Jeden Tag entdecken die Virenlabore mehrere hunderttausend neue Viren und andere Schadsoftware. Die werden meist automatisch generiert und immer leicht verändert, damit Antivirensoftware sie nicht so leicht aufspüren kann. Ziel sind vor allem Windows-Rechner. Die sind zwar aus technischer Perspektive prinzipiell nicht viel unsicherer als Linux, aber das Nutzerverhalten ist dort ein anderes. Vor allem ist Windows für Angreifer lohnender, weil das System weitverbreitet ist. Wer in einem gemischten Netzwerk arbeitet, also mit Linux- und Windows-Rechnern, kann für etwas Entspannung sorgen. Dateifreigaben für Windows lassen sich unter Linux mit einem eigenen Virenscanner überwachen. Das sorgt für mehr Sicherheit, sollte die Schutzsoftware unter Windows aufgrund einer Infektion ausfallen.
Eine besondere Bedrohung, die auch Netzwerkfreigaben betrifft, stellen Verschlüsselungs-Trojaner dar. Vor dem Verlust wichtiger Dateien kann jedoch ein regelmäßiges Backup auf einen Linux-PC schützen.
Drohende Gefahren für Ihre Rechner
Es gibt im Wesentlichen nur zwei Angriffsszenarien auf Computer. Die größte Bedrohung geht vom Benutzer aus, der vor dem Bildschirm sitzt. Wer Software aus fragwürdiger Quelle ohne Prüfung installiert oder Programme aus E-Mail-Anhängen startet, holt sich am schnellsten Schadsoftware auf den Rechner. Das gilt im Prinzip für Windows und Linux gleichermaßen. Allerdings verwenden Linux-Anwender für die Softwareinstallation überwiegend die Paketquellen der jeweiligen Distribution. Dass darüber Viren auf den Rechner gelangen, ist so gut wie ausgeschlossen. Dateien aus E-Mail-Anhängen sind unter Linux standardmäßig nicht startfähig. Nur wenn der Benutzer selbst eine Datei als "ausführbar" kennzeichnet, lässt sie sich starten. Auch PDF-Dateien oder Makros in Office-Dokumenten können Sicherheitslücken ausnutzen oder Schadsoftware mitbringen. Dagegen hilft nur, die Software stets aktuell zu halten und in den Sicherheitseinstellungen der Office-Software die Ausführung von Makros zu verbieten oder nur auf Nachfrage zu erlauben. Das ist jedoch die Standardeinstellung.
Das andere Szenario kommt ohne Mithilfe des Nutzers aus: Angriffe aus das Internet oder dem lokalen Netzwerk, etwa von einem infizierten Rechner aus, können Sicherheitslücken im Betriebssystem nutzen, um Schadsoftware zu verbreiten.
Reine Desktop- oder Büro-PCs sind davon in der Regel kaum betroffen, denn standardmäßig laufen dort keine Dienste, die von außen erreichbar sind (siehe Kasten "Schutz von Linux-Servern"). Daher gibt es auch keine Angriffsfläche. Das gilt für Linux wie Windows.
Sichere Netzwerkfreigaben unter Linux
Gewähren Sie nur die Zugriffsrechte, die wirklich erforderlich sind. Wenn Windows-Rechner keinen Schreibzugriff auf Netzwerkfreigaben besitzen, kann auch kein Schaden angerichtet werden. Wird der Linux-PC beispielsweise nur als Speicher für Backups genutzt, ist das problemlos möglich (siehe unten "Regelmäßige Backups erstellen"). Anders sieht es aus, wenn Freigaben zum Datenaustausch zwischen den Rechnern im lokalen Netzwerk dienen sollen. Dafür muss der Schreibzugriff möglich sein.
Wenn noch nicht geschehen, richten Sie auf Ihrem Linux-Rechner den Freigabedienst Samba in einem Terminal ein:
sudo apt install samba |
Bearbeiten Sie die Konfigurationsdatei mit einem Editor Ihrer Wahl:
sudo nano /etc/samba/smb.conf |
Ändern Sie die Bezeichnung hinter "workgroup=" auf die Arbeitsgruppe, die Sie in Ihrem Netzwerk verwenden. Der Standard ist "WORKGROUP". Eine schreibgeschützte und ohne Anmeldung (Gastzugang) erreichbare Freigabe erzeugen Sie mit diesen Zeilen:
[public] |
path=/public |
guest ok = yes |
Die Angabe hinter "path=" gibt den Pfad zu einem Ordner im Dateisystem an, den Sie als Speicherplatz im Netzwerk verwenden wollen. "guest ok = yes" ermöglicht den Zugriff für alle Windows- und Linux-Rechner ohne Benutzernamen und Passwort.
Die restriktivere Konfiguration für einen Ordner mit Schreibzugriff kann folgendermaßen aussehen:
[share] |
path=/share |
writeable = no |
write list = @staff |
inherit owner = yes |
force group = staff |
force directory mode = 770 |
create mask = 664 |
force create mode = 664 |
Hier erhalten nur Mitglieder der Gruppe "staff" den vollen Schreibzugriff. Neue und geänderte Dateien sowie Ordner versieht Samba mit passenden Zugriffsrechten. Damit das funktioniert, müssen einige Voraussetzungen erfüllt sein.
1. Benutzer müssen über ein Konto auf dem Linux-Rechner verfügen. Erstellen Sie neue Benutzer beispielsweise unter Ubuntu 20.04 in den "Einstellungen" unter "Benutzer".
2. Jeder Benutzer benötigt ein Samba-Passwort, das Sie mit
sudo smbpasswd -a [User] |
festlegen. Für den Platzhalter "[User]" setzen Sie den jeweiligen Benutzernamen ein.
3. Die Benutzer müssen in unserem Beispiel zur Gruppe "staff" gehören, die bei Ubuntu standardmäßig vorhanden ist. Fügen Sie Benutzer mit
sudo usermod -a -G staff [User] |
zur Gruppe hinzu. Sie können auch eine andere Gruppe verwenden oder mit "sudo groupadd" eine neue Gruppe erstellen.
4. Der freigegebene Ordner, in unserem Beispiel "/share", muss der gewählten Gruppe gehören. Legen Sie die Berechtigungen im Dateisystem mit
sudo chown -R root:staff /share |
fest.
Wenn Benutzernamen und Passwörter auf den Client-PCs mit denen auf dem Server übereinstimmen, erfolgt der Zugang ohne die Abfrage von Anmeldeinformationen. Sollte das aus Sicherheitsgründen unerwünscht sein, legen Sie andere Benutzernamen und/oder Passwörter fest. Linux und Windows fragen dann nach den Anmeldeinformationen. Wenn Sie diese nicht speichern, erfolgt nach einem Neustart des Systems keine automatische Anmeldung. Die Freigabe ist dann zumindest nicht permanent für Schadsoftware erreichbar.
Hinweise: Wenn es einen Benutzer mit dem gleichen Namen auf dem Linux-Server gibt, aber mit einem abweichenden Passwort, fragt Windows nach Benutzernamen und Passwort. Soll nur die Verbindung zur Gastfreigabe erfolgen, tippen Sie als Benutzernamen beispielsweise "gast" ein und lassen das Passwort leer. Für Samba spielt der Name des Gastbenutzers übrigens keine Rolle. Es werden alle unbekannten Benutzernamen als "bad user" behandelt und damit als Gäste. Wenn es den Benutzer auf dem Linux-Server nicht gibt, versucht Windows eine automatische Anmeldung als Benutzer "Gast" und Samba gewährt den Zugriff auf Gastfreigaben.
Unter Linux erscheint in jedem Fall ein Dialog, in dem Sie die Option "Anonym verbinden" (Gast) wählen oder "Registrierter Benutzer" und dann Benutzernamen und Passwort eintippen. Sollte im Ubuntu-Dateimanager der Zugriff auf Freigaben über "Andere Orte -› Windows Netzwerk" nicht klappen, drücken Sie Strg-L und tippen die Adresse der Samba-Freigabe in der folgenden Form
smb://[Server]/[Freigabe] |
direkt ein.
Virenscanner I: Sophos Antivirus
Sophos bietet eine kostenlose Antivirenlösung für Linux an. Technischen Support gibt es aber nur bei der Bezahlversion. Für den Download über https://m6u.de/sopho müssen Sie sich registrieren. Das Programm lässt sich ausschließlich über die Kommandozeile steuern, eine grafische Oberfläche gibt es nicht. Entpacken Sie die heruntergeladene Datei, öffnen Sie ein Terminal und wechseln Sie in das Verzeichnis der Software.
Dort starten Sie mit
sudo ./install.sh |
die Einrichtung. Folgen Sie den Anweisungen des Assistenten. Übernehmen Sie alle Vorgaben per Druck auf die Eingabetaste, außer bei der Frage "Do you wish to install the Free (f) or Supported (s) version of SAV for Linux?". Hier tippen Sie "f" ein und bestätigen mit Eingabetaste. Nach der Installation starten Sie
sudo /opt/sophos-av/bin/savupdate |
zum Update der Virensignaturen. Das müssen Sie später nicht manuell wiederholen, weil Sophos Antivirus automatisch alle 60 Minuten nach Updates sucht. Danach können Sie mit
sudo /opt/sophos-av/bin/savscan / |
das gesamte System auf Schadsoftware untersuchen. Standardmäßig ist die On-Access-Überprüfung aktiv. Sophos Anti-Virus prüft alle Dateioperationen, also jede Datei, die neu hinzukommt oder kopiert wird. Sollte Schadsoftware enthalten sein, wird die Datei blockiert, aber nicht gelöscht oder verschoben. Auch Windows-Nutzer, die eine infizierte Datei von einer Netzwerkfreigabe öffnen wollen, erhalten darauf keinen Zugriff. Mit
sudo /opt/sophos-av/bin/savlog |
lassen Sie sich die Protokolle ausgeben. Man sollte in regelmäßigen Abständen nach Schadsoftware suchen, betroffene Dateien verschieben, dann genauer untersuchen und gegebenenfalls löschen. Verwenden Sie die folgende Befehlszeile, wenn Sie nur den Ordner "/share" prüfen und infizierte Dateien nach "/infected" verschieben wollen:
sudo /opt/sophos-av/bin/savscan -nc -move=/infected /share |
Die Option "-nc" unterdrückt eventuelle Rückfragen. Informationen zu weiteren Optionen liefern
man savscan
sowie die Konfigurationsanleitung und die Startupanleitung für Linux.
Automatischer Scan: Laden Sie die Konfigurationsdatei des Crondienstes mit
sudo crontab -e |
und tragen Sie dort diesen Auftrag ein (Beispiel):
0 1 * * * /opt/sophos-av/bin/savscan -nc -move=/infected /share >> /var/log/savscan.log |
Dies würde den Virenscanner jede Nacht um 1:00 Uhr starten.
Virenscanner II: Eset Nod32 Antivirus
Von Eset gibt es einen Virenscanner für Linux, der auch eine grafische Oberfläche bietet. Über www.eset.com/de/home/antivirus-linux lässt sich eine kostenlose Version herunterladen, die Sie 30 Tage lang testen können. Für den Download ist eine Registrierung erforderlich. Die Vollversion kostet ab 29,95 Euro pro Jahr. Damit sich das Programm installieren lässt, müssen Sie unter Ubuntu oder Linux Mint ein zusätzliches Paket installieren:
sudo apt install libc6:i386 |
Danach verwenden Sie im Downloadverzeichnis diese beiden Befehle:
chmod 774 eset_nod32av_64bit_de.linux |
sudo ./eset_nod32av_64bit_de.linux |
Ein Assistent führt Sie durch die Installation. Zum Abschluss startet das Programm automatisch und aktualisiert selbständig die Virensignaturen. Über "Computer prüfen -› Standardprüfung" führen Sie einen ersten Virenscan auf allen lokalen Laufwerken durch.
Eset Nod32 Antivirus schützt den Rechner mit dem Echtzeit-Dateischutz. Neue Dateien werden automatisch geprüft, auch in den im Netzwerk freigegebenen Ordnern. Wird eine Bedrohung erkannt, versucht das Programm, die Datei zu säubern. Wenn das nicht gelingt, landet die Datei in Quarantäne. Klicken Sie links unten im Fenster auf "Erweiterten Modus aktivieren". Damit blenden Sie zusätzliche Optionen ein. Gehen Sie auf "Tools -› Log-Dateien". Hier sehen Sie Meldungen zu den erkannten Bedrohungen. Unter "Tools -› Quarantäne" finden Sie eine Liste mit Dateien, die in Quarantäne verschoben wurden. Sollten Sie Vireninfektionen als Irrtum verifizieren, lassen sich solche Dateien wiederherstellen. Mit
sudo /opt/eset/esets/sbin/esets_scan [Pfad] |
starten Sie einen Virenscan auf der Kommandozeile.
Das ist nützlich, wenn Sie per SSH mit dem Server verbunden sind und gezielt bestimmte Ordner untersuchen wollen. Wenn die Echtzeitprüfung aktiv ist, sollte das jedoch in der Regel nicht nötig sein.
Regelmäßige Backups erstellen
Backups auf Freigaben, für die standardmäßig der Schreibzugriff erlaubt ist, sind keine gute Idee. Backups sollten möglichst auf Laufwerken gespeichert werden, die nicht ständig mit dem Windows-PC verbunden. Die Gefahr, dass Backups unter die Kontrolle von Schadsoftware geraten, lässt sich nur reduzieren, wenn Dateien von Windows-Rechnern auf anderem Wege gesichert werden.
Ein empfehlenswertes Tool zum Sichern persönlicher Dateien ist Duplicati. Die Software läuft unter Windows, Linux und Mac-OS. Konfiguration und Bedienung erfolgen über eine Weboberfläche im Browser.
Als Backupziel unterstützt das Programm lokale Ordner und Laufwerke, aber auch Onlinespeicher wie Google Drive oder Dropbox. Zum Datenschutz lassen sich die Backups verschlüsseln.
Im lokalen Netzwerk mit einem Linux-Server empfiehlt sich die Sicherung mit Duplicati über SFTP (SSH). Unter Linux muss dazu das Paket "openssh-server" installiert sein und unter Windows Duplicati. Standardmäßig hat Windows über SSH keinen Zugriff auf den Linux-Server. Die Backups können somit auch nicht durch Schadsoftware kompromittiert werden.
Schutz von Linux-Servern Sobald auf einem Rechner Serverdienste laufen, steigt die Gefahr. Besonders betroffen sind Webserver oder Fernsteuerungssoftware. Von außen ist ein Server durch die Routerfirewall geschützt beziehungsweise gar nicht ansprechbar. Angriffe aus dem lokalen Netzwerk sind jedoch möglich. Ist der Dienst auch über das Internet erreichbar, steigt das Risiko nochmal deutlich. Dafür muss man jedoch selbst eine Portfreigabe im Router einrichten. In diesem Fall muss der Server sehr sicher konfiguriert sein – stets aktuelle Software, sichere Passwörter, Zwei-Faktor-Authentifizierung, Basis-Angriffsschutz mit fail2ban. Soll nur eine begrenzte Personenzahl auf den Server zugreifen, empfiehlt sich der Einsatz von VPN. Öffentlich erreichbare Server sollten ab und zu auf Rootkits untersucht werden. Ein Rootkit eröffnet dem Angreifer die Option, sich auf dem kompromittierten System anzumelden, Netzwerkverkehr zu überwachen oder Programme zu starten. Chkrootkit hilft beim Aufspüren von Rootkits. Es ist in den Paketquellen aller Distributionen zu finden und wird im Terminal mit root-Recht gestartet („sudo chkrootkit“), um das System zu untersuchen. Um sicher zu sein, dass das eigene System und damit das Programm chkrootkit nicht seinerseits kompromittiert ist, ist es ratsam, chkrootkit von einem unabhängigen Livesystem zu verwenden. Möglicherweise hat der Angreifer sein Rootkit gegenüber der Software getarnt, deswegen kann es nicht schaden, eine zweite Meinung etwa mit dem Programm rkhunter einzuholen. Auch dieses Tool ist in allen Distributionen über die Paketquellen beziehbar. |
(PC-Welt)