Anleitung zum Absichern von Debian
Fußnoten

1

Die Reihenfolge habe ich übrigens ausgewürfelt.

2

Unter Debian Woody ist das Basis-System etwa 40MB gross. Probieren Sie folgendes:

     ,
     $ size=0
     $ for i in `grep -A 1 -B 1 "^Section: base" /var/lib/dpkg/available |
     grep -A 2 "^Priority: required" |grep "^Installed-Size" |cut -d : -f 2
     `; do size=$(($size+$i)); done
     $ echo $size
     34234

3

Häufig werden fremde Systeme nur deshalb gehackt, weil Sie zu weiteren illegitimen Aktivitäten benutzt werden sollen (DoS-Attacken, Spam, geheime FTP-Server, DNS-Schweinereien...). Der Angreifer möchte meist gar nicht an die vertraulichen Daten auf dem kompromittierten System herankommen.

4

Sie können (auf einem anderen System) eine Paket-Attrappe mit equivs erstellen.

5

Beachten Sie hier die Schreibweise, da spawn nicht funktionieren wird.

6

es sei denn, Sie benutzen die instdir Option, wenn Sie dpkg aufrufen, aber dann wird das chroot-Gefängnis etwas komplizierter

7

Sie werden es wahrscheinlich brauchen, wenn Sie NFS (Network FileSystem) oder NIS (Network Information System) oder andere RPC-basierende Dienste benutzen.

8

Im Gegensatz zu anderen persönlichen Firewalls für andere Betriebssysteme, stellt Debian GNU/Linux (noch) nicht eine Firewall-Erstellungs-Schnittstelle zur Verfügung, die Regeln erstellen können, die einzelne Prozesse oder User einschränken. Jedoch kann der iptables-Code so konfiguriert werden, dass er dies kann (siehe dazu das "owner" Modul in der Manual-Seite iptables(8) manpage)

9

Es gibt über 28 Fähigkeiten einschließlich: CAP_BSET, CAP_CHOWN, CAP_FOWNER, CAP_FSETID, CAP_FS_MASK, CAP_FULL_SET, CAP_INIT_EFF_SET, CAP_INIT_INH_SET, CAP_IPC_LOCK, CAP_IPC_OWNER, CAP_KILL, CAP_LEASE, CAP_LINUX_IMMUTABLE, CAP_MKNOD, CAP_NET_ADMIN, CAP_NET_BIND_SERVICE, CAP_NET_RAW, CAP_SETGID, CAP_SETPCAP, CAP_SETUID, CAP_SYS_ADMIN, CAP_SYS_BOOT, CAP_SYS_CHROOT, CAP_SYS_MODULE, CAP_SYS_NICE, CAP_SYS_PACCT, CAP_SYS_PTRACE, CAP_SYS_RAWIO, CAP_SYS_RESOURCE, CAP_SYS_TIME, and CAP_SYS_TTY_CONFIG. Alle können aktiviert oder deaktiviert werden, um Ihren Kernel abzusichern.

10

Um dies tun zu können, müssen Sie nicht lcap installieren, aber es ist so einfacher, als mit der Hand /proc/sys/kernel/cap-bound anzupassen.


Anleitung zum Absichern von Debian

2.5 (beta) 31 mayo 2004Sat, 17 Aug 2002 12:23:36 +0200

Javier Fernández-Sanguino Peña jfs@computer.org