4.5. Verfügbare Netzwerkservices

Während Benutzerzugriff zu administrativen Kontrollen ein wichtiges Thema für Systemadministratoren innerhalb eines Unternehmens ist, ist die Kontrolle der Netzwerkservices von oberster Wichtigkeit für jeden, der ein Linux-System installiert und operiert.

Viele Services unter Red Hat Enterprise Linux verhalten sich als Netzwerkserver. Wenn ein Netzwerkservice auf einem Computer ausgeführt wird, hört eine Server-Applikation, auch Daemon genannt, auf einem oder mehreren Ports die Verbindungen ab. Jeder dieser Server sollte als potentielle Angriffsstelle betrachtet werden.

4.5.1. Risiken für Services

Netzwerkservices können viele Risiken für Linux-Systeme bedeuten. Untenstehend finden Sie eine Liste der Hauptprobleme:

Um die Angriffsfläche des Netzwerks zu verringern, sollten alle nicht-genutzten Services ausgeschaltet werden.

4.5.2. Identifizieren und Konfigurieren von Services

Zur Erhöhung der Sicherheit sind die meisten, mit Red Hat Enterprise Linux installierten Netzwerkservices standardmäßig deaktiviert, Es gibt jedoch einige nennenswerte Ausnahmen:

Bei der Entscheidung, ob diese Services aktiviert bleiben sollen, sollten Sie mit gesundem Menschenverstand handeln und Vorsicht walten lassen. Wenn Sie zum Beispiel keinen Drucker besitzen, sollten Sie cupsd nicht laufen lassen, nur weil Sie eines Tages eventuell einen Drucker kaufen werden. Das gleiche gilt für portmap. Wenn Sie keine NFS-Volumen mounten oder NIS (denypbind Service) nicht verwenden, sollte portmap deaktiviert werden.

Red Hat Enterprise Linux wird mit drei Programmen geliefert, die für das Aktivieren und Deaktivieren von Services entwickelt wurden. Aus diesen besteht das Services Configuration Tool (redhat-config-services), ntsysv undchkconfig. Informationen zu diesen Tools finden Sie im Kapitel Zugangskontrolle zu Services im Red Hat Enterprise Linux Handbuch zur System-Administration.

Abbildung 4-3. Services Configuration Tool

Wenn Sie sich nicht sicher sind, welchen Zweck ein Service hat, finden Sie imServices Configuration Tool ein Beschreibungsfeld, in Abbildung 4-3 abgebildet, das Ihnen von Nutzen sein kann.

Das reine Überprüfen, welche Netzwerkservices zum Bootzeitpunkt verfügbar sind, ist jedoch nicht genug. Kompetente Systemadministratoren sollten auch prüfen, welche Ports offen sind und eingehende Signale abhören. Weitere Informationen zu diesem Thema finden Sie unter Abschnitt 5.8.

4.5.3. Unsichere Services

Jeder Netzwerkservice is potentiell unsicher. Aus diesem Grund ist es wichtig, nicht benötigte Services zu deaktivieren. Angriffsflächen für Services werden so erkannt und können gepatcht werden. Es ist daher wichtig, Pakete, die für einen Netzwerkservice benötigt werden, auf dem neuesten Stand zu halten. Weitere Informationen hierzu finden Sie unter Kapitel 3.

Einige Netzwerkprotokolle sind von Natur aus unsicherer als andere. Dies umfasst Services, die wie folgt eingesetzt werden:

Beispiele für von Natur aus unsichere Services sind unter anderem folgende:

Alle Remote-Login- und Shell-Programme (rlogin, rsh und telnet) sollten zugunsten von SSH vermieden werden (Unter Abschnitt 4.7 finden Sie weitere Informationen zu sshd).

FTP ist nicht ganz so gefährlich für die Sicherheit des Systems wie Remote-Shells, FTP-Server müssen jedoch sorgfältig konfiguriert und überwacht werden, um Probleme zu vermeiden. Weitere Informationen über das Sichern von FTP-Servern finden Sie unter Abschnitt 5.6.

Services, die sorgfältig implementiert und hinter einer Firewall verwendet werden sollten, umfassen folgende:

Weitere Informationen zur Sicherung von Netzwerkservices ist unter Kapitel 5 erhältlich.

Im nächsten Abschnitt werden Tools für das Einrichten einer Firewall beschrieben.