Linux-Härtung: Achten Sie auf diese Stolpersteine

Wenn Sie ein oder mehrere Linux-Systeme sicher konfigurieren wollen, müssen Sie viel Zeit, Energie und auch Geduld mitbringen – denn es gibt allerlei Hürden zu überwinden. Das sind die größten und nervigsten “Showstopper”.

Warum sollten Sie Linux härten?

Linux galt lange Zeit als besonders sicheres Betriebssystem. Im Vergleich zu Windows schien es weniger anfällig für Malware und Cyber-Angriffe zu sein, was unter anderem auf den Open-Source-Charakter, die strenge Rechteverwaltung und die aktive Entwicklergemeinde zurückgeführt wurde. Aber diese Zeiten sind längst vorbei!

Moderne Angriffstechniken, komplexe Software-Abhängigkeiten und immer größere Systemlandschaften haben gezeigt, dass auch Linux-Systeme nicht per se sicher sind. Prominente Vorfälle wie die Sicherheitslücke in OpenSSL (Heartbleed Bug) oder die Schwachstellen in Sudo und Polkit/PolicyKit bewiesen, dass weit verbreitete und gut geprüfte Linux-Komponenten vulnerabel sind.

Besonders gravierende Beispiele waren Ende 2021 die Log4j-Sicherheitslücke, die unter anderem als “Größte Schwachstelle in der Geschichte des Computing” bezeichnet wurde, und die CUPS-Lücken. Diese ermöglichte es Angreifern, über einfache Anfragen beliebigen Code auszuführen – mit globalen Auswirkungen auf Millionen von Servern, darunter viele Linux-Systeme.

Das bedeutet: Die verschiedenen Linux-Derivate besitzen wie Windows-Systeme zahlreiche Angriffsflächen und Schwachstellen, die ausgenutzt werden können. Sie sollten daher geschützt werden, unter anderem durch Systemhärtung (engl. System Hardening).

Wie gut ist eigentlich Ihr Linux gehärtet?!

Wenn Sie Ihr Linux-System einer richtigen Härtung unterziehen möchten, sollten Sie zuerst den Status Quo bestimmen. Es gilt damit zu klären: Wie sicher ist Ihr Betriebssystem bereits gehärtet? Welche Optimierungspotenziale gibt es? An welchen Stellen besteht ein hoher Handlungsbedarf? Diese Fragen beantwortet Ihnen das kostenlose AuditTAP.

Mit dem Open-Source-Tool führen Sie Hardening Checks für alle gängigen Windows- und Linux-Systeme durch. Bei jedem Audit werden alle Einstellungen intensiv gegen die Vorgaben von CIS und Co. geprüft. Als Ergebnis erhalten Sie einen detaillierten Bericht. Der AuditTAP-Report zeigt Ihnen dann, wie gut Ihr Ubuntu-, Debian-, Red-Hat- oder SUSE-System gehärtet ist.

Weist Ihre Linux-Hardening signifikante Mängel auf? Dann sollten Sie schnellstmöglich eine professionelle Systemhärtung durchführen! Dabei müssen nicht nur “kleine” Angriffsflächen wie die CUPS-Lücken geschlossen, sondern hunderte von Einstellungen angepasst werden – und das pro System! Um dieses Vorhaben zu meistern, haben Sie verschiedene Möglichkeiten.

Diese Community-Lösungen gibt es

Das Härten eines Systems kann sehr zeitaufwändig und kompliziert sein. Deshalb hat die Linux-Community ein paar Sicherheitslösungen entwickelt. Dazu gehören unter anderen diese:

• Linux Hardened Kernel: Schützt vor Exploits wie Buffer Overflows und Speicherfehlern durch Techniken wie ASLR und CFI.
• SELinux (Secure Enhanced Linux) erzwingt feingranulare Zugriffskontrollen und verhindert unautorisierte Zugriffe – auch für kompromittierte Prozesse.
• AppArmor: Ähnlich wie SELinux. Die Konfiguration ist etwas differenzierter und basiert auf Profilen, die den Zugriff auf Programme oder Dateien einschränken.
• Auditd liefert keine Härtung im engeren Sinne! Es zeichnet “nur” sicherheitsrelevante Ereignisse auf und hilft, verdächtige Aktivitäten wie das Ausführen oder Lesen von unberechtigten Dateien frühzeitig zu erkennen.

Warum die Community-Lösungen zu wenig sind

So nützlich diese Werkzeuge auch erscheinen mögen, so muss doch klar gesagt werden: Sie alleine reichen nicht aus, um ein Linux-System umfassend zu härten! Viele der möglichen Maßnahmen verbessern zwar die Sicherheit durch Überwachung, Zugriffsbeschränkungen oder Speicherverwaltungsmechanismen – sie reduzieren aber nicht alle potentiellen Angriffsflächen ausreichend!

Zudem folgen beispielsweise AppArmor oder SELinux keinem etablierten Standard. Während Sicherheitsrichtlinien wie die CIS Benchmarks, NIST 800-53 oder ISO 27001 in der Regel klare Vorgaben für die sichere Konfiguration eines Systems (die Härtung) liefern, sind die Tools der Linux-Community eher als Bausteine zu verstehen. Sie müssen also immer noch individuell konfiguriert und mit anderen Lösungen kombiniert werden.

Doch dabei tun sich weitere Hindernisse auf, zum Beispiel diese:

• Verteilte Konfigurationen

Windows verfügt über eine zentrale Registry. Bei Linux hingegen sind die Sicherheitseinstellungen über viele Dateien und Verzeichnisse verteilt. Dies führt zu einem hohen Aufwand.

• Unterschiedliche Distributionen

Sicherheitsmechanismen und Standardkonfigurationen variieren zwischen Ubuntu, Red Hat Enterprise Linux, Debian und anderen Linux-Betriebssystemen, was eine einheitliche Härtung erschwert.

• Mehrere Pakete für sicherheitsrelevante Tools

Jeder Linux-Experte kennt diese Fragen: “Verwende ich nun ufw, nftables oder direkt iptables für meine Firewall? Was nehme ich für meine Zeit-Synchronisation – chrony, systemd-timesycd?” Leider hat jede Lösung ihre eigenen Syntax.

• Manuelle Arbeit statt Automatisierung

Die Bash-Skripte, die beispielsweise mit den CIS-Benchmarks ausgeliefert werden, sind selten gebrauchsfertig. Sie müssen angepasst werden und funktionieren oft nicht auf mehreren Systemen. So wird die vermeintliche Automatisierung schnell zur Sisyphusarbeit.

• Drift der Systemkonfiguration

Updates, neue Software-Installationen oder manuelle Eingriffe können Sicherheitskonfigurationen ungewollt aufweichen. Dementsprechend werden Härtungen “aufgeweicht”.

Was beim Linux System Hardening wichtig ist

Wenn bei der Einführung von Linux-Infrastrukturen nicht massiv standardisiert und automatisiert wird, ist die entstehende Welt von Linux-Derivaten, Diensten und unterschiedlichen Konfigurationen eigentlich identischer Dienste nur mit großem Aufwand wieder “einzufangen”.

Im Rahmen einer Systemhärtung kommen dann unter anderem derartige Fragen auf:

• Welche Distribution wird eingesetzt?
• Ist alles auf einer Partition?
• Oder sollen /var, /home, /tmp separat eingebunden werden?
• Wer installiert wann die Updates?
• Welche Firewall-Implementierung wird genutzt?
• Wie ist der NTP-Dienst zu konfigurieren?
• Wie sind Logging-Einstellungen zu setzen?
• Wie bekommen welche (zentral verwalteten) User-Accounts “sudo”-Rechte?

Diese und weitere Fragen sind vorab zu klären. Am besten im Rahmen eines umfassenden Konzeptes. Denn einen einzelnen Computer mit Ubuntu, SUSE, Red Hat oder Debian zu härten, kann schon eine gewaltige Herausforderung sein. Müssen Sie aber eine ganze Linux-Systemlandschaft nach aktuellen Standards sicher konfigurieren, ist das eine Mammutaufgabe. Eine, die auf keinen Fall “mal nebenher” machbar ist. Stattdessen brauchen Sie eine Art Masterplan, wann und wie Sie das Linux Hardening implementieren.

Um den Masterplan umsetzen zu können, benötigen Sie einiges an Know-how. Denn – wie gesagt – gibt es sehr viele Empfehlungen und  potentiellen Lösungen, aber kaum standardisierte Lösungen. Daher kann es ratsam, die Linux-Härtung mit speziellen Hardening-Tools wie dem Enforce Administrator durchzuführen. Damit kommen Sie schneller und effizienter ans Ziel.

Über den Autor:

Dr. Sven Schrader, System Hardening Engineer & Linux Specialist bei der FB Pro GmbH. 

---

Weitere Beiträge von FB Pro GmbH

Mythen vs. Praxis: Die größten Irrtümer über Systemhärtung

Digital Operational Resilience Act: Welche Maßnahme essentiell ist

Wie Sie eine Systemhärtung bestens in Ihr Windows 11 Rollout Projekt integrieren

---