SliTaz GNU/Linux official and community documentation wiki.
.png
Translations of this page:

SliTaz und Systemsicherheit

Sicherheitsstrategie

Bei SliTaz wird Systemsicherheit in hohem Maße berücksichtigt. Anwendungen werden monatelang getestet, bevor sie in die Distribution aufgenommen werden. Bei der Systemeinleitung wird nur ein Minimum von Diensten über „rc“-Kommandoprozeduren gestartet. Eine vollständige Liste der zu startenden Hintergrundprozesse befindet sich in der Variablen RUN_DAEMONS in der Datei /etc/rcS.conf. Diese kann man zum Beispiel mit

 $ cat /etc/rcS.conf | grep RUN_DAEMONS 

ansehen.

Mit dem Kommando ps oder dem Programm htop kann man die momentan laufenden Prozesse, ihre PID und Arbeitsspeicherbelegung anzeigen lassen.

 $ ps
 $ htop

Root - Der Systemadministrator

In einem GNU/Linux-System, hat der Systemadministrator die Benutzerkennung root. Die Benutzerkennung root hat Zugriffsrechte auf alle Systemdateien und die Dateien aller Benutzer. Es ist ratsam, sich niemals mit der Benutzerkennung root anzumelden, sondern das Kommando su zu verwenden, gefolgt von dem Kennwort, um alle Zugriffsrechte zu erlangen. So sollte man sich beispielsweise nie mit der Benutzerkennung root anmelden und dann das Internet durchforschen. Diese zweistufige Anmeldung stellt eine doppelte Sperre dar bei einem Versuch, in das System einzudringen oder bei einer Attacke über eine transferierte Datei: Der Angreifer muss zunächst das Benutzerkennwort und zusätzlich das Kennwort des Systemadministrators herausfinden.

Ein gesichertes GNU/Linux-System hat mindestens zwei Benutzerkennungen: eine für gewöhnliche Aufgaben und eine andere (root) für die Administration, Konfigurierung oder Aktualisierung des Systems. Ausserdem ist es ratsam, nur eine bestimmte Person mit der Systemadministration zu betrauen.

Kennwörter

Standardmäßig hat die SliTaz-Benutzerkennung tux kein Kennwort und der Systemadministrator root das Kennwort root. Das kann leicht mit dem Kommando passwd geändert werden:

 $ passwd
 # passwd

Busybox

In der datei busybox.conf werden die Anwendungen und ihre Rechte konfiguriert. In einem Direktstart-SliTaz können die Kommandos: su, passwd, loadkmap, mount, reboot und halt von allen Benutzern verwendet werden - Eigentümer und Gruppe dieser Kommandos ist root (* = ssx root.root). Die Datei busybox.conf kann vom Benutzer root gelesen werden mit den Rechten 600. Beachten Sie, dass Benutzer mit dem Kommando passwd ihr eigenes Kennwort nicht ändern können, wenn die Zugriffsrechte nicht ssx sind.

Webserver LightTPD

Der Webserver LightTPD wird auf SliTaz standardmäßig bei der Systemeinleitung gestartet. Dies kann verhindert werden, indem der Name aus der Variablen RUN_DAEMONS in der Datei /etc/rcS.conf entfernt wird oder er kann manuell beendet werden mit:

 # /etc/init.d/lighttpd stop 

SSH-Server

Dieser kurze Abschnitt ist eine Ergänzung zu Secure SHell (SSH). Der SSH-Server Dropbear wird auf SliTaz nicht standardmäßig gestartet. Soll er bei der Systemeinleitung gestartet werden, so muss sein Name in die Variable RUN_DAEMONS in der Datei /etc/rcS.conf eingefügt werden. Manuell kann er jederzeit gestartet werden mit:

 # /etc/init.d/dropbear start 

Standardmäßig wird Dropbear mit den folgenden Optionen gestartet:

 -w   Anmeldung mit Benutzername root verboten.
 -g   Anmeldung mit dem Kennwort des Benutzers root verboten.

Weitere Optionen können in der Konfigurationsdatei /etc/daemons.conf angegeben werden. Alle möglichen Optionen werden mit dropbear -h angezeigt.

Pscan - Ports scanner

Pscan ist ein kleines Programm innerhalb von Busybox, das die Ports eines Systems überprüft. Mit pscan kann der eigene Rechner oder ein ferner Rechner (durch Angabe von Rechnername oder IP-Adresse) überprüft werden. Pscan prüft standardmäßig alle Ports von 1 bis 1024 und zeigt die eingerichteten an, mitsamt dem benutzten Protokoll und dem zugeordneten Dienst (ssh, www, usw.):

 $ pscan localhost 
 
de/handbook/security.txt · Last modified: 2016/12/03 17:49 by hgt