Re: System härten (harden, bastille)
Hi,
Roeschu Keller schrieb:
> Ich suche nützliche Scripts/Programme zum abhärten/kontrollieren eines Debian Systems.
> Mir ist der Securing Debian Guide auf der Debian Seite bekannt.
Die harden-*/bastille Pakete sind gut als Anfang. Du solltest dich aber
auf gar keinen Fall auf die "Scripts/Programme" welche du suchst
verlassen. Automatisches Hardening bietet eine sehr trügerische
Sicherheit, weil du im Endeffekt nicht wirklich weißt, was du erlaubst
und was nicht.
Eine meiner Meinung nach recht gute Vorgehensweise:
1. Zu aller erst prüfen, ob Dienste laufen die du nicht brauchst.
Insbesondere nach Möglichkeit Dienste, wie FTP, SMTP
(Klartextprotokolle) usw., vermeiden.
2. Sicherstellen, dass die eingerichteten Benutzerpasswörter mit
guten Passwörtern versehen sind (min. 5 Zeichen,
gemixte Groß- und Kleinschreibung, Sonderzeichen) und das ein
Hashing verwendet wird, dass besser als crypt ist (z.B. MD5
wie von der Debian Installation vorgeschlagen)
3. Dienste auf einschlägigen Seiten (insecurity, securityfocus, ..)
auf bekannte Bugs prüfen, Updates einspielen, Konfigurationen manuell
prüfen
4. bastille oder ähnliches benutzen, *nicht automatisch*
Bei jedem Vorschlag genauestens prüfen, was der bewirkt. Eventuell
Unklarheiten mit Google aus dem Weg räumen. Sinnvollerweise
schriftlich festhalten, was du mit harden machst.
5. Mit Hardening Howtos prüfen ob es Schwachstellen gibt, die das Harden
Tool nicht gefunden hat.
6. Security-Mailinglisten der verwendeten Dienste abonnieren, regelmäßig
auf Schwachstellen durchsuchen und regelmäßig Updates durchführen.
Bedenke: Absolute Sicherheit gibt es nicht. Aber mit oben geschriebener
Methode sollte man ganz gut fahren, denke ich. Wichtig ist aber zu
wissen, dass einmalige Maßnahmen nicht ausreichend sind.
Bitte an die anderen auf der Liste: Eventuell bitte ergänzen, wenn ich
was übersehen habe zu erwähnen. Danke.
Gruß
Patrick
Reply to: