Das Linux-Magazin hat exklusiv den Release-Kandidaten 2 von United Linux unter die Lupe genommen. Installation, Ausstattung und Sicherheit waren bei den Testern besonders gefragt.
Kurz vor Redaktionsschluss erreichte uns der Release-Kandidat 2 von United Linux 1.0. Wie aktuell die enthaltenen Pakete im Vergleich zu Red Hat 8.0 sind, zeigt das Versionsprofil in Tabelle 1. Bei SuSE Linux 8.1 und United Linux sind die Versionen identisch, auch beim Installieren fallen kaum Unterschiede auf. Es war zwar keine Update-Funktion von SuSE auf United Linux zu finden, sonst ist das Frontend aber identisch. An der Bedienung hat sich nichts geändert.
Die Software-Auswahl bietet »Minimalsystem«, »Minimales grafisches System (ohne KDE)« und »Standardsystem für United Linux«. In der erweiterten Auswahl lassen sich einzelne Gruppen wie Gnome, Compiler, Analysewerkzeuge und verschiedene Dienste installieren. Bei Bedarf kann man auch einzelne RPM-Pakete auswählen.
Die Vorgabe »Standardsystem für United Linux« umfasst einen Großteil der verfügbaren Pakete, es enthält alle Gruppen mit zwei Ausnahmen: Compiler und Yast-2-Konfigurationsmodule. Die Compilergruppe enthält die üblichen Pakete wie »bin86«, »gcc«, »autoconf« und »cvs« sowie den Emacs. In der Yast-2-Modulgruppe finden sich Online-Update, LDAP, Security und vieles mehr.
Beim Einrichten von XFree86 patzten Yast 2 und Sax 2 auf der HP-Workstation X2100, die schon im Grafikkartentest in Ausgabe 11/02 eingesetzt wurde. Für die Grafikkarte nVidia Quadro-4 900 XGL und das digital angesteuerte TFT-Display HP L1820 konnte United Linux keine brauchbare X11-Konfiguration finden, Sax 2 startete nicht mal das grafische Setup. Unter Red Hat 7.3 bereitete diese Kombination keine Probleme.
Bei der abschließenden Konfiguration des Serversystems, eines Athlon MP (1,7 GHz) mit Asus-Mainboard A7M266D und einer Intel Ether Express Pro 100, kam es zu einer kuriosen Verdoppelung: Die Netzwerkkarte wurde automatisch konfiguriert, tauchte dann aber zusätzlich als nicht konfigurierte Karte auf, die sich ebenfalls noch einrichten ließ (Abbildung 1). Wirksam wurden die Einstellungen des ersten Eintrags.
Ansonsten verlief die Konfiguration am Ende der Installation genau wie bei SuSE Linux 8.1, nur die Unterstützung für TV-Karten fehlt und das Yast-2-Kontrollzentrum lässt sich nicht direkt aufrufen.
Abbildung 1: Wundersame Vermehrung: Aus der einen im Serversystem vorhandenen Netzwerkkarte machte Yast 2 gleich zwei. Wirksam wurden jedoch nur die Einstellungen des oberen Eintrags.
Erstes Login
Beim ersten grafischen Login unter KDE 3.0.3 stellten wir fest, dass die bei der Installation gewählte Sprache (Deutsch) offenbar keine Auswirkung auf die KDE-Spracheinstellung der Benutzer hat. Es erwartete uns ein englischer Desktop, die Landessprache war auf »C« gestellt. Das gleiche Problem trat bei neu angelegten Benutzern auf, für den ersten Start und die Anpassung der Spracheinstellung sollten diese also ausreichende Englischkenntnisse haben.
Programme zum Einrichten von Diensten oder Verändern der Systemkonfiguration fanden wir nicht in den Menüs. Yast 2 ist weder im KDE-Kontrollzentrum noch in der K-Leiste integriert. Das komplette KDE scheint ein unverändertes Original zu sein, inklusive der Icons.
Karges Yast 2
Der Aufruf von Yast 2 muss daher manuell erfolgen. Sein GUI präsentiert sich in einer wilden Mischung aus Englisch und Deutsch (Abbildung 2). Auch seine einst bunte Oberfläche ist einer nüchternen und dem Text-Frontend ähnlichen Bedienung gewichen. Einen eigenartigen Effekt erlebten wir im Modul »Install/Remove Software«: Ab dem zweiten Aufruf aus dem Yast-2-Kontrollzentrum zeigt es nur noch die installierten Pakete. Beenden und Neustarten des Kontrollzentrums löste dieses Problem.
Yast 2 enthält in der Standardinstallation nur sehr wenige Module, erst nach Installation der Paketgruppe »Yast-2-Konfigurationsmodule« und einem Neustart sieht das Tool wie gewohnt aus. Es hat nun einen vergleichbaren Leistungsumfang wie in der SuSE Linux Professional, inklusive Yast Online Update.
Abbildung 2: Schon ziemlich rustikal und mit sprachlichem Mischmasch präsentiert sich Yast 2 unter United Linux.
United mit SuSE aufbohren
United Linux ist darauf ausgelegt, die Distribution schlank zu halten. Zusatzpakete sollen erst die darauf aufbauenden Produkte enthalten. Entsprechend dünn fällt das Angebot an Entwicklungstools in United Linux aus. Es sind zwar die wichtigsten Sprachen und Basistools vorhanden, eine IDE sucht man aber vergebens – außer man betrachtet Emacs als IDE. Office-Tools sind nicht vorhanden, einzig Antiword hat sich hierhin verirrt.
Eine interessante Möglichkeit ist, die CDs von SuSE Linux 8.1 unter United Linux als weitere Installationsquelle einzubinden (Abbildung 3). Danach bietet Yast alle Pakete aus beiden Distributionen an. Durch die große Ähnlichkeit sind kaum Probleme mit falschen oder veralteten Bibliotheken zu erwarten, wir konnten Imagemagick und Cdrecord von SuSE 8.1 problemlos nachinstallieren und benutzen. Durch diese Aktion könnten allerdings etwaige Zertifizierungen der United Linux 1.0 hinfällig werden.
Abbildung 3: Versionen-Mixtur: United Linux 1.0 und SuSE Linux 8.1 sind einander ähnlich genug, so dass fehlende Pakete von den CDs der SuSE 8.1 problemlos nachinstalliert werden können.
Offen und sicher
Gegenüber anderen Plattformen zeigt sich United Linux sehr aufgeschlossen: Samba 2.2.5 für die Anbindung von Windows-Clients und -Servern, Netatalk 1.5.3.1 für Apple-Rechner und Mars NWE 0.99pl20 für die Novell-Gemeinde. Zur Authentifizierung sind viele Dienste einsetzbar, zum Beispiel NIS, Radius, Samba, LDAP oder Kerberos. Als Mailer wird Postfix installiert, Sendmail aber ebenfalls mitgeliefert.
Dass Sicherheitsfragen bei United Linux eine wichtige Rolle spielen, zeigt sich unter anderem auch in der Paketauswahl: Die Entwickler des FTP-Servers Vsftpd 1.1.0 (Very secure FTP daemon) haben sich in ihrem Code besonders um die Sicherheit bemüht.
In der Apache-Version, die United Linux mitbringt (1.3.26), sind inzwischen drei Sicherheitsprobleme bekannt geworden. Der Shared-Memory-Bug wurde laut RPM-Changelog allerdings behoben, das Cross-Site-Scripting-Problem tritt wegen der Konfiguration »UseCanonicalName On« nicht auf. Unklar ist, ob der Buffer Overflow im Apache-Bench-Werkzeug noch vorhanden ist. Er wirkt sich allerdings nur aus, wenn das Benchmark-Tool einen nicht vertrauenswürdigen Server analysiert.
Konsequent umgesetzt ist das Sicherheitsziel, in der Standardinstallation möglichst wenig Daemons zu starten. Die Prozessliste ist übersichtlich, nicht einmal Inetd ist aktiv. Eigenartig ist nur, dass der Portmapper läuft, obwohl weder NFS noch andere RPC-Dienste aktiviert sind. Die Ausgabe von »rpcinfo -p Host« bestätigt dies. Neben SSH ist nur noch der XDM-Server von außen zugänglich, »X -query Host« zeigt den Login-Bildschirm. Root darf sich auf diesem Weg zu Recht nicht einloggen.
Die CDs enthalten eine Reihe Security-Tools, die per Default installiert werden. Wer einen Server in einem Chroot-Käfig starten, ihm eine bestimmte User- und Group-ID geben und gleichzeitig die Linux-Capabilities einschränken will, wird sich über das Compartment-Tool freuen. Es fasst genau diese Schritte zusammen. Wir konnten jedoch kein Startskript finden, das Compartments benutzt.
Sturm auf die Bastille
Bastille Linux analysiert und konfiguriert Sicherheitseinstellungen von Unix- und Linux-Systemen. Es wird per Default installiert (Version 1.3.0), ließ sich im Test aber nicht starten. Nach dem Aufruf von »InteractiveBastille« sollte das Tk-GUI erscheinen. Stattdessen teilte uns Bastille mit, dass es die Distribution nicht kennt, und brach mit einem internen Fehler ab. Der Versuch, die Curses-Version zu starten, war ebenso wenig erfolgreich: In United Linux fehlt das Curses-Perl-Modul, daher bricht Bastille mit »FATAL ERROR« ab. Diese Abhängigkeit wurde offenbar nicht berücksichtigt.
Seccheck 2.0 soll die Sicherheit des Systems regelmäßig kontrollieren. Diese Sammlung von Shellskripten wurde von SuSE entwickelt, die installierte Version ist identisch mit der bereits in SuSE Linux 8.0 enthaltenen.
Allerdings wäre eine Anpassungen erforderlich, Seccheck beschwert sich bei allen Homeverzeichnissen und den darin enthaltenen Dotfiles, dass der Benutzer falsch sei:
user gdm : home directory is owned by shadow
Hier verwechselt das Tool den Owner und die Gruppe. Besitzer ist »gdm«, die Gruppe ist »shadow«. Ursache ist, dass Seccheck das »ls«-Kommando unter anderem mit der Option »-g« aufruft. Deren Bedeutung hat sich im Laufe der Zeit aber geändert: In SuSE Linux 8.0 wurde sie noch ignoriert, in United Linux 1.0 sorgt sie aber dafür, dass die Ausgabe den Besitzer nicht mehr enthält. Ein ähnliches Problem tritt beim Prüfen der Mailbox-Rechte auf.
IP-Protokolle loggen
Ippl analysiert IP-Pakete, die an den lokalen Rechner gesendet werden. ICMP-Nachrichten sowie fehlgeschlagene TCP-Verbindungen und UDP-Pakete protokolliert es. Da es eine Datei »/var/log/ippl/all.log« gibt, erwarteten wir, dass dort auch die Meldungen landen. Ippl schrieb sie aber per Syslog in »/var/log/messages«. Das lässt sich ändern: Der entsprechende Eintrag ist in »/etc/ippl.conf« vorgesehen, aber auskommentiert.
Während Ippl bei einem Portscan Unmengen an Meldungen erzeugt, fasst Scanlogd sie zu einer Zeile zusammen. Scanlogd erkennt und meldet TCP-Portscans, die gegen den lokalen Rechner gerichtet sind. Eine Ebene tiefer arbeitet Arpwatch und schreibt eine Mail an Root, wenn sich irgendwo im LAN die MAC-Adresse eines Rechners ändert. Apropos Mail an Root: United Linux leitet sie an den bei der Installation angelegten User-Account weiter. Damit wird verhindert, dass E-Mails mit Root-Rechten gelesen werden.
Wer sich nur für bestimmte Daten auf dem Netz interessiert, kann einen der Sniffer Tcpdump oder Ethereal mit Filterregeln einsetzen oder auf Ngrep umsteigen: Dieses Tool ähnelt Grep, verarbeitet allerdings den Verkehr auf dem Netz.
Nessus & Co.
Während es bei den meisten Paketen sinnvoll ist, stabile und erprobte Versionen zu nutzen und nur Sicherheitslücken zu schließen, ist dies bei Security-Scannern und Intrusion-Detection-Systemen anders. Neuere Versionen erkennen neuere Lücken und Angriffe, wir haben in dieser Gruppe daher genauer auf die Versionsnummer geachtet.
United Linux installiert den Security-Scanner Nessus in Version 1.2.3, die stammt von Anfang Juli, aktuell ist 1.2.6. Saint 3.4.2 ist etwa ein Jahr alt, die aktuelle, unter der Satan-Lizenz stehende Version ist 3.6.2 (29. August). Das Intrusion-Detection-System Snort wird in Version 1.8.7 (31. Juli) installiert, der Nachfolger Snort 1.9 ist erst am 3. Oktober erschienen. Der Portscanner Nmap 3.0 ist auf dem aktuellen Stand.
Als Antivirenlösungen sind der kommerziellen Mailscanner »avmailgate« von H+B EDV enthalten sowie das Samba-Plugin von Openantivirus. Mit Tripwire und Aide sind zwei Tools installiert, die Manipulationen am Dateisystem anhand kryptographischer Hashes erkennen.
Einer der wenigen per Default aktiven Server ist SSH in der Version OpenSSH 3.4p1. Als SSL-Bibliothek kommt die aktuelle OpenSSL 0.9.6g zum Einsatz. Für Netz-Tunnel stehen mehrere Tools zur Verfügung: Cipe, Freeswan, Stunnel und Vtun. Auch Cyrus-SASL steckt mit im Paket, das Simple Authentication and Security Layer ergänzt unsichere Protokolle wie SMTP um Authentifizierung und Verschlüsselung. Dass GPG enthalten ist, versteht sich von selbst.
Netzmanagement
Überrascht hat uns die Menge an Netzmanagement-Tools. Als Basis ist Net-SNMP enthalten. Der Community-String ist zwar wie üblich mit »public« vorgegeben, er gilt aber nur für Anfragen von Localhost. Eine Read-Write-Community ist nicht konfiguriert. Diese Defaults sind durchaus sinnvoll: Sie schützen den Host, auch wenn der Dienst ohne zusätzliche Konfiguration aktiviert wurde. Der SNMP-Agent plaudert mehr über das System aus, als einem Admin lieb sein kann, und verlangt daher eine überlegte Konfiguration. Diese Aussage gilt auch für Nagios, den Nachfolger des Netzmanagement-Klassikers Netsaint. Ohne saubere Konfiguration ist das Tool nicht sinnvoll einzusetzen.
Bei Mon stießen wir auf Probleme: Es ließ sich im Test zunächst nicht starten, »/etc/init.d/mon start« meldete »mon is not installed.« Installiert war es schon, nur liegt das Binary in »/usr/sbin« und nicht in »/usr/lib/mon«. Ein Symlink brachte Abhilfe – nun schlug ein Syntaxfehler im Startskript zu: »;;« fehlte in einem Ast der »case«-Anweisung. Nach der Korrektur war Mon startklar.
In der Default-Konfiguration ist kein Monitor aktiv, also versuchten wir einen einfachen Telnet-Monitor. Dieser benötigt allerdings das nicht vorhandene Perl-Modul »Net::Telnet«, der Monitor schlug folglich fehl. Der Fping-Monitor funktionierte dagegen tadellos.
Den ersten Versuch, Ntop zu starten, quittierte dessen Startskript mit dem berechtigten Hinweis, man möge ein Admin-Passwort setzen. Als dies geschehen war, lief das Analysetool problemlos. Es war allerdings nur von Localhost aus erreichbar, aus Sicherheitsgründen ist das durchaus sinnvoll. Wer dennoch von außen zugreifen will, ändert in »/etc/sysconfig/ntop« den Wert der Variablen »NTOPD_PORT« auf »3000«.
Um Daten und Statistiken über den Netzverkehr zu ermitteln, stehen weiterer Tools zur Verfügung. MRTG und Rrdtool erzeugen ansprechende Grafiken, während Iptraf die Statistik in einem Curses-Interface auf der Konsole anbietet. Weiterhin sind Argus, Netacct und Traffic-vis vorhanden.
Fazit
United Linux wird durch die Ähnlichkeit zu SuSE Linux 8.1 dem SuSE-erfahrenen Anwender vertraut erscheinen. Die Paketauswahl weist eindeutig in Richtung Server-Einsatz. Der hohe Sicherheitsanspruch zeigt sich an vielen Stellen: So werden kaum Daemons gestartet, auch die Konfiguration überzeugt.
Die gefundenen Fehler sind dem Betastadium der Distribution zuzurechnen und können noch nicht als Bewertungskriterium dienen. Positiv überrascht hat uns die Anzahl an Netzmanagement- und Sicherheits-Tools. Bei Security-Scannern, IDS-Tools und Antivirensoftware bleibt zu hoffen, dass sie durch regelmäßige Updates aktuell bleiben.
Tabelle 1: Versionen
