Rheinwerk Computing < openbook > Rheinwerk Computing - Professionelle Bücher. Auch für Einsteiger.
Professionelle Bücher. Auch für Einsteiger.

Inhaltsverzeichnis
Vorwort
1 Die Wurzeln von Ubuntu
2 Was ist Ubuntu?
3 Die Versionen im Detail
4 Daten sichern, migrieren und synchronisieren
5 Die Installation
6 Erste Schritte
7 Programme und Pakete installieren
8 Internet und E-Mail
9 Office
10 Grafik und Bildbearbeitung
11 Multimedia
12 Programmierung und Design
13 Software- und Paketverwaltung
14 Architektur
15 Backup und Sicherheit
16 Desktop-Virtualisierung
17 Serverinstallation
18 Administration und Monitoring
19 Netzwerke
20 Datei-Server – Ubuntu im Netzwerk
21 Der Server im Internet
22 Multimediaserver und Ihre persönliche Cloud
23 Hilfe
24 Befehlsreferenz
A Mark Shuttleworth
Stichwort

Jetzt Buch bestellen
Ihre Meinung?

Spacer
Ubuntu GNU/Linux von Marcus Fischer
Das umfassende Handbuch, aktuell zu Ubuntu 12.04 LTS »Precise Pangolin«
Buch: Ubuntu GNU/Linux

Ubuntu GNU/Linux
Rheinwerk Computing
1023 S., 7., aktualisierte Auflage, geb., mit DVD
39,90 Euro, ISBN 978-3-8362-1945-7
Pfeil 15 Backup und Sicherheit
Pfeil 15.1 Berechtigungen
Pfeil 15.1.1 Dateiberechtigungen
Pfeil 15.1.2 PAM
Pfeil 15.2 Backup-Grundlagen
Pfeil 15.2.1 Vorüberlegungen und Vorbereitung
Pfeil 15.2.2 Partitionierung
Pfeil 15.2.3 Partitionierung der Zweitplatte (extern oder intern)
Pfeil 15.2.4 Verkleinerung von bestehenden Partitionen
Pfeil 15.2.5 Integrierte Backup-Lösung
Pfeil 15.2.6 Inkrementelles Backup mit rsnapshot
Pfeil 15.2.7 Verwenden von Rsync
Pfeil 15.3 Ist Linux sicherer als Windows?
Pfeil 15.3.1 Verschiedene Konzepte
Pfeil 15.3.2 Root versus Sudo
Pfeil 15.3.3 SELinux
Pfeil 15.3.4 AppArmor
Pfeil 15.3.5 Was wird überwacht?
Pfeil 15.4 Virenscanner und Firewall
Pfeil 15.4.1 Virenscanner
Pfeil 15.4.2 Firewall
Pfeil 15.4.3 Sicherheits-Updates
Pfeil 15.5 Verschlüsselung
Pfeil 15.5.1 Integrierte Verschlüsselung
Pfeil 15.5.2 Verschlüsselung anderer Partitionen
Pfeil 15.6 Verschlüsseln mit GPG
Pfeil 15.6.1 Verschlüsselung einzelner Dateien
Pfeil 15.6.2 E-Mails verschlüsseln mit GnuPG

Rheinwerk Computing - Zum Seitenanfang

15.4 Virenscanner und FirewallZur nächsten Überschrift

Sicherheitsprogramme unter Windows sind zwar unverzichtbar, betreiben aber zu einem sehr großen Teil auch nur Augenwischerei. Anti-Viren-Programme und Firewalls versuchen durch Icons oder Meldungsfenster auf sich aufmerksam zu machen, damit der Anwender sich rundum geschützt fühlt. Dummerweise kann ein Virus Virenscanner oder Firewalls leicht deaktivieren oder verändern, wenn er einmal im System angekommen ist. Schließlich hat ein Administrator (und diesen Status hat ein Virus unter Windows) jedes Recht dazu. Unter Linux ist ein Virenscanner mangels Viren überflüssig. Es gibt zwar auch Virenscanner für Linux, aber die dienen in erster Linie dazu, Dateien oder E-Mails auf Windows-Viren – die Ihrem System jetzt nichts mehr anhaben können – hin zu untersuchen.

Überprüfung des Systems

Natürlich kann man mit einigem Glück und Können auch in ein Linux-System einbrechen, wobei der Aufwand bei einem Desktop-System in keinem vernünftigen Verhältnis zu dem zu erwartenden Ertrag steht. Eine Überprüfung ist selbstverständlich trotzdem möglich. Am besten ist es natürlich, wenn Sie Ihr System von außen überprüfen, beispielsweise von einer separaten CD (zum Beispiel Knoppix) aus. Alle anderen Möglichkeiten wie Virenscanner und Firewalls, die beide nur intern im System laufen, sind eher als Vorbeugung zu betrachten. Unter Windows ist das im Prinzip natürlich nicht anders.


Rheinwerk Computing - Zum Seitenanfang

15.4.1 VirenscannerZur nächsten ÜberschriftZur vorigen Überschrift

ClamTk ist eine grafische Benutzeroberfläche für den Open-Source-Virenscanner ClamAV, den Sie ganz einfach über das Software-Center bekommen. Nach erfolgter Installation können Sie den Virenscanner mit dem Befehl clamtk oder über das Anwendungsmenü (Zubehör) aufrufen.

Der Virenscanner überprüft bei jedem Start des Programms, ob neue Virendefinitionen vorliegen und aktualisiert diese gegebenenfalls. Um sicher zu gehen, dass immer die neuesten Definitionen verwendet werden, prüfen Sie die Einstellungen unter Antivirus-Einrichtungsassistenten erneut ausführen.

Wählen Sie hier Automatisch und dann Speichern. Sie können über Hilfe • Nach Aktualisierungen suchen auch manuell nach neuen Definitionen und Programmaktualisierungen suchen.

Standardmäßig durchsucht ClamTK keine Verzeichnisse und versteckten Dateien. Für eine genauere Untersuchung auch innerhalb der Ordner wählen Sie unter Extras • Einstellungen den Punkt Alle Dateien und Ordner innerhalb eines Verzeichnisses durchsuchen und Dateien mit führendem Punkt untersuchen.

Planung

ClamTK nimmt seinen Job sehr ernst und sucht sehr zeitintensiv nach Viren. Dies hat zur Folge, dass Sie den Leistungseinbruch beim Arbeiten selbst bei einem schnellen Rechner durchaus merken. Das ganze System wird mehr oder weniger ausgebremst. Daher ist es sinnvoll, das Scannen auf Zeiten zu beschränken, in denen Sie nicht produktiv mit dem System arbeiten wollen, beispielsweise nachts. Zu diesem Zweck hat ClamTK einen Zeitplaner. Sie können unter Extras • Zeitplaner einen Zeitpunkt für das Scannen definieren (siehe Abbildung 15.9).

Abbildung

Abbildung 15.9 Mit »ClamAV« (bzw. der grafischen Oberfläche »ClamTK«) scannen Sie bequem Ihr Ubuntu.

Tipp 242: Virenscanner ohne grafische Oberfläche

Wenn Sie einen Server ohne grafische Oberfläche betreiben und mittels einer Konsole nur Zugriff auf ein Terminal besitzen, dann hilft Ihnen ClamTK nicht sonderlich weiter. Allerdings ist es gut zu wissen, dass es sich hierbei nur um eine grafische Oberfläche für ClamAV handelt. Das zu installierende Paket heißt clamav. ClamAV wird als Benutzer im Terminal mit dem Kommando clamscan gestartet. Dabei werden die gescannten Verzeichnisse und Dateien angezeigt. Zunächst können Sie folgende einfache Scan-Befehle verwenden (alle als normaler User ohne Root-Rechte):

clamscan hallo.pdf – scannt die Datei hallo.pdf im aktuellen Verzeichnis.
clamscan /etc – scannt das Verzeichnis /etc ohne die Unterverzeichnisse.
clamscan -r /etc – führt einen rekursiven Scan des Verzeichnisses /etc und aller Unterverzeichnisse durch.
sudo freshclam – führt ein Update der Virendefinitionen aus.

Der Befehl

clamscan -ril /home/user/Desktop/clamscan.txt --bell --remove \
--unrar=/usr/bin/unrar --tgz=/bin/tar /home

scannt das home-Verzeichnis inklusive Unterverzeichnissen, schreibt eine Logdatei (clamscan.txt) nach /home/user/Desktop, piepst bei einem Virenfund, löscht den Virus und benutzt unrar (für *.zip) und tar (für *.tar.gz). Weitere Informationen lesen Sie in der Hilfe, die Sie mit clamscan -h aufrufen.


Rheinwerk Computing - Zum Seitenanfang

15.4.2 FirewallZur nächsten ÜberschriftZur vorigen Überschrift

Wenn Sie Windows verwenden, sind Sie es gewohnt, eine Firewall einzusetzen, um Ihren Computer zu schützen. Diese Firewall kann entweder softwareseitig als Programm innerhalb von Windows installiert sein oder hardwareseitig in Form eines vorgeschalteten Routers.

Die zweite Variante mittels eines Routers ist eindeutig zu bevorzugen, da eventuelle Angriffe direkt von diesem geblockt werden und Ihr PC »unberührt« bleibt. Ohne existierende Firewall ist Windows innerhalb von Minuten »verseucht«. Unter Ubuntu ist der Einsatz einer Firewall nur in bestimmten Fällen sinnvoll. Eine Personal Firewall hat prinzipiell zwei Aufgaben:

  • Sie blockiert Zugriffe aus dem Internet auf Dienste, die auf dem Rechner laufen. Die Ubuntu-Standardinstallation bietet im Internet erst gar keine Dienste an, also gibt es auch nichts, was Sie blockieren könnten.
  • Sie blockiert ebenfalls unerwünschte Zugriffe vom Computer auf das Internet für Programme, die Sie absichtlich oder unabsichtlich (Viren, Trojaner, versteckte Spionageprogramme) auf Ihrem Computer installiert haben. Unter der Software, die über die offiziellen Ubuntu-Quellen installiert werden kann, befinden sich solche Spionageprogramme erst gar nicht.

Personal Firewall: Eine Firewall (zu Deutsch: Brandmauer) ist eine Software, die unerlaubte Netzwerkzugriffe unterbinden soll. Dazu überwacht sie den durch sie hindurchlaufenden Datenverkehr und entscheidet anhand festgelegter Regeln, ob bestimmte Netzwerkpakete durchgelassen werden oder nicht. Abhängig davon, wo die Firewall installiert ist, wird unterschieden zwischen einer Personal Firewall und einer External Firewall (beispielsweise auf einem Router installiert).

Uncomplicated Firewall

Seit Ubuntu 8.04 ist in Ubuntu das Paket ufw (Uncomplicated Firewall, zu Deutsch: »unkomplizierte Firewall«) enthalten. ufw ist nichts anderes als ein Verwaltungswerkzeug, um Firewall-Regeln auf dem Level des Kernels zu generieren. Es stellt also keine neue Technik zum Abwehren von Angriffen dar, sondern bedient sich zweier etablierter und in Ubuntu enthaltener Werkzeuge:

  • netfilter
    Vom technischen Standpunkt aus gesehen, befindet sich in jedem Linux-Kernel eine Firewall, die mit netfilter-Kernel-Modulen realisiert ist. Um diese Kernel-Module zu nutzen, sind allerdings Regeln notwendig, die ein spezielles Filtern explizit erlauben oder verbieten. Ohne diese Regeln sind die Kernel-Module untätig.
  • iptables
    Im User-Space (also außerhalb des Kernels) befindet sich das zweite Werkzeug: die iptables. Die iptables sind ein weit verbreitetes Tool, das auch in Ubuntu standardmäßig installiert ist. Allerdings sind in Ubuntu keinerlei Regeln für die iptables definiert.

Hooks: Netfilter sind sogenannte Hooks. Diese Hooks sind Schnittstellen, mit denen fremder Programmcode in eine bestehende Anwendung integriert werden kann. Dies kann entweder in der Absicht erfolgen, die Anwendung zu erweitern, deren Ablauf zu modifizieren oder um bestimmte Ereignisse abzufangen. Die iptables-Befehle verwenden diese Hooks (Netfilter), um die von ihnen bearbeiteten Pakete zu untersuchen, zu manipulieren oder zu finden.

Die Uncomplicated Firewall wurde entwickelt, um das Erstellen von Firewall-Regeln zu vereinfachen. iptables besitzt leider eine sehr komplizierte Syntax, so dass das Erstellen eigener Regeln zu Beginn sehr zeitaufwendig sein kann. So müssen Sie normalerweise für iptables folgendes Kommando verwenden, um die Verbindungen einer spezifischen IP-Adresse (192.168.1.12) zu blockieren:

sudo iptables -A INPUT -s 192.168.1.12 -j REJECT

Mit ufw verwenden Sie für den gleichen Zweck das folgende Kommando:

sudo ufw deny from 192.168.1.12

Der Befehl ist durch ufw nicht nur kürzer, sondern auch lesbarer und damit für den Administrator verständlicher geworden. Lassen Sie dabei aber nicht außer Acht, dass ufw im Hintergrund trotzdem weiterhin iptables verwendet. ufw fungiert quasi lediglich als Übersetzer von einem Kommando in ein anderes. Das Einsatzgebiet liegt hauptsächlich im Serverbereich. Hier spart das einfache Erstellen von Firewall-Regeln wertvolle Zeit und Nerven.

Tabelle 15.6 Befehle für die Ubuntu-Firewall – allen Befehlen muss ein »sudo« vorangestellt werden.

Kommando Bedeutung
ufw enable die Firewall einschalten
ufw disable die Firewall ausschalten
ufw default allow alle Verbindungen standardmäßig erlauben
ufw default deny alle Verbindungen standardmäßig verbieten
ufw status Zeigt den aktuellen Status und Regeln an.
ufw allow 'port' Erlaube Traffic auf 'port'.
ufw deny 'port' Verbiete Traffic auf 'port'.
ufw deny from 'ip' Blockiere eine spezielle 'ip'.

Aufgrund der Tatsache, dass ufw nur ein »Kommandoübersetzer« ist, ergibt die Entwicklung einer grafischen Oberfläche für ufw keinen Sinn. Es gibt hinreichend gute und einfach zu bedienende grafische Oberflächen für die Konfiguration von iptables. Das wohl prominenteste Beispiel ist Firestarter, das ich Ihnen im folgenden Tipp vorstelle.

Abbildung

Abbildung 15.10 »Firestarter« – eine einfach zu konfigurierende Firewall

Tipp 243: Die Firewall grafisch einrichten

Eine sehr gute und bequem zu konfigurierende Firewall ist Firestarter. Das Programm ist einfach über das Software-Center zu installieren und lässt sich nach einem Ab- und Anmelden über das Anwendungsmenü (System) starten. Beim ersten Start erscheinen einige leicht verständliche Aufforderungen, zum Beispiel: »Bitte wählen Sie das mit dem Internet verbundene Netzwerkgerät aus der Liste der verfügbaren Geräte.« Nach Beendigung des Assistenten werden alle wichtigen Firewall-Regeln automatisch angelegt. Auf den zu schützenden Rechner darf erst einmal keiner zugreifen (»DROP all«), und der Rechner gibt keine Antwort auf Fragen wie zum Beispiel ping.

Grundlegende Einstellungen wie zum Beispiel die Antwort auf Ping-Abfragen können Sie dann unter Bearbeiten • Einstellungen vornehmen. Sinnvoll ist es hier, unter dem Punkt Benutzeroberfläche die beiden Häkchen zu setzen. Damit minimiert sich das Fenster beim Schließen in der Taskleiste, und Sie können Zugriffe direkt durch ein rotes Icon erkennen. Diese Zugriffe werden im Reiter Ereignisse im Hauptfenster protokolliert und angezeigt.

Im Reiter Richtlinie können Sie entsprechende Richtlinien wie zum Beispiel Zugriffe aus dem Intranet zulassen anlegen, indem Sie mit der rechten Maustaste in die entsprechende Kategorie klicken und dann auf Regel hinzufügen. Das System startet beim nächsten Booten automatisch.

Grafische Oberfläche

Seit Ubuntu 9.04 gibt es aus zwei Gründen dennoch auch eine grafische Oberfläche für die Uncomplicated Firewall:

  • Firestarter kann jeweils nur eine Schnittstelle überwachen. Während dies für einen Server oder Desktop-PC völlig ausreicht, ist es für Notebook-Besitzer ein Ärgernis. Sie müssen bei wechselnden Netzen die Firewall jedes Mal neu konfigurieren.
  • Des Weiteren wird Firestarter nicht mehr aktiv weiterentwickelt. Dies ist zwar prinzipiell kein Problem, da das Programm ausgereift ist. Es ist aber fraglich, ob zukünftig auftretende Sicherheitslücken oder Kompatibilitätsprobleme behoben werden.

Die grafische Oberfläche befindet sich in den Paketquellen und lässt sich über das Paket Firewall-Konfiguration installieren. Sie finden das Programm nach der Installation und des erneuten Anmeldens im Anwendungsmenü (System).

Erst aktivieren!

Standardmäßig ist die Firewall inaktiv. Wenn Sie die Option Firewall aktiviert durch Setzen eines Häkchens auswählen, startet im Hintergrund die Uncomplicated Firewall und blockiert zunächst den gesamten ankommenden Datenverkehr. Dieses Verhalten ist erwünscht, so dass Sie Ausnahmen für bestimmte Programme definieren müssen. Hilfreich sind hier die drei Optionen Einfach, Vorkonfiguriert und Erweitert. Der Funktionsumfang von gufw reicht allerdings nicht an Firestarter heran.

Abbildung

Abbildung 15.11 Die grafische Oberfläche zur »Uncomplicated Firewall« bietet vordefinierte Einstellungen an.

Offene Ports anzeigen

Um eine Firewall gezielt einzusetzen, ist es von Vorteil, wenn Sie wissen, welche Ports offen sind. Ein Port ist ein Teil einer Adresse, der Datensegmente einem Netzwerkprotokoll zuordnet. Beispiele für Ports sind 21 (FTP), 22 (SSH), 53 (DNS), 80 (HTTP) oder 3306 (MySQL).

Bei einer lokalen Firewall werden in der Regel nur die tatsächlich benötigten Ports freigegeben – alle anderen Ports bleiben gesperrt. Somit werden die Angriffspunkte auf ein Minimum reduziert. Mit einigen Bordmitteln können Sie viel über die offenen Ports Ihres Systems erfahren.

Ich möchte hier nicht ins Detail gehen, Ihnen aber dennoch die grundsätzlichen Prinzipien zeigen, mit denen Sie an Informationen Ihres Systems herankommen. Für weitere Informationen benutzen Sie die Manpages oder schauen einfach im Internet nach.

Tabelle 15.7 Grundlagen – Prüfen der Ports

Kommando Bedeutung
iptables -L -n | less Teste Paket-Filter.
netstat -a Finde alle offenen Ports.
netstat -l --inet Finde alle auf Eingabe wartenden Ports.
netstat -ln --tcp Finde (TCP, numerisch) Ports.

Tipp 244: Offene Ports anzeigen

Wenn Sie wissen wollen, welche Ports (sozusagen die Türen nach draußen) offen sind, ist der Befehl nmap genau richtig. Sie müssen dieses Programm erst mit dem Befehl

sudo apt-get install nmap

installieren. Anschließend genügt ein einfaches

nmap localhost

Der eben genannte Befehl verschafft Ihnen schon einen recht guten Überblick über die Außentüren, die derzeit offen stehen. Er liefert beispielsweise folgende Ausgabe:

Starting nmap 3.81 (http://www.insecure.org/nmap/)
at 2006-01-05 21:29 CET
Interesting ports on localhost.localdomain:
(The 1660 ports scanned but not shown below are in
state: closed)
PORT STATE SERVICE
631/tcp open ipp
32770/tcp open sometimes-rpc3
32771/tcp open sometimes-rpc5
Nmap finished: 1 IP address (1 host up) scanned in
0.430 seconds

Wenn Sie aber einen detaillierteren Überblick haben möchten, dann reicht dieser Befehl nicht mehr aus. Für solche Einsätze brauchen Sie netstat. Nicht jeder offene Port ist ein Einfallstor für Schädlinge. Einen Dienst mit dem Status »unbekannt« sollten Sie sich aber immer genauer anschauen.


Rheinwerk Computing - Zum Seitenanfang

15.4.3 Sicherheits-UpdatesZur vorigen Überschrift

Sicherheitslücken können auf jedem Computersystem vorkommen. Unter Ubuntu ist der Umgang damit besonders bequem gelöst:

  • Einmal täglich sucht Ubuntu automatisch in der Datenbank der verfügbaren Programme nach Sicherheits-Updates. Das betrifft nicht nur das Grundsystem, sondern normalerweise alle installierten Programme.
  • Bei den Programmen, die in der Paketverwaltung Synaptic mit einem Ubuntu-Symbol gekennzeichnet sind, werden schnelle Sicherheits-Updates sogar garantiert.
  • Wenn Sicherheits-Updates vorliegen, erscheint im oberen Panel ein kleines Symbol, der Update-Notifier. Sie brauchen nur auf dieses Symbol zu klicken und Ihr Passwort einzugeben. Ihnen werden dann die verfügbaren Updates angezeigt, und Sie können diese installieren. So bleiben Sie einfach und zuverlässig auf dem neuesten Stand. Seit der Version Ubuntu 9.04 erscheint kein Hinweis auf verfügbare Updates mehr. Stattdessen wird sofort die Aktualisierungsverwaltung gestartet.
  • Bei Verwendung der Original-Ubuntu-Repositorys kann ausgeschlossen werden, dass sich Viren auf diesem Weg in Ihrem Rechner einnisten. Die Pakete sind hier von den Ubuntu-Entwicklern geprüft und mit einem zusätzlichen Schlüssel gekennzeichnet worden, der vor jeder Installation geprüft wird.

Ubuntu zeigt Ihnen verfügbare Sicherheits-Updates sofort an. Hierzu öffnet sich die Aktualisierungsverwaltung automatisch, um Sie auf diese Updates hinzuweisen. Wenn Sie diese Aktualisierung ignorieren, werden Sie täglich erinnert. Im Gegensatz hierzu werden Sie auf »normale« Updates lediglich alle sieben Tage hingewiesen.



Ihre Meinung

Wie hat Ihnen das Openbook gefallen? Wir freuen uns immer über Ihre Rückmeldung. Schreiben Sie uns gerne Ihr Feedback als E-Mail an kommunikation@rheinwerk-verlag.de.

<< zurück
  Zum Rheinwerk-Shop
Zum Rheinwerk-Shop: Ubuntu GNU/Linux 12.04 LTS

Ubuntu GNU/Linux 12.04 LTS
Jetzt Buch bestellen


 Ihre Meinung?
Wie hat Ihnen das Openbook gefallen?
Ihre Meinung

 Buchempfehlungen
Zum Rheinwerk-Shop: Ubuntu 14.04 LTS






 Ubuntu 14.04 LTS


Zum Rheinwerk-Shop: Linux Handbuch






 Linux Handbuch


Zum Rheinwerk-Shop: Raspberry Pi






 Raspberry Pi


Zum Rheinwerk-Shop: Ubuntu Server






 Ubuntu Server


Zum Rheinwerk-Shop: IT-Handbuch für Fachinformatiker






 IT-Handbuch für
 Fachinformatiker


 Lieferung
Versandkostenfrei bestellen in Deutschland, Österreich und der Schweiz
InfoInfo





Copyright © Rheinwerk Verlag GmbH 2012
Für Ihren privaten Gebrauch dürfen Sie die Online-Version natürlich ausdrucken. Ansonsten unterliegt das Openbook denselben Bestimmungen, wie die gebundene Ausgabe: Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt.
Alle Rechte vorbehalten einschließlich der Vervielfältigung, Übersetzung, Mikroverfilmung sowie Einspeicherung und Verarbeitung in elektronischen Systemen.


Nutzungsbestimmungen | Datenschutz | Impressum

Rheinwerk Verlag GmbH, Rheinwerkallee 4, 53227 Bonn, Tel.: 0228.42150.0, Fax 0228.42150.77, service@rheinwerk-verlag.de

Cookie-Einstellungen ändern