Wenn Sie ein oder mehrere Linux-System härten wollen, müssen Sie viel Zeit, Energie und auch Geduld mitbringen – denn es gibt allerlei Hürden zu überwinden. Das sind die größten und nervigsten “Showstopper”.
Die Linux-Administration ist ein Fest für “Bastler”
Fangen wir mit einer provokanten Aussage an: Linux-Systeme sind bis heute ein wenig Liebhabersache. Während Windows eher dem klassischen Serienauto gleicht – mit Bedienungsanleitung, Werkstattservice und Garantie – erinnert Linux an den getunten Schrauberwagen. Das Fahrzeug fährt, manchmal schneller und eleganter – aber nur, wenn man weiß, was man tut.
Auch im Unternehmensumfeld zeigt sich das deutlich: Linux-Admins bauen ihre Server mit derselben Hingabe wie ein Star-Wars-Fan seinen Lego Millennium Falcon. Jeder Konfigurationsparameter ist wohlüberlegt. Jede Einstellung und jeder Alias sind ein Ausdruck von Know-how oder Geschmack.
Diese Nähe zur Technik bringt enorme Flexibilität mit sich. Sie hat aber ihren Preis! Spätestens wenn es um die systematische Härtung geht, also um überprüfbare Sicherheit, müssen persönliche Vorlieben und gewachsene Strukturen einem Standard weichen. Genau das ist oft deutlich schwieriger, als es klingt!
Linux-Systemhärtung: Einheitlich? Von wegen!
Während Windows-Admins viele Konfigurationen über Registry-Einträge verwalten können, ist die Linux-Welt fragmentierter: Einstellungen sind über viele Dateien verstreut. Und je nach Distribution unterscheiden sich die Wege, wie ein Ziel erreicht wird. Besonders in heterogenen Umgebungen wird die Standardisierung einer Linux-Härtung zur Herausforderung.
Fragen, die in diesem Zuge aufkommen, sind unter anderem: Welche Auswirkungen hat die Wahl der Linux-Distribution auf die sichere Konfiguration eines Systems? Und was erwartet einen Administrator oder Security-Experten, wenn er mehrere Distributionen gleichzeitig betreut?
Die CIS Linux Benchmarks: Ein Durcheinander an Vorgaben und Insellösungen
Die Benchmarks des Center for Internet Security (CIS) liefern theoretisch eine sehr gute Orientierung. Doch leider sind diese in der Praxis alles andere als konsistent.
🛑 Schon bei grundlegenden Themen wie Firewalls fällt auf, dass es für SUSE völlig andere Empfehlungen gibt als für Ubuntu – obwohl der Schutzbedarf identisch ist.
🛑 Schlimmer noch sind die widersprüchliche Regeln der CIS-Benchmarks für ein und dasselbe Linux-System. In den Vorgaben steht beispielsweise „Ensure ufw is installed“, nur um ein paar Seiten später „Ensure ufw is not installed“ zu fordern.
🛑 Hinzu kommt die inkonsistente Benennung: „Ensure web server services are not in use“ klingt völlig anders als „Ensure apache2 is not enabled“. Beide Aussagen bedeuten dasselbe, aber die Formulierung klingt anders.
🛑 Ein ähnlicher Fall: „Ensure XY is not installed“ versus „Ensure XY is not in use“. Gleicher Inhalt, andere Formulierung. Das mag historisch bedingt sein oder aus unterschiedlichen Federn stammen, trägt aber nicht zur Klarheit bei.
🛑 Eine Regel zu XDMCP (X Display Manager Control Protocol) mit „Ensure XDCMP is not enabled“ zu betiteln, könnte man als lustige Buchstabenverdrehung abtun – die Umsetzung wird dadurch aber nicht einfacher.
🛑 Manchmal ist die eine Regel als „manuell“ deklariert – also nicht automatisierbar – und die identische Regel im anderen Benchmark als „automatisiert“ – inklusive Bash-Skript.
🛑 Dazu kommt noch: Die Bash-Skripte, die mit den CIS-Benchmarks ausgeliefert werden, sind selten gebrauchsfertig. Sie müssen angepasst werden und funktionieren oft nicht auf mehreren Systemen. So wird die vermeintliche Automatisierung schnell zur Sisyphusarbeit.
Debian- vs. Red-Hat-Systemhärtung: Die Zwei-Klassen-Gesellschaft
Wer Linux-Systeme härten will, merkt schnell: Es gibt zwei große Lager – Debian (inkl. Ubuntu) und Red Hat (inkl. SUSE). Zwischen ihnen verläuft ein tiefer technischer Graben. Das fängt bei den Paketmanagern an (dpkg vs. RPM) und hört dort noch lange nicht auf.
🛑 Der auffälligste Unterschied sind die Mandatory Access Controls (MAC). Debian verwendet traditionell AppArmor, Red Hat setzt auf SELinux. Doch egal ob SELinux oder AppArmor: Beide verfolgen das gleiche Ziel, nämlich eine feingranulare Rechteverwaltung. Leider sprechen sie völlig unterschiedliche Sprachen.
🛑 Diese Unterschiede spiegeln sich in den CIS-Benchmarks wider. Hier bekommt man schnell ein Gefühl dafür, welchem Lager eine Distribution zuzuordnen ist. Benchmarks für Red-Hat-ähnliche Systeme enthalten beispielsweise seitenweise SELinux-Konfigurationen, während bei Debian-basierten Systemen nur von AppArmor die Rede ist. Es entsteht der Eindruck, dass das jeweils andere Sicherheitskonzept gar nicht existiert.
🛑 Wer auf die Idee kommt, sein Debian-System mit SELinux zu härten, wird schnell feststellen: Dafür gibt es keine Compliance-Punkte – im Gegenteil. Man fällt durch die Standardprüfung, weil AppArmor-Regeln fehlen. Dabei sollte ein sicher konfiguriertes SELinux-System nicht schlechter bewertet werden als ein AppArmor-Setup. Die Benchmarks sehen das aber (noch?) anders.
Debian-, Ubuntu-, Red-Hat- und SUSE-Härtung: Der Teufel steckt im Detail
Sind die CIS Linux Benchmarks verinnerlicht, beginnt der Feinschliff. Hier lauern die tückischsten Fallen. Ein paar Beispiele:
🛑 Ein Dienst ist nicht gleich ein Dienst! Was auf dem einen System “sshd” heißt, nennt sich auf dem anderen einfach “ssh”. Der Webserver nennt sich auf der einen Seite “apache2”, auf der anderen dann “httpd”. Wer automatisiert, ohne auf solche Unterschiede zu achten, stoppt plötzlich Geisterdienste – oder vergisst echte Dienste.
🛑 Noch kritischer fällt das Konfigurationsverhalten aus. Moderne Distributionen erlauben Konfigurationen via sshd_config.d, aber nur manche binden das Verzeichnis automatisch ein. Debian tut’s, SUSE oft nicht – es sei denn, man nennt es explizit.
🛑 Das Ergebnis: Die Option ist in der Datei, wird aber ignoriert. Das Audit-Skript, das in der Datei sucht, anstatt den Dienst mit sshd -T zu fragen, liefert ein falsch-negatives Ergebnis – also Konformität, wo keine ist. Eine Zeitbombe!
🛑 Am Ende steht die wohl mühsamste Phase des Härtens. Beim mikroskopischen Debugging müssen unter anderem Manpages, Auditlogs und Distributions-Wikis verglichen werden. All dies, um herauszufinden, warum ein Audit-Tool auslöst oder nicht.
➡ Apropos Audit-Tool: Kennen Sie schon das kostenlose AuditTAP? Damit können Sie die sichere Konfiguration von wichtigen und relevanten Sicherheitseinstellungen verschiedene Linux- und Windows-System überprüfen.
Zwischen Wunsch und Linux-Wirklichkeit
Was lernt man aus all den Herausforderungen? Die SUSE-, Red-Hat-, Ubuntu- oder Debian-Härtung im Besonderen und die Linux-Systemhärtung im Allgemeinen sind keine Copy-Paste-Projekte! Sie verlangen fundierte Erfahrung, tiefe Kenntnisse über die Distributionsen und einen professionellen, strukturierten Ansatz. Zudem benötigt man sehr viel Zeit.
Deutlich schneller und einfacher geht die Härtung eines Linux-Systems mit dem Enforce Administrator. Das Hardening-Tool unterstützt Sie dabei, große IT-Systemlandschaften nachhaltig und zentral zu härten – stets gemäß den aktuellen Benchmarks.
⏬ Download: Enforce Administrator Produktbroschüre (PDF)
Fazit
Die Härtung von Linux-Systemen ist möglich, keine Frage. Wer Zeit, Geduld und ein tiefes Linux- und Harding-Fachwissen hat, kann ein hohes Maß an Sicherheit erreichen. Aber das Vorhaben gestaltet sich alles andere als einfach.
Sobald mehrere Distributionen im Spiel sind, wird aus Routine schnell Handarbeit. Unterschiedliche Pfade, inkonsistente Benchmarks und teilweise widersprüchliche Anforderungen machen die Standardisierung zu einem Drahtseilakt. Die Masse der frei verfügbaren Skripte verspricht oft viel. Sie laufen aber meist nur auf genau einem System mit genau einer Konfiguration.
Skalierbarkeit? Fehlanzeige. Wer wirklich dutzende oder gar hunderte Systeme automatisch und konsistent härten will, steht vor einer Mammutaufgabe. Es reicht nicht, ein Bashskript per Ansible auszurollen! Man muss die Unterschiede verstehen, abfangen und dokumentieren.
Am besten setzten Sie eine professionelle Lösung wie den Enforce Administrator ein, um effizient Ihr Ziel zu erreichen.
Haben Sie noch Fragen?
Wollen Sie mehr über Systemhärtung wissen? Folgen Sie uns auf LinkedIn! Oder möchten Sie wissen, wie Sie eine (automatisierte) Systemhärtung professionell realisieren und in Ihrem Unternehmen implementieren können? Sprechen Sie uns an – unsere Experten sind gerne für Sie da!
Bilder: Freepik, FB Pro