Nachdem Sie nun all die Informationen aus den vorherigen Kapiteln gelesen haben, fragen Sie sich vielleicht: "Ich habe sehr viele Dinge zu erledigen, um mein System abzusichern. Könnte man das nicht automatisieren?" Die Antwort ist: "Ja, aber seien Sie vorsichtig mit automatischen Tools." Manche Leute denken, dass ein Absicherungstool nicht die Notwendigkeit für gute System-Administration abschafft. Legen Sie sich also nicht selbst herein, indem Sie denken, dass Sie all die Prozesse automatisieren könnten, und sich alle betreffenden Angelegenheiten von selbst erledigen würden. Sicherheit ist ein andauernder Prozess, an dem der Administrator teilnehmen muss und nicht wegbleiben kann, damit irgendwelche Tools die Arbeit erledigen, weil kein einzelnes Tool mit den möglichen Regel-konformen Sicherheits-Implementierungen, all den Attacken und all den Umgebungen bewältigen kann.
Seit Woody (Debian 3.0) gibt es zwei unterschiedliche Pakete, die nützlich für
die Erhöhung der Sicherheit sind. Das Paket harden
versucht auf
Basis der Paket-Abhängigkeiten schnell wertvolle Sicherheits-Pakete zu
installieren und Pakete mit Mängeln zu entfernen. Die Konfiguration der Pakete
muss der Administrator erledigen. Das Paket bastille
implementiert gegebene Sicherheits-Regeln für das lokale System basierend auf
einer vorhergehenden Konfiguration durch den Administrator (Sie können auch mit
einfache Ja/Nein Fragen durch die Konfiguration geführt werden).
Das Paket harden
versucht es einfacher zu machen, Rechner, die
gute Sicherheit benötigen, zu installieren und zu administrieren. Dieses Paket
sollte von Leuten benutzt werden, die eine schnelle Hilfe zur Erhöhung der
System-Sicherheit haben wollen. Hierzu entfernt es Pakete mit bekannten
Mängeln, einschließlich (aber nicht beschränkt auf); Pakete mit bekannten
Sicherheits-Fehlern (zum Beispiel Speicher-Überläufe), Pakete die
Klartext-Passwörter verwenden, fehlende Zugangs-Kontrolle, usw. Es installiert
außerdem automatisch einige Tools, die die Sicherheit auf unterschiedliche Art
und Weise erhöhen: Werkzeuge zur Eindringlings-Erkennung, Tools zur
Sicherheits-Analyse, und mehr. harden installiert die folgenden
virtuellen Pakete (d.H. Sie enthalten nichts, hängen aber von anderen
Paketen ab).
harden-tools
: Tools, die die System-Sicherheit erhöhen
(Integritäts-Überprüfer, Eindringlings-Erkennung, Kernel-Patches...)
harden-doc
: Stellt diese und andere Sicherheits-relevanten
Dokumente zur Verfügung
harden-environment
: Hilft eine abgesicherte Umgebung zu
konfigurieren (derzeit leer)
harden-servers
: entfernt Server, die aus irgendeinem Grund als
unsicher gelten
harden-clients
: entfernt Clients, die aus irgendeinem Grund als
unsicher gelten
harden-remoteflaws
: Entfernt Pakete mit bekannten
Sicherheits-Lücken, die von einem entfernten Angreifer genutzt werden können,
um das System zu kompromittierten (benutzt versionierte Conflicts:)
harden-localflaws
: Entfernt Pakete mit bekannten
Sicherheits-Lücken, die von einem lokalen Angreifer genutzt werden können, um
das System zu kompromittierten (benutzt versionierte Conflicts:)
harden-remoteaudit
: Tools um Systeme aus der Ferne zu überprüfen
Seien Sie wachsam, wenn Sie Software installiert haben, die Sie brauchen (und
aus bestimmten Gründen nicht deinstalliert haben wollen), und die aufgrund
eines Konflikts mit einem der oben aufgeführten Pakete nicht installiert werden
kann. In diesem Fall können Sie harden
nicht vollständig nutzen.
Die harden Pakete machen eigentlich gar nichts. Zumindest nicht direkt. Sie
haben jedoch absichtliche Paket-Konflikte mit bekannten, unsicheren Paketen.
Auf diese Art wird die Paket-Verwaltung von Debian die Installation von diesen
Paketen nicht erlauben. Wenn Sie zum Beispiel bei installiertem
harden-servers
versuchen, mit apt einen telnet-Daemon zu
installieren, werden Sie folgendes sehen:
# apt-get install telnetd The following packages will be REMOVED: harden-servers The following NEW packages will be installed: telnetd Do you want to continue (Y/n)
Dies sollte im Kopf des Administrators eine Alarm-Sirene auslösen, so dass er seine Aktion überdenken kann.
Bastille Linux
ist ein
automatisches Abhärtungs Tools, das ursprünglich für die RedHat und Mandrake
Linux Distributionen gedacht war. Wie auch immer: Das Paket
bastille
aus Debian (seit Woody) ist angepasst, um dieselbe
Funktionalität unter Debian GNU/Linux Systemen zur Verfügung zu stellen.
Bastille kann mit verschiedenen Oberflächen bedient werden (Alle sind in Ihrer eigenen Handbuch-Seite dokumentiert), die dem Administrator erlauben:
InteractiveBastille(8)
)
BastilleChooser(8)
)
AutomatedBastille(8)
)
Anleitung zum Absichern von Debian
2.5 (beta) 31 mayo 2004Sat, 17 Aug 2002 12:23:36 +0200jfs@computer.org