Virensicher im eigenen Netzwerk
Linux ist kaum von Viren, Würmern und Trojanern betroffen. Deshalb kann ein Linux-pc im Heimnetz dazu beitragen, auch den Schutz von beteiligten Windowsrechnern zu verbessern.
Jeden Tag entdecken die Virenlabore mehrere hunderttausend neue Viren und andere Schadsoftware. Diese werden meistens automatisch generiert und stets leicht verändert, damit Antivirensoftware sie nicht so leicht aufspüren kann. Ziel sind vor allem Windows-rechner. Die sind zwar aus technischer Perspektive prinzipiell nicht viel unsicherer als Linux, aber das Nutzerverhalten ist dort ein anderes. Windows ist vor allem deshalb für Angreifer lohnender, weil das System weitverbreitet ist. Wer in einem gemischten Netzwerk arbeitet, also mit Linux
und Windows-rechnern, kann jedoch für etwas Entspannung sorgen: Dateifreigaben für Windows lassen sich unter Linux mit einem eigenen Virenscanner überwachen. Das sorgt für mehr Sicherheit, wenn die Schutzsoftware unter Windows wegen einer Infektion ausfallen sollte.
Eine andere Bedrohung, die auch Netzwerkfreigaben betrifft, sind VerschlüsselungsTrojaner. Vor dem Verlust von wichtigen Dateien kann aber ein regelmäßiges Backup auf einen Linux-pc schützen.
Drohende Gefahren für Ihre Rechner im Netzwerk
Es gibt im Wesentlichen nur zwei Angriffsszenarien auf Computer. Die größte Bedrohung geht vom Benutzer aus, der vor dem Bildschirm sitzt. Denn wer Software aus fragwürdiger Quelle ohne Prüfung installiert oder Programme aus E-mail-anhängen startet, holt sich am schnellsten Schadsoftware auf den Rechner. Das gilt im Prinzip für Windows und Linux gleichermaßen. Allerdings verwenden Linux-anwender für die Softwareinstallation überwiegend die Paketquellen der jeweiligen Distribution. Dass darüber Viren auf den Rechner gelangen, ist so gut wie ausgeschlossen. Dateien aus E-mail-anhängen sind außerdem unter Linux standardmäßig nicht startfähig. Nur wenn der Anwender selbst eine Datei als „ausführbar“kennzeichnet, lässt sich diese starten. Pdf-dateien oder Makros in OfficeDokumenten können ebenfalls Sicherheitslücken ausnutzen oder Schadsoftware mitbringen. Dagegen hilft nur eines: die Software immer aktuell zu halten und in den Sicherheitseinstellungen der Office-software die Ausführung von Makros zu verbieten oder nur auf Nachfrage zu erlauben. Das ist jedoch die Standardeinstellung. Das andere Angriffsszenario kommt ohne Mithilfe des Nutzers aus: Attacken aus dem Internet oder dem lokalen Netzwerk, etwa von einem infizierten Rechner aus, können Sicherheitslücken im Betriebssystem ausnutzen, um Schadsoftware zu verbreiten. Reine Desktop- oder Büro-pcs sind davon in der Regel kaum betroffen, denn stan
„Im gemischten Netzwerk kann ein Linux-pc für zusätzlichen Schutz bei Windows-rechnern sorgen.“
dardmäßig laufen dort keine Dienste, die von außen erreichbar sind (siehe Kasten „Schutz von Linux-servern“). Daher gibt es auch keine Angriffsfläche. Das gilt für Rechner mit Linux wie Windows gleichermaßen.
Sichere Netzwerkfreigaben unter Linux einrichten
Gewähren Sie anderen Computern nur die Zugriffsrechte, die tatsächlich erforderlich sind. Besitzen Windows-rechner keinen Schreibzugriff auf Netzwerkfreigaben, so kann auch kein Schaden angerichtet werden. Wird der Linux-pc beispielsweise ausschließlich als Speicher für Backups verwendet, ist dies ohne Probleme möglich. Anders sieht es dagegen aus, wenn Freigaben zum Datentausch zwischen den Rechnern im lokalen Netzwerk dienen sollen. Zu diesem Zweck muss der Schreibzugriff natürlich möglich sein.
Wenn noch nicht geschehen, richten Sie auf Ihrem Linux-rechner den Freigabedienst Samba in einem Terminal ein: sudo apt install samba
Bearbeiten Sie die Konfigurationsdatei mit einem Editor Ihrer Wahl: sudo nano /etc/samba/smb.conf Ändern Sie die Bezeichnung hinter „work group=“auf die Arbeitsgruppe, die Sie in Ihrem Netzwerk verwenden. Der Standard ist „WORKGROUP“. Eine schreibgeschützte sowie ohne Anmeldung (Gastzugang) erreichbare Freigabe erzeugen Sie mit den folgenden Zeilen:
[public] path=/public guest ok = yes
Die Angabe hinter „path=“gibt den Pfad zu einem Ordner im Dateisystem an, den Sie als Speicherplatz im Netzwerk verwenden wollen. „guest ok = yes“ermöglicht den Zugriff für alle Windows- und Linux-rechner ohne Benutzernamen und Passwort.
Die restriktivere Konfiguration für einen Ordner mit Schreibzugriff kann folgendermaßen aussehen:
Sichere Software: Linuxnutzer laden neue Programme nicht irgendwo aus dem Internet, sondern in der Regel über gut geschützte Paketquellen, die frei von Schadsoftware sind. der Gruppe „staff“den vollen Schreibzugriff. Neue und geänderte Dateien sowie Ordner versieht Samba dann automatisch mit den passenden Zugriffsrechten. Damit dies problemlos vonstattengeht, müssen aber zunächst einmal einige Voraussetzungen bei den Benutzerrechten erfüllt sein. 1. Benutzer müssen über ein Konto auf
dem Linux-rechner verfügen. Einen neuen Benutzer erstellen Sie etwa unter Ubuntu 20.04 in „Einstellungen -> Benutzer“.
2. Jeder Benutzer benötigt ein Samba-passwort, das Sie mit sudo smbpasswd -a [User] festlegen. Für den Platzhalter „[User]“setzen Sie den jeweiligen Benutzernamen ein. 3. Die Benutzer müssen in unserem Beispiel zur Gruppe „staff“gehören, die bei Ubuntu standardmäßig vorhanden ist. Fügen Sie Benutzer mit sudo usermod -a -G staff [User] zur Gruppe hinzu. Sie können auch eine andere Gruppe verwenden oder mit „sudo groupadd“eine neue Gruppe erstellen.
4. Der freigegebene Ordner – in unserem Beispiel „/share“– muss der gewählten Gruppe angehören. Legen Sie die Berechtigungen im Dateisystem fest mit sudo chown -R root:staff /share
Wenn Benutzernamen und Passwörter auf den Client-pcs mit denen auf dem Server übereinstimmen, erfolgt der Zugang ohne die Abfrage von Anmeldeinformationen. Sollte dies aus Sicherheitsgründen unerwünscht sein, legen Sie andere Benutzernamen
Beim Server anmelden: Beim Zugriff auf einen Server über den Dateimanager haben Sie die Wahl zwischen einer anonymen Verbindung als Gast oder mit Benutzernamen und Passwort.
und/oder Passwörter fest. Linux und Windows fragen dann nach den Anmeldeinformationen. Wenn Sie diese nicht speichern, erfolgt nach einem Neustart des Systems keine automatische Anmeldung. Die Freigabe ist so zumindest nicht permanent für Schadsoftware erreichbar. Hinweise: Für den Fall, dass es einen Benutzer mit dem gleichen Namen auf dem Linux-server gibt, jedoch mit einem abweichenden Passwort, fragt Windows Sie nach Benutzernamen und Passwort. Soll nur die Verbindung zur Gastfreigabe erfolgen, tippen Sie als Benutzernamen beispielsweise gast ein und lassen das Passwort leer. Für Samba spielt der Name des Gastbenutzers keine Rolle. Es werden alle unbekannten Benutzernamen als „bad user“behandelt und damit als Gäste. Wenn es den Benutzer auf dem Linux-server nicht gibt, versucht Windows eine automatische Anmeldung als Benutzer „Gast“und Samba gewährt den Zugriff auf Gastfreigaben.
Unter Linux erscheint in jedem Fall ein Dialog, in dem Sie die Option „Anonym verbinden“(Gast) wählen oder „Registrierter Benutzer“und anschließend Benutzernamen
und Passwort eintippen. Sollte im Ubuntu-dateimanager der Zugriff auf Freigaben über „Andere Orte –› Windows Netzwerk“nicht klappen, drücken Sie Strg-l und tippen die Adresse der Samba-freigabe in der folgenden Form ein smb://[server]/[freigabe]
Virenscanner für Linux: Sophos Antivirus
Sophos bietet eine kostenlose Antivirenlösung für Linux an. Technischen Support gibt es allerdings nur bei der Bezahlversion. Für den Download über https://m6u.de/sopho müssen Sie sich zunächst registrieren. Das Programm lässt sich ausschließlich über die Kommandozeile steuern, eine grafische Oberfläche gibt es nicht. Entpacken Sie die heruntergeladene Datei, öffnen Sie ein Terminal und wechseln Sie in das Verzeichnis der Software. Dort starten Sie mit sudo ./install.sh die Einrichtung. Folgen Sie den Anweisungen des Assistenten. Übernehmen Sie alle Vorgaben per Druck auf die Eingabetaste, außer bei der Frage „Do you wish to install the Free (f) or Supported (s) version of SAV for Linux?“. Hier tippen Sie nun f ein und bestätigen mit der Eingabetaste. Nach der Installation starten Sie sudo /opt/sophos-av/bin/savupdate zum Update der Virensignaturen. Das brauchen Sie später nicht manuell zu wiederholen, weil Sophos Antivirus automatisch alle 60 Minuten nach Updates sucht. Daraufhin können Sie mit sudo /opt/sophos-av/bin/savscan / das gesamte System auf Schadsoftware untersuchen. Standardmäßig ist die On-access-überprüfung aktiv. Sophos Antivirus prüft alle Dateioperationen, also jede Datei, die neu hinzukommt oder kopiert wird. Sollte Schadsoftware enthalten sein, wird die Datei blockiert, aber nicht gelöscht oder verschoben. Auch Windows-anwender, die eine infizierte Datei von einer Netzwerkfreigabe öffnen möchten, erhalten darauf keinen Zugriff. Mit sudo /opt/sophos-av/bin/savlog lassen Sie sich die Protokolle ausgeben. Es ist empfehlenswert, in regelmäßigen Abständen nach Schadsoftware zu suchen, betroffene Dateien zu verschieben, diese danach genauer zu untersuchen und gegebenenfalls zu löschen. Verwenden Sie bitte die nachfolgende Befehlszeile, wenn Sie lediglich den Ordner „/share“überprüfen
möchten sowie etwaige infizierte Dateien nach „/infected“verschieben wollen: sudo /opt/sophos-av/bin/savscan
-nc -move=/infected /share
Die Option „-nc“unterdrückt eventuelle Rückfragen. Informationen zu weiteren Optionen liefern Ihnen man savscan sowie die Konfigurationsanleitung (https:// m6u.de/cgeng) und die Startup-anleitung (https://m6u.de/sgeng) für Linux. Automatischer Scan: Laden Sie die Konfigurationsdatei des Cron-dienstes mit sudo crontab -e und tragen Sie als Nächstes dort diesen Auftrag ein (Beispiel):
0 1 * * * /opt/sophos-av/bin/savscan -nc -move=/infected /share >> / var/log/savscan.log
Eset Nod32 Antivirus: Dieser Virenscanner bietet eine grafische Oberfläche, die Sie aber nur selten bemühen müssen. Die Echtzeitprüfung beseitigt Schadsoftware automatisch. Sie zusätzliche Optionen ein. Gehen Sie auf „Tools –› Log-dateien“. Hier sehen Sie Meldungen zu den erkannten Bedrohungen. Unter „Tools –› Quarantäne“finden Sie eine Liste mit Dateien, die in Quarantäne verschoben wurden. Sollten Sie Vireninfektionen als Irrtum verifizieren, lassen sich solche Dateien wiederherstellen. Mit sudo /opt/eset/esets/sbin/esets_
scan [Pfad] keine gute Idee. Backups sollten auf Laufwerken gespeichert werden, die nicht ständig mit dem Windows-pc verbunden sind. Die Gefahr, dass Backups unter die Kontrolle von Schadsoftware geraten, lässt sich nur reduzieren, indem Sie Dateien von Windows-rechnern auf anderem Wege sichern. Ein empfehlenswertes Tool für das Sichern von persönlichen Dateien ist Duplicati (www. duplicati.com). Die Software läuft unter Windows, Linux und MAC-OS. Konfiguration und Bedienung erfolgen über eine Weboberfläche im Browser.
Als Backup-ziel unterstützt das Programm lokale Ordner und Laufwerke, jedoch auch Onlinespeicher wie Google Drive oder Dropbox. Zum Datenschutz lassen sich die Backups verschlüsseln.
Im lokalen Netzwerk mit einem Linux-server empfiehlt sich die Sicherung mit Duplicati über SFTP (SSH). Unter Linux muss dazu das Paket „openssh-server“installiert sein und unter Windows Duplicati. Standardmäßig hat Windows über SSH keinen Zugriff auf den Linux-server. Die Backups können somit auch nicht durch Schadsoftware kompromittiert werden.