Unter Debian Woody ist das Basis-System etwa 40MB gross. Probieren Sie folgendes:
$ size=0 $ for i in `grep -A 1 -B 1 "^Section: base" /var/lib/dpkg/available | grep -A 2 "^Priority: required" |grep "^Installed-Size" |cut -d : -f 2 `; do size=$(($size+$i)); done $ echo $size 34234
Unter Debian Woody ist das Basis-System etwa 40MB gross. Probieren Sie folgendes:
$ size=0 $ for i in `grep -A 1 -B 1 "^Section: base" /var/lib/dpkg/available | grep -A 2 "^Priority: required" |grep "^Installed-Size" |cut -d : -f 2 `; do size=$(($size+$i)); done $ echo $size 34234
Viele "intrusions" (Eindringen auf fremde Systeme) werden eher gemacht, um an die Resourcen für illegitime Aktitiväten zu kommen (denial of service Attacken, Spam, geheime FTP-Server , dns Verunreinigung...), als nur um irgendwelche vertraulichen Daten auf dem kompromitierten System zu kommen.
Sie können (auf einem anderen System) eine Paket-Attrappe mit
equivs
erstellen.
Vermeiden Sie den Fall hier, da spawn nicht funktionieren wird
es sei denn, Sie benutzen die instdir Option, wenn Sie
dpkg
aufrufen, aber dann wird das chroot-Gefängniss etwas
komplizierter
Sie werden es wahrscheinlich brauchen, wenn Sie NFS (Network FileSystem) oder NIS (Network Information System) oder andere RPC-basierende Services benutzen.
Im Gegensatz zu anderen persönlichen Firewalls für andere
Betriebssysteme, stellt Debian GNU/Linux (noch) nicht eine
Firewall-Erstellungs-Schnittstele zur Verfügung, die Regeln erstellen
können, die einzelne Prozesse oder User einschränken. Jedoch kann
der iptables-Code so konfiguriert werden, dass er dies kann (siehe dazu das
"owner" Modul in der Manualseite iptables(8)
manpage)
Es gibt über 28 Fähigkeiten einschliesslich: CAP_BSET, CAP_CHOWN, CAP_FOWNER, CAP_FSETID, CAP_FS_MASK, CAP_FULL_SET, CAP_INIT_EFF_SET, CAP_INIT_INH_SET, CAP_IPC_LOCK, CAP_IPC_OWNER, CAP_KILL, CAP_LEASE, CAP_LINUX_IMMUTABLE, CAP_MKNOD, CAP_NET_ADMIN, CAP_NET_BIND_SERVICE, CAP_NET_RAW, CAP_SETGID, CAP_SETPCAP, CAP_SETUID, CAP_SYS_ADMIN, CAP_SYS_BOOT, CAP_SYS_CHROOT, CAP_SYS_MODULE, CAP_SYS_NICE, CAP_SYS_PACCT, CAP_SYS_PTRACE, CAP_SYS_RAWIO, CAP_SYS_RESOURCE, CAP_SYS_TIME, and CAP_SYS_TTY_CONFIG. Alle können aktiviert oder deaktiviert werden, um Ihren Kernel abzusichern.
Um dies tun zu können, müssen Sie nicht lcap
installieren, aber es ist so einfacher, als mit der Hand
/proc/sys/kernel/cap-bound
anzupassen.
Anleitung zum Absichern von Debian
2.5 (beta) 5 marzo 2004Sat, 17 Aug 2002 12:23:36 +0200jfs@computer.org