Linux Blog

im Zeitalter der Globalisierung und des technischen Fortschritts kommt es immer öfter vor, dass Linux-Rechner als Ziel eines Angriffs von Black-Hackern ausgewählt werden. Zwar ist das Linux-Betriebssystem (richtige Konfiguration vorausgesetzt) sehr sicher, wenn man aber das System nicht richtig pflegt, indem man die Installation von Updates vernachlässigt und das System falsch oder unzureichend konfiguriert, kann es dazu kommen, dass Hacker dieses System für eigene, meist illegale Zwecke missbrauchen.
Leider musste ich auch mal einen solchen Angriff auf der eigenen Haut zu spüren bekommen. Es ist sehr wichtig, nachzuvollziehen, wie der Angreifer in das System eindringen konnte. Aus diesem Grund muss man nach dem Angriff die Spuren finden. Wobei ich hier erwähnen muss, dass wirklich gute Hacker ihre Spuren verwischen und es wird verdammt schwierig sein, sie aufzuspüren. Wie dem auch sei, falls man merkt, dass das eigene System irgendwie merkwürdig funktioniert (hohes Traffic nach außen und nach innen, permanent unter Belastung stehende Festplatten, was zur Folge die Verlangsamung des Rechners hat) sollte man am Besten das System temporär isolieren und überprüfen.
Die ersten Anlaufstellen sind die Log-Dateien von /var/log und /root. Man sollte aber nicht vergessen, das man root-Rechte benötigt, wenn man diese Log-Dateien einsehen möchte. Es ist sehr wichtig, die Meldungen von Syslog zu analysieren. Man findet dort verschiedene Warnungen. Zum Beispiel über die von iptables blockierte Verbindungen oder wer und wann ins System einloggte. Das System protokolliert sogar Anmeldungen, die über Samba, Telnet oder SSH erfolgten.
Mit Hilfe der /etc/passwd/ Datei kann man über alle, im System existierende Benutzer erfahren. So kann man zum Beispiel überprüfen, ob ein Angreifer einen zusätzlichen Benutzer erstellen konnte, um später damit ins System einzuloggen. In der Datei /root/bash_history findet man alle vom root in der Konsole eingegebene Befehle. Außerdem versuchen manche Hacker, ihre Spuren zu verwischen, indem diese Log-Dateien entweder komplett löschen oder diese editieren, um ihre Handlungen aus der Log-Dateien zu entfernen. Deswegen muss man darauf achten, ob die Log-Dateien existieren bzw. ob diese große zeitliche Lücken enthalten.
Außerdem ist es sinnvoll, mit Hilfe von Befehlen wie “who” oder “last” zu überprüfen, wer am System angemeldet ist, bzw. zuletzt angemeldet war.
Als kleiner Tipp würde ich das Programm “logwatch” empfehlen. Damit kann man verschiedene Logs automatisiert zusammenfassen und auf eigene E-Mail Adresse verschicken.

Wenn es darum geht, ein Netzwerk zwischen Windows und Linux Rechnern aufzubauen, gibt es besonders bei nicht sehr erfahrenen Benutzern oft Probleme. Trotz der Benutzerfreundlichkeit, die Linux in den letzten Jahren bekommen hat, muss der Benutzer über theoretische und praktische Grundlagen aus dem Aufgabegebiet verfügen, um ein Netzwerk aufzubauen.
Eine große Hilfe liefert dabei die Seite “Deutsches Linux HowTo Projekt”, wo man unter zahlreichen HowTos auch Samba HowTo finden kann (http://www.linuxhaven.de/dlhp/HOWTO/DE-Samba-HOWTO.html)
Dieses HowTo hilft sowohl bei der Installation, als auch bei der Konfiguration des Samba-Servers.