[ zurück ] [ Inhalt ] [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ 12 ] [ A ] [ B ] [ C ] [ D ] [ E ] [ F ] [ G ] [ H ] [ weiter ]
Dieser Anhang wiederholt kurz Punkte aus anderen Abschnitten dieser Anleitung
in einem verdichteten Prüflisten-Format. Er ist als schnelle Zusammenfassung
für Leute gedacht, die bereits diese Anleitung gelesen haben. Es gibt auch
andere gute Prüflisten, zum Beispiel Kurt Seifrieds Securing
Linux Step by Step
und CERT's Unix Security
Checklist
.
FIXME: This is based on v1.4 of the manual and might need to be updated.
Beschränkung des physischen Zugriffs und der Boot-Fähigkeiten:
Setzen Sie im BIOS ein Passwort.
Schalten Sie im BIOS das Booten von Diskette, CD-ROM, ... ab.
Setzen Sie ein LILO- bzw. GRUB-Passwort (/etc/lilo.conf
bzw.
/boot/grub/menu.lst
); stellen Sie sicher, dass die
Konfigurationsdatei von LILO oder GRUB nicht lesbar ist.
Partitionierung:
Legen Sie Daten, die von Benutzern geschrieben wurden, Daten, die nicht zum System gehören, und sich ständig ändernde Laufzeitdaten auf eigenen, getrennten Partitionen ab.
Setzen Sie die Mount-Optionen nosuid,noexec,nodev in
/etc/fstab
bei ext2/3-Partitionen, die keine ausführbaren
Programme enthalten sollten, wie zum Beispiel /home
oder
/tmp
.
Passworthygiene und Anmeldesicherheit:
Wählen Sie ein gutes Root-Passwort.
Installieren und benutzen Sie PAM:
Fügen Sie die Unterstützung von PAM-MD5 hinzu, und stellen Sie sicher
(allgemein gesprochen), dass die Einträge in den
/etc/pam.d/
-Dateien, die Zugriff auf die Maschine gewähren, das
zweite Feld in der pam.d-Datei auf requisite oder
required gesetzt haben.
Ändern Sie /etc/pam.d/login
, so dass nur lokale Anmeldungen von
Root erlaubt werden.
Bezeichnen Sie außerdem autorisierte ttys in
/etc/security/access.conf
und richten Sie diese Datei überhaupt
so ein, dass Anmeldungen von Root so weit wie möglich eingeschränkt werden.
Fügen Sie pam_limits.so hinzu, wenn Sie Begrenzungen für jeden Benutzer vornehmen wollen.
Ändern Sie /etc/pam.d/passwd
: Erhöhen Sie die minimale Länge
von Passwörtern (vielleicht sechs Zeichen) und schalten Sie MD5 ein.
Wenn Sie es wünschen, fügen Sie /etc/group
die Gruppe wheel
hinzu; fügen Sie /etc/pam.d/su
pam_wheel.so group=wheel hinzu.
Für angepasste Kontrollen der einzelnen Benutzer nehmen Sie Einträge in pam_listfile.so an den passenden Stellen vor.
Erstellen Sie eine Datei /etc/pam.d/other
und setzen Sie sie mit
strenger Sicherheit auf.
Setzen Sie in /etc/security/limits.conf
Begrenzungen (beachten
Sie, dass /etc/limits
nicht benutzt wird, wenn Sie PAM verwenden).
Nehmen Sie Einschränkungen in /etc/login.defs
vor; wenn Sie MD5
oder PAM einschalten, machen Sie auch hier die entsprechenden Änderungen.
Nehmen Sie Einschränkungen in /etc/pam.d/login
vor.
Schalten Sie den FTP-Zugriff von Root in /etc/ftpusers
ab.
Schalten Sie Anmeldungen von Root über das Netzwerk ab; benutzen Sie
su(1)
oder sudo(1)
(denken Sie über die Installation
von sudo
nach).
Benutzen Sie PAM, um zusätzliche Auflagen für Anmeldungen zu ermöglichen.
Andere lokale Sicherheitsangelegenheiten:
Kernel-Tweaks (siehe Konfiguration der Netzwerkfähigkeiten des Kernels, Abschnitt 4.18.1)
Kernel-Patches (siehe Den Kernel patchen, Abschnitt 4.14)
Schränken Sie die Zugriffsrechte auf Protokolldateien
(/var/log/{last,fail}log
, Protokolle von Apache) ein.
Stellen Sie sicher, dass in /etc/checksecurity.conf
die Prüfung
von SETUID eingeschaltet ist.
Überlegen Sie sich, an Protokolldateien nur erweiterbar (append-only) und Konfigurationsdateien unveränderbar (immutable) zu machen, indem Sie chattr benutzen (nur ext2/3-Dateisystem).
Setzen Sie eine Integritätsprüfung des Dateisystems auf (siehe Prüfung der Integrität des Dateisystems,
Abschnitt 4.17.3). Installieren Sie debsums
.
Alles auf einem lokalen Drucker mitprotokollieren?
Brennen Sie Ihre Konfiguration auf eine bootbare CD und booten Sie hiervon?
Abschalten von Kernel-Modulen?
Einschränkung des Netzwerkzugriffs:
Installieren und konfigurieren Sie ssh
(Vorschlag: PermitRootLogin
No in /etc/ssh/sshd_config
, PermitEmptyPasswords No; beachten Sie
auch die anderen Vorschläge im Text).
Schalten Sie in.telnetd
ab oder entfernen Sie ihn, falls er
installiert ist.
Deaktivieren Sie ganz allgemein alle überflüssigen Dienste in
/etc/inetd.conf
. Benutzen Sie dazu update-inetd
--disable
(oder Sie schalten inetd
ganz ab oder verwenden
einen Ersatz wie xinetd
oder rlinetd
).
Schalten Sie andere überflüssige Netzwerkdienste ab. ftp, DNS, www, usw. sollten nicht laufen, wenn Sie sie nicht brauchen und nicht regelmäßig überwachen. In den meisten Fällen muss ein Mail-Server betrieben werden, sollte aber so konfiguriert sein, dass er nur lokal Mails zustellt.
Installieren Sie von den Diensten, die Sie brauchen, nicht einfach das verbreiteteste Programm, sondern schauen Sie nach sichereren Versionen, die Debian liefert (oder aus anderen Quellen), um. Was auch immer Sie schließlich benutzen: Stellen Sie sicher, dass Sie die Risiken verstanden haben.
Setzen Sie Chroot
-Gefängnisse für auswärtige Benutzer und
Daemonen auf.
Konfigurieren Sie die Firewall und die tcp-Wrapper (d.h.
hosts_access(5)
); beachten Sie den Trick für
/etc/hosts.deny
im Text.
Wenn Sie FTP laufen lassen, setzen Sie den ftpd-Server so auf, dass er immer in
einer chroot
-Umgebung im Home-Verzeichnis des Benutzers läuft.
Wenn Sie X laufen lassen, schalten Sie xhost-Authentifizierung ab und benutzen
Sie stattdessen ssh
. Oder noch besser: Deaktivieren Sie die
Weiterleitung von X komplett, falls das möglich ist (fügen Sie -nolisten tcp
zu der X-Kommando-Zeile hinzu und schalten Sie XDMCP in
/etc/X11/xdm/xdm-config
ab, indem Sie den requestPort auf 0
setzen).
Schalten Sie Zugriff von außerhalb auf den Drucker ab.
Tunneln Sie alle IMAP- oder POP-Sitzungen durch SSL oder ssh
.
Installieren Sie stunnel, wenn Sie diesen Dienst anderen Mail-Benutzern
anbieten wollen.
Setzen Sie einen Log-Host auf, und konfigurieren Sie andere Maschinen, ihre
Protokolle an diesen Host zu senden (/etc/syslog.conf
).
Sichern Sie BIND, Sendmail und andere komplexe Daemonen ab (starten Sie sie in
einer chroot
-Umgebung und als Pseudobenutzer, der nicht Root ist).
Installieren Sie tiger oder ein ähnliches Werkzeug zur Erkennung von Eindringlingen in Ihr Netzwerk.
Installieren Sie snort oder ein ähnliches Werkzeug zur Erkennung von Eindringlingen in Ihr Netzwerk.
Verzichten Sie, falls möglich, auf NIS und RPC (Abschalten von portmap).
Angelegenheiten mit Richtlinien:
Klären Sie die Benutzer über das Wie und Warum Ihrer Richtlinien auf. Wenn Sie etwas verboten haben, das auf anderen Systemen normalerweise verfügbar ist, stellen Sie Dokumentation bereit, die erklärt, wie man die gleichen Resultate erreicht, indem man andere, sichere Mittel anwendet.
Verbieten Sie die Nutzung von Protokollen, die Klartext-Passwörter benutzen
(telnet
, rsh
und ähnliche, ftp, imap, pop, http,
...).
Verbieten Sie Programme, die SVGAlib benutzen.
Benutzen Sie Disk-Quotas.
Bleiben Sie über Sicherheitsangelegenheiten informiert:
Abonnieren Sie sicherheitsrelevante Mailinglisten.
Richten Sie Sicherheitsaktualisierungen für apt
ein –
fügen Sie /etc/apt/sources.list
einen Eintrag (oder Einträge)
für http://security.debian.org/ hinzu.
Vergessen Sie auch nicht, regelmäßig apt-get update ; apt-get
upgrade
(vielleicht als Cron
-Job?) laufen zu lassen, wie
unter Ausführen von
Sicherheitsaktualisierungen, Abschnitt 4.2 beschrieben.
[ zurück ] [ Inhalt ] [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ 12 ] [ A ] [ B ] [ C ] [ D ] [ E ] [ F ] [ G ] [ H ] [ weiter ]
Securing Debian Manual
Version: 3.17,mailto:jfs@debian.org