[ zurück ]
[ Inhalt ]
[ 1 ]
[ 2 ]
[ 3 ]
[ 4 ]
[ 5 ]
[ 6 ]
[ 7 ]
[ 8 ]
[ 9 ]
[ 10 ]
[ 11 ]
[ A ]
[ B ]
[ C ]
[ D ]
[ E ]
[ F ]
[ weiter ]
Anleitung zum Absichern von Debian
Anhang B - Konfigurations Checkliste
Dieser Anhang Anhang wiederholt kurz Punkte aus anderen Abschnitten dieser
Anleitung in einem verdichteten Checklisten Format. Er ist als schnelle
Zusammenfassung für Leute gedacht, die bereits diese Anleitung gelesen
haben. Es gibt auch andere Checklisten, Kurt Seifried hat eine basierend auf
dem Kurs Securing
Linux Step by Step
aufgesetzt.
FIXME: This is based on v1.4 of the manual and might need to be updated.
-
Schränkgen Sie physischen Zugriff und Boot-Fähigkeiten ein.
-
Setzen Sie ein BIOS-Passwort
-
Schalten Sie das Booten von Diskette, CD-ROM, ... ab
-
Setzen Sie ein LILO bzw. GRUB Passwort (
/etc/lilo.conf
bzw.
/boot/grub/menu.lst
); prüfen Sie, dass die LILO oder GRUB
Konfigurationen nicht einsehbar ist
-
Verhindern Sie die Hintertür des Bootens von Diskette durch den MBR, indem
Sie den MBR überschreiben (vielleicht nicht?)
-
Parttionierung
-
Separieren Sie User-schreibbare Daten, nicht-System Daten und sich ständig
ändernde Laufzeit Daten auf ihre eigenen Partitionen
-
Setzen Sie nosuid,noexec,nodev Mount-Optionen in die
/etc/fstab
bei ext2-Partitionen, wie zum Beispiel
/tmp
.
-
Passwort-Hygiene und Login-Sicherheit
-
Setzen Sie ein gutes Root-Passwort
-
Benutzen Sie Shadow- und MD5-Passwords
-
Installieren und benutzen Sie PAM
-
Fügen Sie PAM MD5 Support hinzu, und stellen Sie sicher (allgemein
gesprochen) dass die Einträge in den
/etc/pam.d/
Dateien, die
Zugriff auf die Maschine gewähren, das zweite Feld in der pam.d-Datei auf
"requisite" oder "required" gesetzt haben.
-
Ändern Sie
/etc/pam.d/login
, so dass es nur lokale
Root-Logins erlaubt.
-
Markieren Sie ausserdem authorisierte ttys in
/etc/security/access.conf
und setzen Sie diese Datei
überhaupt so auf, dass Root-Logins so weit wie möglich
eingeschränkt werden.
-
Fügen Sie pam_limits.sp hinzu, wenn Sie pro User Einschränkungen
vornehmen wollen.
-
Ändern Sie
/etc/pam.d/passwd
: Setzen Sie die minimum
Länge von Passworten hoch (vielleicht sechs Zeichen) und schalten Sie md5
ein.
-
Wenn Sie es wünschen, fügen Sie
/etc/group
die Gruppe
wheel hinzu; fügen Sie /etc/pam.d/su
pam_whell.so group=wheel
hinzu.
-
For angepasste pro-User Kontrollen, benutzen Sie pam_listfile.so Einträge,
wo es passt.
-
Erstellen Sie eine Datei
/etc/pam.d/other
und setzen Sie sie mit
strenger Sicherheit auf.
-
Setzen Sie in
/etc/security/limits.conf
Schranken (beachten Sie,
dass /etc/limits
nicht benutzt wird, wenn Sie PAM benutzen).
-
Festigen Sie
/etc/login.defs
; wenn Sie MD5 und/oder PAM
einschalten machen Sie auch hier ebenfalls die gleichbedeutenden
Änderungen.
-
Schalten Sie root FTP-Zugriff in
/etc/ftpusers
ab.
-
Schalten Sie Root-Login übers Netzwerk ab; benutzen Sie
su(1)
oder sudo(1)
(überlegen Sie die Installation von
sudo
).
-
Benutzen Sie PAM, um zusätzliche Auflagen auf Logins zu ermöglichen.
-
Andere Lokale Sicherheits Sachen:
-
Festigen der Zugriffsrechte auf Log-Dateien
(
/var/log/{last,fail}log
, Apache Logs)
-
Verifizieren Sie, dass in
/etc/checksecurity.conf
setuid Checks
eingeschaltet sind.
-
Überlegen Sie sich, an Log-Dateien nur anhängen zu lassen
(append-only) und Konfigurations-Dateien unveränderbar (immutable) zu
machen, indem Sie chattr benutzen (nur ext2 Dateisystem)
-
Überlegen Sie, locate durch slocate zu ersetzen.
-
Alles auf einem lokalen Drucker mitloggen?
-
Brennen Ihrer Konfiguration auf eine bootbare CD und hier von booten?
-
Abschalten von Kernel-Modulen?
-
Beschränken von Netzwerk Zugriff
-
Installieren und konfigurieren Sie
ssh
(Vorschlag: PermitRootLogin
No in /etc/ssh/sshd_config
, PermitEmptyPasswords No; beachten Sie
auch die anderen Vorschläge im Text).
-
Überlegen Sie, ob Sie telnetd abschalten (in
/etc/inetd.conf
,
benutzen Sie update-inetd --disable (oder schalten Sie inetd ganz
ab, oder benutzen Sie einen Ersatz wie xinetd oder rlinetd)) oder entfernen.
-
Schalten Sie andere überflüssig Netzwerk Services ab; mail, ftp, DNS, www usw.
sollten nicht laufen, wenn Sie sie nicht brauchen und nicht regelmässig
überwachen.
-
Bei den Servicen, die Sie brauchen, installieren Sie nicht die
weitverbreitesten Programme, sondern schauen Sie für sicherere Versionen,
die Debian liefert (oder aus anderen Quellen). Was auch immer Sie schliesslich
benutzen: Gehen Sie sicher, dass Sie die Risiken verstanden haben.
-
Setzen Sie Chroot-Umgebungen für äusswärtige User und Daemonen
auf
-
Konfigurieren Sie Firewall und tcp-Wrapper (d.h.
hosts_access(5)
); beachten Sie den Trick für
/etc/hosts.deny
im Text.
-
Wenn Sie FTP laufen lassen, setzen Sie den ftpd-Server so auf, dass er immer
als chroot im Heimat-Verzeichnis des Users läuft.
-
Wenn Sie X laufen lasen, schalten Sie xhost authentifizierung ab und benutzen
Sie stattdessen ssh; oder noch besser. Ignorieren Sie weitergeleitete X
komplett, wenn Sie können (hinzufügen von -nolisten tcp zu der X
Kommando-Zeile und schalten Sie XDMCP in
/etc/X11/xdm/xdm-config
ab, indem Sie den requestPort auf 0 setzen)
-
Schalten Sie Zugriff von Ausserhalb auf den Drucker ab
-
Tunneln Sie alle IMAP Oder POP Sitzungen durch SSL oder SSH; installieren Sie
stunnel, wenn Sie diesen Service anderen Mail-Usern anbieten wollen
-
Setzen Sie einen Log-Host auf, und konfigurieren Sie andere Maschinen, ihre
Logs an diesen Host zu senden (
/etc/syslog.conf
)
-
Sichern Sie BIND, Sendmail und andere komplexe Daemonen (starten in einer
chroot-Umgebung; starten als nicht-Root pseudo-User)
-
Installieren Sie snort oder ein ähnliches Überwachungs Tools)
-
Verzichten Sie, falls möglich, auf NIS Und RPC (abschalten von portmap).
-
Policy Angelegenheiten
-
Klären Sie die User über das Warum und Wie Ihrer Regelungen auf.
Wenn Sie etwas verboten haben, dass auf anderen Systemen normalerweise
verfügbar ist, stellen Sie Dokumentation bereit, die erklärt, wie man
gleiche Resultate erreicht, indem man andere, sichere Mittel anwendet.
-
Verbieten Sie die Nutzung von Protokollen, die Klartext Passwörtet
benutzen (telnet, rsh und Freunde, ftp, imap, pop, http, ...).
-
Verbieten Sie Programme, die SVGAlib benutzen.
-
Benutzen Sie Disk-Quotas.
-
Bleiben Sie über Sicherheits Angelegenheiten informiert
-
Abonieren Sie sicherheits relevante Mailing-Listen
-
Abonieren Sie sicherheits Updates -- fügen Sie
/etc/apt/sources.list
einen Eintrag (oder Einträge) für
http://security.debian.org/debian-security
[ zurück ]
[ Inhalt ]
[ 1 ]
[ 2 ]
[ 3 ]
[ 4 ]
[ 5 ]
[ 6 ]
[ 7 ]
[ 8 ]
[ 9 ]
[ 10 ]
[ 11 ]
[ A ]
[ B ]
[ C ]
[ D ]
[ E ]
[ F ]
[ weiter ]
Anleitung zum Absichern von Debian
2.5 (beta) 5 marzo 2004Sat, 17 Aug 2002 12:23:36 +0200
Javier Fernández-Sanguino Peña jfs@computer.org