AW: Debian in DMZ absichern
On Thu, Mar 20, 2014 at 09:28:02AM +0000, ralf.prengel@comline.de wrote:
> Hallo,
>
> eine Frage in die Runde:
> In einer DMZ steht ein Debian-System das gegen Manipulationen gesichert werden soll.
> Die Anwendungen wie Apache und ssh sind sauber abgesichert.
> Wie könnte ich sicherstellen das Änderungen am System (neue Dateien, geänderte Dateien etc) auffallen.
> Lokale Tests würden ja unterlaufen wenn mit der Kernel manipuliert wird.
> Meine erste Idee:
> Filesystem remote per ssh von einem Kontrollsystem mounten und alle Dateien prüfen.
>
>
Die Frage ist etwas allgemein gestellt.
Es werden auf jedem Rechner Dateien veraendert. Das ist wohl auch meistens gewollt und erforderlich. Es muss halt definiert werden, was eine ungewollte Aenderung darstellt, und das musst Du machen, denn das kann Dir hier keine beantworten.
Aber zur weiteren Absicherung gibt es ein paar Sachen, die gemacht werden koennen. Das erste, was dabei in den Sinn kommt sind MAC (mandatory access controls). Hier gibt es mehrere Implementationen, SELinux und AppArmor seien hier genannt als die haeufig eingesetzten.
AppArmor ist etwas leichter fuer den Einstieg. SELinux ist fuer den Paranoiker.
Hallo,
lokale Sicherungen und Kontrollen auf dem Host sind klar.
Es geht darum wie ich das System von einem zweiten System auf Änderungen kontrollieren kann ohne das System zu stoppen.
Schiebt mir jemand ein Rootkit unter nützen mir lokale Kontrollen nicht mehr viel.
Gruss
Ralf Prengel
Manager
Customer Care
Comline AG
Hauert 8
D-44227 Dortmund/Germany
T +49 231 97575 904
F +49 231 97575 257
M +49 151 10831 157
E ralf.prengel@comline.de
www.comline.de
Vorstand Stephan Schilling
Aufsichtsrat Otto Prange (Vorsitzender) HR Dortmund B 14570 USt.-ID-Nr. DE 124727422
Reply to: