Lesezeit ca. 13 Min.

Tür zu!


Logo von LinuxUser
LinuxUser - epaper ⋅ Ausgabe 9/2022 vom 18.08.2022

OpenSuse-Tipps

Artikelbild für den Artikel "Tür zu!" aus der Ausgabe 9/2022 von LinuxUser. Dieses epaper sofort kaufen oder online lesen mit der Zeitschriften-Flatrate United Kiosk NEWS.

Bildquelle: LinuxUser, Ausgabe 9/2022

README

Die richtige Konfiguration, insbesondere das Abschalten von nicht benötigten Diensten, sichert ein System letztlich besser als eine potenziell fehlerbehaftete Firewall. Ein paar Kniffe wie Sandboxing tragen zusätzlich zur Systemsicherheit bei. Noch wichtiger ist es jedoch, mögliche Gefahrenquellen im Blick zu behalten.

Auch Linux-Systeme bleiben nicht von kritischen Sicherheitslücken verschont . Es lässt sich keineswegs ausschließen, dass solche Schwachstellen Schadsoftware wie Erpressungstrojanern Tür und Tor öffnen, auch wenn es bisher noch keine konkreten Fälle gibt.

Verbreitete falsche Vorstellungen, wie Angriffe auf Computersysteme ablaufen und wie man sie am besten abwehrt, führen einerseits leicht zu einem trügerischen Gefühl der Sicherheit – man verwendet ja Linux. Andererseits fehlen vielen Linux-Einsteigern die Kenntnisse darüber, welche Sicherheitsmaßnahmen das neue ...

Weiterlesen
epaper-Einzelheft 6,99€
NEWS Jetzt gratis testen
Bereits gekauft?Anmelden & Lesen
Leseprobe: Abdruck mit freundlicher Genehmigung von LinuxUser. Alle Rechte vorbehalten.
Lesen Sie jetzt diesen Artikel und viele weitere spannende Reportagen, Interviews, Hintergrundberichte, Kommentare und mehr aus über 1000 Magazinen und Zeitungen. Mit der Zeitschriften-Flatrate NEWS von United Kiosk können Sie nicht nur in den aktuellen Ausgaben, sondern auch in Sonderheften und im umfassenden Archiv der Titel stöbern und nach Ihren Themen und Interessensgebieten suchen. Neben der großen Auswahl und dem einfachen Zugriff auf das aktuelle Wissen der Welt profitieren Sie unter anderem von diesen fünf Vorteilen:

  • Schwerpunkt auf deutschsprachige Magazine
  • Papier sparen & Umwelt schonen
  • Nur bei uns: Leselisten (wie Playlists)
  • Zertifizierte Sicherheit
  • Freundlicher Service
Erfahren Sie hier mehr über United Kiosk NEWS.

Mehr aus dieser Ausgabe

Titelbild der Ausgabe 9/2022 von Zukunftssicher. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Zukunftssicher
Titelbild der Ausgabe 9/2022 von Bedienerfreundlich. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Bedienerfreundlich
Titelbild der Ausgabe 9/2022 von Versionierer. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Versionierer
Titelbild der Ausgabe 9/2022 von Wechselbalg. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Wechselbalg
Mehr Lesetipps
Blättern im Magazin
Moleküleditor
Vorheriger Artikel
Moleküleditor
Formfragen
Nächster Artikel
Formfragen
Mehr Lesetipps

... System bereitstellt.

Sichere Burg?

Computeranwendern fällt als Schutzmaßnahme gegen Eindringlinge aus dem Netz häufig zuerst der Begriff Firewall ein. Die Vorstellung, dass eine stabile Mauer um den Rechner Angreifer abwehrt, bildet jedoch die Realität nur oberflächlich ab: Um einen Schutzwall zu überwinden, schlägt der Angreifer Breschen. Angriffe auf Computer finden also häufig über Lücken im System statt.

Im Grunde genommen bildet eine Firewall eigentlich nur eine sekundäre Maßnahme, die die eigentlichen Lücken kaschiert. Darum deaktiviert der Open-Suse-Installer in der Standardeinstellung als primäre Sicherheitsmaßnahme alle Server-Dienste, die sich aus dem Netz ansprechen lassen. In dieser Systemkonfiguration passiert gar nichts, wenn Angreifer an der Netzwerkschnittstelle anklopfen. Software, die nicht läuft, lässt sich von außen nicht attackieren und antwortet auch nicht.

Halten wir fest: Der sicherste Zustand für Computer liegt immer dann vor, wenn möglichst wenig Programme mit Daten aus dem Netzwerk in Berührung kommen. Das erreichen Sie unter Linux auf Systemebene, indem Sie nicht gebrauchte Dienste mit Netzwerkexposition abschalten (siehe Kasten Netzwerkdienste).

Eine auf dem Rechner selbst laufende Personal Firewall bedeutet eine Anwendung mehr, die mit Daten aus dem Netz in Berührung kommt. Allerdings übernimmt unter Linux der Kernel das Filtern des Netzwerkverkehrs 2. Die in Anlehnung an ihre Windows-Pendants ebenfalls Firewall genannten Programme stellen unter Linux bloß ein handliches Frontend für die auf Experten zugeschnittene Kernel-Schnittstelle zur Verfügung . Die Sicherheitsbilanz des Linux-Kernels fällt zum Glück besser aus als die so mancher Security-Software unter Windows.

Das erklärt, warum OpenSuse nach einer Installation mit übernommenen Grundeinstellungen 3 die Firewall-Lösung Firewalld aktiviert lässt, auch wenn sie ohne laufende Netzwerkdienste die Systemsicherheit eigentlich nicht erhöht. Sie springt aber dann ein, wenn eine Softwareinstallation einen potenziell riskanten Netzwerkdienst aktiviert oder ein Anwender unwissentlich eine gefährliche Konfiguration vornimmt. Die Firewall arbeitet so, dass sie mit Ausnahme des SSH-Dienstes alle Dienste von außerhalb des Rechners unsichtbar macht.

Allerdings kommen nicht nur Systemdienste mit dem Internet in Kontakt, sondern auch normale Desktop-Programme, allen voran der Webbrowser. Ein heutiger Browser versteht HTML, CSS, Javascript und einiges mehr. Er bindet das Mikrofon und die Webcam ein, nutzt die Grafikkarte als Beschleuniger und installiert Addons aus dem Internet nach 4. Dass er per GPU-Beschleunigung Zugriff auf den im Kernel mit maximalen Rechten laufenden Grafiktreiber erhält, erhöht das Gefährdungspotenzial noch einmal.

Die größte Verringerung der Angriffsfläche beim Browser erzielen Sie durch Deaktivieren von Javascript 5, das den Browser von einer reinen Anzeige-Engine zur Laufzeitumgebung für Webanwendungen macht. Die wenigsten Anwender möchten Javascript aber komplett abschalten und die Einstellung javascript.enabled auf der Einstellungsseite about:config auf false setzen, da zu viele Seiten sonst nicht mehr wie gewohnt funktionieren.

Dagegen bewährt sich das Addon Disable JavaScript . In der Standardeinstellung startet es mit eingeschaltetem Scripting, erlaubt aber auch umgekehrt, Javascript erst nach expliziter Aktivierung zuzuschalten. Ein Knopf in der Symbolleiste aktiviert oder deaktiviert es für die aktuelle Domain. Eine Blacklist gestattet, Sites schon vor dem ersten Besuch zu entschärfen 6. Alternativ existiert ein reiterbezogener Modus, der einen gewählten Status für ein bestimmtes Tab beibehält.

Netzwerkdienste

Das Systemverwaltungswerkzeug YaST stellt in Form des Moduls Dienste-Verwaltung 1 ein grafisches Frontend zum An- und Abschalten der im Hintergrund laufenden Systemdienste zur Verfügung. Laien überfordert es allerdings schon durch die schiere Anzahl der gelisteten Dienste. Bei den meisten davon handelt es sich aber nicht um Server- Dienste, also solche, die auf Anfragen aus dem Netz antworten und Daten bereitstellen. Die Tabelle Wichtige Services auf der nächsten Seite zeigt eine Liste verbreiteter Server- Dienste, ihre Funktion und das resultierende Bedrohungspotenzial. Einen schnellen Überblick über Netzwerkdienste verschafft ein von einem anderen Rechner aus ausgeführter Scan mit dem Netzwerkscanner Nmap (Paket nmap). Starten Sie zum Beispiel von Ihrem Notebook aus nmap Ziel‐IP‐Adresse, dann sehen Sie, welcher Dienst dort bei eingeschalteter Firewall auf Anfragen von außen antwortet. Die von Nmap vergebenen Dienstenamen entsprechen denen in der Liste des YaST-Moduls Dienste-Verwaltung. Bauen Sie nun die Internet-Verbindung ab, stoppen Sie auf dem PC mit sudo systemctl stop firewalld die Firewall und wiederholen Sie den Nmap-Scan. So sehen Sie, welche Dienste ohne Firewall-Schutz antworten. Sie aktivieren und deaktivieren die Dienste entweder im angesprochenen YaST-Modul oder auf der Kommandozeile mit sudo systemctl disable Dienst ‐‐now.

Die Hardwarebeschleunigung schalten Sie unter Einstellungen im Hamburger-Menü rechts oben in der Sparte Leistung ab. Zunächst gilt es, Empfohlene Leistungseinstellungen verwenden zu deaktivieren, dann die Option Hardwarebeschleunigung verwenden, wenn verfügbar. Komplexe Webseiten scrollen dann allerdings spürbar weniger glatt.

Schadensbegrenzung

Nicht mit Root-Privilegien laufende Anwendungen fehlen unter Linux die Rechte, Systemkomponenten zu überschreiben, also sie mit Malware zu infizieren. Allerdings dürfen Sie zum Beispiel Programme in den Ordner ~/.config/autostart/ eintragen, die bei jedem Hochfahren der grafischen Umgebung starten. Dabei könnte es sich um ein im Heimatverzeichnis abgelegtes Skript handeln, das sich entsprechend nach einem Reboot wieder aktiviert. Unter X11 können solche Schadprogramme Tastatureingaben abfangen, während unter Wayland nur noch die Anwendung mit Fokus Zugriff erhält.

Linux kennt einen Mechanismus, um das Starten von Programmen auf einer bestimmten Partition zu verbieten. Es liegt nahe, die meist nur für Daten genutzte Home-Partition und das für Benutzer beschreibbare Verzeichnis /tmp so zu schützen. Allerdings lassen sich dann dort abgelegte Skripte immer noch starten, wenn Sie sie der Shell als Parameter übergeben. So startet der Aufruf /bin/ bash /home/user/skriptXYZ.sh das skriptXYZ.sh unabhängig von der aktivierten Noexec-Option.

Da das Blockieren der Programmausführung im Home aber in der Regel nur Steam-Anwender mit lokaler Wine-Installation beeinträchtigt und immerhin den Start von komplexerer Schadsoftware unterbindet, empfehlen wir dennoch, die mit Benutzerrechten beschreibbaren Partitionen /home und /tmp so zu schützen. Bearbeiten Sie dazu die Datei /etc/ fstab mit Root-Rechten, zum Beispiel mit dem Kommandozeileneditor Nano (Listing 1,erste Zeile). Suchen Sie die Zeilen mit /tmp und /home in der zweiten Spalte und fügen in der vierten Spalte nach der subvol-Option ,noexec an. Achten Sie darauf, dass die Anweisung ohne Leerzeichen auf das Komma folgt 7 . Wenden Sie die Änderungen dann durch einen Remount an (Listing 1, letzte Zeile).

Mit Firejail existiert zudem eine Lösung, um Programme in eine sogenannte Sandbox zu sperren, die die Kommunikation mit anderen Programmen und vor allem das Schreiben auf die Festplatte beschränkt. Speziell beim Browser, dem im Internet exponierten Programm mit der größten Angriffsfläche, entspannt das die Sicherheitssituation. Installieren Sie dazu das Paket firejail und fügen Sie Ihr Benutzerkonto der Gruppe firejail hinzu (Listing 2). Melden Sie sich danach erneut am System an und starten Sie Firefox auf der Konsole durch Einga- be von firejail firefox. Jetzt besitzt das Programm nur noch Zugriff auf das Verzeichnis ~/Downloads/. Was immer Sie dort ablegen, es startet auf jeden Fall nicht unaufgefordert.

Viele Programme lassen sich durch ein vorangestelltes firejail auf der Konsole ebenso absichern. Das Tool bringt etwa 1200 auf einzelne Programme zugeschnittene Profile mit, die zum Beispiel LibreOffice (firejail soffice) einen weitgehend ungehinderten Zugriff auf die Dateien im Home gewähren, damit es sich überhaupt sinnvoll nutzen lässt.

Unter KDE macht es die Option Anwendung bearbeiten nach einem Rechtsklick auf das Firefox-Icon zum Kinderspiel, den Webbrowser ohne Rückgriff auf die Konsole zu starten. Schreiben Sie im so geöffneten Dialog im Reiter Programmgenau wie auf der Konsole firejail an den Beginn des Befehls zum Starten des Programms 8.

Aus der Schusslinie

Auf den ersten Blick scheint ein E-Mail-Client weniger Angriffspotenzial zu bieten als ein Webbrowser. Das täuscht, denn das Programm bindet zur Anzeige von HTML-Mails eine vollständige Browser-Engine ein 9. Dieses Feature lässt sich aber abschalten: Thunderbird lässt Ihnen unter Ansicht | Nachrichteninhalt die Wahl zwischen Original HTML, dem weniger gefährlichen Vereinfachtes HTML und Reiner Text.

Bei Gnome Evolution finden Sie die Option unter Bearbeiten | Einstellung in der Kategorie E-Mail-Einstellungen | HTML-Nachrichten. Ganz unten finden Sie für den HTML-Modus die sicherste Variante Immer als einfachen Text anzeigen, die selbst als reine HTML-Mails verschickte Nachrichten zu einfachem Text vereinfacht. KDE Kontakt führt die entsprechende Einstellung unter Einstellungen | KMail einrichten | Sicherheit Lesen.

Weniger prädestiniert als Einfallstor für Malware scheinen Programme, die ausschließlich lokal arbeiten. Doch E-Mail-Anhänge damit zu öffnen, ist ebenso gefährlich, als würde die Software selbst Daten aus dem Netz beziehen. Microsoft Word, an sich eine„harmlose“ Textverarbeitung, erlangte durch die Unterstützung unsicherer Makros sogar den Status des größten Einfallstors für Schadsoftware in Firmen.

Hier verhält sich die LibreOffice-Ausgabe der aktuellen OpenSuse-Version weniger fahrlässig. Sie führt in der Standardeinstellung Makros nur dann aus, wenn sie eine vertrauenswürdige Signatur von einer allgemein (durch Firefox) akzeptierten Zertifizierungsstelle aufweisen oder in einem als vertrauenswürdig eingestuften Dateiordner starten 10. Jedoch schadet es in einer Mehrbenutzerumgebung nicht, wenn nur der Administrator in den Ordner schreiben darf, in dem zum Beispiel die Templates für Geschäftsvorgänge liegen.

Schadpotenzial

PDFs gelten landläufig nur als passive Dokumente – ebenfalls ein Irrtum. Der PDF-Standard umfasst auch Javascript für interaktive PDFs. Als nützlich erweisen sich Javascript-Funktionen beim Prüfen der Gültigkeit von Eingaben in Formulare oder bei PDFs, die Daten nach dem Ausfüllen per Knopfdruck an den Empfänger schicken.

Offensichtlich unterstützt unter Linux nur das zu KDE gehörige Okular (Abbildung 11) eingebetteten Scripting-Code. Abschalten lässt sich dieses Feature jedoch nicht. Wer in solchen Komfortfunktionen vor allem ein Gefährdungspotenzial sieht, sollte einen anderen PDF-Viewer verwenden.

Auch unter Linux sollten Sie E-Mail-Attachments aus einer unbekannten Quelle nicht öffnen. Zwar verpuffen praktisch alle auf Windows-Systeme zugeschnittenen Angriffe unter Linux. Viele nach dem Schema last_holiday_jpg. exe benannte Dateien versuchen allerdings, mithilfe der Windows-Emulationsschicht Wine zu starten, die EXE-Dateien standardmäßig verknüpft.

Allerdings sehen Linux-Anwender die tatsächliche Dateiendung, und ob die Software unter Wine ihre konkrete Schadwirkung tatsächlich zu entfalten vermag, bleibt fraglich. Um zu unterbinden, dass Windows-EXEs per Klick starten, öffnen Sie in den KDE-Systemeinstellungen den Punkt Anwendungen. Dort suchen Sie in den Dateizuordnungen bei den Dateiendungen exe und x-ms-dosexecutable nach dem zugeordneten Anwendungsprogramm Wine Windows-Programmstarter und löschen den Eintrag oder setzen ihn in der Reihenfolge nach unten. Auf der Konsole lassen sich die Windows-Executables immer noch mit wine Datei.exe ausführen.

Auf Linux zugeschnittene Exploits sind technisch keineswegs undenkbar: Präparierte PDFs könnten bei jedem Systemstart ausgeführte Skripte installieren, Anhänge könnten eine der regelmäßig auftretenden Schwachstellen in Bibliotheken und Anwendungen ausnutzen.

Über diese Schwachstellen in C/​C++-Programmen lässt sich im schlimmsten Falls durch Speicherkorruption Schadcode einschleusen und ausführen. Da der unter X bereits Zugriff auf Tastatur und Bildschirm erlangt, birgt ein solcher Exploit auch ohne Root-Rechte schon erhebliches Schadpotenzial. Außerdem könnte die Malware selbst mit Benutzerrechten alle Daten im Home löschen oder verschlüsseln.

Vermutlich hielt in der Vergangenheit nur die Tatsache, dass das Verhältnis zwischen Aufwand und Einnahmen bei Windows-Exploits günstiger ausfällt, Kriminelle davon ab, Linux-Desktops ins Visier zu nehmen. Das liegt zum einen an der relativ geringen Verbreitung von Linux und zum anderen daran, dass die Systeme meist auch inhomogener sind, womit sie sich nur selten mit demselben Exploit angreifen lassen. Welche Rolle die in der Open-Source-Welt meist schneller bereitstehenden Fixes tatsächlich in Bezug auf die Sicherheit spielen, lässt sich dagegen nur schwer einschätzen.

Weitere Infos und interessante Links

www.linux-user.de/qr/47758

Sichere Schleuse

Die angesprochenen Speicherverwaltungsfehler in C- oder C++-Programmen sowie überlistbare Checks der Authentifizierung und viele weitere typische Programmierfehler erweisen sich bei mit Root-Rechten laufenden Systemdiensten als besonders gefährlich: Sie ermöglichen es Schadsoftware, beliebige Systemdateien zu verändern. Darum aktiviert der OpenSuse-Installer wie erwähnt den SSH-Dienst erst nach expliziter Anforderung und öffnet auch den zugehörigen Firewall-Port nur auf ausdrücklichen Wunsch.

Andererseits handelt es sich bei Linux nun einmal um ein netzwerktransparentes Mehrbenutzersystem, dessen Eigenschaft viele Linux-Anwender auch entsprechend nutzen möchten. Immerhin hält SSH auf unzähligen Systemen mit kritischer Infrastruktur erfolgreich Angriffen stand. Das Absichern per Passwort gilt in der Server-Administration allerdings als unzureichend.

Möchten Sie einen SSH-Zugriff aus dem Internet auf Ihren Rechner ermöglichen, sollten Sie von der Authentifizierung per Benutzername und Passwort auf eine Authentifizierung per Schlüsseldatei umsteigen (siehe Kasten SSH-Zugang aus dem Internet). Dann ist ein Login nur noch mithilfe einer kleinen Datei und eines zusätzlichen Passworts möglich. Weder ein Verlust des Passworts noch der Schlüsseldatei allein gewähren dann einem Eindringling Einlass. Beim Verdacht, der Schlüssel könnte kompromittiert worden sein, lässt sich dieser leicht deaktivieren und durch einen neuen ersetzen.

Es bedarf nur weniger Kommandozeilenaufrufe, um ein schlüsselbasiertes SSH-Login einzurichten. Stellen Sie zunächst sicher, dass auf dem Rechner, dessen Anmeldevorgang Sie absichern möchten, der SSH-Daemon läuft und die Firewall den SSH-Zugang nicht blockiert. Dafür melden Sie sich zunächst wie gewohnt per ssh User@Ziel‐IP an. Die IP-Adresse eines Rechners finden Sie entweder über Ihren Internet-Router heraus oder indem Sie auf dem Rechner selbst ip a eingeben.

Schließen Sie dann die Verbindung mit exit und tippen Sie in die Konsole des lokalen Rechners cd ~/.ssh. Sollte das Verzeichnis nicht existieren, legen Sie es mit mkdir ~/.ssh an. Um den Lesezugriff einzuschränken, tippen Sie danach chmod 700 ~/.ssh. Nun führen Sie ssh‐keygen aus 12. Damit legen Sie ein Schlüsselpaar an, das aus einem öffentlichen und einem privaten Key besteht.

SSH-Zugang aus dem Internet

Läuft der SSH-Dienst noch nicht, aktivieren Sie ihn mit dem Kommando sudo systemctl enable sshd ‐‐now. Die Open- Suse-Tipps aus LinuxUser 06/​2020 geben Aufschluss über den Umgang mit dem YaST- Modul Firewall. Schalten Sie dort den Dienst ssh für das aktive Profil Ihrer Netzwerkkarte (in der Voreinstellung public) frei. Um einen Dienst des Rechners ins Internet freizugeben, müssen Sie zusätzlich auf Ihrem Internet-Router eine sogenannte Port-Freigabe einrichten. In der Fritzbox gelingt das unter Internet | Freigaben | Portfreigaben durch einen Klick auf Gerät für Freigabe hinzufügen. Nach Auswahl des Geräts fügen Sie eine Neue Freigabe hinzu. Dort wählen Sie in der Regel Andere Anwendung sowie als Protokoll TCP und geben für Port an Gerät die Port-Nummer 22 an.

Danach genügt es, wenn Sie ssh‐copy‐id User@Ziel‐IP eingeben, um den öffentlichen Schlüssel auf dem Zielrechner zu installieren. Dabei fragt SSH nach dem Passwort für den angegebenen Nutzernamen, ganz wie bei der normalen passwortbasierten Authentifizierung. Heißt Ihr aktiver lokaler Benutzer-Account ebenso wie der auf dem Zielrechner, dürfen Sie den Nutzernamen bei der Anmeldung weglassen.

Ohne Hintereingang

Testen Sie nun das Login mit dem gerade installierten Schlüssel via ssh User@ Ziel‐IP. Statt der Aufforderung zur Eingabe eines Passworts erhalten Sie die Frage nach der passphrase for key xxx. Das zeigt, dass nun die Schlüsseldatei beim Login zum Einsatz kommt, nicht mehr das Benutzerkonto. Schlägt die schlüsselbasierte Anmeldung allerdings fehl, dann geht der Rechner zur passwortbasierten über. Ein Sicherheitsgewinn ergibt sich erst, wenn Sie diese Option abschalten.

Funktioniert das Login per Key, editieren Sie auf dem Zielrechner die Konfigurationsdatei /etc/ssh/sshd_config des SSH-Diensts. Darin suchen Sie die Parameter PasswordAuthentication sowie ChallengeResponseAuthentication und entfernen jeweils das Kommentarzeichen (#) am Anfang der Zeile. Dann setzen Sie die Parameterwerte nach dem Leerzeichen von yes auf no und speichern die Datei. Zu guter Letzt starten Sie den SSH-Server mit sudo systemctl restart sshd neu.

Wenn Sie sich nun abmelden, klappt das erneute Login nur noch von dem Rechner aus, auf dem sich die SSH-Schlüsseldatei befindet. Den Erfolg Ihrer Änderungen testen Sie mit der dreimaligen Eingabe eines falschen Passworts. Anstatt einer erneuten Aufforderung zur Passworteingabe erscheint jetzt die Meldung Permission denied (publickey).

Der einfachste Weg, den Zugang zu Ihrem Rechner für mehrere Geräte einzurichten, besteht darin, die beiden Dateien id_rsa und id_rsa.pub aus ~/.ssh/ an dieselbe Stelle auf einen anderen Rechner zu kopieren. Achten Sie darauf, ein eventuell manuell angelegtes .ssh-Verzeichnis noch mit chmod 700 für andere Anwender zu sperren, anderenfalls verweigert SSH aus Sicherheitsgründen den Dienst. Auch darf kein Unbefugter die Datei id_rsa zu Gesicht bekommen.

Prinzipiell stellt es kein Sicherheitsrisiko dar, einen Schlüssel auf mehrere Geräte zu verteilen. Wäre einer von mehreren gesonderten Schlüsseln samt Passphrase nach außen gedrungen, so könnte ihn der Angreifer ohnehin auf ein beliebiges Gerät kopieren. Auf dem Server lässt sich ein Schlüssel leicht löschen, was allerdings nicht garantiert, dass ein Angreifer nicht schon weitere Backdoors ins System integriert hat.

Beim Befehl ssh‐copy‐id geben Sie einen Benutzernamen an, was dazu führt, dass er im Home des entsprechenden Users den Schlüssel in der Datei ~/.ssh/ authorized_keys einträgt. Das File enthält in der Regel mehrere Blöcke mit kryptischen Zeichenfolgen 13, die jeweils mit der Angabe User@Rechner für den Benutzer- und Rechnernamen enden, unter dem Sie den Schlüssel erstellt haben. Entdecken Sie in dieser Datei einen kompromittierten Schlüssel, dann löschen Sie den entsprechenden Block. Im Zweifelsfall ist es sinnvoller, die ganze Datei zu löschen und alle Schlüssel neu zu erstellen, als einem Angreifer ungewollt Zugang zu gewähren. Um Zeit zu gewinnen, stoppen Sie in so einem Fall als Erstes den SSH-Dienst mit sudo systemctl stop sshd.

Fazit

Dass Linux-Desktops bisher von der Flut der Viren und Erpressungstrojaner verschont blieben, die Windows-Rechner plagen, liegt möglicherweise an der geringeren Verbreitung und der Uneinheitlichkeit der Linux-Systeme. Warum sollten Kriminelle einen Exploit für eine im Vergleich zur Windows-Welt verschwindend geringe Anzahl an potenziellen Zielen entwerfen, solange es genügend niedriger hängende Früchte gibt? Dennoch sollte man seinem Linux-System, der Firewall und selbst einem Internet-Router mit bisher gutem Ruf niemals zu weit trauen. Maßnahmen wie das Abschalten nicht benötigter Server-Dienste, der Betrieb des Webbrowsers ohne Javascript-Unterstützung und eventuell in einer Sandbox sowie das Absichern von SSH per Schlüsseldatei statt nur per Passwort minimieren das Restrisiko deutlich.

(tle)