Die Reihenfolge habe ich übrigens ausgewürfelt.
Unter Debian Woody ist das Basis-System etwa 40MB gross. Probieren Sie folgendes:
, $ size=0 $ for i in `grep -A 1 -B 1 "^Section: base" /var/lib/dpkg/available | grep -A 2 "^Priority: required" |grep "^Installed-Size" |cut -d : -f 2 `; do size=$(($size+$i)); done $ echo $size 34234
Häufig werden fremde Systeme nur deshalb gehackt, weil Sie zu weiteren illegitimen Aktivitäten benutzt werden sollen (DoS-Attacken, Spam, geheime FTP-Server, DNS-Schweinereien...). Der Angreifer möchte meist gar nicht an die vertraulichen Daten auf dem kompromittierten System herankommen.
Sie können (auf einem anderen System) eine Paket-Attrappe mit
equivs
erstellen.
Beachten Sie hier die Schreibweise, da spawn nicht funktionieren wird.
es sei denn, Sie benutzen die instdir Option, wenn Sie
dpkg
aufrufen, aber dann wird das chroot-Gefängnis etwas
komplizierter
Sie werden es wahrscheinlich brauchen, wenn Sie NFS (Network FileSystem) oder NIS (Network Information System) oder andere RPC-basierende Dienste benutzen.
Im Gegensatz zu anderen persönlichen Firewalls für andere Betriebssysteme,
stellt Debian GNU/Linux (noch) nicht eine Firewall-Erstellungs-Schnittstelle
zur Verfügung, die Regeln erstellen können, die einzelne Prozesse oder User
einschränken. Jedoch kann der iptables-Code so konfiguriert werden, dass er
dies kann (siehe dazu das "owner" Modul in der Manual-Seite
iptables(8)
manpage)
Es gibt über 28 Fähigkeiten einschließlich: CAP_BSET, CAP_CHOWN, CAP_FOWNER, CAP_FSETID, CAP_FS_MASK, CAP_FULL_SET, CAP_INIT_EFF_SET, CAP_INIT_INH_SET, CAP_IPC_LOCK, CAP_IPC_OWNER, CAP_KILL, CAP_LEASE, CAP_LINUX_IMMUTABLE, CAP_MKNOD, CAP_NET_ADMIN, CAP_NET_BIND_SERVICE, CAP_NET_RAW, CAP_SETGID, CAP_SETPCAP, CAP_SETUID, CAP_SYS_ADMIN, CAP_SYS_BOOT, CAP_SYS_CHROOT, CAP_SYS_MODULE, CAP_SYS_NICE, CAP_SYS_PACCT, CAP_SYS_PTRACE, CAP_SYS_RAWIO, CAP_SYS_RESOURCE, CAP_SYS_TIME, and CAP_SYS_TTY_CONFIG. Alle können aktiviert oder deaktiviert werden, um Ihren Kernel abzusichern.
Um dies tun zu können, müssen Sie nicht lcap
installieren, aber es
ist so einfacher, als mit der Hand /proc/sys/kernel/cap-bound
anzupassen.
Anleitung zum Absichern von Debian
2.5 (beta) 31 mayo 2004Sat, 17 Aug 2002 12:23:36 +0200jfs@computer.org