Linux Security-Guide

Der inetd-Dämon von Linux ist ein Utility für Netzwerkdienste, das einen zentralen Punkt zur Überwachung aller auf einem System ausgeführten Internet-Dienste darstellt. Der inetd-Dämon fragt die in der Datei /etc/inetd.conf aufgeführten Netzwerk-Ports ab. Jede Zeile der Datei inetd.conf enthält einen Dienst, den inetd abfragt. Wenn eine eingehende Anfrage einer in der Datei enthaltenen Netzwerk-Portnummer entspricht, weist inetd dem Socket mit der Anfrage die entsprechende Anwendung zu. Wenn sich zum Beispiel eine eingehende Anfrage an Port 21 richtet und ftp in der Datei /etc/inetd.conf aufgeführt ist, wird inetd den Client mit dem ftp-Dienst verbinden, um anschließend mit dem Abfragen der anderen in seiner Konfigurationsdatei aufgeführten Ports fortzufahren.

Um herauszufinden, ob der inetd-Dämon auf einer Workstation ausgeführt wird, müssen Sie ein Terminal-Fenster öffnen und den folgenden Befehl eingeben:

ps aux | grep inetd 

Abbildung A

Die in Abbildung A dargestellten Ergebnisse dieses Befehls geben an, ob der Dienst ausgeführt wird und wann er gestartet wurde. Nun, da Sie wissen, dass der inetd-Dämon ausgeführt wird, können Sie durch Eingabe des folgenden Befehls feststellen, welche Netzwerkdienste inetd abfragt:

grep -v "^#" /etc/inetd.conf 

Die Ergebnisse dieses Befehls sind ebenfalls in Abbildung A zu sehen. Es ist klar zu erkennen, dass inetd u.a. ftp, finger und ntalk abfragt.

Abbildung A zeigt, dass die Datei /etc/inetd.conf durch das auf der Red Hat 6.1-CD enthaltene Installationsskript konfiguriert wurde. Zur Sicherung des Systems sind jedoch erhebliche Änderungen der Datei erforderlich. Diese können durch die Bearbeitung der Datei über einen Texteditor, wie z.B. vi, und das Entfernen unnötiger Dienste erfolgen. Zum Beispiel sollten Zeilen mit älteren Utilities, wie talk und ntalk, die eine interaktive Kommunikation mit anderen Benutzern im Netzwerk ermöglichen, entfernt werden. Ein weiteres Utility, finger, das standardmäßig über Port 79 ausgeführt wird und entfernten Clients das Einsehen von Benutzerdaten erlaubt, sollte ebenfalls gelöscht werden. Diese Dienste bieten keine Sicherheitsfunktionen, wie sie für moderne Netzwerke erforderlich sind.

Shell und login sind RPC-basierte Dämons, die durch sichere Versionen ersetzt werden sollten (d.h. SSH bzw. slogin). Die ftp- und telnet- Dienste sollten ebenfalls durch ihre besser gesicherten Entsprechungen ersetzt werden – scp oder http anstelle von ftp und sshd anstelle von telnet. (Beachten Sie dabei, dass in umfangreichen Installationen http nicht auf jedem Desktop ausgeführt werden sollte. Stattdessen sollten die Workstations in diesen Installationen über einen separaten Webserver auf das Web zugreifen).

Ein weiteres Problem besteht darin, dass im user-Feld vieler Dienste root eingetragen ist. Es wird empfohlen, Dienste nur dann als root auszuführen, wenn es unbedingt erforderlich ist, und dies auch nur bei strenger Kontrolle. Andernfalls sollte im user-Feld jeder Zeile nobody eingetragen werden.