Die Sicherheit in Ihrem Red Hat Linux System ist sehr wichtig. Eine Möglichkeit, die Sicherheit in Ihrem System zu verwalten, ist das umsichtige Zugriffsmanagement Ihrer Systemdienste. Auch wenn Ihr System für bestimmte Dienste (z.B. httpd für einen Webserver) freien Zugriff ermöglichen muss, sollten Sie Dienste, die Sie nicht benötigen, abschalten. Hierdurch verringern Sie das Risiko eines unbefugten Zugriffs.
Es gibt verschiedene Möglichkeiten, den Zugriff zu Systemdiensten zu verwalten. Je nach Dienst, Systemkonfiguration und eigener Erfahrung mit Linux sollten Sie die Option wählen, die für Sie die geeignetste ist.
Der einfachste Weg, den Zugriff über eine bestimmten Dienst zu sperren, besteht darin, den Dienst einfach abzuschalten. Die (De)Aktivierung der Dienste, die mit xinetd verwaltet werden (diese werden an anderer Stelle in diesem Kapitel noch genauer erklärt), als auch der Dienste in der /etc/rc.d-Hierarchie kann mit drei verschiedenen Applikationen durchgeführt werden:
Services-Konfigurationstool — eine grafische Applikation, die jeden Dienst beschreibt und anzeigt, welche Dienste beim Booten gestartet werden (für die Runlevel 3, 4, und 5), und es Ihnen ermöglicht jeden der Dienste zu starten, abzubrechen oder neu zu starten
ntsysv — Eine textbasierte Applikation, mit der Sie konfigurieren können, welche Dienste zum jeweiligen Runlevel beim Booten gestartet werden sollen. Änderungen werden nicht sofort für Nicht-xinetd Dienste wirksam. Nicht-xinetd-Dienste können mit diesem Programm nicht gestartet, abgebrochen oder neu gestartet werden.
chkconfig — ein Befehlszeilen-Programm, mit dem Sie in den verschiedenen Runlevel Dienste ein- und ausschalten können. Änderungen werden nicht sofort für Nicht-xinetd-Dienste wirksam. Nicht-xinetd-Dienste können mit diesem Programm nicht gestartet, abgebrochen oder neu gestartet werden.
Diese Tools erscheinen Ihnen vielleicht einfacher als die Alternativen — das manuelle Bearbeiten der vielen symbolischen Links, die sich in Verzeichnissen unter /etc/rc.d befinden oder das Bearbeiten der xinetd-Konfigurationsdateien unter /etc/xinetd.d.
Eine andere Möglichkeit der Zugriffsverwaltung Ihrer Systemdienste steht Ihnen mit iptables zur Verfügung, mit dem Sie eine IP- Firewall konfigurieren können. Falls Sie erst seit kurzem Linux-Benutzer sind, sollten Sie wissen, dass iptables wahrscheinlich nicht die optimale Lösung für Sie ist. Das Einrichten von iptables ist sehr kompliziert und eignet sich am ehesten für erfahrene LINUX-Systemadministratoren.
Auf der anderen Seite ist iptables extrem flexibel. Wenn Sie z.B. eine individuell gestaltete Lösung suchen, mit der bestimmte Hosts Zugriff auf bestimmte Dienste erhalten, kann Ihnen iptables dabei helfen. Im Red Hat Linux Referenzhandbuch und Red Hat Linux Security Guide finden Sie weitere Informationen zu iptables.
Wenn Sie hingegen ein Dienstprogramm suchen, mit dem Sie allgemeine Zugriffsregeln für Ihren Rechner aufstellen können und/oder wenn Sie erst seit kurzem zu den Linux-Benutzern gehören, empfiehlt sich das Dienstprogramm GNOME Lokkit. GNOME Lokkit ist ein GUI-Dienstprogramm, das Ihnen Fragen dazu stellen wird, wie Sie Ihren Computer benutzen wollen. Entsprechend Ihrer Antworten wird dann eine einfache Firewall für Sie konfiguriert. Sie können auch das Sicherheitslevel-Konfigurationstool (redhat-config-securitylevel) verwenden, mit dem Sie den Sicherheitslevel für Ihr System wählen können, ähnlich wie im Bildschirm Firewall Konfiguration im Red Hat Linux Installationsprogramm. Weitere Informationen zu diesen Tools finden Sie in Kapitel 13.
Um den Zugriff zu den Diensten konfigurieren zu können, müssen Sie zunächst die Linux-Runlevel genau kennen. Bei einem Runlevel handelt es sich um einen Zustand oder auch einen Modus, der über die im Verzeichnis /etc/rc.d/rc<x>.d, aufgeführten Dienste definiert wird, und in dem <x> für die Nummer des Runlevels steht.
Red Hat Linux verwendet folgende Runlevel:
0 — Halt
1 — Einzelbenutzer-Modus
2 — Nicht belegt (vom Benutzer zu definieren)
3 — Vollständiger Mehrbenutzer-Modus
4 — Nicht belegt (vom Benutzer zu definieren)
5 — Vollständiger Mehrbenutzer-Modus (mit einem X-basierten Login-Bildschirm)
6 — Neustart
Wenn Sie einen Text-Login-Bildschirm wählen, arbeiten Sie im Runlevel 3. Wenn Sie hingegen einen grafischen Login- Bildschirm wählen, arbeiten Sie im Runlevel 5.
Um den standardmäßigen Runlevel zu wechseln, ändern Sie die /etc/inittab Datei. Relativ weit am Anfang enthält sie eine Zeile, welche in etwa folgendermaßen aussieht:
id:5:initdefault: |
Geben Sie in dieser Zeile die Ziffer des gewünschten Runlevels ein. Ihre Änderungen werden erst nach einem Neustart des Systems aktiviert.
Um den Runlevel sofort zu ändern, geben Sie den Befehl telinit und anschließend die Runlevel-Ziffer ein. Sie können diesen Befehl nur als Root verwenden.
Zurück | Zum Anfang | Vor |
Aktivieren des Befehls iptables | Zum Kapitelanfang | TCP-Wrapper |