Red Hat Enterprise Linux 3: Handbuch zur System-Administration | ||
---|---|---|
Zurück | Nach vorne |
Die Sicherheit in Ihrem System ist sehr wichtig. Eine Möglichkeit, die Sicherheit in Ihrem System zu verwalten, ist das umsichtige Zugriffsmanagement Ihrer Systemdienste. Auch wenn Ihr System für bestimmte Dienste (z.B. httpd für einen Webserver) freien Zugriff ermöglichen muss, sollten Sie Dienste, die Sie nicht benötigen, abschalten. Hierdurch verringern Sie das Risiko eines unbefugten Zugriffs.
Es gibt verschiedene Möglichkeiten, den Zugriff zu Systemdiensten zu verwalten. Je nach Dienst, Systemkonfiguration und eigener Erfahrung mit Linux sollten Sie die Option wählen, die für Sie die geeignetste ist.
Der einfachste Weg, den Zugriff über eine bestimmten Dienst zu sperren, besteht darin, den Dienst einfach abzuschalten. Die (De)Aktivierung der Dienste, die mit xinetd verwaltet werden (diese werden an anderer Stelle in diesem Kapitel noch genauer erklärt), als auch der Dienste in der /etc/rc.d/init.d Hierarchie (auch als SysV-Services bekannt) kann mit drei verschiedenen Applikationen durchgeführt werden:
Services Configuration Tool — eine grafische Applikation, die jeden Dienst beschreibt und anzeigt, welche Dienste beim Booten gestartet werden (für die Runlevel 3, 4, und 5), und es Ihnen ermöglicht jeden der Dienste zu starten, abzubrechen oder neu zu starten
ntsysv — Eine textbasierte Applikation, mit der Sie konfigurieren können, welche Dienste zum jeweiligen Runlevel beim Booten gestartet werden sollen. Änderungen werden nicht sofort für Nicht-xinetd Dienste wirksam. Nicht-xinetd-Dienste können mit diesem Programm nicht gestartet, abgebrochen oder neu gestartet werden.
chkconfig — ein Befehlszeilen-Programm, mit dem Sie in den verschiedenen Runlevel Dienste ein- und ausschalten können. Änderungen werden nicht sofort für Nicht-xinetd-Dienste wirksam. Nicht-xinetd-Dienste können mit diesem Programm nicht gestartet, abgebrochen oder neu gestartet werden.
Diese Tools erscheinen Ihnen vielleicht einfacher als die Alternativen — das manuelle Bearbeiten der vielen symbolischen Links, die sich in Verzeichnissen unter /etc/rc.d befinden oder das Bearbeiten der xinetd-Konfigurationsdateien unter /etc/xinetd.d.
Eine andere Möglichkeit der Zugriffsverwaltung Ihrer Systemdienste steht Ihnen mit iptables zur Verfügung, mit dem Sie eine IP- Firewall konfigurieren können. Falls Sie erst seit kurzem Linux-Benutzer sind, sollten Sie wissen, dass iptables wahrscheinlich nicht die optimale Lösung für Sie ist. Das Einrichten von iptables ist sehr kompliziert und eignet sich am ehesten für erfahrene LINUX-Systemadministratoren.
Auf der anderen Seite ist iptables extrem flexibel. Wenn Sie z.B. eine individuell gestaltete Lösung suchen, mit der bestimmte Hosts Zugriff auf bestimmte Dienste erhalten, kann Ihnen iptables dabei helfen. Im Red Hat Enterprise Linux Referenzhandbuch und Red Hat Enterprise Linux Sicherheitshandbuch finden Sie weitere Informationen zu iptables.
Wenn Sie hingegen ein Utility suchen, mit dem Sie allgemeine Zugriffsregeln für Ihren Rechner aufstellen können und/oder wenn Sie erst seit kurzem zu den Linux-Benutzern gehören, empfiehlt sich Security Level Configuration Tool (redhat-config-securitylevel), mit dem Sie die Sicherheitsstufe für Ihr System wählen können, ähnlich wie im Bildschirm Firewall Konfiguration im Installationsprogramm.
Weitere Informationen zu diesen Tools finden Sie im Kapitel 20. Benötigen Sie spezifischere Firewallregeln, sehen Sie das Kapitel iptables im Red Hat Enterprise Linux Referenzhandbuch.
Um den Zugriff zu den Diensten konfigurieren zu können, müssen Sie zunächst die Linux-Runlevel genau kennen. Bei einem Runlevel handelt es sich um einen Zustand oder auch einen Modus, der über die im Verzeichnis /etc/rc.d/rc<x>.d, aufgeführten Dienste definiert wird, und in dem <x> für die Nummer des Runlevels steht.
Es gibt die folgende Runlevel:
0 — Halt
1 — Einzelbenutzer-Modus
2 — Nicht belegt (vom Benutzer zu definieren)
3 — Vollständiger Mehrbenutzer-Modus
4 — Nicht belegt (vom Benutzer zu definieren)
5 — Vollständiger Mehrbenutzer-Modus (mit einem X-basierten Login-Bildschirm)
6 — Neustart
Wenn Sie einen Text-Login-Bildschirm wählen, arbeiten Sie im Runlevel 3. Wenn Sie hingegen einen grafischen Login- Bildschirm wählen, arbeiten Sie im Runlevel 5.
Um den standardmäßigen Runlevel zu wechseln, ändern Sie die /etc/inittab Datei. Relativ weit am Anfang enthält sie eine Zeile, welche in etwa folgendermaßen aussieht:
id:5:initdefault: |
Geben Sie in dieser Zeile die Ziffer des gewünschten Runlevels ein. Ihre Änderungen werden erst nach einem Neustart des Systems aktiviert.
Um den Runlevel augenblicklich zu ändern, verwenden Sie den Befehl telinit, gefolgt von der Nummer des Runlevels. Sie können diesen Befehl nur als root verwenden. Der Befehl telinit ändert die Datei /etc/inittab nicht, sondern lediglich den zur Zeit ausgeführten Runlevel. Wenn das System neu startet, wird sich dies wieder in dem Runlevel befinden, der in /etc/inittab angegeben ist.
Zurück | Zum Anfang | Nach vorne |
Aktivieren des Befehls iptables | Nach oben | TCP-Wrapper |