Linux mit Lynis analysieren und härten

Linux sorgt von Haus aus schon dafür, ein System möglichst sicher zu betreiben. Allerdings ist das immer von der Konfiguration des Systems und der installierten Pakete abhängig. Unsachgemäße Handhabung, mangelndes Wissen oder auch schlechte Dokumentationen können ein System schnell zur Angriffsfläche machen. Gerade Einplatinencomputer wie zum Beispiel ein Raspberry Pi hängen oft direkt im Internet und werden somit schnell ein Ziel für Angreifer. Neben einer Firewall, die wirklich nur den Traffic durchlässt, der wirklich erforderlich ist, aktuellen Paketen, sicheren Passwörtern und einer abgesicherten SSH Konfiguration müssen auch weitere Systemkomponenten möglicherweise gehärtet werden, um Angriffsflächen zu minimieren. Um das eingesetzte System zu analysieren gibt es mehrere Möglichkeiten. Eine davon ist das Open Source Audit Werkzeug “Lynis”. Es führt einige individuelle Tests durch und gibt Ratschläge wie das eigene System weiter abgesichert werden kann.

„Linux mit Lynis analysieren und härten“ weiterlesen

Firewall für Raspberry Pi mit iptabels

Für den Raspberry Pi bzw. den Banana Pi ist die Firewall iptables bereits mit an Board, jedoch nicht konfiguriert. Wer seinen Einplatinencomputer direkt im Internet hängen hat, sollte die Firewall aktivieren, um den Schutz des Systems zu erhöhen. Im Folgenden wird eine Beispielkonfiguration für eine statefull Firewall gezeigt. Diese kann je nach Einsatzzweck abweichen und erhebt keinesfalls den Anspruch auf Vollständigkeit. Es empfiehlt sich, ein aktuelles Backup vorzuhalten, um im worst case schnell wieder auf den Ursprungszustand zu kommen.

„Firewall für Raspberry Pi mit iptabels“ weiterlesen

VeraCrypt und doppelte Laufwerksbuchstaben

VeraCrypt ist ein Fork der bekannten jedoch nicht mehr weiter entwickelten Verschlüsselungssoftware TrueCrypt. Im September wurden durch Google zwei kritische Sicherheitslücken in TrueCrypt (CVE-2015-7358; CVE-2015-7359) entdeckt, die dafür sorgen, dass TrueCrypt nutzlos geworden ist. Die genannten Lücken wurden kurz nach Bekanntgabe von den VeraCrypt Entwicklern mit der Version 1.15 geschlossen. Der Download ist auf der VeraCrypt Seite zu finden: Klick. Wer sich für VeraCrypt als Alternative zu TrueCrypt interessiert, kann sich hier einige Beiträge dazu durchlesen: Klick

„VeraCrypt und doppelte Laufwerksbuchstaben“ weiterlesen

Mit KNOPPIX auf Virenjagd

Viele PC Benutzer haben bereits negative Erfahrungen mit Viren jeglicher Art gemacht. Gerade in der Microsoft Windows Welt stehen verseuchte Rechner auf der Tagesordnung. Zum Schutz davor gibt es jede Menge Virenscanner, die einen Befall vor Schadsoftware verhindern sollen. Die Meinungen über Virenschutz gehen sehr weit auseinander. Persönlich stehe ich Virenscannern auch eher skeptisch gegenüber, möchte jedoch niemandem den Einsatz ausreden. Viel wichtiger als jeder Virenschutz ist der sensible Umgang mit dem Rechner. Doch was ist zu tun, wenn der Rechner doch mit Schadsoftware befallen ist, obwohl der installierte Virenwächter sich nicht zu Wort meldet? Oder wenn der Virenscanner Alarm schlägt, obwohl in Wirklichkeit alles in Ordnung ist? Solche Fehleinschätzungen nennen sich „false negative“ bzw. „false positive“ und können auch regelmäßig auftreten. Daher bietet es sich an sich eine zweite Meinung in Form eines alternativen Virenschutzes zu holen.

„Mit KNOPPIX auf Virenjagd“ weiterlesen

DMZ für Cloudserver mit OpenWRT

Eigene Cloudserver, die über die heimische Leitung ins Internet gehängt werden, sind Dank Raspberry Pi, Banana Pi & Co. gerade schwer in Mode. Systeme, die im Internet erreichbar sind, bieten eine gewisse Angriffsfläche. Eine Grundabsicherung per Firewall ist hier natürlich ein Muss. Unter Linux eignet sich hier iptables, um sowohl den IPv4 als auch IPv6 Datenverkehr zu kontrollieren. Der Einsatz einer Statefull Firewall mit iptables ist hier beschrieben: Klick
Was passiert jedoch, wenn der Cloudserver doch kompromittiert wird? Da das System in aller Regel im eigenen Netz hängt und nur Ports von außen auf das System geöffnet wurden, ist es für einen Angreifer ein Leichtes, sich Zugriff auf weitere Ressourcen im Netzwerk zu verschaffen. Abhilfe schafft hier eine DMZ (Demilitarisierte Zone). Eine DMZ trennt einen gewissen Bereich vom eigenen Netzwerk. Zugriffe vom eigenen Netz in die DMZ sind erlaubt. Zugriffe von der DMZ in das eigene Netz werden im Optimalfall komplett unterbunden. Eine detaillierte Beschreibung zum Thema DMZ gibt es bei Wikipedia: Klick Wer einen Router mit OpenWRT betreibt, kann sich eine DMZ mit einem dedizierten VLAN selbst konfigurieren. Die Basis dieser Anleitung basiert auf dem entsprechenden OpenWRT Wiki Artikel: Klick Es gibt jedoch ein paar wichtige Einstellungen, die beim Einsatz eines Cloudservers nicht fehlen dürfen. Generell sind folgende Aktionen erforderlich:

„DMZ für Cloudserver mit OpenWRT“ weiterlesen

Rootkits aufspüren mit rkhunter

Rootkits gehören wohl zu den besonders unschönen Arten von Schadsoftware. Rootkits verstecken sich meist so tief im System und können sich so geschickt tarnen, dass ein Auffinden schwierig bis unmöglich wird. Rootkits dienen einem Angreifer primär sich unbemerkt Zugriff zu verschaffen bzw. Schadsoftware nachzuladen. Je nach Rootkit Art nistet sich der Schädling in unterschiedlichen Bereichen des Systems ein. Das kann der Arbeitsspeicher sein, der Kernel oder bestehende Prozesse. Besonders spannend wird es, wenn sich ein Rootkit das BIOS/EFI eines Systems oder den Controler der Festplatte als neues Heim aussucht. Hier hilft dann nur noch der Tausch der Hardwarekomponenten. Auch Anwender, die zu Hause Ihre eigene Cloud auf einem Einplatinencomputer wie einem Raspberry Pi oder Banana Pi betereiben, sollten auf der Hut sein, um die eigenen Daten bzw. die der Freunde und Familie zu schützen.

„Rootkits aufspüren mit rkhunter“ weiterlesen

SSH Schlüssel zur Authentifizierung

Für eine sichere SSH Verbindung auf ein Zielsystem gibt es mehrere Möglichkeiten. Im letzten Beitrag habe ich erklärt, wie der Zugriff mittels „Zwei Faktor Authentifizierung“ und dem „Google Authenticator“ funktioniert. Klick Ein weiterer Weg der „Zwei Faktor Authentifizierung“ ist der Zugriff mit SSH Schlüsseln (SSH Keys) in Kombination mit einer Passphrase. Diese schützt den Schlüssel bei Verlust und fügt einen zweiten Faktor hinzu. Somit muss etwas besessen (der private Schlüssel) und gewusst (die Passphrase) werden. Gerade auf Systemen die per SSH über das Internet erreichbar sind, ist es wichtig, den SSH Zugang abzusichern. Eine weitere Alternative wäre es, den Zugriff über SSH nur über das interne Netzwerk oder einen VPN Tunnel zu erlauben.

„SSH Schlüssel zur Authentifizierung“ weiterlesen

Zwei Faktor Authentifizierung für SSH Zugang

SSH bietet Administratoren den sicheren Zugriff auf Systeme wie Server im Rechenzentrum oder Einplatinencomputer wie z.B. Raspberry Pi oder Banana Pi im heimischen Netzwerk. Oftmals wird der SSH Zugriff direkt über das Internet erlaubt. Dieses Szenario bietet eine generelle Angriffsfläche. Schon alleine wenn der Zugriff über ein nicht vertrauenswürdiges System erfolgt. Sind die Zugangsdaten einmal weg, haben Angreifer leichtes Spiel. Eine Möglichkeit ist der Einsatz von SSH Keys. Hier kommt ein asymmetrisches Verschlüsselungsverfahren zum Einsatz. Auf dem Zielsystem befindet sich nur der Public Key. Der sichere Private Key, der mit einer Passphrase geschützt ist, befindet sich unter Kontrolle des Administrators. Beim Zugriff auf das Zielsystem (Server, Banana Pi oder Raspberry Pi) wird also der Private Schlüssel sowie die zugehörige Passphrase benötigt.

„Zwei Faktor Authentifizierung für SSH Zugang“ weiterlesen

Zwei Faktor Authentifizierung für WordPress

WordPress gehört zu den beliebtesten und meist verwendeten Blog Systemen. Gerade durch die große Verbreitung stehen Angriffe auf WordPress Blogs an der Tagesordnung. Daher ist es extrem wichtig, einem potenziellen Angreifer so viele Stöcke zwischen die Beine zu werfen wie nur möglich.

„Zwei Faktor Authentifizierung für WordPress“ weiterlesen

Mit Tails Linux ohne Spuren surfen

Wer heute im Internet surft, hinterlässt Unmengen an Spuren. Das können lokale Spuren, wie etwa Cache, Cookies und Verlauf sein, aber auch beim Provider wird protokolliert, wer wann welche Seite besucht. Zusätzlich wird ein Benutzer anhand des digitalen Fingerabdrucks (siehe Panopticlick) eindeutig identifizierbar gemacht. Das kann z.B. dazu führen, dass User, die mit einem Apple Gerät nach bestimmten Produkten suchen, einen höheren Preis angezeigt bekommen. Die Welt hat hierzu einen interessanten Artikel veröffentlicht.

„Mit Tails Linux ohne Spuren surfen“ weiterlesen