Kapitel 14. Zugriffskontrolle für Dienste

Die Sicherheit in Ihrem Red Hat Linux System ist sehr wichtig. Eine Möglichkeit, die Sicherheit in Ihrem System zu verwalten, ist das umsichtige Zugriffsmanagement Ihrer Systemdienste. Auch wenn Ihr System für bestimmte Dienste (z.B. httpd für einen Webserver) freien Zugriff ermöglichen muss, sollten Sie Dienste, die Sie nicht benötigen, abschalten. Hierdurch verringern Sie das Risiko eines unbefugten Zugriffs.

Es gibt verschiedene Möglichkeiten, den Zugriff zu Systemdiensten zu verwalten. Je nach Dienst, Systemkonfiguration und eigener Erfahrung mit Linux sollten Sie die Option wählen, die für Sie die geeignetste ist.

Der einfachste Weg, den Zugriff über eine bestimmten Dienst zu sperren, besteht darin, den Dienst einfach abzuschalten. Die (De)Aktivierung der Dienste, die mit xinetd verwaltet werden (diese werden an anderer Stelle in diesem Kapitel noch genauer erklärt), als auch der Dienste in der /etc/rc.d-Hierarchie kann mit drei verschiedenen Applikationen durchgeführt werden:

Diese Tools erscheinen Ihnen vielleicht einfacher als die Alternativen — das manuelle Bearbeiten der vielen symbolischen Links, die sich in Verzeichnissen unter /etc/rc.d befinden oder das Bearbeiten der xinetd-Konfigurationsdateien unter /etc/xinetd.d.

Eine andere Möglichkeit der Zugriffsverwaltung Ihrer Systemdienste steht Ihnen mit iptables zur Verfügung, mit dem Sie eine IP- Firewall konfigurieren können. Falls Sie erst seit kurzem Linux-Benutzer sind, sollten Sie wissen, dass iptables wahrscheinlich nicht die optimale Lösung für Sie ist. Das Einrichten von iptables ist sehr kompliziert und eignet sich am ehesten für erfahrene LINUX-Systemadministratoren.

Auf der anderen Seite ist iptables extrem flexibel. Wenn Sie z.B. eine individuell gestaltete Lösung suchen, mit der bestimmte Hosts Zugriff auf bestimmte Dienste erhalten, kann Ihnen iptables dabei helfen. Im Red Hat Linux Referenzhandbuch und Red Hat Linux Security Guide finden Sie weitere Informationen zu iptables.

Wenn Sie hingegen ein Dienstprogramm suchen, mit dem Sie allgemeine Zugriffsregeln für Ihren Rechner aufstellen können und/oder wenn Sie erst seit kurzem zu den Linux-Benutzern gehören, empfiehlt sich das Dienstprogramm GNOME Lokkit. GNOME Lokkit ist ein GUI-Dienstprogramm, das Ihnen Fragen dazu stellen wird, wie Sie Ihren Computer benutzen wollen. Entsprechend Ihrer Antworten wird dann eine einfache Firewall für Sie konfiguriert. Sie können auch das Sicherheitslevel-Konfigurationstool (redhat-config-securitylevel) verwenden, mit dem Sie den Sicherheitslevel für Ihr System wählen können, ähnlich wie im Bildschirm Firewall Konfiguration im Red Hat Linux Installationsprogramm. Weitere Informationen zu diesen Tools finden Sie in Kapitel 13.

14.1. Runlevel

Um den Zugriff zu den Diensten konfigurieren zu können, müssen Sie zunächst die Linux-Runlevel genau kennen. Bei einem Runlevel handelt es sich um einen Zustand oder auch einen Modus, der über die im Verzeichnis /etc/rc.d/rc<x>.d, aufgeführten Dienste definiert wird, und in dem <x> für die Nummer des Runlevels steht.

Red Hat Linux verwendet folgende Runlevel:

Wenn Sie einen Text-Login-Bildschirm wählen, arbeiten Sie im Runlevel 3. Wenn Sie hingegen einen grafischen Login- Bildschirm wählen, arbeiten Sie im Runlevel 5.

Um den standardmäßigen Runlevel zu wechseln, ändern Sie die /etc/inittab Datei. Relativ weit am Anfang enthält sie eine Zeile, welche in etwa folgendermaßen aussieht:

id:5:initdefault:

Geben Sie in dieser Zeile die Ziffer des gewünschten Runlevels ein. Ihre Änderungen werden erst nach einem Neustart des Systems aktiviert.

Um den Runlevel sofort zu ändern, geben Sie den Befehl telinit und anschließend die Runlevel-Ziffer ein. Sie können diesen Befehl nur als Root verwenden.