Mit einigen wenigen Tricks können Admins die Sicherheit ihrer Linux-Computer verbessern. Neben dem Einsatz von SELinux empfiehlt sich eine Kombinationen aus Bordmitteln, Kernel-Härtung und praktischen Tools.
Im Fokus dieses Artikels steht die Verbesserung der Systemsicherheit von Linux und die Optimierung von dessen Security-Funktionen.
(Bild: Antonio - stock.adobe.com)
Um Linux-Systeme effektiv abzusichern, empfiehlt sich die Kombination aus Bordmitteln und bewährten Zusatztools. Nachfolgend stellen wir spezifische Maßnahmen vor, die relevant für die Herausforderungen in 2024 sind.
Einsatz von Security-Enhanced Linux (SELinux)
Generell spielt SELinux auch in 2024 eine wesentliche Rolle, um das Betriebssystem so gut wie nur möglich vor Angreifern zu schützen. SELinux bietet eine zusätzliche Sicherheitsebene durch die Implementierung einer Mandatory Access Control (MAC) über die Standard Unix/Linux Discretionary Access Controls (DAC) hinaus. Durch die Konfiguration von SELinux-Policies lässt sich der Zugriff von Prozessen auf Dateien, Netzwerkports und andere Ressourcen feingranular steuern. Wichtig ist dabei:
Regelmäßiges Überprüfen der SELinux-Logs zur Identifizierung und Anpassung unerwünschter Policy-Verletzungen.
Einsatz von Tools wie semanage, setroubleshoot und audit2allow zur Verwaltung und Fehlerbehebung.
Bildergalerie
Absicherung mit Firewalld und nftables
Um Linux-Rechner richtig abzusichern ist der Weg über IPTables der am meisten verbreitete. Es gibt aber auch den Nachfolger Nftables. Um Firewalls auf Basis von IPTables oder Nftables zu verwalten, steht zum Beispiel das Tool firewalld zur Verfügung. Dieses Tool kann in zahlreichen Linux-Distributionen einheitlich für Sicherheit sorgen und dabei helfen IPTables und Nftables einfacher zu verwalten.
Die Kombination von firewalld und nftables bietet eine robuste Firewall-Lösung für Linux-Systeme. nftables ersetzt ältere Systeme wie iptables und bietet eine effizientere und benutzerfreundlichere Syntax für die Definition von Regeln. Ebenfalls wichtig dabei sind:
Organisation des Netzwerkverkehrs in Zonen und Zuweisung spezifischer Regeln, um den Schutz zu optimieren.
Für komplexe Szenarien direkt nftables verwenden, um präzise Kontrolle über den Datenverkehr zu erhalten.
Einsatz von Advanced Intrusion Detection System (AIDE)
AIDE ist ein Host-basiertes Intrusion Detection System (IDS), das Änderungen am System überwacht und dokumentiert. Es ist besonders nützlich, um unautorisierte Änderungen an Dateien, Verzeichnissen und Systemkonfigurationen zu erkennen. Das Tool erstellt eine Basislinie von Dateisystem-Daten, einschließlich Hashwerten und Berechtigungen, und vergleicht anschließend regelmäßig den aktuellen Zustand gegen diese Basislinie, um Abweichungen zu identifizieren.
Nach jedem gesicherten Update oder bewussten Änderung am System, sollte die AIDE-Basislinie aktualisiert werden, um Falschmeldungen zu vermeiden. Dies erfordert ein diszipliniertes Vorgehen bei der Pflege der Basislinie, um die Genauigkeit der Erkennung zu gewährleisten. Die Implementierung automatisierter AIDE-Scans, vorzugsweise außerhalb der Geschäftszeiten, minimiert die Performance-Auswirkungen auf das System. Zudem sollten Berichte automatisch generiert und an das Sicherheitsteam versendet werden, um eine schnelle Reaktion auf entdeckte Anomalien zu ermöglichen.
AIDE sollte nicht isoliert betrachtet werden. Eine Integration in bestehende Sicherheitsinfrastrukturen, wie SIEM-Systeme, ermöglicht eine umfassende Sicht auf Sicherheitsvorfälle und erleichtert die Korrelation von Ereignissen über verschiedene Systeme hinweg. Neben der Überwachung von Dateiintegrität ermöglicht AIDE auch die Definition spezifischer Regeln für das Monitoring von Zugriffsrechten, Inode-Attributen und mehr. Diese erweiterten Konfigurationen bieten tiefere Einblicke und verbessern die Erkennungsfähigkeiten von AIDE.
Durch die strategische Anwendung und Konfiguration von AIDE können Administratoren und Sicherheitsexperten ein hohes Maß an Überwachung und Reaktionsfähigkeit auf potenzielle Bedrohungen erreichen, was die Sicherheitspostur von Linux-Systemen erheblich stärkt.
Bildergalerie
Sicherung durch Kernel-Härtung
Die Härtung des Linux-Kernels reduziert die Angriffsfläche des Systems. Techniken und Tools wie grsecurity und PaX bieten Möglichkeiten zur Kernel-Härtung, sind jedoch teilweise in ihren Distributionen spezifisch. Wichtige Maßnahmen umfassen:
Anwendung von Kernel-Sicherheitspatches: Regelmäßiges Anwenden von Sicherheitsupdates und -patches für den Kernel.
Verwendung von Kernel-Härtungspatches: Einsatz von zusätzlichen Sicherheitspatches, die über die Standard-Distribution hinausgehen, um Schwachstellen zu minimieren.
Einsatz von Systemd-Sicherheitsfeatures
Systemd, das init-System und System- und Service-Manager für Linux, bietet verschiedene Mechanismen zur Verbesserung der Systemsicherheit:
Sandboxing von Diensten: Nutzung von systemd-Unit-File-Optionen, um den Zugriff von Diensten auf das Dateisystem, Netzwerk und andere Ressourcen einzuschränken.
PrivateTmp: Isolierung temporärer Dateien von Diensten, um die Auswirkungen von Sicherheitslücken zu minimieren.
Einsatz von Linux Security Modules (LSM): SELinux und AppArmor
Linux Security Modules (LSM) bieten einen flexiblen Rahmen für die Unterstützung verschiedener Sicherheitsmodelle. SELinux und AppArmor sind die prominentesten Beispiele, die bereits angesprochen wurden. Eine weiterführende Maßnahme ist die Feinabstimmung dieser Sicherheitsmodule. Neben dem erzwingenden Modus (Enforcing) und dem permissiven Modus (Permissive) kann der Modus "Disabled" vermieden werden, um Sicherheitsrichtlinien durchzusetzen. Mit iptables lässt sich Rate Limiting nutzen. Das kann bei Servern, die über das Internet erreicht werden können dabei helfen, DDoS-Angriffe zu mildern. Durch die Konfiguration von Rate-Limit-Regeln lässt sich die Anzahl der Verbindungen oder Pakete begrenzen, die von einer Quelle in einem bestimmten Zeitraum akzeptiert werden:
Diese Regel begrenzt neue Anfragen auf Port 80 auf 25 pro Minute nach einem initialen Burst von 100 Anfragen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Einsatz von Linux-Kernel-Sicherheitsfeatures: Kernel Self Protection Project (KSPP)
Das Kernel Self Protection Project zielt darauf ab, den Linux-Kernel durch verschiedene Schutzmechanismen zu härten. Dazu gehören Techniken wie:
Strikte Kernel-Pointer-Validierung: Umsetzung von Compiler-basierten Sicherheitschecks, die sicherstellen, dass nur gültige Pointer dereferenziert werden.
Schutz vor Stack-Überläufen: Einsatz von Stack Canaries und anderen Mechanismen zur Erkennung und Verhinderung von Stack-Overflow-Angriffen.
Sicherung von Netzwerkdiensten durch Chroot-Umgebungen und Container
Die Isolierung von Netzwerkdiensten in Chroot-Umgebungen oder Containern wie Docker oder Podman kann die Sicherheit signifikant erhöhen:
Chroot für Dienste: Anwendung des Chroot-Befehls, um den Root-Verzeichnisbaum für kritische Dienste zu ändern und so das Risiko einer Systemkompromittierung zu verringern.
Containerisierung: Einsatz von Containertechnologien zur Isolation von Anwendungen und Diensten, was die Angriffsfläche reduziert und die Verwaltung von Sicherheitspatches vereinfacht.
Bildergalerie
Verwendung von Security Information and Event Management (SIEM)-Systemen
SIEM-Systeme ermöglichen eine zentrale Sammlung, Analyse und Korrelation von Sicherheitslogs aus verschiedenen Quellen innerhalb der IT-Infrastruktur. Dies unterstützt die frühzeitige Erkennung von Sicherheitsvorfällen und Bedrohungen:
Integration von Log-Daten: Konfiguration der Log-Übertragung von Linux-Servern zu einem SIEM-System, um eine umfassende Sicht auf sicherheitsrelevante Ereignisse zu erhalten.
Regelbasierte Analyse: Entwicklung und Implementierung von Analyse-Regeln, die auf spezifische Anzeichen von Kompromittierungen oder Angriffen innerhalb der gesammelten Daten hinweisen.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/30/27/3027664b0fb0bc9c398378e320ef390b/0128993714v2.jpeg "Cyberkriminelle sind aktiver denn je. Diese deutschen Unternehmen sind ihnen 2026 bereits zum Opfer gefallen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/48/e348498d4582bb6d2bd6993b70462a5b/0129264709v2.jpeg "Bei der Microsoft-365-Security gibt es viele blinde Flecken, auf die IT-Verantwortlichen in Unternehmen achten müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/46/86/4686355223b7afc15b0ec2dcc54a5e58/0128882706v1.jpeg "Die Risiken der digitalen Erpressbarkeit: Genügt ein Klick, um Europa ins digitale Dunkel zu führen? (Bild: frei lizenziert Pete Linforth)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d4/df/d4dfa5d473ecbb140447fb4755cab804/0129131184v2.jpeg "Bundesinnenminister Alexander Dobrindt (CSU) will härter gegen hybride Angriffe durch staatliche Geheimdienste vorgehen. (Bild: @ BMI / Henning Schacht)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/117800/117805/65.png "VIT_Logo_RGB_Full.png ()")
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/ca/02/ca022417d4b0e6558e3f0d0365c1a848/0117774245.jpeg "Audit2allow in Linux nutzen für mehr Sicherheit.(Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/26/b6/26b69ffb23508b4b8320d08760a17643/0117774244.jpeg "Semanage in Ubuntu nutzen.(Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/d0/10/d0107999b86f4d8702de2dded689ace4/0117774247.jpeg "GRSecurity kann beim Patchen des Kernels für mehr Sicherheit sorgen.(Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/f5/44/f5440240fa693dbd12b8cef0e6beadad/0117774246.jpeg "Systemd in Linux.(Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/37/96/3796a4a4cd7d261e94bee1db9b540a23/0116834731.jpeg "Wir zeigen 10 wichtige Tipps, wie man die Sicherheit von Linux-Systemen verbessern kann. (Bild: PAOLO - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/5d/0f5d83099df51d9ea4de4c3594f896bc/0112207715.jpeg "Wir stellen die besten acht Vulnerability-Scanner für Linux vor. (Bild: deagreez - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/30/36/3036cc4341d97f6199ebf92562a18782/0127561631v2.jpeg "Mit Tools wie Clair, Syft, Grype und Docker Bench for Security lassen sich Container-Images, Abhängigkeiten und Hostsysteme durchgängig auf Schwachstellen prüfen. (Bild: © Sergey Novikov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/70/9f/709f81580da0dc95806dbd87f52fe933/0125062304v1.jpeg "Mit Zmanda schützen Unternehmen ihre Daten und physischen, virtuellen und Cloud-Infrastrukturen. (Bild: Midjourney / KI-generiert)")