Linux für Cybersecurity verstehen

Linux dominiert die Infrastruktur, auf der moderne IT läuft. Laut W3Techs betreiben rund 43 % aller Webseiten weltweit einen Linux-Server im Hintergrund - bei den Top-1-Million-Seiten liegt der Anteil noch höher. In der Cloud ist der Vorsprung noch drastischer: Bei AWS, Google Cloud und Azure laufen der größte Teil aller Workloads auf Linux-Basis. Container-Technologie wie Docker und Kubernetes ist ohne Linux schlicht nicht denkbar - der Linux-Kernel liefert Namespaces und Cgroups, die Container-Isolation erst ermöglichen.

Für Security-Berufe bedeutet das konkret: SOC-Analysten lesen tägliche Linux-Logs (auth.log, syslog, auditd-Events). Pentester arbeiten auf Kali Linux oder Parrot OS, beides Debian-Derivate. Forensiker analysieren Linux-Dateisysteme und Prozessspeicher. DevSecOps-Ingenieure schreiben Pipeline-Skripte in Bash. Selbst wenn du später auf Windows-Infrastruktur fokussierst: Fast alle modernen Analyse-Tools - von Zeek über Suricata bis zu YARA - laufen nativ auf Linux.

Kurz: Linux ist nicht ein Werkzeug neben anderen. Es ist der Untergrund, auf dem Security-Arbeit stattfindet.

Die Unix-Philosophie, formuliert in den 1970ern, lautet: Schreibe Programme, die eine Sache gut können und mit anderen Programmen zusammenarbeiten. Diese Idee steckt noch heute in jeder Linux-Shell. cat gibt Text aus. grep filtert Zeilen. awk verarbeitet Felder. sort sortiert. Jedes Tool macht genau eine Sache - aber kombiniert durch Pipes (|) entstehen mächtige Einzeiler.

Ein Beispiel aus dem SOC-Alltag: Du willst wissen, welche IP-Adressen in den letzten 24 Stunden am häufigsten einen Nginx-Server angegriffen haben:

grep "$(date --date='24 hours ago' '+%d/%b/%Y')" /var/log/nginx/access.log \
  | awk '{print $1}' \
  | sort | uniq -c | sort -rn \
  | head -20

Dieser Einzeiler kombiniert grep, awk, sort und uniq - alles Standardwerkzeuge, keine Installation nötig. Die Terminal-Denkweise bedeutet: Du lernst nicht Befehle auswendig, du lernst, kleine Werkzeuge in Pipelines zu kombinieren. Das ist der entscheidende Unterschied zu GUI-Tools.

Stdin, Stdout und Stderr sind die drei Datenstroeme jedes Linux-Prozesses. Mit > und >> leitest du Ausgaben in Dateien um, mit 2> Fehlermeldungen, mit < Dateien als Eingabe. Wer diese Konzepte verinnerlicht hat, kann nahezu jeden Befehl in ein Skript verwandeln.

Das Linux-Dateisystem folgt dem Filesystem Hierarchy Standard (FHS). Jedes Verzeichnis hat eine definierte Rolle. Wer die Hierarchie kennt, weiß sofort, wo Konfigurations-Dateien, Logs und ausfuehrbare Programme liegen - entscheidend in Forensik, Incident Response und Pentesting.

Linux-Sicherheit basiert auf einem klaren Rechtemodell: Jede Datei gehört einem Benutzer und einer Gruppe. Drei Berechtigungsebenen - Eigentümer, Gruppe, Andere - definieren jeweils Lesen (r=4), Schreiben (w=2) und Ausführen (x=1). Der Befehl ls -la zeigt diese Infos im Klartext.

chmod 640 datei.txt gibt dem Eigentümer rw-, der Gruppe r--, anderen gar nichts. chown alice:devs datei.txt setzt Eigentümer und Gruppe. Diese Konzepte sind nicht nur Systemadministration - sie sind das Herzstück von Privilege-Escalation-Übungen im Pentesting.

Besonders interessant: das setuid-Bit. Eine Binary mit gesetztem setuid-Bit läuft immer mit den Rechten des Eigentümers - auch wenn ein anderer Nutzer sie startet. Ist der Eigentümer root und die Binary hat eine Schwachstelle, kann ein normaler Nutzer Root-Rechte erlangen. Der Befehl, um setuid-Binaries zu finden:

find / -perm -4000 -type f 2>/dev/null

sudo erlaubt bestimmten Nutzern, Befehle als root oder ein anderer Benutzer auszufuehren. Die Konfiguration in /etc/sudoers (bearbeiten mit visudo) ist sicherheitskritisch: Zu weitgefasste Einträge sind klassische Privilege-Escalation-Vektoren. SOC-Analysten prüfen sudo-Logs regelmäßig auf ungewoehnliche Verwendung.

Jedes laufende Programm ist ein Prozess mit einer eindeutigen PID (Process ID). Der Elternprozess (PPID) zeigt, wer ihn gestartet hat - in der Forensik ein wichtiger Indikator. Wenn ein Apache-Prozess plotzlich eine Bash-Shell spawnt, ist das ein deutliches Red-Flag.

• ps aux - alle laufenden Prozesse mit Nutzer, PID, CPU/RAM und Befehlszeile
• top / htop - Echtzeitansicht, CPU/RAM-Verbrauch, interaktiv
• pstree - zeigt Eltern-Kind-Beziehungen zwischen Prozessen
• lsof -i - offene Netzwerkverbindungen aller Prozesse
• ss -tulpn - Ports, auf denen Dienste lauschen

Dienste werden in modernen Linux-Systemen durch systemd verwaltet. systemctl status nginx zeigt Zustand und die letzten Log-Einträge. systemctl list-units --type=service listet alle Dienste. Verdächtige oder unbekannte Dienste sind in Incident-Response-Untersuchungen immer ein Startpunkt.

Mit systemctl enable wird ein Dienst für den Autostart registriert - Persistenz-Mechanismus für Angreifer. Wer nach einem Vorfall prüft, welche Dienste enabled sind, findet gelegentlich Hinterturen.

Log-Analyse ist der Kernprozess im Security Operations Center. Die meisten Alerts kommen nicht von magischer KI, sondern aus dem Korrelieren von Log-Einträgen. Wer Linux-Logs schnell lesen kann, hat einen entscheidenden Vorteil.

Praktischer Tipp: journalctl -f zeigt Logs in Echtzeit (wie tail -f). Kombiniert mit grep und awk lassen sich Muster live verfolgen - unentbehrlich während eines aktiven Vorfalls.

Debian-basierte Systeme (Ubuntu, Kali, Debian) nutzen apt als Paketverwaltung. Das Wissen darüber ist aus Security-Sicht aus zwei Gründen wichtig: erstens um eigene Systeme aktuell zu halten, zweitens um bei der Forensik zu verstehen, welche Software installiert ist und wann.

• apt update - Paketlisten aktualisieren (lädt keine Pakete herunter)
• apt upgrade - alle Pakete auf den neuesten Stand bringen
• apt install <paket> - Software installieren
• dpkg -l - alle installierten Pakete auflisten
• dpkg -L <paket> - Dateien eines Pakets anzeigen
• apt-cache policy <paket> - installierte vs. verfügbare Version vergleichen

Sicherheitsupdates sind auf Linux-Servern kritisch. Viele Angriffe nutzen bekannte CVEs aus, für die laengst Patches existieren. unattended-upgrades ermöglicht automatische Sicherheitsupdates - auf Produktivsystemen mit Vorsicht einsetzen, in Lern-Umgebungen empfehlenswert.

SSH (Secure Shell) ist das Standardprotokoll für verschlüsselte Remote-Administration. Es verschlüsselt den gesamten Verbindungsaufbau, die Authentifizierung und alle uebertragenen Daten - ein fundamentaler Unterschied zum alten Telnet, das alles im Klartext schickte.

Key-basierte Authentifizierung ist gegenüber Passwörtern vorzuziehen: Du generierst ein Schlüssel-Paar (privat/öffentlich), legst den öffentlichen Schlüssel auf dem Server ab (~/.ssh/authorized_keys), und beweist deine Identität durch kryptografische Challenge-Response - ohne das Passwort jemals zu übertragen.

# Schlüssel-Paar generieren
ssh-keygen -t ed25519 -C "mein-label"

# Öffentlichen Schlüssel auf den Server kopieren
ssh-copy-id nutzer@server-ip

Die wichtigsten Haertungs-Einstellungen in /etc/ssh/sshd_config: PasswordAuthentication no, PermitRootLogin no, AllowUsers alice bob (Whitelist). Mit fail2ban werden nach n fehlgeschlagenen Versuchen IPs automatisch gesperrt.

Linux-Kenntnisse sind in jeder Security-Rolle unterschiedlich gewichtet - aber nirgends unwichtig:

Diese Fehler passieren fast jedem - sie hier zu kennen spart Zeit:

Richte dir eine Ubuntu 24.04 LTS VM in VirtualBox ein (2 GB RAM, 20 GB Disk reichen). Dokumentiere jeden Übungstag mit Datum, Befehl und Beobachtung in einer Markdown-Datei - das eigene Lernjournal ist später ein wertvolles Nachschlagewerk und ein gutes Gesprächsthema in Bewerbungen.

• Nginx installieren und in auth.log + access.log hineinschauen
• Einen neuen Nutzer anlegen, Rechte einschränken, sudo-Zugriff gezielt vergeben
• Mit 'find / -perm -4000 -type f 2>/dev/null' setuid-Binaries inventarisieren
• Ein Bash-Skript schreiben, das fehlgeschlagene SSH-Logins aus auth.log zählt
• Vor jeder Übungseinheit Snapshot erstellen - nach der Einheit: Recap notieren