====== SliTaz und Systemsicherheit ======
===== Sicherheitsstrategie =====
Bei SliTaz wird Systemsicherheit in hohem Maße berücksichtigt. Anwendungen werden monatelang getestet, bevor sie in die Distribution aufgenommen werden. Bei der Systemeinleitung wird nur ein Minimum von Diensten über „rc“-Kommandoprozeduren gestartet. Eine vollständige Liste der zu startenden Hintergrundprozesse befindet sich in der Variablen //RUN_DAEMONS// in der Datei ///etc/rcS.conf//. Diese kann man zum Beispiel mit
$ cat /etc/rcS.conf | grep RUN_DAEMONS
ansehen.
Mit dem Kommando //ps// oder dem Programm //htop// kann man die momentan laufenden
Prozesse, ihre PID und Arbeitsspeicherbelegung anzeigen lassen.
$ ps
$ htop
===== Root - Der Systemadministrator =====
In einem GNU/Linux-System, hat der Systemadministrator die Benutzerkennung root. Die Benutzerkennung root hat Zugriffsrechte auf alle Systemdateien und die Dateien aller Benutzer. Es ist ratsam, sich niemals mit der Benutzerkennung root anzumelden, sondern das Kommando //su// zu verwenden, gefolgt von dem Kennwort, um alle Zugriffsrechte zu erlangen. So sollte man sich beispielsweise nie mit der Benutzerkennung root anmelden und dann das Internet durchforschen. Diese zweistufige Anmeldung stellt eine doppelte Sperre dar bei einem Versuch, in das System einzudringen oder bei einer Attacke über eine transferierte Datei: Der Angreifer muss zunächst das Benutzerkennwort und zusätzlich das Kennwort des Systemadministrators herausfinden.
Ein gesichertes GNU/Linux-System hat mindestens zwei Benutzerkennungen: eine für gewöhnliche Aufgaben und eine andere (root) für die Administration, Konfigurierung oder Aktualisierung des Systems. Ausserdem ist es ratsam, nur eine bestimmte Person mit der Systemadministration zu betrauen.
===== Kennwörter =====
Standardmäßig hat die SliTaz-Benutzerkennung //tux// kein Kennwort und der Systemadministrator root das Kennwort root. Das kann leicht mit dem Kommando //passwd// geändert werden:
$ passwd
# passwd
===== Busybox =====
In der datei //busybox.conf// werden die Anwendungen und ihre Rechte konfiguriert. In einem Direktstart-SliTaz können die Kommandos: //su, passwd, loadkmap, mount, reboot// und //halt// von allen Benutzern verwendet werden - Eigentümer und Gruppe dieser Kommandos ist root (//* = ssx root.root//). Die Datei //busybox.conf// kann vom Benutzer root gelesen werden mit den Rechten //600//. Beachten Sie, dass Benutzer mit dem Kommando //passwd// ihr eigenes Kennwort nicht ändern können, wenn die Zugriffsrechte nicht //ssx// sind.
===== Webserver LightTPD =====
Der Webserver LightTPD wird auf SliTaz standardmäßig bei der Systemeinleitung gestartet. Dies kann verhindert werden, indem der Name aus der Variablen //RUN_DAEMONS// in der Datei ///etc/rcS.conf// entfernt wird oder er kann manuell beendet werden mit:
# /etc/init.d/lighttpd stop
===== SSH-Server =====
Dieser kurze Abschnitt ist eine Ergänzung zu [[ssh|Secure SHell (SSH)]]. Der SSH-Server Dropbear wird auf SliTaz nicht standardmäßig gestartet. Soll er bei der Systemeinleitung gestartet werden, so muss sein Name in die Variable //RUN_DAEMONS// in der Datei ///etc/rcS.conf// eingefügt werden. Manuell kann er jederzeit gestartet werden mit:
# /etc/init.d/dropbear start
Standardmäßig wird Dropbear mit den folgenden Optionen gestartet:
-w Anmeldung mit Benutzername root verboten.
-g Anmeldung mit dem Kennwort des Benutzers root verboten.
Weitere Optionen können in der Konfigurationsdatei ///etc/daemons.conf// angegeben werden. Alle möglichen Optionen werden mit //dropbear -h// angezeigt.
===== Pscan - Ports scanner =====
Pscan ist ein kleines Programm innerhalb von Busybox, das die Ports eines Systems überprüft. Mit pscan kann der eigene Rechner oder ein ferner Rechner (durch Angabe von Rechnername oder IP-Adresse) überprüft werden. Pscan prüft standardmäßig alle Ports von 1 bis 1024 und zeigt die eingerichteten an, mitsamt dem benutzten Protokoll und dem zugeordneten Dienst (ssh, www, usw.):
$ pscan localhost