Bundesamt für Sicherheit in der Informationstechnik

M 5.72 Deaktivieren nicht benötigter Netzdienste

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Um auf einem Unix-System alle nicht benötigten Netz-Dienste zu deaktivieren, ist folgendermaßen vorzugehen:

Für den Start von Netzdiensten gibt es unter Unix zwei Möglichkeiten: über den Serverdienst inetd, der in der Datei /etc/inetd.conf konfiguriert wird, und über die Startup-Dateien, die sich in /etc/rc.d/init.d bzw. /etc/init.d befinden. Zum Abschalten nicht benötigter Dienste in der Datei /etc/inetd.conf muss die jeweilige Zeile mit # auskommentiert werden. Bei einer Standardinstallation sind in der Regel mehr Dienste konfiguriert als nötig sind. Darunter befinden sich immer wieder Dienste, die eine Gefährdung darstellen können. Daher sollten so wenig Dienste wie möglich freigeschaltet werden, also nur die Dienste, die auf dem jeweiligen System unabdingbar benötigt werden (siehe auch M 4.95 Minimales Betriebssystem und M 4.97 Ein Dienst pro Server ).

Die Dienste, die durch die Startup-Dateien initiiert werden, werden über Links aus den Unterverzeichnissen /etc/rcX.d oder /etc/rc.d/rcX.d referenziert, wobei X für das jeweilige Unix-Runlevel steht, in dem die Startup-Datei aufgerufen wird. Zum Deaktivieren der nicht benötigten Dienste können die nicht benötigten Dienste in ein Unterverzeichnis verschoben werden, damit man sie bei Bedarf wieder aktivieren kann. Dies kann z. B. wie folgt aussehen:

cd rc3.d; mkdir .s; mv S85sendmail .s/

Die aktuell aktiven Dienste können mit dem Befehl netstat -a identifiziert werden.

Prüffragen:

  • Sind nur die Netzdienste freigeschaltet, die auf dem System unabdingbar benötigt werden?

Stand: 13. EL Stand 2013