:quality(80)/p7i.vogel.de/wcms/c8/6b/c86bfadc9400e3859e5a8173b99872db/0114956871.jpeg "Für das große Gewinnerbild standen dann alle Preisträgerinnen und Preisträger noch einmal gemeinsam mit Moderatorin Margit Lievertz und Dev-Insider-Chefredakteur Stephan Augsten auf der Bühne. (Bild: krassevideos.de / VIT)")
:quality(80)/p7i.vogel.de/wcms/82/e2/82e20061fab6f1fc0561f023c6bfd2cc/0114109627.jpeg "Dev-Insider verleiht heute die IT-Awards 2023 in sechs Kategorien. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/80/dc/80dc01258b6dda1e7b216323d5796051/0118518397.jpeg "Allesamt Highlights des Abends: Die Gewinnerinnen und Gewinner der Cloud Native Rockstar Awards 2024 gemeinsam mit den Moderatoren und Jury-Mitgliedern. (Bild: Vogel IT / <u><a target="_blank" href="https://www.cloudnativeconference.de/">Cloud Native Conference</a></u>)")
:quality(80)/p7i.vogel.de/wcms/b5/92/b592b98f6fa8f4d5393e7d1f26a9b1ab/0117932513.jpeg "Die Sicherheit der Software-Lieferkette steht vor vielschichtigen Herausforderungen. (Bild: immimagery - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/af/88/af88b8b06a9613b86559b6999ef4ed8a/0118097195.jpeg "Auf der OCX 2024 will die Eclipse Foundation ihre verschiedenen Open-Source-Communities zusammenbringen, (Bild: Eclipse Foundation)")
:quality(80)/p7i.vogel.de/wcms/8e/b3/8eb34e2abe20465041e396063e8d39b5/0118088468.jpeg "Künstliche Intelligenz kann in Testing und Qualitätssicherung gleich an mehreren Stellen tätig werden. (Bild: sompong_tom - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d8/59/d859a4bcea4e775772b78767789646e7/0117717484.jpeg "Report eines Testdurchlaufs mit dem Robot Framework. (Bild: Lang / Robot Framework)")
:quality(80)/p7i.vogel.de/wcms/4a/3d/4a3d398f19b8fa2044a3a9f0081e46f2/0118416942.jpeg "Die meistverwendeten Datenbank-Plattformen und die Anzahl ihrer Instanzen laut der Redgate-Umfrage. (Bild: Redgate)")
:quality(80)/p7i.vogel.de/wcms/99/39/9939f3b5fdaae42f3bf4ac2465270f2a/0117791750.jpeg "Das Azure-Vision-SDK lädt insbesondere Entwickler und Entwicklerinnen ein, sich mit der Materie zu befassen. (Bild: Drilling / Microsoft)")
:quality(80)/p7i.vogel.de/wcms/f1/9d/f19deb033fc3094112887ccba347e548/0118171860.jpeg "In TypeSpec kommt eine an TypeScript und C# angelehnte Syntax zum Einsatz, ergänzt durch Editor-Tools für Visual Studio und VS Code. (Bild: Microsoft)")
:quality(80)/p7i.vogel.de/wcms/65/3b/653bccb0f4511868163e35e79ef17efe/0118315737.jpeg "Im Fokus dieses Artikels steht die Verbesserung der Systemsicherheit von Linux und die Optimierung von dessen Security-Funktionen. (Bild: Antonio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/97/dd/97ddc917ccc52db20fcb3cbdebe916f1/0118360337.jpeg "Ablauf des typischen CrashLoopBackOff-Zustands in Kubernetes. (Bild: Groundcover)")
:quality(80)/p7i.vogel.de/wcms/bd/f1/bdf1217cc5885d60e2eac54ad9a69e26/0117073864.jpeg "Die Sicherung der Lieferkette einer „containerisierten“ Anwendung ist ein mehrstufiger Prozess, der sich von der Entwicklung bis hin zur Bereitstellung erstreckt. (Bild: <u><a target="_blank" href=https://pixabay.com/photos/container-ship-cargo-ship-freighter-596083/>46173</a></u>)")
:quality(80)/p7i.vogel.de/wcms/9c/d1/9cd11868f7678b81932032a894bcd81a/0117948576.jpeg "Moderne EdTech-Entwickler und -Designer sollten eine Umgebung schaffen, in der sich alle Lernenden wohlfühlen und einen barrierefreien Zugang zu Wissensinhalten haben. (Bild: <u><a target="_blank" href=https://pixabay.com/users/roszie-6000120/>RosZie</a></u>)")
:quality(80)/p7i.vogel.de/wcms/5b/85/5b853b09ae4f974cb97b58e5cb8e759b/0118249571.jpeg "Je nach „Betätigungsfeld“ muss ein passendes Sprachmodell zum Einsatz kommen, das außerdem gewissen Spielregeln folgt. (© Imagecreator – stock.adobe.com)")
![Mithilfe eines anderen Konsensverfahrens, Hashgraph, ließe sich eine Menge CO2 bei der Berechnung von Kryptowährungen sparen. (Bild: Benjamin ['O°] Zweig - stock.adobe.com)](https://cdn1.vogel.de/annR7MKBLjg3UGu-x3l6Nvb7-fI=/288x162/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/4e/40/4e40e5356b18ebce4656f2a51e65c815/0116079923.jpeg "Mithilfe eines anderen Konsensverfahrens, Hashgraph, ließe sich eine Menge CO2 bei der Berechnung von Kryptowährungen sparen. (Bild: Benjamin ['O°] Zweig - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d0/01d02743d019010886e4fe0d47222d72/0115628204.jpeg "Der Autor Fabian Tröltzsch auf der w3.vision X DMEXCO 2023. (© koelnmesse)")
:quality(80)/p7i.vogel.de/wcms/7a/59/7a595755b165e6d0939b52bc4bb82e9d/0113646230.jpeg "Blockchain-Technologien schaffen Vertrauen, was auch beim programmatischer Werbung von Vorteil ist. (Bild: <a href=https://pixabay.com/de/users/kiquebg-5133331/>kiquebg</a>)")
:quality(80)/p7i.vogel.de/wcms/be/18/be18ae4c02dbf9aa47e97decf9b84ea4/0118091847.jpeg "Die meisten der existierenden Datenbanksysteme verfügen über SQL-Schnittstellen. (Bild: alphaspirit - Fotolia.com)")
:quality(80)/p7i.vogel.de/wcms/af/ba/afba059e1e635289905bc63ce8cc4579/0117149678.jpeg "On-Premise bezeichnet den Betrieb von Software auf selbstverwalteten Hardware-Ressourcen. (Bild: <u><a href=https://unsplash.com/de/@tvick>Taylor Vick</a></u>)")
:quality(80)/p7i.vogel.de/wcms/79/8a/798ac0bb2a4e3a384a3c7634dc919ceb/0117709235.jpeg "APIs ermöglichen es verschiedenen Software-Anwendungen, Daten auszutauschen und miteinander zu interagieren, ohne dass Details zu Implementierung bekannt sein müssen. (Bild: <u><a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a></u>)")
:quality(80)/p7i.vogel.de/wcms/ef/83/ef83b21f59d76ece1f76070d93e9bd6b/0116763715.jpeg "Mit der Verbreitung von generativer KI wird die Bedeutung von Software-Bots weiter zunehmen. (Bild: <u><a href=https://pixabay.com/users/alexandra_koch-621802/>Alexandra Koch</a></u>)")
:quality(80)/p7i.vogel.de/wcms/c2/21/c2213857722c33ef3d02db0acf33abc0/0112236476.jpeg "So sehen Chiselled Ubuntu containers aus – zumindest nach Auffassung der generativen KI DALL-E2. (Bild: Dall-E 2)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
Kernel-Härtung, Überwachung und Sandboxing erhöhen die Sicherheit So verbessern Sie die Sicherheit Ihrer Linux-Systeme
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/65/68/656863dbcf3d9/logo-devops-windhoff-group.png "logo-devops-windhoff-group (Windhoff Group)"){kind=logo}
Mit einigen wenigen Tricks können Admins die Sicherheit ihrer Linux-Computer verbessern. Neben dem Einsatz von SELinux empfiehlt sich eine Kombinationen aus Bordmitteln, Kernel-Härtung und praktischen Tools.
Um Linux-Systeme effektiv abzusichern, empfiehlt sich die Kombination aus Bordmitteln und bewährten Zusatztools. Nachfolgend stellen wir spezifische Maßnahmen vor, die relevant für die Herausforderungen in 2024 sind.
Einsatz von Security-Enhanced Linux (SELinux)
Generell spielt SELinux auch in 2024 eine wesentliche Rolle, um das Betriebssystem so gut wie nur möglich vor Angreifern zu schützen. SELinux bietet eine zusätzliche Sicherheitsebene durch die Implementierung einer Mandatory Access Control (MAC) über die Standard Unix/Linux Discretionary Access Controls (DAC) hinaus. Durch die Konfiguration von SELinux-Policies lässt sich der Zugriff von Prozessen auf Dateien, Netzwerkports und andere Ressourcen feingranular steuern. Wichtig ist dabei:
- Regelmäßiges Überprüfen der SELinux-Logs zur Identifizierung und Anpassung unerwünschter Policy-Verletzungen.
- Einsatz von Tools wie semanage, setroubleshoot und audit2allow zur Verwaltung und Fehlerbehebung.
:quality(80)/p7i.vogel.de/wcms/d3/e6/d3e6c2986d05e66dea5dc1568bf4aa11/0117774245.jpeg "Audit2allow in Linux nutzen für mehr Sicherheit.")
:quality(80)/p7i.vogel.de/wcms/47/56/47567cafc449e661bb7bd33263c11721/0117774244.jpeg "Semanage in Ubuntu nutzen.")
:quality(80)/p7i.vogel.de/wcms/b3/ce/b3cead744fbf684a38cef87713d7cabd/0117774247.jpeg "GRSecurity kann beim Patchen des Kernels für mehr Sicherheit sorgen.")
:quality(80)/p7i.vogel.de/wcms/bc/93/bc93ab7d7549534482ed6a9bbf10e3d5/0117774246.jpeg "Systemd in Linux.")
Absicherung mit Firewalld und nftables
Um Linux-Rechner richtig abzusichern ist der Weg über IPTables der am meisten verbreitete. Es gibt aber auch den Nachfolger Nftables. Um Firewalls auf Basis von IPTables oder Nftables zu verwalten, steht zum Beispiel das Tool firewalld zur Verfügung. Dieses Tool kann in zahlreichen Linux-Distributionen einheitlich für Sicherheit sorgen und dabei helfen IPTables und Nftables einfacher zu verwalten.
Die Kombination von firewalld und nftables bietet eine robuste Firewall-Lösung für Linux-Systeme. nftables ersetzt ältere Systeme wie iptables und bietet eine effizientere und benutzerfreundlichere Syntax für die Definition von Regeln. Ebenfalls wichtig dabei sind:
- Organisation des Netzwerkverkehrs in Zonen und Zuweisung spezifischer Regeln, um den Schutz zu optimieren.
- Für komplexe Szenarien direkt nftables verwenden, um präzise Kontrolle über den Datenverkehr zu erhalten.
Einsatz von Advanced Intrusion Detection System (AIDE)
AIDE ist ein Host-basiertes Intrusion Detection System (IDS), das Änderungen am System überwacht und dokumentiert. Es ist besonders nützlich, um unautorisierte Änderungen an Dateien, Verzeichnissen und Systemkonfigurationen zu erkennen. Das Tool erstellt eine Basislinie von Dateisystem-Daten, einschließlich Hashwerten und Berechtigungen, und vergleicht anschließend regelmäßig den aktuellen Zustand gegen diese Basislinie, um Abweichungen zu identifizieren.
Nach jedem gesicherten Update oder bewussten Änderung am System, sollte die AIDE-Basislinie aktualisiert werden, um Falschmeldungen zu vermeiden. Dies erfordert ein diszipliniertes Vorgehen bei der Pflege der Basislinie, um die Genauigkeit der Erkennung zu gewährleisten. Die Implementierung automatisierter AIDE-Scans, vorzugsweise außerhalb der Geschäftszeiten, minimiert die Performance-Auswirkungen auf das System. Zudem sollten Berichte automatisch generiert und an das Sicherheitsteam versendet werden, um eine schnelle Reaktion auf entdeckte Anomalien zu ermöglichen.
AIDE sollte nicht isoliert betrachtet werden. Eine Integration in bestehende Sicherheitsinfrastrukturen, wie SIEM-Systeme, ermöglicht eine umfassende Sicht auf Sicherheitsvorfälle und erleichtert die Korrelation von Ereignissen über verschiedene Systeme hinweg. Neben der Überwachung von Dateiintegrität ermöglicht AIDE auch die Definition spezifischer Regeln für das Monitoring von Zugriffsrechten, Inode-Attributen und mehr. Diese erweiterten Konfigurationen bieten tiefere Einblicke und verbessern die Erkennungsfähigkeiten von AIDE.
Durch die strategische Anwendung und Konfiguration von AIDE können Administratoren und Sicherheitsexperten ein hohes Maß an Überwachung und Reaktionsfähigkeit auf potenzielle Bedrohungen erreichen, was die Sicherheitspostur von Linux-Systemen erheblich stärkt.
Sicherung durch Kernel-Härtung
Die Härtung des Linux-Kernels reduziert die Angriffsfläche des Systems. Techniken und Tools wie grsecurity und PaX bieten Möglichkeiten zur Kernel-Härtung, sind jedoch teilweise in ihren Distributionen spezifisch. Wichtige Maßnahmen umfassen:
- Anwendung von Kernel-Sicherheitspatches: Regelmäßiges Anwenden von Sicherheitsupdates und -patches für den Kernel.
- Verwendung von Kernel-Härtungspatches: Einsatz von zusätzlichen Sicherheitspatches, die über die Standard-Distribution hinausgehen, um Schwachstellen zu minimieren.
Einsatz von Systemd-Sicherheitsfeatures
Systemd, das init-System und System- und Service-Manager für Linux, bietet verschiedene Mechanismen zur Verbesserung der Systemsicherheit:
- Sandboxing von Diensten: Nutzung von systemd-Unit-File-Optionen, um den Zugriff von Diensten auf das Dateisystem, Netzwerk und andere Ressourcen einzuschränken.
- PrivateTmp: Isolierung temporärer Dateien von Diensten, um die Auswirkungen von Sicherheitslücken zu minimieren.
Einsatz von Linux Security Modules (LSM): SELinux und AppArmor
Linux Security Modules (LSM) bieten einen flexiblen Rahmen für die Unterstützung verschiedener Sicherheitsmodelle. SELinux und AppArmor sind die prominentesten Beispiele, die bereits angesprochen wurden. Eine weiterführende Maßnahme ist die Feinabstimmung dieser Sicherheitsmodule. Neben dem erzwingenden Modus (Enforcing) und dem permissiven Modus (Permissive) kann der Modus "Disabled" vermieden werden, um Sicherheitsrichtlinien durchzusetzen. Mit iptables lässt sich Rate Limiting nutzen. Das kann bei Servern, die über das Internet erreicht werden können dabei helfen, DDoS-Angriffe zu mildern. Durch die Konfiguration von Rate-Limit-Regeln lässt sich die Anzahl der Verbindungen oder Pakete begrenzen, die von einer Quelle in einem bestimmten Zeitraum akzeptiert werden:
iptables -A INPUT -p tcp --dport 80 -m limit --limit 25/minute --limit-burst 100 -j ACCEPTDiese Regel begrenzt neue Anfragen auf Port 80 auf 25 pro Minute nach einem initialen Burst von 100 Anfragen.
Einsatz von Linux-Kernel-Sicherheitsfeatures: Kernel Self Protection Project (KSPP)
Das Kernel Self Protection Project zielt darauf ab, den Linux-Kernel durch verschiedene Schutzmechanismen zu härten. Dazu gehören Techniken wie:
- Strikte Kernel-Pointer-Validierung: Umsetzung von Compiler-basierten Sicherheitschecks, die sicherstellen, dass nur gültige Pointer dereferenziert werden.
- Schutz vor Stack-Überläufen: Einsatz von Stack Canaries und anderen Mechanismen zur Erkennung und Verhinderung von Stack-Overflow-Angriffen.
Sicherung von Netzwerkdiensten durch Chroot-Umgebungen und Container
Die Isolierung von Netzwerkdiensten in Chroot-Umgebungen oder Containern wie Docker oder Podman kann die Sicherheit signifikant erhöhen:
- Chroot für Dienste: Anwendung des Chroot-Befehls, um den Root-Verzeichnisbaum für kritische Dienste zu ändern und so das Risiko einer Systemkompromittierung zu verringern.
- Containerisierung: Einsatz von Containertechnologien zur Isolation von Anwendungen und Diensten, was die Angriffsfläche reduziert und die Verwaltung von Sicherheitspatches vereinfacht.
Verwendung von Security Information and Event Management (SIEM)-Systemen
SIEM-Systeme ermöglichen eine zentrale Sammlung, Analyse und Korrelation von Sicherheitslogs aus verschiedenen Quellen innerhalb der IT-Infrastruktur. Dies unterstützt die frühzeitige Erkennung von Sicherheitsvorfällen und Bedrohungen:
- Integration von Log-Daten: Konfiguration der Log-Übertragung von Linux-Servern zu einem SIEM-System, um eine umfassende Sicht auf sicherheitsrelevante Ereignisse zu erhalten.
- Regelbasierte Analyse: Entwicklung und Implementierung von Analyse-Regeln, die auf spezifische Anzeichen von Kompromittierungen oder Angriffen innerhalb der gesammelten Daten hinweisen.
(ID:50025405)
:quality(80)/p7i.vogel.de/wcms/b3/9a/b39aa13cc05be9327f07e65ce13d19dd/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8a/ce/8aceb0252e4a3260acafef381ced4670/0116295479.jpeg "Thomas Joos schildert in seinem Artikel, wie sich ein „Telegram“-Bot sinnvoll für die Überwachung im Rechenzentrum nutzen lässt. Geschickt gemacht, kann er Zeit und Aufwand sparen. (Bild: Siarhei - stock.adobe.com)")