientiert, gibt keinen zentralen „Sprecher“. Allgemeine Empfehlungen sind daher schwer zu finden.

Allerdings gibt es bereits gute Handreichungen, beispielsweise diese:

Empfehlungen von Organisationen wie DISA, CIS, BSI & Co., die wir für Windows-Systemhärtungen in der Regel empfehlen, finden sich natürlich ebenfalls im Netz. Hier ein paar Beispiele:

Eine weitere Möglichkeit ist, nicht beispielsweise Debian zu härten, sondern auf ein anderes Linux zu setzen. Security-Insider empfiehlt hierzu diese “hochsichere” Distributionen.

Linux Server härten – wie geht das?

Auch dafür finden sich im Netz einige Tipps. So gibt es auf Youtube diverse Linux-Guides – zum Beispiel dieses Video zur Absicherung des SSH-Zugangs auf Linux Server.

Gehärtetes Linux: Wie gut ist Ihre Konfiguration?

Wenn Sie Ubuntu, Debian oder Fedora einer Systemhärtung unterziehen möchten, müssen Sie zuerst den Status Quo bestimmen. Das heißt: Wie gut haben Sie bislang Ihr Linux gehärtet bzw. sicher konfiguriert?

Seit der Version 5.0 bietet das kostenlose Audit Test Automation Package (kurz: AuditTAP) einen “Security Base Data”-Report für die gängigsten Linux-Varianten an. Und für einzelne Distributionen, zum Beispiel für Ubuntu, SUSE und Debian, gibt es “richtige” Hardening-Checks.

Ubuntu mit Plan absichern

Eine Ausnahme gibt es seit dem Release von AudiTAP 5.6: Ab dieser Version ist es möglich, einen vollständigen Hardening-Report für Ubuntu 20.04 und Ubuntu 22.4 zu erzeugen. Dieser Report basiert auf den CIS-Benchmarks für Ubuntu (“CIS Ubuntu 1.1.0”).

Ein solcher Audit-Report sieht dann zum Beispiel so aus:

Ausschnitt, wie der neue Hardening-Report auf Basis der CIS-Benchmarks für Ubuntu 20.4 im AuditTAP 5.6 aussieht. (Klicken Sie auf das Bild, um eine größere Fassung zu sehen)
Ausschnitt, wie der neue Hardening-Report auf Basis der CIS-Benchmarks für Ubuntu 20.4 im AuditTAP 5.6 aussieht. (Klicken Sie auf das Bild, um eine größere Fassung zu sehen)

Unser Tipp: Nutzen Sie die Erkenntnisse des Hardening-Audits, um Ihr Ubuntu abzusichern und zu “härten”! Danach haben es Angreifer deutlich schwerer, Ihr System zu kompromittieren und Schäden anzurichten.

PowerShell als Linux-Fan nutzen – ist das nicht ein No-Go?

Für den Einsatz des AuditTAP müssen Sie mit PowerShell arbeiten, also einer Windows-Anwendung. Zucken Sie nun zusammen, weil Sie der Microsoft-Welt abgeschworen haben? Dann sollten Sie sich die Vorteile der PowerShell klarmachen:

    • In gemischten Umgebungen ermöglicht PowerShell das Erstellen von Skripten, die auf allen Systemen laufen.
    • Mit PowerShell können Windows-Server und -Dienste per Remote verwaltet werden. Das ist besonders nützlich, wenn Sie von einem Linux-System auf einen Windows-Server zugreifen müssen – zum Beispiel für eine Systemhärtung.
    • Während in Linux Textausgaben über Pipes weitergereicht werden, sind dies bei Powershell Objekte, auf denen weitergearbeitet werden kann. Diese Herangehensweise ermöglicht Ihnen komplexere und präzisere Daten-Manipulationen und -verarbeitungen. Das ist selbst für erfahrene “Basher” eine spannende Alternative!
    • Cloud-Dienste wie Microsoft Azure bieten die Verwaltung mit PowerShell an – auch für Linux VMs!

Und geben wir zu, wie es ist: Auch eingefleischte Linux-Nutzer arbeiten mal mit Windows, ob beruflich oder privat. Da liegt es nahe, eine Shell zu verwenden, um alles aus dem Betriebssystem herauszuholen – die Microsoft-Anwendung heißt nicht umsonst “PowerShell”!

Sind Sie noch nicht überzeugt? Dieses Video zeigt Ihnen, wie einfach Sie das AuditTAP mit der PowerShell installieren und nutzen können:

Linux-Systemhärtung: Mehr als die Anwendung eines Scripts!

Systemhärtung ist keine einmal zu erledigende Aufgabe. Weder für Windows-, noch für Debian-, Fedora-, Ubuntu- und andere Linux-Systeme!

Für die Implementierung eines Security Configuration Managements ist neben der Umsetzung ebenso die regelmäßige Kontrolle und das Monitoring der Einstellungen wichtig.

Das wollen wir unterstützen. Unsere Mission lautet daher: Nicht nur Windows-Systeme müssen professionell gehärtet werden, sondern auch Linux!

Diese Mission gehen wir schrittweise an. Deshalb werden wir regelmäßig diesen Beitrag aktualisieren und mit neuen Informationen anreichern, um das Härten von Debian, Ubuntu, Fedora und Co. für Unternehmen klar zu beschreiben. Stay tuned!

Haben Sie noch Fragen zum Thema “Systemhärtung” oder zum AuditTAP? Melden Sie sich ganz unverbindlich bei uns!

Jetzt einen Termin ausmachen!

Bild: Freepik

 

Schreibe einen Kommentar