Sicherere Internetanbindung über eine Terminalserverlösung (Graphical Firewall - GFW)

Die Anbindung an das Internet ist in der heutigen Zeit für viele Menschen zum unverzichtbaren Teil der täglichen Arbeit, der Kommunikation und der Freizeitgestaltung geworden. Nicht nur der Umfang der verfügbaren Informationen hat zugenommen, auch die Kosten für eine permanente Anbindung (Flatrate oder Standleitung) sind ständig gesunken. Für Behörden- oder Firmennetze stellt diese Anbindung ein erhöhtes Risiko dar, das nicht zu unterschätzen ist.

Durch Zwischenschaltung eines Terminalservers kann dieses Risiko erheblich reduziert werden, da dadurch die Internetsitzung logisch vom lokalen Rechner getrennt wird. Der Terminalserver nimmt Eingaben entgegen und leitet sie weiter; Anwendungen werden in einer eigenen Umgebung ausgeführt und dem Benutzer nur die Ergebnisse in einem Anwendungsfenster angezeigt, das von lokalen Prozessen isoliert ist. Im Rahmen seiner Diplomarbeit hat ein Student in meinem Hause die Möglichkeiten, die eine solche Terminalserver-Lösung unter Sicherheits- und Performance-Aspekten bietet, untersucht. Diese Lösung trennt logisch – ähnlich einer Firewall – Netze und Anwendungen. Deswegen wird sie auch als "graphische Firewall" (engl. "graphical firewall" oder GFW) bezeichnet.

Firmen- oder Behördennetze sind für potenzielle Eindringlinge von größerem Interesse als Privat-PCs. Schon deshalb kommt einer "sicheren" Internetanbindung hohe Bedeutung zu. Bei einer direkten Anbindung eines lokalen Netzes an das Internet können sogenannte trojanische Pferde (z.B. SubSeven), die Verbindungen aus dem lokalen Netz ins Internet öffnen, oder ActiveX-Komponenten großen Schaden anrichten, insbesondere bei Benutzern mit weitergehenden Rechten im LAN (Administratoren).

Die Einrichtung von Internetarbeitsplätzen als abgetrennte "Einzelplatzlösung" wäre zwar grundsätzlich eine Möglichkeit, diese Risiken zu minimieren. Jedoch stellt sich dabei die Frage, wie benötigte Daten zur Weiterverarbeitung ins LAN transferiert werden. Publikationen, Präsentationen, Updates und Patches im Internet bereitzustellen, anstatt sie auf CD zu verbreiten, ist heute zur Selbstverständlichkeit geworden und der Umfang dieser Dateien sprengt in der Regel das Volumen der guten, alten Diskette. Speicherkarten und CD-Brenner in den Surf-Stationen bringen nicht nur erhöhte Kosten, sondern erfordern auch Schulungs- und Betreuungsaufwand.

Sofern ein hohes Schutzbedürfnis lokaler Netze besteht, stellt die Terminalserverlösung eine geeignete Technik dar.

Das Prinzip des Terminalservers ist es, Anwendungen nicht unmittelbar auf dem lokalen Rechner auszuführen, sondern die Bearbeitung auf einem separaten Rechner vorzunehmen. Der lokale Rechner hat damit die Funktion eines Clients, der die (Server-)Prozesse auf dem Terminalserver über eine Zugangssoftware steuert.

Neben der Absicherung des lokalen Netzes bietet der Terminalserver auch den Vorteil, dass die dort vorhandene Software nur einmal installiert, konfiguriert und gewartet werden muss.

Aufgabe der Diplomarbeit war, den Themenbereich "Internetzugang" (ohne E-Mail) als Terminalserverlösung unter Realisierungs-, Sicherheits- und Performanceaspekten zu untersuchen. Die vollständige Konfiguration der Testumgebung würde den Rahmen dieses Beitrages sprengen, deshalb wird nur auf die wichtigsten Aspekte kurz eingegangen.

Die Testumgebung:

Für den Test wurde als Internetzugang ein aktueller Linux-Server mit ISDN-Karte und Proxyserver (Squid) verwendet. Als Alternative steht eine zweite Netzwerkkarte für eine Festverbindung zur Verfügung. Als zusätzliche Komponenten auf dem Rechner wurden realisiert:

- Einwahl nur während der Arbeitszeit
- Firewallfunktionalitäten
- URL-Filterung

Die Bereiche "Einwahl" und "Firewall" lassen sich unter Linux bereits mit "Bordmitteln" realisieren:

Für die Einwahl wurden zeitgesteuert (Cron-Daemon) Befehle abgesetzt, die die ISDN-Karte in den Selbstwahlmodus schalten beziehungsweise diesen deaktivieren ("isdnctrl ippp0 dialmode auto" beziehungsweise "isdnctrl ippp0 dialmode off").

Für die Firewall (iptables) wurden Skripte erstellt, die die Zugänge für die benötigten Dienste (HTTP, FTP, DNS) während der Arbeitszeit freigeben und in den übrigen Zeiten die Zugänge IP-seitig vollständig schließen. Auf dem Einwahlserver wurde zusätzlich ein Proxydienst installiert. Damit war bereits hier die direkte Verbindung aus dem Internet über den http-Port 80 in das Testnetz unterbrochen.

Als optionale Komponente wurde zur Sicherung des Terminalservers gegen das Internet eine Linux-Firewall zwischengeschaltet, die ebenfalls über das Regelwerk die Zugänge zwischen Einwahl- und Terminalserver überwachte.

Die zentrale Komponente des Versuchs - der Terminalserver - sollte dem Nutzer die Möglichkeit bieten, für Recherchen und zur Beschaffung von Software (z.B. Virensignaturen) Zugang zum Internet zu erhalten. Aus Sicherheits- und Kostenaspekten wurde hier ebenfalls ein Linux-Betriebssystem eingesetzt. Als eigentliche Terminalserver-Software wurde "Virtual Network Computing" (VNC) der Firma AT&T eingesetzt. Die graphische Oberfläche wurde mit "GNU Window Maker" (GWM) als einfache Oberfläche realisiert. Über das Startskript wurde ferner sichergestellt, dass der verwendete Browser (Opera) nach der Anmeldung automatisch gestartet und so positioniert wurde, dass der Benutzer ihn nicht verschieben kann. Wird der Browser geschlossen, endet damit automatisch auch die Terminalserversitzung. Dadurch war sichergestellt, dass der Benutzer keinen Zugang zur Arbeitsoberfläche hatte.

Die Konfiguration von VNC umfasst in der Datei "/etc/services" den Eintrag

"vnc 5950/tcp #VNC-Server".

Als Port kann anstelle des Standardwerts "5950" auch ein beliebiger, freier Port verwendet werden. In "/etc/xinetd.conf" ist der VNC-Dienst wie folgt konfiguriert:

Der Parameter "access_times" legt den Zeitrahmen fest, in dem der Start einer Sitzung möglich ist. Aktive Sitzungen werden nach Erreichen des Endzeitpunkts nicht beendet. Das muss über ein zeitgesteuertes Skript erfolgen, falls aktive Sitzungen zwingend geschlossen werden sollen.

Der zusätzliche Eintrag "per_source = 1" in der "defaults"-Sektion der Datei stellt sicher, dass nur eine VNC-Sitzung pro Client-Rechner gestartet werden kann.

Der Zugang der Benutzer zur Arbeitsoberfläche wird durch einen einfachen Trick realisiert: Das Fenster des Browsers ist etwas größer als der sichtbare Bildschirm, wird aber um einige Pixel nach oben verschoben, so dass die Titelleiste nicht zugänglich ist. Damit hat der Benutzer keine Möglichkeit, den aktiven Browser zu minimieren. Die für den Start der Benutzersitzung erforderliche Datei ".xinitrc" wird hierfür wie folgt ergänzt:

exec /usr/X11/bin/opera –geometry 800x605-2-20

Die Konfiguration des Browsers und der Windowmaker-Sitzung erfolgt zentral mit einem so genannten Standardbenutzer, auf dessen Konfigurationsdateien die entsprechenden Benutzerdateien verlinkt werden. Damit kann ein Benutzer zwar temporär die Browsereinstellungen modifizieren, beim nächsten Start einer Sitzung werden die Standardwerte aber wiederhergestellt.

Um dem Benutzer die Möglichkeit zu bieten, heruntergeladene Dateien im lokalen Netz weiterzuverarbeiten, wurde auf dem Terminalserver ein FTP-Dienst (proFTP) installiert.

Dafür wird dem Benutzer innerhalb seines Benutzerverzeichnisses ein Ordner "Download" zur Verfügung gestellt, in dem er Daten aus dem Internet ablegen kann. Dieses Verzeichnis stellt für den jeweiligen Benutzer über die Konfiguration des FTP-Dienstes das Wurzelverzeichnis (oberste erreichbare Dateiebene) dar, so dass er über den FTP-Client mit seiner Benutzerkennung direkt auf dieses (und nur dieses!) Verzeichnis zugreifen kann, um die dort abgelegten Daten auf seinen PC zu transferieren. Damit wird verhindert, dass der Benutzer Zugang zu den sonstigen Dateien erhält (insbesondere Konfigurationsdaten), die zum Benutzerprofil gehören. Dies würde nämlich die Maßnahmen aushebeln, die getroffen wurden, um Änderungen am Betriebssystem und den Einstellungen zu verhindern (s. vorherige Maßnahmen, um den Zugang zur Arbeitsoberfläche zu verhindern).

Ferner ist am Terminalserver ein Drucker angeschlossen, so dass Daten auch direkt am Terminalserver ausgedruckt werden können.

Für den Zugang zum VNC-Terminalserver wurde der "VNCviewer", ebenfalls von AT&T verwendet. Der Zugang zum FTP-Server erfolgte über die Software "WS-FTP 95 LE". Beide Programme sind ohne Installation lauffähig, die Benutzer müssen nur über den Aufruf (IP-Adresse und Port des VNC-Servers, Benutzer und Passwort für den Zugang) informiert werden. Die Basiseinstellungen für "WS-FTP" lassen sich ebenfalls zentral über eine Konfigurationsdatei vornehmen, die mit der Software verteilt wird. Nach der ersten Anmeldung des Benutzers mit seinen persönlichen Daten werden diese Daten automatisch in die Konfiguration übernommen.

Eine Regelung des möglichen Herunterladens von Dateien aus dem Internet ist nicht nur unter dienstrechtlichen Aspekten (Nutzungsordnung), sondern auch unter Sicherheitsaspekten (Viren, ActiveX, illegale Software) von Bedeutung. Daher wurde eine Filtersoftware in die Teststellung integriert. Aus den für Linux zur Verfügung stehenden Anwendungen wurden SquidGuard und DansGuardian untersucht.

Die wesentlichen Aspekte der Anbindung eines Netzes an das Internet sind hier nochmals kurz als Übersicht dargestellt.

Es bedeuten:

Als Betriebssystemalternativen sind im Wesentlichen nur Windows (2000 oder NT) und Linux denkbar. Der Windows 2000-Server beinhaltet einen (zusätzlich kostenpflichtigen) Terminalserver. Unter Windows NT muss auf ein externes Programm ausgewichen werden. Unter Linux kann VNC als kostenfreie Terminalserverlösung eingesetzt werden, auf die eine graphische Benutzeroberfläche (hier: Windowmaker) aufgesetzt wird.

Unter Windows kann der Zugang zu wichtigen Systemkomponenten über Benutzerrechte eingeschränkt werden. Große Teile des Betriebssystems sind allerdings auch dem Benutzer zugänglich. Hinzu kommt die starke Vermischung von Betriebssystem-, Anwendungs- und Benutzerdateien und die starke Verzahnung der Betriebssystemkomponenten (ActiveX, COM, OLE), die Anwendern (zumindest im Rahmen ihrer Rechte) Zugang zu Betriebssystemobjekten verschafft (ActiveX-Objekte). Damit ist nicht immer nachvollziehbar, ob Objekte im Systemverzeichnis auch wirklich zum Betriebssystem gehören oder ob sie von außen eingeschleust worden sind.

Unter Linux ist die Datenhaltung sauber und strikt getrennt. Ein Linux-System kann im Extremfall auch im Nur-Lese-Modus betrieben werden, was allerdings einigen Konfigurationsaufwand erfordert. Unter Linux basiert die GFW-Lösung auf einem an die Hardware angepassten statischen Kernel, der zusätzlich über bereits im Betriebssystem verankerte Methoden (so genannte "capabilities") gesichert ist. Dies erlaubt, Dateien mit zusätzlichen Attributen zu versehen und die Änderung dieser Attribute auch dem Administrator (root) zu versagen. Insbesondere sind dies das Immutable-Flag, das jegliche Änderung einer Datei verbietet (z.B. Konfigurationsdateien) und das Append-Flag, das nur Anfügungen an eine Datei zulässt (z.B. Protokolle). Näheres hierzu findet sich unter 12.4.5 "Überlegungen zur Installation". Zusätzlich wird hierfür das Programm "lcap" (limit capabilities) benötigt, das über die Datei "boot.local" in der frühen Startphase des Systems die eingestellten Sperren (z.B. "CAP_SYS_IMMUTABLE", das Änderungen der erweiterten Attribute verhindert), aktiviert. Änderungen an diesem System sind damit nur im SingleUser-Modus (d.h. mit dem Root-User ohne Netzverbindung, also nur an der Systemkonsole) möglich.

Unter diesen Aspekten und der Vielzahl von Gefahren und Schwachstellen, die für Windows bekannt sind, stellt die Linux-Variante die sicherere Lösung dar.

Die Windows-Lösungen bieten mit der Standardinstallation eine Umgebung, die die Mehrheit der Nutzer von ihrer täglichen Arbeit gewohnt ist, dafür aber unter Sicherheitsaspekten (s.o.) weniger zu empfehlen ist.

Die GFW-Lösung bietet eine reine Surf-Umgebung, in der der Benutzer einige wenige Bedienungskomponenten des verwendeten Browsers kennen muss. Die Linux-Varianten von Opera, Netscape und Mozilla unterscheiden sich nur wenig von den Windows-Versionen. Opera wurde für die Teststellung ausgewählt, da er der ressourcenschonendste Browser ist, der zur Verfügung steht.

Programmpflege, Wartung und Updates müssen bei Einzelplatzlösungen auf den einzelnen Rechnern durchgeführt werden. Bei der Terminalserverlösung erfolgen Installation und Konfiguration der Software hingegen einmalig auf dem Terminalserver. Updates sind damit auch leichter ausführbar und der Softwarestand bleibt überschaubar.

Gleiches gilt für die Konfiguration der Software für die Clients. Zwar lässt sich der MS Internet Explorer zentral über die Systemrichtlinien der Domäne beziehungsweise das Internet Explorer Administration Kit konfigurieren und sichern, jedoch sollte aus grundsätzlichen Erwägungen ein Browser verwendet werden, der nicht so eng in dem Betriebssystem verzahnt ist (vgl. aktuelle Diskussion über Sicherheitslücken des Internet Explorers, ActiveX-Problematik u.Ä.). Die in der Terminalserverumgebung eingesetzte Clientsoftware ist durchgängig ohne zusätzliche Installation lauffähig. Die für die FTP-Anbindung erforderliche Konfigurationsdatei kann ebenfalls zentral erstellt und ohne weitere Maßnahmen benutzt werden. Eine Softwareaktualisierung beschränkt sich damit auf die Verteilung der neuen Programmversionen (z.B. per E-Mail).

Eine Voll-Integration in das LAN ist zwar unter dem Komfort-Aspekt am vorteilhaftesten, birgt aber auch das größte Risiko. Die Einzelplatzlösung verringert dieses Risiko, bringt dafür aber große Komfort-Einbußen. Immer mehr Daten werden im Internet zum Download angeboten und müssen zur Weiterverwendung ins LAN transferiert werden. Da diese auch zunehmend nicht mehr auf eine Diskette passen, müssen hierfür andere Lösungen angedacht werden. Möglichkeiten bieten Speicherkarten oder ein CD-Brenner im Rechner, was aber wiederum mit Kosten und Aufwand (Schulung, Betreuung usw.) verbunden ist. Die GFW bietet mit dem logisch getrennten FTP-Zugang eine einfache Möglichkeit, Daten über den Terminalserver (zweistufig) und jeweils von der inneren, sicheren Seite initiiert aus dem Internet auf den lokalen Rechner zu transferieren.

Die Direktanbindung an das Internet ist dadurch besonders problematisch, dass Lücken in der Absicherung einem Eindringling von außen alle verfügbaren Daten zugänglich machen. Diese Gefahr besteht weder bei der Einzelplatz- noch bei der Terminalserverlösung.

Der Datenbestand der Einzelplatzlösung ist jeweils auf die Internetzugangs- und Sitzungsdaten des lokalen PCs beschränkt. In der GFW-Lösung bestehen ebenfalls nur solche Datenbestände.

Installation von Software ist in den Windows-Lösungen auf die Möglichkeiten im Rahmen der Rechte des Benutzers beschränkt. In der GFW-Lösung ist dem Benutzer die Möglichkeit genommen, im Rahmen der ihm zur Verfügung stehenden Verzeichnisse (= nur sein Benutzerverzeichnis), ausführbare Dateien (die zudem Linux-Anwendungen sein müssten) zur Ausführung zu bringen (die Konfiguration des Datenträgers verbietet die Ausführung von Programmen mit dem "noexec"-Flag).

Wie vorher bereits angesprochen, ist der Download-Aspekt von großer Bedeutung. Um solche Abrufe unter Beachtung damit verbundener potenzieller Sicherheitsrisiken zu ermöglichen, wurde in der überprüften GFW-Lösung ein FTP-Server integriert. Damit ist es möglich, Daten zunächst aus dem Internet in ein (und nur ein!!) Verzeichnis herunterzuladen und dann in einem zweiten, separat anzustoßenden Prozess via FTP (File Transfer Protocol) ggf. nach Virenprüfung in die LAN-Umgebung zu transferieren.

Gleiches gilt für Ausdrucke. Eine Direktanbindung erlaubt den direkten Ausdruck auf dem Arbeitsplatzdrucker, ebenso wie bei einer Einzelplatzlösung. Bei den Terminalservern kann der Ausdruck nur als Grafik, nämlich als Bildschirm-Hardcopy des Terminalserverfensters oder am Server direkt erfolgen. Alternativ können die gewünschten Seiten auch gespeichert und zum Drucken ins LAN übertragen werden.

Filterlösungen müssen bei Einzelplatzlösungen und bei Direktanbindungen zusätzlich installiert werden. Hierfür entstehen wiederum Kosten und erheblicher Aufwand (Beschaffung der Software, Installation, Konfiguration, Wartung, Aktualisierung).

Die GFW-Lösung bietet mit dem Programm "DansGuardian" einen dreistufigen Filtermechanismus (3 Beispiele sind dem Dokument angehängt):

• - URL-Filter
  Mit der Linux-Software "SquidGuard" wird ein URL-Filter für den Proxyserver SQUID angeboten. "DansGuardian" ist in der Lage, diese URL-Filterlisten (Kategorien u.a. Werbung, Gewalt, Pornografie, illegale Software) zu verarbeiten. Der Zugriff auf die hier eingetragenen Seiten wird von der Software blockiert. Diese bieten einen Grundstock zur Filterung. Zu beachten ist dabei aber, dass diese Listen automatisiert von Suchrobotern erstellt werden und damit notwendigerweise unvollständig sind.
  
• - Inhalte
  "DansGuardian" bietet ebenfalls einen Inhaltsfilter, der den Text der Webseiten analysiert und bei bestimmten Schlüsselwörtern den Zugang blockiert.
  
• - MIME-Typen
  Als dritte Komponente – wichtig für den Download – prüft "DansGuardian" den MIME-Typ (z.B. EXE-, ZIP oder PDF-Datei) der zum Herunterladen anstehenden Software. Ein Download wird nur für erlaubte Objekttypen freigegeben.
  

Hier ist nur auf die grundsätzliche Anfälligkeit der Windows-Betriebssysteme hinzuweisen. Schadenprogramme (Viren, Würmer, trojanische Pferde usw.) werden zwar zunehmend auch für Linux entworfen, jedoch ist deren Schadwirkung aufgrund der wesentlich restriktiveren Sicherheitsmechanismen von Linux geringer. Denkbar wären bei diesem Betriebssystem z.B. so genannte "rootkits" (um Administratorrechte zu erlangen). Das ist bei der GFW-Lösung so gut wie ausgeschlossen, da das für rootkits erforderliche Element des dynamischen Kernels (rootkits sind als zusätzliche Kernelmodule implementiert) fehlt.

Zu beachten ist bei Einzelplatzlösungen außerdem, dass diese i.d.R. direkt mit dem Internet verbunden sind, während bei allen anderen Lösungen vorgelagerte Sicherheitselemente (Paketfilter, Firewalls) überwunden werden müssen.

Abschließend sollen noch einige Empfehlungen zum Thema "Installation von Linux" gegeben werden:

Grundsätzlich bieten alle aktuell am Markt verfügbaren Distributionen eine brauchbare Basis als Server. In Sicherheitsüberlegungen sollten aber folgende Aspekte einbezogen werden:

• - Als Basis sollten zunächst nur die zum Betrieb des Servers erforderlichen Komponenten installiert werden. Die benötigten Anwendungen werden dann in einem zweiten Installationsschritt hinzugefügt und konfiguriert. Nur so lässt sich der Überblick behalten, welche Software auf dem Rechner verfügbar ist.
  
• - Internetzugänge lassen sich auch mit "Fli4l" realisieren. "Fli4l" ist eine Linux-Variante, mit der ein Ethernet-, ISDN- oder DSL-Router auch ohne Festplatte mit nur einer Diskette betrieben werden kann.
  
• - Soweit möglich, sollte für den Server auf die graphische Benutzeroberfläche (X-Server) verzichtet werden. Linux-Serveranwendungen lassen sich auch über die Konsole gut administrieren.
  
• - Soll eine Administration über das Netz erfolgen, bietet sich das ssh-Paket ("secure shell") an. Hierbei ist zu beachten, das die (ungesicherte) Anmeldung über einen nicht privilegierten Benutzer erfolgt. Sofern Superuser-Rechte erforderlich sind, kann der Benutzerwechsel in der aktiven Sitzung über den "su"-Befehl ("switch user") erfolgen.
  
• - Rechner, die mit dem Internet verbunden sind, sollten generell nicht über das Netz administrierbar sein, auf Anwendungen wie "ssh" oder "webmin" also verzichten.
  
• - Gleiches gilt für die nicht benötigten Netzwerkdienste, die bei den Standardinstallationen i.d.R. aktiviert werden (z.B. Telnet, Maildienste). Alle nicht erforderlichen Einträge in der Datei "/etc/inetd.conf" sollten deaktiviert werden. Sofern erforderlich, sollte der wesentlich sicherere "xinetd"-Dienst für Netzwerkdienste verwendet werden.
  
• - Der mit den Distributionen gelieferte Kernel ist meist nicht mehr aktuell. Da in jedem Fall der Linux-Kern als statischer Kernel neu erstellt werden muss, sollte hierbei auch gleich eine aktuelle Version verwendet werden.
  
• - Aktualitätsprobleme ergeben sich auch für die einzusetzende Software, die in den Distributionen ebenfalls oft nicht mehr aktuell ist. Die Installation über RPM-Dateien (RedHat Package-Manager) ist zwar einfach, bindet aber an die entsprechende Distribution, da die Hersteller teilweise eigene Pfadkonzepte verfolgen, die von anderen Distributionen abweichen. Außerdem ist man auf das Erscheinen neuer RPM-Dateien angewiesen, wenn Software aktualisiert werden muss.
  Das beschaffen des Quellcodes der eingesetzten Programme aus dem Internet und das anschließende manuelle Kompilieren der Software ist zwar etwas aufwendiger, stellt aber die zeitnahe Aktualisierung bei auftretenden Sicherheitslücken sicher.
  
• - Als Dateisystem sollte EXT2, besser EXT3 verwendet werden. Neben den Journalkomponenten bieten die EXT-Dateisysteme den Zugriff auf erweiterte Attribute (über CHATTR - CHangeATTRibute beziehungsweise LSATTR – LiSt ATTRibute).
  Das Dateisystem kann damit – was Konfigurations- und Programmdateien betrifft – weitestgehend mit dem Immutable-Attribut (keine Änderungen möglich) beziehungsweise dem Appendable-Attribut (nur Anhängen möglich, z.B. für Logdateien) in Verbindung mit dem LCAP-Befehl vor Veränderungen im laufenden Betrieb geschützt werden. Wird der LCAP-Befehl in die Datei "boot.local" eingebunden, sind Änderungen nur im SingleUser-Modus (Neustart des Systems mit dem Attribut "single") direkt an der Systemkonsole möglich.
  
• - Verzeichnisse sollten so weit als möglich mit restriktiven Attributen ins Dateisystem eingehängt werden. Als Beispiel sind "read-only" für "/boot" oder "noexec,nosuid" für "/home" zu nennen.
  
• - Die Rechte der Befehle in den sbin-Verzeichnissen (/sbin, /usr/sbin und ggf. /usr/local/sbin) sollten restriktiv gehandhabt werden. Nur der Eigner "root" darf mit vollen Zugriffsrechten ausgestattet sein, die Rechte für "Gruppe" und "Andere" werden entfernt, soweit es der Betrieb der installierten Anwendung zulässt.
  
• - Der Start des Systems über den Bootlader LILO sollte nur in der Standardkonfiguration ohne zusätzliches Passwort möglich sein. In der Datei "/etc/lilo.conf" wird zunächst im globalen Teil der Eintrag "password=<Passwort>" eingefügt. Der Standard-Eintrag wird mit dem Zusatz "restricted" versehen. Dies bewirkt, dass nur noch dieser ohne zusätzliche Startparameter unbeaufsichtigt gestartet werden kann. Sobald ein Parameter angehängt wird (z.B. "init=/bin/bash rw", um eine root-Shell ohne Passworteingabe zu öffnen) wird das Boot-Passwort angefordert, ebenso bei allen anderen Einträgen , z.B. "failsafe". Zu beachten ist, dass die Datei "lilo.conf" mit restriktiven Rechten versehen werden muss, da das Passwort im Klartext vorliegt.
  

Abb. 1 Terminalserver-Zugang

Abb. 2 Gestartete Sitzung

Abb. 3 Download einer Datei ins Benutzerverzeichnis

Abb. 4 Download der Datei auf den lokalen PC

Abb. 5 Gefilterte URL

Abb. 6 Gesperrter Dateityp (hier .EXE)

zurück, weiter, Inhalt 31.TB, Sachwortverzeichnis zum 31.TB