Kapitel 5 Sicherheit

Projekte / Unixeinführung / Sicherheit Kapitel 5 Sicherheit

Sicherheit

Nach dem Kapitel zum Netzwerk nun ein eigenes Kapitel zur Rechnersicherheit bzw. auch der Sicherheit des eigenen Accounts. Nicht selten beeinflussen sich diese beiden Bereiche gegenseitig. Ein unsicherer Account kann die Sicherheit des Systems genauso beeinflussen wie eine Lücke in der Systemsicherheit die Sicherheit des eigenen Accounts beeinträchtigen kann. Wenn Dir Dein eigener Account egal ist, den Systemadministratoren ist er nicht egal.

Du arbeitest hier in einem großen Netzwerk, das per Standleitung 24 Stunden am Tag mit dem Internet verbunden ist. Dadurch sind die Rechner hier jederzeit von jedem Ort der Welt mit Internetanschluss erreichbar bzw. auch angreifbar. Deswegen gibt es ein paar Dinge, die Du unbedingt beachten musst, um die Sicherheit Deiner Daten, die anderer User oder gar den reibungslosen Betrieb an der Fakultät zu gewährleisten.

Ist ein Account bzw. das dazugehörige Passwort erst einmal geknackt, so muss das keineswegs sofort auffallen. Der ,,Angreifer'' wird sich in der Regel unauffällig verhalten und nach außen hin sieht es so aus, als würdest Du Dich einloggen... Diese Unbemerktheit gibt dem ,,Eindringling'' Zeit und Gelegenheit, das System zu nutzen, es kennenzulernen und weitere Schwachstellen zu suchen. Somit sind die Accounts aller User hier nicht nur potentiell gefährdet.

Ohne jemandem etwas unterstellen zu wollen: Auch Angriffe von innen sind denkbar. Informatiker oder Mikrosystemtechniker sind nicht per Definition bessere Menschen als andere. Auch deswegen bitten wir Dich, das Thema Sicherheit nicht auf die leichte Schulter zu nehmen! Ein Account hier bedeutet auch Verantwortung.

Die Tatsache, dass wir dem Thema ein eigenes Kapitel gewidmet haben, soll durchaus ausdrücken, wie wichtig uns dieses Thema ist.

Das Rechenzentrum der Uni Freiburg hat unter

http://www.uni-freiburg.de/rz/security/

eine eigene WWW-Seite zum Thema Sicherheit im Netz, die auch darüber informiert, wie man die verschlüsselten Dienste des Rechenzentrums nutzen kann.

1 - Passwort

1.1 - Passwortwahl

Die Wahl eines guten Passwortes ist eine wichtige Angelegenheit. Der Zugang zu einem Rechnersystem wie dem, in dem Du nun auch arbeiten wirst, ist die erste Hürde, die ein ,,Angreifer'' nehmen muss. Ist er erst einmal mit Hilfe eines Accounts im System, so kann er eigentlich erst seine Arbeit⁴⁹ beginnen...

Einige Beispiele für besonders schlechte Passwörter, die auch bei der Wahl eines einigermaßen guten Passwortes helfen sollen:

Man sollte keinesfalls Namen jeglicher Art⁵⁰ verwenden. Beliebte Passwörter sind z.B. Vornamen der Freundin/des Freundes oder ähnliche. Das sollte man niemals tun.
Wörter, die in irgendeinem Wörterbuch vorkommen, sind ebenfalls nicht geschickt gewählte Passwörter. ,,Wörterbuchattacken'' sind möglich, da es solche Wörterlisten für praktisch jede Sprache gibt.
Kombinationen von Wörtern⁵¹ mit Zahlen oder Sonderzeichen: Programme, die von Hackern genutzt werden, berücksichtigen so etwas. Ebenfalls die beliebte und bekannte Vorliebe, Buchstaben durch Zahlen oder Sonderzeichen zu ersetzen (o = 0, s = $, i = !, ...).
Tastaturfolgen, also z.B. ,,qwertyui'', ,,asdfghjk'', ...
Rückwärtsschreibung von Wörtern, also z.B. ,,yhpruM'' statt ,,Murphy''

Solche Passwörter sollten unbedingt vermieden werden, da sie es einem ,,Angreifer'' unnötig erleichtern. Man kann die ,,Paranoia'' bei der Passwortwahl natürlich noch beliebig fortführen, aber wer sich an die obigen Ratschläge hält, der dürfte an sich auf der sicheren Seite sein, obwohl es ein perfektes Passwort nicht gibt.

Hier noch ein paar Tips, die ein gutes Passwort ausmachen bzw. wie man ein solches zustandebringt:

Ein Passwort kann (maximal) 8 Zeichen lang sein. Und je länger es ist, desto sicherer ist es auch. Es ist also empfehlenswert, alle 8 Zeichen auch zu nutzen.
Ein Passwort sollte neben Buchstaben (Groß- und Kleinschreibung) auch Sonderzeichen wie z.B. []}(!@#$%& und Zahlen enthalten. (Ein Passwort hier an der Fakultät muss mindestens eine Zahl enthalten.)
Eine gute Möglichkeit, sich auch kompliziertere Passwörter zu merken ist, sie mit Hilfe eines Satzes zu bilden: Man verwendet z.B. jeweils die Anfangsbuchstaben. Der Satz ,,Dies ist 1 Beispielssatz für ein gutes Passwort'' ergäbe z.B. das Passwort Di1BfegP.

Außerdem ist es ratsam, sich nicht auf die Finger schauen zu lassen, wenn man das Passwort eingibt. Fairerweise sollte man auch nicht bei anderen Leuten bei der Passworteingabe auf die Tasten schauen - das führt nur dazu, dass die sich ständig vertippen...

,,Passwortrecycling'' sollte auch vermieden werden, d.h. das Loginpasswort an der Fakultät sollte nicht auch noch irgendwo anders verwendet werden. Hast Du z.B. in der mathematischen Fakultät auch einen Account, so wähle bitte unterschiedliche Passwörter. Das Passwort ab und zu mal zu ändern ist auch keine schlechte Idee.

Vielleicht noch ein paar Sätze dazu, wie Dein Passwort gespeichert ist: UNIX benutzt einen ,,Falltür-Algorithmus'', das bedeutet, dass es zwar leicht ist, aus Deinem Klartextpasswort das verschlüsselte Passwort zu bilden, das dann auch gespeichert ist, es jedoch keineswegs trivial⁵² ist, den umgekehrten Weg zu gehen.

1.2 - Passwort ändern

Dein Passwort läßt sich mit dem Befehl

passwd

ändern. Einmal ausgeführt musst Du zuerst Dein noch gültiges Passwort eingeben. Anschließend muss das neue Passwort zweimal exakt gleich eingegeben werden.

2 - FTP

Auch in diesem Kapitel etwas zu FTP: Dieses Datenübertragungsprotokoll verschickt seine Daten - wie z.B. den Loginnamen und das Passwort - im Klartext. Das bedeutet, dass jeder in der Lage ist, das Passwort mitsamt dem dazugehörenden Login mitzuhören! Dies ist auch der Grund, warum nicht nur im Studentenpool der Fakultät u.a. der Dateitransport per FTP nicht mehr angeboten wird. Das Rechenzentrum der Uni Freiburg z.B. hat zum Wintersemester 1999/2000 alle unverschlüsselten Zugänge gesperrt⁵³.

Das bedeutet allerdings nicht, dass Du keine Dateien mehr von anderen Rechnern aus dem Internet per FTP auf die Rechner hier holen kannst. FTP-Server stehen Dir weiterhin zur Verfügung. Du kannst lediglich nicht mehr Dateien von oder auf einen der Rechner im Rechnerpool kopieren.

Sollte es doch einmal nötig sein, eine Datei von einem auf den anderen Rechner hier zu bekommen, so kann - wenn man sich mit der Kommandozeile angefreundet hat - problemlos scp (siehe 4.3.2) verwendet werden. Das sollte aber eigentlich nie nötig werden, da man hier an jedem Rechner seine aktuellen Daten zur Verfügung gestellt bekommt!

3 - Telnet

Mittels Telnet ist es wie mit ssh möglich, sich von einem Rechner aus auf einem anderen einzuloggen. Da Telnet aber auch ein Programm⁵⁴ ist, das seine Daten im Klartext überträgt, wird es wie FTP ebenfalls an der Fakultät nicht mehr angeboten.

Wir empfehlen jedem, der einen Zugang zu weiteren Rechnern außerhalb der Fakultät hat, ssh an Stelle von telnet zu verwenden, sofern dies möglich ist.

4 - Im Rechnerpool...

Auch im Rechnerpool selbst sollte man ein paar Verhaltensregeln beachten, um den eigenen Account und die eigenen Daten zu schützen:

xlock: Dieses Programm sperrt den Bildschirm solange, bis Du wieder Dein Passwort eingegeben hast. Wir raten dringend, von dieser Möglichkeit gebrauch zu machen, auch wenn Du nur kurz den Rechner verläßt.
Lerne, Dein Passwort schnell zu tippen. Je schneller Du Dein Passwort tippen kannst, desto schwieriger wird es, es durch einen Blick über die Schulter mitzulesen.
Schaue auf den Bildschirm bevor Du Dein Passwort eingibst. Gibst Du es vielleicht gerade im Login-Feld ein, so dass es für alle lesbar angezeigt wird?
Wenn Du Dein Passwort an der richtigen Stelle - nämlich dem Feld für das Passwort - eingibst, dann erscheint dabei nichts auf dem Bildschirm. Weder Sternchen⁵⁵ noch Dein Passwort im Klartext.
Wenn jemand Dein Passwort gesehen hat, so ändere es so schnell wie möglich.
In Kapitel 2.3.10 wurden die Zugriffsrechte für Dateien erläutert und beschrieben, wie man sie ändert... Standardmäßig werden Dateien hier so angelegt, dass sie von einem selbst gelesen und beschrieben werden können. Andere haben Leserechte. Bei ,,sensiblen'' Daten sollte man ggf. diese Leserechte entfernen. Keinesfalls sollte man anderen im eigene Homeverzeichnis Schreibrechte geben!

Fussnoten

⁴⁹Mißbrauchen des Accounts, Herausbekommen von anderen Userpasswörtern, Administratorenrechte erlangen, weitere Systeme von ,,hier'' aus ,,knacken''/behindern/blockieren, ...

⁵⁰Vornamen, Nachnamen, Tiernamen, Ortsnamen, Filmhelden, Musikstars, usw.

⁵¹oder Deines Logins

⁵²ihr werdet Mathematiker wegen dieses Wortes noch hassen lernen :-)

⁵³siehe http://www.uni-freiburg.de/rz/security/welcome2.html

⁵⁴bzw. Protokoll

⁵⁵durch zählen der Sternchen könnte man auf die Länge Deines Passwortes schließen, was das brechen Deines Passwortes beschleunigen kann. Man sollte bei sowas keine Sternchen angezeigt bekommen...

Sascha Frank

Last modified: Tue Nov 8 15:04:27 CET 2016

Wir verwenden Cookies. Wenn Sie weiter auf unseren Seiten surfen, stimmen Sie der Nutzung von Cookies zu. mehr Informationen hier