[ zurück ] [ Inhalt ] [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ 12 ] [ A ] [ B ] [ C ] [ D ] [ E ] [ F ] [ G ] [ H ] [ weiter ]
Nachdem Sie nun all die Informationen aus den vorherigen Kapiteln gelesen haben, fragen Sie sich vielleicht: "Ich habe sehr viele Dinge zu erledigen, um mein System abzusichern. Könnte man das nicht automatisieren?" Die Antwort lautet: "Ja, aber seien Sie vorsichtig mit automatischen Werkzeugen." Manche Leute denken, dass ein Absicherungswerkzeug nicht die Notwendigkeit einer guten Systemadministration abschafft. Täuschen Sie sich also nicht selbst, indem Sie denken, dass Sie all die Prozesse automatisieren könnten, und sich alle betreffenden Angelegenheiten von selbst erledigen würden. Sicherheit ist ein andauernder Prozess, an dem der Administrator teilnehmen muss. Er kann nicht einfach wegbleiben und irgendwelche Werkzeuge die Arbeit erledigen lassen, weil kein einzelnes Werkzeug die Umsetzung aller Sicherheitsrichtlinien, aller Angriffe oder aller Umgebungen bewältigen kann.
Seit Woody (Debian 3.0) gibt es zwei unterschiedliche Pakete, die zur Erhöhung
der Sicherheit nützlich sind. Das Paket harden
versucht auf Basis
der Paket-Abhängigkeiten schnell, wertvolle Sicherheitspakete zu installieren
und Pakete mit Mängeln zu entfernen. Die Konfiguration der Pakete muss der
Administrator erledigen. Das Paket bastille
implementiert
gegebene Sicherheitsregeln für das lokale System, die auf einer vorhergehenden
Konfiguration durch den Administrator basieren (Sie können auch mit einfachen
Ja/Nein-Fragen durch die Konfiguration geführt werden).
Das Paket harden
versucht es einfacher zu machen, Rechner, die
gute Sicherheit benötigen, zu installieren und zu administrieren. Dieses Paket
sollte von Leuten benutzt werden, die eine schnelle Hilfe bei der Erhöhung der
Systemsicherheit haben wollen. Es installiert automatisch einige Werkzeuge,
die die Sicherheit auf unterschiedliche Art und Weise erhöhen: Werkzeuge zur
Eindringlingserkennung, Werkzeuge zur Sicherheitsanalyse und mehr.
harden
installiert die folgenden virtuellen Pakete (d.h.
sie enthalten nichts, hängen aber von anderen Paketen ab oder empfehlen diese):
harden-tools
: Werkzeuge, die die Sicherheit des Systems erhöhen
(Integritätsprüfung, Eindringlingserkennung, Kernel-Patches, ...)
harden-environment
: Hilft eine abgesicherte Umgebung zu
konfigurieren (derzeit leer)
harden-servers
: entfernt Server, die aus irgendeinem Grund als
unsicher gelten
harden-clients
: entfernt Clients, die aus irgendeinem Grund als
unsicher gelten
harden-remoteaudit
: Werkzeuge, um Systeme aus der Ferne zu
überprüfen.
harden-nids
: hilft bei der Installation eines Systems zur
Entdeckung von Netzwerkeindringlingen.
harden-surveillance
: hilft bei der Installation von Werkzeugen zum
Überwachen von Netzwerken und Diensten.
Nützliche Pakete, für die keine Abhängigkeit besteht:
harden-doc
: Stellt dieses und andere sicherheitsrelevante
Dokumente zur Verfügung.
harden-development
: Entwicklungswerkzeuge, um sicherere Programme
zu erstellen.
Seien Sie vorsichtig, wenn Sie Software installiert haben, die Sie brauchen
(und aus bestimmten Gründen nicht deinstallieren wollen), und die aufgrund
eines Konflikts mit einem der oben aufgeführten Pakete nicht installiert werden
kann. In diesem Fall können Sie harden
nicht vollständig nutzen.
Die harden Pakete machen eigentlich gar nichts. Zumindest nicht unmittelbar.
Sie haben jedoch absichtliche Paketkonflikte mit bekannten, unsicheren Paketen.
Auf diese Art wird die Paketverwaltung von Debian die Installation dieser
Paketen nicht erlauben. Wenn Sie zum Beispiel bei installiertem
harden-servers
-Paket versuchen, einen telnet-Daemon zu
installieren, wird Ihnen apt
Folgendes sagen:
# apt-get install telnetd Die folgenden Pakete werden ENTFERNT: harden-servers Die folgenden NEUEN Pakete werden installiert: telnetd Möchten Sie fortfahren? [J/n]
Dies sollte im Kopf des Administrators eine Alarmglocke auslösen, der sein Vorgehen überdenken sollte.
Bastille Linux
ist ein
Werkzeug zur automatischen Abhärtung, das ursprünglich für die
Linux-Distributionen Red Hat und Mandrake gedacht war. Wie auch immer: Das
Paket bastille
aus Debian (seit Woody) ist durch Patches
angepasst, um dieselbe Funktionalität unter Debian GNU/Linux Systemen zur
Verfügung zu stellen.
Bastille kann mit verschiedenen Oberflächen bedient werden (alle sind in ihrem eigenen Handbuch dokumentiert), die dem Administrator erlauben:
Schritt für Schritt Fragen zur erwünschten Sicherheit Ihres Systems zu
beantworten (siehe InteractiveBastille(8)
),
Standardeinstellungen zur Sicherheit (zwischen locker, moderat und paranoid)
für eine bestimmte Einrichtung (Server oder Arbeitsplatz-Rechner) zu benutzen,
und Bastille entscheiden zu lassen, welche Sicherheitsregelungen eingeführt
werden sollen (siehe BastilleChooser(8)
),
eine vorgefertigte Konfigurationsdatei (von Bastille oder vom Administrator) zu
nehmen und eine vorgegebene Sicherheitsregelung zu benutzen (siehe
AutomatedBastille(8)
).
[ zurück ] [ Inhalt ] [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ 12 ] [ A ] [ B ] [ C ] [ D ] [ E ] [ F ] [ G ] [ H ] [ weiter ]
Anleitung zum Absichern von Debian
Version: 3.11, Tue, 01 May 2012 03:23:37 +0000jfs@debian.org