Anleitung zum Absichern von Debian
Fußnoten

1

Unter Debian Woody ist das Basis-System etwa 40MB gross. Probieren Sie folgendes:

     $ size=0
     $ for i in `grep -A 1 -B 1 "^Section: base" /var/lib/dpkg/available |
     grep -A 2 "^Priority: required" |grep "^Installed-Size" |cut -d : -f 2
     `; do size=$(($size+$i)); done
     $ echo $size
     34234

2

Unter Debian Woody ist das Basis-System etwa 40MB gross. Probieren Sie folgendes:

     $ size=0
     $ for i in `grep -A 1 -B 1 "^Section: base" /var/lib/dpkg/available |
     grep -A 2 "^Priority: required" |grep "^Installed-Size" |cut -d : -f 2
     `; do size=$(($size+$i)); done
     $ echo $size
     34234

3

Viele "intrusions" (Eindringen auf fremde Systeme) werden eher gemacht, um an die Resourcen für illegitime Aktitiväten zu kommen (denial of service Attacken, Spam, geheime FTP-Server , dns Verunreinigung...), als nur um irgendwelche vertraulichen Daten auf dem kompromitierten System zu kommen.

4

Sie können (auf einem anderen System) eine Paket-Attrappe mit equivs erstellen.

5

Vermeiden Sie den Fall hier, da spawn nicht funktionieren wird

6

es sei denn, Sie benutzen die instdir Option, wenn Sie dpkg aufrufen, aber dann wird das chroot-Gefängniss etwas komplizierter

7

Sie werden es wahrscheinlich brauchen, wenn Sie NFS (Network FileSystem) oder NIS (Network Information System) oder andere RPC-basierende Services benutzen.

8

Im Gegensatz zu anderen persönlichen Firewalls für andere Betriebssysteme, stellt Debian GNU/Linux (noch) nicht eine Firewall-Erstellungs-Schnittstele zur Verfügung, die Regeln erstellen können, die einzelne Prozesse oder User einschränken. Jedoch kann der iptables-Code so konfiguriert werden, dass er dies kann (siehe dazu das "owner" Modul in der Manualseite iptables(8) manpage)

9

Es gibt über 28 Fähigkeiten einschliesslich: CAP_BSET, CAP_CHOWN, CAP_FOWNER, CAP_FSETID, CAP_FS_MASK, CAP_FULL_SET, CAP_INIT_EFF_SET, CAP_INIT_INH_SET, CAP_IPC_LOCK, CAP_IPC_OWNER, CAP_KILL, CAP_LEASE, CAP_LINUX_IMMUTABLE, CAP_MKNOD, CAP_NET_ADMIN, CAP_NET_BIND_SERVICE, CAP_NET_RAW, CAP_SETGID, CAP_SETPCAP, CAP_SETUID, CAP_SYS_ADMIN, CAP_SYS_BOOT, CAP_SYS_CHROOT, CAP_SYS_MODULE, CAP_SYS_NICE, CAP_SYS_PACCT, CAP_SYS_PTRACE, CAP_SYS_RAWIO, CAP_SYS_RESOURCE, CAP_SYS_TIME, and CAP_SYS_TTY_CONFIG. Alle können aktiviert oder deaktiviert werden, um Ihren Kernel abzusichern.

10

Um dies tun zu können, müssen Sie nicht lcap installieren, aber es ist so einfacher, als mit der Hand /proc/sys/kernel/cap-bound anzupassen.


Anleitung zum Absichern von Debian

2.5 (beta) 20 septiembre 2003Sat, 17 Aug 2002 12:23:36 +0200

Javier Fernández-Sanguino Peña jfs@computer.org