[ zurück ] [ Inhalt ] [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ A ] [ B ] [ C ] [ D ] [ E ] [ F ] [ weiter ]

Anleitung zum Absichern von Debian
Kapitel 6 - Automatishen Abhärten eines Debian Systems


Nachdem Sie nun all die Informationen aus den vorherigen Kapiteln gelesen haben, fragen Sie sich vielleicht: "Ich habe sehr Ding zu erledigen um mein System abzusichen; könnte man das nicht automatisieren?" Die Antwort ist: "Ja, aber seien Sie vorsichtig mit automatischen Tools." Manche Leute denken, dass ein Absicherungstool nicht die Notwendigkeit für gute Systemadministration abschafft. Legen Sie sich also nicht selbst herein, indem Sie denken, dass Sie all die Prozesse automatisieren könnten, und sich alle betreffenden Angelegenheiten von selbst erledigen würden. Sicherheit ist ein andauernder Prozess, an dem der Administrator teilnehmem muss und nicht wegbleiben kann, damit irgendwelche Tools die Arbeit erledigen, weil kein einzelnes Tool mit den möglichen regelkonformen Sicherheits-Implementierungen, all den Attacken und all den Umgebungen bewältigen kann.

Seit Woody (Debian 3.0) gibt es zwei unterschiedliche Pakete, die nützlich für die Erhöhung der Sicherheit sind. Das Paket harden versucht auf Basis der Paket-Abhängigkeiten schnell wertvolle Sicherheits-Pakete zu installieren und Pakete mit Mängeln zu entfernen. Die Konfiguration der Pakete muss der Administrator erledigen. Das Paket bastille implementiert gegebene Sicherheits-Regeln für das lokale System bassierend auf einer vorhergehenden Konfiguration durch den Administrator (Sie können auch mit einfache Ja/Nein Fragen durch die Konfiguration geführt werden).


6.1 Harden

Das Paket harden versucht es einfacher zu machen Rechner, die gute Sicherehit benötigen, zu installieren und zu administrieren. Dieses Paket sollte von Leuten benutzt werden, die eine schnelle Hilfe zur Erhöhing System-Sicherheit haben wollen. Hierzu entfernt es Pakete mit bekannten Mängeln, einschliesslich (aber nicht beschränkt auf); Pakete mit bekannten Sicherheits-Fehlern (zum Beispiel Speicher-Überläufe), Pakete die Klartext-Passwörter verwenden, fehlende Zuganskontrolle, usw. Es installiert ausserdem automatisch einige Tools, die die Sicherheit auf unterschiedliche Art und Weise erhöhen: Werkzeuge zur Eindringlingserkennung, Tools zur Sicherheits-Analyse, und mehr. harden installiert die folgenden virtuellen Pakete (d.H. sie enthalten nichts, hängen aber von anderen Paketen ab).

Seien Sie wachsam, wenn Sie Software installiert haben, die Sie brauchen (und aus bestimmten Gründen nicht deinstalliert haben wollen) und Sie Aufgrund des Conflicts nicht mit einem der oben aufgeführten Pakete installiert werden kann. In diesem Fall können Sie harden nicht vollständig nutzen.

Die harden Pakete machen eigentlich gar nichts. Zumindest nicht direkt. Sie haben jedoch absichtliche Paket-Konflikte mit bekannten, unsicheren Paketen. Auf diese Art wird die Paket-Verwaltung von Debian die Installation von diesen Paketen nicht erlauben. Wenn Sie zum Beispiel bei installiertem harden-servers versuchen, mit apt einen telnet-Daemon zu installieren, werden Sie folgendes sehen:

     # apt-get install telnetd 
     The following packages will be REMOVED:
     	harden-servers
     The following NEW packages will be installed:
     telnetd 
     Do you want to continue (Y/n)

Dies sollte im Kopf des Administrators eine Alarmsirene auslösen, so dass er seine Aktion überdenken kann.


6.2 Bastille Linux

Bastille Linux ist ein automatisches Abhärtungs Tools, das ursprünglich für die RedHat und Mandrake Linux Distributionen gedacht war. Wie auch immer: Das Paket bastille aus Debian (seit Woody) ist angepasst, um dieselbe Funktionalität unter Debian GNU/Linux Systemen zur Verfügung zu stellen.

Bastille kann mit verschiedenen Oberflächen bedient werden (Alle sind in ihrer eigenen Handbuch-Seite dokumentiert), die dem Administrator erlauben:


[ zurück ] [ Inhalt ] [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ A ] [ B ] [ C ] [ D ] [ E ] [ F ] [ weiter ]

Anleitung zum Absichern von Debian

2.5 (beta) 14 febrero 2004Sat, 17 Aug 2002 12:23:36 +0200

Javier Fernández-Sanguino Peña jfs@computer.org