Anleitung zum Absichern von Debian
Contents
1. guarddog ist ein auf KDE beruhendes Paket zur Erstellung von Firewall Regeln Es richtet sich sowohl an Neu linge wie auch an Fortgeschrittene knet filter ist ein KDE Programm mit grafischer Oberfl che um Firewall und NAT Regeln f r iptables zu verwalten Es ist eine Alternative zu guarddog es ist jedoch etwas mehr auf fortgeschrittenere Benutzer ausge legt fireflier ist ein interaktives Werkzeug um Firewall Regeln zu erstellen Dazu analysiert es den Netzwerk verkehr und Anwendungen Es basiert auf einem Client Server Modell daher m ssen Sie sowohl den Ser ver fireflier server als auch einen der zahlreichen Clients fireflier client gtk Gtk Client fireflier client kde KDE Client oder fireflier client qt QT Client installieren e F r Server Systeme textbasiert fwbuilder eine objektorientierte graphische Oberfl che die Richtlinien Compiler f r verschiedene Firewall Plattformen inklusive Linux netfilter BSDs pf verwendet in OpenBSD NetBSD FreeBSD und MacOS X ebenso wie Zugriffslisten von Routern enth lt Es ist hnlich zu Enterprise Firewall Management Software Die vollst n dige Funktionalit t von fwbuilder ist auch von der Kommandozeile verf gbar shorewall ein Firewall Konfigurationswerkzeug das Unterst tzung f r IPsec sowie beschr nkte Unterst t zung f r Traffic Shaping und die Definition der Firewall Regeln bietet Die Konfiguration geschieht durch eine einfache Menge2. Dem Mail Server erlauben sich mit der Au enwelt zu verbinden Beachten Sie Dies ist nichtx f r die vorherigen Verbindungen notwendig erinnern Sie sich stateful filtering und k nnte entfernt werden iptables A FORWARD p tcp s 62 3 3 27 32 d 0 0 j ACCEPT Regeln f r den WWW Server AErlaube HTTP 80 Verbindungen mit dem WWW Server iptables A FORWARD p tcp s 0 0 0 0 0 d 62 3 3 28 32 dport 80 j ACCEPT Erlaube HTTPS 443 Verbindungen mit dem WWW Server iptables A FORWARD p tcp s 0 0 0 0 0 d 62 3 3 28 32 dport 443 j ACCEPT Dem WWW Server erlauben sich mit der Au enwelt zu verbinden Beachten Sie Dies ist nicht f r die vorherigen Verbindungen notwendig erinnern Sie sich stateful filtering und k nnte entfernt werden iptables A FORWARD p tcp s 62 3 3 28 32 d 0 0 j ACCEPT de Se de Se Kapitel D Aufsetzenden einer Bridge Firewall 152 153 Anhang E Beispielskript um die Standard Installation von Bind zu ndern Dieses Skript automatisiert den Vorgang die Standardinstallation des Name Servers bind in der Version 8 zu ndern so dass er nicht als Root l uft Hinweis Bei bind in der Version 9 in Debian ist dies standardm ig so Diese Version ist demnach der Version 8 von bind vorzuziehen Dieses Skript ist hier aus historischen Gr nden aufgef hrt und soll zeigen wie man diese Art von Ver nderungen sys temweit automatisieren kann Das Skript wird den Ben
3. Kapitel G Chroot Umgebung f r SSH 168 169 Anhang H Chroot Umgebung f r Apache H 1 Einleitung Das Programm chroot wird h ufig dazu benutzt einen Daemon in einen beschr nkten Verzeichnisbaum einzusperren Sie k nnen es dazu verwenden um Dienste von anderen abzuschirmen so dass Sicherheitsprobleme mit einem Softwarepaket nicht den ganzen Server gef hrden k nnen Durch die Verwendung des Skripts makejail wird es viel leichter einen Verzeichnisbaum in einer chroot Umgebung einzurichten und zu aktualisieren FIXME Apache can also be chrooted using http www modsecurity org which is available in libapache mod security for Apache 1 x and libapache2 mod security for Apache 2 x H 11 Lizenz Dieses Dokument ist urheberrechtlich von Alexandre Ratti 2002 gesch tzt Es steht unter einer doppelten Lizenz n mlich der GPL Version 2 GNU General Public License und der GNU FDL 1 2 GNU Free Documentation Licence Es wurde in dieses Handbuch mit seiner ausdr cklichen Genehmigung aufgenommen Siehe auch das Originaldokument http www gabuzomeu net alex doc apache index en html H 2 Installation des Servers Diese Vorgehensweise wurde auf Debian GNU Linux 3 0 Woody mit make jail 0 0 4 1 in Debian Testing getestet e Melden Sie sich als Root an und erstellen Sie ein neues Verzeichnis f r das Gef ngnis mkdir p var chroot apache e Erstellen Sie einen neuen Benutzer und eine neue Gruppe Der Apache in der chroo
4. Mein System ist angreifbar Sind Sie sich sicher auf Seite 138 zu finden Wenn Sie abenteuerlustig sind sollten Sie sich am System anmelden und die Informationen aller laufenden Prozesse speichern Sie bekommen eine Menge aus proc nnn Es ist m glich den gesamten ausf hrbaren Code aus dem Arbeitsspeicher zu ziehen sogar dann wenn der Angreifer die ausf hrbaren Dateien von der Festplatte gel scht hat Ziehen Sie danach das Stromkabel 2Das ist auch das Werkzeug mit dem die CD ROMs f r das Projekt Gibraltar http www gibraltar at erstellt werden Das ist eine Firewall auf einer Live CD ROM die auf der Debian Distribution beruht Kapitel 11 Nach einer Kompromittierung Reaktion auf einem Vorfall 126 11 2 Anlegen von Sicherheitskopien Ihres Systems Wenn Sie sich sicher sind dass das System kompromittiert wurde vergessen Sie nicht dass Sie weder der installierten Software noch irgendwelchen Informationen die sie an Sie liefert vertrauen k nnen Anwendungen k nnten von einem Trojaner befallen sein Kernel Module k nnten installiert worden sein usw Am besten ist es eine komplette Sicherheitskopie Ihres Dateisystems mittels dd zu erstellen nachdem Sie von einem sicheren Medium gebootet haben Debian GNU Linux CD ROMs k nnen dazu n tzlich sein da sie auf Konsole 2 eine Shell anbieten nachdem die Installation gestartet wurde mit Alt 2 und Enter aktivieren Sie sie Von dieser Shell aus sollten Sie eine
5. auf Seite 59 und das Coroner s Toolkit tct um nach dem Angriff eine Analyse durchzuf hren e honeyd und farpd um einen Honigtopf einzurichten der auf Verbindungen zu ungenutzten IP Adressen lauscht und diese an Skripte weiterleitet die echte Dienste simulieren Sehen Sie sich auch iisemulator an e tinyhoneypot um einen einfachen Honigtopf Server mit gef lschten Diensten einzurichten Falls Sie kein System brig haben um die Honigt pfe und Systeme die das Netzwerk sch tzen und kontrollieren zu bauen k nnen Sie die Technologie zur Virtualisierung einsetzen die in xen oder om User Mode Linux enthalten ist Wenn Sie diesen Weg w hlen m ssen Sie Ihren Kernel entweder mit kernel patch xen oder kernel patch uml patchen Sie k nnen mehr ber das Aufstellen eines Honigtopfs in Lanze Spitzners exzellentem Artikel To Build a Honeypot http www net security org text articles spitzner honeypot shtml aus der Know your Enemy Se rie Au erdem stellt das Honeynet Project http project honeynet org wertvolle Informationen ber das Auf stellen von Honigt pfen und der Analyse von Angriffen auf sie zur Verf gung 125 Kapitel 11 Nach einer Kompromittierung Reaktion auf einem Vorfall 11 1 Allgemeines Verhalten Wenn Sie w hrend eines Angriffs physisch anwesend sind sollte Ihre erste Reaktion sein den Rechner vom Netzwerk zu trennen indem Sie das Kabel aus der Netzwerkkarte ziehen wenn das keinen nachte
6. bin dircolors du install link mkfifo shred touch gt bin touch unlink lib libcrypto so 0 9 6 libdb3 so 3 gt libdb3 so 3 0 2 libdb3 so 3 0 2 11b2 80 1 gt 1ibzZ s0 1 1 4 Lee lapri sord iud sbin sshd share locale es LC_MESSAGES Kapitel G Chroot Umgebung f r SSH 165 var SSS EU H 27 directories n fileutils mo libc mo sh utils mo zoneinfo H Europe Madrid sshd sshd pid 733 files LC_TIME gt LC_MESSAGES Bei Debian 3 1 m ssen Sie sicherstellen dass das Gef ngnis auch die Dateien f r PAM enth lt Falls es nicht schon makejail f r Sie erledigt hat m ssen Sie folgende Dateien in die Chroot Umgebung kopiert ls etc pam d common x etc pam d common account etc pam d common auth etc pam d common password etc pam d common session G 2 3 Die Chroot Umgebung von Hand erstellen der schwierige Weg Es ist m glich eine Umgebung mit der Trial and Error Methode zu erstellen Dazu m ssen Sie die Traces und die Proto kolldateien des sshd Servers berwachen um die notwendigen Dateien herauszufinden Die folgende Umgebung die von Jose Luis Ledesma zur Verf gung gestellt wurde ist eine beispielhafte Auflistung der Dateien in einer chroot Umgebung f r ssh unter Debian 3 0 total 36 drwxr xr x drwxr xr x drwxr xr x drwxr xr x drwxr xr
7. er ist 5 MB statt 600 KB auf einem Debian GNU Linux System mit grafischen Subsystem und etwa 2 5 GB Software installiert und nicht auf ein kleines transportables Medium wie eine Diskette passt aber wohl auf einen tragbaren USB Speicher e Nicht alle Debian Pakete stellen MD5 Summen der installierten Dateien zur Verf gung da es derzeit nicht in der Richtlinie verlangt wird Sie k nnen allerdings nach der Installation die MD5 Summen aller Pakete mit debsums erstellen debsums generate missing keep Sobald der Schnappschuss erstellt wurde sollten Sie sicherstellen dass das entsprechende Medium schreibgesch tzt ist Sie k nnen es dann als Sicherheitskopie verwenden oder in ein Laufwerk stecken um jede Nacht mit cron die MD5 Summen des Systems mit Ihrem Schnappschuss zu vergleichen Wenn Sie keine berpr fung von Hand einrichten wollen k nnen Sie immer eines der Integrit tssysteme verwenden die diese Aufgabe und noch vieles mehr f r Sie erledigen werden Weitere Informationen finden Sie unter Regelm figes berpr fung der Integrit t auf Seite 120 4 20 Andere Empfehlungen 4 20 1 Benutzen Sie keine Software die von svgalib abh ngt SVGAIib ist ganz nett f r Konsolen Liebhaber wie mich aber in der Vergangenheit wurde mehrfach gezeigt dass es ziem lich unsicher ist Exploits durch zgv wurden ver ffentlicht und es war einfach Root zu werden Versuchen Sie die Nutzung von SVGAlib Programmen wann immer nur m gl
8. for i in bin x sbin usr bin usr sbin do f i amp amp type file i grep il perl n Stype amp amp echo i done Diese Liste schlie t die folgenden Dienstprogramme mit der Priorit t required oder important ein e usr bin chkdupexe aus dem Paket ut il linux e usr bin replay aus dem Paket bsdutils e usr sbin cleanup info aus dem Paket dpkg e usr sbin dpkg divert aus dem Paket dpkg e usr sbin dpkg statoverride aus dem Paket dpkg e usr sbin install info aus dem Paket dpkg e usr sbin update alternatives aus dem Paket dpkg e usr sbin update rc daus dem Paket sysvinit e usr bin grog aus dem Paket groff base e usr sbin adduser aus dem Paket adduser e usr sbin debconf show aus dem Paket debconf e usr sbin deluser aus dem Paket adduser e usr sbin dpkg preconfigure aus dem Paket debconf 8Sie k nnen auf einem anderen System eine Paket Attrappe mit equivs erstellen Kapitel 3 Vor und w hrend der Installation 33 e usr sbin dpkg reconfigure aus dem Paket debconf e usr sbin exigrep aus dem Paket exim e usr sbin eximconfig aus dem Paket exim e usr sbin eximstats aus dem Paket exim e usr sbin exim upgrade to r3 aus dem Paket exim e usr sbin exiqsumm aus dem Paket exim e usr sbin keytab 1ilo aus dem Paket lilo e usr sbin liloconfig aus dem Paket lilo e usr sbin lilo_find_mbr aus dem Paket lilo e usr sbin syslogd listfiles aus dem Paket sy
9. 4 11 10 berpr fen der Benutzer Wenn Sie wirklich paranoid sind sollten Sie eine systemweite Einrichtung verwenden um zu berwachen was die Benut zer auf Ihrem System tun In diesem Abschnitt werden einige Tipps vorgestellt wie Sie verschiedene Werkzeuge verwen den berwachung von Ein und Ausgabe mittels eines Skripts Um sowohl die von den Benutzern ausgef hrten Programme als auch deren Ergebnisse zu berwachen k nnen Sie den Be fehl script verwenden Sie k nnen script nicht als eine Shell einsetzen auch dann nicht wenn Sie es zu etc shells hinzuf gen Aber Sie k nnen in die Datei welche den Startvorgang der Shell steuert folgendes eintragen umask 077 exec script q a var log sessions USER Wenn Sie dies systemweit vornehmen bedeutet dies nat rlich dass die Shell die weiteren pers nlichen Startdateien nicht abarbeitet weil die Shell von script berschrieben wird Eine Alternative ist dies in den Startdateien des Benutzers vorzunehmen dann kann der Benutzer aber dies entfernen vgl dazu die Anmerkungen unten Sie m ssen auch die Dateien im berwachungsverzeichnis im Beispiel var log sessions so einrichten dass die Benutzer in sie schreiben sie aber nicht l schen k nnen Dies kann zum Beispiel bewerkstelligt werden indem die Sit zungsdateien der Benutzer vorab erstellt und mit chattr auf append only nur anf gen gesetzt werden Eine sinnvolle Alternative f r Systemadministratoren die auch
10. Au erdem sollten Sie beachten dass manche Pakete noch Sicherheitsprobleme haben k nnen weil das Installationsmedium nicht auf dem aktuellen Stand ist Dies ist f r gew hnlich dann der Fall wenn Sie von lteren Medien wie CD ROMs installieren In diesem Fall k nnte Ihr System bereits kompromittiert sein bevor Sie mit der Installation fertig sind Da die Debian Installation und die Upgrades ber das Internet durchgef hrt werden k nnen denken Sie vielleicht es sei eine gute Idee dies gleich w hrend der Installation zu nutzen Wenn das System direkt mit dem Internet verbunden ist und nicht von einer Firewall oder NAT gesch tzt wird ist es besser das System ohne Internet Verbindung zu installieren Benutzen Sie sowohl f r die zu installierenden Pakete als auch f r die Sicherheitsaktualisierungen eine lokale Quelle Spie gel Sie k nnen einen Paket Spiegel aufsetzen indem Sie ein anderes System nutzen dass mit dem Internet verbunden ist 3Seit Debian GNU Linux 4 0 mit dem Codenamen Etch Kapitel 3 Vor und w hrend der Installation 29 und f r Debian spezifische Werkzeuge falls es sich um ein Debian System handelt wie apt move oder apt proxy oder andere gebr uchliche Werkzeuge zur Erstellung von Spiegeln verwendet Damit kann das Archiv f r das installierte System zur Verf gung gestellt werden Sollte dies nicht m glich sein sollten Sie Firewall Regeln aufsetzen die den Zugriff auf Ihr System beschr nken w hrend
11. Beschrieben wie Benutzer eingeschr nkt werden so dass sie nur Datei bertragungen durchf hren k nnen Einen Hinweise auf die Entscheidung der nderung der Vertraulichkeit der Mailingliste debian private hinzugef gt Den Verweis auf die Anleitung zum Umgang mit Vorf llen aktualisiert Einen Hinweis darauf eingef gt dass Entwicklerwerkzeuge wie Compiler nicht mehr standardm ig in Etch instal liert werden Den Verweis auf den Master Security Server korrigiert Kapitel 1 Einleitung 7 Einen Hinweis auf die Dokumentation zu APT secure eingef gt Die Erl uterung der APT Signaturen verbessert Einige Stellen auskommentiert die sich auf noch nicht fertig gestellte Abschnitte der offiziellen ffentlichen Schl ssel von Spiegelservern bezogen Den Namen des Debian Testing Sicherheitsteams korrigiert In einem Beispiel den Verweis auf Sarge entfernt Den Abschnitt ber Antivirus aktualisiert ClamAV ist jetzt in der Ver ffentlichung enthalten Erw hnte auch den Installer f r F prot Alle Verweise auf Freeswan entfernt da es veraltet ist Probleme beschrieben die beim Ver ndern der Firewall Regeln aus der Ferne auftreten k nnen und gab einige Tipps in Fu noten Informationen zur IDS Installation aktualisiert BASE und das Bed rfnis nach einer Protokollierungsdatenbank er w hnt Den Abschnitt Bind nicht als Root laufen lassen neu geschrieben da dies nicht mehr auf Bind9 zutrifft Entfernte auch Verweise auf das ini
12. Y get_md5sumsize Release S LOOKUP Y echo Y sed Tei si rai si lg Y echo SY sed s s s x g if e var lib apt lists FILE then if Sy then 55 7 55 7 return ER X md5sum lt var lib apt lists FILE we c lt var lib apt lists FILE X echo X sed s 5s x g X echo X sed s s 3s x g if x Sy then echo SFILE gt gt BAD echo BAD 7 5 4 Pr fung der Release Datei von Debian fremden Quellen Beachten Sie dass wenn Sie die neuste Version von Apt mit Secure Apt einsetzen kein zus tzlicher Aufwand auf Ihrer Seite notwendig sein sollte wenn Sie keine Debian fremden Quellen verwenden Anderenfalls erfordert apt get eine zu s tzliche Best tigung Dies wird verhindert wenn Release und Release gpg Dateien in den Debian fremden Quellen zur Verf gung stehen Die Release Datei kann mit apt ftparchive ist in apt utils 0 5 0 und sp ter enthalten er stellt werden die Release gpg ist nur die abgetrennte Signatur Beide k nnen mit folgender einfacher Prozedur erstellt werden rm f dists unstable Release apt ftparchive release dists unstable gt dists unstable Release gpg sign ba o dists unstable Release gpg dists unstable Release 7 5 5 Alternativer Entwurf zur Einzelsignierung von Paketen Dieser zus tzliche Entwurf jedes Paket einzeln zu signieren erlaubt es Pakete zu pr
13. e daemon Einige unprivilegierte Daemonen die Dateien auf die Festplatte schreiben m ssen laufen als dae mon daemon z B portmap atd wahrscheinlich noch andere Daemonen die keine eigenen Dateien besitzen m s sen k nnen stattdessen als nobody nogroup laufen Komplexere oder sicherheitsbewusste Daemonen laufen als ei genst ndige Benutzer Der Benutzer daemon ist auch praktisch f r lokal installierte Daemons e bin aus historischen Gr nden beibehalten e sys das gleiche wie bei bin Jedoch geh ren dev vcs und var spool cups der Gruppe sys e sync Die Shell des Benutzers sync ist bin sync Wenn das Passwort auf etwas leicht zu ratendes gesetzt wurde zum Beispiel kann jeder das System von der Konsole aus synchronisieren lassen auch wenn er kein Konto hat e games Viele Spiele sind SETGID games damit sie ihre Highscore Dateien schreiben k nnen Dies wird in der Richtlinie erkl rt e man Das Programm man l uft manchmal als Benutzer man damit es Cat Seiten nach var cache man schrei ben kann e Ip wird von Druck Daemonen benutzt e mail Mailboxen unter var mail geh ren der Gruppe mail wie in der Richtlinie erkl rt wird Der Benutzer und die Gruppe werden auch von verschiedene MTAs zu anderen Zwecken benutzt e news Verschiedene News Server und hnliche Programme zum Beispiel suck benutzen den Benutzer und die Gruppe news auf unterschiedliche Weise Dateien im news Spool geh ren h ufig
14. etc lilo conf erlauben Root das Lesen und Schreiben und der Gruppe von lilo conf ebenfalls Root das Lesen Wenn Sie GRUB anstelle von LILO verwenden bearbeiten Sie boot grub menu 1st und f gen Sie die folgenden zwei Zeilen am Anfang ein dabei ersetzen Sie nat rlich hackmich mit dem vorgesehenen Passwort Dies verhindert dass Benutzer die Booteintr ge ver ndern k nnen timeout 3 legt eine Wartedauer von 3 Sekunden fest bevor Grub den Standard Eintrag bootet timeout 3 password hackmich Um die Integrit t Ihres Passwortes zus tzlich abzusichern k nnen Sie Ihr Passwort verschl sselt ablegen Das Dienstpro gramm grub md5 crypt erzeugt ein gehashtes Passwort das mit GRUBs Verschliisselungsalgorithmus MD5 kompati bel ist Um Grub mitzuteilen dass ein Passwort im MD5 Format verwendet wird benutzen Sie die folgende Anweisung timeout 3 password md5 1 bw0ez tl3jnxxKLfMzmnDVaQWgj3P0 Der Parameter md5 wurde hinzugef gt um bei Grub einen MD5 Authentifizierungsprozess zu erzwingen Das angege bene Passwort ist die mit MD5 verschl sselte Version von hackmich MD5 Passw rter sind Klartext Passw rtern vorzu ziehen Weitere Informationen ber Grub Passw rter k nnen Sie im Paket grub doc finden 4 5 Entfernen des Root Prompts von Initramfs Hinweis Dies betrifft alle Standard Kernel die nach Debian 3 1 ver ffentlicht wurden Die Linux Kernel 2 6 enthalten die M glichkeit w hrend des Bootvorgangs auf eine Root S
15. und den Ort an dem bind seine PID Datei erzeugt z B indem Sie var run named anstatt von var run verwenden mkdir var run named chown named named var run named vi etc named conf ndern Sie die Konfigurationsdatei um diesen neuen Pfad zu verwenden options pid file var run named named pid y caso A Au erdem m ssen Sie um zu verhindern dass irgendetwas als Root l uft im init d Skript die reload Zeile von reload usr sbin ndc reload in Folgendes ndern reload 0 stop sleep 1 0 start Hinweis Abh ngig von Ihrer Debian Version miissen Sie auch die restart Zeile ndern Dies wurde in der Version 1 8 3 1 2 von Debians BIND Paket repariert Alles was Sie jetzt noch tun m ssen ist bind mittels etc init d bind restart neu zu starten und dann Ihr Syslog auf zwei Eintr ge wie die folgenden zu pr fen Sep 4 15 11 08 nexus named 13439 group named Sep 4 15 11 08 nexus named 13439 user named Voil Ihr named l uft nicht mehr als Root Wenn Sie mehr Informationen dar ber lesen wollen warum BIND nicht als nicht root Benutzer auf Debian Systemen l uft sehen Sie bitte in der Fehlerdatenbank zu Bind nach insbesondere Bug 50013 bind should not run as root http bugs debian org 50013 und Bug 132582 Default install is poten tially insecure http bugs debian org 132582 Bug 53550 http bugs debian org 53550 Bug 52745 http bugs debian org 52745 und Bug 12812
16. 5 14 2 Sch tzen anderer Systeme durch eine Firewall 2 22 22 ee 83 ari A aeee ga aap eok p e E ORE e e a a aAa e E A 83 6 Automatisches Abh rten von Debian Systemen 89 EE 89 BR BeeT N e o ee en ae een AE O ek e QO euer et EE Ee 90 7 Die Infrastruktur f r Sicherheit in Debian 91 AE Das Sicherheitsfeam von Debian ociosa ae aa Lan kauen nn len EE e 91 2 2 Debian Sicherheie Ankundisungen E 2a w Ne her un ba der Ze at Ee e 91 7 2 1 Querverweise der Verwundbarkeiten 92 722 EVEKompabBilt l coi 24 Kira era re a Erika ih an Bad 92 7 3 Sicherheitsdafenba k o esas ee ei ER SHE en era ERA A ee A e RA AA e 93 74 Die Infrastruktur des Sicherheitsprozesses in Debian ee 93 7 4 1 Leitfaden ber Sicherheitsaktualisierungen f r Entwickler 94 793 Paketsignierung m Deblan zu eS Aer ana FAR a ie e AE es 94 75 1 Die aktuelle Methode zur Pr fung von Paketsignaturen 94 Pee o Ge EE EE EE 95 75 3 berpr fung der Distribution mit der Release Datei 2 2 ee ee ee 95 75 4 Pr fung der Release Datei von Debian fremden Quellen 103 7 5 5 Alternativer Entwurf zur Einzelsignierung von Paketen o o o ooo ooo o 103 8 Sicherheitswerkzeuge in Debian 105 8 1 Programme zur Fernpr fung der Verwundbarkeit socs ect s eo o 105 8 2 Werkzeuge zum Scannen von Netzwerken o o ec did ede sahen en ne na he a 105 Go tee u Karr hn Er ee ee ee en SE ee 106 Sa Testendesthiellesdes aii an MA Br ee re a amp SR er
17. GAZ Patehen des ssi Servers g 24 040 sb NEEN oat Meee eee ee bbe ee A eae 160 G2 Einsperren des SSH Servers invetnem Chroot Gefangnis EELER ENEE E nn EE A a 161 INHALTSVERZEICHNIS viii G 2 1 Einrichten eines minimalen Systems der wirklich leichte Weg lt oo ooo a 162 G 2 2 Automatisches Erstellen der Umgebung der leichte Weg o oo ooo oo 162 G 2 3 Die Chroot Umgebung von Hand erstellen der schwierige Weg oo ooo ooo 165 H Chroot Umgebung f r Apache 169 ELL Etuien e da Ad 169 FLLI E iia a ea a A A A ES eed Te en 169 HE Jne tilaton des perverse u en wae a a ee Re ee ek ea OY ee eee ae 169 H3 Weiterf hrende Informationen oscar aa ERDE BS Ra ee Rae ew EL 172 Kapitel 1 Einleitung Eines der schwierigsten Dinge beim Schreiben ber Sicherheit besteht darin dass jeder Fall einzigartig ist Sie m ssen zwei Dinge beachten Die Gefahrenlage und das Bed rfnis auf Sicherheit bei Ihnen Ihres Rechners oder Ihres Netzwerkes So unterscheiden sich zum Beispiel die Sicherheitsbed rfnisse eines Heimanwenders grundlegend von den Sicherheitsbed rf nissen des Netzwerkes einer Bank W hrend die Hauptgefahr eines Heimanwenders von Script Kiddies ausgeht muss sich das Netzwerk einer Bank wegen direkter Angriffe Sorgen machen Zus tzlich muss eine Bank die Daten ihrer Kunden mit mathematischer Pr zision besch tzen Um es kurz zu machen Jeder Benutzer muss selbst zwischen Benu
18. an sich nicht gilt dieser bietet aber nach wie vor entfernten Angreifern Informationen Es ist zu beachten dass einige DDoS distributed denial of service verteilte Dienstverweigerungen Angriffe RPC L cher benutzen um in das System einzudringen und als so genannter Agent Handler zu fungieren Sie ben tigen RPC nur dann wenn Sie einen RPC basierten Dienst verwenden Die bekanntesten RPC basierten Dienste sind NFS Network File System und NIS Network Information System Vergleichen Sie mit dem vorherigen Abschnitt f r weitere Information ber NIS Der File Alteration Monitor FAM der vom Paket fam bereitgestellt wird ist ebenso ein RPC Dienst und h ngt deshalb von portmap ab NFS Dienste sind in einigen Netzwerken ziemlich wichtig Wenn dies f r Sie der Fall ist m ssen Sie einen Ausgleich finden zwischen Sicherheit und Nutzbarkeit f r Ihr Netzwerk Sie k nnen mehr ber NFS Sicherheit im NFS HOWTO http www tldp org HOWTO NFS HOWTO html usr share doc HOWTO en txt NFS HOWTO txt gz finden Kapitel 5 Absichern von Diensten die auf Ihrem System laufen 82 5 13 1 Vollst ndiges Deaktivieren von RPC Diensten Das Abschalten von portmap ist relativ einfach Es gibt verschiedene Methoden Die einfachste in einem Debian 3 0 oder neueren System ist das Paket portmap zu deinstallieren Wenn Sie eine ltere Version von Debian laufen haben werden Sie den Dienst wie in Daemons abschalten auf Seite 29 beschrieben abschalten
19. chst daf r sorgen dass das Verzeichnis var chroot ssh den SSH Server und die Werkzeuge enth lt die Benutzer ben tigen die mit dem Server verbunden sind Wenn Sie das vorhaben sollten Sie sicherstellen dass OpenSSH Rechtetrennung Privilege Separation einsetzt was standardm ig so ist Dazu muss in der Konfigurationsdatei etc ssh sshd_config folgende Zeile enthalten sein UsePrivilegeSeparation yes Dadurch wird der entfernte Daemon so wenig Dinge wie m glich als Root ausf hren Wenn er also einen Fehler enthalten sollte kann damit nicht aus dem Chroot Gef ngnis ausgebrochen werden Beachten Sie dass anders als wenn Sie eine Chroot Umgebung f r jeden Benutzer einzeln einrichten in diesem Fall der SSH Daemon im selben Chroot Gef ngnis wie die Benutzer l uft Es gibt also mindestens einen Prozess in der Chroot Umgebung der als Root l uft Mit ihm ist es m glich aus dem Chroot Gef ngnis auszubrechen Beachten Sie auch dass SSH nur funktioniert wenn die Partition auf der die Chroot Umgebung eingerichtet wurde nicht mit der Option nodev gemountet wurde Wenn Sie diese Option verwenden bekommen Sie folgende Fehlermeldung PRNG is not seeded weil dev urandom nicht in der Chroot Umgebung funktioniert G 2 1 Einrichten eines minimalen Systems der wirklich leichte Weg Sie k nnen mit deboot st rap eine minimale Umgebung einrichten die ausschlie lich den SSH Server enth lt Daf r m s sen Sie nur eine Chroot Umgebung
20. e Fortgeschrittenes Routing Traffic Regelungen sind sicherheitsrelevant e Zugang ber ssh so einschr nken dass man nur bestimmte Befehle ausf hren kann e Benutzung von dpkg statoverride e Sichere M glichkeiten um mehreren Benutzern den Zugriff auf einen CD Brenner zu erlauben e Sichere Wege um T ne zusammen mit graphischer Darstellung ber ein Netzwerk zu leiten so dass die T ne eines X Clients ber die Sound Hardware eines X Servers abgespielt werden e Absichern von Web Browsern e Aufsetzen von ftp ber ssh e Benutzung von verschl sselten Loopback Dateisystemen e Verschl sselung eines ganzen Dateisystems e Steganographie Werkzeuge e Aufsetzen einer PKA f r eine Organisation e Einsatz von LDAP zur Verwaltung der Benutzer Es gibt ein HOWTO zu Idap kerberos f r Debian auf http www bayour com von Turbo Fredrikson e Wie man Informationen mit begrenztem Nutzen wie z B usr share doc oder usr share man auf Produk tivsystemen entfernt jawohl security by obscurity e Mehr Informationen ber Icap die sich auf die README Datei des Pakets st tzen gut die Datei ist noch nicht vor handen vergleiche Bug 169465 http bugs debian org cgi bin bugreport cgi bug 169465 und diesen Artikel der LWN Kernel development http lwn net 1999 1202 kernel php3 e Colins Artikel hinzuf gen wie man eine Chroot Umgebung f r ein komplettes Sid System aufsetzt http people debian org walters chroot html Kapi
21. e Gew hnlich sind Sicherheitsaktualisierungen f r den Unstable Zweig verf gbar wenn der Paketbetreuer ein neues Paket baut und f r den Stable Zweig wenn das Security Team eine neue Version hochl dt und ein DSA ver ffentlicht Beachten Sie dass beides nicht des Testing Zweig ver ndert e Wenn keine neuen Fehler in der Unstable Version des Pakets entdeckt werden wandert es nach ein paar Tagen nach Testing Das dauert normalerweise zehn Tage Es h ngt allerdings von der Priorit t des Hochladens der Ver nderung ab und davon ob das Paket von Testing zur ckgehalten wird da Abh ngigkeiten nicht aufgel st werden k nnen Beachten Sie dass wenn das Paket daran gehindert ist nach Testing zu wandern auch die Priorit t des Hochladens daran nichts ndern kann Dieses Verhalten k nnte sich je nach dem Status der Ver ffentlichung der Distribution ver ndern Wenn eine Ver ffentli chung unmittelbar bevorsteht werden auch das Sicherheitsteam oder die Paketbetreuer direkt Aktualisierungen f r Testing zur Verf gung stellen Additionally the Debian Testing Security Team http secure testing master debian net can issue Debian Testing Security Advisories DTSAs for packages in the testing branch if there is an immediate need to fix a security issue in that branch and cannot wait for the normal procedure or the normal procedure is being blocked by some other packages Benutzer die von diesem Angebot Gebrauch machen wollen m sse
22. es notwendig sein sollte werden Sie feststellen dass Debian viele Finger Daemonen zur Verf gung stellt hier die Ausgabe von apt cache search fingerd e cfingerd konfigurierbarer finger Daemon e efingerd ein weiterer Unix finger Daemon mit anpassbarer Ausgabe ffingerd ein sicherer finger Daemon fingerd Remote User Informationsserver xfingerd BSD hnlicher finger Daemon mit qmail Unterstiitzung ffingerd ist der empfohlene finger Daemon wenn Sie vorhaben einen ffentlichen Dienst anzubieten In jedem Fall sind Sie zu Folgendem ermutigt wenn Sie ihn ber inetd xinetd oder tcpserver aufzusetzen Schr nken Sie die Anzahl der Prozesse ein die gleichzeitig laufen d rfen schr nken Sie den Zugriff auf den Finger Daemon von bestimmten Hosts ein indem Sie tcp wrapper benutzen und lassen Sie ihn nur auf der notwendigen Schnittstelle lauschen 5 10 Allgemeine chroot und suid Paranoia chroot is one ofthe most powerful possibilities to restrict adaemon or a user or another service Just imagine a jail around your target which the target cannot escape from normally but there are still a lot of conditions that allow one to escape out of such a jail You can eventually create a modified root environment for the user or service you do not trust This can use quite a bit of disk space as you need to copy all needed executables as well as libraries into the jail But then even if the user does something malicious the sco
23. f gen Sie ihn einfach zu der Safe_ports Liste hinzu Dies ist aber NICHT empfohlen Passendes Aufsetzen und Konfigurieren des Proxy Cache Servers ist nur ein Teil der Absicherung Ihrer Site Eine andere notwendige Aufgabe ist es Squids Log Dateien zu analysieren um sicher zu gehen dass alles so arbeitet wie es soll Es gibt ein paar Pakete in Debian GNU Linux die einem Administrator hierbei helfen k nnen Die folgenden Pakete sind in Debian 3 0 Woody und Debian 3 1 Sarge verf gbar e calamaris Log Datei Analysator f r Squid oder Oops Proxy Log Dateien e modlogan ein modularer Log Datei Analysator e sarg Squid Analysis Report Generator e squidtaild Squid Log Beobachtungsprogramm Wenn Squid im Accelerator Mode betrieben wird agiert er auch als Web Server Aktivieren dieser Option erh ht die Komplexit t des Codes was ihn weniger vertrauensw rdig macht Standardm ig ist Squid nicht dazu konfiguriert als Web Server zu arbeiten Sie m ssen sich dar ber also keine Gedanken machen Sie sollen sicher sein dass es wirklich n tig ist wenn Sie diese Eigenschaft nutzen wollen Weitere Informationen ber den Accelerator Mode in Squid finden Sie im Squid User s Guide Accelerator Mode http www deckle co za squid users guide Accelerator_Mode 5 3 Absichern von FTP Wenn Sie wirklich FTP benutzen m ssen ohne ihn mit sslwrap zu umh llen oder innerhalb eines SSL oder SSH Tunnels sollten Sie ftp in das Hom
24. fen Sie dazu etc aliases Sorgen Sie daf r dass Roots Mails irgendwo hin geschickt werden wo sie auch gelesen werden lokal oder in der Ferne Es gibt noch andere Konten mit besonderen Funktionen und andere Aliase auf Ihrem System Auf einem kleinen System ist es wohl am einfachsten sicherzustellen dass alle Aliase auf das Root Konto verweisen und dass Mails an Root in das pers nliche Postfach des Systemadministrators weiter geleitet werden FIXME It would be interesting to tell how a Debian system can send receive SNMP traps related to security problems jfs Check snmptrapfmt snmp and snmpd Kapitel 4 Nach der Installation 55 4 13 3 Nutzen eines Loghosts A loghost is a host which collects syslog data remotely over the network If one of your machines is cracked the intruder is not able to cover the tracks unless hacking the loghost as well So the loghost should be especially secure Making a machine a loghost is simple Just start the syslogd with syslogd r and a new loghost is born In order to do this permanently in Debian edit etc default syslogd and change the line SYSLOGD in SYSLOGD r Als n chstes konfigurieren Sie die anderen Maschinen so dass sie ihre Daten an den Loghost zu senden F gen Sie einen Eintrag hnlich dem Folgenden zu der etc syslog conf hinzu facility level Ihr_Loghost Schauen Sie in die Dokumentation um zu erfahren wodurch Sie facility und level ersetzen k nnen sie soll
25. hren von Sicherheitsaktualisierungen auf Seite 35 beschrieben e Implementieren Sie die in dieser Anleitung vorgeschlagenen Ma nahmen zu Benutzer Quotas Ausgestaltung des Anmeldevorgangs und Lilo e Machen Sie sich eine Liste von allen Diensten die derzeit auf Ihrem System laufen Versuchen Sie dazu Folgendes ps aux netstat pn l A inet usr sbin lsof i grep LISTEN Damit das dritte Kommando funktioniert werden Sie 1so f 2 2 installieren m ssen und es als Root laufen lassen Beachten Sie dass 1so das Wort LISTEN passend zu Ihrer Lokalisation bersetzen kann Um einen unn tigen Dienst zu entfernen stellen Sie zun chst fest wie er gestartet wird und welches Paket ihn zur Verf gung stellt Sie k nnen dies ganz einfach machen indem Sie das Programm pr fen das auf dem Socket lauscht Das nachfolgende Shell Skript das die Programme 1sof und dpkg verwendet macht genau das bin sh FIXME this is quick and dirty replace with a more robust script snippet for i in sudo lsof i grep LISTEN cut d f 1 sort u do pack dpkg S i grep bin eut 1 d uniq echo Service i is installed by pack init dpkg L Spack grep init d if z Sinit then echo and is run by init Li done e Wenn Sie einen unerw nschten Dienst finden entfernen Sie das Paket mit dpkg purge Oder benutzen Sie update rc d siehe Daemons abschalten auf Seite 29 um ihn aus dem St
26. http www tldp org HOWTO Serial HOWTO html und im Remote Serial Console HOWTO http www tldp org HOWTO Remote Serial Console HOWTO index html Kapitel 4 Nach der Installation 38 4 4 Ein Passwort f r LILO oder GRUB einstellen Jeder kann sehr einfach eine Root Shell auf Ihrem System bekommen indem er einfach lt Name Ihres Bootimages gt init bin sh am Bootprompt eingibt Nachdem die Passw rter ge ndert und das System neu gestartet wurde hat die Person uneingeschr nkten Root Zugang und kann nach Belieben alles auf Ihrem System machen Nach dieser Prozedur haben Sie keinen Root Zugang mehr zu Ihrem System weil Sie das Root Passwort nicht kennen Um sicher zu stellen dass dies nicht passieren kann sollten Sie den Boot Loader mit einem Passwort sch tzen Sie k nnen zwischen einem globalen Passwort und Passw rtern f r bestimmte Images w hlen F r LILO m ssen Sie die Konfigurationsdatei etc lilo conf bearbeiten und eine password und restricted Zeile wie im folgenden Beispiel einf gen image boot 2 2 14 vmlinuz label Linux read only password hackmich restricted Stellen Sie danach sicher dass die Konfigurationsdatei nicht f r alle lesbar ist um zu verhindern dass lokale Benutzer das Passwort lesen k nnen Haben Sie dies getan rufen Sie lilo auf Wenn Sie die restricted Zeile weglassen wird LILO immer nach dem Passwort fragen egal ob LILO Parameter bergeben wurden oder nicht Die Standard Zugriffsrechte auf
27. ndlich in usr src linux Documentation networking ip sysctl txt beschrieben In lteren Ver ffentlichungen war checksecurity in cron integriert und die Datei hie etc cron daily standard 30In Debian kopiert das Paket kernel source version die Kernelquellen nach usr src kernel source version tar bz2 Ersetzen Sie einfach version mit der installierten Kernelversion Kapitel 4 Nach der Installation 61 4 18 2 Konfiguration von Syncookies Diese Option ist ein zweischneidiges Schwert Auf der einen Seite sch tzt es Ihr System vor dem berfluten mit syn Paketen Auf der anderen Seite verletzt es definierte Standards RFCs net ipv4 tcp_syncookies 1 Wenn Sie das dauerhaft fiir den Kernel festlegen wollen m ssen Sie in etc network options syncookies yes fest legen Jedes Mal wenn etc init d networking ausgef hrt wird was typischerweise beim Booten geschieht wird diese Option wirksam Dagegen wird folgendes nur eine einmalige Wirkung bis zum n chsten Neustart haben echo 1 gt proc sys net ipv4 tcp_syncookies Diese Option ist nur verf gbar wenn der Kernel mit CONFIG_SYNCOOKIES bersetzt wurde Alle Kernel von Debian wurden mit dieser Option kompiliert Sie k nnen das folgenderma en berpr fen sysctl A grep syncookies net ipv4 tcp_syncookies 1 Weitere Informationen zu TCP Syncookies finden Sie unter http cr yp to syncookies html 4 18 3 Absicherung des Netzwerks beim Hochfahren Wenn Sie
28. oder Verschl sselung m glich werden Die Handb cher finden Sie unter http localhost 631 oder http cups org FIXME Add more content the article on Amateur Fortress Building http www rootprompt org provides some very interesting views FIXME Check if PDG is available in Debian and if so suggest this as the preferred printing system FIXME Check if Farmer Wietse has a replacement for printer daemon and if it s available in Debian 5 6 Absichern des Mail Dienstes Wenn Ihr Server kein Mail System ist m ssen Sie nicht wirklich einen Mail Daemon haben der auf eingehende Verbin dungen reagiert Aber Sie wollen lokale Mails ausliefern um beispielsweise Mails an den Root User von irgendwelchen Alarmsystemen zu erhalten Wenn Sie exim haben m ssen Sie den Daemon nicht laufen lassen um dies zu erreichen da der Standard cron Job die Mails abarbeitet Sehen Sie in Daemons abschalten auf Seite 29 wie man dies erledigt Kapitel 5 Absichern von Diensten die auf Ihrem System laufen 73 5 6 1 Konfiguration eines Nullmailers Sie brauchen vielleicht einen lokalen Mail Daemon damit er die Mails die vom lokalen Rechner zu einem anderen System geschickt wurden versenden kann Dies ist blich wenn Sie eine Anzahl von Systemen zu administrieren haben und nicht zu jedem von diesen eine Verbindung aufbauen wollen um die dort lokal verschickten Mails zu lesen Genau wie all das Protokollieren eines jeden individuelle
29. r einen Benutzer mit einer anderen UID als 0 und einer anderen Gruppe als adm oder root machen Sie k nnen dies sehr leicht auf Ihrem System berpr fen find var log type E exec ls 1 cut e 17 35 sort u berpr fen welchen Benutzern die Dateien unter var log geh ren find var log type f exec ls 1 cut c 26 34 sort u berpr fen welchen Gruppen die Dateien unter var log geh ren find var log perm 004 Dateien die von jedem Benutzer gelesen werden k nnen find var log group root group adm exec ls ld Dateien die nicht der Gruppe root oder adm geh ren Um anzupassen wie neue Protokolldateien erstellt werden m ssen Sie wahrscheinlich das Programm anpassen das sie erstellt Wenn die Protokolldateien ausgewechselt werden k nnen Sie das Verhalten der Erstellung und Auswechslung anpassen 4 14 Den Kernel patchen Debian GNU Linux stellt verschiedene Patches f r den Linux Kernel zur Verf gung welche die Sicherheit erh hen Erkennung von Eindringlingen f r Linux Linux Intrusion Detection http www lids org enthalten im Pa ket lids 2 2 19 Dieser Kernelpatch erleichtert Ihnen Ihr Linuxsystem abzuh rten indem er Ihnen erm glicht Prozesse einzuschr nken zu verstecken und zu sch tzten sogar vor Root Er f hrt F higkeiten f r eine zwingende Zugangskontrolle ein Kapitel 4 Nach der Installation 56 e Linux Trustees http trustees sour
30. tzen m ssen auch auf das Testen der Installation eingehen Hinzuf gen wie man eine Proxy Firewall unter Debian GNU Linux aufsetzt unter der Angabe welche Pakete Proxy Dienste anbieten zum Beispiel xfwp ftp proxy redir smtpd dnrd jftpgw oops pdnsd perdition transproxy tsocks Sollte zu der Anleitung mit weiteren Informationen verweisen Erw hnenswert ist dass zorp jetzt Teil von Debian ist und eine Proxy Firewall ist und auch der Programmautor Debian Pakete zur Verf gung stellt Informationen ber die Service Konfiguration mit file rc Alle Referenzen und URLs pr fen und die nicht mehr verf gbaren aktualisieren oder entfernen Informationen ber m glichen Ersatz unter Debian f r h ufig eingesetzte Server die bei eingeschr nktem Funkti onsumfang n tzlich sind hinzuf gen Beispiele lokaler Lpr mit Cups Paket Lrp in der Ferne mit Lpr bind mit dnrd maradns apache mit dhttpd thttpd wn tux exim sendmail mit ssmtpd smtpd postfix squid mit tinyproxy ftpd mit oftpd vsftp Mehr Informationen ber sicherheitsrelevante Patches des Kernels unter Debian einschlie lich der oben aufgef hrten und insbesondere wie man diese Patches unter einem Debian System benutzt Erkennung von Eindringlingen Linux Intrusion Detection kernel patch 2 4 lids Linux Trustees im Paket trustees Kapitel 1 Einleitung 4 NSA Enhanced Linux http wiki debian org SELinux li
31. vom Paket linux image 2 6 18 4 686 zur Ver f gung gestellt wird Sie m ssen also zuerst ein Paket mit einem Kernel Image von Hand installieren Das genaue Kernel Image das Sie installieren sollten h ngt von Ihrer Architektur und Ihrer bevorzugten Kernelversion ab Wenn Sie das einmal erledigt haben k nnen Sie die Sicherheitsaktualisierungen des Kernels wie die jedes anderen Pakets durchf hren Beachten Sie allerdings dass Kernelaktualisierungen nur f r Aktualisierungen der gleichen Kernelversion wie der Ihrigen durchgef hrt werden D h apt wird nicht automatisch Ihren Kernel von 2 4 auf 2 6 aktualisieren oder von 2 4 26 auf 2 4 27 5 Das Installationssystem von aktuellen Debian Ver ffentlichungen wird den gew hlten Kernel als Teil des Paketsystems behandeln So k nnen Sie berpr fen welche Kernel Sie installiert haben COLUMNS 150 dpkg 1l linux imagex awk 1 ii print 0 Um festzustellen ob Ihr Kernel aktualisiert werden muss f hren Sie Folgendes aus kernfile readlink f vmlinuz kernel dpkg S kernfile awk F print 1 apt cache policy kernel linux image 2 6 18 4 686 Installiert 2 6 18 dfsg 1 12 Installationskandidat 2 6 18 dfsg 1 12 Versionstabelle x 2 6 18 dfsg 1 12 0 100 var lib dpkg status Wenn Sie eine Sicherheitsaktualisierung durchf hren die auch das Kernel Image umfasst m ssen Sie das System neu star ten damit die Sicherheitsaktualisierung Wirkung
32. z B ber nicht ffentliche Mailinglisten der Distribu tionen oder von Programmautoren Seien Sie also nicht berrascht in Sicherheitsank ndigungen Sicherheitsprobleme zu entdecken die nicht im Tracker enthalten sind 10 1 2 Fortlaufende Aktualisierung des Systems Sie sollten regelm ig Sicherheitsaktualisierungen durchf hren Der ganz berwiegende Anteil der Exploits nutzt bekann te Sicherheitsl cken aus die nicht rechtzeitig ausgebessert wurden Dies wird in der Ver ffentlichung von Bill Arbaugh http www cs umd edu waa vulnerability html dargestellt die 2001 auf dem IEEE Symposium on Security and Privacy vorgestellt wurde Das Durchf hren einer Aktualisierung wird unter Ausf hren von Sicherheitsaktualisie rungen auf Seite 35 beschrieben berpr fung von Hand welche Sicherheitsaktualisierungen verf gbar sind Debian besitzt ein Werkzeug um zu berpr fen ob ein System aktualisiert werden muss Viele Benutzer wollen aber einfach von Hand berpr fen ob Sicherheitsaktualisierungen f r ihr System zur Verf gung stehen Wenn Sie Ihr System nach der Beschreibung unter Ausf hren von Sicherheitsaktualisierungen auf Seite 35 eingerichtet haben m ssen Sie nur Folgendes tun apt get update apt get upgrade s berpr fen der zu aktualisierenden Pakete apt get upgrade checkrestart Neustart der Dienste die neu gestartet werden m ssen Weiter m ssen alle Dienste d
33. 0 0 1 8000 echo fnord host b ifconfig eth0 10 0 0 2 route add 23 0 0 1 gw 10 0 0 1 telnet 23 0 0 1 8000 Das scheint allerdings nicht mit Diensten zu funktionieren die mit 127 0 0 1 verbunden sind Sie sollten vielleicht fiir die Tests raw sockets verwenden 32Die Tatsache dass dieses Verhalten durch Routing ge ndert werden kann wurde von Matthew G Marsh in dem Bugtraq Thread beschrieben Kapitel 4 Nach der Installation 64 e Patchen des Kernels Y Along this text there will be many occasions in which it is shown how to configure some services sshd server apache printer service in order to have them listening on any given address the reader should take into account that without the fixes given here the fix would not prevent accesses from within the same local network 7 FIXME Comments on Bugtraq indicate there is a Linux specific method to bind to a given interface FIXME Submit a bug against netbase so that the routing fix is standard behavior in Debian 4 18 6 Schutz vor ARP Angriffen Wenn Sie den anderen Kisten in Ihrem LAN nicht trauen das sollte immer so sein da es die sicherste Einstellung ist sollten Sie sich vor den verschiedenen ARP Angriffen schiitzen Wie Sie wissen wird das ARP Protokoll dazu verwendet IP Adressen mit MAC Adressen zu verkntipfen fiir alle De tails siehe RFC826 ftp ftp isi edu in notes rfc826 txt Jedes Mal wenn Sie ein Paket an eine IP Adresse schicken wird eine ARP Aufl sun
34. 1 KonkigurationenesNulm alss 2 E eee a Henne ee ees 73 5 6 2 Anbieten eines sicheren Zugangs zu Mailboxen a pos siu ra ooo 73 36 Sicherer EMPIRE VOR MAS 2 2 64 24 44 chet teen en bt whe we bee an end 74 By Absicher yon BIND gie e nF een FR e een BE Res 74 5 7 1 Bind Konfiguration um Missbrauch zu verhindem e sus ee a 75 INHALTSVERZEICHNIS v 572 Aner des BIND Benutzers s ee A SIE EE OR CA A E au 76 S73 ChrochGetanenis t r den Nameserver 4 2 6 ea dee a e e en Henna nen 77 EENHEETEN 78 5 8 1 Verhindern dass Benutzer Web Inhalte ver ffentlichen 2 222 2 000 m nen 79 592 Rechtedier Pratokelld tsien 2 2 una Me RA POS e a E A e 79 5 8 3 Ver ffentlichte Web Datelen x 2 casa ua en we a ES nn ae ae 79 bo Absichern von Pinger e ceecee PEE ns er bias ee de ds de 80 510 Allgemeine chroot und suld Paranoia s s ceo copos sun eA e EE e 80 5 10 1 Automatisches Erstellen von Chroot Umgebungen 80 5 11 Allgemeine Klartextpasswort Paranoia AE upe EE EE EE EE T dee a A e EE 81 A TU eam eth ted a Oe ee ER le oes E ne WE aie A E e a A 81 5 13 Absichern von RPC Diensten lt so as 824 Haar oda a wed goa eae E e 81 5 13 1 Vollst ndiges Deaktivieren von RPC Diensten 82 5 19 2 Einschr nken des Zugriffs auf RPC Dienstes o ocios ds 1 En EE Ewe Pee dns in 82 5 14 Hinzuf gen von FirewallF higkeiten s so eais cado aaa en a a 82 3 141 Firewallendes lokalen Systeme soad edadea EE Oe Mae ee hed eee ana ahnen 82
35. 11 5 Ftp einschr nken bearbeiten von etc ftpusers Die Datei etc ftpusers enth lt eine Liste von allen Benutzern denen es nicht erlaubt ist sich auf dem Rechner mit Ftp einzuloggen Benutzen Sie diese Datei nur wenn Sie wirklich Ftp erlauben wollen wozu im Allgemeinen nicht geraten wird da es Klartext Passw rter benutzt Wenn Ihr Ftp Daemon PAM unterst tzt k nnen Sie dies ebenfalls benutzen um Benutzern bestimmte Dienste zu erlauben oder zu verbieten FIXME FEHLER Ist es ein Fehler dass ftpusers in Debian standardm ig nicht die Benutzer mit Administratorenrecht in base passwd beinhaltet Folgender Befehl ist ein bequemer Weg alle Systemkonten zu etc ftpusers hinzuzuf gen awk F tif 3 lt 1000 print 1 etc passwd gt etc ftpusers 4 11 6 Verwendung von Su Wenn es wirklich ben tigt wird dass Benutzer der Super User also Root d auf Ihrem System werden zum Beispiel um Pakete zu installieren oder neue Benutzer anzulegen k nnen Sie das Programm Su benutzen um Ihre Identit t zu wechseln Sie sollten jeden Login als Benutzer Root vermeiden und stattdessen das Programm Su benutzen Eigentlich ist die beste L sung Su zu entfernen und zu Sudo zu wechseln da es eine feinere Steuerung und mehr M glichkeiten bietet als Su Wie auch immer Su ist verbreiteter und wird auf vielen Unices eingesetzt 4 11 7 Verwendung von Sudo sudo allows the user to execute defined commands under another user s ident
36. 233 http www debian org security 2003 dsa 233 f r cvs und DSA 232 http www debian org security 2003 dsa 232 f r cupsys Hinweis Sie werden Ihr System neustarten m ssen wenn der Kernel aktualisiert wurde berpr fung von Aktualisierungen auf dem Desktop Seit Debian 4 0 Lenny gibt es in Debian update notifier das in einer Standardinstallation installiert wird Es ist eine GNOME Anwendung die beim Starten des Desktops mitgestartet wird Sie kann gepr ft welche Aktualisierungen f r Ihr System zur Verf gung stehen und diese installieren Daf r verwendet es update manager In dem Stable Zweig gibt es Aktualisierungen nur zum Entfernen von Sicherheitsproblemen oder dann wenn eine Zwi schenver ffentlichung point release angeboten wird Wenn das System richtig konfiguriert ist um Sicherheitsaktualisie rungen zu erhalten wie in Ausf hren von Sicherheitsaktualisierungen auf Seite 35 beschrieben und Sie mit cron die Kapitel 10 Vor der Kompromittierung 117 Paketinformationen aktualisieren werden Sie durch ein Desktop Symbol in dem Benachrichtigungsbereich des Desktops ber Aktualisierungen informiert werden Diese Benachrichtigung ist nicht aufdringlich und zwingt den Benutzer nicht dazu die Aktualisierungen zu installieren ber das Symbol kann der Desktop Benutzer mit dem Passwort des Systemadministrators zu einer einfachen graphischen Benutzeroberfl che gelangen um sich die verf gbaren Aktualisie
37. Anmeldungen als Root wie m glich zu erlauben Wenn nun jemand Root werden will ben tigt er zwei Anmeldungen So kann das Root Passwort nicht so leicht ausgetestet werden e Port 666 oder ListenAddress 192 168 0 1 666 Ver ndern Sie den Port auf dem ssh lauscht so dass ein Eindringling nicht wirklich sicher sein kann ob ein sshd Daemon l uft aber beachten Sie dass dies lediglich Sicherheit durch Verschleierung ist e PermitEmptyPasswords no Nicht gesetzte Passw rter spotten jeglicher Systemsicherheit e AllowUsers alex ref ich irgendwo Erlauben Sie nur bestimmten Benutzern sich via ssh auf der Maschine anzumelden benutzer host kann auch ver wendet werden um einen bestimmten Benutzer dazu zu zwingen nur von einem bestimmten Host aus zuzugreifen e AllowGroups wheel admin Erlauben Sie nur bestimmten Gruppenmitgliedern sich via ssh auf der Maschine einzuloggen AllowGroups und AllowUsers haben quivalente Verfahrensweisen um den Zugang zu der Maschine zu verwehren Es wird nicht berraschen dass es sich hierbei um DenyUsers und DenyGroups handelt e PasswordAuthentication yes Es ist allein Ihre Wahl was Sie hier eintragen Es ist sicherer Zugriff nur Benutzern zu erlauben die ssh Schl ssel in der Datei ssh authorized_keys haben Wenn Sie dies wollen setzen Sie es auf no e Disable any form of authentication you do not really need if you do not use for exam ple RhostsRSAAuthentication HostbasedA
38. Au erdem war in Debian 2 2 der NFS Server wie auch der Telnet Server Bestandteil der Standardinstallation 5Dies ist z B w nschenswert wenn Sie eine Chroot Umgebung zur Entwicklung einrichten Kapitel 3 Vor und w hrend der Installation 30 n chsten Upgrade des Pakets wieder herstellen Gehen Sie also sicher dass zumindest ein Link brig bleibt typischer weise ein K Link K steht f r kill Zus tzliche Informationen finden Sie im Abschnitt Anpassen des Bootvorgangs http www debian org doc manuals reference ch system s custombootscripts der Debian Referenz 2 Kapitel Debian Grundlagen You can remove these links manually or using update rc d see update rc d 8 For example you can disable a service from executing in the multi user runlevels by doing update rc d name stop X 2345 Wobei XX eine Zahl ist die bestimmt wann die Stop Aktion f r diesen Dienst ausgef hrt wird Bitte beachten Sie dass update rc d f Dienst remove nicht korrekt arbeiten wird wenn Sie nicht ile rc benutzen da alle Verkn pfun gen entfernt werden Nach einer Neuinstallation oder einem Upgrade dieses Paketes werden diese Verkn pfungen neu angelegt was Sie vermutlich nicht wollen Wenn Sie denken dass dies nicht sehr intuitiv ist haben Sie wahrscheinlich recht siehe Bug 67095 http bugs debian org 67095 Aus der Handbuchseite If any files etc rcrunlevel d SK name already exist then update rc d does noth
39. Benutzer sich mit Ihrem POP3 Daemon verbinden und dadurch Informationen ber Ihr System erlangen sollten Sie das Banner das der Dienst den Benutzern zeigt entfernen oder ver ndern 3 Wie Sie das anstellen k nnen h ngt von der Software ab mit der Sie einen bestimmten Dienst betreiben F r post fix stellen Sie beispielsweise das SMTP Banner in etc postfix main cf ein smtpd_banner myhostname ESMTP mail_name Debian GNU Andere Software kann nicht so leicht ver ndert werden ssh muss neu kompiliert werden um die angezeigte Version zu ndern Stellen Sie sicher dass Sie nicht den ersten Teil des Banners SSH 2 0 entfernen da Clients ihn verwenden um die von Ihrem Paket unterst tzten Protokolle zu identifizieren 12 1 8 Sind alle Debian Pakete sicher Das Sicherheitsteam von Debian kann nicht alle Pakete aus Debian auf potenzielle Sicherheitsl cken hin analysieren da es einfach nicht genug Ressourcen gibt um f r das gesamte Projekt ein Quellcodeaudit durchzuf hren Allerdings profitiert Debian von den Quellcode Pr fungen durch die Originalautoren Tats chlich k nnte ein Debian Entwickler in einem Paket einen Trojaner verbreiten und es gibt keine M glichkeit das nach zupr fen Sogar wenn es in einen Zweig von Debian eingef hrt werden w rde w re es unm glich alle m glichen Si tuationen abzudecken in denen der Trojaner ausgef hrt werden w rde Das ist der Grund warum Debian eine Keine Gew hrleistung Klause
40. Die meisten Distributionen beinhalten zum Gro teil die gleichen Anwendungen Der Hauptunterschied besteht in den Versionen dieser Programme die mit der stabilen Ver ffentlichung der Distribution ausgeliefert werden Zum Beispiel sind der Kernel Bind Apache OpenSSH Xorg gec zlib etc in allen Linux Distributionen vorhanden Ein Beispiel Red Hat hatte Pech und wurde ver ffentlicht als foo 1 2 3 aktuell war Sp ter wurde darin eine Sicherheitsl cke entdeckt Dagegen hatte Debian das Gl ck dass es mit foo 1 2 4 ausgeliefert wurde in dem der Fehler schon behoben war Das war der Fall beim gro en Problem mit rpc statd http www cert org advisories CA 2000 17 html vor ein paar Jahren Es besteht eine weitgehende Zusammenarbeit zwischen den jeweiligen Sicherheitsteams der gro en Linux Distributionen Bekannte Sicherheitsaktualisierungen werden selten wenn nicht sogar nie von den Anbietern der Distribution nicht ein gespielt Das Wissen um eine Sicherheitsl cke wird niemals vor anderen Anbietern von Distributionen geheim gehalten da die Ausbesserungen gew hnlich vom Programmautor oder von CERT http www cert org koordiniert werden Das hat zur Folge dass notwendige Sicherheitsaktualisierungen blicherweise zur selben Zeit ver ffentlicht werden Damit ist die relative Sicherheit der verschiedenen Distributionen ziemlich hnlich Einer gro en Vorteile von Debian in Hinblick auf die Sicherheit ist die Leichtigkeit von Systemak
41. Es war geplant dass Apt jenach dem verf gbaren Schl ssel eine der beiden Unterschriften akzeptieren w rde Aber es zeigte sich ein Fehler in Apt da es sich weigerte der Datei zu vertrauen wenn es nicht beide Schl ssel hatte und somit beide Unterschriften berpr fen konnte Dies wurde in der Version 0 6 43 1 ausgebessert Es gab auch Verwirrung dar ber wie der Schl ssel an Benutzer verteilt wird die bereits Secure Apt auf ihrem System laufen lassen Am Anfang wurde er auf die Webseite hochgeladen ohne Ank ndigung und ohne eine echte M glichkeit ihn zu berpr fen und die Benutzer mussten ihn per Hand herunterladen Bekannte Probleme bei der Pr fung der Release Datei Ein nicht offensichtliches Problem ist dass Secure Apt nicht funktioniert wenn Ihre Uhr sehr verstellt ist Wenn sie auf ein Datum in der Vergangenheit wie 1999 eingestellt ist wird Apt mit einer nichts sagenden Ausgabe wie dieser abbrechen W GPG error http archive progeny com sid Release Unknown error executing gpg Dagegen macht apt key das Problem deutlich gpg key 2D230C5F was created 192324901 seconds in the future time warp or clock problem gpg key 2D230C5F was created 192324901 seconds in the future time warp or clock problem pub 1024D 2D230C5F 2006 01 03 uid Debian Archive Automatic Signing Key 2006 lt ftpmaster debian org gt Falls die Uhr nicht zu weit vorgeht behandelt Apt die Schl ssel als abgelaufen Wenn Sie Testing oder Unstable
42. Ihr System zutrifft erkennen Sie daran ob proc sys kernel sysrg existiert und an dessen Wert cat proc sys kernel sysrq 438 Der oben gezeigte Standardwert erlaubt alle S Abf Funktionen mit Ausnahme der M glichkeit Signale an Prozesse zu senden Zum Beispiel k nnen Benutzer die an der Konsole angemeldet sind alle Systeme nur lesend neu einh ngen das System neu starten oder eine Kernelpanik ausl sen Wenn alle F higkeit aktiviert sind oder in lteren Kernel Versionen fr her als 2 6 12 wird der Wert einfach 1 sein Sie sollten diese F higkeit deaktivieren wenn der Zugang zur Konsole nicht auf angemeldete Benutzer beschr nkt ist n mlich wenn die Konsole an ein Modem angebunden ist es leichten physischen Zugang zum System gibt oder es in einer virtuellen Umgebung l uft und andere Benutzer auf die Konsole zugreifen k nnen Daf r m ssen Sie etc sysctl conf bearbeiten und folgende Zeile einf gen Schaltet die Magische S Abf Taste ab kernel sysrq 0 Weitere Informationen finden Sie im security chapter in the Remote Serial Console HOWTO http tldp org HOWTO Remote Serial Console HOWTO security sysrq html in der Kernel SysRQ documentation http kernel org doc Documentation sysrq txt und dem Wikipedia Eintrag zur Magischen S Abf Taste https de wikipedia org wiki Magische_S Abf Taste Kapitel 4 Nach der Installation 41 4 10 Partitionen auf die richtige Art einh ngen Wenn Sie ein Ext Datei
43. Ipd und Iprng Problematik Stellen Sie sich vor Sie kommen zur Arbeit und der Drucker spuckt endlose Mengen von Papier aus weil jemand eine DoS Attacke gegen Ihren Drucker Daemon durchf hrt Unangenehm oder In jeder UNIX Druck Architektur muss es einen Weg geben um die Daten des Clients zu dem Druck Server zu schicken Traditionell machen dies lpr und 1p so dass das Client Kommando die Daten in das Spool Verzeichnis kopiert oder symbolisch verlinkt weshalb diese Programme normalerweise SUID oder SGID sind Um jede Gefahr zu vermeiden sollen Sie Ihren Druck Server besonders sicher halten Dies hei t dass Sie Ihren Druck dienst so konfigurieren m ssen dass er nur Auftr ge von vertrauensw rdigen Rechnern annimmt Hierzu m ssen Sie die Rechner von denen Sie Druckauftr ge entgegennehmen m chten in die Datei etc hosts 1pd eintragen Allerdings akzeptiert der 1pr Daemon auch wenn Sie dies getan haben Verbindungen auf Port 515 auf jeder Schnittstelle Sie sollten sich berlegen ob Sie Verbindungen von Netzwerken Rechnern die nicht drucken d rfen mittels Firewall blocken wollen der 1pr Daemon kann nicht so konfiguriert werden dass er nur auf eine bestimmte IP Adresse lauscht Sie sollten Lprng gegen ber lpr vorziehen da er so konfiguriert werden kann dass er Zugangskontrolle ber IP be herrscht Und Sie k nnen spezifizieren auf welche Schnittstelle er sich binden soll wenn auch etwas sonderbar Wenn Sie Ihren Druck
44. Jens Seidel hergestellt Patch von Joost van Baal angewendet mit dem die Informationen im Firewall Abschnitt verbessert werden Verweis auf das Wiki anstatt alle verf gbaren Firewall Paket aufzulisten schlie t 339865 Den FAQ Abschnitt ber die Verwundbarkeitsstatistiken berarbeitet dank Carlos Galisteo de Cabos Hinweis dass der Abschnitt veraltet ist Das Zitat des Social Contracts 1 1 anstatt von 1 0 verwendet wie von Francesco Poli vorgeschlagen Kapitel 1 Einleitung 9 1 6 13 Version 3 5 November 2005 nderung von Javier Fern ndez Sanguino Pefia Hinweis im SSH Abschnitt eingef gt dass Chroot nicht funktioniert wenn die Option nodev mit der Partition ver wendet wird und auf das neuste ssh Paket mit dem chroot Patch verwiesen Vielen Dank an Lutz Broedel f r diese Hinweise Einen Tippfehler ausgebessert der von Marcos Roberto Greiner entdeckt wurde md5sum sollte shalsum im Code Schnipsel sein Jens Seidels Patch eingef gt der eine Anzahl von Paketnamen und Tippfehlern verbesserte Kleine Aktualisierung des Werkzeugabschnitts Werkzeuge entfernt die nicht l nger verf gbar sind und einige neue hinzugef gt Teile des Abschnitts neu geschrieben in dem es darum geht wo und in welchen Formaten dieses Dokument erh ltlich ist die Website stellt eine PDF Version zur Verf gung Auch angemerkt dass Kopien auf anderen Sites und ber setzungen veraltet sein k nnten viele der Treffer auf Google f r diese
45. Kernel Modulen verwenden die Sie brauchen um auf das eingebrochene System zugreifen zu k n nen Sie k nnen das Paket mkinitrd cd benutzen um eine solche CD ROM zu erstellen Auch die CD ROM von FIRE http biatchux dmzs com fr her als Biatchux bekannt k nnte hilfreich sein da diese Live CD ROM forensische Werkzeuge enth lt die in solchen Situationen n tzlich sind Es gibt noch kein Programm wie dieses das auf Debian basiert Es gibt auch keinen leichten Weg eine CD ROM mit Ihrer Auswahl von Debian Paketen und mkinitrd cd zu erstellen Daher werden Sie die Dokumentation lesen m ssen wie Sie Ihre eigenen CD ROMs machen Wenn Sie eine Kompromittierung wirklich schnell reparieren wollen sollten Sie den kompromittierten Rechner aus dem Netzwerk entfernen und das Betriebssystem von Grund auf neu installieren Dies k nnte nat rlich nicht sehr wirkungs voll sein da Sie nicht erfahren wie der Eindringling zuvor Root Rechte bekommen hat Um das herauszufinden m ssen Sie alles pr fen Firewall Integrit t der Dateien Log Host Protokolldateien und so weiter Weitere Informationen was Sie nach einem Einbruch unternehmen sollten finden Sie in CERT s Steps for Recovering from a UNIX or NT System Compromise http www cert org tech_tips root_compromise html oder in Sans Incident Handling Guide http www sans org y2k DDoS htm Einige h ufige Fragen wie mit einem gehackten Debian GNU Linux System umzugehen ist sind unter
46. Kom mentare Erg nzungen oder Vorschl ge haben schicken Sie ihm diese bitte Sie werden dann in k nftigen Ausgaben dieses Handbuchs ber cksichtigt werden Bei Fehlern in dieser bersetzung wenden Sie sich bitte an den aktuellen deutschen bersetzer Simon Brandmair mailto sbrandmair gmx net oder wenn dieser nicht erreichbar ist an die deutsche Mailingliste mailto debian 110n german lists debian org d Dieses Handbuch wurde als HOWTO von Alexander Reelsen mailto ar rhwd de ins Leben gerufen Nachdem es im Internet ver ffentlicht wurde gliederte es Javier Fern ndez Sanguino Pe a mailto jfs debian org in das Debian Documentation Project http www debian org doc ein Zahlreiche Menschen haben etwas zu diesem Handbuch beigesteuert alle Beitr ge sind im Changelog aufgef hrt aber die folgenden haben gesonderte Erw hnung verdient da sie bedeutende Beitr ge geleistet haben ganze Abschnitte Kapitel oder Anh nge e Stefano Canepa e Era Eriksson e Carlo Perassi e Alexandre Ratti e Jaime Robles e Yotam Rubin Kapitel 1 Einleitung 2 e Frederic Schutz e Pedro Zorzenon Neto e Oohara Yuuma e Davor Ocelic 1 2 Wo Sie diese Anleitung bekommen und verfiigbare Formate Sie k nnen sich die neueste Version der Anleitung zum Absichern von Debian beim Debian Documentation Project http www debian org doc manuals securing debian howto herunterladen oder anschauen Wenn Sie ei ne Kopie von einer an
47. Paketverwalter gebilligt das hei t verifiziert wurden Sie k nnen f r alle OpenSSL Anwendungen die SSL Verbindungen verifizieren n tzlich sein FIXME read debian devel to see if there was something added to this 8 8 Antiviren Werkzeuge Es gibt nicht viele Antiviren Werkzeuge in Debian wahrscheinlich weil die Benutzer von GNU Linux nicht von Viren betroffen sind Das Sicherheitsmodell von Unix trifft eine Unterscheidung zwischen privilegierten Prozessen Root und den Prozessen der Benutzer Daher kann ein b sartiges Programm das ein Benutzer empf ngt oder erstellt und dann ausf hrt nicht das System infizieren oder daran Ver nderungen vornehmen Es existieren dennoch W rmer und Viren f r GNU Linux auch wenn es bisher keinen Virus gab der sich im Freien weit ber eine Debian Distribution verbreitet hat Wie dem auch sei Administratoren sollten vielleicht Antiviren Gateways aufbauen um verwundbarere Systeme in ihrem Netzwerk vor Viren zu sch tzen Debian GNU Linux bietet derzeit die folgenden Werkzeuge zum Erstellen von Antiviren Umgebungen an e Clam Antivirus http www clamav net das in Debian seit Sarge der 3 1 Ver ffentlichung enthalten ist Es sind Pakete sowohl f r den Virusscanner clamav des Scanner Daemons clamav daemon als auch f r die Da ten die der Scanner ben tigt verf gbar Da es f r die richtige Arbeit eines Antivirus Programms entscheidend ist dass seine Daten auf dem neusten Stand
48. Protokoll auf einer virtuellen Konsole auszugeben Die ist n tzlich da Sie so auch von weiter weg oder im Vorbei gehen sehen k nnen ob sich das System richtig verh lt Debians etc syslog conf wird mit einer auskommentierten Standardkonfiguration ausgeliefert Um diese Ausgabe einzuschalten entfernen Sie die Kommentarzeichen vor den ent sprechenden Zeilen und starten syslog neu etc init d syslogd restart daemon mail x news crit news err news notice debug info notice warn dev tty8 Um die Protokolle farbig zu gestalten sollten Sie einen Blick auf colorize ccze oder glark werfen Es gibt noch eine Menge tiber die Analyse von Protokollen zu sagen das hier nicht behandelt werden kann Eine gute Quelle fiir weitere Informationen sind B cher wie Security log management identifying patterns in the chaos http books google com books id UyktqN6GnWEC In jedem Fall sind selbst automatische Werkzeuge dem besten Analysewerkzeug nicht gewachsen Ihrem Gehirn Bei lteren Ver ffentlichungen von Debian sollte Sie Folgendes ausf hren apt cache showpkg libwrap0 egrep space sort u sed s libwrap0 s space Beachten Sie hier die Schreibweise da spawn nicht funktionieren wird 26Es gibt dar ber einen ziemlich guten Artikel von Lance Spitzner http www spitzner net swatch html Kapitel 4 Nach der Installation 54 4 13 1 Nutzung und Anpassung von logcheck D
49. README beschrie ben ausgeliefert Dadurch wird die Installation einiger Dienste erleichtert fiir die es notwendig ist unter einem passenden Benutzer UID zu laufen Wenn Sie nicht vorhaben neue Dienste zu installieren konnen Sie die Benutzer entfernen denen keine Dateien auf Ihrem System geh ren und die keine Dienste laufen lassen Unabh ngig davon ist das Standardverhalten in Debian dass UIDs von 0 bis 99 reserviert sind und UIDs von 100 bis 999 von Paketen bei der Installation erstellt werden und gel scht werden wenn das Pakete vollst ndig gel scht wird purge wird Benutzer denen keine Dateien geh ren finden Sie leicht mit dem folgenden Kommando f hren Sie es als Root aus da ein normaler Benutzer nicht gen gend Zugriffsrechte haben k nnte um einige sensible Verzeichnisse zu durchsuchen cut f 1 d etc passwd while read i do find user i grep q echo i done Diese Benutzer werden von dem Paket base passwd angelegt Sie finden Informationen ber die Behandlung dieser Benutzer unter Debian in der Dokumentation des Pakets Es folgt nun eine Liste der Standardbenutzer mit einer entspre chenden Gruppe Bedenken Sie dass damit Ihr gesamtes System durchsucht wird Falls Sie viele Festplatten und Partitionen haben sollten Sie u U den Suchrahmen einschr nken Kapitel 12 H ufig gestellte Fragen Frequently asked Questions FAQ 133 e root Root ist typischerweise der Superuser
50. RS 13 laz VERSION 2S September 2002 ara a e a a a A E ae RAS 13 1 6 33 Version 25 August 2002 resi EE EE a Lan a EL EN 13 1654 Version ZA AIN Re ae 16 VID Ner E E a EE EE 16 10 96 VERSIONE Bes e A E A EE 16 1637 Nash 22 ok A ee ee EB A Oe Se a Ee eee ee ee we es 16 Laa VEIA o y aa en an EE 17 16 39 Version 20 EE t a ee 17 LOAD Version LOF sna bee Bra Oe Be II a a Deren 18 LE VEO OO 2 A e e Se EGA OR Se BRS nn nme ne ich 18 1 642 Version 1 97 sss cu nun a u ab NN EEN A A A ENN ee A E A 18 1 68 Verion LIG serca ne bP ek A In a aa Dean 18 LOQUE Von OS as zu EA area EAA ORES RE CRESS nme ne eh 18 1 6 45 Version 1 94 2 cu u un au a ba ee a A A A ee e A 18 LOJE Versione OS u ee ee ee ee A EE be ee Flik 19 icd Aer za Keen A e ee RG OA ae Den CR e mie Bien SX E 19 1648 Version LOL EE AN ne Re eR a a een 19 TG AS Versione tof 6 eed ke ee eee he BG Ged e EE like 19 1 6 50 Version lS sss u 4 0 000 weisen EN ee a a ee ee a E 19 16 5 VESON LI A chee kad bees A ee hed Bees Ge eee eR R aaa a ed we Oo 4 20 IN EE e ad E Mee tank ees eG Chee a eae 20 1 6 53 Version LP resserrer ereer ee a a ee ee ae a E 20 16 54 Version LA ee hee ee ee ee re eee Be eee een 20 1035 Version oo 22822 Oh o aber SCRE Gees BB a ed Sk ee Ges 20 Lobe Version L2 E na A en Bee Oe See EN De ee Be hea BE e 21 tree Version ER u oo rr te ure er eR aoe Saal ew he eo a ee e a ee Fr e Nr 21 LOSS Versions so size o are oR Ee eee OEE ein Shee 21 17 TOSSA em
51. Ri 22562420 eee ed sak Wee Gee kn ab a es 121 10 5 Geniale paranoide Ideen was Sietunk nnen 122 103 1 Einrichten eines Honigtoptes honeypot e aoee aeu aaa sehen namen dran 123 11 Nach einer Kompromittierung Reaktion auf einem Vorfall 125 11 Allgemernes Verhalten ere ar ener ee ee 125 112 Anlegen von Sicherheltskopien Ihres Systems lt o res sr ee eed Pe Lee ee dene wear 126 11 3 Setzen Sie sich mit dem lokal CERT in Verbindung EE Oe ae Pe 126 oe on aee en ne erg Boe Way BN e Be RE Ehe E ae PRS CSG oe Roe Ree e RRS 126 1141 Analyse vonSchadprogrammen che ba bed eee ee ewe Re eee eae ee 127 12 H ufig gestellte Fragen Frequently asked Questions FAQ 129 12 1 Sicherheit im Webian Betiebssyetem o ame Bae ee ea eae He ea ERS Se eee eS 129 12 11 Ist Debiansicherer als A aus ea ee be a ES eee ee ee ea a eS 129 12 1 2 In Bugtraq gibt es viele Debian Fehler Hei t das dass es sehr gef hrdet ist 2 2 130 12 1 3 Hat Debian irgendein Zertifikat f r Sicherheit 044 ss ur hae rss nern na e 130 12 1 4 Gibt es irgendein Abh rtungsprogramm f r Debian 130 12 1 5 Ich m chte den Dienst XYZ laufen lassen Welchen sollte ich benutzen o o o o o ooo oo 130 12 1 6 Wie mache ich den Dienst XYZ unter Debian sicherer 2 ooo o ee 131 12 1 7 Wie kann ich die Banner von Diensten entfernen 2 2 mm mm nn 131 INHALTSVERZEICHNIS vii 12 1 8 Sind alle Debian Pakete sicher
52. Server konfigurieren Auf dem ssh Client muss ForwardX11 in etc ssh ssh_config auf yes gesetzt sein Auf dem ssh Server muss X11Forwarding in etc ssh sshd_config auf yes gesetzt sein und das Paket xbase clients muss installiert sein Dies liegt daran dass der SSH Server usr X11R6 bin xauth bei Debian Unstable usr bin xauth verwendet wenn er das Pseudo X Display aufsetzt In den Zeiten von SSH sollten Sie die xhost basierte Zugriffskontrolle komplett ber Bord werfen Wenn Sie keinen X Zugriff von anderen Maschinen ben tigen ist es f r die Sicherheit am besten die Bindung auf dem TCP Port 6000 abzuschalten indem Sie einfach Folgendes eingeben startx nolisten tcp Dies ist das Standard Verhalten unter XFree 4 1 0 dem Xserver aus Debian 3 0 und 3 1 Wenn Sie XFree 3 3 6 laufen lassen d h wenn Sie Debian 2 2 benutzen k nnen Sie etc X11 xinit xserverrc editieren damit Sie etwas erhalten wie bin sh exec usr bin X11 X dpi 100 nolisten tcp Wenn Sie XDM benutzen setzen Sie etc X11 xdm Xservers auf 0 local usr bin X11 X vt7 dpi 100 nolisten tcp Wenn Sie GDM benutzen stellen Sie sicher dass die Option DisallowTCP true in etc gdm gdm conf eingetragen ist was standardm ig unter Debian der Fall ist Dies wird grunds tzlich an jede X Befehlszeile nolisten tcp anh ngen Sie k nnen au erdem eine standardm fige Zeitgrenze f r die xscreensaver Bildschirmsperre setzen Auch wenn der Benutzer sie aufheb
53. Sicherheit in der Stable Ver ffentlichung verantwortlich Das bedeutet dass es Sicherheitsl cken nachgeht die in Software auftauchen indem es Foren wie Bugtraq oder vuln dev beobachtet und ermittelt ob davon die Stable Ver ffentlichung betroffen ist Das Sicherheitsteam von Debian ist auch der Ansprechpartner f r Probleme die von den Programmautoren oder Organisa tionen wie CERT http www cert org behandelt werden und die mehrere Linux Anbieter betreffen k nnen Das gilt f r alle Probleme die nicht debianspezifisch sind Die Kontaktadresse des Sicherheitsteams ist team security debian org mailto team security debian org die nur die Mitglieder des Sicherheitsteams lesen Heikle Informationen sollten an die erste Adresse geschickt werden und unter Umst nden mit dem Schl ssel von Debian Security Contact der sich in Debians Schl sselbund befindet verschl sselt werden Wenn das Sicherheitsteam ein m gliches Problem erh lt wird es untersuchen ob die Stable Ver ffentlichung davon be troffen ist Wenn dies der Fall ist wird eine Ausbesserungen des Quellcodes vorgenommen Diese Ausbesserung schlie t manchmal ein dass Patches der Programmautoren zur ckportiert werden da das Originalprogramm gew hnlich eini ge Versionen weiter ist als das in Debian Nachdem die Ausbesserung getestet wurde werden neue Pakete vorbereitet und auf der Seite security master debian org ver ffentlicht damit sie mit apt abgerufen werden k nnen
54. Sie auf jeden Fall gewarnt dass selbst diese Umgehungen des Problems nicht vor Puffer berl ufen sch tzen k nnen da es M glichkeiten gibt diese zu berlisten wie in Ausgabe 58 http packetstorm linuxsecurity com mag phrack phrack58 tar gz des phrack Magazins oder in COREs Advisory Multiple vulnerabilities in stack smashing protection technologies http online securityfocus com archive 1 269246 beschrieben Wenn Sie Ihren Schutz gegen Puffer berl ufe unabh ngig von der gew hlten Methode testen wollen k nnen Sie paxtest installieren und die angebotenen Tests laufen lassen 4 15 1 Kernelpatch zum Schutz vor Puffer berl ufen Ein Kernelpatch der Schutz vor Puffer berl ufen bietet ist der Openwall Patch der diese im Linux Kernel 2 2 verhin dern soll F r 2 4 oder neuere Kernel m ssen Sie die Umsetzung von Exec Shield oder die von PaX ist im Grsecurity Patch kernel patch 2 4 grsecurity und im Adamantix Patch kernel patch adamantix enthalten benutzen F r wei tere Informationen zum Einsatz dieser Patches lesen Sie Den Kernel patchen auf Seite 55 4 15 2 Pr fprogramme f r Puffer berl ufe Zur Nutzung von Werkzeugen zum Aufsp ren von Puffer berl ufen ben tigen Sie in jedem Fall Programmiererfahrung um den Quellcode zu reparieren und neu zu kompilieren Debian stellt beispielsweise bfbtester einen Uberlauftester der Programme per Brute Force durch Testen aller M glichkeiten nach berl ufen der Kom
55. Sie die Aktualisierung durchf hren siehe Schutz der Sicherheitsaktualisierung durch eine Firewall auf Seite 157 3 4 Setzen Sie ein Passwort f r Root Setting a good root password is the most basic requirement for having a secure system See passwd 1 for some hints on how to create good passwords You can also use an automatic password generation program to do this for you see Erstellen von Benutzerpassw rtern auf Seite 51 Im Internet gibt es zahlreiche Hinweise dazu wie man gute Passw rter w hlt Zwei Seiten die eine angemessene bersicht und Begr ndung bieten sind Eric Wolframs How to Pick a Safe Password http wolfram org writing howto password html und Walter Belgers Unix Password Security http www belgers com write pwseceng txt 3 5 Lassen Sie so wenige Dienste wie m glich laufen Dienste sind Programme wie FTP und Web Server Da sie auf eingehende Verbindungsanfragen die den Dienst anfordern warten m ssen k nnen sich externe Computer mit Ihrem Computer verbinden Dienste sind manchmal verwundbar das heift durch einen bestimmten Angriff kompromittierbar und stellen dadurch ein Sicherheitsrisiko dar Sie sollten keine Dienste installieren die Sie nicht unbedingt auf dem System brauchen Jeder installierte Dienst k nnte neue vielleicht nicht gerade offensichtliche oder bekannte Sicherheitsl cher auf Ihrem Computer ffnen Wie Sie vielleicht schon wissen wird ein Dienst sobald er installi
56. Sie neu schreiben wollen bez glich der Sicherheit evaluieren wollen sollten Sie das Secure Programs HOWTO http www tldp org HOWTO Secure Programs HOWTO durchlesen das Originaldokument ist unter http www dwheeler com secure programs verf gbar Es beinhaltet Pr sentationen und Kommentare des Autors David Wheeler Wenn Sie erw gen eine Firewall zu installieren sollten Sie das Firewall HOWTO http www tldp org HOWTO Firewall HOWTO html und das IPCHAINS HOWTO http www tldp org HOWTO IPCHAINS HOWTO html bei Kerneln vor Version 2 4 lesen Schlie lich kann es sinnvoll sein die Linux Security ReferenceCard http www linuxsecurity com docs QuickRefCard pdf griffbereit zu haben Auf jedem Fall gibt es mehr Informationen tiber die hier behandelten Dienste NFS NIS SMB in den vielen HOWTOs die Sie beim Linux Dokumentations Projekt http www tldp org finden Manche dieser Dokumente gehen auf die Sicherheitsaspekte von bestimmten Diensten ein Sie sollten auch hierauf einen Blick werfen Die HOWTO Dokumente des Linux Dokumentations Projekts sind unter Debian GNU Linux durch Installation der Pakete doc linux text englische Text Version oder doc 1inux de HTML Version verf gbar Nach der Installation sind diese Dokumente in den Verzeichnissen usr share doc HOWTO en txt bzw usr share doc HOWTO de html vorhanden Andere empfohlene Linux B cher Maximum Linux Security A Hacker s Guide to Pr
57. Sie sich vielleicht direkt mit CERT in Verbindung setzen Das k nnte Ihnen helfen vielleicht aber auch nicht aber wenigstens wird CERT ber laufende Angriffe informiert Diese Informationen sind sehr wertvoll um herauszufinden welche Werkzeuge und Angriffsarten von der Blackhat Community verwendet werden 12 2 8 Wie verfolge ich einen Angriff zur ck Sie k nnen einen Angriff zu seinem Ursprung zur ckverfolgen indem Sie die Protokolle wenn sie nicht ge ndert wur den mit Hilfe eines Systems zur Eindringlingserkennung siehe Aufsetzen einer Eindringlingserkennung auf Seite 120 traceroute whois oder hnlicher Werkzeuge einschlie lich forensischer Analyse durchsehen Wie Sie auf diese In formationen reagieren und was Sie als Angriff betrachten h ngt ausschlie lich von Ihren Sicherheitsrichtlinien ab Ist ein einfacher Scan ein Angriff Ist die Pr fung auf eine Verwundbarkeit ein Angriff 5Da keine Datei Deskriptoren mehr vorhanden sind k nnte das System nicht mehr antworten bis das Zeitlimit der TCP Verbindungen berschritten wurde Kapitel 12 H ufig gestellte Fragen Frequently asked Questions FAQ 140 12 2 9 Das Programm X in Debian ist angreifbar was soll ich tun Nehmen Sie sich zuerst einen Augenblick Zeit um zu schauen ob die Sicherheitsl cke in ffentlichen Sicherheitsmailing listen wie Bugtraq oder anderen Foren bekannt gemacht wurde Das Sicherheitsteam von Debian ist hinsichtlich diese
58. Verbinden Sie den Honigtopf mit dem Internet und warten Sie ab Stellen Sie sicher dass Sie rechtzeitig alarmiert werden siehe Die Wichtigkeit von Protokollen und Alarmen auf Seite 53 wenn in das System eingedrungen wird damit Sie geeignete Schritte einleiten und den Angriff beenden k nnen wenn Sie genug gesehen haben Hier folgen einige Pakete und Probleme die Sie in Betracht ziehen sollten wenn Sie einen Honigtopf einrichten e die Firewall Technologie die Sie verwenden verf gbar durch den Linux Kernel e syslog ng n tzlich um Protokolle des Honigtopfs zu einem entfernen syslog Server zu schicken 7Sie sollten typischerweise eine Bridge Firewall einsetzen damit die Firewall selbst nicht entdeckt werden kann Lesen Sie mehr dazu unter Aufset zenden einer Bridge Firewall auf Seite 149 Kapitel 10 Vor der Kompromittierung 124 e snort um allen eingehenden Netzwerkverkehr auf den Honigtopf mitzuschneiden und die Angriffe zu erkennen e osh eine eingeschr nkte Shell mit Protokollfunktion die unter SETUID Root l uft und verbesserte Sicherheit hat siehe den Artikel von Lance Spitzner weiter unten nat rlich alle Daemons die Sie auf dem falschen Honigtopfserver verwenden wollen Je nachdem welche Art von Angreifer Sie analysieren wollen k nnen Sie den Honigtopf abh rten und die Sicherheitsaktualisierungen einspielen oder eben nicht Integrit tspr fer siehe Pr fung der Integrit t des Dateisystems
59. Zeitinformationen enth lt ist umask 077 exec script q a var log sessions USER date Y m d Die Chronikdatei der Shell benutzen Wenn Sie auswerten wollen was die Benutzer in die Shell eingeben aber nicht was das Ergebnis ist k nnen Sie eine systemweite etc profile so einrichten dass alle Befehle in einer Chronikdatei gespeichert werden Die systemweite Einstellung muss so eingerichtet werden dass Benutzer die berwachungsf higkeit nicht aus ihrer Shell entfernen k nnen Ob dies m glich ist h ngt von der Art der Shell ab Sie m ssen also sicherstellen dass alle Benutzer eine Shell verwenden die das unterst tzt F r die Bash zum Beispiel k nnte etc profile folgenderma en aufgebaut werden 18 ibpam chroot wurden noch nicht vollst ndig getestet Es funktioniert mit Login aber es d rfte nicht leicht sein diese Umgebung f r andere Programme einzurichten Wenn HISTSIZE eine sehr gro e Zahl zugewiesen wird kann dies bei einigen Shells zu Problemen f hren da der Verlauf f r jede Sitzung eines Benutzers im Speicher abgelegt wird Sie sind auf der sichereren Seite wenn Sie HISTSIZE auf einen ausreichend gro en Wert setzen und eine Kopie der Chronikdatei des Benutzers anlegen falls Sie aus irgendwelchen Gr nden den ganzen Verlauf von einem Benutzer ben tigen Kapitel 4 Nach der Installation 49 HISTFILE bash_history HISTSIZE 10000 HISTFILESIZE 999999 Verhindert dass Benutzer Befehle
60. added a footnote on the current issues with it as sugge sted by Elliott Mitchell e Removed loops echo to all in the kernel s network security script as suggested by Elliott Mitchell e Added more up to date information in the antivirus section Rewrote the buffer overflow protection section and added more information on patches to the compiler to enable this kind of protection 1 6 22 Version 2 96 August 2003 nderung von Javier Fern ndez Sanguino Pefia e Removed and then re added appendix on chrooting Apache The appendix is now dual licensed 1 6 23 Version 2 95 June 2003 nderung von Javier Fern ndez Sanguino Pefia e Fixed typos spotted by Leonard Norrgard e Added a section on how to contact CERT for incident handling after compromi se e More information on setting up a Squid proxy e Added a pointer and removed a FIXME thanks to Helge H E e Fixed a typo save_inactive spotted by Philippe Faes e Fixed several typos spotted by Jaime Robles Kapitel 1 Einleitung 12 1 6 24 Version 2 94 April 2003 nderung von Javier Fern ndez Sanguino Pe a e Following Maciej Stachura s suggestions I ve expanded the section on limiting users e Fixed typo spotted by Wolfgang Nolte e Fixed links with patch contributed by Ruben Leote Mendes e Added a link to David Wheeler s excellent document on the footnote about counting security vulnerabilities 1 6 25 Version 2 93 March 2003 Changes m
61. as well i e uncomment the below line Remember to remove the SSH port from the TCP_SERVICES string SSH_PORT 22 if x sbin iptables then exit 0 ES fw_start Input traffic sbin iptables A INPUT m state state ESTABLISHED RELATED j ACCEPT Kapitel 5 Absichern von Diensten die auf Ihrem System laufen 86 Services if n STCP_SERVICES then for PORT in TCP_SERVICES do sbin iptables A INPUT p tcp dport PORT j ACCEPT done fi if n SUDP_SERVICES then for PORT in UDP_SERVICES do sbin iptables A INPUT p udp dport PORT j ACCEPT done fi Remote management if n SNETWORK_MGMT then sbin iptables A INPUT p tcp src NETWORK_MGMT dport SSH_PORT j ACCEPT fi Remote testing sbin iptables A INPUT p icmp j ACCEPT sbin iptables A INPUT i lo j ACCEPT sbin iptables P INPUT DROP sbin iptables A INPUT j LOG Output sbin iptables A OUTPUT j ACCEPT o lo sbin iptables A OUTPUT m state state ESTABLISHED RELATED j ACCEPT ICMP is permitted sbin iptables A OUTPUT p icmp j ACCEPT So are security package updates Note You can hardcode the IP address here to prevent DNS spoofing and to setup the rules even if DNS does not work but then you will not see IP changes for this service sbin iptables A OUTPUT p tcp d security debian org dport 80 j ACCEPT As well as the services we have defined if n S
62. auch apticron das hnlich wie cron apt nach Aktualisierungen sucht und eine E Mail an den Adminis trator schickt Weitere Informationen ber apticron finden Sie auf der Site ber Debian Administration http www debian administration org articles 491 Sie k nnen auch einen Blick auf secpack http clemens endorphin org secpack werfen Es ist ein inoffizielles Programm um Sicherheitsaktualisierungen von security debian org mit Pr fung der Signatur durchzuf hren Es wurde von Fruhwirth Clemens geschrieben Eine weitere Alternative bietet die Nagios Erweiterung check_debian_updates sh http www unixdaemon net nagios_plugins html check_debian_packages von Dean Wilson 10 1 3 Vermeiden Sie den Unstable Zweig Unless you want to dedicate time to patch packages yourself when a vulnerability arises you should not use Debian s unstable branch for production level systems The main reason for this is that there are no security updates for unstable Es ist eine Tatsache dass manche Sicherheitsprobleme nur in Unstable auftreten und nicht in Stable Das r hrt daher dass dort st ndig neue Funktionen zu den Anwendungen hinzugef gt werden und auch neue Anwendungen aufgenommen werden die unter Umst nden noch nicht vollst ndig getestet wurden Um im Unstable Zweig Sicherheitsaktualisierungen durchzuf hren m ssen Sie unter Umst nden eine vollst ndige Aktua lisierung mit einer neuen Version durchf hren was viel mehr als nur das betro
63. bezieht 5 12 NIS deaktivieren Sie sollten wenn m glich nicht NIS den Network Information Service benutzen da er das gemeinsame Nutzen von Passw rtern erlaubt Dies kann sehr unsicher sein wenn Ihr Setup fehlerhaft ist Wenn Sie Passw rter zwischen verschiedenen Maschinen teilen m ssen sollten Sie andere Alternativen in Erw gung ziehen Zum Beispiel k nnen Sie einen LDAP Server aufsetzen und PAM auf Ihrem System so konfigurieren dass es den LDAP Server zur Benutzer Authentifizierung kontaktiert Sie finden ein detailliertes Setup in dem LDAP HOWTO http www tldp org HOWTO LDAP HOWTO html usr share doc HOWTO en txt LDAP HOWTO txt gz Sie k nnen mehr ber NIS Sicherheit in dem NIS HOWTO http www tldp org HOWTO NIS HOWTO html usr share doc HOWTO en txt NIS HOWTO txt gz lesen FIXME jfs Add info on how to set this up in Debian 5 13 Absichern von RPC Diensten Sie sollten RPC abschalten wenn Sie es nicht ben tigen Remote Procedure Call RPC etwa entfernter Funktionsaufruf ist ein Protokoll das von Programmen verwendet werden kann um Dienste von anderen Programmen die auf anderen Computern laufen anzufordern Der portmap Dienst kon trolliert RPC Dienste durch Abbilden von RPC Programmnummern auf DARPA Protokoll Portnummern Er muss laufen um RPC Aufrufe ausf hren zu k nnen RPC basierte Dienste hatten eine unr hmliche Geschichte was Sicherheitsl cken betrifft obwohl dies f r den Portmapper
64. dem Ablegen der Rechte aufgerufen wird Daher funktioniert es auch mit aktivierter Rechtetrennung Falls Sie sie abschalten m ssen m ssen Sie et c ssh sshd_config so ver ndern UsePrivilegeSeparation no Beachten Sie dass das die Sicherheit Ihres Systems verringern wird da dann der OpenSSH Server als Root l uft Das bedeutet dass wenn eine Angriffsm glichkeit aus der Ferne gegen OpenSSH entdeckt wird ein Angreifer Root Rechte anstatt nur Sshd Rechte erlangen wird und somit das gesamte System kompromittiert Wenn Sie die Rechtetrennung nicht deaktivieren brauchen Sie im Chroot Gef ngnis etc passwd welches die Benutzer UID enth lt damit die Rechtetrennung funktioniert Wenn Sie die Option Rechtetrennung auf yes gesetzt haben und Ihre Version von OpenSSH nicht richtig l uft m ssen Sie sie abschalten Wenn Sie das unterlassen werden Benutzer die sich mit Ihrem Server verbinden wollen und von diesem Modul in eine Chroot Umgebung eingesperrt werden sollen Folgendes zu sehen bekommen ssh l user server user server s password Connection to server closed by remote host Connection to server closed Dies geschieht weil der SSH Daemon der als sshd lauft nicht den Systemaufruf chroot ausfiihren kann Um die Rech tetrennung abzuschalten m ssen Sie die Konfigurationsdatei et c ssh sshd_config wie oben beschrieben ver ndern Beachten Sie dass wenn Folgendes fehlt sich die Benutzer nicht in der Chroot Umgebung a
65. die durch Su Cron oder Ssh ausgef hrt werden Vergessen Sie nicht die Dateien unter etc skel zu berpr fen und gegebenenfalls anzupassen da dort die Standards f r Benutzer festgelegt werden die mit dem Befehl adduser erstellt werden Standardm ig enthalten die Dateien in Debian keinen Aufruf von umask Wenn sich aber ein solcher in Konfigurationsdateien befindet sind neue Benutzer eher geneigt ihn ihren Bed rfnissen anzupassen Beachten Sie allerdings dass ein Benutzer seine Umask Einstellung ndern kann wenn er es m chte um sie gro z giger oder einschr nkender zu machen indem er seine Konfigurationsdateien ver ndert Das Paket 1ibpam umask passt die Standard Umask eines Benutzers mit Hilfe von PAM an Nachdem Sie das Paket in stalliert haben tragen Sie Folgendes in etc pam d common session ein session optional pam_umask so umask 077 Zu guter Letzt sollte Sie in Betracht ziehen die Standard Umask von Root 022 wird in root bashrc festgelegt auf einen strengeren Wert zu ver ndern Damit kann verhindert werden dass der Systemadministrator als Root sensible Datei en in von allen lesbaren Verzeichnissen wie z B tmp ablegt und sie so dem Durchschnittsbenutzer zug nglich macht 4 11 13 Beschr nken was Benutzer sehen und worauf sie zugreifen k nnen FIXME Inhalt ben tigt Aufzeigen der Folgen beim Upgraden wenn die Paketrechte ver ndert werden falls nicht dpkg statoverride verwendet wird brigens sol
66. eee oh dr A AA 21 2 Bevor Sie beginnen 23 2 1 Wof r m chten Sie dieses System benutzen a igei wenn a nn 23 2 2 Seien Sie wachsam gegen ber generellen Sicherheitsproblemen 23 20 Wiegeht Debian mitder Sicherheit UM e EE NENNEN nahen eee eee ed 25 3 Vor und w hrend der Installation 27 31 SelzenSi eem Passwort im BIOS nc au rn a nr E 27 EE ee en ee els Le A eho eRe ne ke 27 32 1 Wahlen Sieeine intelligente Partitionierting lt a coo consi ae ee 27 3 3 Gehen Sie nicht ins Internet bevor Sie nicht bereit sind 2 2 2 m mm mn nn 28 INHALTSVERZEICHNIS iii 34 Setzen Sie ein Passwort IUT Root u EI E eee ee EAA ee Ree ee e E 29 3 5 Lassen Sie so wenige Dienste wie m glich laufen 6644 cin bea ER Ee Ew EER nen 29 So Dasmene bschallen soie 2 20 dee Bea Aw ee a be Phe ed ne 29 3 5 2 Abschalten von Inetd oder seinen Diensten gt io eq s sodais EE ie e ai a uha i nen 31 3 6 Installieren Sie m glichst wenig Software c sore ae dpo e e a EE 31 Sid Entiermen yon Perl e Aura puana IR Ee e Re har wa a ae ee oe ie ah 32 3 7 Lesen Sie Debians Sicherheits Mailinglisten oee o A ae R a i 33 4 Nach der Installation 35 4 1 Abonnement der Security Announce Mailingliste von Debian 35 42 Ausf hren von Sicherheitsakfualsieni gen u ner aan ea en CR ER a e Sal 35 4 2 1 Sicherheitsaktualisierungen f r Bibliotheken 36 422 Sicherheitsaktualisierutig des Kernels e WE E ET ea een
67. einen 2 2er Kernel handelt k nnen Sie trotzdem Ihr Dateisystem booten auch wenn Sie die Journaling F higkeiten einb en Wenn Sie ein anderes Journaling Dateisystem benutzen werden Sie feststellen dass eine Wiederherstellung nicht m glich ist bis Sie einen 2 4er oder 2 6er Kernel mit den ben tigten Modulen haben Wenn Sie einen 2 2er Kernel auf der Rettungsdiskette verwenden m ssen kann es sich als noch schwerer erweisen auf reiserfs oder xfs zuzugreifen Aufjeden Fall ist die Datenintegrit t unter ext 3 besser da es auch Datei Daten protokolliert w hrend andere Dateisysteme lediglich Meta Daten protokollieren siehe auch http lwn net 2001 0802 a ext3 modes php3 Beachten Sie aber dass es auch einige Partitionen gibt die von einem Journaling Dateisystem nicht profitieren k nnten Wenn Sie beispielsweise eine eigene Partition f r tmp verwenden k nnte ein bliches ext 2 Dateisystem besser sein weil es bei einem Neustart des Systems ohnehin geleert wird 3 3 Gehen Sie nicht ins Internet bevor Sie nicht bereit sind W hrend der Installation sollten Sie das System nicht sofort mit dem Internet verbinden Dies h rt sich vielleicht komisch an aber die Installation ber das Netzwerk ist eine g ngige Methode Da das System einige Dienste installiert und diese sofort aktiviert werden k nnten Sie Ihr System f r Angriffe ffnen wenn das System mit dem Internet verbunden ist und die Dienste nicht geeignet konfiguriert sind
68. eintragen die in die Verlaufsdatei ignoriert werden HISTIGNORE HISTCONTROL readonly HISTFILE readonly HISTSIZE readonly HISTFILESIZE readonly HISTIGNORE readonly HISTCONTROL export HISTFILE HISTSIZE HISTFILESIZE HISTIGNORE HISTCONTROL Damit dies funktioniert d rfen die Benutzer nur Informationen zur bash_history Datei hinzuf gen Sie m ssen daher zus tzlich die Option append only nur anf gen mittels des Programms Chattr f r die bash_history aller Benutzer setzen 7 Note that you could introduce the configuration above in the user s profile Butthen you would need to setup permissi ons properly in such a way that prevents the user from modifying this file This includes having the user s home directories not belong to the user since the user would be able to remove the file otherwise but at the same time allow the user to read the profile configuration file and write on the bash_history It would be good to set the immutable flag also using chattr for profile too if you do it this way Vervollst ndigung der Benutzer berwachung durch Accounting Werkzeuge Die vorherigen Beispiele stellen eine einfache Art dar um die berwachung von Benutzern einzurichten Sie eignen sich aber nicht unbedingt f r komplexe Systeme oder f r solche auf denen die Benutzer berhaupt keine oder ausschlie lich Shells am Laufen haben Sollte dies der Fall sein schauen Sie sich das Paket acct an das Werkzeuge zur Auswert
69. fen selbst wenn sie nicht mehr in irgendeiner Packages Datei erw hnt werden Und so k nnen auch Pakete von Dritten f r die es nie eine Packages Datei gab unter Debian installiert werden Dies wird aber kein Standard werden Dieser Entwurf zur Paketsignierung kann mit debsig verify und debsigs umgesetzt werden Diese beiden Pakete k nnen in einer deb Datei eingebettete Unterschriften erstellen und pr fen Debian hat bereits jetzt die M glichkeiten dies zu tun Aber es gibt keine Planung dieses Regelwerk oder hnliche Werkzeuge umzusetzen da nunmehr das Schema mit der Signierung des Archivs bevorzugt wird Die Werkzeuge werden dennoch f r Benutzer und Administratoren von Archiven zur Verf gung gestellt wenn sie diese Vorgehensweise bevorzugen Die aktuellen Versionen von dpkg seit 1 9 21 beinhalten einen Patch http lists debian org debian dpkg 2001 debian dpkg 200103 msg00024 html der diese Funktionen zur Verf gung stellt sobald debsig verify installiert ist HINWEIS Derzeit wird etc dpkg dpkg cfg standardm ig mit der Option no debsig ausgeliefert HINWEIS 2 Unterschriften von Entwicklern werden im Moment entfernt wenn sie in das Paketarchiv gelangen da die derzeit vorzugsw rdige Methode die berpr fung der Release Datei ist wie es oben beschrieben wurde Kapitel 7 Die Infrastruktur f r Sicherheit in Debian 104 105 Kapitel 8 Sicherheitswerkzeuge in Debian FIXME More content needed Deb
70. ffentlichung verwenden oder weil Sie nicht die neuste Version von Apt einsetzen wollen obwohl wir das Testen wirklich sch tzen w rden Kapitel 7 Die Infrastruktur f r Sicherheit in Debian 100 e Holen Sie sich den Schl ssel den die Archiv Software verwendet um Release Dateien zu signieren also http ftp master debian org ziyi_key_2006 asc und f gen Sie ihn gnupg trustedkeys gpg hinzu was standardm ig von gpgv benutzt wird gpg no default keyring keyring trustedkeys gpg import ziyi_key_2006 asc e Entfernen Sie alle Zeilen aus etc apt sources list die nicht die normale dists Struktur benutzen oder n dern Sie das Skript so dass es auch mit denen funktioniert e Ignorieren Sie die Tatsache dass Sicherheitsaktualisierungen von Debian keine signierten Release Dateien haben und das Sources Dateien noch keine richtigen Pr fsummen in der Release Datei haben e Bereiten Sie sich darauf vor zu pr fen dass die richtigen Quellen durch den richtigen Schl ssel signiert wurden bin bash Copyright c 2001 Anthony Towns lt ajt debian org gt This program is free software you can redistribute it and or modify it under the terms of the GNU General Public License as published by the Free Software Foundation either version 2 of the License or at your option any later version This program is distributed in the hope that it will be useful but WITHOUT ANY WARR
71. immer eine aktuelle Version aus dem Quellpaket bauen Dieses Dokument geh rt zu den Dokumenten die vom Debian Documentation Project https alioth debian org projects ddp bereit gestellt werden Sie k nnen die an dem Dokument vorgenommenen nderungen mit einem Webbrowser ber die Onlineprotokolle der Versionskontrolle engl http anonscm debian org viewve ddp manuals trunk securing howto verfolgen Sie k nnen auch den Code mit SVN mit folgendem Befehl herunterla den svn co svn svn debian org svn ddp manuals trunk securing howto 1 3 Organisatorisches Feedback Nun kommt der offizielle Teil Derzeit sind die meisten Teile dieser Anleitung noch von mir Alexander Reelsen geschrie ben aber meiner Meinung nach sollte dies nicht so bleiben Ich wuchs mit freier Software auf und lebe mit ihr sie ist ein Teil meiner allt glichen Arbeit und ich denke auch von Ihrer Ich ermutige jedermann mir Feedback Tipps f r Erg nzungen oder andere Vorschl ge die Sie haben zuzuschicken Wenn Sie glauben dass Sie einen bestimmten Abschnitt oder Absatz besser pflegen k nnen dann schreiben Sie dem Dokumenten Betreuer und Sie d rfen es gerne erledigen Insbesondere wenn Sie einen Abschnitt finden der mit FIX ME markiert wurde was bedeutet dass die Autoren noch nicht die Zeit hatten oder sich noch Wissen ber das Thema aneignen m ssen schicken Sie ihnen sofort eine E Mail Der Titel dieser Anleitung macht es sehr de
72. libnss_compat so 2 gt libnss_compat 2 2 5 so libnss_db 2 2 so libnss_db so 2 gt libnss_db 2 2 so libnss_dns 2 2 5 so libnss_dns so 2 gt libnss_dns 2 2 5 so libnss_files 2 2 5 so libnss_files so 2 gt libnss_files 2 2 5 so libnss_hesiod 2 2 5 so libnss_hesiod so 2 gt libnss_hesiod 2 2 5 so libnss_nis 2 2 5 so libnss_nis so 2 gt libnss_nis 2 2 5 so libnss_nisplus 2 2 5 so libnss_nisplus so 2 gt libnss_nisplus 2 2 5 so libpam so 0 gt libpam so 0 72 libpam so 0 72 libpthread 0 9 so libpthread so 0 gt libpthread 0 9 so libresolv 2 2 5 so libresolv so 2 gt libresolv 2 2 5 so librt 2 2 5 so librt so 1 gt librt 2 2 5 so libutil 2 2 5 so libutil so 1 gt libutil 2 2 5 so libwrap so 0 gt libwrap so 0 7 6 libwrap so 0 7 6 security pam_access so pam_chroot so pam_deny so pam_env so pam_filter so pam_ftp so pam_group so pam_issue so pam_lastlog so pam_limits so pam_listfile so pam_mail so pam_mkhomedir so pam_motd so pam_nologin so pam_permit so pam_rhosts_auth so pam_rootok so pam_securetty so pam_shells so pam_stress so pam_tally so pam_time so pam_unix so pam_unix_acct so gt pam_unix so pam_unix_auth so gt pam_unix so pam_unix_passwd so gt pam_unix so pam_unix_session so gt pam_unix so pam_userdb so pam_warn so pam_wheel so start stop daemon
73. m ssen weil das Programm Teil des Pakets netbase das nicht deinstalliert werden kann ohne das System kaputt zu machen ist Beachten Sie dass einige Desktop Umgebungen haupts chlich GNOME RPC Dienste verwenden und den Portmapper f r einige der Dateimanager Eigenschaften ben tigen Wenn dies bei Ihnen der Fall ist k nnen Sie den Zugang zu RPC Diensten wie weiter unter beschrieben beschr nken 5 13 2 Einschr nken des Zugriffs auf RPC Dienste Ungl cklicherweise ist es in manchen F llen nicht m glich RPC Dienste vom System zu entfernen Einige lokale Desktop Dienste haupts chlich SGIs fam sind RPC basiert und ben tigen deshalb einen lokalen Portmapper Dies bedeutet dass unter bestimmten Umst nden Benutzer die eine Desktop Umgebung wie GNOME installieren den Portmapper auch installieren werden Es gibt einige Wege den Zugriff auf den Portmapper und RPC Dienste zu beschr nken e Blockieren des Zugangs zu den Ports die von diesen Diensten verwendet werden mit einer lokalen Firewall verglei che Hinzuf gen von Firewall F higkeiten auf dieser Seite e Blockieren des Zugangs zu diesen Diensten mittels TCP Wrappers da der Portmapper und einige RPC Dienste mit libwrap siehe Die Nutzung von Tcpwrappers STOPP auf Seite 52 kompiliert wurden Dies bedeutet dass Sie Zugang zu diesen durch die hosts allow und hosts deny TCP Wrapper Konfiguration blockieren k nnen e Seit Version 5 5 kann das Paket portmap s
74. minimale Joie k nnen die Option debug verwenden Damit wird der Fortschritt des Moduls unter authpriv notice protokolliert 2Mit folgendem Python Aufruf k nnen Sie eine sehr eingeschr nkte Bash Umgebung f r makejail erstellen Erstellen Sie das Verzeichnis var chroots users foo und eine Datei mit dem Namen bash py und folgendem Inhalt chroot var chroots users foo cleanJailFirst 1 testCommandsInsideJail bash 1s F hren Sie dann makejail bash py aus um eine Benutzer Umgebung unter var chroots users foo zu erstellen So testen Sie die Umgebung chroot var chroots users foo ls bin dev etc lib proc sbin usr Kapitel G Chroot Umgebung f r SSH 160 Debian Umgebung mit debootstrap aufsetzen Stellen Sie sicher dass die Umgebung die notwendigen Ger te ent halt e etc security chroot conf bearbeiten damit die ausgew hlten Benutzer in das Verzeichnis eingesperrt wer den das Sie zuvor eingerichtet haben Sie sollten getrennte Verzeichnisse fiir verschiedene Benutzer haben damit sie weder das ganze System noch sich gegenseitig sehen k nnen e SSH konfigurieren Je nach der eingesetzten OpenSSH Version funktioniert die Chroot Umgebung sofort Seit 3 6 1p2 wird die Funktion do_pam_session aufgerufen nachdem sshd seine Rechte abgelegt hat Da chroot Root Rechte ben tigt wird es mit Rechtetrennung nicht funktionieren Allerdings wurde in neueren OpenSSH Versionen der PAM Code ver ndert so dass do_pam_session vor
75. ne 36 43 Anderen Sie das BIOS nocheinmal o 22440548 teed NL Lehr ek EGE RE SY LESS 37 4 4 Ein Passwort f r LILO oder GRUB einstellen 38 4 5 Entfernen des Root Prompis vor Initramts s iio nennen DEH EE Ea E ne 38 4 6 Entterne des Root Promptes aus dem Kergel nz 404 6 4 45 e264 il dae Sew ah Cea e 38 4 7 Einschr nkung der Anmeldem glichkeiten an der Konsole s io aos re c ooo ee 39 4 8 Einschr nkung des System Neustarts von der Konsole aus 39 4 9 Einschr nkung der Tastenkombination Magische S Abf 2 eee 40 4 10 Partitionen auf die richtige Arteinh ngen EEN anne a 41 IT SEND DOSE BALLON A e Er SF an a a aa Freak 41 4 10 2 usr auf nur dlesend setzen escocia e sa Vera nen he ea Fr ewe 42 4 11 Den Benulzerzugang EE 42 211 1 Benidizetauthenkihzlerung PAM a hore ee baie Eat media le ia 42 4 11 2 Ressourcen Nutzung begrenzen Die Datei Limite oonf ee 45 4 11 3 Aktionen bei der Benutzeranmeldung Bearbeiten von etc login defs 2 2 2 0 46 4 11 4 Aktionen bei der Benutzeranmeldung etc pam d login bearbeiten 46 4 11 5 Ftp einschr nken bearbeiten von etc ftpusers gt s sa o 47 4116 Verwendung EENHEETEN 47 AULA Verwendung VOR WAD orep ann Bam wre Eer Ba ie Er nu E 47 4 11 8 Administrativen Fernzugriff verweigern 47 2 119 Den Benulzerzugangieinschr nken o u 2 2228 2 0 eh REDS OR a EERO aa EO 48 4 11 10 berpr fen der Benutzer 2 ods sitios Sasse ddr 48 4 11 11 Nachpr fung der Benu
76. root E dee root Eer root Ee t a a root E a E E gt root i A e root drwxr xr x 2 root IW root rWw no root LW gt root EN root EW S gt root drwxr xr x 2 root SE Ee root SM EE root SEWRS root E Ee eg root LW E r2 gt root ENEE root RE een root SE root EW E Kk root LEW SZ root EWN root IW gt root etc pam d total 24 drwxr xr x 2 root drwxr xr x 4 root lrwxrwxrwx 1 root rw r r 1 root rw r r 1 root rw r r 1 root rw r r 1 root etc security total 32 drwxr xr x 2 root drwxr xr x 4 root rw r r 1 root rw r r 1 root rw r r 1 root rw r r 1 root rw r r 1 root rw r r 1 root Deeg total 8316 drwxr xr x 3 root drwxr xr x 9 root pwr root EWR ER root Re Get root rWXxr xr X root rWwxr xr X root lrwxrwxrwx root lrwxrwxrwx root rwxr xr X root rWwxr xr X root rWwxr xr X root rWwxr xr X root lrwxrwxrwx root rWwxr xr X root lrwxrwxrwx root rWwxr xr X root rwxr xr X root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root
77. root lrwxrwxrwx root root rWXxr xr X root root rWXxr xr X root root rwxr xr X root root rWwxr xr X root root lrwxrwxrwx root root lrwxrwxrwx root root rwxr xr X root root drwxr xr x 2 root root lib security total 668 drwxr xr x 2 root root drwxr xr x 3 root root rwxr xr X root root rwxr xr X root root rwxr xr X root root rWXxr xr X root root rwxr xr X root root rWwxr xr X root root rWXxr xr X root root rwxr xr X root root rwxr xr X root root rWXxr xr X root root rWwxr xr X root root rWwXxr xr X root root rwxr xr X root root rwxr xr X root root rWwxr xr X root root rwxr xr X root root rWXxr xr X root root rWwxr xr X root root rWwxr xr X root root rWwXxr xr X root root rwxr xr X root root rWwXxr xr X root root rWwxr xr X root root rwxr xr X root root rwxr xr X root root rWwxr xr X root root rwxr xr X root root rwxr xr X root root rwxr xr X root root rWXxr xr X root root rwxr xr X root root rWwxr xr X root root rWXxr xr X root root skin total 3132 drwxr xr x 2 root root drwxr xr x 9 root root rwxr xr X root root rWwxr xr X root root rWxr xr X root root rwxr xr X root root rWwxr xr X root root rWXxr xr X root root rwxr xr X root root rwxr xr X root root rWwxr xr X root root rWXxr xr X root root rWwxr xr X root root rWwxr xr X root root rWXxr xr X root root rwxr xr X root root rWwXxr xr X root root tmp total 8 drwxr xr x 2 root root drwxr xr x 9
78. root root root root root root root root root root 88632 Jun 3 13 46 sftpx 387764 Jun 3 13 45 sh 744500 Jun 3 13 46 sloginx 14523 Jun 3 13 46 splainx 744500 Jun 3 13 46 sshx 570960 Jun 3 13 46 ssh addx 502952 Jun 3 13 46 ssh agent 575740 Jun 3 13 46 ssh keygenx 383480 Jun 3 13 46 ssh keyscan 39 Jun 3 13 46 ssh_europax 107252 Jun 4 10 14 stracex 8323 Jun 4 10 14 strace graphx 158088 Jun 3 13 46 thumbnail 6312 Jun 3 13 46 ttyx 55904 Jun 4 11 46 useradd 585656 Jun 4 11 47 vix 6444 Jun 4 11 45 whoamix 4096 Jun 4 12 16 4096 Jun 705 407 1 9 Jun 3 13 43 urandom a 4096 Jun 4 12 35 4096 Jun 5 10 05 0 Jun 4 11 46 pwd lock 653 Jun 3 13 46 group 242 Jun 4 11 33 host conf 857 Jun 4 12 04 hosts 1050 Jun 4 29 ld so cache 304 Jun 4 11 28 ld so conf 235 Jun 4 11 27 ld so conf 88039 Jun 3 13 46 moduli 1342 Jun 4 34 nsswitch conf 4096 Jun 4 12 02 pam d 28 Jun 4 12 00 pam_smb conf 2520 Jun 4 57 passwd 7228 Jun 3 13 48 profile 1339 Jun 4 33 protocols 274 Jun 4 44 resolv conf 4096 Jun 3 13 43 security 1178 Jun 4 51 shadow 80 Jun 4 11 45 shadow 1178 Jun 4 48 shadow old 161 Jun 3 13 46 shells 1144 Jun 3 13 46 ssh_config 668 Jun 3 13 46 ssh_host_dsa_key 602 Jun 3 13 46 ssh_host_dsa_key pub 527 Jun 3 13 46 ssh_host_key 331 Jun 3 13 46 ssh_host_key pub 883 Jun 3 13 46 ssh_host_rsa_key 222 Jun 3 13 46 ssh_host_rsa_key pub 2471 Jun 4 12 15 sshd_config 4
79. root root usr total 8 drwxr xr x 2 root root drwxr xr x 9 root root lrwxrwxrwx 1 root root lrwxrwxrwx 1 root root lrwxrwxrwx 1 root root 142563 Jun 4 215569 Jun 4 61648 Jun 4 1 63453 Jun 4 1 63782 Jun 4 1 205715 Jun 235932 Jun 204383 Jun 254023 Jun 256465 Jun 4 Jun 4 12 31449 Jun 3 9 Jun 4 12 BoB d Ww Ww 8125 Jun 3 1 5 Jun 4 12 0499 Jun 3 76427 Jun 3 44729 Jun 3 1 49 libnss_compat so 1 1 49 libnss_compat so 2x 34 libnss_dns so 1x 34 libnss_dns so 2x 34 libnss_dns6 so 2x 3 46 libnss_files so lx 3 49 libnss_files so 2x 1 33 libnss_nis so 1x 1 33 libnss_nis so 2 1 33 libnss_nisplus so 2x 2 libpam so 0 gt libpam so 0 72x 3 46 libpam so 0 72 2 libpam_misc so 0 gt 3 46 libpam_misc so 0 72x 2 libpamc so 0 gt libpamc so 0 72x 3 46 libpamc so 0 72x 13 46 libreadline so 4 0x 3 46 libutil so lx 70254 Jun 3 13 46 libz ax 3 Jun 4 12 13 libz so gt libz so 1 1 3x 3 Jun 4 12 13 libz so 1 gt libz so 1 1 3 63312 Jun 3 13 46 libz so 1 1 3x 4096 Jun 4 12 00 security 4096 Jun 4 12 00 4096 Jun 4 12 13 0067 Jun 3 13 46 pam_access sox 8300 Jun 3 13 46 pam_chroot sox 4397 Jun 3 13 46 pam_cracklib sox 5082 Jun 3 13 46 pam_deny sox 3153 Jun 3 13 46 pam_env sox 3371 Jun 3 13 46 pam_filter sox 7957 Jun 3 13 46 pam_ftp sox 2771 Jun 3 13 46 pam_group sox 0174 Jun 3 13 46 pam_issue sox 9774 Jun 3 13 46 pam_lastlog sox 3591 Jun 3 13 46 pam_limits sox 126
80. seit Debian 4 0 Etch verf gbar ist enth lt apt secure auch als Secure Apt bekannt das ein Werkzeug ist mit dem ein Systemadministrator die Integrit t von heruntergeladenen Paketen mit dem oben dar gestellten Verfahren berpr fen kann Diese Ver ffentlichung enth lt das Werkzeug apt key um neue Schl ssel zum Schl sselbund von apt hinzuzuf gen welcher standardm ig nur den aktuellen Signierungsschl ssel des Debian Archivs enth lt Diese Ver nderungen basieren auf dem Patch f r apt verf gbar in Fehler 203741 http bugs debian org egi bin bugreport cgi bug 203741 der diese Erweiterung zur Verf gung stellt Secure Apt berpr ft die Distribution mit der Release Datei Dies wurde schon unter berpr fung der Distribution mit der Release Datei auf dieser Seite dargestellt Typischerweise erfordert dieser Vorgang kein Mitwirken des Administra tors Aber jedes Jahr m ssen Sie eingreifen um den neuen Schl ssel des Archivs hinzuzuf gen wenn dieser ausgewechselt wurde Weitere Informationen zu den dazu notwendigen Schritten finden Sie unter Auf sichere Weise einen Schl ssel hin zuf gen auf Seite 98 Diese F higkeit befindet sich noch im Entwicklungsstadium Wenn Sie glauben dass Sie Fehler gefunden haben stellen Sie zuerst sicher dass Sie die neuste Version verwenden da dieses Paket vor seiner endg ltigen Ver ffentlichung noch ziemlich ver ndern werden kann Falls Sie die aktuelle Version benutz
81. sie he Ausf hren von Sicherheitsaktualisierungen auf Seite 35 Zur gleichen Zeit wird eine Debian Sicherheits Ank ndigung DSA auf der Webseite ver ffentlicht und an ffentliche Mailinglisten einschlie lich debian security announce http lists debian org debian security announce und Bugtraq geschickt Einige andere h ufige Fragen zum Sicherheitsteam von Debian k nnen unter Fragen zu Debians Sicherheitsteam auf Seite 140 gefunden werden 7 2 Debian Sicherheits Ank ndigungen Debian Sicherheits Ank ndigungen DSA werden erstellt sobald eine Sicherheitsl cke entdeckt wird die ein Debian Paket betrifft Diese Ank ndigungen die von einem Mitglied des Sicherheitsteams signiert sind enthalten Informationen zu den betroffenen Versionen und den Orten der Aktualisierungen und ihrer MD5 Summen Die Informationen sind e Versionsnummer der Ausbesserung e Art des Problems e Ob es aus der Ferne oder lokal ausnutzbar ist e Kurze Beschreibung des Pakets Beschreibung des Problems e Beschreibung des Exploits Beschreibung der Ausbesserung Kapitel 7 Die Infrastruktur f r Sicherheit in Debian 92 DSAs werden sowohl auf der Hauptseite von Debian http www de debian org als auch auf den Sicherheitsseiten von Debian http www debian org security ver ffentlicht Das passiert normalerweise nicht bis die Website neu erstellt wurde alle vier Stunden Daher k nnten sie nicht sofort vorhanden sein Somit ist
82. so ein dass Anmeldungen von Root so weit wie m glich eingeschr nkt werden F gen Sie pam_limits so hinzu wenn Sie Begrenzungen f r jeden Benutzer vornehmen wollen ndern Sie etc pam d passwd Erh hen Sie die minimale L nge von Passw rtern vielleicht sechs Zei chen und schalten Sie MD5 ein Wenn Sie es w nschen f gen Sie etc group die Gruppe wheel hinzu f gen Sie etc pam d su pam_wheel so group wheel hinzu F r angepasste Kontrollen der einzelnen Benutzer nehmen Sie Eintr ge in pam_listfile so an den passenden Stellen vor Erstellen Sie eine Datei etc pam d other und setzen Sie sie mit strenger Sicherheit auf Setzen Sie in etc security limits conf Begrenzungen beachten Sie dass etc limits nicht benutzt wird wenn Sie PAM verwenden Nehmen Sie Einschr nkungen in etc login defs vor wenn Sie MD5 oder PAM einschalten machen Sie auch hier die entsprechenden nderungen Kapitel B Pr fliste der Konfiguration 144 Nehmen Sie Einschr nkungen in etc pam d login vor Schalten Sie den FTP Zugriff von Root in etc ftpusers ab Disable network root login use su 1 or sudo 1 consider installing sudo Benutzen Sie PAM um zus tzliche Auflagen f r Anmeldungen zu erm glichen e Andere lokale Sicherheitsangelegenheiten Kernel Tweaks siehe Konfiguration der Netzwerkf higkeiten des Kernels auf Seite 60 Kernel Patches siehe Den Kernel patchen auf Seite 55 Schr nken Sie die Zugriffs
83. ssen Sie in etc inittab sicherstellen dass die Zeile die ctrlaltdel enth lt shutdown mit der Option a aufruft Standardm ig enth lt Debian diese Optionen ca 12345 ctrlaltdel sbin shutdown t1 a r now The a switch as the shutdown 8 manpage describes makes it possible to allow some users to shutdown the system For this the file etc shutdown allow must be created and the administrator has to include there the name of users which can boot the system When the three finger salute combination is pressed in a console the program will check if any of the users listed in the file are logged in If none of them is shutdown will not reboot the system Wenn Sie die Tastenkombination Strg Alt Entf deaktivieren m chten m ssen Sie nur die Zeile mit ctrlaltdel in etc inittab auskommentieren Vergessen Sie nicht init q auszuf hren nachdem Sie diese Datei bearbeitet haben damit die nderungen wirksam wer den 4 9 Einschr nkung der Tastenkombination Magische S Abf Die Tastenkombination Magische S Abf Magic SysRq erlaubt es Benutzern einer Konsole eines Linux Systems bestimmte systemnahe Befehle auszuf hren indem gleichzeitig Alt S Abf und eine bestimmte Taste gedr ckt wird Die Taste S Abf wird auf vielen Tastaturen mit Druck bezeichnet Seit der Ver ffentlichung von Etch ist die Tastenkombination Magische S Abf im Linux Kernel aktiviert damit die Benutzer einer Konsole bestimmte Privilegien erhalten k nnen Ob dies auf
84. unterst tzen eine gute Standardkonfiguration dar Zugriff wird stan dardm ig verweigert Kapitel 4 Nach der Installation 45 4 11 2 Ressourcen Nutzung begrenzen Die Datei limits conf Sie sollten sich wirklich ernsthaft mit dieser Datei besch ftigen Hier k nnen Sie Ihren Benutzern Ressourcengrenzen vorge ben In alten Ver ffentlichungen war die Konfigurationsdatei etc limits conf Aber in neueren Versionen mit PAM sollte stattdessen die Konfigurationsdatei etc security limits conf benutzt werden Wenn Sie die Ressourcennutzung nicht einschr nken kann jeder Benutzer mit einer g ltigen Shell auf Ihrem System oder sogar ein Einbrecher der das System durch einen Dienst kompromittierte oder ein au er Kontrolle geratener Daemon so viel CPU Speicher Stack etc benutzen wie das System zur Verf gung stellen kann Dieses Problem der berbeanspruchung von Ressourcen kann mit der Nutzung von PAM gel st werden There is a way to add resource limits to some shells for example bash has ulimit see bash 1 but since not all of them provide the same limits and since the user can change shells see chsh 1 it is better to place the limits on the PAM modules as they will apply regardless of the shell used and will also apply to PAM modules that are not shell oriented Ressourcengrenzen werden vom Kernel verh ngt aber sie m ssen durch limits conf konfiguriert werden und die PAM Konfiguration der verschiedenen Dienste mus
85. von Dateien die verwendet werden um die iptables Regeln aufzustellen bastille diese H rtungsanwendung ist in Automatisches Abh rten von Debian Systemen auf Seite 89 be schrieben Einer der H rtungsschritte die der Administrator konfigurieren kann ist eine Definition des erlaub ten und verbotenen Netzwerkverkehrs der verwendet wird eine Anzahl von Firewall Regeln die das System am Start ausf hrt zu generieren Es gibt in Debian auch noch eine Menge anderer Frontends f r Iptables Eine vollst ndige Liste kann auf der Firewall Seite des Debian Wikis http wiki debian org Firewalls die auch einen Vergleich der verschiedenen Pakete enth lt abgerufen werden Seien Sie gewarnt dass manche der zuvor skizzierten Pakete Firewall Skripte einf hren die beim Systemstart ausgef hrt werden Testen Sie diese ausf hrlich bevor Sie neustarten oder Sie finden sich selbst ausgesperrt vor Ihrem Rechner wieder Wenn Sie verschiedene Firewall Pakete mischen kann dies zu unerw nschten Nebeneffekten f hren Gew hnlich wird das Firewall Skript das zuletzt ausgef hrt wird das System konfigurieren was Sie so vielleicht nicht vorhatten Sehen Sie hierzu in der Paketdokumentation nach und benutzen Sie nur eines dieser Setups Wie bereits zuvor erl utert sind einige Programme wie firestarter guarddog und knetfilter graphische Administrations Schnittstellen die entweder GNOME oder KDE die letzte beiden benutzen Diese sind viel ben
86. who are allowed to login or not are stored Imagine you only want to allow users ref to log in via ssh So you put them into etc sshusers allowed and write the following into etc pam d ssh auth required pam_listfile so item user sense allow file etc sshusers allowed onerr fail Tempor re Verzeichnisse in PAM Da es eine Reihe von Sicherheitsl cken mit so genannten unsicheren tempor ren Dateien zum Beispiel in Thttpd vgl DSA 883 1 http www debian org security 2005 dsa 883 gab lohnt es sich das Paket 1ibpam tmpdir zu installieren Sie m ssen dann lediglich Folgendes zu etc pam d common session hinzuzuf gen session optional pam_tmpdir so Es gab auch eine Diskussion dies standardm ig in Debian einzuf gen Sehen Sie sich http lists debian org debian deve1 2005 11 msg00297 html f r weitere Informationen an Konfiguration f r nicht definierte PAM Anwendungen Zuletzt aber nicht am unwichtigsten erstellen Sie etc pam d other mit den folgenden Zeilen auth required pam_securetty so auth required pam_unix_auth so auth required pam_warn so auth required pam_deny so account required pam_unix_acct so account required pam_warn so account required pam_deny so password required pam_unix_passwd so password required pam_warn so password required pam_deny so session required pam_unix_session so session required pam_warn so session required pam_deny so Diese Zeilen stellen fiir alle Anwendungen die PAM
87. zeigen kann Anderenfalls lassen Sie immer noch das alte und verwund bare Kernel Image laufen Wenn Sie das System neu starten m ssen wegen eines Kernel Upgrades sollten Sie sicherstellen dass der Kernel feh lerfrei booten wird und die Netzwerkverbindungen hergestellt werden besonders wenn die Sicherheitsaktuali sierung ber eine Verbindung aus der Ferne wie mit SSH durchgef hrt wird F r den ersten Fall k nnen Sie Ihren Boot Loader so konfigurieren dass er den Originalkernel l dt wenn ein Fehler auftritt f r weiterf hrende Informationen sollten Sie Remotely rebooting Debian GNU Linux machines http www debian administration org article 70 le sen Im zweiten Fall mtissen Sie ein Skript verwenden das die Netzwerkverbindungen testen kann und tiberpriift ob der Kernel das Netzwerksystem korrekt gestartet hat und wenn das nicht geschehen ist das System neu startet 5 Dies sollte b se berraschungen verhindern wie wenn Sie den Kernel aktualisieren und dann nach einem Reboot merken dass die Netzwerkhardware nicht richtig erkannt oder konfiguriert wurde und Sie daher eine weite Strecke reisen m ssen um das System wieder zum Laufen zu bringen Nat rlich hilft es beim Debuggen von Reboot Problemen aus der Ferne wenn die serielle Konsole des Systems mit einem Konsolen oder Terminalserver verbunden ist 4 3 Anderen Sie das BIOS noch einmal Erinnern Sie sich an Setzen Sie ein Passwort im BIOS auf Seite 27 Nun jetz
88. zus tzlich Gruppe daf r erstellen es ist keine gute Idee f r alle Dienste die Sie nicht als Root laufen lassen den Benutzer nobody und die Gruppe nogroup zu benutzen In diesem Beispiel wird der Benutzer und die Gruppe named verwendet Sie k nnen diese anlegen indem Sie die folgenden Kommandos eingeben addgroup named adduser system home home named no create home ingroup named disabled password disabled login named Beachten Sie dass der Benutzer named sehr eingeschr nkt ist Wenn Sie aus welchen Gr nden auch immer ein weniger eingeschr nktes Setup haben m chten benutzen Sie adduser system ingroup named named Editieren Sie nun etc init d bind mit Ihrem Lieblingseditor und ndern Sie die Zeile die mit start stop daemon start anf ngt zu start stop daemon start quiet exec usr sbin named g named u named Alternativ dazu k nnen Sie auch die Standardkonfigurationsdatei bei BIND 8 etc default bind bearbeiten und erstellen falls sie nicht vorhanden ist und Folgendes einf gen Beachten Sie dass Sie abh ngig von Ihrer Bind Version die Option g nicht haben h chstwahrscheinlich wenn Sie bind9 von Sarge 9 2 4 installiert haben Kapitel 5 Absichern von Diensten die auf Ihrem System laufen 77 OPTIONS u named g named ndern Sie die Rechte der Dateien die von Bind verwendet werden inklusive etc bind rndc key rw r T root named 77 Jan 4 01 02 rndc key
89. 01 linux PAM_unix 1536 cron session opened for user root by UID 0 May 2 12 00 02 linux PAM_unix 1536 cron session closed for user root Sie kommen von einem ausgef hrten Cron Job in unserem Beispiel alle f nf Minuten Um herauszufinden wel ches Programm f r diese Jobs verantwortlich ist berpr fen Sie die Eintr ge in etc crontab etc cron d etc crond daily und Roots crontabin var spool cron crontabs 12 2 7 Ich bin Opfer eines Einbruchs was soll ich jetzt tun Es gibt mehrere Schritte die Sie bei einem Einbruch durchf hren sollten e Pr fen Sie ob Ihr System auf dem aktuellen Stand der Sicherheitsaktualisierungen f r ver ffentlichte Verwundbar keiten ist Wenn Ihr System verwundbar ist erh ht dies die M glichkeit dass Ihr System tats chlich gehackt wurde Die Wahrscheinlichkeit steigt weiter an wenn die Sicherheitsl cke schon eine Zeit lang bekannt ist da blicherweise mehr Angriffsversuche in Bezug auf ltere Verwundbarkeiten bestehen Hier ist ein Link zu SANS Top 20 Security Vulnerabilities http www sans org top20 e Lesen Sie dieses Dokument insbesondere den Abschnitt Nach einer Kompromittierung Reaktion auf einem Vorfall auf Seite 125 e Fragen Sie nach Hilfe Sie k nnen die Mailingliste debian security benutzen und um Rat fragen wie Sie Ihr System wiederherstellen oder patchen Benachrichtigen Sie Ihren lokalen CERT http www cert org wenn einer existiert ansonsten sollten
90. 096 Jun 4 12 02 4096 Jun 4 12 35 4 Jun 4 12 02 other gt sshd 318 Jun 3 13 46 passwd 546 Jun 11 36 ssh 479 Jun 12 02 sshd 370 Jun 13 46 su LA oe 4096 Jun 3 13 43 4096 Jun 4 12 35 1971 Jun 3 13 46 access conf 184 Jun 3 13 46 chroot conf 2145 Jun 3 13 46 group conf 1356 Jun 3 13 46 limits conf 2858 Jun 3 13 46 pam_env conf 2154 Jun 3 13 46 time conf 4096 Jun 4 12 13 4096 Jun 5 10 05 1024 Jun 4 51 cracklib_dict hwm 214324 Jun 4 11 51 cracklib_dict pwd 11360 Jun 4 11 51 cracklib_dict pwi 342427 Jun 3 13 46 ld linux so 2x 4061504 Jun 3 13 46 libc so 6x 15 Jun 4 12 libcrack so gt libcrack so 2 7x 15 Jun 4 12 libcrack so 2 gt libcrack so 2 7x 33291 Jun 4 39 libcrack so 2 7x 60988 Jun 3 46 libcrypt so lx 71846 Jun 3 46 libdl so 2x 27762 Jun 3 46 libhistory so 4 0x 17 Jun 4 12 12 libncurses so 4 gt libncurses so 4 2 503903 Jun 3 13 46 libncurses so 4 2x 17 Jun 4 12 12 libncurses so 5 gt libncurses so 5 0 549429 Jun 3 13 46 libncurses so 5 0x 369801 Jun 3 13 46 libnsl so 1 WwWwHhhhr Kapitel G Chroot Umgebung f r SSH 167 rWXxr xr X root root rWXxr xr X root root rwxr xr X root root rwxr xr X root root rWXxr xr X root root rWwxr xr X root root rwxr xr X root root rWwxr xr X root root rwxr xr X root root rwxr xr X root root lrwxrwxrwx root root rWXxr xr X root root lrwxrwxrwx root root libpam_misc so 0 72 rwxXr xr x root
91. 15 12 51 librt so 1 rW r r root root 7760 Mar 15 12 59 libutil so 1 rW r r root root 24328 Mar 15 12 57 libwrap so 0 usr total 16 drwxr xr x 4 root root 4096 Mar 15 13 00 drwxr xr x 8 guest guest 4096 Mar 15 16 53 drwxr xr x 2 root root 4096 Mar 15 15 55 bin drwxr xr x 2 root root 4096 Mar 15 15 37 lib usr bin total 340 drwxr xr x 2 root root 4096 Mar 15 15 55 drwxr xr x 4 root root 4096 Mar 15 13 00 LWXr xr xX 1 root root 10332 Mar 15 15 55 env LWXr xr xX 1 root root 13052 Mar 15 13 13 id r xr xr x 1 root root 25432 Mar 15 12 40 scp LWXr xr xX 1 root root 43768 Mar 15 15 15 sftp r sr xr x 1 root root 218456 Mar 15 12 40 ssh LWXr xr xX 1 root root 9692 Mar 15 13 17 tty usr lib total 852 drwxr xr x 2 root root 4096 Mar 15 15 37 drwxr xr x 4 root root 4096 Mar 15 13 00 rW r r 1 root root 771088 Mar 15 13 01 liberypto so 0 9 6 SrW r 1r 1 root root 54548 Mar 15 13 00 libz so 1 LWXr xr xX 1 root root 23096 Mar 15 15 37 sftp server G 2 Einsperren des SSH Servers in einem Chroot Gef ngnis Wenn Sie eine Chroot Umgebung erstellen welche die Dateien des SSH Servers enth lt z B unter var chroot ssh sollten Sie den im chroot Gef ngnis eingesperrten ssh Server mit diesem Befehl starten chroot var chroot ssh sbin sshd f etc sshd_config Kapitel G Chroot Umgebung fiir SSH 162 Das f hrt dazu dass der sshd Daemon innerhalb des Chroot Gef ngnisses gestartet wird Dazu m ssen Sie zun
92. 2 16 04 usr drwxr xr x 7 root root 168 Dec 2 16 06 var Um diesen Test zu automatisieren geben Sie 1s la proc cat var chroot apache var run apache pid r ein FIXME Add other tests that can be run to make sure the jail is closed Ich mag das da es so nicht sehr schwierig ist das Gef ngnis einzurichten und der Server mit nur zwei Zeilen aktualisiert werden kann apt get update amp amp apt get install apache makejail etc makejail apache py H 3 Weiterf hrende Informationen Wenn Sie nach weiteren Informationen suchen sehen Sie sich die Quellen an auf denen diese Anleitung beruht e Die Makejail Homepage http www floc net makejail Diese Programm wurde von Alain Tesio geschrie ben
93. 30C5F sudo apt key add gpg kein uneingeschr nkt vertrauensw rdiger Schl ssel 080F67F4 gefunden OK Die Warnung gpg kein uneingeschr nkt vertrauensw rdiger Schl ssel 080F67F4 gefunden bedeutet dass GPG nicht so konfiguriert wurde um einem Schl ssel vollst ndig zu vertrauen Das Zuweisen von Vertrauensstufen ist Teil des Web of Trust von OpenPGP was hier nicht Gegenstand ist Daher ist die Warnung unproblematisch F r gew hnlich wird dem eignen Schl ssel eines Benutzers vollst ndig vertraut Auf sichere Weise einen Schl ssel hinzuf gen Indem Sie einen Schl ssel zu Apts Schl sselbund hinzuf gen lassen Sie Apt wissen dass es allem vertrauen soll was mit diesem Schl ssel signiert wurde Dadurch stellen Sie sicher dass Apt nichts installiert was nicht vom Inhaber des privaten Schl ssels signiert wurde Mit ausreichender Paranoia erkennen Sie aber dass dies das Problem nur um eine Stufe verlagert Anstatt sich nun darum Sorgen zu machen ob ein Paket oder eine Release Datei korrekt ist m ssen Sie berpr fen ob Sie tats chlich den richtigen Schl ssel haben Ist die Datei http tp master debian org ziyi_key_2006 asc die oben erw hnt wird wirklich der Signierungsschl ssel des Debian Archivs oder wurde sie ver ndert oder wird gar in diesem Dokument gelogen Es ist gut in Sicherheitsfragen Vorsicht walten zu lassen Aber ab hier wird es schwieriger Dinge zu berpr fen gpg arbeitet mit dem Konzept der Ket
94. 41 Jun 3 2350 Jun 3 7875 Jun 3 7587 Jun 3 6877 Jun 3 3300 Jun 3 3341 Jun 3 2483 Jun 3 82412 Jun 4 36365 Jun 3 7120 Jun 3 179884 Jun 3 20532 Jun 3 6720 Jun 4 14705 Jun 3 28764 Jun 3 385000 Jun 3 67548 Jun 3 0 05 13 43 EKS ahs bin dev etc lib sbin tmp usr w NNNNNNN w w NUW EE 0 08 ef 3 45 a2px 3 45 bash 3 45 c2phx 3 45 dprofpp 46 envx 3 45 fax2psx 3 45 faxalter 3 45 faxcoverx 3 45 faxmailx 3 45 faxrmx 3 45 faxstatx 46 grepx 3 45 h2phx 3 45 h2xsx 3 46 idx 3 46 ldd 11 46 lessx 3 45 loginx 3 45 Lan 3 45 mkdir 3 45 morex 13 45 pal2rgbx 3 46 passwdx 3 45 pl2pmx 3 45 pod2htmlx 3 45 pod2latexx 3 45 pod2manx 3 45 pod2textx 3 45 pod2usagex 3 45 podcheckerx 3 45 podselectx 1 46 psx 3 45 pstructx 3 45 pwdx 13 45 rgb2ycbcrx 3 45 rmx 0 15 rmdir 3 45 s2px 3 46 scpx 13 45 sendfaxx 3 45 sendpagex 3 Kapitel G Chroot Umgebung ftir SSH 166 rWwxr xr X root rWxr xr X root LWS X X root rWwxr xr X root LWS X X root rwxr xr X root rwxr xr X root rWwxr xr X root rwxr xr X root rwxr xr X root rwxr xr X root rWXxr xr X root rwxr xr X root rWXxr xr X root rWwxr xr X root rwxr xr X root rWwxr xr X root dev total 8 drwxr xr x 2 root drwxr xr x 9 root erw r r 1 root fete total 208 drwxr xr x 4 root drwxr xr x 9 root a i root fut i Gegen root SEW DS Sk root TEW I yS
95. 4760 F hlen Sie sich ruhig dazu ermutigt zu diesem Bugreport beizu tragen wenn Sie glauben n tzliche Informationen hinzuf gen zu k nnen 5 7 2 ndern des BIND Benutzers Bez glich der Beschr nkung von BINDs Privilegien m ssen Sie beachten dass wenn Sie BIND als nicht root Benutzer laufen lassen BIND neue Netzwerk Schnittstellen nicht automatisch entdecken kann zum Beispiel wenn Sie eine PCMCIA Karte in Ihr Notebook stecken Lesen Sie die Datei README Debian in Ihrer named Dokumentation usr share doc bind README Debian f r mehr Informationen hierzu Es gab in letzter Zeit viele Sicherheitsprobleme mit BIND so dass es n tzlich ist den Benutzer zu wechseln wenn es m glich ist Wir werden die Schritte die dazu n tig sind detailliert auff hren Wenn Sie dies automatisch machen lassen wollen k nnen Sie das Skript in Beispielskript um die Standard Installation von Bind zu ndern auf Seite 153 ausprobieren Beachten Sie dass dies nur auf die BIND Version 8 zutrifft In den Debian Paketen f r die BIND Version 9 wird der Be nutzer bind erstellt seit Version 9 2 1 5 ist in Sarge enthalten und mit der Variable OPTIONS in etc default bind9 verwendet Wenn Sie BIND 9 einsetzen und Ihr Nameserver nicht als Benutzer bind l uft sollten Sie die Einstellungen in dieser Datei berpr fen Um BIND unter einem anderen Benutzer laufen zu lassen m ssen Sie zun chst einen zus tzlichen Benutzer und eine
96. 5 and add Package zx Pin release a stable Pin Priority 100 FIXME verify if this configuration is OK e Entweder setzen Sie cron apt ein wie in Automatisches berpr fung von Aktualisierungen mit cron apt auf Sei te 117 beschrieben wird und erlauben ihm heruntergeladene Pakete zu installieren Oder Sie f gen selbst einen Eintrag f r cron hinzu damit die Aktualisierung t glich ausgef hrt wird Ein Beispiel apt get update amp amp apt get y upgrade Die Option y veranlasst apt f r alle Fragen die w hrend der Aktualisierung auftreten k nnen yes anzuneh men In manchen F llen sollten Sie die Option trivial only nur Bagatellen der Option assume yes ist gleichbedeutend mit y vorziehen e Richten Sie debconf so ein dass w hrend der Aktualisierung keine Eingabe verlangt wird Auf diese Weise k nnen Aktualisierungen nicht interaktiv durchgef hrt werden e berpr fen Sie die Ergebnisse der Ausf hrung von cron die an den Superuser gemailt werden sofern nicht die Umgebungsvariable MAILTO im Skript ge ndert wurde Eine sichere Alternative k nnte es sein die Option d oder download only zu verwenden Das hat zur Folge dass die ben tigten Pakete nur heruntergeladen aber nicht installiert werden Und wenn dann die Ausf hrung von cron zeigt dass das System aktualisiert werden muss kann das von Hand vorgenommen werden Um diese Aufgaben zu erf llen muss das System korrekt konfiguriert
97. 8 Jun 3 13 46 pam_listfile sox 1182 Jun 3 13 46 pam_mail sox 5923 Jun 3 13 46 pam_nologin sox 5460 Jun 3 13 46 pam_permit sox 8226 Jun 3 13 46 pam_pwcheck sox 2590 Jun 3 13 46 pam_rhosts_auth sox 5551 Jun 3 13 46 pam_rootok sox 7239 Jun 3 13 46 pam_securetty sox 6551 Jun 3 13 46 pam_shells sox 55925 Jun 4 12 00 pam_smb_auth sox 12678 Jun 3 13 46 pam_stress sox 11170 Jun 3 13 46 pam_tally sox 11124 Jun 3 13 46 pam_time sox 45703 Jun 3 13 46 pam_unix sox 45703 Jun 3 13 46 pam_unix2 sox 45386 Jun 3 13 46 pam_unix_acct sox 45386 Jun 3 13 46 pam_unix_auth sox 45386 Jun 3 13 46 pam_unix_passwd sox 45386 Jun 3 13 46 pam_unix_session sox 9726 Jun 3 1 6424 Jun 3 1 7460 Jun 3 1 4096 Jun 4 1 4096 Jun 5 1 178256 Jun 3 184032 Jun 3 81096 Jun 3 1142128 Jun 2868 Jun 3 1 3340 Jun 3 1 376796 Jun 3 13950 Jun 3 9234 Jun 3 1 64480 Jun 3 744412 Jun 3 30750 Jun 4 194632 Jun 3 69892 Jun 3 43792 Jun 3 4096 Jun 4 1 4096 Jun 5 1 4096 Jun 4 1 4096 Jun 5 1 7 Jun 4 12 1 7 Jun 4 11 3 8 Jun 4 12 1 3 46 pam_userdb sox 3 46 pam_warn so 3 46 pam_wheel sox LEO pT 0 05 13 46 choptestx 13 46 cgtestx 3 46 dialtestx 4 11 28 ldconfigx 3 46 locknamex 3 46 ondelayx 13 46 pagesendx 3 46 probemodem 3 46 recvstats 3 46 sftp serverx 13 46 sshd 1 46 sux 13 46 tagtestx 3 46 tsitestx 3 46 typetestx 2232 sf 0 05 el 2 16 0 05 sac 4 bin gt bin 3 hb lt gt one 11b 7 3 sbin gt sbin
98. 9 http bugs debian org 128129 F hlen Sie sich ruhig dazu ermuntert etwas zu den Fehlerbeschreibungen beizutragen wenn Sie denken n tzliche Informationen hinzuf gen zu k nnen 5 7 3 Chroot Gefangnis f r den Name Server To achieve maximum BIND security now build a chroot jail see Allgemeine chroot und suid Paranoia auf Seite 80 around your daemon There is an easy way to do this the t option see the named 8 manpage or page 100 of Bind s 9 do cumentation PDF http www nominum com content documents bind9arm pdf This will make Bind chroot itself into the given directory without you needing to set up a chroot jail and worry about dynamic libraries The only files that need to be in the chroot jail are dev null etc bind sollte die named conf und alle Server Zonen enthalten sbin named xfer wenn Sie Namen transferieren var run named sollte die PID und den Cache des Name Servers falls es ihn gibt enthalten Dieses Verzeichnis muss f r den named User schreibbar sein var log named Wenn Sie in eine Datei protokollieren muss dies f r den named User schreibbar sein dev log syslogd sollte hierauf h ren wenn named so konfiguriert ist dass er dar ber protokolliert Kapitel 5 Absichern von Diensten die auf Ihrem System laufen 78 Damit Ihr Bind Daemon vern nftig l uft braucht er bestimmte Zugriffsrechte auf die named Dateien Dies ist eine einfache Angelegenheit da die Konfigurationsdat
99. ANTY without even the implied warranty of MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE See the GNU General Public License for more details rm rf tmp apt release check mkdir tmp apt release check exit 1 cd tmp apt release check gt OK gt MISSING gt NOCHECK gt BAD arch dpkg print installation architecture am_root id u eq 0 get_mdSsumsize cat 1 awk MD5Sum SHA1 MYARG 2 perl ne f split st if f 3 eq SENV MYARG print f 1 f 2 n exit 0 checkit local FILE 1 local LOOKUP 2 Y get_md5sumsize Release LOOKUP Y echo Y sed s j s si gi if e var lib apt lists FILE then if Sy then No file but not needed anyway echo OK return fi echo SFILE gt gt MISSING echo MISSING y return ET SE gy n then echo FILE gt gt NOCHECK echo NOCHECK return Ed X md5sum lt var lib apt lists FILE cut d f1 we c lt var lib apt lists FILE X echo X sed s x s x g if x SY then echo FILE gt gt BAD echo BAD return fi echo FILE gt gt OK echo OK Dies ist der Beispielscode f r apt check sigs Die neuste Fassung ist unter http people debian org ajt apt check sigs erh ltlich Dieser Code befindet sich im Moment noch im Beta Stadium F r weitere Informationen sollten Sie http lists d
100. Allerdings m ssen Sie auf den Kernel einen Patch anwenden der im Paket kernel patch mppe enthalten ist Er stellt das Module pp_mppe f r den pppd zur Verf gung Beachten Sie dass Verschl sselung in ppptp erfordert dass Sie die Nutzerpassw rter in Klartext speichern Au er dem sind f r das MS CHAPv2 Protokoll Sicherheitsl cken bekannt http mopo informatik uni freiburg de pptp_mschapv2 8 6 Infrastruktur f r ffentliche Schl ssel Public Key Infrastructure PKI Mit der Infrastruktur f r ffentliche Schl ssel PKI wurde eine Sicherheitsarchitektur eingef hrt um den Grad der Ver trauensw rdigkeit von Informationen die ber unsichere Netzwerke ausgetauscht werden zu erh hen Sie beruht auf dem Konzept von ffentlichen und privaten kryptographischen Schl sseln um die Identit t des Absenders Signierung zu berpr fen und die Geheimhaltung zu sichern Verschl sselung Wenn Sie ber die Einrichtung einer PKI nachdenken sehen Sie sich mit einer breiten Palette von Problemen konfrontiert e eine Zertifizierungsstelle Certification Authority CA die Zertifikate ausgeben und best tigen und unter einer be stimmten Hierarchie arbeiten kann e ein Verzeichnis das die ffentlichen Zertifikate der Benutzer enth lt Kapitel 8 Sicherheitswerkzeuge in Debian 108 e eine Datenbank um eine List von Widerrufen von Zertifikaten Certificate Revocation Lists CRL zu verwalten e Ger te die mit der CA zusamm
101. DAEMON chroot CHRDIR FF stop echo n Stopping web server NAME start stop daemon stop pidfile CHRDIR PIDFILE oknodo umount var chroot apache proc vi reload echo n Reloading NAME configuration start stop daemon stop pidfile CHRDIR SPIDFILE signal USR1 startas DAEMON chroot CHRDIR vi reload modules echo n Reloading NAME modules start stop daemon stop pidfile CHRDIR SPIDFILE oknodo retry 30 start stop daemon start pidfile PIDFILE exec DAEMON chroot CHRDIR vi restart 0 reload modules exit force reload 0 reload modules exit echo Usage etc init d NAME start stoplreload reload modules force reload restart exit 1 esac if then echo exit 0 else echo failed exit 1 fi FIXME should the first Apache process be run as another user than root i e add chuid chrapach chrapach Cons chrapach will need write access to the logs which is awkward Ersetzen Sie in etc logrotate d apache var log apache x log durch var chroot apache var log apache x log Starten Sie Apache etc init d apache start und berpr fen Sie was im Protokoll des Gef ngnisses ge meldet wird var chroot apache var log apache error log Wenn Ihre Konfiguration komplexer sein sollte z B wenn Sie auch PHP und MySQL einsetzen werden wahrscheinlich Dateien fehlen Wenn einige Dateien nicht automatisch von make jail kopiert werden k nnen
102. Dienste installieren m chten diese aber selten benutzen entfernen Sie sie mit den update Befehlen wie update inetd oder update rc d aus dem Startvorgang Weitere Informationen wie Sie Netzwerkdienste abschalten finden Sie unter Daemons abschalten auf dieser Seite Wenn Sie das Standardverhalten des Startens von Diensten nach der Installation von ihren Paketen ndern wollen lesen Sie bitte f r weiterf hrende Informationen usr share doc sysv rc README policy rc d gz Die Unterst tzung von invoke rc d ist bei Debian nun zwingend Dies bedeutet dass Sie seit Debian 4 0 Etch eine policy rc d Datei anlegen k nnen die das Starten von Daemons verbietet bevor Sie sie konfiguriert haben Zwar sind derartige Skripte noch nicht in Paketen enthalten sie sind aber ziemlich leicht zu schreiben Sehen Sie sich auch policyrcd script zg2an 3 5 1 Daemons abschalten Das Abschalten eines Daemons ist sehr einfach Entweder Sie entfernen das Paket welches das Programm f r diesen Dienst anbietet oder Sie entfernen oder benennen die Startlinks unter etc rc runlevel d um Wenn Sie sie um benennen stellen Sie sicher dass sie nicht mehr mit einem S beginnen damit sie nicht von etc init d rc aus gef hrt werden Entfernen Sie nicht alle verf gbaren Links denn sonst wird das Paketverwaltungssystem sie bei dem Die Zahl war bei Debian 3 0 und davor nicht so niedrig da einige inetd Dienste standardm ig aktiviert waren
103. EEN ee rs a ER G 131 12 1 9 Warum sind einige Protokoll und Konfigurationsdateien f r alle lesbar Ist das nicht unsicher 131 12 1 10 Warum hat root oder BenutzerX die Rechte 755 2 2 2 ee 132 12 1 11 Nach der Installation von grsec oder einer Firewall bekomme ich viele Nachrichten auf der Konsole Wiechtlleneichsie c c been bee eb ote eee eH Ee de eRe dE eee Beno dea dekh wed oo 132 12 1 12 Benutzer und Gruppen des Betriebssystems 132 12 1 13 Warum gibt es eine neue Gruppe wenn ich einen neuen Benutzer anlege Oder warum gibt Debian jedem Ben lzereine eigene Gruppe e ocea apk eaa bi ad EE 135 12 114 Fragen ber Dienste und offene Ports e a Re ee E EE ke aae EE 135 121 15 Allsameinesicherherssprableme 22 aia 3 2 mann aan Dan SEES aa ans 136 12 1 16 Wie muss ich vorgehen wenn ich meinen Benutzern einen Dienst anbieten m chte ihnen aber keine SHELL IDEEN en ne a e os O ri ae ge en te eee 137 12 2 Mein System ist angreifbar Sind Siesich sicher EE a 138 12 2 1 Der Scanner X zur Einsch tzung der Verwundbarkeit sagt dass mein Debian System verwundbar w re 138 12 2 2 Ich habe in meinen Protokolldateien einen Angriff gesehen Ist mein System kompromittiert 138 12 2 3 Ich habe in meinen Protokollen merkw rdige MARK Eintr ge gefunden Wurde ich gehackt 138 12 2 4 Ich habe Benutzer gefunden die laut meinen Protokolldateien su benutzen Bin ich kompromittiert 138 12 2 5 Ich habe possible SY
104. Engines einschlie lich clamav File Scan und openan tivirus e sanitizer http packages debian org sanitizer ist ein Werkzeug welches das Paket procmail verwen det Es kann den Anhang von E Mails nach Viren durchsuchen Anh nge aufgrund ihres Dateinamens abweisen und vieles mehr e amavis postfix http packages debian org amavis postfix ist ein Skript das eine Schnittstelle vom Mail Transport Agent zu einem oder mehreren kommerziellen Viren Scannern anbietet dieses Paket ist lediglich f r den MTA post fix bestimmt e exiscan ist ein Virusscanner f r E Mails der in Perl geschrieben wurde Er arbeitet mit Exim zusammen blackhole qmail ist ein Spamfilter f r Qmail mit eingebauter Unterst tzung von Clamav Einige Gateway Daemons bieten schon Programmerweiterungen an um Antiviren Umgebungen zu erstellen Dazu ge h ren exim4 daemon heavy die heavy Version des Exim MTAs frox ein transparenter zwischenspeichernder FTP Proxyserver messagewall ein SMTP Proxyserver und pop3vscan ein transparenter POP3 Proxy Zurzeit ist als einziges Programm zum Auffinden von Viren clamav in der Hauptdistribution enthalten Daneben bie tet Debian verschiedene Schnittstellen an mit denen Gateways mit Antivirus F higkeiten f r unterschiedliche Protokolle erstellt werden k nnen Im Folgenden einige andere freie Antiviren Projekte die in der Zukunft in Debian GNU Linux enthalten sein k nnten e Open Antivirus http so
105. Ihr System neu um sicherzustellen dass alles wie gew nscht funktioniert Now that the capability has been removed from the system an intruder cannot change any attribute on the protected files and thus cannot change or remove the files If the machine is forced to reboot which is the only way to restore the capabilities bounding set it will easily be detected and the capability will be removed again as soon as the system restarts anyway The only way to change a protected file would be to boot the system in single user mode or using another bootdisk two operations that require physical access to the machine 4 17 3 Pr fung der Integrit t des Dateisystems Sind Sie sich sicher dass bin login auf Ihrer Festplatte immer noch dasselbe Programm ist das Sie vor ein paar Monaten installiert haben Was w re wenn es sich um eine gehackte Version handelt die eingegebene Passw rter in einer versteckten Datei ablegt oder sie als Klartext im ganzen Internet herummailt Die einzige Methode um einen gewissen Schutz daf r zu haben ist es die Dateien jede n Stunde Tag Monat ich ziehe t glich vor zu pr fen indem man deren aktuelle und alte MD5 Summe vergleicht Zwei unterschiedliche Dateien k nnen keine gleichen MD5 Summen haben die MD5 Summe umfasst 128 Bits so ist die Wahrscheinlichkeit dass zwei unter schiedliche Dateien eine gleiche MD5 Summe haben etwa 1 zu 3 4e3803 So sind Sie sicher solange niemand den Algorith mus gehackt ha
106. N flooding in meinen Protokollen entdeckt Werde ich angegriffen 139 12 2 6 Ich habe seltsame Root Sessions in meinen Protokollen entdeckt Wurde ich gehackt 139 12 2 7 Ich bin Opfer eines Einbruchs was soll ich jetzt tun Tu commana e e ea k a e k 139 12 28 Wie yerfolge ich einen Angrit zur ck ce ao ii 20a e O ee E he ee ie 139 12 2 9 Das Programm X in Debian ist angreifbar was soll ich tun 2 2 aaa 140 12 2 10 Laut der Versionsnummer eines Paketes l uft bei mir immer noch eine angreifbare Version 140 12211 Bestimmte Software a ea 22 22 Wa Man ra anne A E a A 140 12 3 Fragen zu Debians Sicherkeitstean 0 0346 2b eed r En 1 ses eee eee ren 140 A Der Abh rtungsprozess Schritt f r Schritt 141 B Pr fliste der Konfiguration 143 C Aufsetzen eines eigenst ndigen IDS 147 D Aufsetzenden einer Bridge Firewall 149 DI Eme Bridge mie NAT und Firewall F higkelten EE 2a wen OR a an eR ee E AC A 149 D2 Eme Bridge mit Firewall F higkeiten gt rece tae ke ser une a nee ern E NL rn 150 D3 Grundlegende Ipl bles Regeln cos 44 6 22 8 ah a PA Hanne Ee eRe ee pa Mi 150 E Beispielskript um die Standard Installation von Bind zu ndern 153 F Schutz der Sicherheitsaktualisierung durch eine Firewall 157 G Chroot Umgebung f r SSH 159 G 1 SSH Benutzer in em Chroot Gefanomiseimsperten u su E ELE Ee in ee eee RE E eG 159 G11 Einsatz yon libpam ehroot 4 44 bee e bea SER EER AE EEA ee beebe OE e 159
107. Passwort trotzdem als Klartext ber das Netz gesendet Um dies zu verhindern hat der ProFTPd Entwickler TJ Saunders einen Patch erstellt der verhindert dass Benutzer den anonymen FTP Server mit g ltigen SSH Zugangsdaten f ttern Mehr Informationen und den Patch finden Sie unter ProFTPD Patches http www castaglia org proftpd Patches Dieser Patch wurde auch an Debian gesandt vergleiche Fehler 145669 http bugs debian org 145669 Kapitel 5 Absichern von Diensten die auf Ihrem System laufen 71 5 4 Zugriff auf das X Window System absichern Heutzutage werden X Terminals in immer mehr Unternehmen benutzt wo ein Server f r viele Arbeitspl tze ben tigt wird Dies kann gef hrlich sein weil Sie dem Datei Server erlauben m ssen sich mit den X Clients zu verbinden X Server aus Sicht von X X vertauscht die Definition von Client und Server Wenn Sie dem sehr schlechten Vorschlag von vielen Dokumentationen folgen geben Sie auf Ihrer Maschine xhost ein Dies erlaubt jedem X Client sich mit Ihrem System zu verbinden F r etwas bessere Sicherheit k nnen Sie stattdessen das Kommando xhost Rechnername verwenden um den Zugriff auf bestimmte Rechner zu begrenzen Allerdings ist es eine viel sicherere L sung SSH zu benutzen um X zu tunneln und die gesamte Sitzung zu verschl sseln Dies geschieht automatisch wenn Sie sich an einer anderen Maschine via ssh anmelden Damit dies funktioniert m ssen Sie den ssh Client und den ssh
108. Puffer C3 BCberlauf Format String berl ufe Heap berl ufe und Integer berl ufe in C C Programmen vor bergehende Symlink Schwachstellen http de wikipedia org wiki Symlink Schwachstelle in Skripten Directory Traversal http de wikipedia org wiki Directory_ Traversal die Einschleusung von Befehlen auf Servern und Cross Site Scripting http de wikipedia org wiki Cross Site_Scripting sowie SOL Injektionen http de wikipedia org wiki SQL Injektion bei web orientierten Anwendungen Eine ausf hrliche Liste von Sicherheitsfehlern finden Sie in Fortifys Taxonomy of Software Security Errors http vulncat fortifysoftware com Some of these issues might not be easy to spot unless you are an expert in the programming language the software uses but some security problems are easy to detect and fix For example finding temporary race conditions due to misuse of tempo rary directories can easily be done just by running grep r tmp Those calls can be reviewed and replace the hard coded filenames using temporary directories to calls to either mkt emp or tempfile in shell scripts File Temp 3per1 in Perl scripts or tmpfile 3 in C C Es stehen Ihnen einige Werkzeuge zur Verfiigung die Sie dabei unterstiitzen den Quellcode auf Sicherheitsprobleme hin zu berpr fen Dazu z hlen rats flawfinder und pscan Weitere Informationen finden Sie in der Liste der Werkzeuge die vom Debian Security Audit Team ver
109. REMOTE_TCP_SERVICES then for PORT in REMOTE_TCP_SERVICES do sbin iptables A OUTPUT p tcp dport PORT j ACCEPT done fi if n SREMOTE_UDP_SERVICES then for PORT in REMOTE_UDP_SERVICES do sbin iptables A OUTPUT p udp dport PORT j ACCEPT done fi All other connections are registered in syslog sbin iptables A OUTPUT j LOG sbin iptables A OUTPUT j REJECT sbin iptables P OUTPUT DROP Other network protections some will only work with some kernel versions echo 1 gt proc sys net ipv4 tcp_syncookies echo 0 gt proc sys net ipv4 ip_forward echo 1 gt proc sys net ipv4 icmp_echo_ignore_broadcasts echo 1 gt proc sys net ipv4 conf all log_martians echo 1 gt proc sys net ipv4 ip_always_defrag echo 1 gt proc sys net ipv4 icmp_ignore_bogus_error_responses echo 1 gt proc sys net ipv4 conf all rp_filter echo 0 gt proc sys net ipv4 conf all send_redirects echo 0 gt proc sys net ipv4 conf all accept_source_route fw_stop fw_clear sbin iptables F sbin iptables t nat F sbin iptables t mangle F sbin iptables P INPUT DROP sbin iptables P FORWARD DROP sbin iptables P OUTPUT ACCEPT sbin iptables F sbin iptables t nat F sbin iptables t mangle F sbin iptables P INPUT ACCEPT sbin iptables P FORWARD ACCEPT sbin iptables P OUTPUT ACCEPT case 1 in start restart echo n Starting firewall fw_stop
110. Release Datei MD5Sum 6b05b392 792ba5a436d590cC129de21F 3453 Packages 1356479a23edda7a69f24eb8d6f4al4b 1131 Packages gz 2a5167881adc9ad1a8864f281bleb959 1715 Sources 88de3533bf6e054d1799f8e4 b6aed8b 658 Sources gz Die Release Datei enth lt auch SHA1 Pr fsummen was n tzlich wird wenn MD5 Summen vollst ndig unbrauchbar sind Allerdings unterst tzt apt SHA1 noch nicht Werfen wir einen Blick in eine Packages Datei Wir sehen weitere MD5 Summen eine f r jedes darin aufgef hrte Paket Beispiel Package uqm Priority optional Filename unstable uqm_0 4 0 1_i386 deb Size 580558 MD5sum 864ec6157cleea88acfef44d0f34d219 Mit diesen beiden Priifsummen kann tiberpriift werden ob Sie eine getreue Kopie der Packages Datei heruntergeladen haben also mit einer MD5 Summe die mit der in der Release Datei tibereinstimmt Und wenn ein einzelnes Paket her untergeladen wird kann auch die MD5 Summe mit dem Inhalt der Packages Datei verglichen werden Wenn bei einem dieser Schritte ein Fehler auftauchen sollte bricht Apt den Vorgang ab Nichts davon ist neu in Secure Apt sondern bietet nur die Grundlage fiir Secure Apt Beachten Sie dass es bis jetzt ei ne Datei gibt die Apt nicht berpr fen kann die Release Datei Bei Secure Apt dreht sich alles darum dass Apt die Release Datei tiberpriift bevor es irgendetwas anderes damit macht Wenn man das schafft besteht eine liickenlose Au thentifizierungskette von dem Paket das Sie installie
111. SER else echo ERR The script failed to automatically change the system echo ERR Named is currently running as RUNUSER Kapitel E Beispielskript um die Standard Installation von Bind zu ndern 155 restore exit 1 fi exit 0 Das obige Skript wird wenn es auf Woodys Debian 3 0 bind Version 8 angewendet wird die initd Datei ver ndern nachdem der Benutzer und die Gruppe named erstellt wurde Kapitel E Beispielskript um die Standard Installation von Bind zu ndern 156 157 Anhang F Schutz der Sicherheitsaktualisierung durch eine Firewall Nach einer Standard Installation k nnten immer noch Sicherheitsl cken auf dem System vorhanden sein Falls Sie die Aktualisierungen f r die verwundbaren Pakete nicht auf einem anderen System herunterladen k nnen oder securi ty debian org zu lokalen Zwecken spiegeln k nnen m ssen Sie sich mit dem Internet verbinden um die Pakete herun terzuladen Wenn Sie sich jedoch mit dem Internet verbinden setzen Sie Ihr System einer Gefahr aus Wenn einer Ihrer lokalen Dienste angreifbar ist k nnten Sie kompromittiert sein noch bevor die Aktualisierung beendet ist Sie m gen dies paranoid finden aber eine Analyse vom Honeynet Project http www honeynet org zeigt tats chlich dass ein System in weniger als drei Tagen kompromittiert werden kann sogar wenn das System gar nicht der ffentlichkeit bekannt ist d h nicht in DNS Eintr gen auftaucht Wenn S
112. Securing Debian Manual Javier Fern ndez Sanguino Pe a lt jfs debian org gt Autoren auf dieser Seite Version 3 17 Sun 08 Apr 2012 02 48 09 0000 Zusammenfassung Dieses Dokument handelt von der Sicherheit im Debian Projekt und im Betriebssystem Debian Es beginnt mit dem Prozess eine Standardinstallation der Debian GNU Linux Distribution abzusichern und zu h rten Es behandelt auch die normalen Aufgaben um eine sichere Netzwerkumgebung mit Debian GNU Linux zu schaffen und liefert zus tzliche Informationen ber die verf gbaren Sicherheitswerkzeuge Es befasst sich auch damit wie die Sicherheit in Debian vom Sicherheits und Auditteam gew hrleistet wird Copyright Hinweis Copyright 2002 2013 Javier Fern ndez Sanguino Pe a Copyright 2001 Alexander Reelsen Javier Fern ndez Sanguino Pefia Copyright 2000 Alexander Reelsen Manche Abschnitte unterliegen einem Copyright der jeweiligen Autoren Genaueres erfahren Sie unter Danksagungen auf Seite 21 Permission is granted to copy distribute and or modify this document under the terms of the GNU General Public Li cense Version 2 http www gnu org licenses old licenses gpl 2 0 de html or any later version http www gnu org copyleft gpl html published by the Free Software Foundation It is distributed in the hope that it will be useful but WITHOUT ANY WARRANTY Permission is granted to make and distribute verbatim copies of this document prov
113. Sicherheitskopie m glichst auf einem anderen Host erstellen vielleicht auf einen Netzwerk Datei Server ber NFS FTP Dadurch kann eine Analyse des Einbruchs oder eine Neuinstallation durchgef hrt werden w hrend das betroffene System offline ist Wenn Sie sich sicher sind dass es sich lediglich um ein trojanisiertes Kernel Modul handelt k nnen Sie versuchen das Kernel Image von der Debian CD ROM im rescue Modus zu laden Stellen Sie sicher dass Sie im single Modus starten so dass nach dem Kernel keine weiteren Trojaner Prozesse gestartet werden 11 3 Setzen Sie sich mit dem lokal CERT in Verbindung Das CERT Computer and Emergency Response Team ist eine Organisation die Ihnen helfen kann Ihr System nach einem Einbruch wiederherzustellen Es gibt CERTs weltweit 3 Sie sollten mit dem lokalen CERT Verbindung aufnehmen wenn sich ein sicherheitsrelevanter Vorfall ereignet hat der zu einem Einbruch in Ihr System gef hrt hat Die Menschen in der lokalen CERT k nnen Ihnen helfen Ihr System wiederherzustellen Selbst wenn Sie keine Hilfe ben tigen kann es anderen helfen wenn Sie dem lokalen CERT oder dem Koordinations zentrum des CERTs Informationen des Einbruchs zur Verf gung stellen Die gesammelten Informationen von gemel deten Vorf llen werden verwendet um herauszufinden ob eine bestimmte Verwundbarkeit weit verbreitet ist ob sich ein neuer Wurm ausbreitet oder welche neuen Angriffswerkzeuge eingesetzt werden Diese Informatio
114. Sie diese in den Optionen forceCopy um Dateien direkt zu kopieren oder packages um ganze Pakete mit ihren Abh ngigkeiten zu kopieren in der Konfigurationsdatei etc makejail apache py auff hren GebenSieps aux grep apache ein um sicherzustellen dass Apache l uft Sie sollten etwas in dieser Art sehen root 180 0 0 1 1 2936 1436 S 04 03 0 00 usr sbin apache chrapach 189 0 0 1 1 2960 1456 S 04 03 0 00 usr sbin apache chrapach 190 0 0 1 1 2960 1456 S 04 03 0 00 usr sbin apache chrapach 191 0 0 1 1 2960 1456 S 04 03 0 00 usr sbin apache chrapach 192 0 0 1 1 2960 1456 S 04 03 0 00 usr sbin apache chrapach 193 0 0 1 1 2960 1456 S 04 03 0 00 usr sbin apache Stellen Sie sicher dass die Apache Prozesse in einer chroot Umgebung laufen Betrachten Sie dazu das proc Dateisystem 1s la proc process_number root wobei process_number einer der PID Nummern ist die Kapitel H Chroot Umgebung f r Apache 172 oben aufgef hrt wurden z B 189 in der zweiten Reihe Die Eintr ge des eingeschr nkten Verzeichnisbaums sollten Sie sich auflisten lassen drwxr sr x 10 root staff 240 Dec 2 16 06 drwxrwsr x 4 root staff 72 Dec 2 08 07 drwxr xr x 2 root root 144 Dec 2 16 05 bin drwxr xr x 2 root root 120 Dec 3 04 03 dev drwxr xr x 5 root root 408 Dec 3 04 03 etc drwxr xr x 2 root root 800 Dec 2 16 06 lib dr xr xr x 43 root root 0 Dec 3 05 03 proc drwxr xr x 2 root root 48 Dec 2 16 06 sbin drwxr xr x 6 root root 144 Dec
115. VPNs Beachten Sie bitte dass er seit 2001 nicht mehr aktualisiert wurde trotzdem sind einige Informationen immer noch sachdienlich 4 Irgendwann wurde er von der Linux Security Knowledge Base abgel st Dieses Dokument wird ebenfalls durch das Paket lakb zur Verf gung gestellt Jetzt wird der Guide wieder unter dem Namen Lasg verbreitet Kapitel 2 Bevor Sie beginnen 24 Kurt Seifrieds Securing Linux Step by Step http seifried org security os linux 20020324 securing linux step by step html In Securing and Optimizing Linux RedHat Edition http www tldp org links p_books html securing_ linux finden Sie eine Dokumentation hnlich zu dieser bezogen auf Red Hat Manche behandelten Sachen sind nicht distributionsspezifisch passen also auch auf Debian Ein anderes Red Hat bezogenes Dokument ist der EAL3 Evaluated Configuration Guide for Red Hat Enterprise http ltp sourceforge net docs RHEL EAL3 Configuration Guide pdf IntersectAlliance hat einige Dokumente ver ffentlicht die als Referenz benutzt werden k nnen wie man einen Linux Server und seine Dienste abh rtet Diese Dokumente sind auf ihrer Seite http www intersectalliance com projects index html verf gbar F r Netzwerk Administratoren ist das Securing your Domain HOWTO http www linuxsecurity com docs LDP Securing Domain HOWTO ein gutes Handbuch wie man sein Netzwerk absichert Wenn Sie die Programme die Sie benutzen m chten oder die
116. Ver ffentlichungen m ssen Sie in der Datei login defs die CONSOLE Variable ndern die eine Datei oder eine Liste von Terminals definiert an denen sich Root anmelden darf 8Die Datei etc securetty ist eine Konfigurationsdatei die zum Paket login geh rt 9Oder ttyoX unter GNU FreeBSD und ttyE0 unter GNU KNetBSD 1Oder comX unter GNU Hurd cuaaX unter GNU FreeBSD und ttyXX unter GNU KNetBSD Die Standardeinstellung in Woody beinhaltet zw lf lokale tty und virtuelle Konsolen und die console Schnittstelle Anmeldungen aus der Ferne sind nicht erlaubt In Sarge stellt die Standardeinstellung 64 Konsolen f r tty und virtuelle Konsolen zu Verf gung 12 Achten Sie auf die getty Eintr ge Kapitel 4 Nach der Installation 40 Dies ist schwerwiegender wenn das Betriebssystem in einer virtuellen Umgebung l uft Dann erstreckt sich diese F higkeit auch auf Benutzer die Zugriff auf die virtuelle Konsole haben was auch ber das Netzwerk geschehen k nnte Beachten Sie zudem dass in einer solchen Umgebung diese Tastenkombination st ndig verwendet wird um in einigen grafischen Benutzeroberfl chen eine Login Shell zu ffnen so dass ein Systemadministrator sie virtuell ausl sen kann und das System neu startet Es gibt zwei M glichkeiten dies einzuschr nken e mit einer Konfiguration mit der nur bestimmte Benutzer das System neu starten d rfen e diese Eigenschaft vollst ndig zu deaktivieren Wenn Sie dies einschr nken wollen m
117. Verweise auf aktuelle Quellen aktualisiert Informationen zu Sicherheitsaktualisierungen f r neuere Ver ffentlichungen aktualisiert Verweis von Informationen f r Entwickler auf Online Quellen anstatt die Informationen im Dokument zu belassen um Dubletten zu vermeiden Informationen ber die Sicherung des Konsolenzugangs erweitert einschlie lich der Beschr nkung der Magischen S Abf Taste Informationen zu PAM Modulen aktualisiert einschlie lich wie man Anmeldungen an der Konsole einschr nkt cracklib verwendet und die in etc pam d login verf gbaren Eigenschaften einsetzt veraltete Verweise auf Varia blen in etc login defs entfernt Hinweis auf einige PAM Module die eine Zweifaktor Anmeldung durchf hren k nnen f r Administratoren die vollst ndig auf Passw rter verzichten wollen Beispielshellskript im Anhang korrigiert Fehler bei Verweisen korrigiert Verweis auf das Bastille Projekt bei Sourceforge anstelle der Site bastille unix org da diese nicht mehr antwortet Kapitel 1 Einleitung 6 1 6 3 Version 3 15 Dezember 2010 nderung von Javier Fern ndez Sanguino Pefia Verweis auf die Website von Log Analysis ge ndert da nicht l nger verf gbar 1 6 4 Version 3 14 M rz 2009 nderung von Javier Fern ndez Sanguino Pefia Abschnitt ber die Auswahl des Dateisystems ge ndert Hinweis dass ext3 jetzt der Standard ist Name der Pakete die mit enigmail zusammenh ngen ge ndert damit sie den ge nderten N
118. Wheelers Secure Programming for Linux and Unix HOWTO http www dwheeler com secure programs und Secure Co ding Principles and Practices http www securecoding org von Mark G Graff und Kenneth R van Wyk O Reilly 2003 lesen 9 1 Das richtige Vorgehen f r die Nachpr fung der Sicherheit und deren Gestal tung Entwickler die Software in Pakete packen sollten gr te Anstrengung darauf verwenden sicherzustellen dass die Installa tion der Software und ihre Verwendung keine Sicherheitsrisiken f r das System oder seine Benutzer er ffnet Dazu sollten sie vor der Ver ffentlichung der Software oder einer neuen Version den Quellcode des Pakets nachpr fen um Fehler zu finden die zu Sicherheitsl cken f hren k nnen Bekannterma en ist der Aufwand f r die Fehlerbehebung in verschiedenen Stadien der Entwicklung unterschiedlich So ist es leichter und billiger Fehler w hrend der Entwick lung auszubessern als sp ter wenn die Software schon herausgegeben wurde und nur noch gewartet wird einige Studien behaupten dass die Kosten in dieser Phase 60 Mal h her sind Es gibt Hilfsmittel die versuchen Fehler automatisch zu entdecken Entwickler sollten dennoch die verschiedenen Sicherheitsfehler kennen damit sie sie verstehen und sie so in eigenen oder fremden Programmcode entdecken k nnen Programmierfehler die typischerweise zu Sicherheitsproblemen f hren sind insbesondere Puffer berl ufe http de wikipedia org wiki
119. a PROBLEMS WITH comp X Y Fi Sty deb src then X checkit echo baseurl dists dist comp source Release sed s _ 9 comp source Rele Y checkit echo baseurl dists dist comp source Sources sed s _ 9 comp source Sou1 if X SY OK OK then okaycomps Sokaycomps comp Kapitel 7 Die Infrastruktur f r Sicherheit in Debian 102 else echo x PROBLEMS WITH component comp X Y fi fi done okaycomps echo o Okay Sokaycomps echo done echo Results echo erez s echo allokay true cd tmp apt release check diff lt cat BAD MISSING NOCHECK OK sort lt cd var lib apt lists amp amp find type f maxdepth 1 sed s g grep _ sort cd tmp apt release check if grep q UNVALIDATED then allokay false echo The following files in var lib apt lists have not been validated echo This could turn out to be a harmless indication that this script echo is buggy or out of date or it could let trojaned packages get onto echo your system fmt echo sed s lt UNVALIDATED echo fi if grep q BAD then allokay false echo The contents of the following files in var lib apt lists does not echo match what was expected This may mean these sources are out of date echo that the archive is having problems or that someone is actively echo using your mirror to distribute trojans if am_root th
120. ach der Installation 51 Was kann ein Benutzer von Ihrem System sehen Wahrscheinlich ziemlich viele Sachen versuchen Sie mal Folgendes und jetzt tief durchatmen find type f a perm 006 2 gt dev null find type d a perm 007 2 gt dev null The output is the list of files that a user can see and the accessable directories Begrenzung des Zugangs zu Informationen anderer Benutzer Wenn Sie immer noch Benutzern einen Shellzugang zur Verf gung stellen wollen sollten Sie die Informationen begren zen die man ber anderen Benutzern einholen kann Benutzer mit einer Shell haben die Neigung eine ziemlich gro e Anzahl von Dateien in ihrem HOME zu erstellen Mailboxen pers nliche Daten Konfigurationen f r X GNOME KDE Anwendungen Unter Debian wird jeder Benutzer mit einer zugeh rigen Gruppe erstellt Verschiedene Benutzer geh ren dabei nie zur selben Gruppe Folgendes ist das Standardverhalten Wenn ein Benutzerkonto angelegt wird wird auch eine Gruppe mit dem gleichen Namen erstellt Dieser Gruppe wird der Benutzer zugewiesen Damit wird die Idee einer allgemeinen users Gruppe berfl ssig die es Benutzern erschweren k nnte Informationen vor anderen Benutzern zu verstecken Allerdings wird das HOME Verzeichnis der Benutzer mit 0755 Rechten lesbar von der Gruppe lesbar von der Welt erstellt Die Rechte f r die Gruppe sind kein Thema da nur der Benutzer zu dieser Gruppe geh rt Allerdings k nnten die Rechte f
121. achten Sie dass dies Sie auch daran hindert die Pakete Ihres Systems zu aktualisieren da die Dateien aus den Paketen nicht berschrieben werden k nnen Also sollten Sie vielleicht ein Skript oder einen anderen Mechanismus haben der das immutable Flag auf allen Dateien deaktiviert bevor Sie ein apt get update ausf hren e Spielen Sie mit der UTP Verkabelung herum Schneiden Sie dazu zwei oder vier Kabel durch und stellen ein Kabel her das nur Verkehr in eine Richtung zul sst Verwenden Sie dann UDP Pakete um Informationen an die Zielmaschine zu schicken die ein sicherer Protokollserver oder ein System zur Speicherung von Kreditkartennummern sein kann 10 5 1 Einrichten eines Honigtopfes honeypot Ein Honigtopf ist ein System das darauf ausgelegt ist Systemadministratoren beizubringen wie Cracker ein System ab tasten und darin einbrechen Es ist eine Systemeinstellung mit der Erwartung und dem Zweck dass das System abgetastet und angegriffen und m glicherweise darin eingebrochen wird Wenn Systemadministratoren erfahren welche Werkzeuge und Methoden Cracker anwenden k nnen sie daraus lernen wie sie ihr System und Netzwerk besser sch tzen Debian GNU Linux Systeme k nnen leicht als Honigtopf eingerichtet werden wenn Sie Zeit opfern sie aufzusetzen und zu berwachen Sie k nnen leicht den gef lschten Server die Firewall die den Honigtopf berwacht und ein Programm das Eindringling ins Netzwerk entdecken kann einrichten
122. ade by Fr d ric Schiitz e rewrote entirely the section of ext2 attributes Isattr chattr 1 6 26 Version 2 92 February 2003 Changes by Javier Fern ndez Sanguino Pe a and Fr d ric Sch tz e Merge section 9 3 useful kernel patches into section 4 13 Adding kernel patches and added some content e Added a few more TODOs e Added information on how to manually check for updates and also about cron apt That way Tiger is not perceived as the only way to do automatic update checks e Slightly rewrite of the section on executing a security updates due to Jean Marc Ranger comments e Added a note on Debian s installation which will suggest the user to execute a security update right after installation 1 6 27 Version 2 91 January February 2003 Changes by Javier Fern ndez Sanguino Pefia me e Added a patch contributed by Fr d ric Sch tz e Added a few more references on capabilities thanks to Fr d ric e Slight changes in the bind section adding a reference to BIND s 9 online documentation and proper references in the first area Hi Pedro e Fixed the changelog date new year e Added a reference to Colin s articles for the TODOS e Removed reference to old ssh chroot patches e More patches from Carlo Perassi e Typo fixes recursive in Bind is recursion pointed out by Maik Holtkamp 1 6 28 Version 2 9 December 2002 Changes by Javier Fern ndez Sanguino Pefia me e Reorgan
123. aemonen wie xinetd rlinetd oder openbsd inetd Sie sollten alle nicht ben tigten Inetd Dienste auf Ihrem System abschalten wie zum Beispiel Echo Chargen Discard Daytime Time Talk Ntalk und die r Dienste Rsh Rlogin und Rcp die als SEHR unsicher gelten benutzen Sie stattdessen Ssh Sie k nnen Dienste abschalten indem Sie direkt etc inetd conf editieren aber Debian stellt Ihnen einen besseren Weg zur Verf gung update inetd womit die Dienste auf eine Art auskommentiert werden in der sie leicht wieder aktiviert werden k nnen Sie k nnen den Telnet Daemon sehr leicht mit dem folgenden Kommando abschalten so dass die Konfigurationsdateien angepasst und der Daemon neu gestartet wird usr sbin update inetd disable telnet Wenn Sie Dienste starten wollen aber nur auf bestimmten IP Adressen Ihres Systems k nnen Sie auf eine undokumentierte Funktion des inetd zur ckgreifen Austausch des Namens des Dienstes durch dienst ip Alternativ k nnen Sie einen Daemon wie xinetd benutzen 3 6 Installieren Sie m glichst wenig Software Debian bietet sehr viel Software an Debian 3 0 Woody enth lt sechs oder sieben je nach Architektur CDs mit Software und tausenden Paketen Debian 3 1 Sarge wird mit etwa 13 CD ROMs ausgeliefert Bei so viel Software selbst wenn Sie die Installation auf das Basis System reduzieren 6 k nnten Sie auf Abwege geraten und mehr installieren als Sie wirklich ben tigen Da Sie bereits wissen wa
124. ags sch tzt eigentlich nicht gegen Attacken aber Sie k nnen es als sinnvolle Schutzvor richtung ansehen Eine beispielhafte named conf Konfigurationsdatei k nnte so aussehen acl internal 127 0 0 1 32 localhost 10 0 0 0 8 intern aa bb cc dd eth0 IP D I acl friendly ee ff gg hh slave DNS aa bb cc dd eth0 IP 127 0 0 1 32 localhost 10 0 0 0 8 intern D options directory var cache bind allow query internal allow recursion internal allow transfer none i Ab hier bis zur meineseite bogus Zone ist alles im Grunde die unver nderte Debian Standardeinstellung logging category lame servers null category cname null D zone type hint file etc bind db root D zone localhost type master file etc bind db local Kapitel 5 Absichern von Diensten die auf Ihrem System laufen 76 MF zone 127 in addr arpa type master file etc bind db 127 y zone 0 in addr arpa type master file etc bind db 0 y zone 255 in addr arpa type master file etc bind db 255 y Zone die ich selbst hinzugef gt habe zone mysite bogus type master file etc bind named meineseite allow query any allow transfer friendly y Bitte pr fen Sie erneut die Debian Fehler Datenbank BTS bez glich Bind insbesondere Bug 94760 regarding ACLs on zone transfers http bugs debian org 9
125. all as suggested by Leonard Norr gard Kapitel 1 Einleitung 11 e Added a footnote regarding hardlink attacks if partitions are not setup properly e Added some missing steps in order to run bind as named as provided by Jeffrey Prosa e Added notes about Nessus and Snort out of dateness in woody and availability of backported packages e Added a chapter regarding periodic integrity test checks Clarified the status of testing regarding security updates Debian bug 233955 e Added more information regarding expected contents in securetty since it s kernel specific e Added pointer to snoopylogger Debian bug 179409 e Added reference to guarddog Debian bug 170710 e apt ftparchive isin apt utils not in apt thanks to Emmanuel Chantreau for pointing this out e Removed jvirus from AV list 1 6 20 Version 2 98 December 2003 nderung von Javier Fern ndez Sanguino Pefia e Fixed URL as suggested by Frank Lichtenheld e Fixed PermitRootLogin typo as suggested by Stefan Lindenau 1 6 21 Version 2 97 September 2003 nderung von Javier Fern ndez Sanguino Pefia e Added those that have made the most significant contributions to this manual please mail me if you think you should be in the list and are not e Added some blurb about FIXME TODOs e Moved the information on security updates to the beginning of the section as suggested by Elliott Mitchell e Added grsecurity to the list of kernel patches for security but
126. all zu blockieren benutzen Sie bitte die Regel reject und nicht die Regel deny da andernfalls eine Verbindung zu einem Server die identd verwendet bis zu einer Zeit berschreitung h ngen bleiben wird lesen Sie dazu reject or deny issues http logi cc linux reject_or_deny php3 Kapitel 12 H ufig gestellte Fragen Frequently asked Questions FAQ 136 Ich habe Dienste welche die Ports 1 und 6 verwenden Welche sind das und wie kann ich sie entfernen Sie f hren den Befehl net stat an aus und erhalten Folgendes Active Internet connections servers and established Proto Recv Q Send Q Local Address Foreign Address State PID Program name raw 0 00 00 01 0 0 0 0 x 7 raw 0 0 0 0 0 0 6 0 0 0 0 x 7 You are not seeing processes listening on TCP UDP port 1 and 6 In fact you are seeing a process listening on a raw socket for protocols 1 ICMP and 6 TCP Such behavior is common to both legitimate software like intrustion detection systems such as iplogger and portsentry but some trojans have also been known yo use them If you have the mentioned packages simply remove them to close the port If you do not try netstat s p process option to see which process is running these listeners Ich habe festgestellt dass Port XYZ offen ist Kann ich ihn schlie en Ja nat rlich Die Ports die Sie offen lassen h ngen von Ihrer individuellen Richtlinie bez glich ffentlich zug nglicher Dienste ab Pr fen Sie ob sie von
127. am_cracklib 8 manpage Kapitel 4 Nach der Installation 44 H chstgrenzen f r Benutzer in PAM The following line should be enabled in etc pam d login to set up user resource limits session required pam_limits so Dies schr nkt die Systemressourcen ein die ein Benutzer nutzen darf siehe Ressourcen Nutzung begrenzen Die Datei limits conf auf der n chsten Seite weiter unten Sie k nnen zum Beispiel die Anzahl der Logins die man haben kann einschr nken f r eine Gruppe von Benutzern oder systemweit die Anzahl der Prozesse den belegten Speicher etc Steuerung von su in PAM Wenn Sie Su sch tzen m chten so dass nur manche Leute es benutzen k nnen um Root auf Ihrem System zu werden m ssen Sie eine neue Gruppe wheel zu Ihrem System hinzuf gen das ist der sauberste Weg da keine Datei solche Grup penrechte bisher benutzt F gen Sie Root und die anderen Benutzer die zu Root suen k nnen sollen zu dieser Gruppe hinzu Erg nzen Sie anschlie end etc pam d su um die folgende Zeile auth requisite pam_wheel so group wheel debug Dies stellt sicher dass nur Personen aus der Gruppe wheel su benutzen k nnen um Root zu werden Andere Benut zer wird es nicht m glich sein Root zu werden Tats chlich werden sie eine ablehnende Nachricht bekommen wenn sie versuchen Root zu werden If you want only certain users to authenticate at a PAM service this is quite easy to achieve by using files where the users
128. amantix http www adamantix org entwickelt wurden Dieser Patch f r den Kernel 2 4 x f hrt einige Sicherheitsf higkeiten wie nichtausf hrbaren Speicher durch den Einsatz von PaX http pageexec virtualave net und Mandatory Access Control auf Grundlage von RSBAC http www rsbac org ein Andere Features sind der Random PID Patch http www vanheusden com Linux sp ein mit AES verschl sseltes Loop Ger t Unterst tzung von MPPE und eine Zur ckportierung von IPSEC v2 6 e cryptoloop source Dieser Patch erlaubt Ihnen die F higkeiten der Crypto API des Kernels zu verwenden um verschl sselte Dateisysteme mit dem Loopback Ger t zu erstellen Kernel Unterst tzung von IPSEC im Paket kernel patch openswan Wenn Sie das IPsec Protokoll mit Linux verwenden wollen ben tigen Sie diesen Patch Damit k nnen Sie ziemlich leicht VPNs erstellen sogar mit Windows Rechnern da IPsec ein verbreiteter Standard ist IPsec F higkeiten wurden in den Entwicklungskernel 2 5 eingef gt so dass dieses Feature standardm ig im zuk nftigen Kernel 2 6 enthalten sein wird Homepage http www openswan org FIXME Der neuste Kernel 2 4 in Debian enth lt eine R ckeinbindung des IPSEC Codes aus 2 5 Kommentar dazu Die folgenden Sicherheitspatches f r den Kernel sind nur noch f r alte Kernelversionen in Woody verf gbar und werden nicht mehr weiterentwickelt e POSIX Access Control Lists http acl bestbits at ACLs Listen zur Zu
129. amen in Debian entspre chen 1 6 5 Version 3 13 Februar 2008 Anderung von Javier Fern ndez Sanguino Pe a URLs die auf Bastille Linux verweisen zu www Bastille UNIX org ge ndert da die Domain von einem Dom nenbe setzer gekauft wurde http bastille linux sourceforge net press release newname html Verweise auf Linux Ramen und Lion Wurm ausgebessert In den Beispielen linux image anstelle der alten Pakete kernel image verwendet Von Francesco Poli gemeldete Tippfehler ausgebessert 1 6 6 Version 3 12 August 2007 nderung von Javier Fern ndez Sanguino Pe a Informationen ber Sicherheitsaktualisierungen erneuert Text ber Tiger entfernt und Informationen zu Update notifier und Expertenwerkzeuge f r Desktops sowie zu Debsecan eingef gt auch einige Verweis auf andere ver f gbare Werkzeuge eingef gt Die Firewall Anwendungen nach Zielgruppen aufgeteilt und Fireflier zur Liste der Firewall Anwendungen f r den Desktop hinzugef gt Verweis auf Libsafe entfernt es ist nicht mehr im Archiv wurde im Januar 2006 entfernt Den Ort der Konfiguration von Syslog berichtigt vielen Dank an John Talbut 1 6 7 Version 3 11 Januar 2007 nderung von Javier Fern ndez Sanguino Pefia Vielen Dank an Francesco Poli f r die umfangreiche Durchsicht dieses Dokumentes Die meisten Verweise auf Woody entfernt da es nicht l nger im Archiv verf gbar ist und es daf r auch keine Unter st tzung der Sicherheit mehr gibt
130. an befindet sich sowohl sleuthkit die Werkzeuge und autopsy die grafische Oberfl che Forensische Analysen sollten immer auf einer Sicherheitskopie der Daten angewendet werden niemals auf die Daten selbst da sie durch diese Analyse beeinflusst werden k nnten und so Beweismittel zerst rt werden w rden Weiterf hrende Informationen ber forensische Analyse k nnen Sie in Dan Farmers und Wietse Venemas Buch Fo rensic Discovery http www porcupine org forensics forensic discovery online verf gbar in ihrer Computer Forensics Column http www porcupine org forensics column html und in ihrem Computer Fo rensic Analysis Class Handouts http www porcupine org forensics handouts html finden Eine weitere 3Dies ist eine Liste einiger CERTs Ein vollst ndige Liste erhalten Sie unter FIRST Member Team information http www first org about organization teams index html FIRST ist das Forum von Incident Response and Security Teams AusCERT http www auscert org au Australien UNAM CERT http www unam cert unam mx Mexiko CERT Funet http www cert funet fi Finnland DFN CERT http www d n cert de Deutschland RUS CERT http cert uni stuttgart de Deutschland CERT IT http security dico unimi it Italien JPCERT CC http www jpcert or jp Japan UNINETT CERT http cert uninett no Norwegen HR CERT http www cert hr Kroatien CERT Polskay http www cert pl Polen RU CERT h
131. aneben die M glichkeit mit einem privaten Schl ssel eine Datei zu signieren Wenn eine Datei mit einer digitalen Unterschrift versehen wurde kann jeder der den ffentlichen Schl ssel hat berpr fen ob die Datei mit diesem Schl ssel unterschrieben wurde Ohne den privaten Schl ssel l sst sich eine solche Signatur nicht nachmachen Diese Schl ssel bestehen aus ziemlich langen Zahlen 1024 oder 2048 Ziffern oder sogar l nger Damit sie leichter zu verwenden sind haben sie eine k rzere Schl ssel ID eine Zahl mit nur acht oder 16 Stellen mit der sie bezeichnet werden k nnen 5Bis ein automatischer Mechanismus entwickelt wurde Kapitel 7 Die Infrastruktur f r Sicherheit in Debian 96 Secure Apt verwendet gpg um Dateien zu unterschreiben und ihre Signaturen zu berpr fen Mit dem Programm apt key wird der Schl sselbund von GPG f r Secure Apt verwaltet Der Schl sselbund befindet sich in der Datei etc apt trusted gpg nicht zu verwechseln mit der verwandten aber nicht sehr interessanten Datei etc apt trustdb gpg apt key kann dazu verwendet werden die Schl ssel im Schl sselbund anzuzeigen oder um Schl ssel hinzuzuf gen oder zu entfernen Pr fsummen der Release Datei Jedes Archiv von Debian enth lt eine Release Datei die jedes Mal aktualisiert wird wenn ein Paket im Archiv ge ndert wird Unter anderem enth lt die Release Datei MD5 Summen von anderen Dateien die sich im Archiv befinden Ein Auszug einer
132. apper Bibliothek f r TCP Wrapper kompiliert Kapitel 4 Nach der Installation 53 Einerseits werden Sie bei manchen Diensten einschlie lich telnet ftp netbios swat und finger die in etc inetd conf konfiguriert werden sehen dass die Konfigurationsdatei zuerst usr sbin tcpd aufruft Andererseits selbst wenn ein Dienst nicht ber den inetd Superdaemon ausgef hrt wird kann die Unterst tzung von TCP Wrapper einkompiliert werden Dienste die unter Debian mit TCP Wrappern kompiliert wurden sind ssh portmap in talk rpc statd rpc mountd gdm oaf der GNOME Aktivierungs Daemon nessus und viele andere Um herauszufinden welche Pakete TCP Wrapper benutzen geben Sie Folgendes ein apt cache rdepends libwrap0 Beachten Sie bitte Folgendes wenn Sie tcpchk ein sehr n tzliches Programm zur berpr fung der TCP Wrapper Konfiguration und Syntax laufen lassen Wenn Sie Stand Alone Dienste alleinstehende Dienste also solche die direkt mit der Wrapper Bibliothek verbunden sind der host deny oder host allow Datei hinzuf gen wird t cpchk Sie war nen dass er sie nicht finden kann da er sie nur in etc inetd conf sucht die Handbuchseite ist an dieser Stelle nicht sehr genau Jetzt kommt ein kleiner Trick und vielleicht die kleinste Alarmanlage zur Erkennung von Eindringlingen Im Allgemeinen sollten Sie eine anst ndige Firewall als erste und TCP Wrapper als zweite Verteidigungslinie haben Der Trick besteht nun dar
133. aren und ausgebesserten Versionen f r unterschiedliche Ver ffentlichungen CVE Namen Nummern von Debian Fehlerberichten DSAs sowie unterschiedliche Anmerkungen Die Datenbank kann durchsucht werden z B nach dem CVE Namen um zu sehen welche Debian Pakete davon betroffen sind oder bereits Ausbesserungen enthalten oder z B nach einem bestimmten Paket um zu sehen welche ungel sten Sicherheitsprobleme es hat Die einzigen Informationen die in der Datenbank fehlen sind vertrauliche Informationen die das Sicherheitsteam w hrend eines Embargos erhalten hat Das Paket debsecan verwendet die Informationen in der Datenbank zum den Administrator eines Systems dar ber zu informieren welche der installierten Pakete verwundbar sind und f r welche Pakete Sicherheitsaktualisierungen verf gbar sind 7 4 Die Infrastruktur des Sicherheitsprozesses in Debian Da Debian im Moment eine gro e Anzahl von Architekturen unterst tzt fragen Administratoren manchmal ob es bei einer bestimmten Architektur bis zu einer Sicherheitsaktualisierung l nger dauert als bei einer anderen Tats chlich sind Aktualisierungen auf allen Architekturen zur selben Zeit verf gbar abgesehen von seltenen Umst nden Pakete im Sicherheitsarchiv werden automatisch erstellt genauso wie im normalen Archiv Allerdings werden Sicherheits aktualisierungen etwas anderes behandelt als normale Aktualisierungen die von den Paketbetreuern vorgenommen wer den da in manchen F llen
134. arget prot opt source destination Chain OUTPUT policy DROP target prot opt source destination ACCEPT 80 anywhere security debian org LOG all anywhere anywhere LOG level warning Hinweis Es ist die vorzugswiirdige Verfahrensweise die Policy Regel DROP fiir die Input Kette zu verwenden Seien Sie aber u erst vorsichtig wenn Sie dies bei einer entfernten Verbindung unternehmen Wenn Sie das Regelwerk Ihrer Firewall aus der Ferne testen ist es am besten wenn Sie ein Skript mit dem Regelwerk laufen lassen anstatt jede Regel Zeile f r Kapitel F Schutz der Sicherheitsaktualisierung durch eine Firewall 158 Zeile von der Befehlszeile aus einzugeben und sich vorsorglich eine Hintert r offen halten so dass Sie wieder Zugriff auf Ihr System bekommen wenn Sie einen Fehler gemacht haben Auf diese Weise m ssen Sie sich nicht auf den Weg zum entfernten Rechner machen um die Firewall Regel mit der Sie sich ausgeschlossen haben zu korrigieren FIXME This needs DNS to be working properly since it is required for security debian org to work You can add securi ty debian org to etc hosts but now it is a CNAME to several hosts there is more than one security mirror FIXME this will only work with HTTP URLs since ftp might need the ip_conntrack_ftp module or use passive mode Wie z B knockd Alternativ dazu k nnen Sie auch eine separate Konsole ffnen und das System nachfragen lassen ob sich jemand auf der Gegenseite befinde
135. art Prozess zu entfernen e berpr fen Sie bei inetd Diensten werden durch den Superdaemon gestartet welche Dienste in etc inetd conf aktiviert sind Verwenden Sie dazu Folgendes grep v etc inetd conf sort u Deaktivieren Sie dann diejenigen Dienste die Sie nicht ben tigen indem Sie die Zeile in etc inetd conf aus kommentieren das Paket entfernen oder indem Sie update inetd benutzen Kapitel A Der Abh rtungsprozess Schritt f r Schritt 142 e Wenn Sie Dienste eingeh llt haben und usr sbin tcpd benutzen pr fen Sie ob die Dateien etc hosts allow und etc hosts deny passend zu Ihrer Richtlinie f r die Dienste konfiguriert sind e Wenn der Server mehr als eine externe Schnittstelle benutzt k nnen Sie Dienste darauf beschr nken auf bestimmten Schnittstellen zu lauschen Ob das m glich ist h ngt aber von den Diensten ab Wenn Sie zum Beispiel internen FTP Zugriff erlauben wollen lassen Sie den FTP Daemon nur auf der internen Schnittstelle lauschen nicht auf allen d h 0 0 0 0 21 e Booten Sie die Maschine neu oder wechseln Sie in den Single User Modus und zur ck in den Multi User Modus mit init 1 Go init 2 e Pr fen Sie die nun angebotenen Dienste und wiederholen Sie gegebenenfalls die letzten Schritte e Installieren Sie jetzt die ben tigten Dienste falls es noch nicht geschehen ist und konfigurieren Sie sie passend e Pr fen Sie mit folgendem Shell Befehl unter welchem Benutz
136. as Paket logcheck ist in Debian auf drei Pakete verteilt logcheck das Hauptprogramm logcheck database eine Datenbank regul rer Ausdr cke f r das Programm und logtail gibt Protokollzeilen aus die noch nicht gelesen wur den Der Standard unter Debian in etc cron d logcheck ist dass Logcheck jede Stunde und nach jedem Neustart ausgef hrt wird Wenn dieses Werkzeug in geeigneter Weise angepasst wurde kann es sehr n tzlich sein um den Administra tor zu alarmieren wenn etwas ungew hnliches auf dem System passiert Logcheck kann vollst ndig angepasst werden so dass es Mails ber Ereignisse aus den Protokollen sendet die Ihrer Aufmerksamkeit bed rfen Die Standard Installation umfasst Profile zum Ignorieren von Ereignissen und Verst en gegen die Sicherheitsrichtlinie f r drei unterschiedliche Einsatzbereiche Workstation Server und paranoid Das Debian Paket umfasst die Konfi gurationsdatei etc logcheck logcheck conf die vom Programm eingelesen wird und die definiert an wel chen Benutzer die Testergebnisse geschickt werden sollen Es stellt au erdem einen Weg f r Pakete zur Verf gung um neue Regeln in folgenden Verzeichnisses zu erstellen etc logcheck cracking d _packagename_ etc logcheck violations d _packagename_ etc logcheck violations ignore d _packagename_ etc logcheck ignore d paranoid _packagename_ etc logcheck ignore d server _packagename_ und etc logcheck ignore d workstation _packagename_ Leider benu
137. as Platz schafft Paket Gr e PEE AEE AA AROSE gdb 2 766 822 gec 3 3 1 570 284 dpkg dev 166 800 libc dev 2 531 564 cpp 3 3 1 391 346 manpages dev 081 408 flex 257 678 g 384 Hinweis virtuelles Paket linux kernel headers 3115 022 bin86 82 090 cpp 29 446 gec 4 896 Hinweis virtuelles Paket G t 32 3 778 880 bison 702 830 make 366 138 libstdc 5 3 3 dev 774 982 Dieses Verhalten wurde in den Ver ffentlichungen nach Sarge ver ndert F r weitere Informationen sehen Sie sich Fehler 301273 http bugs debian org cgi bin bugreport cgi bug 301273 und Fehler 301138 http bugs debian org cgi bin bugreport cgi bug 301138 an Wegen eines Fehlers im Installationssystem ist dies nicht geschehen wenn mit dem Installationssystem von Debian 3 0 Woody installiert wird 3 6 1 Entfernen von Perl Sie m ssen bedenken dass es nicht gerade einfach ist Perl von einem Debian System zu entfernen in der Tat kann es ziemlich schwierig werden da es von vielen Dienstprogrammen benutzt wird per1 base hat au erdem Priority required und das sagt eigentlich schon alles Es ist aber trotzdem machbar Allerdings k nnen Sie auf diesem System keine Per1 Anwendung mehr laufen lassen Au erdem m ssen Sie auch das Paketverwaltungssystem hereinlegen damit es weiterhin denkt dass per1 base installiert ist auch wenn es das nicht mehr ist 8 Welche Dienstprogramme benutzen Per1 Sie k nnen es selbst herausfinden
138. atei unterschrieben hat Diese Schl ssel werden in Apts eigenem Schl sselbund etc apt trusted gpg gespeichert Bei der Verwaltung dieser Schl ssel kommt Secure Apt ins Spiel Standardm ig befindet sich bei Debian Systemen der Schl ssel des Debian Archivs im Schl sselbund apt key list etc apt trusted gpg pub 1024D 4F368D5D 2005 01 31 expires 2006 01 31 uid Debian Archive Automatic Signing Key 2005 lt ftpmaster debian org gt Im Beispiel ist 4F368D5D die Schl ssel ID Beachten Sie dass dieser Schl ssel nur f r ein Jahr g ltig ist Debian tauscht die Schl ssel als letzte Verteidigungslinie gegen Sicherheitsrisiken die das Knacken eines Schl ssels umfassen regelm ig aus Mit dem Schl ssel des Archivs wird apt dem offiziellen Archiv von Debian vertrauen Wenn Sie aber weitere Paketdepots zu etc apt sources list hinzuf gen wollen m ssen Sie Apt Ihre Schl ssel mitteilen wenn Sie wollen dass Apt ihnen vertraut Sobald Sie den Schl ssel haben und ihn berpr ft haben m ssen Sie nur apt key add Datei laufen lassen um den Schl ssel hinzuzuf gen Der schwierigste Teil dabei ist den Schl ssel zu bekommen und ihn zu berpr fen Den Schl ssel eines Paketdepots finden Mit dem Paket debian archive keyring werden Schl ssel f r apt bereitgestellt Aktualisierungen dieses Pakets f h ren dazu dass GPG Schl ssel f r das Debian Hauptarchiv hinzugef gt oder gel scht werden F r andere Archive gibt noch k
139. auf Ihrem System laufen 85 Manuelle init d Konfiguration Eine andere M glichkeit ist die manuelle Konfiguration Ihrer Firewall Regeln durch ein init d Skript das die iptables Befehle ausf hrt Befolgen Sie diese Schritte e Sehen Sie das unten aufgef hrte Skript durch und passen Sie es Ihren Anforderungen an e Testen Sie das Skript und berpr fen Sie die Syslog Meldungen nach unterdr ckten Netzverkehr Wenn Sie vom Netzwerk aus testen werden Sie entweder den Beispielshellcode starten wollen um die Firewall zu entfernen wenn Sie nichts innerhalb von 20 Sekunden eingeben oder Sie sollten die default deny Richtliniendefinition auskommen tieren P INPUT DROP und P OUTPUT DROP und berpr fen dass das System keine g ltigen Daten verworfen hat e Verschieben Sie das Skript nach etc init d meineFirewall e The below script takes advantage of Debian s use since Squeeze of dependency based boot sequencing For more information see Debian Dependency Based Boot https wiki debian org LSBInitScripts DependencyBasedBoot and How to write an LSB Init Script https wiki debian org LSBInitScripts With the LSB headers set as they are in the script insserv will automatically configure the system to start the firewall before any network is brought up and stop the firewall after any network is brought down insserv myfirewall Dies ist das Beispiel Firewallskript bin sh BEGIN INIT INFO Provides myfirewa
140. beim Booten Fehlermel dungen verursachen e Editieren Sie die Datei etc init d Dienst so dass sich das Skript sofort beendet sobald es gestartet wird indem Sie die Zeile exit 0am Anfang einf gen oder den start stop daemon Abschnitt auskommentieren Falls Sie dies tun k nnen Sie das Skript nicht sp ter dazu verwenden um den Dienst von Hand zu starten Jedoch handelt es sich bei allen Dateien unter etc init d um Konfigurationsdateien und sollten daher bei einem Up grade des Pakets nicht berschrieben werden Sie k nnen im Gegensatz zu anderen UNIX Betriebssystemen Dienste unter Debian nicht abschalten indem Sie die Da teien unter etc default Dienst modifizieren FIXME Add more information on handling daemons using file rc Kapitel 3 Vor und w hrend der Installation 31 3 5 2 Abschalten von Inetd oder seinen Diensten Sie sollten berpr fen ob Sie heutzutage den inetd Daemon berhaupt brauchen Inetd war fr her eine M glichkeit Unzul nglichkeiten des Kernels auszugleichen Diese sind aber in modernen Linux Kerneln nicht mehr vorhanden Gegen inetd gibt es die M glichkeit von Angriffen die zur Dienstverweigerung f hren Denial of Service welche die Last des Rechners unglaublich erh hen Viele Leute ziehen es vor einzelne Daemonen zu benutzen anstatt einen Dienst ber inetd zu starten Wenn Sie immer noch einen inetd Dienst laufen lassen wollen wechseln Sie wenigstens zu einem besser zu konfigurierenden Inet D
141. bled Ein Angreifer kann immer noch die Benutzer herausfinden da die Antwort des Web Servers 403 Permission Denied und nicht 404 Not available lautet Mit dem Rewrite Modul k nnen Sie das verhindern 5 8 2 Rechte der Protokolldateien Apaches Protokolldateien geh ren seit 1 3 22 1 dem Benutzer root und der Gruppe adm mit den Rechten 640 Diese Rechte ndern sich nach einer Rotation Ein Eindringling der das System ber den Web Server erreicht hat kann so Eintr ge in alten Protokolldatei nicht ohne Rechteerweiterung entfernen 5 8 3 Ver ffentlichte Web Dateien Apache Dateien befinden sich unterhalb von var www Direkt nach der Installation bietet die Standardseite einige Infor mationen zu dem System haupts chlich dass es ein Debian System ist auf welchem Apache l uft Die Standard Webseiten geh ren standardm ig dem Benutzer root und der Gruppe root w hrenddessen der Apache Prozess als Benutzer www data und Gruppe www data l uft Dies sollte es Angreifern die in das System durch den Web Server eindringen schwerer machen die Site zu verunstalten Sie sollten nat rlich die Standard Webseiten die Informationen die Sie der Au enwelt vorenthalten wollen enthalten k nnen durch Ihre eigenen ersetzen Kapitel 5 Absichern von Diensten die auf Ihrem System laufen 80 5 9 Absichern von Finger Wenn Sie den Finger Dienst laufen lassen wollen fragen Sie sich bitte zuerst ob Sie das auch wirklich tun m ssen Wenn
142. ce installation and removal and added some new notes e Added some notes regarding using integrity checkers as intrusion detection tools e Added a chapter regarding package signatures 1 6 44 Version 1 95 nderung von Javier Fern ndez Sanguino Pe a e Added notes regarding Squid security sent by Philipe Gaspar e Fixed rootkit links thanks to Philipe Gaspar 1 6 45 Version 1 94 nderung von Javier Fern ndez Sanguino Pe a e Added some notes regarding Apache and Lpr Ipng e Added some information regarding noexec and read only partitions e Rewrote how users can help in Debian security issues FAQ item Kapitel 1 Einleitung 19 1 6 46 Version 1 93 nderung von Javier Fern ndez Sanguino Pefia e Fixed location of mail program e Added some new items to the FAQ 1 6 47 Version 1 92 nderung von Javier Fern ndez Sanguino Pefia e Added a small section on how Debian handles security e Clarified MD5 passwords thanks to rocky e Added some more information regarding harden X from Stephen van Egmond e Added some new items to the FAQ 1 6 48 Version 1 91 Anderung von Javier Fern ndez Sanguino Pe a e Added some forensics information sent by Yotam Rubin e Added information on how to build a honeynet using Debian GNU Linux e Added some more TODOS e Fixed more typos thanks Yotam 1 6 49 Version 1 9 Anderung von Javier Fern ndez Sanguino Pe a e Added patch to fix misspellings and some
143. ceforge net im Paket trustees Dieser Patch f gt ein ordentliches fortgeschrittenes Rechtemanagement Ihrem Linux Kernel hinzu Besondere Objekte die trustees Treuh nder ge nannt werden sind mit jeder Datei oder Verzeichnis verbunden Sie werden im Speicher des Kernels abgelegt und erlauben so eine schnelle Abfrage aller Rechte e NSA Enhanced Linux im Paket selinux Backports von Paketen die SELinux unterst tzen sind unter http selinux alioth debian org erh ltlich Weiterf hrende Informationen k nnen Sie auf der SELinux in Debian Wiki Seite http wiki debian org SELinux und auf Manoj Srivastavas http www golden gryphon com software security selinux xhtml und Russell Cookers http www coker com au selinux SELinux Webseiten finden e Der Exec Shield Patch http people redhat com mingo exec shield aus dem Paket kernel patch exec shield Dieser Patch sch tzt vor einigen Puffer berl ufen stack smashing attacks e Der Grsecurity Patch http www grsecurity net aus den Paketen kernel patch 2 4 grsecurity und kernel patch grsecurity2 verwirklicht Mandatory Access Control durch RBAC und stellt Schutz vor Puffer berl ufen durch PaX ACLs Zuf lligkeit im Netzwerk um die Erkennung von Spuren des OS zu erschweren und noch viele Features mehr http www grsecurity net features php zur Verf gung e kernel patch adamantix bietet die Patches an die f r die Debian Distribution Ad
144. ces list as well See apt 8 for further details 4 2 1 Sicherheitsaktualisierungen f r Bibliotheken Once you have executed a security update you might need to restart some of the system services If you do not do this some services might still be vulnerable after a security upgrade The reason for this is that daemons that are running before an upgrade might still be using the old libraries before the upgrade From Debian Jessie and up you can install the needrestart package which will run automatically after each APT up grade and prompt you to restart services that are affected by the just installed updates In earlier releases you can run the checkrestart program available in the debian goodies package manually after your APT upgrade Einige Pakete wie 1ibc6 werden diesen Test in der Postinst Phase f r eine begrenzte Anzahl von Diensten durchf h ren da ein Upgrade von notwendigen Bibliotheken einige Anwendungen unbrauchbar machen kann wenn sie nicht neu gestartet werden Indem das System auf Runlevel 1 Single User und dann zur ck auf Runlevel 3 Multi User gebracht wird sollten die meisten wenn nicht alle Systemdienste neu gestartet werden Dies ist aber keine Option wenn Sie die Sicherheitsaktuali sierung ber eine Verbindung aus der Ferne z B mit Ssh vornehmen da diese getrennt werden w rde Excercise caution when dealing with security upgrades if you are doing them over a remote connection like ssh A suggest
145. ch andere Netzwerkdienste gibt direkt an diese gesendete Pakete verworfen werden dies nennt man filtern Sie k nnen eine Debian GNU Linux Maschine sogar so konfigurieren dass sie als Bridge Firewall berbr ckender Schutz wall fungiert d h als eine filternde Firewall die komplett transparent zum gesamten Netzwerk erscheint ohne IP Adresse auskommt und daher nicht direkt attackiert werden kann Abh ngig von dem installierten Kernel m ssen Sie vielleicht den Bridge Firewall Patch installieren und dann 802 1d Ethernet Bridging in der Kernel Konfiguration und die neue Option netfilter firewalling Support ausw hlen Sehen Sie dazu Aufsetzenden einer Bridge Firewall auf Seite 149 um zu erfahren wie man dies auf einem Debian GNU Linux System aufsetzt 5 14 3 Aufsetzen einer Firewall Die Debian Standardinstallation bietet im Gegensatz zu vielen anderen Linux Distributionen noch keine Methode f r den Administrator eine Firewall Konfiguration mit der Standardinstallation einzurichten aber Sie k nnen eine Anzahl von Firewall Konfigurationspaketen siehe Nutzen von Firewall Paketen auf der n chsten Seite installieren Of course the configuration of the firewall is always system and network dependant An administrator must know befo rehand what is the network layout and the systems to protect the services that need to be accessed and whether or not other network considerations like NAT or routing need to be taken into acc
146. chen Es gibt im Moment mindestens zwei Linux Distributionen die mit verschiedenen EAL http en wikipedia org wiki Evaluation_Assurance_Level Levels zertifiziert sind Beachten Sie dass einige CC Tests im Linux Testing Pro ject http ltp sourceforge net vorhanden sind welche in Debian durch 1tp angeboten wird 12 1 4 Gibt es irgendein Abh rtungsprogramm f r Debian Ja Bastille Linux http bastille linux sourceforge net das sich urspr nglich an anderen Linux Distributionen Red Hat und Mandrake orientierte es funktioniert derzeit auch mit Debian Es sind Mafsnahmen ein geleitet um Anderungen am Originalprogramm auch in das Debian Paket bastille einflie en zu lassen Manche Leute glauben jedoch dass ein Absicherungsprogramm nicht die Notwendigkeit einer guten Administration er setzen kann 12 1 5 Ich m chte den Dienst XYZ laufen lassen Welchen sollte ich benutzen Einer der gr ten St rken von Debian ist die gro e Vielfalt von Paketen welche die gleichen Funktionen erf llen DNS Server Mail Server FTP Server Web Server etc Das kann einen unerfahrenen Administrator verwirren wenn er heraus finden will welches Paket das richtige f r ihn ist Die beste Wahl h ngt in der Balance zwischen Ihrem Bed rfnis nach Funktionalit t und dem nach Sicherheit in der jeweiligen Situation ab Im Folgenden einige Fragen die Sie sich stellen sollten wenn Sie zwischen hnlichen Paketen entscheiden m ssen e Wird
147. chon in Ihrem ffentlichen Schl sselbund befinden Um beispielsweise gnupg so einzurichten dass es den oben genannten Key Server verwendet m ssen Sie die Datei gnupg options bearbeiten und folgende Zeile hinzuf gen keyserver wwwkeys pgp net Die meisten Key Server sind miteinander verbunden Wenn Sie also Ihren ffentlichen Schl ssel einem hinzuf gen wird er an alle anderen Key Server weitergereicht Da w re auch noch das Debian GNU Linux Paket debian keyring das die ffentlichen Schl ssel aller Debian Entwickler enth lt Der Schl sselbund von gnupg wird in usr share keyrings installiert Weitere Informationen e GnuPG FAQ http www gnupg org faq html Das GNU Handbuch zum Schutze der Privatsph re http www gnupg org gph de manual index html a GnuPG Mini Howto English http www dewinter com gnupg_howto english GPGMiniHowto html e comp security pgp FAQ http www uk pgp net pgpnet pgp faq e Keysigning Party HOWTO http www cryptnet net fdp crypto gpg party html 4Weitere Beispiele wie Sie gnupg konfigurieren k nnen finden Sie in usr share doc mutt examples gpg rc 111 Kapitel 9 Der gute Umgang von Entwicklern mit der Sicherheit des OS Dieses Kapitel handelt von einigen der anerkannten Vorgehensweisen f r sicheres Programmieren wenn Entwickler Pakete f r Debian erstellen Wenn Sie sehr an sicherheitsbewusster Programmierung interessiert sind sollten Sie David
148. contact information e Added alternate mail address e Fixed Alexander mail address even if commented out e Fixed location of release keys thanks to Pedro Zorzenon for pointing this out 1 6 37 Version 2 2 nderung von Javier Fern ndez Sanguino Pefia e Fixed typos thanks to Jamin W Collins e Added a reference to apt extracttemplate manpage documents the APT ExtractTemplate config e Added section about restricted SSH Information based on that posted by Mark Janssen Christian G Warden and Emmanuel Lacour on the debian security mailing list e Added information on antivirus software e Added a FAQ su logs due to the cron running as root Kapitel 1 Einleitung 17 1 6 38 Version 2 1 nderung von Javier Fern ndez Sanguino Pe a Changed FIXME from Ishell thanks to Oohara Yuuma Added package to sXid and removed comment since it is available Fixed a number of typos discovered by Oohara Yuuma ACID is now available in Debian in the acidlab package thanks to Oohara Yuuma for noticing Fixed LinuxSecurity links thanks to Dave Wreski for telling 1 6 39 Version 2 0 Changes by Javier Fern ndez Sanguino Pefia I wanted to change to 2 0 when all the FIXMEs were fixed but I ran out of 1 9X numbers Converted the HOWTO into a Manual now I can properly say RTFM Added more information regarding tcp wrappers and Debian now many services are compiled with support for them so it s no longer an ine
149. d Larry Holish s patch quite big fixes a lot of FIXMEs 1 6 32 Version 2 5 September 2002 Changes by Javier Fern ndez Sanguino Pe a me e Fixed minor typos submitted by Thiemo Nagel e Added a footnote suggested by Thiemo Nagel e Fixed an URL link 1 6 33 Version 2 5 August 2002 Changes by Javier Fern ndez Sanguino Pe a me There were many things waiting on my inbox as far back as February to be included so I m going to tag this the back from honeymoon release e Applied a patch contributed by Philipe Gaspar regarding the Squid which also kills a FIXME e Yet another FAQ item regarding service banners taken from the debian security mailing list thread Telnet informa tion started 26th July 2002 e Added a note regarding use of CVE cross references in the How much time does the Debian security team FAQ item Kapitel 1 Einleitung 14 Added a new section regarding ARP attacks contributed by Arnaud Arhuman Assad New FAQ item regarding dmesg and console login by the kernel Small tidbits of information to the signature checking issues in packages it seems to not have gotten past beta release New FAQ item regarding vulnerability assessment tools false positives Added new sections to the chapter that contains information on package signatures and reorganized it as a new Debian Security Infrastructure chapter New FAQ item regarding Debian vs other Linux distributions New section on mail u
150. d Samuli Suonpaa s post to debian security Small note regarding some programs to automatically build chroot jails New FAQ item regarding identd based on a discussion in the debian security mailing list February 2002 started by Johannes Weiss New FAQ item regarding inetd based on a discussion in the debian security mailing list February 2002 Introduced note on rcconf in the disabling services section Varied the approach regarding LKM thanks to Philipe Gaspar Added pointers to CERT documents and Counterpane resources Kapitel 1 Einleitung 18 1 6 40 Version 1 99 nderung von Javier Fern ndez Sanguino Pefia e Added a new FAQ item regarding time to fix security vulnerabilities e Reorganized FAQ sections e Started writing a section regarding firewalling in Debian GNU Linux could be broadened a bit e Fixed typos sent by Matt Kraai e Fixed DNS information e Added information on whisker and nbtscan to the auditing section e Fixed some wrong URLs 1 6 41 Version 1 98 nderung von Javier Fern ndez Sanguino Pefia e Added a new section regarding auditing using Debian GNU Linux e Added info regarding finger daemon taken from the security mailing list 1 6 42 Version 1 97 nderung von Javier Fern ndez Sanguino Pe a e Fixed link for Linux Trustees e Fixed typos patches from Oohara Yuuma and Pedro Zorzenon 1 6 43 Version 1 96 Anderung von Javier Fern ndez Sanguino Pefia e Reorganized servi
151. d keine neue Gruppe erstellt wenn ein neuer Benutzer angelegt wird Sie sollten auch USERS_GID die GID der Gruppe zuweisen der alle Benutzer angeh ren 12 1 14 Fragen ber Dienste und offene Ports Warum werden alle Dienste w hrend der Installation aktiviert Das ist der Ann herung an das Problem auf der einen Seite sicherheitsbewusst und auf der anderen Seite benutzerfreund lich zu sein Anders als OpenBSD das alle Dienste abschaltet bis sie vom Administrator aktiviert werden aktiviert Debian GNU Linux alle installierten Dienste bis sie abgeschaltet werden siehe dazu Daemons abschalten auf Seite 29 Immerhin haben Sie den Dienst installiert oder Es gab viele Diskussionen auf Debian Mailinglisten sowohl auf debian devel als auch auf debian security dar ber wel ches die bessere Vorgehensweise f r eine Standardinstallation ist Jedoch gab es bisher 10 M rz 2002 keinen Konsens Kann ich inetd entfernen Inetd ist nicht leicht zu entfernen da netbase von dem Paket abh ngt das es enth lt netkit inetd Wenn Sie es entfernen wollen k nnen Sie es entweder abschalten siehe Daemons abschalten auf Seite 29 oder das Paket entfernen indem Sie das Paket equivs benutzen Warum ist bei mir Port 111 offen Port 111 ist sunrpcs Portmapper und wird standardm ig bei der Grundinstallationen eines Debian Systems eingerichtet da es keine M glichkeit gibt herauszubekommen wann ein Programm eines Benutzers RPC gebrauc
152. dass die PAM Implementierung in Debian GNU Linux Ihnen erlaubt Benutzer mit einer breiten Auswahl von externen Verzeichnisdiensten Radius LDAP etc zu berpr fen Dies wird vom Paket libpam bewerkstelligt If users need to be created and the system can be accessed remotely take into account that users will be able to log in to the system You can fix this by giving users a null dev nu11 shell it would need to be listed in etc shells If you want to allow users to access the system but limit their movements you can use the bin rbash equivalent to adding the r option in bash RESTRICTED SHELL see bash 1 Please note that even with restricted shell a user that access an interactive program that might allow execution of a subshell could be able to bypass the limits of the shell Debian bietet zurzeit in seiner Unstable Ver ffentlichung und wird es vielleicht der n chsten Stable Ver ffentlichung hin zuf gen das Modul pam_chroot in libpam chroot an Eine Alternative hierzu ist es die Dienste die eine Fernanmel dung erm glichen Ssh und Telnet in einer Chroot Umgebung laufen zu lassen 18 Wenn Sie einschr nken wollen wann ein Benutzer auf das System zugreifen kann m ssen Sie etc security access conf an Ihre Bed rfnisse anpassen Informationen wie man Benutzer die auf das System mittels des Dienstes Ssh zugreifen in eine Chroot Umgebung ein sperrt wird in Chroot Umgebung f r SSH auf Seite 159 beschrieben
153. datei k nnte beispielsweise so aussehen chroot var chroot apache testCommandsInsideJail usr sbin apachectl start processNames apache testCommandsOutsideJail wget r spider http localhost lynx source https localhost preserve var www var log apache dev log users chrapach groups chrapach packages apache apache common userFiles etc password etc shadow groupFiles etc group etc gshadow forceCopy etc hosts etc mime types FIXME some options do not seem to work properly For instance etc shadow and etc gshadow are not copied whereas etc passwordand etc group are fully copied instead of being filtered e Erstellen Sie den Verzeichnisbaum fiir chroot makejail etc makejail apache py e Falls etc password und etc group vollst ndig kopiert wurden geben Sie Folgendes ein grep chrapach etc passwd gt var chroot apache etc passwd grep chrapach etc group gt var chroot apache etc group Damit werden etc password und etc group mit gefilterten Fassungen ersetzt e Kopieren Sie die Webseiten und die Protokolle ins Gef ngnis Diese Dateien werden nicht automatisch mitkopiert sehen Sie sich dazu die Option preserve in der Konfigurationsdatei von make jail an cp Rp var www var chroot apache var cp Rp var log apache log var chroot apache var log apache e Editieren Sie das Startskript f r den Protokoll Daemon des Systems s
154. dem Benutzer und der Gruppe news Programme wie inews die man benutzen kann um News zu posten sind normalerweise SETGID news e uucp Der Benutzer uucp und die Gruppe uucp werden vom UUCP Subsystem benutzt Ihnen geh ren Spool und Konfigurationsdateien Nutzer in der Gruppe uucp k nnen uucico aufrufen e proxy Wie Daemon wird dieser Benutzer und diese Gruppe von manchen Daemonen insbesondere Proxy Daemonen verwendet die keine spezielle User ID haben aber eigene Dateien besitzen m ssen Zum Beispiel wird die Gruppe proxy von pdnsd benutzt und squid l uft als Benutzer proxy e majordom Majordomo hat auf Debian Systemen aus historischen Gr nden eine statisch zugewiesene UID Auf neu en Systemen wird sie nicht installiert e postgres Postgresql Datenbanken geh ren diesem Benutzer und dieser Gruppe Alle Dateien in var lib postgresql geh ren diesem Benutzer um anst ndige Sicherheit zu gew hrleisten e www data Einige Web Server laufen als www data Web Inhalte sollten nicht diesem Benutzer geh ren andern falls w re ein kompromittierter Web Server in der Lage eine Web Seite zu berschreiben Daten die der Web Server schreibt einschlie lich Protokolldateien geh ren www data e backup So k nnen Backup Wiederherstellungszust ndigkeiten lokal an irgendjemanden ohne volle Root Zugriff delegiert werden e operator operator ist historisch und praktisch das einzige Benutzer Konto in das man sich entfernt einlog
155. der starten Sie sie erneut und rufen dann Post Invoke manuell auf Achtung Das bedeutet dass Sie wahrscheinlich jedes Mal Ihre Sitzung von X falls Sie eine laufen haben neu starten m ssen wenn Sie ein gr eres Upgrade Ihres Systems durchf hren Sie m ssen entscheiden ob ein nur lesbares usr zu Ihrem System passt Vergleichen Sie auch diese discussion on debian devel about read only usr http lists debian org debian devel 2001 ll threads htm1 00212 4 11 Den Benutzerzugang absichern 4 11 1 Benutzerauthentifizierung PAM PAM Pluggable Authentication Modules erlaubt Systemadministratoren auszuw hlen wie Anwendungen Benutzer au thentifizieren Beachten Sie dass PAM nichts machen kann solange die Anwendung nicht mit Unterst tzung f r PAM kom piliert wurde Die meisten Anwendungen die mit Debian geliefert werden haben diese Unterst tzung eingebaut Vor Versi on 2 2 hatte Debian keine Unterst tzung f r PAM Die derzeitige Standardkonfiguration f r jeden Dienst der PAM benutzt ist es UNIX Authentifizierung zu emulieren lesen Sie usr share doc libpam0g Debian PAM MiniPolicy gz um mehr dar ber zu erfahren wie PAM Dienste unter Debian arbeiten sollten Jede Anwendung mit PAM Unterst tzung stellt eine Konfigurationsdatei unter etc pam d zur Verf gung in welcher Sie ihr Verhalten einstellen k nnen e welches Verfahren zur Authentifizierung benutzt wird e welches Verfahren innerhalb einer Sitzung benut
156. deren Seite lesen berpr fen Sie bitte die Hauptversion ob sie neue Informationen enth lt Wenn Sie eine bersetzung lesen was Sie im Moment tun d vergleichen Sie bitte die Version der bersetzung mit der neuesten Version Falls Sie feststellen dass die bersetzung veraltet ist sollten Sie in Betracht ziehen die Originalversion zu verwen den oder zumindest Anderungsiibersicht Changelog Geschichte auf Seite 5 durchsehen um zu wissen was ge ndert wurde Wenn Sie eine vollst ndige Kopie des Handbuchs wollen k nnen Sie die Text Version http www de debian org doc manuals securing debian howto securing debian howto de txt oder die PDF Version http www de debian org doc manuals securing debian howto securing debian howto de pdf von der Site des Debian Documentation Projects herunterladen Diese Versionen k nnen sinnvoller sein wenn Sie das Dokument auf ein tragbares Medium kopieren oder ausdrucken wollen Seien Sie aber gewarnt das Dokument ist ber 200 Seiten lang und einige Code Abschnitte werden in der PDF Version wegen den eingesetzten Formatierungswerkzeugen nicht richtig umgebrochen und k nnte daher nur unvollst ndig ausgedruckt werden Das Dokument ist auch in den Formaten Text HTML und PDF im Paket harden doc http packages debian org harden doc enthalten Beachten Sie allerdings dass das Paket nicht genauso aktuell sein muss wie das Dokument das Sie auf der Debian Seite finden Sie k nnen sich aber
157. die Netzwerkoptionen des Kernels konfigurieren m ssen Sie daf r sorgen dass sie bei jedem Neustart des Sys tems geladen werden Das nachfolgende Beispiel aktiviert neben vielen der oben vorgestellten Optionen auch noch ein paar andere n tzliche Optionen There are actually two ways to configure your network at boot time You can configure etc sysctl conf see sysctl conf 5 or introduce a script that is called when the interface is enabled The first option will be applied to all interfaces whileas the second option allows you to configure this on a per interface basis Ein Beispiel einer Konfiguration von etc sysctl conf die einige Netzwerkoptionen auf der Kernelebene absichert wird unten gezeigt Beachten Sie darin den Kommentar dass etc network options beim Ausf hren von etc init d networking dies ist in der Startsequenz nach procps einige Werte berschreiben k nnte wenn sich Wer te in dieser Datei widersprechen etc sysctl conf Configuration file for setting system variables See sysctl conf 5 for information Also see the files under Documentation sysctl Documentation filesystems proc txt and Documentation networking ip sysctl txt in the kernel sources usr src kernel version if you have a kernel package installed for more information of the values that can be defined here Se mp SE SE OE Be warned that etc init d procps is executed to set the following variables However after that etc init d networking
158. die Software noch von ihrem Autor gepflegt Wann war die letzte Ver ffentlichung e Ist das Paket ausgereift Die Versionsnummer sagt nichts dar ber aus wie ausgereift es ist Versuchen Sie seine Ge schichte nachzuvollziehen 2Ohne die Tatsache in Abrede zu stellen dass einige Distributionen wie Red Hat oder Mandrake auch die Sicherheit bei ihrer Standardinstallation ber cksichtigen indem der Benutzer Sicherheitsprofile ausw hlen kann oder Wizards verwendet werden um beim Einrichten einer Personal Firewall zu helfen Kapitel 12 H ufig gestellte Fragen Frequently asked Questions FAQ 131 e Ist die Software von Fehlern durchsetzt Gab es Sicherheits Ank ndigungen im Zusammenhang mit ihr e Stellt die Software die ganze Funktionalit t zur Verf gung die Sie ben tigen Bietet es mehr als Sie wirklich brau chen 12 1 6 Wie mache ich den Dienst XYZ unter Debian sicherer Sie werden in diesem Dokument Informationen ber das Absichern von einigen Diensten FTP Bind unter Debian GNU Linux finden F r Dienste die hier nicht abgedeckt werden pr fen Sie die Programm Dokumentation oder allge meine Linux Informationen Die meisten Sicherheitshinweise f r Unix Systeme sind auch auf Debian anwendbar So wird Dienst X unter Debian in den meisten F llen wie in einer anderen Linux Distribution oder Un x was das betrifft abgesi chert 12 1 7 Wie kann ich die Banner von Diensten entfernen Wenn Sie z B nicht wollen dass
159. die vorzugsw rdige Infor mationsquelle die Mailingliste debian security announce Interessierte Benutzer k nnen auch den RDF Kanal verwenden um die DSAs automatisch auf ihren Desktop herunterzula den dies wird auf einigen Portalen ber Debian gemacht Einige Anwendungen wie etwa Evolution ein E Mail Client und Hilfsprogramm f r pers nliche Informationen und Multiticker ein GNOME Applet k nnen verwendet werden um die Ank ndigungen automatisch herunterzuladen Der RDF Kanal befindet sich unter http www debian org security dsa rdf DSAs die auf der Webseite ver ffentlicht wurden k nnen aktualisiert werden nachdem sie an ffentliche Mailinglisten verschickt wurden Eine typische Aktualisierung ist einen Querverweis auf Datenbanken mit Sicherheitsl cken hinzuzu f gen Auch bersetzungen der DSAs werden nicht an die Sicherheitsmailinglisten geschickt sondern sind direkt auf der Webseite enthalten 7 2 1 Querverweise der Verwundbarkeiten Debian stellt eine vollst ndige Tabelle mit Querverweisen http www de debian org security crossreferences zur Verf gung die alle verf gbaren Verweise f r die Ank ndigungen seit 1998 enth lt Diese Tabelle soll die Verweis bersicht von CVE http cve mitre org cve refs refmap source DEBIAN html erg nzen Sie werden bemerken dass die Tabelle Verweise auf Sicherheitsdatenbanken wie Bugtraq http www securityfocus com bid CERT CC Ank ndigungen http www cert
160. e possible SYN flooding in meinen Protokollen entdeckt Werde ich angegriffen Sie sehen Eintr ge wie diese in Ihren Protokollen May 1 12 35 25 linux kernel possible SYN flooding on port X Sending cookies May 1 12 36 25 linux kernel possible SYN flooding on port X Sending cookies May 1 12 37 25 linux kernel possible SYN flooding on port X Sending cookies May 1 13 43 11 linux kernel possible SYN flooding on port X Sending cookies berpr fen Sie mit net stat ob es eine gro e Anzahl von Verbindungen zum Server gibt Zum Beispiel linux netstat ant grep SYN_RECV wc 1 9000 Dies ist ein Anzeichen dass ein Denial of Service Angriff DoS auf den Port X Ihres Systems am wahrscheinlichsten gegen einen ffentlichen Dienst wie Ihren Web oder Mailserver Sie sollten TCP Syncookies in Ihrem Kernel einschalten siehe Konfiguration von Syncookies auf Seite 61 Beachten Sie dass ein DoS Angriff Ihr Netzwerk berfluten kann auch wenn Sie verhindern k nnen dass er Ihr System zum Absturz bringt 5 Der einzige effektive Weg diesen Angriff abzuwehren ist mit Ihrem Netzprovider in Verbindung zu treten 12 2 6 Ich habe seltsame Root Sessions in meinen Protokollen entdeckt Wurde ich gehackt Sie sehen folgende Art von Eintr gen in der Datei var log auth log May 2 11 55 02 linux PAM_unix 1477 cron session closed for user root May 2 11 55 02 linux PAM_unix 1476 cron session closed for user root May 2 12 00
161. e Ger chten zufolge gibt es sogar eine Windows Version Ssh2 hat gegen ber ssh1 viele Vorteile abgesehen davon dass es unter einer unfreien Lizenz ver ffentlicht wurde OpenSSH ist ein v llig freier ssh Daemon der sowohl ssh1 als auch ssh2 unterst tzt OpenSSH ist die Version die installiert wird wenn Sie auf Debian das Paket ssh ausw hlen Mehr Informationen wie Sie SSH mit Unterst tzung f r PAM aufsetzen finden Sie hier security mailing list archives http lists debian org debian security 2001 debian security 200111 msg00395 html 5 1 1 SSH in ein Chroot Gef ngnis einsperren Zurzeit bietet OpenSSH keine M glichkeit automatisch Benutzer bei der Verbindung in ein Chroot Gef ngnis einzusperren die kommerzielle Version bietet diese Funktionalit t Wie dem auch sei es gibt auch ein Projekt das diese Funktionalit t f r OpenSSH anbietet vergleiche http chrootssh sourceforge net Es ist aber aktuell noch nicht als Debian paket verf gbar Sie sollten stattdessen das pam_chroot Modul wie in Den Benutzerzugang einschr nken auf Seite 48 beschrieben verwenden In Chroot Umgebung f r SSH auf Seite 159 k nnen Sie verschiedene Optionen finden um Chroot Umgebungen f r SSH zu erstellen Kapitel 5 Absichern von Diensten die auf Ihrem System laufen 69 5 1 2 Ssh Clients Wenn Sie einen SSH Client mit einem SSH Server verwenden m ssen Sie sicherstellen dass er die selben Protokolle die vom Server erz
162. e dass diese Chroot Umgebung nicht voll funktionst chtig ist bis Sie e Das Dateisystem procfs in var chroot sshd proc eingeh ngt haben Make jail wird es f r Sie einh ngen Aber nach einem Neustart werden Sie es erneut einh ngen m ssen mount t proc proc var chroot sshd proc Es kann auch automatisch eingebunden werden Dazu m ssen Sie etc fstab bearbeiten und folgende Zeile ein tragen proc ssh var chroot sshd proc proc none 0 0 e Syslog auf das Ger te dev log in der Chroot Umgebung horchen lassen Dazu m ssen Sie etc default syslogd ndern und a var chroot sshd dev log zur Definition der Variablen SYSLOGD hinzuf gen Kapitel G Chroot Umgebung ftir SSH 163 Sehen Sie sich die Beispielsdatei an um herauszufinden welche nderungen an der Umgebung vorgenommen werden m ssen Einige diese nderungen k nnen nicht automatisch vorgenommen werden wie z B das Kopieren des Home Verzeichnisses eines Benutzers Au erdem sollten Sie die Gef hrdung von sensiblen Informationen begrenzen indem Sie nur die Daten bestimmter Benutzer aus den Dateien etc shadow und etc group kopieren Beachten Sie dass falls Sie Rechtetrennung verwenden der Benutzer sshd in diesen Dateien vorhanden sein muss Die folgende Beispielumgebung wurde ein wenig unter Debian 3 0 getestet Sie basiert auf der Konfigurationsdatei die mit dem Paket geliefert wird und beinhaltet das Paket fileutils ash bash gt chgrp c
163. e Richtlinie von Debian zu Rechten und Besitzern http www debian org doc debian policy ch files s10 9 beachten F r weitere Informationen insbesondere hinsichtlich Sicherheitsfragen sollten Sie das Secure Programming for Li nux and Unix HOWTO http www dwheeler com secure programs und das Build Security In https buildsecurityin us cert gov portal Portal lesen oder den Programmautor darauf hinweisen 9 2 Benutzer und Gruppen f r Software Daemons erstellen Wenn Ihre Software als Daemon l uft der keine Root Rechte ben tigt m ssen Sie f r ihn einen Benutzer erstellen Es gibt zwei Arten von Benutzern in Debian die f r Pakete verwendet werden k nnen statische UIDs werden von base passwd vergeben eine Liste der statischen Benutzern in Debian finden Sie bei Benutzer und Gruppen des Betriebssystems auf Seite 132 und dynamisches UIDs die in einem zugewiesenen Bereich liegen Im ersten Fall m ssen Sie mit base passwd eine Benutzer oder Gruppen ID erstellen Wenn der Benutzer verf gbar ist muss das Paket das Sie anbieten m chten eine Abh ngigkeit vom Paket base passwd enthalten Im zweiten Fall m ssen Sie den Systembenutzer entweder preinst oder postinst erstellen und daf r sorgen dass das Paket vonadduser gt 3 11 abh ngt Im folgenden Programmbeispiel soll gezeigt werden wie der Benutzer oder Gruppe mit deren Rechten der Daemon laufen wird bei der Installation oder Aktualisierung des Pakets erst
164. e Sie diese einspielen Denn auch wenn Sie zu Beginn ein sehr sicheres System eingerichtet haben sollten Sie daran denken dass die Sicherheit eines Systems mit der Zeit nachl sst Das liegt daran dass Sicherheitsl cken in Systemdiensten entdeckt werden k nnen Au erdem k nnen Benutzer die Sicherheit untergraben wenn ihnen das notwendige Verst ndnis fehlt z B wenn sie aus der Ferne auf ein System mit einem Klar textpasswort oder einem einfach zu erratenden Passwort zugreifen oder gar weil sie aktiv versuchen die Sicherheit des Systems auszuschalten indem sie z B zus tzliche Dienste lokal in ihren Konten installieren 10 1 1 Beobachtung von Sicherheitsl cken Die meisten Administratoren werden sich Sicherheitsl cken die ihr System betreffen bewusst wenn sie den dazugeh rigen Patch sehen Sie k nnen aber Angriffen schon im Vorfeld begegnen und vor bergehende Abwehrma nahmen einleiten sobald Sie festgestellt haben dass Ihr System verwundbar ist Dies gilt besonders f r exponierte Systeme die also mit dem Internet verbunden sind die Dienste anbieten In diesem Fall sollte der Systemadministrator einen Blick auf die bekannten Informationsquellen werfen um als erster zu wissen wenn eine Sicherheitsl cke f r einen kritischen Dienst entdeckt wird Typischerweise abonniert man eine Mailingliste f r Ank ndigungen und beobachtet Webseiten oder Fehlerverfolgungssys teme der Software Entwickler eines bestimmten Programms So sollte
165. e Verzeichnis der FTP Benutzer mit chroot einsperren so dass diese nichts anderes sehen k nnen als ihr eigenes Verzeichnis Andernfalls k nnen sie die Wurzel Ihres Dateisystems durchforsten als h tten sie Shell Zugriff darauf Sie k nnen die folgende Zeile in Ihre proftpd conf Datei im globalen Abschnitt hinzuf gen um die chroot F higkeiten zu nutzen DefaultRoot Starten Sie ProFTPd neu indem Sie etc init d proftpd restart eingeben und pr fen Sie ob Sie noch aus Ihrem Home Verzeichnis heraus kommen k nnen Um ProFTPd DoS Angriffe durch zu verhindern f gen Sie die folgende Zeile Ihrer etc proftpd conf hinzu DenyFilter x x Vergessen Sie nicht dass FIP Login und Authentifizierungs Passwort als Klartext sendet dies ist kein Problem wenn Sie einen anonymen ffentlichen Dienst anbieten und es gibt bessere Alternativen in Debian hierzu Zum Beispiel sftp aus dem Paket ssh Es gibt auch freie Implementierungen von SSH f r andere Betriebssysteme zum Beispiel putty http www chiark greenend org uk sgtatham putty oder cygwin http www cygwin com Wenn Sie dennoch einen FTP Server verwalten w hrend Sie den Benutzern Zugriff via SSH gew hren k nnten Sie auf ein typisches Problem sto en Benutzer die innerhalb eines mit SSH abgesicherten Systems auf einen anonymen FTP Server zugreifen wollen k nnen versuchen sich auf dem FTP Server einzuloggen W hrend der Zugriff verwei gert werden wird wird das
166. e ew nt 106 INHALTSVERZEICHNIS vi 8 5 Virtual Private Networks virtuelle private Netzwerke 106 Bon Pontio Eeer uo TE nl ET ee re en be Dre rel 107 8 6 Infrastruktur f r ffentliche Schl ssel Public Key Infrastructure PKI o o oooo oo 107 SY Sslinfasttuktur 2 0 42 0 2 Pes bad oe eee a aaa a rer ew bes 108 BB SHOWN o EE ARE a a e e Va Base SEAS OE a era PRES ERS 108 E CEET 109 9 Der gute Umgang von Entwicklern mit der Sicherheit des OS 111 9 1 Das richtige Vorgehen f r die Nachpr fung der Sicherheit und deren Gestaltung 111 9 2 Benutzer und Gruppen f r Software Daemons erstellen 112 10 Vor der Kompromittierung 115 10 1 Halten le OT E o oec e de da a dd epa e nA e E at 115 10 11 Beobachtune von Sichernetsl cken 2 asss 2z0 2 22 a A id 115 10 1 2 Fortlaufende Aktualisierung des Systems o c 2 2 eee 116 10 1 3 Vermeiden Sieden Unstable Awe lt lt cotas sus aha el aan ner 118 10 1 4 Sicherheitsunterst tzung f r den Testing Zweig 118 10 1 5 Automatische Aktualisierungen in einem Debian GNU Linux System 119 10 2 Regelm iges berpr fung der Integrit t 120 10 3 Aufsetzen einer Eindringlingserkenn ng 2 wa nu ana aan Er ea nee 120 10 3 1 Metzwerkbasierte Eindringlingserkennung coo ocios Sede EE lerne 120 10 32 Hostbasierte Eindeinglingserkenting ea a ee aa nern 121 104 Vermeden von EE 121 10 4 1 Ladbare Kernel Module LEM 121 10 4 2 Erkennen von Rost
167. e first line loads the cracklib PAM module which provides password strength checking prompts for anew password with a minimum size 15 of 12 characters and difference of at least 3 characters from the old password and allows 3 retries Cracklib depends on a wordlist package such as wenglish wspanish wbritish so make sure you install one that is appropriate for your language or cracklib might not be useful to you at all Die zweite Zeile mit dem Module pam_unix so ist wie oben beschrieben der Standard in Debian mit Ausnahme der Option use_authok Diese Option ist notwendig wenn pam_unix so nach pam_cracklib so aufgerufen wird damit das Passwort vom zuerst aufgerufenen Modul weitergereicht wird Anderenfalls muss der Benutzer sein Passwort zweimal eingegeben For more information about setting up Cracklib read the pam_cracklib 8 manpage and the article Linux Password Security with pam_cracklib http www deer run com hal sysadmin pam_cracklib html by Hal Pomeranz Mit dem PAM Modul Cracklib richten Sie eine Richtlinie ein welche die Verwendung guter Passw rter erzwingt Als Alternative k nnen Sie auch PAM Module einsetzen die eine Zwei Faktor Authentifizierung verwenden wie z B libpam barada libpam google authenticator libpam oath libpam otpw libpam poldi libpam usb oder 1ibpam yubico Diese Module erm glichen es sich mit einer externen Authentifizierungsmethode am System an zumelden etwa mit einer Chipkarte e
168. ebian Policy http www debian org doc debian policy Dieses Dokument versucht eine bessere Installation von Computersystemen hinsichtlich der Sicherheit zu erzielen indem es Informationen ber Sicherheit ver ffentlicht die auf Debian zugeschnitten sind und diese durch andere Dokumente erg nzt die sicherheitsspezifische Angelegenheiten im Zusammenhang mit Debian behandeln vergleiche Seien Sie wach sam gegen ber generellen Sicherheitsproblemen auf Seite 23 Kapitel 2 Bevor Sie beginnen 26 27 Kapitel 3 Vor und w hrend der Installation 3 1 Setzen Sie ein Passwort im BIOS Bevor Sie irgendein Betriebssystem auf Ihrem Computer installieren setzen Sie ein Passwort im BIOS Nach der Installation sobald Sie von der Festplatte booten k nnen sollten Sie zur ck ins BIOS gehen und die Boot Reihenfolge ndern so dass Sie nicht von Diskette CD ROM oder sonstigen Ger ten booten k nnen von denen dies nicht gehen sollte Andernfalls ben tigt ein Cracker nur physischen Zugang und eine Bootdiskette um Zugriff auf Ihr ganzes System zu bekommen Es ist noch besser wenn das System beim Booten immer ein Passwort verlangt Dies kann sehr effektiv sein wenn Sie einen Server laufen lassen der selten neu gestartet wird Der Nachteil dieser Vorgehensweise ist dass das Neustarten einen menschlichen Eingriff ben tigt was zu Problemen f hren kann wenn das System nicht leicht zug nglich ist Hinweis Viele BIOS Varia
169. ebian org debian devel 2002 debian devel 200207 msg00421 html lesen Kapitel 7 Die Infrastruktur f r Sicherheit in Debian 101 echo echo echo echo Checking sourc es in etc apt sources list echo You should take care to ensure that the distributions you re downloading echo echo echo echo Cal echo are the ones y date as you wo two or three d or a month fmt ou think you are downloading and that they are as up to uld expect testing and unstable should be no more than ays out of date stable updates no more than a few weeks cat etc apt sources list sed sl tf og ep while read ty url dist comps do if url base else cont fi echo Source rm f Releas lynx reload x http o S url8 ftp J then url S url inue S ty url dist comps e Release gpg dump url dists dist Release gt dev null 2 gt 81 wget q O Release url dists dist Release if grep q echo gt Rel else orig labl suit code date dscr echo echo echo echo ZE A fi lynx wget gpgv fi okaycomps for comp in if elif rar Release then pe NO TOP LEVEL Release FILE ease line sed n s Origin p Release head 1 line sed n s Label p Release head 1 line sed n s Suite p Release head 1 line sed n s Codename p Release head 1 l
170. ecurity enhanced version of GNU locate but it actually provides additional file locating functionality When using slocate the user only sees the actually accessible files and you can exclude any files or directories on the system The slocate package runs its update process with higher privledges than locate and indexes every file Users are then able to quickly search for every file which they are able to see sLocate doesn t let them see new files it filters the output based on your UID Sie sollten auch bsign oder elfsign einsetzen elfsign bietet die M glichkeit digitale Signaturen an ELF Binaries an zuf gen und diese Signaturen zu berpr fen Die aktuelle Fassung verwendet PKI um die Checksummen der Binaries zu signieren Dies hat den Vorteil dass festgestellt werden kann ob das Binary ver ndert wurde und wer es erstellt hat bsign verwendet GPG el fsign benutzt PKI X 509 Zertifikate OpenSSL 4 17 4 Aufsetzen einer Uberpriifung von setuid Das Debian Paket checksecurity enth lt einen Cron Job der t glich in etc cron daily checksecurity ausge f hrt wird Dieser Cron Job f hrt das Skript usr sbin checksecurity aus das Informationen ber nderungen sichert The default behavior does not send this information to the superuser but instead keeps daily copies of the changes in var log setuid changes You should set the MAILTO variable in etc checksecurity conf to root to have this information mailed to the superu
171. ed procedure for a security upgrade that involves a service restart is to restart the SSH daemon and then immediately attempt a new ssh connection without breaking the previous one If the connection fails revert the upgrade and investigate the issue 4 2 2 Sicherheitsaktualisierung des Kernels Stellen Sie zun chst sicher dass Ihr Kernel durch das Paketsystem verwaltet wird Wenn Sie die Installation mit dem Instal lationssystem von Debian 3 0 oder fr her durchgef hrt haben ist Ihr Kernel nicht in das Paketsystem integriert und k nnte veraltet sein Sie k nnen das leicht berpr fen indem Sie Folgendes ausf hren dpkg S readlink f vmlinuz linux image 2 6 18 4 686 boot vmlinuz 2 6 18 4 686 LAb Etch und den folgenden Ver ffentlichungen Even though the libraries have been removed from the filesystem the inodes will not be cleared up until no program has an open file descriptor pointing to them 3Das passierte z B beim Upgrade von Libc6 2 2 x auf 2 3 x wegen Problemen mit der NSS Authentifizierung siehe http lists debian org debian glibc 2003 debian glibc 200303 msg00276 html Kapitel 4 Nach der Installation 37 Wenn Ihr Kernel nicht vom Paketsystem verwaltet wird werden Sie anstatt der obigen Nachricht die R ckmeldung bekom men dass das Paketverwaltungsprogramm kein Paket finden konnte das mit der Datei verbunden ist Die obige Meldung besagt dass die Datei die mit dem laufenden Kernel verbunden ist
172. ed to new files to the members the user s group Debian by default creates one group per user so that only the user is included in its group Consequently 027 and 077 are equivalent as the user s group contains only the user Dies ndern Sie indem Sie eine passende Umask f r alle Benutzer einstellen Dazu m ssen Sie einen umask Aufruf in den Konfigurationsdateien aller Shells einf gen etc profile wird von allen Shells beachtet die kompatibel mit Bourne sind etc csh cshrc etc csh login etc zshrc und wahrscheinlich noch ein paar andere je nachdem welche Shells Sie auf Ihrem System installiert haben Sie k nnen auch die UMASK Einstellung in etc login defs ver ndern Von all diesen Dateien erlangt die letzte die von der Shell geladen wird Vorrang Die Reihenfolge lautet die Standard Systemkonfiguration f r die Shell des Benutzers d h etc profile und andere systemweite Konfigurationsdateien dann die Shell des Benutzers seine profile und bash_profile etc Allerdings k nnen einige Shells mit dem nologin Wert ausgef hrt werden was verhindern kann dass einige dieser Dateien ausgewertet werden Sehen Sie in der Handbuchseite Ihrer Shell f r weitere Informationen nach Bei Anmeldungen die von Login Gebrauch machen erh lt die UMASK Festlegung in etc login defs Vorrang vor allen anderen Einstellungen Dieser Wert wird aber nicht von Anwendungen des Benutzers beachtet die nicht Login verwenden wie z B solche
173. eien immer in etc named liegen Beachten Sie dass er lediglich Lesezugriff ben tigt es sei denn es handelt sich um einen sekund ren oder zwischenspeichernden Cache Name Server Wenn dies der Fall ist m ssen Sie ihm Lese und Schreibzugriff auf die notwendigen Zonen gew hren damit Zonen Transfers vom prim ren Server funktionieren Mehr Informationen ber das Chrooten von Bind finden Sie unter Chroot BIND HOWTO http www tldp org HOWTO Chroot BIND HOWTO html betrifft Bind 9 und Chroot BIND8 HOWTO http www tldp org HOWTO Chroot BIND8 HOWTO html betrifft Bind 8 Diese Dokumente sollten auch nach der Installation des Pa ketes doc linux text Text Version oder doc linux html HTML Version verf gbar sein Ein anderes n tzli ches Dokument ist http web archive org web 20011024064030 http www psionic com papers dns dns lLinux Wenn Sie f r Bind ein komplettes Chroot Gef ngnis aufsetzen d h Sie benutzen nicht nur t stellen Sie sicher dass Sie die folgenden Dateien darin haben dev log syslogd sollte hierauf h ren dev null etc bind named conf etc localtime etc group mit einer einzigen Zeile named x GID etc ld so cache mit ldconfig erstellt lib 1d 2 3 6 so lib libc 2 3 6 so lib ld linux so 2 symbolischer Link auf 1d 2 3 6 so lib libc so 6 symbolischer Link auf libc 2 3 6 so sbin ldconfig kann gel scht werden nachdem Chroot aufgesetzt wurde sbin named xfer wenn Sie Namen transferier
174. ein ulimit a core file size blocks c 0 data seg size kbytes d 102400 file size blocks f 2048 max locked memory kbytes 1 10000 max memory size kbytes m 10000 open files n 1024 pipe size 512 bytes p 8 stack size kbytes s 8192 cpu time seconds t unlimited max user processes u 100 virtual memory kbytes v unlimited Und dies die H chstgrenzen f r einen Administrator ulimit a core file size blocks c 0 data seg size kbytes d 102400 file size blocks f 100000 max locked memory kbytes 1 100000 max memory size kbytes m 100000 open files n 1024 pipe size 512 bytes p 8 stack size kbytes s 8192 cpu time seconds t unlimited max user processes u 2000 virtual memory kbytes v unlimited 16Programme die immer mehr Prozesse erzeugen um so das System zum Absturz zu bringen d U Kapitel 4 Nach der Installation 46 Lesen Sie f r weitere Informationen e PAM reference guide for available modules http www kernel org pub linux libs pam Linux PAM html pam 6 html e PAM configuration article http www samag com documents s 1161 sam0009a 0009a htm e Seifried s Securing Linux Step by Step http seifried org security os linux 20020324 securing linux step by step html in dem Abschnitt Limiting users overview e LASG http seifried org lasg users in dem Abschnitt Limiting and monitoring users 4 11 3 Aktionen bei d
175. ein Chroot Gef ngnis einzusperren dies ist jedoch nicht standardm ig akti viert Die angebotene Dokumentation enth lt mehr Informationen wie man dies konfiguriert Es ist ebenso empfehlenswert einen IMAP Server laufen zu haben der keine neuen Benutzer im lokalen System erfordert dies w rde auch einen Shell Zugang erm glichen Sowohl courier imap f r IMAP und courier pop teapop f r POP3 und cyrus imapd f r POP3 und IMAP bieten Server mit Authentifizierungsmethoden neben den lokalen Be nutzerkonten cyrus kann alle Authentifizierungsmethoden die mittels PAM konfiguriert werden k nnen verwenden w hrenddessen teapop Datenbanken wie postgresql und mysql f r die Benutzerauthentifizierung nutzen kann FIXME Check uw imapd might be configured with user authentication through PAM too 5 6 3 Sicherer Empfang von Mails Das Lesen und Empfangen von Mails ist das gebr uchlichste Klartext Protokoll Wenn Sie POP3 oder IMAP benutzen um Ihre Mails zu erhalten senden Sie ein Klartext Passwort ber das gesamte Netz so dass ziemlich jeder Ihre Mails von nun an lesen kann Benutzen Sie stattdessen SSL Secure Sockets Layer um Ihre Mails zu empfangen Wenn Sie einen Shell Account auf dem Rechner der als POP oder IMAP Server agiert haben ist die andere Alternative SSH Hier ist eine beispielhafte fetchmailrc um dies zu zeigen poll my imap mailserver org via localhost with proto IMAP port 1236 user ref there with password
176. ein Werkzeug zur Verf gung mit dem das System in regelm igen Abst nden mit einem Cronjob aktualisiert wird Es kann so konfiguriert werden dass es E Mails mit dem lokalen Mail Transport Agent an den Systemadministrator schickt Standardm ig wird es nur die Paketliste aktualisieren und neue Pakete herunterladen Es kann aber so konfiguriert werden dass es automatisch Aktualisierungen installiert Hinweis Wenn Sie vorhaben Ihr System automatisch zu aktualisieren auch wenn Sie sich nur die Pakete herunterla den sollten Sie sich vielleicht die Distributionsver ffentlichung ansehen wie in berpr fung der Distribution mit der Release Datei auf Seite 95 beschrieben wird Anderenfalls k nnen Sie sich nicht sicher sein dass die heruntergeladenen Pakete wirklich aus einer vertrauensw rdigen Quelle stammen Weitere Informationen finden Sie auf der Debian Administration Site http www debian administration org articles 162 Automatisches berpr fung von Aktualisierungen mit debsecan Das Programm debsecan ermittelt den Sicherheitsstatus indem es sowohl nicht installierte Sicherheitsaktualisierungen als auch Sicherheitsl cken meldet Im Gegensatz zu cron apt das nur Informationen zu verf gbaren Sicherheitsaktua lisierungen bereitstellt bezieht dieses Werkzeug auch Informationen von der Datenbank ber Sicherheitsl cken die von Debians Sicherheitsteam verwaltet wird Darin befinden sich auch Informationen ber L cken d
177. einen standardisierten Ort wo sich der Schl ssel f r ein Paketdepot befinden soll Es besteht die grobe bereinkunft dass der Schl ssel auf der Webseite des Paketdepots oder im Depot selbst zu finden sein sollte Wie gesagt ist dies kein echter Standard so dass Sie den Schl ssel unter Umst nden suchen m ssen Der Schl ssel des Debian Archivs ist unter http ftp master debian org ziyi_key_2006 asc ersetzen Sie 2006 mit dem aktuellen Jahr erhaltlich gpg besitzt mit den Schl sselservern eine standardisierte M glichkeit Schl ssel zu verbreiten Damit kann GPG einen Schl ssel herunterladen und ihn zum Schl sselbund hinzuf gen Beispiel gpg keyserver pgpkeys mit edu recv key 2D230C5F gpg requesting key 2D230C5F from hkp server pgpkeys mit edu gpg key 2D230C5F public key Debian Archive Automatic Signing Key 2006 lt ftpm aster debian org gt imported gpg Anzahl insgesamt bearbeiteter Schl ssel 1 gpg importiert 1 Oder Ihren DNS vergiftet hat oder den Server spooft oder die Datei auf einem Spiegel platziert hat den Sie verwenden oder 8 Ziyi ist der Name des Werkzeugs mit dem die Debian Server signiert werden und beruht auf dem Namen einer chinesischen Schauspielerin http de wikipedia org wiki Ziyi_Zhang Kapitel 7 Die Infrastruktur f r Sicherheit in Debian 98 Sie k nnen dann den Schl ssel aus Ihrem Schl sselbund exportieren und ihn an apt key weiterreichen gpg a export 2D2
178. einrichten wie es im Chroot Abschnitt der Debian Referenz http www debian org doc manuals reference ch09 _chroot_system beschrieben wird Diese Vorgehensweise ist idiotensicher Sie werden alle f r die Chroot Umgebung notwendigen Bestandteile erhalten aber dies geht auf Kosten von Platten speicher Eine minimale Installation von Debian ben tigt einige hundert Megabyte Dieses minimale System k nnte auch Setuid Dateien enthalten mit denen ein Benutzer aus dem Chroot Gef ngnis ausbrechen k nnte wenn sie eine Rechteer weiterung zulassen G 2 2 Automatisches Erstellen der Umgebung der leichte Weg Mit dem Paket makejail k nnen Sie leicht eine eingeschr nkte Umgebung erstellen da es automatisch den Trace des Server Daemons verfolgt mit strace und daf r sorgt dass er in der eingeschr nkten Umgebung l uft Der Vorteil von Programmen die automatisch die chroot Umgebung einrichten liegt darin dass sie im Stande sind Pakete in die chroot Umgebung zu kopieren und verfolgen sogar die Abh ngigkeiten der Pakete um sicherzustellen dass sie vollst ndig sind Dadurch wird das Bereitstellen von Anwendungen f r Benutzer leichter Um ein Chroot Gef ngnis aus den von makejail zur Verf gung gestellten Beispielen einzurichten m ssen Sie var chroot sshd erstellen und folgenden Befehl ausf hren makejail usr share doc makejail examples sshd py Dies wird eine Chroot Umgebung im Verzeichnis var chroot sshd erstellen Beachten Si
179. eit festzustellen ob eine E Mail vom Absender geschickt wurden und nicht von jemand anderem Debian GNU Linux enth lt eine Anzahl von E Mail Clients mit der eingebauten F higkeit E Mails zu signieren Sie arbei ten entweder mit gnupg oder pgp zusammen e evolution e mutt e kmail 3Tats chlich gibt es f r das Antivirus Programm F prot das Installationspaket f prot installer das zwar nicht frei aber f r Heimanwender kostenlos ist Allerdings l dt dieser Installer nur F prot s Software http www prot com products home_use linux herunter und installiert sie Kapitel 8 Sicherheitswerkzeuge in Debian 110 e icedove umbenannte Version von Mozillas Thunderbird mittels des Plugins Enigmail http enigmail mozdev org Dieses Plugin wird durch das Paket enigmail bereitgestellt e sylpheed Abh ngig davon wie sich die stabile Version dieses Pakets entwickelt m ssen Sie die bleeding edge Version sylpheed claws verwenden e gnus ist wenn mit dem Paket mailcrypt installiert eine Schnittstelle f r emacs zu gnupg e kuvert stellt diese Funktion unabh ngig von Ihrem Mail User Agent MUA zur Verf gung indem es mit dem Mail Transport Agent MTA arbeitet Key Server erm glichen es Ihnen ver ffentlichte ffentliche Schl ssel herunterzuladen damit Sie Signaturen berpr fen k nnen Einer diese Key Server ist http wwwkeys pgp net gnupg kann automatisch ffentliche Schl ssel holen die sich nicht s
180. ellt wird PER case 1 in install upgrade If the package has default file it could be sourced so that the local admin can overwrite the defaults etc default packagename amp amp etc default packagename Sane defaults z SERVER_HOME amp amp SERVER_HOME server_dir z SSERVER_USER amp amp SERVER_USER server_user z SERVER_NAME amp amp SERVER_NAME Server description z SERVER_GROUP amp amp SERVER_GROUP server_group Groups that the user will be added to if undefined then none ADDGROUP create user to avoid running server as root 1 create group if not existing if getent group grep q SERVER_GROUP then echo n Adding group SERVER_GROUP addgroup quiet system SERVER_GROUP 2 gt dev null true echo done EL 2 create homedir if not existing test d SERVER_HOME mkdir SERVER_HOME 3 create user if not existing if getent passwd grep q SSERVER_USER then echo n Adding system user SERVER_USER adduser quiet system ingroup SERVER_GROUP no create home disabled password SSERVER_USER 2 gt dev null true Kapitel 9 Der gute Umgang von Entwicklern mit der Sicherheit des OS 113 echo done fi 4 adjust passwd entry usermod c SERVER_NAME d SERVER_HOME g SERVER_GROUP SERVER_USER 5 adjust file and directory permissions if dpkg statoverride list SERVER_HOME g
181. elnetd Die folgenden Pakete werden ENTFERNT harden servers Die folgenden NEUEN Pakete werden installiert telnetd M chten Sie fortfahren J n Dies sollte im Kopf des Administrators eine Alarmglocke ausl sen der sein Vorgehen berdenken sollte 6 2 Bastille Linux Bastille Linux http www bastille unix org ist ein Werkzeug zur automatischen Abh rtung das urspr nglich f r die Linux Distributionen Red Hat und Mandrake gedacht war Wie auch immer Das Paket bastille aus Debian seit Woody ist durch Patches angepasst um dieselbe Funktionalit t unter Debian GNU Linux Systemen zur Verf gung zu stellen Bastille kann mit verschiedenen Oberfl chen bedient werden alle sind in ihrem eigenen Handbuch dokumentiert die dem Administrator erlauben e Answer questions step by step regarding the desired security of your system using InteractiveBastille 8 e Use a default setting for security amongst three Lax Moderate or Paranoia in a given setup server or workstation and let Bastille decide which security policy to implement using BastilleChooser 8 e Take a predefined configuration file could be provided by Bastille or made by the administrator and implement a given security policy using AutomatedBastille 8 91 Kapitel 7 Die Infrastruktur f r Sicherheit in Debian 7 1 Das Sicherheitsteam von Debian Debian hat ein Sicherheitsteam das aus f nf Mitgliedern und zwei Sekret ren besteht Es ist f r die
182. en 2 2 Seien Sie wachsam gegen ber generellen Sicherheitsproblemen Diese Anleitung geht normalerweise nicht im Detail darauf ein warum bestimmte Sachen als Sicherheitsrisiko betrachtet werden Es w re aber sicherlich von Vorteil wenn Sie mehr Hintergrundwissen von der Sicherheit in Unix im Allgemei nen und von der in Linux im Besonderen haben Nehmen Sie sich die Zeit um sicherheitsrelevante Dokumente zu lesen um Entscheidungen informiert treffen zu k nnen wenn Sie eine Auswahl treffen m ssen Debian GNU Linux basiert auf dem Linux Kernel so dass viele Informationen ber Linux und sogar ber andere Distributionen und allgemeine UNIX Sicherheit auch hierauf zutreffen sogar wenn sich die benutzten Werkzeuge oder die verf gbaren Programme unterschei den Ein paar n tzliche Dokumente sind e Das Linux Security HOWTO http www tldp org HOWTO Security HOWTO auch unterLinuxSecurity http www linuxsecurity com docs LDP Security HOWTO html verf gbar ist eine der besten Refe renzen ber allgemeine Linux Sicherheit e Das Security Quick Start HOWTO for Linux http www tldp org HOWTO Security Quickstart HOWTO ist auch ein sehr guter Einstieg f r unerfahrene Benutzer sowohl bez glich Linux als auch bez glich Sicherheit e Der Linux Security Administrator s Guide http seifried org lasg ist eine komplette Anleitung die alle Sicherheitsangelegenheiten von Linux behandelt von Sicherheit im Kernel bis hin zu
183. en echo The files have been renamed to have the extension FAILED and echo will be ignored by apt cat BAD while read a do mv var lib apt lists a var lib apt lists a FAILED done fi fmt echo sed s lt BAD echo if grep q MISSING then allokay false echo The following files from var lib apt lists were missing This echo may cause you to miss out on updates to some vulnerable packages d MEME echo sed s lt MISSING echo if grep q NOCHECK then allokay false echo The contents of the following files in var lib apt lists could not echo be validated due to the lack of a signed Release file or the lack echo of an appropriate entry in a signed Release file This probably echo means that the maintainers of these sources are slack but may mean echo these sources are being actively used to distribute trojans if am_root then echo The files have been renamed to have the extension FAILED and echo will be ignored by apt cat NOCHECK while read a do mv var lib apt lists a var lib apt lists a FAILED done fi fmt echo sed s lt NOCHECK echo if Sallokay then echo Everything seems okay echo rm rf tmp apt release check Sie m ssen vielleicht bei Sid diesen Patch verwenden da md5sum ein an die Summe anf gt wenn die Ausgabe auf stdin erfolgt 37 7 37 7 local LOOKUP 2 Kapitel 7 Die Infrastruktur f r Sicherheit in Debian 103
184. en schicken Sie einen Fehlerbericht f r das Paket apt Weiterf hrende Informationen finden Sie im Debian Wiki http wiki debian org SecureApt und in der offiziel len Dokumentation unter Migration to APT 0 6 http www enyo de fw software apt secure und APT Signa ture Checking http www syntaxpolice org apt secure 7 5 3 berpr fung der Distribution mit der Release Datei Dieser Abschnitt beschreibt wie die berpr fung der Distribution mit Hilfe der Release Datei funktioniert Dies wurde von Joey Hess geschrieben und ist auch im Debian Wiki http wiki debian org SecureApt abrufbar Grundlegende Konzepte Es gibt ein paar grundlegende Konzepte die Sie brauchen um den Rest dieses Abschnitts verstehen zu k nnen Eine Pr fsumme ist eine Methode bei der eine Datei auf eine relativ kurze Zahl heruntergekocht wird mit welcher der Inhalt der Datei eindeutig identifiziert werden kann Dies ist wesentlich schwieriger als es zun chst erscheinen mag Der am weitesten verbreiteteste Typ von Pr fsummen MD5 wird gerade unbrauchbar Verschl sselung mit ffentlichen Schl sseln fu t auf einem Schl sselpaar einem ffentlichen Schl ssel und einem privaten Schl ssel Der ffentliche Schl ssel wird an die Allgemeinheit verteilt Der private muss geheim bleiben Jeder der den ffentlichen Schl ssel hat kann eine Nachricht verschl sseln so dass sie nur noch der Besitzer des privaten Schl ssels lesen kann Es besteht d
185. en sollten Sie Apt mitteilen dass es dem Schl ssel nur vertrauen darf wenn es einen passenden Pfad gefunden hat 2Nicht alle Schl ssel der Apt Depots sind berhaupt mit einem anderen Schl ssel unterschrieben Vielleicht hat derjenige der das Depot einrichtet keinen anderen Schl ssel zur Verf gung oder vielleicht ist es ihm unangenehm einen Schl ssel mit einer derartig wichtigen Funktion mit seinem Haupt schl ssel zu unterschreiben Hinweise wie man einen Schl ssel f r ein Depot einrichtet finden Sie unter Pr fung der Release Datei von Debian fremden Quellen auf Seite 103 Kapitel 7 Die Infrastruktur f r Sicherheit in Debian 99 gpg export a 2D230C5F sudo apt key add Ok Hinweis Der aktuelle Schl ssel ist mit dem vorhergehenden Archivschl ssel unterschrieben so dass Sie theoretisch auf Ihrem alten Vertrauen aufbauen k nnen Der j hrliche Austausch des Archivschl ssels von Debian Wie schon erw hnt wird der Schl ssel mit dem das Debian Archiv signiert wird jedes Jahr im Januar ausgetauscht Da Secure Apt noch jung ist haben wir noch nicht sehr viel Erfahrung damit und es gibt noch ein paar haarige Stellen Im Januar 2006 wurde ein neuer Schl ssel f r 2006 erstellt und die Release Datei wurde damit unterschrieben Um aber zu vermeiden dass Systeme die noch den alten Schl ssel von 2005 verwenden nicht mehr korrekt arbeiten wurde die Release Datei auch mit dem alten Schl ssel unterschrieben
186. en var run Sorgen Sie auch daf r dass syslogd auf CHROOT dev log achtet so dass der Name Server seine syslog Eintr ge in das lokale System Protokoll schreiben lassen kann Wenn Sie Probleme mit dynamischen Bibliotheken vermeiden wollen k nnen Sie Bind statisch kompilieren Sie k nnen hierzu apt get mit der source Option benutzen Es kann sogar die Pakete herunterladen die Sie zum Kompilieren ben tigen Sie m ssten etwas hnliches wie das Folgende tun pt get source bind pt get build dep bind d bind 8 2 5 2 editieren Sie src port linux Makefile so dass CFLAGS ie Option static beinhaltet pkg buildpackage rfakeroot uc us Bram ap D a pkg i bind 8 2 5 2 deb Nach der Installation werden Sie die Dateien in das Chroot Gef ngnis verschieben m ssen Sie k nnen die init d Skripte in etc init d lassen so dass das System automatisch den Name Server starten wird aber editieren Sie sie indem Sie bei den start stop daemon Aufrufen in diesen Skripten chroot location_of_chroot hinzuf gen Oder verwenden Sie f r BIND die Option t indem Sie sie in das OPTION Argument in der Konfigurationsdatei etc default bind f r Version 8 oder etc default bind9 f r Version 9 eintragen F r weitere Informationen wie man Chroot Gef ngnisse aufsetzt siehe Allgemeine chroot und suid Paranoia auf Seite 80 FIXME F ge Informationen aus folgenden Quellen ein http people debian o
187. en Alarm und Antwort Mechanismus brauchen um Ihre Systemsicherheit mit einer die ser Werkzeuge wirklich zu verbessern Eindringlingserkennung ist Zeitverschwendung wenn Sie niemanden alarmieren werden Wenn ein bestimmter Angriff entdeckt worden ist werden die meisten Programme zur Eindringlingserkennung entweder den Vorfall mit syslog protokollieren oder E Mails an Root schicken der Empf nger der E Mails kann normalerweise ein gestellt werden Ein Administrator muss die Programme passend konfigurieren so dass falsche Positivmeldungen keinen Alarm ausl sen Alarme k nnen auf einen laufenden Angriff hindeuten und w ren sp ter sagen wir mal am n chsten Tag nicht mehr n tzlich da der Angriff dann bereits erfolgreich beendet worden sein k nnte Stellen Sie also sicher dass es eine passende Regelung ber die Handhabung von Alarmen gibt und dass technische Ma nahmen zur Umsetzung dieser Regelung vorhanden sind Eine interessante Quelle f r Informationen ist CERT s Intrusion Detection Checklist http www cert org tech_ tips intruder_detection_checklist htm l 10 3 1 Netzwerkbasierte Eindringlingserkennung Programme die der netzwerkbasierten Eindringlingserkennung dienen berwachen den Verkehr eines Netzwerkab schnitts und arbeiten auf Grundlage dieser Daten Genauer ausgedr ckt es werden die Pakete im Netzwerk untersucht um festzustellen ob sie mit bestimmten Merkmalen bereinstimmen snort ist ein vielseitiger Pak
188. en Sie von eine Rettungsdiskette und starten den Kernel e Wechseln Sie mit Alt F2 auf eine virtuelle Konsole e Binden Sie die Partition ein auf der sich Ihr root befindet e Editieren Sie auf der Rettungsdiskette von Debian 2 2 befindet sich ae Debian 3 0 enth lt nano tiny der vi hnelt die Datei etc shadow und ndern Sie die Zeile root asdfj1290341274075 XXXX X XXXX X X irgendeine Ziffer in Folgendes ndern root XXXX X XXXX Xi Kapitel 12 H ufig gestellte Fragen Frequently asked Questions FAQ 137 Dies entfernt das vergessene Root Passwort das sich im ersten durch Doppelpunkte abgetrennten Feld nach dem Benut zernamen befand Speichern Sie die Datei ab starten Sie das System neu und melden Sie sich als Root mit einem leeren Passwort an Dies wird funktionieren au er wenn Sie Ihr System etwas sicherer eingestellt haben d h wenn Sie nicht erlauben dass Benutzer leere Passw rter haben oder dass Root sich auf einer Konsole einloggen kann Falls Sie derartige Ma nahmen getroffen haben m ssen Sie im Single User Modus starten Wenn Sie LILO eingeschr nkt haben m ssen lilo erneut ausf hren nachdem Sie das Root Passwort zur ckgesetzt haben Das ist ziemlich verzwickt da Ihre etc lilo conf ver ndert werden muss da das Root Dateisystem eine RAM Disk und keine echte Festplatte ist Sobald LILO nicht mehr eingeschr nkt ist versuchen Sie Folgendes e Dr cken Sie Alt Shift oder Steuerung Contro
189. en kann sollten Sie die Konfigurationsdatei etc X11 app defaults XScreenSaver editieren und die lock Zeile von lock False das ist der Standardwert unter Debian auf Folgendes ndern lock True FIXME Add information on how to disable the screensavers which show the user desktop which might have sensitive information Lesen Sie mehr zur Sicherheit von X Window in XWindow User HOWTO http www tldp org HOWTO XWindow User HOWTO html usr share doc HOWTO en txt XWindow User HOWTO txt gz FIXME Add info on thread of debian security on how to change config files of XFree 3 3 6 to do this 5 4 1 berpr fen Ihres Display Managers Wenn Sie einen Display Manager lediglich zur lokalen Nutzung f r ein sch nes graphisches Anmeldefenster haben wol len gehen Sie sicher dass der XDMCP X Display Manager Control Protocol Krempel abgeschaltet ist Unter XDM k nnen Sie dies mit der folgenden Zeile in etc X11 xdm xdm config erreichen DisplayManager requestPort 0 F r GDM m ssen Sie in Ihre gdm conf Folgendes eintragen xdmcp Enable false Normalerweise sind unter Debian alle Display Manager so konfiguriert dass sie standardm ig keine XDMCP Dienste starten 1GDM wird nolisten tcp nicht anh ngen wenn es query oder indirect in der Befehlszeile findet da sonst die Anfrage nicht funktionieren w rde Kapitel 5 Absichern von Diensten die auf Ihrem System laufen 72 5 5 Absichern des Druckerzugriffs die
190. en und folgenden Eintrag set zen DELAY Anzahl Sekunden die das linuxrc Skript warten soll um den Benutzer Eingriffe zu erlauben bevor das System hochgefahren wird DELAY 0 Erstellen Sie anschlie end Ihr Ramdisk Image neu Dies k nnen Sie zum Beispiel so tun cd boot mkinitrd o initrd img 2 4 18 k7 lib modules 2 4 18 k7 oder vorzugsweise so dpkg reconfigure plow kernel image 2 4 x yz 4 7 Einschr nkung der Anmeldem glichkeiten an der Konsole Manche Sicherheitsrichtlinien k nnen Administratoren dazu zwingen sich erst als Benutzer mit ihrem Passwort auf dem System einzuloggen und dann Superuser zu werden mit Su oder Sudo Eine solche Richtlinie wird in Debian durch Bearbeitung der Dateien etc pam d login und etc securetty falls Sie PAM verwenden implementiert e Die Datei etc pam d login aktiviert das Modul pam_securetty so Wenn es richtig konfiguriert ist wird Root wenn er sich auf einer unsicheren Konsole anmelden will nicht nach einem Passwort gefragt sondern sein Anmelde versuch wird abgelehnt e In securetty entfernen Sie oder f gen Sie Terminals hinzu auf denen sich Root anmelden darf Falls Sie nur lo kalen Zugang zur Konsole erlauben wollen ben tigen Sie console ttyX 2 und vc X falls Sie die devfs Schnittstelle verwenden Sie sollten auch ttySX hinzuf gen wenn Sie eine serielle Konsole f r den lokalen Zugang verwen den wobei X eine ganze Zahl ist es kann w nschenswer
191. en werden ignoriert e Entdecken Sie verd chtigen ARP Verkehr Sie k nnen dazu arpwatch karpski oder allgemeinere IDS die auch verd chtigen ARP Verkehr entdecken k nnen wie snort oder prelude http www prelude ids org einset zen e Verwenden Sie einen IP Filter der die MAC Adressen berpr ft 4 19 Einen Schnappschuss des Systems erstellen Bevor Sie das System in produktiven Betrieb nehmen k nnen Sie einen Schnappschuss des gesamten Systems erstellen Diesen Schnappschuss k nnen Sie im Falle einer Kompromittierung siehe Nach einer Kompromittierung Reaktion auf einem Vorfall auf Seite 125 benutzen Sie sollten den Schnappschuss immer dann erneuern wenn Sie das System aktuali sieren insbesondere wenn Sie auf eine neue Debian Ver ffentlichung upgraden Hierf r k nnen Sie beschreibbare austauschbare Datentr ger benutzen die Sie schreibsch tzen k nnen Dies kann eine Diskette die nach der Benutzung schreibgesch tzt wird eine CD in einem CD ROM Laufwerk Sie k nnen auch wiederbe schreibbare CD ROMs benutzen so k nnen Sie sogar alte Sicherheitskopien Ihrer MD5 Summen behalten eine USB Platte oder eine MMC Karte wenn Ihr System auf diese zugreifen kann und sie schreibgesch tzt werden k nnen sein Das folgende Skript erstellt einen solchen Schnappschuss eth0 1 1 1 1 24 ethl 2 2 2 2 24 ip rule add from 1 1 1 1 32 dev lo table 1 prio 15000 ip rule add from 2 2 2 2 32 dev lo table 2 prio 16000 ip r
192. enarbeiten um Smartcards USB Token oder hnliches zu erzeugen und die Zertifikate sicher zu speichern e Anwendungen die die von einer CA ausgestellten Zertifikate benutzen k nnen um verschl sselte Kommunikation zu aufzubauen und bestimmte Zertifikate gegen die CRL zu pr fen zur Authentifizierung und so genannte full Single Sign On solutions e eine Zeitstempel Autorit t um Dokumente digital zu signieren e eine Verwaltungskonsole von der aus dies alles vern nftig benutzt werden kann Erstellung von Zertifikaten Kon trolle der Widerruflisten usw Debian GNU Linux beinhaltet Softwarepaket die Ihnen bei einigen dieser PKI Probleme helfen k nnen Dazu geh rt OpenSSL zur Erstellung von Zertifikaten OpenLDAP f r ein Verzeichnis um die Zertifikate zu speichern gnupg und openswan mit X 509 Unterst tzung Jedoch stellt Debian zum Zeitpunkt der Ver ffentlichung von Woody Debian 3 0 keine der frei verf gbaren Certificate Authorities wie zum Beispiel pyCA OpenCA http www openca org oder die CA Muster von OpenSSL zur Verf gung F r weitere Informationen lesen Sie bitte das Open PKI Buch http ospkibook sourceforge net 87 SSL Infrastruktur Debian stellt einige SSL Zertifikate innerhalb der Distribution zur Verf gung so dass Sie sie lokal installieren k nnen Sie befinden sich im Paket ca certificates Dieses Paket stellt eine zentrale Sammelstelle f r Zertifikate dar die an Debian bermittelt und vom
193. enden die alle Informationen zur Erstellung von Benutzern als Batch Prozess enth lt sind Sie vielleicht mit newusers besser dran 4 11 15 berpr fung der Benutzerpassw rter Die Passw rter der Benutzer sind manchmal die schw chste Stelle der Sicherheit eines Systems Das liegt daran dass manche Benutzer schwache Passw rter f r ihr Konto w hlen und je mehr Benutzer Zugang zum System haben umso gr er die BChpasswd kann keine MD5 Passw rter erzeugen Daher muss ihm das Passwort in verschl sselter Form mit der Option e bergeben werden Kapitel 4 Nach der Installation 52 Chance dass das passiert Selbst wenn Sie berpr fungen mit dem PAM Module cracklib und Grenzen f r Passw rter einsetzen wie in Benutzerauthentifizierung PAM auf Seite 42 beschrieben wird ist es Benutzern immer noch m glich schwache Passw rter zu verwenden Da der Zugang der Benutzer auch den Zugang aus der Ferne hoffentlich ber Ssh umfassen kann ist es wichtig dass das Erraten von Passw rtern f r Angreifer aus der Ferne so schwierig wie m glich ist Dies gilt insbesondere dann wenn es ihnen gelungen sein sollte Zugriff auf wichtigen Informationen wie den Benutzerna men oder sogar den Dateien passwd und shadow selbst zu bekommen A system administrator must given a big number of users check if the passwords they have are consistent with the local security policy How to check Try to crack them as an attacker would if having acce
194. er hinzu Mehr Informationen entnehmen Sie http www proftpd org bugs html Nach der Installation von portsentry sind viele Ports offen Dies ist nur die Art und Weise wie portsentry arbeitet Es ffnet etwas zwanzig ungenutzte Ports und versucht so Port Scans zu entdecken 12 3 Fragen zu Debians Sicherheitsteam The security team keeps its list of Frequently Asked Questions at the Debian Security FAQ http www debian org security faq Please refer to that web page for up to date information 141 Anhang A Der Abh rtungsprozess Schritt f r Schritt Eine Anleitung die Schritt f r Schritt darstellt wie ein Debian 2 2 GNU Linux System nach der Installation abgeh rtet wird ist unten aufgef hrt Das ist nur eine denkbare Herangehensweise f r einem solchen Vorgang Sie ist am Absichern von Netzwerkdiensten orientiert und stellt den gesamten Anlauf der Konfiguration vor Vergleichen Sie auch Priifliste der Konfiguration auf Seite 143 e Install the system taking into account the information regarding partitioning included earlier in this document After base installation go into custom install Do not select task packages e Entfernen Sie mit dselect alle nicht ben tigten aber ausgew hlten Pakete bevor Sie Installation w hlen Belassen Sie nur die absolut notwendige Software auf dem System e Aktualisieren Sie die ganze Software mit den aktuellen Paketen von security debian org wie bereits unter Ausf
195. er Benutzeranmeldung Bearbeiten von etc login defs Der n chste Schritt ist es die grundlegende Konfiguration und die Aktionen bei der Benutzeranmeldung zu bearbeiten Beachten Sie dass diese Datei kein Bestandteil der PAM Konfiguration ist Sie ist eine Konfigurationsdatei die von den Programmen Login und Su ber cksichtigt wird Es ist also wenig sinnvoll sie auf F lle abzustimmen in denen keines der beiden Programme wenigstens indirekt aufgerufen wird Das Programm Getty welches auf der Konsole l uft und die anf ngliche Anmeldeaufforderung zu Verf gung stellt ruft Login auf FAILLOG_ENAB yes Wenn Sie diese Variable einschalten werden fehlgeschlagene Anmeldeversuche protokolliert Es ist wichtig hier auf dem Laufendem zu bleiben um jemanden zu ermitteln der einen Brute Force Angriff versucht LOG_UNKFAIL_ENAB no Wenn Sie diese Variable auf yes setzen werden unbekannte Benutzernamen protokolliert wenn eine Anmeldung schei tert Es ist zu empfehlen sie auf no den Standard zu belassen da anderenfalls das Passwort eines Benutzers aufgezeich net werden k nnte falls er n mlich versehentlich anstatt seines Benutzernames sein Passwort eingibt Falls Sie sie dennoch auf yes setzen m ssen Sie sicherstellen dass die Protokolldateien angemessene Zugriffsrechte haben zum Beispiel 640 mit einer passenden Gruppenzugeh rigkeit wie adm SYSLOG_SU_ENAB yes Dies schaltet das Mitprotokollieren von su Versuchen im Sy
196. er Standardloglevel der Konsole ist bei jeden Kernel 7 was bedeutet dass alle Nachrichten mit einer niedrigeren Priorit t auf der Konsole erscheinen werden F r gew hnlich haben Firewalls die LOG Regel und einige andere Sicherheitswerk zeuge eine niedrigere Log Priorit t Daher werden ihre Protokolle direkt an die Konsole geschickt To reduce messages sent to the console you can use dmesg n option see dmesg 8 which examines and controls the kernel ring buffer To fix this after the next reboot change etc init d klogd from KLOGD in Folgendes andern KLOGD c 4 Verwenden Sie eine niedrigere Nummer f r c wenn Sie immer noch unerw nschte Nachrichten sehen Eine Beschreibung der verschiedenen Loglevels befindet sich in usr include sys syslog h define LOG_EMERG define LOG_ALERT define LOG_CRIT define LOG_ERR define LOG_WARNING define LOG_NOTICE define LOG_INFO define LOG_DEBUG system is unusable x action must be taken immediately x critical conditions x error conditions warning conditions normal but significant condition informational x Za debug level messages YRDUBWNHEO 12 1 12 Benutzer und Gruppen des Betriebssystems Sind alle Systembenutzer notwendig Ja und nein Debian wird mit einigen vordefinierten Benutzern mit einer User ID UID lt 99 wie in der Debian Policy http www de debian org doc debian policy oder in usr share doc base passwd
197. er die verf gbaren Dienste laufen for i in usr sbin lsof i grep LISTEN cut d f 1 sort u gt do user ps ef grep i grep v grep cut f 1 da j gt echo Dienst i l uft als Benutzer user done Uberlegen Sie ob Sie diese Dienste einem bestimmten Benutzer oder Gruppe zuweisen wollen und sie vielleicht auch in eine chroot Umgebung einsperren wollen um die Sicherheit zu erh hen Sie k nnen dies tun indem Sie die etc init d Skripte ndern die den Dienst starten Die meisten Dienste benutzen unter Debian start stop daemon der die daf r Optionen change uid und chroot zur Verf gung stellt Ein paar warnende Worte zum Ein sperren in eine chroot Umgebung Sie m ssen alle Dateien die durch das Paket des Dienstes installiert wurden verwenden Sie dpkg L und alle Pakete von denen es abh ngt in die Chroot Umgebung legen Informationen wie das Programm ssh in eine chroot Umgebung eingesperrt wird finden Sie unter Chroot Umgebung f r SSH auf Seite 159 e Wiederholen Sie die Schritte oben um zu pr fen ob nur die gew nschten Dienste laufen und ob sie unter der ge w nschten Benutzer Gruppen Kombination laufen e Testen Sie die installierten Dienste um festzustellen ob sie wie erwartet arbeiten e berpr fen Sie das System indem Sie einen Scanner zur Absch tzung der Verwundbarkeit zum Beispiel nessus benutzen um Angriffsm glichkeiten Fehlkonfigurationen alte oder nicht ben t
198. er nur lokal auf Ihrem System benutzen werden Sie diesen Dienst nicht ber ein Netzwerk anbieten wollen Sie sollten dann berlegen ein anderes Druck System wie zum Beispiel das aus dem Paket cups oder PDQ http pdq sourceforge net das auf den Zugriffsrechten des Ger tes dev 1p0 beruht einzusetzen Bei cups werden die Druckauftr ge mit dem HTTP Protokoll zum Server bertragen Dadurch muss der Client nicht ber spezielle Privilegien verf gen aber dies erfordert dass der Server auf irgendeinem Port lauscht Wenn Sie cups jedoch nur lokal benutzen m chten k nnen Sie ihn so konfigurieren dass er nur auf der Loopback Schnittstelle lauscht indem Sie Folgendes in Ihrer etc cups cupsd conf ndern Listen 127 0 0 1 631 Es gibt noch andere Sicherheitsoptionen in dieser Konfigurationsdatei wie zum Beispiel das Erlauben oder Verweigern von Netzwerken oder Rechnern Wenn Sie sie allerdings nicht ben tigen belassen Sie es am besten dabei einfach nur den Port auf dem gelauscht wird einzuschr nken Cups liefert auch Dokumentation ber den HTTP Port Wenn Sie diese potenziell n tzlichen Informationen einem Angreifer von au erhalb nicht enth llen wollen und der Port offen ist f gen Sie au erdem Folgendes hinzu lt Location gt Order Deny Allow Deny From All Allow From 127 0 0 1 lt Location gt Die Konfigurationsdatei kann so angepasst werden dass zus tzliche F higkeiten einschlie lich SSL und TLS Zertifikate
199. er solchen im Text abzu helfen setzen Sie sich mit dem Hauptautor siehe Autoren auf Seite 1 in Verbindung Dieses Dokument muss noch auf Grundlage der aktuellen Debian Ver ffentlichung aktualisiert werden Die Standard konfiguration einiger Pakete muss angepasst werden da sie ver ndert wurden seitdem dieses Dokument geschrieben wurde Erweiterung der Informationen zur Reaktion auf einen Vorfall unter Umst nden auch mit einigen Vorschl gen von Red Hats Sicherheitsanleitung chapter on incident response http www redhat com docs manuals linux RHL 9 Manual security guide ch response html Vorstellen von berwachungswerkzeugen in der Ferne um die Erreichbarkeit des Systems zu berpr fen wie monit daemontools und mon vergleiche http linux oreillynet com pub a linux 2002 05 09 sysadminguide html Pr fen ob ein Abschnitt zu schreiben ist wie man auf Debian basierende Netzger te erstellt mit Informationen etwa zum Basissystem equivs und FAI berpr fung ob http www giac org practical gsec Chris_Koutras_GSEC pdf wichtige Informatio nen hat die hier noch nicht behandelt werden Informationen wie man einen Laptop mit Debian einrichtet http www giac org practical gcux Stephanie_Thomas_GCUX paf hinzuf gen Informationen wie man unter Debian GNU Linux eine Firewall aufsetzt hinzuf gen Der Firewalls betreffende Ab schnitt orientiert sich derzeit an Einzelplatz Systemen die keine anderen Systeme sch
200. eren Bibliotheken aktualisiert wurden neu gestartet werden Hinweis Lesen Sie Ausf hren von Sicherheitsaktualisierungen auf Seite 35 f r weitere Informationen zu Bibliotheks und Kernel Aktualisierungen Die erste Zeile wird die Liste der verf gbaren Pakete von den festgelegten Paketquellen herunterladen Die Option s wird eine Simulation durchf hren d h es werden keine Pakete heruntergeladen oder installiert Vielmehr teilt es Ihnen mit welche heruntergeladen und installiert werden sollen Durch dieses Ergebnis k nnten Sie erfahren welche Pakete von Debian ausgebessert wurden und als Sicherheitsaktualisierung verf gbar sind Zum Beispiel apt get upgrade s Reading Package Lists Done Building Dependency Tree Done 2 packages upgraded 0 newly installed 0 to remove and 0 not upgraded Inst cvs 1 11 1pldebian 8 1 Debian Security 3 0 stable Inst libcupsys2 1 1 14 4 4 Debian Security 3 0 stable Conf cvs 1 11 1pldebian 8 1 Debian Security 3 0 stable Conf libcupsys2 1 1 14 4 4 Debian Security 3 0 stable In diesem Beispiel k nnen Sie erkennen dass auf dem System cvs und cupsys mit neuen Versionen aus Woodys Si cherheitsarchiv aktualisiert werden m ssen Um herauszufinden warum eine Aktualisierung notwendig ist sollten Sie http security debian org besuchen und sich ansehen welche aktuellen Debian Sicherheits Ank ndigungen zu diesen Paketen ver ffentlicht wurden In unserem Fall sind die zugeh rigen DSA DSA
201. erierte E Mail Liste unter http www de debian org MailingLists subscribe auch ber das Web abonnieren Diese Mailingliste hat ein sehr geringes Aufkommen und indem Sie sie abonnieren werden Sie sofort ber Sicherheitsak tualisierungen der Debian Distribution informiert Dies erlaubt Ihnen sehr schnell neue Pakete mit Sicherheitsaktualisie rungen herunterzuladen was sehr wichtig ist um ein sicheres System zu verwalten siehe Ausf hren von Sicherheitsak tualisierungen auf Seite 35 f r weitere Details wie Sie dies durchf hren Kapitel 3 Vor und w hrend der Installation 34 35 Kapitel 4 Nach der Installation Wenn das System installiert ist k nnen Sie es noch weiter absichern indem Sie einige der in diesem Kapitel beschriebenen Schritte ausf hren Nat rlich h ngt dies vor allem von Ihrer Einrichtung ab aber um physischen Zugriff zu verhindern sollten Sie Anderen Sie das BIOS noch einmal auf Seite 37 Ein Passwort f r LILO oder GRUB einstellen auf Seite 38 Entfernen des Root Promptes aus dem Kernel auf Seite 38 Einschr nkung der Anmeldem glichkeiten an der Konsole auf Seite 39 und Einschr nkung des System Neustarts von der Konsole aus auf Seite 39 lesen Bevor Sie sich mit einem Netzwerk verbinden insbesondere wenn es sich um ein ffentliches Netzwerk handelt sollten Sie wenigstens eine Sicherheitsaktualisierung siehe Ausf hren von Sicherheitsaktualisierungen au
202. erkzeugen weiterverarbeitet wer den unter ihnen Sac das ein Profil f r jeden Benutzer ausgeben kann und zeigt in welchem Zeitfenster sie sich f r ge w hnlich auf dem System anmelden F r den Fall dass Sie Accounting aktiviert haben k nnen Sie auch die mitgelieferten Werkzeuge verwenden um festzu stellen wann Benutzer auf das System zugreifen und was sie ausf hren 4 11 12 Umasks der Benutzer einstellen Abh ngig von Ihren Benutzerrichtlinien m chten Sie ndern wie Benutzer Informationen gemeinsam benutzen k nnen Dabei geht es um die Standardrechte von neu erstellten Dateien 20Ohne das Append Only Flag w re es den Benutzern m glich den Inhalt des Verlaufs zu l schen indem sie gt bash_history ausf hren 21Ttys werden f r lokale Anmeldungen und solche aus der Ferne mit Ssh und Telnet erzeugt Kapitel 4 Nach der Installation 50 Das Standardwert von Umask ist in Debian 022 Das bedeutet dass die Gruppe des Benutzers und alle anderen Benutzers auf dem System die Dateien und Verzeichnisse lesen und darauf zugreifen kann Dieser Wert wird in der Standardkonfi gurationsdatei etc profile gesetzt die von allen Shells verwendet wird If Debian s default value is too permissive for your system you will have to change the umask setting for all the shells More restrictive umask settings include 027 no access is allowed to new files for the other group i e to other users in the system or 077 no access is allow
203. ert wird auch gleich automatisch aktiviert Bei einer Standardinstallation ohne weitere installierte Dienste ist die Anzahl der laufenden Dienste ziemlich gering Und die Anzahl der Dienste die im Netzwerk angeboten werden ist noch niedriger In einer Standardinstallation von Debian 3 1 werden Sie mit OpenSSH Exim abh ngig davon wie Sie ihn konfiguriert haben und dem RPC Portmapper als Netzwerkdienste auskommen Wenn Sie nicht eine Standard sondern eine Experten Installation durchgef hrt haben kann es sein dass Sie berhaupt keine aktiven Netzwerkdienste haben Der RPC Portmapper ist standardm ig installiert da er f r viele Dienste wie zum Beispiel NFS ben tigt wird Er kann allerdings sehr leicht entfernt werden Weitere Informationen wie Sie RPC Dienste absichern oder abschalten finden Sie unter Absichern von RPC Diensten auf Seite 81 Wenn Sie einen neuen Netzwerkdienst Daemon auf Ihrem Debian GNU Linux System installieren kann er auf zwei Arten gestartet werden durch den Superdaemon inetd d h eine Zeile wird zu etc inetd conf hinzugef gt oder durch ein eigenst ndiges Programm das sich selbst an die Netzwerkschnittstelle bindet Eigenst ndige Programme wer den durch etc init d gesteuert Sie werden beim Hochfahren durch den Sys V Mechanismus gestartet der die sym bolischen Links in etc rc d x benutzt Weitere Informationen dazu finden Sie in usr share doc sysvinit README runlevels gz Wenn Sie
204. es Dateisystems c r ere atoae ee ee ee ee eee es 59 4 17 4 Aufsetzen einer berpr fung von setuid 60 4 18 Absicherung des Nefzwerkzugangs e ad kee ee A we ae OS e e ee 60 4 18 1 Konfiguration der Netzwerkf higkeiten des Kernels 2 ooo ee 60 4 182 Kontiguraton yon Syncookies ccoo cs sia o mem Se OER Re EDA CRESS EES 61 4 18 3 Absicherung des Netzwerks beim Hochfahren 61 4 184 Kontiguralionder Frewall EE EE EE Dr ran E e 63 4 18 5 L sung des Problems der Weak EndHosts si 0 6 64 6 sta ur mus ner een 63 4 18 6 Schulz vor ARPAN 0 Site wen MO Banana dr ei EAD Rae EE 64 4 19 Einen Schnappschuss des Systems erstellen andos en eee 64 AN Andere EENHEETEN 65 4 20 1 Benutzen Sie keine Software die von svgalib abh ngt 2 22 ee 65 5 Absichern von Diensten die auf Ihrem System laufen 67 Bel Sbeichern EE 67 SLI SSH nein Chroal Gef ngniseinsperten o ss scannen ee a 68 SLE SS ei a a a a a ea el Gt 69 513 Verbieten der bertragung von Dateien coccion A er ed 69 5 1 4 Beschr nkung des Zugangs auf Dateientransfers o ooo 69 32 Absicht FORO 2 au ne Beg ee en ee ERE A ee eee ee 69 al SCS VOL si A e e Ol he She De Ee aa E 70 5 4 Zugriff auf das X Window System absichern 71 5 4 1 berpr fen Ihres Display Manager 71 5 5 Absichern des Druckerzugriffs die Ipd und Iprng Problematik o o o ooo ooo o trg 72 5 6 Absichern des Mail Dienstes socso a a a A a AA 72 36
205. estimmte IP TCP und ICMP Angriffe auch wenn sie nicht so fortgeschrittene Techniken zur Erkennung von Netzwerkangriffen wie snort bieten Sie k nnen jedes dieser Werkzeuge mit dem Paket idswakeup testen Das ist ein Shell Skript das falsche Alarme verursacht und Signaturen vieler gebr uchlicher Angriffe enth lt 10 3 2 Hostbasierte Eindringlingserkennung Eine Eindringlingserkennung die auf einem Host basiert beruht darauf Software auf dem zu berwachenden System zu laden die Protokolldateien und die berwachungsprogramme des Systems als Datengrundlage verwendet Sie sucht nach verd chtigen Prozessen kontrolliert den Zugang zum Host und berwacht u U auch nderungen an kritischen System dateien tiger ist ein lteres Programm zur Eindringlingserkennung dass seit der Woody Distribution auf Debian portiert wur de tiger bietet Tests von verbreiteten Problemen in Zusammenhang mit Einbr chen wie der St rke von Passw rtern Problemen mit dem Dateisystem kommunizierenden Prozessen und anderen M glichkeiten mit denen Root kompromit tiert werden k nnte Dieses Paket umfasst neue debianspezifische Sicherheitstests einschlie lich der MD5 Summen von installierten Programmen des Orts von Dateien die zu keinem Paket geh ren und einer Analyse von lokalen lauschenden Prozessen Die Standardinstallation l sst tiger einmal am Tag laufen und einen Bericht erstellen der an den Superuser geschickt wird und Informationen zu m glichen K
206. etschn ffler und logger der Angriffe mit Hilfe einer Bibliothek von Angriffssignaturen er kennt Es erkennt eine breite Palette von Angriffen und Tests wie zum Beispiel Puffer berl ufe verdecktes Abtasten von Ports stealth port scans CGI Angriffe SMB Tests und vieles mehr snort hat auch die F higkeit einen zeitnahen Alarm auszul sen Dies ist ein Werkzeug das auf jedem Router installiert werden sollte um ein Auge auf Ihr Netzwerk zu haben Ein leichter Weg das ist tun ist die Verwendung einer Live CD wie Knoppix Std http www knoppix std org die sowohl die Programme zur Integrit tspr fung als auch die dazugeh rige Datenbank enth lt Kapitel 10 Vor der Kompromittierung 121 Installieren Sie es einfach mit apt get install snort beantworten Sie die Fragen und beobachten Sie die Protokolle F r einen etwas breiteren Sicherheitsrahmen sollten Sie sich Prelude http www prelude ids org ansehen Debians Paket snort hat viele Sicherheitstests standardm ig eingeschaltet Jedoch sollten Sie die Konfiguration anpassen um die Dienste die auf Ihrem System laufen zu ber cksichtigen Sie k nnen auch zus tzliche Tests speziell f r diese Dienste nutzen Es gibt noch andere einfachere Werkzeuge die dazu benutzt werden k nnen Angriffe auf das Netzwerk zu erkennen portsentry ist ein interessantes Paket das Sie warnen kann wenn jemand Ihre Rechner scannt Auch andere Program me wie ippl oder iplogger erkennen b
207. etsten Proxy Cache Server und es gibt ein paar Sicherheitsaspekte die Sie beachten sollten Squids Standard Konfiguration lehnt alle Anfragen von Benutzern ab Dennoch erlaubt das Debian Paket Zugriff von lo calhost Sie m ssen nur Ihren Browser richtig konfigurieren Sie sollten Squid so konfigurieren dass er Zugriffe von ver trauensw rdigen Benutzern Computern oder Netzwerken erlaubt indem Sie eine Zugriffs Kontroll Liste ACL Access Control List in etc squid squid conf definieren Mehr Informationen wie Sie ACLs definieren finden Sie im Squid User s Guide http www deckle co za squid users guide Main_Page Ein gute deutsche Dokumentation ist das Squid Handbuch http www squid handbuch de Beachten Sie dass Debian eine minimale Konfiguration f r Squid bereitstellt die alles verhindert mit der Ausnahme dass localhost sich mit Ihrem Proxy Server der standardm ig mit dem Port 3128 l uft verbinden kann Sie m ssen Ihre etc squid squid conf Datei wie gew nscht anpassen Die empfohlene minimale Konfiguration mit dem Paket vertrieben sieht wie folgt aus acl all src 0 0 0 0 0 0 0 0 acl manager proto cache_object acl localhost src 127 0 0 1 255 255 255 255 acl SSL_ports port 443 563 acl Safe_ports port 80 acl Safe_ports port 21 acl Safe_ports port 443 563 acl Safe_ports port 70 gopher acl Safe_ports port 210 wais http acl Safe_ports port 1025 65535 unregistered ports ftp https
208. etwas posten oder die Leute werden Ihnen RTFM sagen 12 1 Sicherheit im Debian Betriebssystem 12 1 1 Ist Debian sicherer als X A system is only as secure as its administrator is capable of making it Debian s default installation of services aims to be secure but may not be as paranoid as some other operating systems which install all services disabled by default In any case the system administrator needs to adapt the security of the system to the local security policy F r eine bersicht der Sicherheitsliicken von vielen Betriebssystemen sollten Sie sich die US CERT Statistik http www cert org stats cert_stats html ansehen oder sich selber Statistiken mit der National Vulnerability Database http nvd nist gov statistics c n fr her ICAT erstellen Sind diese Daten n tzlich Es m ssen verschiedene Faktoren ber cksichtigt werden wenn die Daten interpretiert werden sollen Man sollte beachten dass diese Daten nicht dazu verwendet werden k nnen um die Verwundbarkeit eines Betriebssystems mit der eines anderen zu vergleichen 1 Bedenken Sie au erdem dass sich einige registrierte Sicherheitsl cken im Zusammenhang mit Debian nur auf den Unstable Zweig also den nicht offiziell ver ffentlichten Zweig beziehen Ist Debian sicherer als andere Linux Distributionen wie Red Hat SuSE Der Unterschied zwischen den Linux Distributionen ist nicht sehr gro mit Ausnahme der Basisinstallation und der Pa ketverwaltung
209. etzwerkanwendungen FTP Servern WWW Servern usw Die neusten Sicherheitsplugins sind sogar in der Lage eine Web Seite zu analysieren und zu versuchen interaktive Inhalte zu entdecken die zu einem Angriff genutzt werden k nnen Es existieren auch Java und Win32 Clients die benutzt werden k nnen um sich mit dem Nessus Server zu verbinden Diese sind jedoch in Debian nicht enthalten nikto ist ein Scanner zur Aufdeckung von Schwachstellen bei Webservern und kennt auch einige Anti IDS Taktiken die meisten davon sind keine Anti IDS Taktiken mehr Er ist einer der besten verf gbaren CGI Scanner zur Erkennung von WWW Servern und kann nur bestimmte Angriffe gegen ihn starten Die Datenbank die zum Scannen benutzt wird kann sehr leicht ge ndert werden um neue Informationen einzuf gen 8 2 Werkzeuge zum Scannen von Netzwerken Debian bietet Ihnen einige Werkzeuge zum Scannen von Hosts aber nicht zur Gefahrenabsch tzung Diese Programme werden in manchen F llen von Scannern zur Gefahrenabsch tzung zu einem ersten Angriff gegen entfernte Rechner genutzt um festzustellen welche Dienste angeboten werden Unter Debian sind im Moment verf gbar e nmap 1Manche von ihnen sind erh ltlich wenn Sie das Paket harden remoteaudit installieren Kapitel 8 Sicherheitswerkzeuge in Debian 106 e xprobe e pOf e knocker e isic e hping2 e icmpush e nbtscan f r die Pr fung von SMB und NetBIOS e fragrouter e strobe aus dem Paket ne
210. f dieser Seite durchf hren Daneben k nnen Sie auch einen Schnappschuss Ihres Systems machen siehe Einen Schnappschuss des Systems erstellen auf Seite 64 4 1 Abonnement der Security Announce Mailingliste von Debian Um Informationen zu verf gbaren Sicherheitsaktualisierungen und die Debian Sicherheits Ank ndigungen DSA zu er halten sollten Sie Debians Security Announce Mailingliste abonnieren Lesen Sie Das Sicherheitsteam von Debian auf Seite 91 f r weitere Informationen wie das Sicherheitsteam von Debian arbeitet Hinweise wie Sie die Mailinglisten von Debian abonnieren finden Sie unter http lists debian org DSAs werden mit der Signatur des Sicherheitsteams von Debian unterschrieben die unter http security debian org erh ltlich ist Sie sollten in Betracht ziehen auch die Mailingliste debian security http lists debian org debian security zu abonnieren Dort finden allgemeine Diskussionen zu Sicherheitsthemen im Betriebssystem Debian statt Sie k nnen auf der Liste sowohl mit gleichgesinnten Systemadministratoren als auch mit Entwicklern von Debian und Programmautoren in Kontakt treten Diese werden Ihre Fragen beantworten und Ihnen Ratschl ge geben FIXME Add the key here too 4 2 Ausf hren von Sicherheitsaktualisierungen Sobald neue Sicherheitsl cher in einem Paket entdeckt wurden reparieren sie Debians Paketbetreuer und Originalautoren im Allgemeinen innerhalb von Tagen oder sogar Stunden Nac
211. ffene Pakete aktualisieren k nnte Sicher heitsaktualisierungen wurden mit Ausnahmen nur in den Stable Zweig zur ckportiert Die Grundidee ist dass mit Sicherheitsaktualisierungen kein neuer Code hinzugef gt werden sollte sondern nur wichtige Probleme beseitigt werden Denken Sie daran dass Sie allerdings den Sicherheitstracker verwenden k nnen wie unter Beobachtung von Sicherheits l cken auf Seite 115 beschrieben um bekannte Sicherheitsprobleme f r diesen Zweig nachzuvollziehen 10 1 4 Sicherheitsunterst tzung f r den Testing Zweig Wenn Sie den Testing Zweig verwenden m ssen Sie einige Problemkreise hinsichtlich der Verf gbarkeit von Sicherheitsak tualisierungen in Betracht ziehen e Wenn eine Sicherheitsl cke geschlossen wurde portiert das Sicherheitsteam den Patch nach Stable zur ck da Stable normalerweise einige Minor oder Majorversionen zur ckliegt Die Paketbetreuer sind daf r verantwortlich Pakete f r den Unstable Zweig vorzubereiten Grundlage daf r ist normalerweise eine neue Ver ffentlichung des Original programms Manchmal ereignen sich die nderungen fast zur selben Zeit und manchmal enth lt eine der Ver ffent lichungen eine Ausbesserung einer Sicherheitsl cke vor einer anderen Pakete in Stable werden gr ndlicher getestet als die in Unstable da letztere in den meisten F llen die neueste Ver ffentlichung des Originalprogramms enth lt welches neue unbekannte Fehler enthalten k nnte
212. formation on how to prepare a static package for bind for chrooting untested Added a FAQ item regarding some specific servers services could be expanded with some of the recommendations from the debian security list Added some information on RPC services and when it s necessary Added some more information on capabilities and what lcap does Is there any good documentation on this I haven t found any documentation on my 2 4 kernel Fixed some typos Kapitel 1 Einleitung 16 1 6 34 Version 2 4 nderung von Javier Fern ndez Sanguino Pe a e Rewritten part of the BIOS section 1 6 35 Version 2 3 nderung von Javier Fern ndez Sanguino Pefia e Wrapped most file locations with the file tag e Fixed typo noticed by Edi Stojicevi Slightly changed the remote audit tools section e Added some todo items e Added more information regarding printers and cups config file taken from a thread on debian security e Added a patch submitted by Jesus Climent regarding access of valid system users to Proftpd when configured as anonymous server e Small change on partition schemes for the special case of mail servers e Added Hacking Linux Exposed to the books section e Fixed directory typo noticed by Eduardo P rez Ureta e Fixed etc ssh typo in checklist noticed by Edi Stojicevi 1 6 36 Version 2 3 Anderung von Javier Fern ndez Sanguino Pefia e Fixed location of dpkg conffile e Remove Alexander from
213. ftware since some programs might use it for installation apt is one such program see http bugs debian org 116448 if not configured properly APT ExtractTemplates TempDir see apt extracttemplates 1 You can set this variable in etc apt apt conf to another directory with exec privileges other than tmp 13Einiges davon trifft auf den Paketverwalter Dpkg zu da die Installations oder Deinstallationsanweisungen post pre unter var lib dpkg liegen und auch auf Smartlist Kapitel 4 Nach der Installation 42 4 10 2 usr auf nur lesend setzen Wenn Sie auf usr nur lesenden Zugriff erlauben werden Sie nicht in der Lage sein neue Pakete auf Ihrem Debian GNU Linux System zu installieren Sie werden es erst mit Schreibzugriff erneut einh ngen m ssen die Pakete installieren und dann wieder nur mit lesendem Zugriff einh ngen Apt kann so konfiguriert werden dass Befehle vor und nach dem Installieren von Paketen ausgef hrt werden Daher m ssen Sie es passend konfigurieren Daf r m ssen Sie etc apt apt conf bearbeiten und Folgendes einf gen DPkg Pre Invoke mount usr o remount rw Post Invoke mount usr o remount ro Beachten Sie dass das Post Invoke mit der Fehlermeldung usr ist belegt scheitern kann Dies passiert vorwiegend wenn Sie eine Datei benutzen die aktualisiert wurde Sie k nnen diese Programme finden indem Sie Folgendes ausf hren lsof L1 Halten Sie diese Programme an o
214. fw_start echo done it stop echo n Stopping firewall fw_stop echo done D I clear echo n Clearing firewall rules Kapitel 5 Absichern von Diensten die auf Ihrem System laufen 87 fw_clear echo done D I echo Usage 0 start stop restart clear exit 1 D I esac exit 0 Um nicht alle Iptables Regeln in das Init d Skript einf gen zu m ssen k nnen Sie auch das Programm iptables restore verwenden um die Regeln zu laden die zuvor mit iptables save gespeichert wurden Um dies zu tun m ssen Sie Ihre Regeln erstellen und das Regelwerk statisch speichern z B in etc default firewall Konfiguration von Firewall Regeln mittels ifup Sie k nnen auch die Netzwerkkonfiguration in etc network interfaces verwenden um Ihre Firewall Regeln einzu richten Daf r m ssen Sie Folgendes tun e Erstellen Sie Ihre Firewall Regeln f r die aktivierte Schnittstelle e Sichern Sie Ihre Regeln mit iptables save in eine Datei in etc zum Beispiel etc iptables up rules e Konfigurieren Sie etc network interfaces diese Regeln zu verwenden iface eth0 inet static address X X X X interface configuration pre up iptables restore lt etc iptables up rules Wahlweise k nnen Sie auch Regeln erstellen die beim Herunterfahren der Netzwerkschnittstelle ausgef hrt werden Dazu erzeugen Sie diese speichern sie in etc iptables down rules und f gen diese Anweisung zur Schnittstellenkonfi gurati
215. g vorgenommen zuerst wird in den lokalen ARP Speicher geschaut und falls die IP nicht im Speicher ist wird ein Rundruf Broadcast mit der ARP Anfrage verschickt um die Hardware Adresse des Ziels zu finden Alle ARP Angriffe zielen darauf ab Ihrem Rechner vorzugaukeln dass die IP Adresse des Rechners B mit der MAC Adresse des Computers des Angreifers verbunden ist Dadurch wird jedes Paket das Sie an den Rechner B der mit der IP Adresse verbunden ist schicken wollen an den Computer des Eindringlings umgeleitet Diese Angriffe Verf lschung des ARP Speichers ARP Spoofing erm glichen dem Angreifer auf Netzwerken den Ver kehr abzuh ren selbst bei Netzwerken die ber einen Switch laufen Er kann sich leicht in eine Verbindung einschleusen oder einen Host vom Netzwerk nehmen oder ARP Angriffe sind leistungsf hig und einfach durchzuf hren Es gibt daf r auch einige Werkzeuge wie arpspoof aus dem Paket dsniff oder arpoison http arpoison sourceforge net Allerdings gibt es immer eine L sung e Verwenden Sie einen statischen ARP Speicher So erstellen Sie statische Eintr ge in Ihrem ARP Speicher arp s host_name hdwr_addr Indem Sie statische Eintr ge f r jeden wichtigen Host in Ihrem Netzwerk vergeben stellen Sie sicher dass niemand einen falschen Eintrag f r diese Hosts erstellen oder ver ndern kann statische Eintr ge verfallen nicht und k nnen nicht ver ndert werden Auch gef lschte ARP Antwort
216. gangskontrolle f r Linux im Pa ket kernel patch acl Dieser Kernelpatch stellt Listen zur Zugangskontrolle zur Verf gung Das ist eine fortge schrittene Methode um den Zugang zu Dateien einzuschr nken Es erm glicht Ihnen den Zugang zu Dateien und Verzeichnisses fein abzustimmen e Der Patch f r den Linux Kernel Openwall http www openwall com linux von Solar Designer der im Pa ket kernel patch 2 2 18 openwall enthalten ist Er enth lt eine n tzliche Anzahl von Beschr nkungen des Kernels wie eingeschr nkte Verweise FIFOs in tmp ein begrenztes proc Dateisystem besondere Handhabung von Dateideskriptoren einen nichtausf hrbaren Bereich des Stapelspeichers des Benutzers und andere F higkeiten Hinweis Dieser Patch ist nur auf die Kernelversion 2 2 anwendbar f r 2 4 werden von Solar keine Pakete angeboten e kernel patch int Auch dieser Patch f gt kryptografische F higkeiten zum Linux Kernel hinzu Er war bis zu den Debian Releases bis Potato n tzlich Er funktioniert nicht mehr mit Woody Falls Sie Sarge oder eine neuere Version verwenden sollten Sie einen aktuelleren Kernel einsetzen in dem diese Features bereits enthalten sind Wie auch immer einige Patches werden von Debian noch nicht zur Verf gung gestellt Wenn Sie denken dass manche von ihnen hinzugef gt werden sollten fragen Sie danach auf Arbeit bed rfende und voraussichtliche Pakete http www de debian org devel wnpp 2 Beachten Sie dass ein Konf
217. gemeinere Verweise zu Firewalls Ein weiterer guter Leitfaden f r Iptables ist http iptables tutorial frozentux net iptables tutorial html Unlike personal firewalls in other operating systems Debian GNU Linux does not yet provide firewall generation interfaces that can make rules limiting them per process or user However the iptables code can be configured to do this see the owner module in the iptables 8 manpage Kapitel 5 Absichern von Diensten die auf Ihrem System laufen 84 Nutzen von Firewall Paketen Das manuelle Aufsetzen einer Firewall kann f r neue und manchmal auch f r erfahrene Administratoren kompliziert sein Hierf r hat die Freie Software Gemeinschaft eine gro e Zahl von Werkzeugen erstellt die zur einfachen Konfiguration einer lokalen Firewall benutzt werden k nnen Seien Sie gewarnt dass einige dieser Werkzeuge sich mehr auf lokalen Schutz konzentrieren auch personal firewall genannt w hrend andere vielseitiger sind und dazu benutzt werden k nnen komplexere Regelwerke zum Schutz ganzer Netzwerke zu erstellen Einige Programme die unter Debian zum Aufsetzen von Firewall Regeln benutzt werden k nnen sind e F r Desktop Systeme firestarter eine GNOME Anwendung die sich an Endanwender richtet die einen Wizard enth lt der n tz lich ist um schnell Firewall Regeln aufzustellen Die Anwendung enth lt eine graphische Oberfl che zum Beob achten ob eine Firewall Regel Daten blockiert
218. gen kann und das nicht von NIS NFS abh ngt e list Mailinglisten Archive und Daten geh ren diesem Benutzer und dieser Gruppe Manche Mailinglisten Programme laufen auch unter diesem Benutzer e irc Wird von irc Daemonen benutzt Ein statisch zugewiesener Benutzer wird nur wegen eines Fehlers in i rcd ben tigt das beim Start SETUID auf sich selbst f r eine bestimmte UID ausf hrt e gnats e nobody nogroup Daemonen die keine eigenen Dateien haben laufen als Benutzer nobody und Gruppe nogroup Demzufolge sollten keine Dateien auf dem gesamten System diesem Benutzer oder dieser Gruppe geh ren Andere Gruppe die keinen dazugeh rigen Benutzer haben e adm Die Gruppe adm wird zu Zwecken der berwachung benutzt Mitglieder dieser Gruppe k nnen viele Dateien in var log lesen und die xconsole benutzen var log war fr her einmal usr adm und sp ter var adm daher der Name dieser Gruppe Kapitel 12 H ufig gestellte Fragen Frequently asked Questions FAQ 134 e tty TTY Ger te geh ren dieser Gruppe Die Befehle write und wall benutzen dies um auf die TIYs anderer Leute zu schreiben e disk Roh Zugriff auf Festplatten Gr tenteils quivalent zum Root Zugriff e kmem dev kmem und hnliche Dateien sind von dieser Gruppe lesbar Dies ist gr tenteils ein Relikt aus BSD Aber jedes Programm das Lese Zugriff auf den Systemspeicher braucht kann so SETGID kmem gemacht werden dialout Voller und direkter Zugr
219. genug so dass Benutzer sich nicht beschweren oder dass Ihr Mail Quota Sie daran hindert nach einer Weile Mails anzunehmen e Nutzen Sie Quotas auf allen Bereichen die Benutzer beschreiben k nnen auf home ebenso wie auf tmp F r jede Partition und jedes Verzeichnis auf das Benutzer Schreibzugriff haben sollte ein Quota eingerichtet werden Be rechnen Sie eine sinnvolle Quota Gr e die Benutzerfreundlichkeit und Sicherheit kombiniert und weisen Sie diese zu Sie wollen also Quotas benutzen Zuerst m ssen Sie pr fen ob Ihr Kernel Quota unterst tzt Wenn nicht m ssen Sie ihn neu kompilieren Pr fen Sie anschlie end ob das Paket quota installiert ist Wenn nicht installieren Sie es Um Quota f r die entsprechenden Dateisysteme einzuschalten m ssen Sie nur die Einstellung defaults in Ihrer etc fstab zu defaults usrquota ndern Wenn Sie Gruppen Quotas ben tigen ersetzen Sie usrquota durch grpquota Sie k nnen auch beides verwenden Erstellen Sie dann leere quota user und quota group in den Hauptverzeichnissen der Dateisysteme auf denen Sie Quotas einf hren m chten d h touch home quota user home quota group f r das Dateisystem home Starten Sie quota neu indem Sie etc init d quota stop etc init d quota start ausf hren Nun sollte quota laufen und die Gr en k nnen festgelegt werden Bearbeiten der Quotas eines bestimmten Benutzer wird mit edquota u lt user gt gemacht Gruppen Quotas k nnen mit ed
220. glisten lesen wo ein Wechsel des Schl ssel angek ndigt werden wird oder jede andere erdenkliche Methode verwenden um den Fin gerabdruck zu berpr fen Zum Beispiel k nnen Sie auch Folgendes machen GET http ftp master debian org ziyi_key_2006 asc gpg import gpg key 2D230C5F public key Debian Archive Automatic Signing Key 2006 lt ftpmaster amp debian org gt imported gpg Total number processed 1 gpg imported 1 gpg check sigs fingerprint 2D230C5F pub 1024D 2D230C5F 2006 01 03 expires 2007 02 07 Key fingerprint 0847 50FC 01A6 D388 A643 D869 0109 0831 2D23 OC5F uid Debian Archive Automatic Signing Key 2006 lt ftpmaster debian org gt sig 3 2D230C5F 2006 01 03 Debian Archive Automatic Signing Key 2006 lt ftpmaster debian org gt sig 2A4E3EAA 2006 01 03 Anthony Towns lt aj azure humbug org au gt sig 4F368D5D 2006 01 03 Debian Archive Automatic Signing Key 2005 lt ftpmaster debian org gt sig 29982E5A 2006 01 04 Steve Langasek lt vorlon dodds net gt sig FD6645AB 2006 01 04 Ryan Murray lt rmurray cyberhqz com gt sig AB2A91F5 2006 01 04 James Troup lt james nocrew org gt und dann von Ihrem Schl ssel oder einem Schl ssel dem Sie vertrauen den Pfad des Vertrauens http www de debian org doc manuals securing debian howto ch7 s deb pack sign zu wenigstens einem der Schl s sel der verwendet wurde um den Archivschl ssel zu unterschreiben berpr fen Wenn Sie vorsichtig sein woll
221. gt 1 6 12 Version 3 6 M rz 2006 nderung von Javier Fern ndez Sanguino Pefia Einen Patch von Thomas Sj gren eingef gt der beschreibt dass noexec wie erwartet mit neuen Kernel arbeitet der Informationen ber den Umgang mit tempor ren Dateien und einige Verweise auf externe Dokumentationen hinzuf gt Nach einem Vorschlag von Freek Dijkstra einen Verweis auf Dan Farmers und Wietse Venemas Website ber forensi sche Entdeckungen eingef gt und den Abschnitt ber forensische Analyse mit weiteren Verweisen etwas erweitert Dank Christoph Auer die URL des italienischen CERT korrigiert Wieder Joey Hess Informationen aus dem Wiki ber Secure Apt verwendet und sie in den Infrastrukturabschnitt eingef gt Abschnitte in Hinblick auf ltere Versionen Woody oder Potato berarbeitet Einige Darstellungsprobleme mit einem Patch von Simon Brandmair ausgebessert Patches von Carlo Perassi eingepflegt ACL Patches sind berfl ssig ebenso wie die Openwall Patches Fixme Anmerkungen ber die Kernelserien 2 2 und 2 4 entfernt hap ist berfl ssig und nicht in WNPP Verweise auf Immunix entfernt StackGuard geh rt jetzt Novell und verbesserte ein FIXME ber der Verwendung von bsign oder elfsign Verweise auf die Webseiten von SELinux aktualisiert so dass sie auf das Wiki verweisen derzeit die aktuellste Infor mationsquelle Dateimarkierungen eingef gt und eine einheitlichere Verwendung von MD5 sum mit einem Patch von
222. hackmich is alex here warnings 3600 folders Mail debian preconnect ssh f P C L 1236 my imap mailserver org 143 1 ref my imap mailserver org sleep 15 lt dev null gt dev null Die wichtige Zeile ist die preconnect Zeile Sie startet eine SSH Verbindung und erstellt den notwendigen Tunnel durch den automatisch alle Verbindungen zum lokalen Port 1236 verschl sselt an den IMAP Mail Server weitergeleitet werden Eine andere M glichkeit w re es fetchmail mit SSL Unterst tzung zu benutzen Wenn Sie verschl sselte Mail Dienste wie POP oder IMAP anbieten m chten apt get install stunnel und starten Sie Ihren Daemon auf diese Weise stunnel p etc ssl certs stunnel pem d pop3s 1 usr sbin popd Dieses Kommando bindet den angegebenen Daemon 1 an den Port d und benutzt ein bestimmtes SSL Zertifikat p 5 7 Absichern von BIND Es gibt verschiedene Dinge mit denen Sie sich auseinander setzen sollten um einen Domain Server Daemon abzusichern die hnlich zu den berlegungen sind wie man einen anderen Dienst absichert e Konfigurieren Sie den Daemon selbst so dass er von au en nicht missbraucht werden kann siehe auch Bind Konfiguration um Missbrauch zu verhindern auf der n chsten Seite Dies schlie t das Einschranken von Abfragen durch Clients ein Zonen Transfers und rekursive Abfragen e Einschr nken des Zugriffs des Daemon auf den Server selbst so dass dem Schaden f r das System im Falle eines Ein bruc
223. hdem das Loch gestopft wurde werden neue Pakete unter http security debian org bereit gestellt Wenn Sie eine Debian Ver ffentlichung installieren m ssen Sie ber cksichtigen dass es seit der Ver ffentlichung Sicher heitsaktualisierungen gegeben haben k nnte nachdem entdeckt wurde dass ein bestimmtes Paket verwundbar ist Ebenso k nnte es Zwischenver ffentlichungen gegeben haben die diese Paketaktualisierungen enthalten F r Debian 3 1 Sarge gab es vier Zwischenver ffentlichungen W hrend der Installation werden Sicherheitsaktualisierungen f r Ihr System eingerichtet offene Sicherheitsaktualisierun gen heruntergeladen und Ihrem System hinzugef gt sofern Sie sich nicht explizit dagegen entscheiden oder keine Inter netverbindung besteht Die Aktualisierungen werden noch vor dem ersten Systemstart eingespielt damit das neue System sein Leben so aktuell wie m glich beginnt Um Ihr System manuell zu aktualisieren f gen Sie die folgende Zeile in Ihre etc apt sources list ein So werden Sie Sicherheitsaktualisierungen automatisch erhalten wann immer Sie Ihr System aktualisieren Ersetzen Sie CODENAME mit dem Namen der Ver ffentlichung z B mit squeeze Kapitel 4 Nach der Installation 36 deb http security debian org CODENAME updates main contrib non free Hinweis Falls Sie den Testing Zweig einsetzen sollten Sie die Sicherheitsspiegel f r Testing verwenden Das wird unter Sicherheitsunterst tzung f r den Te
224. hell zuzugreifen Dies geschieht wenn beim Laden von Initramfs ein Fehler auftritt Dadurch kann der Administrator auf eine Rettungs Shell mit Root Rechten zugreifen Mit dieser Shell k nnen von Hand Module geladen werden falls eine automatische Erkennung scheitern sollte Dieses Verhalten ist Standard f r ein von Initramfs tools erzeugtes Initramfs Folgende Fehlermeldung wird auftreten ALERT dev sdal does not exist Dropping to a shell In order to remove this behavior you need to set the following boot argument panic 0 Add this to the variable GRUB_CMDLINE_LINUX in etc default grub and issue update grub or to the append section of etc lilo conf 4 6 Entfernen des Root Promptes aus dem Kernel Hinweis Dies trifft nicht auf Kernel zu die in Debian 3 1 enthalten sind da die Wartezeit auf Null ver ndert wurde Linux 2 4 Kernel bieten kurz nach dem Laden des Cramfs einen Weg Zugriff auf eine Root Shell zu bekommen also w hrend das System bootet Es erscheint eine Meldung die dem Administrator erlaubt eine ausf hrbare Shell mit Root Privilegien zu ffnen Diese Shell kann dazu benutzt werden manuell Module zu laden falls die automatische Erkennung fehlschl gt Dies ist das Standard Verhalten bei initrd s linuxrc Die folgende Meldung wird erscheinen Kapitel 4 Nach der Installation 39 Press ENTER to obtain a shell waits 5 seconds Um dieses Verhalten zu entfernen m ssen Sie etc mkinitrd mkinitrd conf bearbeit
225. hen k nnte um korrekt zu arbeiten Jedenfalls wird es meistens von NFS benutzt Wenn Sie kein NFS benutzen entfernen Sie es wie in Absichern von RPC Diensten auf Seite 81 erkl rt In Versionen des Pakets portmap sp ter als 5 5 k nnen Sie sogar den Portmapper installieren aber ihn nur auf dem Local host lauschen lassen dazu m ssen Sie etc default portmap ver ndern Wozu ist der identd Port 113 da Der Dienst Identd ist ein Authentisierungsdienst der den Besitzer einer bestimmten TCP IP Verbindung zu einem entfern ten Server der die Verbindung annimmt identifiziert Wenn ein Benutzer sich mit einem entfernten Host verbindet schickt inetd auf dem entfernten Host blicherweise eine Anfrage an Port 113 zur ck um Informationen ber den Besitzer her auszufinden Er wird h ufig von Mail FTP und IRC Servern eingesetzt Er kann auch dazu verwendet werden um einen Benutzer Ihres lokalen Systems der ein entferntes System angreift aufzusp ren Es gab ausf hrliche Diskussionen ber die Sicherheit von identd siehe in den Archiven der Mailingliste http lists debian org debian security 2001 debian security 200108 msg00297 html Im Allgemeinen ist identd auf Multi User Systemen n tzlicher als auf einer Workstation mit nur einem Benutzer Wenn Sie keine Verwen dung von ihn haben sollten Sie ihn abschalten damit Sie keinen Dienst f r die Au enwelt offen lassen Wenn Sie sich entscheiden den identd Port mit einer Firew
226. hmod chown cp csh gt etc alternatives csh dd df dir fdflush ksh in ls mkdir mknod mv rbash gt bash rm rmdir sh gt bash sync itesh touch vdir zsh gt etc alternatives zsh zsh4 null ptmx pts ptya0 tty tty0 urandom alternatives csh gt bin tcsh zsh gt bin zsh4 environment hosts hosts allow hosts deny ld so conf localtime gt usr share zoneinfo Europe Madrid motd nsswitch conf pam conf pam d other ssh passwd resolv conf security access conf chroot conf group conf limits conf pam_env conf time conf shadow shells ssh moduli ssh_host_dsa_key ssh_host_dsa_key pub ssh_host_rsa_key ssh_host_rsa_key pub sshd_config Z Ree ld linux so 2 gt 1d 2 2 5 so libc 2 2 5 s0 Libe s0 6 2 1ibe gt 2 2 5 36 libcap so 1 gt libcap so 1 10 Kapitel G Chroot Umgebung f r SSH 164 sbin H usr libcap so 1 10 liberypt 2 2 5 so liberypt so 1 gt liberypt 2 2 5 so libdl 2 2 5 so libdl so 2 gt libdl 2 2 5 so libm 2 2 5 so libm so 6 gt libm 2 2 5 so libncurses so 5 gt libncurses so 5 2 libncurses so 5 2 libns1 2 2 5 so libnsl so 1 gt libns1 2 2 5 so0 libnss_compat 2 2 5 so
227. hoden um sich gegen Puffer berl ufe zu sch tzen e Patchen Sie den Kernel um das Ausf hren des Stapelspeichers zu verhindern Sie k nnen entweder Exec Shield OpenWall oder PaX ist in den Grsecurity und Adamantixpatches enthalten verwenden e Verbessern Sie den Quellcode indem Sie Werkzeuge einsetzen die Teile finden die zu dieser Verwundbarkeit f hren k nnten e bersetzen Sie den Quellcode neu um vern nftige Pr fungen einzuf hren um berl ufe zu verhindern Benutzen Sie dazu den Stack Smashing Protector SSP http www research ibm com trl projects security ssp Patch f r GCC der von Adamantix http www adamantix org verwendet wird Debian GNU Linux liefert bis einschlie lich der Ver ffentlichung 3 0 Software um alle diese Methoden bis auf den Schutz bei der bersetzung des Quellcodes das wurde aber schon in Fehler 213994 http bugs debian org 213994 nachgefragt zu implementieren Beachten Sie dass selbst wenn Debian einen Compiler zur Verf gung stellen w rde der Schutz vor Stapel und Puffer ber l ufen bieten w rde so doch alle Pakete neu bersetzt werden m ssten um diese Eigenschaft einzuf hren Tats chlich ist das die Aufgabe der Distribution Adamantix unter anderen F higkeiten Die Auswirkungen dieses neuen Features auf die Stabilit t der Software muss aber noch ermittelt werden einige Programme und einige Prozessoren werden vielleicht deswegen nicht mehr funktionieren Seien
228. hrem Server installieren k nnen Sobald der neue Kernel kompiliert und installiert ist m ssen Sie das Paket bridge utils installieren Wenn Sie diesen Schritt abgeschlossen haben k nnen Sie die Konfiguration Ihrer Bridge fertigstellen Im n chsten Abschnitt werden Ihnen zwei verschiedene m gliche Konfigurationen einer Bridge vorgestellt Beide sind mit einer bersicht eines hypothetischen Netzwerks und den notwendigen Befehlen versehen D 1 Eine Bridge mit NAT und Firewall F higkeiten Die erste Konfigurationsm glichkeit benutzt die Bridge als Firewall mit Network Address Translation NAT bersetzung der Netzwerkadressen die einen Server und interne LAN Clienten sch tzt Unten wird eine Darstellung der Anordnung des Netzwerks gezeigt Internet Router 62 3 3 25 Bridge 62 3 3 26 gw 62 3 3 25 192 168 0 1 WWW Server 62 3 3 27 gw 62 3 3 25 LAN Zipowz 192 168 0 2 gw 192 168 0 1 Die folgenden Befehle zeigen wie diese Bridge konfiguriert werden kann Erstellen der Schnittstelle br0 usr sbin brctl addbr bro Hinzuf gen der Ethernet Schnittstelle welche die Bridge benutzen soll usr sbin brctl addif br0 eth0 usr sbin bretl addif br0 ethl Starten der Ethernet Schnittstelle Kapitel D Aufsetzenden einer Bridge Firewall 150 sbin ifconfig eth0 0 0 0 0 sbin ifconfig ethl 0 0 0 0 Konfigurieren der Ethernet Bridge Die Bridge wird korrekt und unsichtbar transparente Firewall sei
229. hs Grenzen gesetzt sind Hierzu geh rt auch den Daemon als nicht privilegierten Benutzer laufen zu lassen siehe ndern des BIND Benutzers auf Seite 76 und ihn in ein Chroot Gef ngnis einzusperren siehe Chroot Gef ngnis f r den Name Server auf Seite 77 Kapitel 5 Absichern von Diensten die auf Ihrem System laufen 75 5 7 1 Bind Konfiguration um Missbrauch zu verhindern Sie sollten einige Informationen die von au en ber den DNS Server abgefragt werden k nnen zur ckhalten so dass man nicht wertvolle Informationen ber Ihre Organisation die Sie nicht herausgeben wollen abfragen kann Dies schlie t die folgenden Optionen mit ein allow transfer allow query allow recursion und version Sie k nnen dies in dem globalen Abschnitt tun so wird es auf alle Zonen angewandt oder jeweils pro Zone Dies ist im Paket bind doc dokumentiert Sobald das Paket installiert ist k nnen Sie hierzu mehr in usr share doc bind html index html lesen Stellen Sie sich vor Ihr Server ist mit dem Internet und Ihrem internen Netzwerk Ihre interne IP ist 192 168 1 2 verbun den ein einfacher Server im heimischen Netzwerk Sie m chten keinen Dienst im Internet anbieten und lediglich DNS Abfragen von Ihren internen Rechnern erlauben Sie k nnen dies einschr nken indem Sie Folgendes in Ihre etc bind named conf aufnehmen options allow query 192 168 1 24 allow transfer none allow recursion 192 168 1 24 lis
230. ian stellt au erdem einige Sicherheitswerkzeuge zur Verf gung die eine Debian Maschine zum Zweck der Sicherheit passend einrichten k nnen Diese Zielsetzung schlie t die Sicherung von Systeminformationen durch Firewalls sowohl auf Paket als auch auf Anwendungsebene Eindringlingserkennung netzwerk und hostbasiert Einsch tzung der Ver wundbarkeit Antivirus private Netzwerke und vieles mehr ein Seit Debian 3 0 woody ist kryptographische Software in der Hauptdistribution integriert OpenSSH und GNU Privacy Guard sind in der Standardinstallation enthalten Au erdem befinden sich jetzt in Web Browsern und Web Servern Da tenbanken usw starke Verschl sselungsmechanismen Eine weitergehende Eingliederung von Kryptographie ist f r zu k nftige Ver ffentlichungen geplant Aufgrund von Exportbeschr nkungen in den USA wurde diese Software nicht mit der Hauptdistribution ausgeliefert sondern war nur auf Seiten au erhalb der USA erh ltlich 8 1 Programme zur Fernpr fung der Verwundbarkeit Die Werkzeuge um eine Fernpr fung der Verwundbarkeit durchzuf hren sind unter Debian 1 e nessus e raccess e nikto Ersatz f r whisker Das weitaus vollst ndigste und aktuellste Werkzeug ist nessus welches aus einem Client nessus mit graphischer Be nutzungsschnittstelle und einem Server nessusd der die programmierten Attacken startet besteht Nessus kennt ver schiedene entfernten Verwundbarkeiten f r einige Systeme einschlie lich N
231. ich zu vermeiden Kapitel 4 Nach der Installation 66 67 Kapitel 5 Absichern von Diensten die auf Ihrem System laufen Dienste k nnen auf zwei Arten in einem laufenden System abgesichert werden e Sie so einstellen dass auf sie nur von Zugangspunkten Interfaces zugegriffen werden kann von denen es n tig ist e Sie so konfigurieren dass sie nur von legitimierten Benutzern auf autorisierte Art und Weise benutzt werden k nnen Dienste k nnen durch Zugriffsbeschr nkungen auf Kernel Ebene durch eine Firewall eingeschr nkt werden so dass auf sie nur von bestimmten Orten aus zugegriffen werden kann Konfigurieren Sie sie so dass sie nur auf einer bestimmten Schnittstelle horchen einige Dienste bieten diese F higkeiten nicht Oder verwenden Sie eine andere Methode zum Bei spiel den Linux vserver Patch f r 2 4 16 mit dem Prozesse an eine bestimmte Schnittstelle gebunden werden k nnen Regarding the services running from inetd telnet ftp finger pop3 it is worth noting that inetd can be confi gured so that services only listen on a given interface using service ip syntax but that s an undocumented feature One of its substitutes the xinetd meta daemon includes a bind option just for this matter See xinetd conf 5 service nntp stream tcp no news news socket_type protocol wait user group server usr bin env server_args POSTING_OK 1 PATH usr sbin usr bin sbin bin usr sb
232. icht ob tats chlich eine Sicherheitsl cke vorhanden ist Da Debian nicht die Version einer Software ndert wenn ein Paket repariert wird h ufig werden Ausbesserungen an neueren Ver ffentlichungen zur ckportiert nei gen einige Werkzeuge dazu zu denken dass ein aktualisiertes Debian System verwundbar ist auch wenn das nicht der Fall ist Wenn Sie denken dass Ihr System auf dem aktuellen Stand der Sicherheitsaktualisierungen ist sollten Sie die Querverweise zu den Datenbanken mit Sicherheitsl cken in denen die DSAs ver ffentlicht sind vergleichen Sie dazu Debian Sicherheits Ank ndigungen auf Seite 91 verwenden um falsche Positive auszusondern wenn das Programm das Sie verwenden CVE Referenzen enth lt 12 2 2 Ich habe in meinen Protokolldateien einen Angriff gesehen Ist mein System kompromit tiert Ein Hinweis auf einen Angriff heifst nicht notwendigerweise dass Ihr System gehackt wurde Leiten Sie die blichen Schrit te ein um festzustellen ob das System kompromittiert wurde siehe Nach einer Kompromittierung Reaktion auf einem Vorfall auf Seite 125 Selbst wenn Ihr System hinsichtlich des protokollierten Angriffs nicht verwundbar ist k nnte ein entschlossener Angreifer neben der von Ihnen entdeckten Sicherheitsl cke auch eine andere ausgenutzt haben 12 2 3 Ich habe in meinen Protokollen merkw rdige MARK Eintr ge gefunden Wurde ich ge hackt Sie k nnen die folgenden Zeilen in Ihren Systemp
233. ided the copyright notice and this permission notice are preserved on all copies Permission is granted to copy and distribute modified versions of this document under the conditions for verbatim copying provided that the entire resulting derived work is distributed under the terms of a permission notice identical to this one Permission is granted to copy and distribute translations of this document into another language under the above conditi ons for modified versions except that this permission notice may be included in translations approved by the Free Software Foundation instead of in the original English Unverbindliche bersetzung Es ist erlaubt dieses Dokument unter den Bedingungen der GNU General Public License Version 2 http www gnu org licenses old licenses gpl 2 0 de html oder jeder sp teren Version http www gnu org copyleft gpl html die von der Free Software Foundation ver ffentlicht wird zu kopieren zu verbreiten und oder zu ver ndern Es wird in der Hoffnung ver ffentlicht dass es sich als n tzlich erweisen k nnte aber OHNE JEDE GEW HRLEISTUNG d U 2Unverbindliche Ubersetzung Es ist erlaubt unver nderte Kopien dieses Dokuments zu erstellen und zu vertreiben vorausgesetzt der Copyright Hinweis und diese Genehmigung bleiben in allen Kopien erhalten d U 3Unverbindliche bersetzung Es ist erlaubt ver nderte Kopien dieses Dokuments unter den Voraussetzungen f r unver ndertes Kopieren zu er
234. ie eine Aktualisierung Ihres Systems durchf hren das nicht von einem externen System z B einer Firewall ge sch tzt ist k nnen Sie trotzdem eine lokale Firewall so konfigurieren dass Sie nur die Sicherheitsaktualisierung selbst erlaubt Das Beispiel unten zeigt wie die lokale Firewall aufgesetzt werden muss damit nur Verbindungen zu securi ty debian org erlaubt werden w hrend der Rest protokolliert wird Im nachfolgenden Beispiel wird ein strenges Regelwerk f r eine Firewall dargestellt F hren Sie diese Befehle auf einer lokalen Konsole aus und nicht auf einer entfernten um das Risiko zu verringern sich aus Ihrem System auszusperren iptables F iptables L Chain INPUT policy ACCEPT target prot opt source destination Chain FORWARD policy ACCEPT target prot opt source destination Chain OUTPUT policy ACCEPT target prot opt source destination iptables A OUTPUT d security debian org dport 80 j ACCEPT iptables A INPUT m state state ESTABLISHED RELATED j ACCEPT iptables A INPUT p icmp j ACCEPT iptables A INPUT j LOG iptables A OUTPUT j LOG iptables P INPUT DROP iptables P FORWARD DROP iptables P OUTPUT DROP iptables L Chain INPUT policy DROP target prot opt source destination ACCEPT all 0 0 0 0 0 0 0 0 0 0 state RELATED ESTABLISHED ACCEPT icmp 0 0 0 0 0 0 0 0 0 0 LOG all anywhere anywhere LOG level warning SE dh de SE FE EOE SE te Chain FORWARD policy DROP t
235. ie noch nicht durch eine Sicherheitsaktualisierung geschlossen wurden Daher kann es Administratoren besser helfen Sicherheitsl cken im Blick zu behalten wie unter Beobachtung von Sicherheitsl cken auf Seite 115 beschrieben Nach der Installation des Debian Pakets debsecan wird es mit Zustimmung des Administrators eine cron Aufgabe er stellen die das Programm aufruft und das Ergebnis an einen bestimmten Benutzer schickt wenn sie ein verwundbares Paket findet Sie wird auch Informationen aus dem Internet laden Bei der Installation wird auch nach dem Ort der Sicher heitsdatenbank gefragt dieser wird in etc default debsecan gespeichert Er kann leicht so angepasst werden damit Systeme ohne Internetzugang auf einen lokale Spiegelserver zugreifen k nnen und nur dieser mit der Sicherheitsdatenbank verbunden sein muss Beachten Sie jedoch dass das Sicherheitsteam viele Verwundbarkeiten auff hrt die wie risikoarme Probleme nicht mit einer Sicherheitsaktualisierung ausgebessert werden oder bei denen sich sp ter herausstellt dass sie anders als zun chst angenommen Debian nicht betreffen Debsecan wird alle Verwundbarkeiten melden wodurch diese Meldungen deutlich umfangreicher werden als bei den anderen beschriebenen Werkzeugen Weitere Informationen finden Sie auf der Site des Autors http www enyo de fw software debsecan Kapitel 10 Vor der Kompromittierung 118 Andere Methoden f r Sicherheitsaktualisierungen Es gibt
236. ie zu m glichen Sicherheits m ngeln f hren k nnen e flawfinder e rats e splint e pscan 8 5 Virtual Private Networks virtuelle private Netzwerke Ein virtuelles privates Netzwerk VPN ist eine Gruppe von zwei oder mehreren Computern die typischerweise zu einem privaten Netzwerk mit begrenztem ffentlichen Netzwerkzugang verbunden sind und sicher ber ein ffentliches Netz werk kommunizieren VPNs k nnen einen einzelnen Rechner mit einem privaten Netzwerk verbinden Client Server oder ein entferntes LAN mit einem privaten Netzwerk Server Server VPNs verwenden Verschl sselung starke Authentifika tion von entfernten Benutzern oder Hosts und Methoden um die Struktur des privaten Netzwerks zu verstecken Debian enth lt etliche Pakete die zum Aufsetzen von verschl sselten virtuellen privaten Netzwerken verwendet werden k nnen Kapitel 8 Sicherheitswerkzeuge in Debian 107 e vtun e tunnelv Abschnitt non US e cipe source cipe common e tinc e secvpn e pptpd e openvpn e openswan http www openswan org FIXME Update the information here since it was written with FreeSWAN in mind Check Bug 237764 and Message Id lt 200412101215 04040 rmayr debian org gt Das OpenSWAN Paket ist wahrscheinlich die beste Wahl da es nahezu mit allen zusammenarbeiten kann die das IP Security Protokoll IPsec RFC 2411 benutzen Aber auch die anderen oben aufgef hrten Pakete k nnen Ihnen helfen m glichst sch
237. ieren derzeit leer e harden servers entfernt Server die aus irgendeinem Grund als unsicher gelten e harden clients entfernt Clients die aus irgendeinem Grund als unsicher gelten e harden remoteaudit Werkzeuge um Systeme aus der Ferne zu berpr fen e harden nids hilft bei der Installation eines Systems zur Entdeckung von Netzwerkeindringlingen e harden surveillance hilft bei der Installation von Werkzeugen zum berwachen von Netzwerken und Diensten N tzliche Pakete f r die keine Abh ngigkeit besteht e harden doc stellt dieses und andere sicherheitsrelevante Dokumente zur Verf gung e harden development Entwicklungswerkzeuge um sicherere Programme zu erstellen Kapitel 6 Automatisches Abh rten von Debian Systemen 90 Seien Sie vorsichtig wenn Sie Software installiert haben die Sie brauchen und aus bestimmten Gr nden nicht deinstal lieren wollen und die aufgrund eines Konflikts mit einem der oben aufgef hrten Pakete nicht installiert werden kann In diesem Fall k nnen Sie harden nicht vollst ndig nutzen Die harden Pakete machen eigentlich gar nichts Zumindest nicht unmittelbar Sie haben jedoch absichtliche Paketkonflikte mit bekannten unsicheren Paketen Auf diese Art wird die Paketverwaltung von Debian die Installation dieser Paketen nicht erlauben Wenn Sie zum Beispiel bei installiertem harden servers Paket versuchen einen telnet Daemon zu installieren wird Ihnen apt Folgendes sagen apt get install t
238. iff auf serielle Schnittstellen Mitglieder dieser Gruppen k nnen Modems rekonfigu rieren sich irgendwo einw hlen usw e dip Der Name der Gruppe steht f r Dial up IP Mitgliedern der Gruppe dip k nnen Programme wie ppp dip wvdial usw benutzen um eine Verbindung herzustellen Die Benutzer in dieser Gruppe k nnen das Modem nicht konfigurieren Sie k nnen lediglich Programme aufrufen die es benutzen e fax erlaubt es den Mitgliedern Fax Software zu benutzen um Faxe zu senden und zu empfangen e voice Voicemail n tzlich f r Systeme die Modems als Anrufbeantworter benutzen e cdrom Diese Gruppe kann dazu benutzt werden einer bestimmen Gruppe von Benutzern Zugriff auf CD ROM Laufwerke zu geben e floppy Diese Gruppe kann dazu benutzt werden einer bestimmen Gruppe von Benutzern Zugriff auf Diskettenlauf werke zu geben e tape Diese Gruppe kann dazu benutzt werden einer bestimmen Gruppe von Benutzern Zugriff auf Bandlaufwerke zu geben e sudo Mitglieder dieser Gruppe m ssen ihr Passwort nicht eingeben wenn sie sudo benutzen Siehe usr share doc sudo OPTIONS e audio Diese Gruppe kann dazu benutzt werden einer bestimmen Gruppe von Benutzern Zugriff auf jedes Audioge r t zu geben e src Dieser Gruppe geh ren die Quellcodes einschlie lich der Dateien in usr src Sie kann benutzt werden um einem bestimmten Benutzern die M glichkeit zu bieten Quellcode des Systems zu verwalten e shadow etc shadow is
239. igte Dienste zu finden e Installieren Sie Instrumente zur Entdeckung von Eindringlingen in Netzwerk und Hosts wie snort und logcheck e Wiederholen Sie den Netzwerk Scan und pr fen Sie ob das System zur Erkennung von Eindringlingen funktioniert Die richtig Paranoiden berlegen sich auch Folgendes e F gen Sie dem System Firewall F higkeiten hinzu die eingehende Verbindungen nur zu angebotenen Diensten er lauben und ungenehmigte ausgehende Verbindungen verhindern e berpr fen Sie erneut die Installation auf Angriffspunkte mit einem Netzwerk Scanner e Pr fen Sie ausgehende Verbindungen vom System zu Hosts au erhalb mit einem Netzwerk Scanner um sicherzu stellen dass ungewollte Verbindungen keinen Weg nach drau en finden FIXME this procedure considers service hardening but not system hardening at the user level include information regar ding checking user permissions SETUID files and freezing changes in the system using the ext2 file system 143 Anhang B Pr fliste der Konfiguration Dieser Anhang wiederholt kurz Punkte aus anderen Abschnitten dieser Anleitung in einem verdichteten Pr flisten Format Er ist als schnelle Zusammenfassung f r Leute gedacht die bereits diese Anleitung gelesen haben Es gibt auch andere gute Pr flisten zum Beispiel Kurt Seifrieds Securing Linux Step by Step http seifried org security os linux 20020324 securing linux step by step html und CERT s Unix Security Checklist http
240. iligen Einfluss auf Ihre Gesch fte hat Das Netzwerk auf Schicht 1 abzuschalten ist der einzig wirklich erfolgreiche Weg um den Angreifer aus dem gehackten Rechner herauszuhalten weiser Ratschlag von Phillip Hofmeister Allerdings k nnen einige Werkzeuge die durch Rootkits Trojaner oder sogar unehrlichen Benutzern ber eine Hintert r installiert wurden diesen Vorgang erkennen und auf ihn reagieren Es ist nicht wirklich lustig wenn Sie sehen dass rm rf ausgef hrt wird wenn Sie das Netzwerkkabel ziehen Wenn Sie nicht bereit sind dieses Risiko einzugehen und Sie sich sicher sind dass in das System eingebrochen wurde sollten Sie das Stromkabel herausziehen alle wenn es mehr als eines gibt und Ihre Daumen dr cken Das h rt sich zwar extrem an verhindert aber tats chlich eine Logikbombe die ein Eindringling programmiert haben k nnte Auf jeden Fall sollte ein kompromittiertes System nicht neugestartet werden Entweder sollten die Festplatten in einem anderen System analysiert werden oder Sie sollten ein anderen Medium eine CD ROM benutzen um das System zu booten und analysieren Sie sollten nicht die Rettungsdisk von Debian verwenden um das System zu starten Sie k nnen aber die Shell auf der Installationsdisk benutzen wie Sie wissen erreichen Sie sie mit Alt F2 um das System zu analysieren 1 Die beste Methode um ein gehacktes System wiederherzustellen ist ein Live Dateisystem auf einer CD ROM mit allen Programmen und
241. in ein SPAWN Kommando in etc hosts deny einzutragen das immer dann eine Mail an Root schickt wenn ein Dienst abgewiesen wurde ALL ALL SPAWN A echo e n TCP Wrappers Verbindungsaufbau abgelehnt n Von uname n n Prozess d pid p n Benutzer u n Host c n Datum date n usr bin mail s Verbindung zu d blockiert root amp Achtung Das obige Beispiel kann sehr leicht zu DoS Denial of Service Verbindungsaufbau abgelehnt f hren indem man versucht sehr viele Verbindungen in kurzer Zeit aufzubauen Viele E Mails bedeuten viel Dateiaktivit t die lediglich durch das Senden von ein paar Paketen erreicht wird 4 13 Die Wichtigkeit von Protokollen und Alarmen Es ist leicht einzusehen dass die Behandlung von Protokollen und Alarmen eine wichtige Angelegenheit in einem sicheren System ist Stellen Sie sich vor ein System ist perfekt konfiguriert und zu 99 sicher Wenn ein Angriff unter dieses 1 f llt und es keine Sicherheitsma nahmen gibt dies erstens zu erkennen und zweitens einen Alarm auszul sen so ist das System berhaupt nicht sicher Debian GNU Linux stellt Werkzeuge zur Verf gung die die Analyse von Protokolldateien bernehmen Am beachtens wertesten sind swatch logcheck oder loganalysis alle Pakete werden ein wenig Anpassung ben tigen um un n tige Dinge aus den Berichten zu entfernen Wenn sich das System in Ihrer N he befindet k nnte es n tzlich sein das System
242. in snntpd logger p news info bind 127 0 0 1 Die folgenden Abschnitte gehen detaillierter darauf ein wie bestimmte Dienste abh ngig von der beabsichtigten Benutzung passend konfiguriert werden 5 1 Absichern von ssh Wenn Sie immer noch telnet statt ssh benutzen sollten Sie dieses Handbuch kurz beiseitelegen und dies ndern Ssh sollte anstelle von telnet f r alle Anmeldungen aus der Ferne benutzt werden In einer Zeit in der es leicht ist Internet Verkehr mitzuschn ffeln und an Klartext Passw rter heranzukommen sollten Sie lediglich Protokolle verwenden die Verschl sse lung benutzen Also f hren Sie sofort ein apt get install ssh auf Ihrem System aus Ermuntern Sie alle Benutzer Ihres Systems ssh anstelle von telnet zu benutzen oder noch besser deinstallieren Sie tel net telnetd Zus tzlich sollten Sie es vermeiden sich mit ssh als Root einzuloggen und lieber andere Methoden benutzen um Root zu werden Wie zum Beispiel su oder sudo Schlie lich sollten Sie noch die Datei etc ssh sshd_config f r mehr Sicherheit modifizieren e ListenAddress 192 168 0 1 Lassen Sie ssh nur auf einer bestimmten Schnittstelle lauschen falls Sie mehrere haben und ssh nicht auf allen ver f gbar sein soll oder Sie in Zukunft eine neue Netzwerkkarte einbauen werden und keine ssh Verbindungen auf ihr erlauben wollen Kapitel 5 Absichern von Diensten die auf Ihrem System laufen 68 e PermitRootLogin no Versuchen Sie so wenige
243. ine grep Date Release head 1 line grep Description Release head 1 O Origin origline lablline O Suite suitline codeline O dateline o dscrline S dist Ssuitline a S dist x codeline then echo x WARNING asked for dist got suitline codeline reload dump url dists dist Release gpg gt dev null 2 gt 41 q O Release gpg url dists dist Release gpg status fd 3 Release gpg Release 3 gt amp 1 gt dev null 2 gt amp 1 sed n s GNUPG p if Sgpgcode GOODSIG then if Serr then echo x Signed by err key rest x else echo o Signed by rest x okay 1 fi err elif gpgcode BADSIG then echo BAD SIGNATURE BY S restitx err elif gpgcode ERRSIG then echo COULDN T CHECK SIGNATURE BY KEYID rest x err elif Sgpgcode SIGREVOKED then err err REVOKED elif Sgpgcode SIGEXPIRED then err err EXPIRED fi done if Sokay 1 then echo NO VALID SIGNATURE gt Release fi Scomps do okay 0 err while rez Sty deb then X checkit echo baseurl dists dist comp binary arch Release sed s x _ 9 comp bir Y checkit echo baseurl dists dist comp binary arch Packages sed s x _ 9 comp bi if SX SY OK OK then okaycomps Sokaycomps comp else echo
244. inem USB Stick oder Einmal Passw rtern die mit einer externen Anwendung z B auf einem Mobiltelefon erzeugt wurden Please note that these restrictions apply to all users but not to the password changes done by the root user The root user will be able to set up any password any length or complexity for personal use or others regardless of the restrictions defined here Steuerung des Benutzerzugangs in PAM Um sicher zu stellen dass sich der Benutzer Root nur an lokalen Terminals anmelden kann sollten Sie die folgende Zeile in etc pam d login einf gen auth requisite pam_securetty so Danach sollten Sie die Liste der Terminals in etc securetty ndern auf denen sich Root unmittelbar anmelden darf wie in Einschr nkung der Anmeldem glichkeiten an der Konsole auf Seite 39 beschrieben Alternativ dazu k nnen Sie auch das pam_access Modul aktivieren und etc security access conf bearbeiten Dieses Vorgehen erlaubt eine allgemeinere und feiner abgestimmte Zugangssteuerung leider fehlen aber vern nftige Protokollmeldungen diese sind in PAM nicht standardisiert und sind ein besonders unbefriedigendes Problem Wir werden zu access conf in K rze zur ckkehren The minlen option is not entirely straightforward and is not exactly the number of characters in the password A tradeoff can be defined between complexity and length by adjusting the credit parameters of different character classes For more information read the p
245. iner Firewall unter Debian wird unter Hinzuf gen von Firewall F higkeiten auf Seite 82 ausf hrlich eingegangen 4 18 5 L sung des Problems der Weak End Hosts Auf Systemen mit mehr als einer Schnittstelle zu verschiedenen Netzwerken k nnen Dienste so eingerichtet werden dass sie Verbindungen nur zu einer bestimmten IP Adresse zulassen Normalerweise verhindert das den Zugang zu diesen Diensten wenn an sie Anfragen ber andere Adressen gestellt werden Allerdings bedeutet das nicht dass der Dienst an eine bestimmte Hardware Adresse Netzwerkkarte gebunden ist ein verbreiteter Irrtum Das ist kein Problem von ARP und auch keine Verletzung eines RFCs es wird in RFC1122 ftp tp isi edu in notes rfc1122 txt Abschnitt 3 3 4 2 als weak end host bezeichnet Vergessen Sie nicht dass IP Adressen nichts mit dem physischen Schnittstellen zu tun haben Im Kernel 2 2 und davor konnte dieses Problem so gel st werden echo 1 gt proc sys net ipv4 conf all hidden echo 1 gt proc sys net ipv4 conf eth0 hidden echo 1 gt proc sys net ipv4 conf ethl hidden Bei sp teren Kernel kann das folgenderma en gel st werden e Regeln f r iptables e richtig konfiguriertes Routing 7 oder 31Um das nachzuvollziehen folgendes Beispiel das von Felix von Leitner auf der Bugtraq Mailingliste vorgestellt wurde host a eth0 connected to eth0 of host b ifconfig eth0 10 0 0 1 ifconfig eth1 23 0 0 1 tcpserver RHl localhost 23
246. inetd siehe Abschalten von Inetd oder seinen Diensten auf Seite 31 oder von anderen installierten Paketen ge ffnet werden und leiten Sie passende Ma nahmen ein d h konfigurieren Sie inetd entfernen Sie das Paket verhindern Sie dass der Dienst beim Booten gestartet wird Hilft das L schen von Diensten aus etc services um meinen Rechner abzusichern Nein etc services stellt nur eine Verbindung zwischen virtuellem Namen und Portnummer her Das Entfernen von Namen aus dieser Datei verhindert blicherweise nicht dass ein Dienst gestartet wird Manche Daemonen starten viel leicht nicht wenn etc services ver ndert wurde aber das ist nicht die Norm Um einen Dienst richtig abzuschalten sehen Sie sich Daemons abschalten auf Seite 29 an 12 1 15 Allgemeine Sicherheitsprobleme Ich habe mein Passwort vergessen und kann auf das System nicht mehr zugreifen Die n tigen Schritte um wieder Zugriff erhalten h ngen davon ab ob Sie die vorgeschlagene Prozedur zum Absichern von lilo und BIOS durchgef hrt haben oder nicht Wenn Sie beides eingeschr nkt haben m ssen Sie im BIOS erlauben von anderen Medien als der Festplatte zu booten bevor Sie weitermachen k nnen Wenn Sie auch Ihr BIOS Passwort vergessen haben m ssen Sie Ihr BIOS zur cksetzen Dazu ffnen Sie das PC Geh use und entfernen die BIOS Batterie Sobald Sie das Booten von CD ROM oder Diskette eingeschaltet haben sollten Sie Folgendes ausprobieren e Boot
247. ing This is so that the system administrator can rearrange the links provided that they leave at least one link remaining without having their configuration overwritten Wenn Sie file rc benutzen werden alle Informationen ber das Starten von Diensten durch eine gemeinsame Konfigu rationsdatei verarbeitet und sogar nach der Deinstallation von Paketen beibehalten Sie k nnen das TUI Text User Interface textbasierte Benutzungsoberfl che des Paketes sysv rc conf benutzen um all diese Anderungen einfach zu erledigen sysv rc conf arbeitet sowohl mit file rc als auch mit normalen System V Runleveln Es gibt auch vergleichbare GUIs f r Desktop Systeme Sie k nnen auch die Befehlszeile von sysv rc conf verwenden sysv rc conf foobar off Der Vorteil dieses Werkzeugs ist dass die rc d Links wieder auf den Status zur ckgesetzt werden die sie vor dem Aufruf von off hatten wenn Sie den Dienst wieder aktivieren mit sysv rc conf foobar on Andere weniger empfohlene Methoden zum Abschalten eines Dienstes sind L schen Sie das Skript etc init d service_name und entfernen Sie die Start Links mit update rc d name remove e Benennen Sie die Skriptdatei etc init d Dienst um zum Beispielin etc init d OFF Dienst Da das zu Verweisen f hrt die kein Ziel mehr haben dangling symlinks werden beim Systemstart Fehlermeldungen erzeugt e Entfernen Sie das Ausf hrungsrecht von der Datei etc init d Dienst Auch das wird
248. inux allgemeine Informationen zu Linux Firewalls und Werkzeuge diese zu steuern und zu administrieren Kapitel 2 Bevor Sie beginnen 25 2 3 Wie geht Debian mit der Sicherheit um Um einen allgemeinen berblick ber die Sicherheit unter Debian GNU Linux zu bekommen sollten Sie sich ansehen was Debian unternimmt um ein insgesamt sicheres System bereitzustellen Debians Probleme werden immer ffentlich behandelt sogar wenn sie die Sicherheit betreffen Sicherheitsfragen wer den ffentlich auf der debian security Mailingliste diskutiert Debian Sicherheits Ank ndigungen DSA werden an ffentliche Mailinglisten sowohl intern als auch extern versendet und auf dem ffentlichen Server bekannt gegeben Wie der Debian Gesellschaftsvertrag http www debian org social_contract sagt Wir werden Probleme nicht verbergen Wir werden unsere Fehlerdatenbank immer ffentlich betreiben Fehlermeldungen die von Personen online abgeschickt werden sind augenblicklich f r andere sichtbar Debian verfolgt Sicherheitsangelegenheiten sehr aufmerksam Das Sicherheits Team pr ft viele sicherheitsrelevante Quellen die wichtigste davon Bugtraq http www securityfocus com cgi bin vulns pl wobei es Pa kete mit Sicherheitsproblemen sucht die ein Teil von Debian sein k nnen Sicherheitsaktualisierungen genie en h chste Priorit t Wenn ein Sicherheitsproblem in einem Debian Paket ent deckt wird wird eine Sicherheitsaktualisier
249. iten des betreffenden Systems hinzuweisen die noch nicht ausgebessert wurden d h f r die eine Ausbesserung bevorsteht Sicherheitsbewusste Administratoren k nnen mit diesen Informationen feststellen welche Sicherheitsl cken das System das sie verwalten betreffen k nnten wie schwer das Risiko der L cke wiegt und ob vor bergehend Gegenma nahmen zu treffen sind falls m glich bis ein Patch verf gbar ist der das Problem l st Sicherheitsprobleme in Ver ffentlichungen die vom Sicherheitsteam von Debian unterst tzt werden sollten irgendwann in Debian Sicherheits Ank ndigungen DSA behandelt werden die allen Benutzern zur Verf gung gestellt werden ver gleiche Fortlaufende Aktualisierung des Systems auf der n chsten Seite Sobald ein Sicherheitsproblem ausgebessert wurde und die L sung in einer Ank ndigung enthalten ist wird es nicht mehr im Tracker aufgef hrt Sie k nnen es Kapitel 10 Vor der Kompromittierung 116 aber immer noch mit einer Suchanfrage nach dem CVE Namen finden indem Sie Querverweise f r Debian Sicherheits Ank ndigungen http www de debian org security crossreferences verwenden Beachten Sie aber dass die Informationen im Tracker des Debian Testing Sicherheitsteams nur bekannte Sicherheitsl cken d h solche die ffentlich sind beinhalten In einigen F llen gibt das Debian Sicherheitsteam DSA f r Pakete heraus die auf vertraulichen Informationen beruhen die das Team erhalten hat
250. ity even as root If the user is added to etc sudoers and authenticates correctly the commands defined in etc sudoers get enabled Violations such as incorrect passwords or trying to run a program you don t have permission for are logged and mailed to root 4 11 8 Administrativen Fernzugriff verweigern Sie sollten etc security access conf ebenfalls so ver ndern dass ein Login aus der Ferne in ein administratives Konto nicht erlaubt wird Auf diese Weise m ssen Benutzer das Programm Su oder Sudo aufrufen um Administratoren rechte zu bekommen so dass es immer eine nachpr fbare Spur gibt Sie m ssen die folgende Zeile zu Ihrer etc security access conf hinzuf gen in Debians Standardkonfigurations datei ist ein Beispiel auskommentiert wheel ALL EXCEPT LOCAL Vergessen Sie nicht in etc pam d das pam_access Module f r jeden Dienst oder die Standardkonfiguration anzu schalten wenn Sie wollen dass Ihre nderungen an etc security access conf ber cksichtigt werden 17Der Standardinhalt dieser Datei enth lt Informationen ber das Betriebssystem und dessen Version die Sie m glicherweise unbekannten Benutzern nicht mitteilen m chten Kapitel 4 Nach der Installation 48 4 11 9 Den Benutzerzugang einschr nken Manchmal werden Sie denken dass Sie einen Benutzer auf Ihrem System erstellen m ssen um einen bestimmten Dienst Pop3 E Mail Server oder Ftp anzubieten Bevor Sie dies tun denken Sie zuerst daran
251. ized the information on chroot merged two sections it didn t make much sense to have them separated e Added the notes on chrooting Apache provided by Alexandre Ratti e Applied patches contributed by Guillermo Jover Kapitel 1 Einleitung 13 1 6 29 Version 2 8 November 2002 Changes by Javier Fern ndez Sanguino Pefia me e Applied patches from Carlo Perassi fixes include re wrapping the lines URL fixes and fixed some FIXMEs e Updated the contents of the Debian security team FAQ e Added a link to the Debian security team FAQ and the Debian Developer s reference the duplicated sections might just might be removed in the future e Fixed the hand made auditing section with comments from Michal Zielinski e Added links to wordlists contributed by Carlo Perassi e Fixed some typos still many around e Fixed TDP links as suggested by John Summerfield 1 6 30 Version 2 7 October 2002 Changes by Javier Fern ndez Sanguino Pefia me Note I still have a lot of pending changes in my mailbox which is currently about 5 Mbs in size e Some typo fixes contributed by Tuyen Dinh Bartek Golenko and Daniel K Gebhart e Note regarding dev kmem rootkits contributed by Laurent Bonnaud e Fixed typos and FIXMEs contributed by Carlo Perassi 1 6 31 Version 2 6 September 2002 Changes by Chris Tillman tillman voicetrak com e Changed around to improve grammar spelling e s host deny hosts deny 1 place e Applie
252. kalen Sicherheitsrichtlinie die durchge setzt werden muss Es gibt mehrere Arten dies zu erreichen e If bash is the user shell a system administrator can set a default TMOUT value see bash 1 which will make the shell automatically log off remote idle users Note that it must be set with the o option or users will be able to change or unset it e Installieren Sie Timeoutd und konfigurieren Sie etc timeouts passend zu Ihren lokalen Sicherheitsrichtlinien Der Daemon achtet auf unt tige Benutzer und beendet entsprechend ihre Shells Installieren Sie Autolog und richten Sie es so ein dass es unt tige Benutzer entfernt Vorzugsw rdige Methoden sind die Daemonen Timeoutd oder Autolog da letzten Endes die Benutzer ihre Standardshell ndern k nnen oder zu einer anderen unbeschr nkten Shell wechseln k nnen nachdem sie ihre Standardshell gestartet haben 4 12 Die Nutzung von Icpwrappers STOPP TCP wrappers were developed when there were no real packet filters available and access control was needed Nevertheless they re still very interesting and useful The TCP wrappers allow you to allow or deny a service for a host or a domain and define a default allow or deny rule all performed on the application level If you want more information take a look at hosts_access 5 Viele der unter Debian installierten Dienste e werden entweder durch den TCP Wrapper Service t cpd aufgerufen oder wurden mit Unterst tzung f r libwr
253. l kurz bevor das BIOS seine Arbeit beendet hat und Sie sollten nun einen LILO Prompt erhalten e Geben Sie am Prompt linux single linux init bin sh oder linux 1ein e Sie erhalten einen Shell Prompt im Single User Modus Sie werden nach dem Passwort gefragt aber das kennen Sie jetzt ja e Binden Sie die Root Partition im Schreib Lese Modus neu ein indem Sie den Befehl mount verwenden mount o remount rw e Andern Sie das Superuser Passwort mit passwd da Sie der Superuser sind werden Sie nicht nach dem alten Passwort gefragt 12 1 16 Wie muss ich vorgehen wenn ich meinen Benutzern einen Dienst anbieten m chte ihnen aber keine Shell Konten geben will Wenn Sie zum Beispiel einen POP Dienst anbieten wollen m ssen Sie nicht f r jeden zugreifenden Benutzer ein Kon to anlegen Am besten setzen Sie hierzu eine Authentifizierung die auf Verzeichnisses basiert durch einen exter nen Dienst wie Radius LDAP oder eine SQL Datenbank ein Installieren Sie einfach die gew nschte PAM Bibliothek libpam radius auth libpam 1dap libpam pgsql oder libpam mysq1 lesen Sie die Dokumentation Einsteiger sehen bitte unter Benutzerauthentifizierung PAM auf Seite 42 nach und konfigurieren Sie den PAM nutzenden Dienst so dass er Ihren Backend benutzt Bearbeiten Sie dazu die dem Dienst entsprechenden Dateien unter etc pam d und ndern die folgenden Zeile von auth required pam_unix_auth so shadow nullok use_first_pa
254. l in seiner Lizenz hat Allerdings k nnen Debian Benutzer insofern Vertrauen fassen als dass der stabile Quellcode eine breite Pr fung hinter sich hat Die meisten Probleme w rden dabei durch Benutzung entdeckt Es ist nicht zu empfehlen ungetestete Software auf kritischen Systemen zu installieren wenn Sie nicht die notwendige Code Pr fung vornehmen k nnen In jedem Fall gew hrleistet der Aufnahmeprozess in die Distribution mit digitalen Signaturen dass im Falle von in die Distribution eingeschleusten Sicherheitsproblemen das Problem letztendlich zum Entwickler zur ckgef hrt werden kann Das Debian Projekt hat diese Angelegenheiten nie auf die leichte Schulter genommen 12 1 9 Warum sind einige Protokoll und Konfigurationsdateien f r alle lesbar Ist das nicht unsi cher Nat rlich k nnen Sie die Standardrecht von Debian auf Ihrem System ab ndern Der aktuelle Richtlinie in Bezug auf Protokoll und Konfigurationsdateien besagt dass sie f r alle lesbar sein sollen es sei denn sie enthalten sensible Infor mationen Seien Sie vorsichtig wenn Sie nderungen vornehmen e Prozesse k nnten nicht mehr in der Lage sein in Protokolldateien zu schreiben wenn Sie ihre Rechte einschr nken e Einige Anwendungen k nnten nicht mehr funktionieren wenn sie ihre Konfigurationsdatei nicht mehr lesen k nnen Wenn Sie zum Beispiel das Recht f r alle lesbar zu sein von etc samba smb conf entfernen kann das Programm smbclient nicht f
255. l zur ckgewiesen wer den werden Sie Ihr Problem l sen k nnen da knockd auf der Schnittstelle lauscht und Sie sieht Das Testen einer Firewall die ein internes Netz sch tzt ist eine andere Aufgabe Schauen Sie sich daf r einige Werkzeuge an die es f r entfernte Ausnutzbarkeitsbewertungen gibt siehe Programme zur Fernpr fung der Verwundbarkeit auf Seite 105 um das Netzwerk von au erhalb nach innen oder aus einer beliebig anderen Richtung bez glich der Effektivit t der Firewall Konfiguration zu testen Kapitel 5 Absichern von Diensten die auf Ihrem System laufen 88 89 Kapitel 6 Automatisches Abh rten von Debian Systemen Nachdem Sie nun all die Informationen aus den vorherigen Kapiteln gelesen haben fragen Sie sich vielleicht Ich habe sehr viele Dinge zu erledigen um mein System abzusichern K nnte man das nicht automatisieren Die Antwort lautet Ja aber seien Sie vorsichtig mit automatischen Werkzeugen Manche Leute denken dass ein Absicherungswerkzeug nicht die Notwendigkeit einer guten Systemadministration abschafft T uschen Sie sich also nicht selbst indem Sie denken dass Sie all die Prozesse automatisieren k nnten und sich alle betreffenden Angelegenheiten von selbst erledigen w rden Sicherheit ist ein andauernder Prozess an dem der Administrator teilnehmen muss Er kann nicht einfach wegbleiben und irgendwel che Werkzeuge die Arbeit erledigen lassen weil kein einzelnes Werkzeug die U
256. len dass das Modul pam_unix so die Option sha512 verwendet damit die Passw rter verschl sselt werden In Debian Squeeze ist dies standardm ig eingerichtet Die Zeile mit der Konfiguration des Moduls pam_unix sollte etwa so aussehen password success 1 default ignore pam_unix so nullok obscure minlen 8 sha512 Dieser Ausdruck e erzwingt die Verschl sselung von Passw rtern mit der Hashfunktion SHA 512 wenn sie gespeichert werden Option sha512 e Enables password complexity checks option obscure as defined in the pam_unix 8 manpage e erfordert dass das Passwort mindestens acht Zeichen lang ist Option min Sie m ssen sicherstellen dass in PAM Anwendungen verschl sselte Passw rter verwendet werden weil dies W rterbuch angriffe erschwert Zugleich wird es dadurch m glich Passw rter mit mehr als acht Zeichen einzusetzen Da mit diesem Modul auch definiert wird wie Passw rter ge ndert werden weil es von Chpasswd eingebunden wird k n nen Sie die Passwortsicherheit Ihres Systems erh hen indem sie 1ibpam cracklib installieren und folgenden Ausdruck in die Konfigurationsdatei etc pam d common password eintragen Gehen Sie sicher dass Sie libpam cracklib zuerst installiert haben sonst werden Sie sich nicht einloggen k nnen password required pam_cracklib so retry 3 minlen 12 difok 3 password success 1 default ignore pam_unix so obscure minlen 8 sha512 use_authok So what does this incantation do Th
257. len mal einen Blick auf die anderen Web Server aus Debian werfen zum Beispiel dhttpd Die Apache Documentation http httpd apache org docs misc security_tips htm1 stellt viele Informa tionen zu Sicherheitsma nahmen die Sie auf einem Apache Web Server anwenden k nnen bereit die gleichen Informa tionen erhalten Sie unter Debian auch durch das Paket apache doc Mehr Informationen zu weiteren Restriktionen von Apache durch Einrichten chroot Gef ngnisses wird in Chroot Umgebung f r Apache auf Seite 169 bereitgestellt 5 8 1 Verhindern dass Benutzer Web Inhalte ver ffentlichen Die Standard Apache Installation in Debian erlaubt Benutzern Inhalt unter HOME public_html bereitzustellen Dieser Inhalt kann aus der Ferne mit einer URL wie http Ihr_Apache_Server benutzer abgegriffen werden Wenn Sie dies nicht erlauben wollen m ssen Sie in der Konfigurationsdatei etc apache http conf von Apache 1 3 folgendes Module auskommentieren LoadModule userdir_module usr lib apache 1 3 mod_userdir so Wenn Sie Apache 2 0 verwenden m ssen Sie die Datei etc apache2 mods enabled userdir load entfernen oder die Standardkonfiguration einschr nken indem Sie etc apache2 mods enabled userdir conf bearbeiten Falls allerdings das Modul statisch verlinkt wurde Sie k nnen die Module die einkompiliert wurden mittels apache 1 berpr fen m ssen Sie das Folgende der Konfigurationsdatei von Apache hinzuf gen Userdir disa
258. lhost Wenn Sie lediglich lokale Mails wollen ist dieses Herangehen besser als den Mailer Daemon in einen tcp Wrapper zu h l len oder Firewall Regeln einzuf gen die den Zugang f r alle limitieren Wenn Sie jedoch auch auf andere Schnittstellen reagieren m ssen sollten Sie berlegen ihn vom inetd aufrufen zu lassen und einen tcp Wrapper einzusetzen so dass ein gehende Verbindungen gegen etc hosts allow und etc hosts deny gepr ft werden Au erdem werden Sie vor unautorisierten Zugriffsversuchen gegen Ihren Mail Daemon durch angemessenes Protokollieren gewarnt werden wollen In jedem Fall k nnen Sie Mail Zustellversuche auf dem SMTP Level ablehnen indem Sie die etc exim exim conf ab ndern damit Sie Folgendes enth lt receiver_verify true Auch wenn Ihr Mail Server keine Mails zustellen wird ist diese Konfiguration f r den Relay Tester auf http www abuse net relay html n tig um festzustellen dass Ihr Server nicht relaisf hig ist Wenn Sie Mails nur weiterleiten m chten k nnen Sie in Erw gung ziehen den Mail Daemon durch Programme zu erset zen die nur zum Weiterleiten der Mail zu einem entfernten Mail Server konfiguriert werden k nnen Debian stellt zurzeit ssmtp und nullmailer f r diese Zwecke zur Verf gung Auf jeden Fall k nnen Sie f r sich selbst alle von Debian ange botenen Mail Transport Agents testen und sehen welcher davon am besten auf Ihr System zugeschnitten ist 5 6 2 Anbieten eines sicheren Zuga
259. likt zwischen diesem Patch und den Patches besteht die schon im Quellpaket des Kernels 2 4 von Debian enthalten sind Sie werden den Vanilla Kernel verwenden m ssen Dazu f hren Sie folgende Schritte durch apt get install kernel source 2 4 22 kernel patch debian 2 4 22 tar xjf usr src kernel source 2 4 22 tar bz2 cd kernel source 2 4 22 usr src kernel patches al1 2 4 22 unpatch debian F r weitere Informationen siehe 194225 http bugs debian org 194225 199519 http bugs debian org 199519 206458 http bugs debian org 206458 203759 http bugs debian org 203759 204424 http bugs debian org 204424 210762 http bugs debian org 210762 211213 http bugs debian org 211213 und die Diskussion auf debian devel http lists debian org debian devel 2003 debian devel 200309 msg01133 html Kapitel 4 Nach der Installation 57 4 15 Schutz vor Puffer berl ufen Puffer berlauf buffer overflow wird eine verbreitete Art von Angriffen auf Software genannt welche die unzureichende berpr fung von Eingabegrenzen ausnutzen ein Programmierfehler der h ufig bei der Programmiersprache C auftritt um durch Programmeingaben Befehle auf der Maschine auszuf hren Diese Attacken ber Server die auf Verbindungen warten oder ber lokal installierte Software die einem Benutzer gr ere Privilegien gew hrt setuid oder setgid kann zu einem kompromittierten System f hren Es gibt haupts chlich vier Met
260. ll Required Start Slocal_fs Required Stop local_fs Default Start S Default Stop 06 X Start Before Snetwork X Stop After Snetwork Short Description My custom firewall END INIT INFO Simple example firewall configuration Caveats This configuration applies to all network interfaces if you want to restrict this to only a given interface use i INTERFACE in the iptables calls Remote access for TCP UDP services is granted to any host you probably will want to restrict this using source chkconfig 2345 9 91 description Activates Deactivates the firewall at boot time You can test this script before applying with the following shell snippet if you do not type anything in 10 seconds the firewall rules will be cleared while true do test read t 20 p OK test z Stest amp amp etc init d myfirewall clear done H PATH bin sbin usr bin usr sbin Services that the system will offer to the network TCP_SERVICES 22 SSH only UDP_SERVICES Services the system will use from the network REMOTE_TCP_SERVICES 80 web browsing REMOTE_UDP_SERVICES 53 DNS Network that will be used for remote mgmt if undefined no rules will be setup NETWORK_MGMT 192 168 0 0 24 If you want to setup a management network i e you ve uncommented the above line you will need to define the SSH port
261. ll paragraph regarding Debian s SSL certificates infrastructure Added Daniel Quinlan s suggestions regarding ssh authentication and exim s relay configuration Added more information regarding securing bind including changes suggested by Daniel Quinlan and an appendix with a script to make some of the changes commented on in that section Added a pointer to another item regarding Bind chrooting needs to be merged Added a one liner contributed by Cristian Ionescu Idbohrn to retrieve packages with tcpwrappers support Added a little bit more info on Debian s default PAM setup Included a FAQ question about using PAM to provide services without shell accounts Moved two FAQ items to another section and added a new FAQ regarding attack detection and compromised sys tems Included information on how to set up a bridge firewall including a sample Appendix Thanks to Francois Bayart who sent this to me in March Added a FAQ regarding the syslogd s MARK heartbeat from a question answered by Noah Meyerhans and Alain Tesio in December 2001 Included information on buffer overflow protection as well as some information on kernel patches Added more information and reorganized the firewall section Updated the information regarding the iptables package and the firewall generators available Reorganized the information regarding log checking moved logcheck information from host intrusion detection to that section Added some in
262. lle diese Pakete k nnen dazu benutzt werden um Schurkenprogramme wie z B Hintert ren zu analysieren um her auszufinden wie sie arbeiten und was sie mit dem System anstellen Einige andere gebr uchliche Werkzeuge sind 1dd in libc6 strings und objdump beide in binutils Wenn Sie eine forensische Analyse von Hintert ren oder verd chtigen Programmen durchf hren die Sie von gehackten Systemen haben sollten Sie dies in einer sicheren Umgebung durchf hren z B in einem bochs oder xen Image oder in einer chroot Umgebung eines Benutzers mit geringen Rechten Andernfalls k nnte auch auf Ihrem eigenen System eine Hintert r eingerichtet oder Root Rechte erlangt werden Falls Sie an der Analyse von Schadprogrammen interessiert sind sollten Sie das Kapitel Malware Analysis Basics http www porcupine org forensics forensic discovery chapter6 html aus dem Forensik Buch von Dan Far mer und Wietse Venema lesen 4Seien Sie u erst vorsichtig wenn sie Chroots einsetzen wollen da das Binary durch Ausnutzung eines Kernel Exploits seine Rechte erweitern und es ihm dar ber gelingen k nnte Ihr System zu infizieren Kapitel 11 Nach einer Kompromittierung Reaktion auf einem Vorfall 128 129 Kapitel 12 H ufig gestellte Fragen Frequently asked Questions FAQ Dieses Kapitel f hrt Sie in ein paar der am h ufigsten gestellten Fragen in der Security Mailingliste von Debian ein Sie sollten sie lesen bevor Sie dort
263. lte ein derartig paranoider Administrator seine Benutzer in eine Chroot Umgebung einsperren Wenn Sie einem Benutzer Zugriff auf das System mit einer Shell gew hren m ssen sollten Sie vorsichtig sein Ein Benut zer kann normalerweise wenn er sich nicht in einer streng abgeschirmten Umgebung befindet z B in einem Chroot Gef ngnis ziemlich viel Informationen ber Ihr System sammeln Darunter fallen e Einige Konfigurationsdateien unter etc Jedoch werden Debians Standardrechte f r sensible Dateien die zum Bei spiel Passw rter enthalten k nnten den Zugriff auf kritische Informationen verhindern Um zu sehen auf welche Dateien nur der Root Benutzer zugreifen kann f hren Sie zum Beispiel find etc type f a perm 600 a uid 0 als Superuser aus e Ihre installierten Pakete Indem entweder die Paketdatenbank und das Verzeichnis usr share doc angesehen wird oder indem versucht wird dies durch Anschauen der auf Ihrem System installierten Programme und Bibliothe ken zu raten e Einige Protokolle unter var 1og Beachten Sie dass auf einige Protokolle nur Root und die adm Gruppe zugrei fen kann versuchen Sie find var log type f a perm 640 Manche sind sogar ausschlie lich f r Root verf gbar sehen Sie sich find var log type f a perm 600 a uid 0an 2 As defined in etc adduser conf USERGROUPS yes You can change this behaviour if you set this value to no although it is not recommended Kapitel 4 N
264. mandozeile und von Umge bungsvariablen durchtestet bereit Andere interessante Pakete sind auch rats pscan flawfinder und splint 4 16 Sichere bertragung von Dateien W hrend der normalen Systemadministration m ssen Sie immer mal wieder Dateien auf Ihr System spielen oder von diesem holen Auf sichere Art und Weise Dateien von einem Host zu einem anderen zu kopieren wird durch die Benutzung des Paketes ssh erreicht Eine andere M glichkeit ist die Nutzung von ftpd ss1 einem ftp Server der Secure Socket Layer benutzt um bertragungen zu verschl sseln 28Sie sind in der Tat so verbreitet dass sie die Grundlage f r 20 aller gemeldeten Sicherheitsm ngel pro Jahr darstellen wie von statistics from ICAT s vulnerability database http icat nist gov icat cfm function statistics herausgefunden wurde Kapitel 4 Nach der Installation 58 Jede dieser Methoden ben tigt nat rlich einen speziellen Client Debian stellt Ihnen solche zur Verf gung zum Beispiel enth lt das Paket ssh das Programm scp Es arbeitet wie rcp aber ist komplett verschl sselt so dass die b sen Jungs noch nicht einmal herausbekommen k nnen WAS Sie kopieren Passend zu dem Server gibt es auch ein ftp ss1 Client Paket Sie k nnen Clients f r diese Software sogar f r andere nicht UNIXoide Betriebssysteme finden putty und winscp stellen eine secure copy Implementierung f r jede Version von Microsoft Betriebssystemen zur Verf gung Beachten Sie da
265. me von Packages gz welche die MD5 Summen der Pakete enth lt und wird signiert Die Signatur stammt aus einer vertrauensw rdigen Quelle e Diese signierte Release Datei wird beim apt get update herunter geladen und zusammen mit Packages gz ge speichert e Wenn ein Paket installiert werden soll wird es zuerst herunter geladen und dann wird die MD5 Summe erstellt e Die signierte Release Datei wird berpr ft ob die Signatur in Ordnung ist und die MD5 Summe der Packages gz Datei extrahiert Die MD5 Summe der Packages gz Datei wird erstellt und gepr ft und wenn sie bereinstimmt wird die MD5 Summe des heruntergeladenen Paketes aus ihr extrahiert e Wenn die MD5 Summe des heruntergeladenen Paketes die gleiche ist wie in der Packages gz Datei wird das Paket installiert Andernfalls wird der Administrator alarmiert und das Paket wird im Zwischenspeicher gehalten so dass der Administrator entscheiden kann ob es installiert werden soll oder nicht Wenn das Paket nicht in Packages gz enthalten ist und der Administrator das System so konfiguriert hat dass nur gepr fte Pakete installiert werden k n nen wird das Paket ebenfalls nicht installiert SEinige Betriebssysteme wurden schon von Problemen mit automatischen Aktualisierungen heimgesucht wie z B die Mac OS X Software Update Verwundbarkeit http www cunap com hardingr projects osx exploit html FIXME probably the Internet Explorer vulnerability hand ling cer
266. mpromittieren und manchmal wird er in dieser Situation aufgeben und sich ein leichteres Ziel suchen Wenn Sie also auf einem produktivem System Werkzeuge lassen die benutzt werden k nnen um andere Systeme anzugreifen siehe Programme zur Fernpr fung der Verwundbarkeit auf Seite 105 m ssen Sie davon ausgehen dass ein Angreifer sie auch benutzen wird 6Unter Debian Woody ist das Basis System etwa 400 500MB gro Probieren Sie Folgendes size 0 for iin grep A 1 B 1 Section base var lib dpkg available grep A 2 Priority requiredgrep Alnstalled Sizecut d f 2 do size S size i done echo size 47762 H ufig werden fremde Systeme nur deshalb gehackt weil sie zu weiteren illegitimen Aktivit ten benutzt werden sollen DoS Angriffe Spam gehei me FTP Server DNS Schweinereien Der Angreifer m chte meist gar nicht an die vertraulichen Daten auf dem kompromittierten System herankom men Kapitel 3 Vor und w hrend der Installation 32 Beachten Sie bitte dass eine Standardinstallation von Debian Sarge d h eine Installation bei der nicht individuell Pakete ausgew hlt werden eine Reihe von Paketen zur Softwareentwicklung installiert die normalerweise nicht ben tigt wer den Das liegt daran dass einige Pakete zur Softwareentwicklung die Priorit t Standard haben Wenn Sie keine Software entwickeln k nnen Sie ohne Bedenken die folgenden Pakete von Ihrem System entfernen was nebenbei auch etw
267. msetzung aller Sicherheitsrichtlinien aller Angriffe oder aller Umgebungen bew ltigen kann Seit Woody Debian 3 0 gibt es zwei unterschiedliche Pakete die zur Erh hung der Sicherheit n tzlich sind Das Paket harden versucht auf Basis der Paket Abh ngigkeiten schnell wertvolle Sicherheitspakete zu installieren und Pakete mit M ngeln zu entfernen Die Konfiguration der Pakete muss der Administrator erledigen Das Paket bastille implemen tiert gegebene Sicherheitsregeln f r das lokale System die auf einer vorhergehenden Konfiguration durch den Administra tor basieren Sie k nnen auch mit einfachen Ja Nein Fragen durch die Konfiguration gef hrt werden 6 1 Harden Das Paket harden versucht es einfacher zu machen Rechner die gute Sicherheit ben tigen zu installieren und zu admi nistrieren Dieses Paket sollte von Leuten benutzt werden die eine schnelle Hilfe bei der Erh hung der Systemsicherheit haben wollen Es installiert automatisch einige Werkzeuge die die Sicherheit auf unterschiedliche Art und Weise erh hen Werkzeuge zur Eindringlingserkennung Werkzeuge zur Sicherheitsanalyse und mehr harden installiert die folgenden virtuellen Pakete d h sie enthalten nichts h ngen aber von anderen Paketen ab oder empfehlen diese e harden tools Werkzeuge welche die Sicherheit des Systems erh hen Integrit tspr fung Eindringlingserken nung Kernel Patches e harden environment hilft eine abgesicherte Umgebung zu konfigur
268. mzugehen CVE versetzt uns in die Lage standardisierte Verweise anzubieten die es Benutzern erm glicht einen Prozess zur Verwaltung der Sicherheit auf Grundlage von CVE http www cve mitre org compatible enterprise html zu entwickeln Das Projekt Common Vulnerabilities and Exposures CVE http cve mitre org wird von der MITRE Corporation betreut und stellt eine Liste von standardisierten Bezeichnungen f r Verwundbarkeiten und Sicherheitsl cken zur Verf gung Debian ist berzeugt dass es au erordentlich wichtig ist die Benutzer mit zus tzlichen Informationen im Zusammenhang mit Sicherheitsproblemen welche die Debian Distribution betreffen zu versorgen Indem CVE Bezeichnungen in den An k ndigungen enthalten sind k nnen Benutzer leichter allgemeine Verwundbarkeiten mit bestimmten Aktualisierungen von Debian in Verbindung bringen Dies verringert die Zeit die ben tigt wird um Verwundbarkeiten die unsere Benutzer betreffen abzuarbeiten Au erdem vereinfacht es die Organisation der Sicherheit in einer Umgebung in der schon Sicher heitswerkzeuge die CVE verwenden wie Erkennungssysteme von Eindringlingen in Netzwerk oder Host oder Werkzeuge zur Bewertung der Sicherheit eingesetzt werden unabh ngig davon ob sie auf der Debian Distribution beruhen bersetzungen sind in bis zu zehn verschiedenen Sprachen verf gbar Der vollst ndige Fragebogen zur Kompatibilit t http cve mitre org compatible phase2 SPI_Debian h
269. n In einem traceroute ist sie versteckt und Sie behalten Ihr echtes Gateway auf Ihren anderen Computern Jetzt k nnen Sie ein Gateway auf Ihrer Bridge konfigurieren und es auf Ihren anderen Computern als neues Gateway einsetzen SE de SE de e te sbin ifconfig br0 62 3 3 26 netmask 255 255 255 248 broadcast 62 3 3 31 Ich habe diese internen IPs f r mein NAT benutzt ip addr add 192 168 0 1 24 dev br sbin route add default gw 62 3 3 25 D 2 Eine Bridge mit Firewall Fahigkeiten Eine zweite denkbare Konfiguration ist ein System das als transparente Firewall f r ein LAN mit einer ffentlichen IP Adresse aufgesetzt ist Internet Router 62 3 3 25 Bridge 62 3 3 26 WWW Server 62 3 3 28 gw 62 3 3 25 Mail Server 62 3 3 27 gw 62 3 3 25 Die folgenden Befehle zeigen wie diese Bridge konfiguriert werden kann Erstellen der Schnittstelle br0 usr sbin brctl addbr br0 Hinzuf gen der Ethernet Schnittstelle welche die Bridge benutzen soll usr sbin bretl addif br0 eth0 usr sbin bretl addif br0 ethl Starten der Ethernet Schnittstelle sbin ifconfig eth0 0 0 0 0 sbin ifconfig ethl 0 0 0 0 Konfigurieren der Ethernet Bridge Die Bridge wird korrekt und unsichtbar transparente Firewall sein In einem traceroute ist sie versteckt und Sie behalten Ihr echtes Gateway auf Ihren anderen Computern Jetzt k nnen Sie ein Gateway auf Ihrer Bridge konfigurieren und es auf Ihren anderen C
270. n etc mit tar oder dergleichen erstellen und das Archiv als unver nderbar kennzeichnen Mit dieser Vorgehensweise k nnen Sie den Schaden zu begrenzen den Sie anrichten k nnen wenn Sie als Root ein geloggt sind Sie k nnen nicht mehr Dateien mit einer fehlgeleiteten Umleitung berschreiben oder Ihr System durch ein fehlplatziertes Leerzeichen im Kommando rm fr unbenutzbar machen Sie k nnen aber Ihren Daten immer noch einigen Schaden zuf gen aber Ihre Bibliotheken und Programme sind sicherer Dies macht auch verschiedene Sicherheits und Denial of Service DoS Exploits entweder unm glich oder weitaus schwieriger da viele von ihnen darauf beruhen Dateien durch Aktionen eines SETUID Programms zu berschreiben das keinen frei w hlbaren Shellbefehl zur Verf gung stellt Eine Unbequemlichkeit dieser Vorgehensweise macht sich bemerkbar wenn Sie verschiedene Systemprogramme bau en und installieren Auf der anderen Seite verhindert dies auch dass make install die Dateien berschreibt Wenn Sie vergessen das Makefile zu lesen und die Dateien die berschrieben werden sollen mit chattr i behandelt haben und die Verzeichnisse in denen Sie neue Dateien erstellen wollen schl gt der make Befehl fehl Sie m ssen nur das Kommando chattr ausf hren und make neu aufrufen Sie k nnen diese Gelegenheit gleich dazu benutzen Ihre alten bin s und libs auszumisten und sie z B in ein old Verzeichnis oder Tar Archiv zu verschieben Be
271. n Systems durch einen zentralen syslog Server zentralisiert werden kann so kann auch Mail zu einem zentralen Mail Server gesandt werden Solch ein nur sendendes System sollte sorgf ltig daf r eingerichtet werden Der Daemon kann ebenso konfiguriert werden nur an der Loopback Adresse zu lauschen Die folgenden Konfigurationsschritte m ssen nur zur Konfiguration des exim Pakets in der Debian 3 0 Version vorgenom men werden Wenn Sie eine neuere Version verwenden wie z B 3 1 das exim4 verwendet so wurde das Installationssys tem verbessert so dass wenn der Mail Transport Agent konfiguriert wurde nur lokale Mails zu versenden es automatisch nur Verbindungen vom lokalen Rechner und keine Verbindungen aus der Ferne zul sst In einem Debian 3 0 System mit exim muss man den SMTP Daemon aus inetd wie folgt entfernen update inetd disable smtp und den Mail Daemon so konfigurieren dass er nur auf der loopback Schnittstelle lauscht In exim dem Standard Mail Transport Agent MTA unter Debian tun Sie dies indem Sie in der Datei etc exim conf folgende Zeile hinzuf gen local_interfaces 127 0 0 1 Starten Sie beide Daemonen neu inetd und exim und exim wird lediglich auf den Socket 127 0 0 1 25 lauschen Seien Sie vorsichtig und deaktivieren Sie erst inetd oder exim wird nicht neu starten da der inetd Daemon bereits eingehende Verbindungen behandelt Bei post fix editieren Sie etc postfix main conf inet_interfaces loca
272. n beispielsweise Apache Benutzer regelm ig Apa ches Auflistung von Sicherheitsliicken http httpd apache org security_report html durchsehen und die Mailingliste Ank ndigungen f r den Apache Server http httpd apache org lists html http announce abonnieren Um bekannte Sicherheitsl cken die die Debian Distribution betreffen zu verfolgen bietet das Testing Security Team von Debian einen Sicherheitstracker http security tracker debian net an Dieser f hrt alle bekannten Sicherheitsl cken auf die in Paketen von Debian noch nicht ausgebessert wurden Die Informationen im Tracker stammen aus ffentlich zug nglichen Quellen Dazu z hlen Datenbanken ber Sicherheitsl cken und die Fehlerdatenbank von Debian http www debian org Bugs Administratoren k nnen nach bekannten Si cherheitsm ngeln f r Stable http security tracker debian net tracker status release stable Oldstable http security tracker debian net tracker status release oldstable Testing http security tracker debian net tracker status release testing oder Unstable http security tracker debian net tracker status release unstable suchen Der Tracker kann mittels einer Benutzerschnittstelle durchsucht werden nach CVE http cve mitre org Namen und dem Paketnamen Einige Werkzeuge wie zum Beispiel debsecan vgl Automatisches berpr fung von Aktuali sierungen mit debsecan auf Seite 117 setzen diese Datenbank ein um auf Verwundbarke
273. n chroot Gef ngnis mit kurzen Konfigurationsdateien erzeugen und aktualisieren Es bietet Bei spielskonfigurationsdateien f r bind apache postgresql und mysql Es versucht alle Dateien die vom Daemon ben tigt werden mittels strace stat und Debians Paketabh ngigkeiten zu bestimmen und in das Gef ngnis zu installieren Weitere Information gibt es unter http www floc net makejail Jailer ist ein hnliches Werkzeug und kann von http www balabit hu downloads jailer heruntergeladen werden und ist auch als Debian Paket verf g bar 5 11 Allgemeine Klartextpasswort Paranoia Sie sollten versuchen jeden Netzwerk Dienst der seine Passw rter als Klartext ber das Netz sendet oder empf ngt wie zum Beispiel FTP Telnet NIS RPC zu vermeiden Der Autor empfiehlt jedem ssh anstelle von telnet und ftp zu verwen den Vergessen Sie jedoch nicht dass die Migration von telnet zu ssh die Sicherheit in keiner Weise erh ht wenn Sie weiterhin Klartext Protokolle verwenden Am besten w re es ftp telnet pop imap und http zu entfernen und durch ihre entspre chenden verschl sselten Dienste zu ersetzen Sie sollten in Erw gung ziehen von diesen Diensten zu deren SSL Versionen zu wechseln ftp ssl telnet ssl pop ssl https Die meisten der oben aufgelisteten Tipps gelten f r jedes Unix System Sie werden sie in jedem anderen sicherheitsrelevan ten Dokument das Sie jemals lesen wiederfinden wenn es sich auf Linux und andere Unices
274. n ein bootbares ISO Image und brennen Sie es auf eine CD ROM Jetzt haben Sie eine nur lesbare Distribution mit etwa 600 MB Speicherplatz f r Dienste Stellen Sie lediglich sicher dass alle Daten die geschrieben werden sollen bers Netz geschrieben werden F r einen Eindringling ist es unm glich Schreibzugriff auf diesem System zu erhalten Alle nderungen die ein Eindringling vornimmt werden mit einem Neustart des Systems r ckg ngig gemacht 5Es gibt ber 28 F higkeiten einschlie lich CAP_BSET CAP_CHOWN CAP_FOWNER CAP_FSETID CAP_FS_MASK CAP_FULL_SET CAP_INIT_EFF_SET CAP_INIT_INH_SET CAP_IPC_LOCK CAP_IPC_OWNER CAP_KILL CAP_LEASE CAP_LINUX_IMMUTABLE CAP_MKNOD CAP_NET_ADMIN CAP_NET_BIND_SERVICE CAP_NET_RAW CAP_SETGID CAP_SETPCAP CAP_SETUID CAP_SYS_ADMIN CAP_SYS_BOOT CAP_SYS_CHROOT CAP_SYS_MODULE CAP_SYS_NICE CAP_SYS_PACCT CAP_SYS_PTRACE CAP_SYS_RAWIO CAP_SYS_RESOURCE CAP_SYS_TIME und CAP_SYS_TTY_CONFIG Alle k nnen deaktiviert werden um Ihren Kernel abzuh rten 6Um dies tun zu k nnen m ssen Sie nicht 1cap installieren aber damit ist es einfacher als von Hand proc sys kernel cap bound anzupassen Kapitel 10 Vor der Kompromittierung 123 e Schalten Sie die Modul F higkeiten des Kernels ab Wenn Sie die Nutzung von Kernel Modulen w hrend der Kernel Kompilierung abschalten werden viele kernelbasierte Hintert ren nicht einsetzbar da die meisten von ihnen darauf beruhen modifizierte Kernel Module
275. n folgende Zeilen ihrer etc apt sources list anstatt der Zeilen die unter Ausf hren von Sicherheitsaktualisierungen auf Seite 35 dargestellt wurden hinzuf gen deb http security debian org testing updates main contrib non free Diese Zeile macht es m glich auch Quellpakete herunterzuladen deb src http security debian org testing updates main contrib non free Kapitel 10 Vor der Kompromittierung 119 F r weitere Informationen zu diesem Angebot k nnen Sie die entsprechende Ank ndigung http lists debian org debian devel announce 2006 05 msg00006 html lesen Dieses Angebot startete offiziell im September 2005 http lists debian org debian devel announce 2005 09 msg00006 html als zus tzliches Paketdepot und wurde sp ter in das allgemeine Sicherheitsarchiv integriert 10 1 5 Automatische Aktualisierungen in einem Debian GNU Linux System Es sei vorweggeschickt dass automatische Aktualisierungen nicht vollst ndig empfohlen werden da Administratoren die DSAs durchsehen und die Bedeutung einer bestimmten Sicherheitsaktualisierung verstehen sollten Wenn Sie Ihr System automatisch aktualisieren wollen sollten Sie Folgendes durchf hren e Configure apt so that those packages that you do not want to update stay at their current version either with apt s pinning feature or marking them as hold with apt itude or dpkg To pin the packages under a given release you must edit etc apt preferences see apt_preferences
276. nden zu k nnen m ssen Sie es zuerst unter z B etc network interface secure der Name ist nur ein Beispiel erstellen und es wie folgt aus etc network interfaces aufrufen auto eth0 iface eth0 inet static address XXX XXX XXX XXX netmask 255 255 255 xxx broadcast XXX XXX XXX XXX gateway XXX XXX XXX XXX pre up etc network interface secure In diesem Beispiel wird das Skript aufgerufen um alle Netzwerkschnittstellen abzusichern wie unten gezeigt wird bevor die Schnittstelle eth0 aktiviert wird bin sh e Skriptname etc network interface secure Ver ndert das Standardverhalten f r alle Schnittstellen in einigen Bereichen um vor TCP IP Spoofing und Angriffen zu sch tzen Wurde von Dariusz Puchalak beigesteuert echo gt proc sys net ipv4 icmp_echo_ignore_broadcasts Broadcast echo protection enabled echo 0 gt proc sys net ipv4 conf all forwarding IP forwarding disabled echo gt proc sys net ipv4 tcp_syncookies TCP syn cookies protection enabled echo gt proc sys net ipv4 conf all log_martians Log strange packets this includes spoofed packets source routed packets redirect packets but be careful with this on heavy loaded web servers echo gt proc sys net ipv4 icmp_ignore_bogus_error_responses Bad error message protection enabled IP spoofing protection echo gt proc sys net ipv4 conf all rp_filter Disable ICMP redirect acceptance echo 0 gt proc sy
277. ndhabung von sicherheitsrelevanten Fehlern http www debian org doc manuals developers reference pkgs html bug security nachsehen 7 5 Paketsignierung in Debian Dieser Abschnitt k nnte auch mit Wie man sein Debian GNU Linux System sicher upgraded aktualisiert berschrieben werden Es verdient haupts chlich deshalb einen eigenen Abschnitt weil es einen wichtigen Teil der Infrastruktur der Sicherheit darstellt Die Signierung von Paketen ist ein wichtiges Thema da es die Manipulation von Paketen in Spiegel und von heruntergeladenen Dateien durch Man in the Middle Angriffen verhindert Die automatische Aktualisierung von Software ist eine wichtige F higkeit aber es ist auch wichtig Gefahren f r die Sicherheit zu entfernen die die Verbreitung von Trojanern und den Einbruch ins System w hrend der Aktualisierung f rdern k nnen Debian stellt keine signierten Pakete zur Verf gung Es gibt aber seit Debian 4 0 Codename Etch eine Verfahrensweise mit der die Integrit t von heruntergeladenen Paketen berpr ft werden kann Weiterf hrende Hinweise k nnen Sie unter Secure Apt auf der n chsten Seite finden Dieses Problem wird besser im Strong Distribution Howto http www cryptnet net fdp crypto strong_ distro html von V Alex Brennen beschrieben 7 5 1 Die aktuelle Methode zur Pr fung von Paketsignaturen Die aktuelle Methode zur Pr fung von Paketsignaturen mit apt ist e Die Release Datei enth lt die MD5 Sum
278. ndungen verstecken ohne den Quellcode der Programme ver ndern zu m ssen Zum Bei spiel kann ein b sartiges LKM den Kernel dazu zwingen bestimmte Prozesses vor procfs zu verstecken so dass nicht einmal eine unmanipulierte Kopie des Programms ps alle Informationen ber die aktuellen Prozesse korrekt auflisten 10 4 2 Erkennen von Root Kits Es gibt zwei Herangehensweisen um Ihr System gegen LKM Root Kits zu verteidigen die aktive Verteidigung und die reaktive Verteidigung Die Sucharbeit kann einfach und schmerzlos sein oder schwierig und erm dend ganz abh ngig von der Ma nahme die Sie ergreifen Kapitel 10 Vor der Kompromittierung 122 Proaktive Verteidigung Der Vorteil dieser Art der Verteidigung ist dass schon verhindert wird dass das System Schaden nimmt Eine m gliche Strategie ist das Ziel als Erster zu erreichen also ein LKM zu laden das dazu da ist das System vor anderen b swilligen LKMs zu sch tzen Eine andere Ma nahme ist es dem Kernel F higkeiten zu entziehen Zum Beispiel k nnen Sie aus dem Kernel vollst ndig die F higkeit von ladbaren Kernel Modulen entfernen Beachten Sie allerdings dass es Root Kits gibt die selbst in diesen F llen funktionieren Es gibt auch welche die direkt dev kmem Kernelspeicher manipulieren um sich zu verstecken Debian GNU Linux hat ein paar Pakete die dazu verwendet werden k nnen eine aktive Verteidigung aufzusetzen e lcap eine benutzerfreundliche Schnittstelle
279. nell einen sicheren Tunnel aufzusetzen Das Point to Point Tunneling Protocol PPTP ist ein urheberrechtlich gesch tztes Protokoll von Microsoft f r VPN Es wird unter Linux unterst tzt aber es sind einige schwere Sicherheitspro bleme bekannt F r weitere Informationen ber IPsec und PPTP lesen Sie bitte das VPN Masquerade HOWTO http www tldp org HOWTO VPN Masquerade HOWTO html ber PPP ber SSH das VPN HOWTO http www tldp org HOWTO VPN HOWTO html das Cipe Mini HOWTO http www tldp org HOWTO mini Cipe Masq html und das PPP und SSH Mini HOWTO http www tldp org HOWTO mini ppp ssh index html Es kann sich auch lohnen sich Yavipin http yavipin sourceforge net anzusehen Allerdings scheinen noch keine Pakete f r Debian verf gbar zu sein 8 5 1 Point to Point Tunneling Wenn Sie einen tunnelnden Server f r eine gemischte Umgebung sowohl Microsofts Betriebssystem als auch Linux Clients zur Verf gung stellen wollen und IPsec keine M glichkeit ist da es nur in Windows 2000 und Windows XP enthalten ist k nnen Sie PoPToP Point to Point Tunneling Server verwenden Er wird vom Paket ppt pd bereitgestellt Wenn Sie Microsofts Authentifikation und Verschl sselung mit dem Server verwenden wollen die im Paket ppp enthalten sind sollten Sie Folgendes aus der FAQ beachten Sie m ssen nur dann PPP 2 3 8 einsetzen wenn Sie zu Microsoft kompatible MSCHAPv2 MPPE Authentifikation und Verschl sselung haben wc
280. nen sehr leicht eine Debian Box als eigenst ndiges Eindringlings Erkennungs System Intrusion Detection System IDS aufsetzen indem Sie snort benutzen und eine webbasierte Schnittstelle zur berwachung der Alarme ber Eindring linge einrichten Installieren Sie ein Debian Basis System ohne zus tzliche Pakete e Installieren Sie eine Version von Snort die Datenbanken unterst tzt und richten Sie Snort so ein dass die Alarme in der Datenbank protokolliert werden e Laden Sie BASE Basic Analysis and Security Engine oder ACID Analysis Console for Intrusion Databases Konso le zur Analyse f r Eindringling Datenbanken herunter und installieren Sie es Konfigurieren Sie es so dass es die gleiche Datenbank wie Snort verwendet e Installieren Sie die notwendigen Pakete BASE wird derzeit f r Debian im Paket acidbase geliefert ACID im Paket acidlab Beide stellen eine graphische WWW Schnittstelle zur Ausgabe von Snort zur Verf gung Neben der Grundinstallationen ben tigen Sie auch einen Webserver wie apache einen PHP Interpreter und eine relatio nale Datenbank wie postgresql oder mysql wo Snort seine Alarme ablegen kann Dieses System sollte mit wenigstens zwei Netzwerk Schnittstellen ausgestattet sein Eine verbunden mit einem Verwaltungs LAN um die Resultate abzufragen und das System zu verwalten und eine ohne IP Adresse das an mit dem zu beobachtenden Abschnitt des Netzwerks verbunden ist Sie sollten den Webserver so ei
281. nen werden be nutzt um die Internet Gemeinschaft mit Informationen ber die aktuellen Sicherheitsvorkommnisse http www cert org current zu versorgen und um Hinweise zu Vorf llen http www cert org incident_notes und so gar Ank ndigungen http www cert org advisories zu ver ffentlichen Ausf hrliche Informationen wie und warum ein Vorfall gemeldet wird k nnen Sie auf CERT s Incident Reporting Guidelines http www cert org tech_tips incident_reporting html nachlesen Sie k nnen auch weniger formale Einrichtungen verwenden wenn Sie Hilfe brauchen um Ihr System wiederherzu stellen oder wenn Sie Informationen des Vorfalls diskutieren wollen Dazu z hlen die Mailingliste f r Vorf lle http marc theaimsgroup com l incidents und die Mailingliste f r Einbr che http marc theaimsgroup com 1 intrusions 11 4 Forensische Analyse Wenn Sie mehr Informationen sammeln wollen enth lt das Paket tct The Coroner s Toolkit von Dan Farmer und Wietse Venema Werkzeuge f r eine post mortem Analyse des Systems tct erlaubt es dem Benutzer Informationen ber gel schte Dateien laufende Prozesse und mehr zu sammeln Sehen Sie f r weitere Informationen in die mitgelieferte Dokumenta tion Diese und andere Werkzeuge k nnen auch auf Sleuthkit and Autopsy http www sleuthkit org von Brian Carrier welches ein Web Frontend zur forensischen Analyse von Disk Images zur Verf gung stellt gefunden werden In Debi
282. ner ganzen Anleitung wurde Dem ganzen Debian Projekt Kapitel 1 Einleitung 22 23 Kapitel 2 Bevor Sie beginnen 2 1 Wof r m chten Sie dieses System benutzen Das Absichern von Debian ist nicht viel anders als das Absichern von irgendeinem anderen System Um es richtig zu machen m ssen Sie zun chst entscheiden was Sie mit Ihrem System machen m chten Anschlie end m ssen Sie sich klarmachen dass Sie die folgenden Schritte sorgf ltig ausf hren m ssen um ein wirklich sicheres System zu erhalten Sie werden feststellen dass diese Anleitung von der Pike auf geschrieben ist Sie werden die Informationen zu einer Aufga be die Sie vor w hrend und nach der Debian Installation ausf hren sollten in der entsprechenden Reihenfolge vorgestellt bekommen Die einzelnen Aufgaben k nnen wie folgt beschrieben werden e Entscheiden Sie welche Dienste Sie ben tigen und beschr nken Sie Ihr System auf diese Das schlie t das Deakti vieren oder Deinstallieren von berfl ssigen Diensten und das Installieren von firewall hnlichen Filtern oder TCP Wrappern ein Einschr nken der Nutzer und Zugriffsrechte auf Ihrem System e Abh rten der angebotenen Dienste damit der Einfluss auf Ihr System im Falle einer Kompromittierung m glichst gering ist e Benutzen Sie die passenden Werkzeuge um sicherzustellen dass ein unautorisierter Zugriff auf Ihr System entdeckt wird so dass Sie geeignete Gegenma nahmen ergreifen k nn
283. new information contributed by Yotam Rubin e Added references to other online and offline documentation both in a section see Seien Sie wachsam gegen ber generellen Sicherheitsproblemen auf Seite 23 by itself and inline in some sections e Added some information on configuring Bind options to restrict access to the DNS server e Added information on how to automatically harden a Debian system regarding the harden package and bastille e Removed some done TODOs and added some new ones 1 6 50 Version 1 8 nderung von Javier Fern ndez Sanguino Pe a e Added the default user group list provided by Joey Hess to the debian security mailing list e Added information on LKM root kits Ladbare Kernel Module LKM auf Seite 121 contributed by Philipe Gaspar e Added information on Proftp contributed by Emmanuel Lacour e Recovered the checklist Appendix from Era Eriksson e Added some new TODO items and removed other fixed ones e Manually included Era s patches since they were not all included in the previous version Kapitel 1 Einleitung 20 1 6 51 Version 1 7 Changes by Era Eriksson e Typo fixes and wording changes Anderung von Javier Fern ndez Sanguino Pefia e Minor changes to tags in order to keep on removing the tt tags and substitute prgn package tags for them 1 6 52 Version 1 6 nderung von Javier Fern ndez Sanguino Pefia e Added pointer to document as published in the DDP should supersede
284. nformation on lvm and journalling file systems ext3 recommended The information there might be too generic however Added a link to the online text version check Kapitel 1 Einleitung 15 Added some more stuff to the information on firewalling the local system triggered by a comment made by Hubert Chan in the mailing list Added more information on PAM limits and pointers to Kurt Seifried s documents related to a post by him to Bugtraq on April 4th 2002 answering a person that had discovered a vulnerability in Debian GNU Linux related to resource starvation As suggested by Juli n Mu oz provided more information on the default Debian umask and what a user can access if given a shell in the system scary huh Included a note in the BIOS password section due to a comment from Andreas Wohlfeld Included patches provided by Alfred E Heggestad fixing many of the typos still present in the document Added a pointer to the changelog in the Credits section since most people who contribute are listed here and not there Added a few more notes to the chattr section and a new section after installation talking about system snapshots Both ideas were contributed by Kurt Pomeroy Added a new section after installation just to remind users to change the boot up sequence Added some more TODO items provided by Korn Andras Added a pointer to the NIST s guidelines on how to secure DNS provided by Daniel Quinlan Added a sma
285. ng durch lokale Sicherheitsverwundbarkeiten des Systems Selbst in dieser Situation k nnen Sie nicht v llig sicher sein dass es f r einen cleveren Angreifer keinen Weg gibt irgendwie aus dem Gef ngnis auszubrechen Der ausschlie liche Einsatz sicherer Server Programme die einen guten Ruf bez glich Sicherheit haben ist eine zus tzliche gute Sicherheitsma nahme Selbst kleinste L cher wie offene Datei Handle k nnen von einem versierten Angreifer zum Einbruch in das System verwendet werden Schlie lich war chroot nicht als Sicherheits sondern als ein Testwerkzeug gedacht 5 10 1 Automatisches Erstellen von Chroot Umgebungen Es gibt verschiedene Programme um Server und Dienste automatisch in ein Chroot Gef ngnis einzusperren Debian bie tet zurzeit akzeptiert im Mai 2002 Wietse Venemas chrootuid im Paket chrootuid ebenso wie compartment und makejail an Diese Programme k nnen verwendet werden um eine eingeschr nkte Umgebung zum Ausf hren belie biger Programme aufzusetzen chrootuid erlaubt es Ihnen sogar es unter einem eingeschr nkten Benutzer laufen zu lassen 7Es wird versucht diese mit minimalen Rechten laufen zu lassen was beinhaltet Daemonen unter ihren eigenen Benutzern anstatt unter Root laufen zu lassen Kapitel 5 Absichern von Diensten die auf Ihrem System laufen 81 Einige dieser Werkzeuge k nnen verwendet werden um das Chroot Gef ngnis leicht aufzusetzen Zum Beispiel kann das makejail Programm ei
286. ngs zu Mailboxen Wenn Sie entfernten Zugriff auf Mailboxen erlauben wollen gibt es eine Anzahl von m glichen POP3 und IMAP Daemonen Wenn Sie IMAP Zugriff anbieten beachten Sie jedoch dass es ein allgemeines Dateizugriffsprotokoll ist Es Die Liste der in Debian verf gbaren Mail Daemons erhalten Sie wie folgt apt cache search mail transport agent Die Liste wird qmail nicht enthalten da dies nur im Quellcode im Paket qmai1 src vertrieben wird 3Eine Liste von Servern Daemonen die diese Protokolle in Debian anbieten kann wie folgt erhalten werden apt cache search pop3 server apt cache search imap server Kapitel 5 Absichern von Diensten die auf Ihrem System laufen 74 kann das quivalent zu einem Shell Zugang werden da Benutzer in der Lage sein k nnten Zugang zu beliebigen Dateien zu erhalten auf die sie durch ihn zugreifen k nnen Versuchen Sie beispielsweise server com etc passwd als Ihren Eingabepfad zu konfigurieren Wenn dies gelingt ist Ihr IMAP Daemon nicht richtig konfiguriert um diese Art von Zugriff zu verhindern Unter den IMAP Servern in Debian vermeidet der cyrus Server im Paket cyrus imapd dies indem er den gesamten Zugriff zu einer Datenbasis in einem beschr nkten Teil des Dateisystems limitiert Auch uw imapd installieren Sie ent weder das uw imapd oder besser wenn Ihre IMAP Clients es unterst tzen das uv imapd ss1 Paket kann konfiguriert werden das Mailverzeichnis der Benutzer in
287. nicht richtig eingerichtet werden Kapitel 3 Vor und w hrend der Installation 28 Im Falle eines Mailservers ist es wichtig eine separate Partition f r die Mail Warteschlange mail spool anzulegen Nicht Lokale Benutzer k nnen wissentlich oder unwissentlich diese Verzeichnisse var mail oder var spool mail f l len Liegt dieses Verzeichnis auf einer separaten Partition w rde dies das System nicht sofort unbenutzbar machen An derenfalls wenn das Verzeichnis auch auf der var Partition liegt hat das System ein gro es Problem Protokoll Eintr ge logs k nnen nicht erstellt werden Pakete k nnen nicht installiert werden und es k nnten sogar ein paar Programme Probleme mit dem Starten haben wenn sie var run benutzen Au erdem sollten Sie f r Partitionen deren Platzbedarf Sie noch nicht absch tzen k nnen den Logical Volume Manager 1vm common und die ben tigten ausf hrbaren Programme entweder 1vm10 oder 1vm2 installieren Durch Benutzen von lvm k nnen Sie Datentr ger Gruppen erstellen die ber mehrere Festplatten verteilt sind Auswahl der passenden Dateisysteme W hrend der Partitionierung des Systems m ssen Sie sich ebenfalls entscheiden welche Dateisysteme Sie benutzen m ch ten Als Standard Dateisystem wird w hrend der Installation f r Linux Partitionen ext 3 ausgew hlt das ein Journaling Dateisystem ist Es ist empfehlenswert immer ein solches Dateisystem zu verwenden wie zum Beispiel ext3 rei
288. nktionieren hindern es sei denn der Firewall Code wird entfernt Beachten Sie dass ein Eindring ling keinen Superuser Zugriff ben tigt um ferngesteuerte Trojaner zu installieren da es erlaubt ist sich an Ports zu binden wenn es sich nicht um einen privilegierten Port handelt und die F higkeiten Capabilities noch vorhanden sind Demzufolge w re ein passendes Firewall Setup eines mit einer standardm igen Richtlinie die alles ablehnt was nicht ausdr cklich erlaubt ist also Eingehende Verbindungen werden nur zu lokalen Diensten von erlaubten Maschinen gestattet e outgoing connections are only allowed to services used by your system DNS web browsing POP email e Die Forward Regel verbietet alles es sei denn andere Systeme werden gesch tzt siehe dazu unten Alle anderen eingehenden und ausgehenden Verbindungen werden abgelehnt 5 14 2 Sch tzen anderer Systeme durch eine Firewall Eine Debian Firewall kann auch so installiert werden dass sie mit Firewall Regeln Systeme hinter ihr besch tzt indem sie die Angriffsflache zum Internet hin einschrankt Eine Firewall kann so konfiguriert werden dass ein Zugriff von Systemen au erhalb des lokalen Netzwerks auf interne Dienste Ports unterbunden wird Zum Beispiel muss auf einem Mail Server lediglich Port 25 auf dem der Mail Dienst aufsetzt von au en zug nglich sein Eine Firewall kann so konfiguriert werden dass sogar wenn es neben den ffentlich zug nglichen no
289. nmelden k nnen e Das Dateisystem proc muss in der Chroot Umgebung des Benutzers gemountet sein e Die notwendigen Ger te unter dev pts m ssen vorliegen Falls diese Dateien automatisch vom Kernel erstellt werden m ssen Sie sie von Hand unter dev in der Chroot Umgebung erstellen e Das Home Verzeichnis des Benutzers muss in der Chroot Umgebung existieren Ansonsten wird der SSH Daemon nicht fortfahren Sie k nnen diese Probleme mit dem Schl sselwort debug in der PAM Konfiguration etc pam d ssh debuggen Falls Sie auf Probleme sto en kann es sich als n tzlich erweisen auch den Debugging Modus des SSH Clients zu aktivieren Hinweis Diese Informationen sind auch in usr share doc libpam chroot README Debian gz enthalten und vielleicht aktueller Bitte berpr fen Sie ob dort aktualisierte Informationen vorhanden sind bevor Sie die oben aufge zeigten Schritte ausf hren G 1 2 Patchen des ssh Servers Debian s sshd does not allow restriction of a user s movement through the server since it lacks the chroot function that the commercial program sshd2 includes using ChrootGroups or ChrootUsers see sshd2_config 5 However there is a patch available to add this functionality available from ChrootSSH project http chrootssh sourceforge net requested and available in Bug 139047 http bugs debian org 139047 in Debian The patch may be included in future releases of the OpenSSH package Emman
290. nrichten dass er nur auf der Schnittstelle lauscht die mit dem Verwaltungs LAN verbunden ist Sie sollten beide Schnittstellen in der Standardkonfigurationsdatei von Debian etc network interfaces einrichten Eine Adresse n mlich die des Verwaltungs LANs sollten Sie wie gew hnlich einrichten Die andere Schnittstelle muss so konfiguriert werden dass sie aktiviert wird wenn das System startet ihr darf aber keine Interface Adresse zugewiesen sein Eine Konfiguration der Schnittstelle k nnte folgenderma en aussehen auto eth0 iface eth0 inet manual up ifconfig IFACE 0 0 0 0 up up ip link set SIFACE promisc on down ip link set IFACE promisc off down ifconfig IFACE down Diese Konfiguration f hrt dazu dass die Schnittstelle den gesamten Netzwerkverkehr heimlich mitliest Damit wird ver hindert dass das NIDS in einem feindlichen Netzwerk direkt angegriffen werden kann da die Sensoren im Netzwerk keine IP Adresse haben Beachten Sie aber dass es im Lauf der Zeit Fehler im Sensorenteil des NIDS gab z B DSA 297 http www debian org security 2003 dsa 297 im Zusammenhang mit Snort und dass Puffer berl ufe auch entfernt durch die Verarbeitung von Netzwerkpaketen ausgel st werden k nnen Sie sollten auch einen Blick in das Snort Statistics HOWTO http www faqs org docs Linux HOWTO Snort Statistics HOWTO html und in die Dokumentation auf der offiziellen Seite von Snort http www snort org docs werfen Normalerwei
291. nssh eingesetzt wird auf Grundlage der README von pam_chroot Einige kleinere Dinge korrigiert die von Dan Jacobson gemeldet wurden Die Informationen tiber Kernelpatches aktualisiert teilweise auf Grundlage eines Patches von Carlo Perassi sowie durch Anmerkungen zu aufgegebenen Teilen des Kernels und zu neuen Kernelpatches adamantix Kapitel 1 Einleitung 10 Einen Patch von Simon Brandmair eingef gt der einen Satz im Zusammenhang mit Login Fehlern auf dem Terminal ausbesserte Mozilla Thunderbird zu den g ltigen GPG Agenten hinzugef gt wie von Kapolnai Richard vorgeschlagen wurde Den Abschnitt ber Sicherheitsaktualisierungen die Aktualisierung von Bibliotheken und des Kernels betreffen und wie man herausfindet ob Dienste neu gestartet werden m ssen erweitert Den Abschnitt ber die Firewall neu geschrieben die Informationen die Woody betreffen nach unten verschoben und die brigen Abschnitte erweitert einschlie lich Hinweisen dazu wie man von Hand eine Firewall einrichtet mit einem Beispielsskript und wie man die Konfiguration der Firewall testen kann Einige Informationen bez glich der Ver ffentlichung von Debian 3 1 hinzugef gt Ausf hrlichere Hinweise zu Kernelupgrades hinzugef gt die sich besonders an diejenigen richten die das alte In stallationssystem verwenden Einen kurzen Abschnitt ber die experimentelle Ver ffentlichung von Apt 0 6 eingef gt die die berpr fung von Pa ketsignaturen enth l
292. nstall for this New section on PPTP encryption with Microsoft clients discussed in the debian security mailing list April 2002 Added a new section describing what problems are there when binding any given service to a specific IP address this information was written based on the Bugtraq mailing list in the thread Linux kernel 2 4 weak end host issue previously discussed on debian security as arp problem started on May 9th 2002 by Felix von Leitner Added information on ssh protocol version 2 Added two subsections related to Apache secure configuration the things specific to Debian that is Added a new FAQ related to raw sockets one related to root an item related to users groups and another one related to log and configuration files permissions Added a pointer to a bug in libpam cracklib that might still be open need to check Added more information regarding forensics analysis pending more information on packet inspection tools such as tcpflow Changed the what should I do regarding compromise into a bullet list and included some more stuff Added some information on how to set up the Xscreensaver to lock the screen automatically after the configured timeout Added a note related to the utilities you should not install in the system Included a note regarding Perl and why it cannot be easily removed in Debian The idea came after reading Intersect s documents regarding Linux hardening Added i
293. nste abgeh rtet worden sind Sie k nnen sich sicherlich leicht eine Konfiguration vorstellen bei der ein System lediglich von einer eingebauten Firewall gesch tzt wird und der Administrator gl ckselig die Firewall Regeln aus irgendwelchen Gr nden Probleme mit dem Setup Verdruss Denkfehler entfernt Dieses System w re weit ge ffnet f r Angriffe wenn es keine anderen Schutzma nahmen auf dem System gibt Andererseits k nnen Firewall Regeln auf dem lokalen System daf r sorgen dass b se Dinge nicht passieren Sogar wenn die bereitgestellten Dienste sicher konfiguriert sind kann eine Firewall vor Misskonfigurationen oder frisch installierten STst seit Kernel 2 4 verf gbar was der Standardkernel f r Debian 3 0 war ltere Kernelversionen wie 2 2 der in lteren Debian Ver ffentlichungen enthalten war verwendeten ipchains Der Hauptunterschied zwischen ipchains und iptables ist dass letzteres auf stateful packet inspection zu standsbehaftete Paketuntersuchung beruht so dass Ihnen sicherere und einfacher zu erstellende Filterkonfigurationen zur Verf gung stehen ltere und nun nicht l nger unterst tzte Debian Ver ffentlichungen die den Kernel 2 0 einsetzen ben tigten einen geeigneten Kernel Patch Kapitel 5 Absichern von Diensten die auf Ihrem System laufen 83 Diensten die noch nicht passend konfiguriert sind sch tzen Au erdem wird eine strenge Konfiguration nach Hause telefo nierende Trojaner am Fu
294. nten haben bekannte Master Passw rter und es gibt sogar Programme um Passw rter aus dem BIOS wieder auszulesen Folglich k nnen Sie sich nicht auf diese Ma nahme verlassen um den Zugriff auf das System zu beschr nken 3 2 Partitionieren des Systems 3 2 1 W hlen Sie eine intelligente Partitionierung Was eine sinnvolle Partitionierung ist h ngt davon ab wie die Maschine benutzt wird Eine gute Faustregel ist mit Ihren Partitionen eher gro z gig zu sein und die folgenden Faktoren zu ber cksichtigen e Jeder Verzeichnisbaum auf den ein Benutzer Schreibzugriff hat wie zum Beispiel home tmp und var tmp sollte auf einer separaten Partition liegen Dies reduziert das Risiko eines DoS Denial of Service Dienstverweige rung durch einen Benutzer indem er Ihren Einh ngepunkt vollschreibt und so das gesamte System unbenutz bar macht Au erdem verhindert dieses Vorgehen Hardlink Angriffe e Au erdem sollte jeder Verzeichnisbaum dessen Gr e schwanken kann zum Beispiel var insbesondere var log eine separate Partition bekommen Auf einem Debian System sollten Sie der var Partition etwas mehr Platz als auf anderen Systemen geben da heruntergeladene Pakete der Zwischenspeicher von apt unter var cache apt archives gespeichert werden e Jede Partition in der Sie Nicht Distributions Software installieren wollen sollte separat sein Nach dem File Hierarchy Standard w ren dies opt oder usr local Wenn dies
295. nux patch openswan e Details wie man unn tige Netzwerkdienste deaktiviert abgesehen von inetd dies ist teilweise Teil des H rtungs prozesses k nnte aber etwas ausgeweitet werden e Informationen ber Passwort Rotation was sehr nah mit Sicherheitsrichtlinien Policies zusammenh ngt e Sicherheitsrichtlinie und die Aufkl rung der Benutzer ber die Sicherheitsrichtlinie e Mehr ber tcpwrapper und Wrapper im Allgemeinen e hosts equiv und andere wichtige Sicherheitsl cher e Probleme bei der Dateifreigabe wie z B mit Samba und NFS e suidmanager dpkg statoverrides e Tor und Iprng e Abschalten der GNOME IP Dinge e Erw hnen von pam_chroot siehe http lists debian org debian security 2002 debian security 200205 msg00011 html und sein Nutzen Benutzer einzuschr nken Einf hrende In formationen in Verbindung mit http online securityfocus com infocus 1575 pdmenu ist zum Beispiel bereits unter Debian verf gbar w hrend flash das nicht ist e Dar ber reden Dienste mit einer chroot Umgebung zu versehen mehr Informationen dazu unter http www linuxfocus org English January2002 article225 shtml e Programme erw hnen die Chroot Gef ngnisse chroot jails herstellen compartment und chrootuid warten noch in Incoming Einige andere makejail jailer k nnten ebenfalls eingef hrt werden e Mehr Informationen ber Software zur Analyse von Protokoll Dateien log Dateien logs zum Beispiel Logcheck und logcolorise
296. o SHA 1 Datenbank nach der Installation erstellt Bess exit 0 Beachten Sie dass das Programm md5sum und shalsum falls verf gbar auch auf der Diskette gesichert werden muss so dass Sie es sp ter benutzen k nnen um die anderen Programme Ihres Systems zu pr fen f r den Fall dass md5sum oder shalsum einen Trojaner enthalten Wenn Sie aber sicher sein wollen dass Sie eine g ltige Kopie von md5sum verwenden sollten Sie eine statische Kopie von md5sum erstellen und diese verwenden damit wird verhindert dass eine manipulierte libc Bibliothek das Programm beeintr chtigt oder md5sum nur in einer sauberen Umgebung einsetzen die Sie etwa mit einer Rettungs CD ROM oder einer Live CD erzeugen k nnen damit wird verhindert dass ein manipulierter Kernel das Programm beeinflusst Ich kann es nicht genug betonen Wenn Sie ein System haben in das eingebrochen wurde k nnen Sie den Ausgaben nicht vertrauen Sehen Sie sich auch Nach einer Kompromittierung Reaktion auf einem Vorfall auf Seite 125 an Dieser Schnappschuss enth lt nicht die Dateien unterhalb von var 1lib dpkg info wo MD5 Summen installierter Pa kete enthalten sind die Dateien enden mit md5sums Sie k nnen diese Informationen zus tzlich kopieren aber Sie sollten Folgendes beachten e Die Dateien mit den MD5 Summen enthalten die MD5 Summen aller Dateien die ein Debian Paket enth lt nicht nur die der Systemprogramme Das hat zur Folge dass diese Datenbank viel gr
297. o dass er auch den Socket var chroot apache dev log beobachtet Ersetzen Sie in etc default syslogd SYSLOGD mit SYSLOGD a var chroot apache dev log und starten Sie den Daemon neu etc init d sysklogd restart e Editieren Sie das Startskript von Apache etc init d apache Sie m ssen ein paar nderung am Standardstart skript vornehmen damit es richtig in einem Verzeichnisbaum in einer chroot Umgebung l uft Da w re Legen Sie die Variable CHRDIR am Anfang der Datei neu fest Bearbeiten Sie die Abschnitte start stop reload etc F gen Sie eine Zeile hinzu um das proc Dateisystem innerhalb des Gef ngnisses ein und auszuh ngen bin bash apache Start the apache HTTP server CHRDIR var chroot apache NAME apache PATH bin usr bin sbin usr sbin DAEMON usr sbin apache SUEXEC usr lib apache suexec PIDFILE var run NAME pid CONF etc apache httpd conf APACHECTL usr sbin apachectl trap TiL export LANG C export PATH test f DAEMON exit 0 Kapitel H Chroot Umgebung f r Apache 171 test f SAPACHECTL exit 0 ensure we don t leak environment vars into apachectl APACHECTL env i LANG LANG PATH PATH chroot CHRDIR SAPACHECTL if egrep q i space ServerTypel space inet SCONF then exit 0 fi case 1 in start echo n Starting web server NAME mount t proc proc var chroot apache proc start stop daemon start pidfile PIDFILE exec
298. o konfiguriert werden dass es nur noch auf der Loopback Schnittstelle lauscht Um dies zu erreichen kommentieren Sie die folgende Zeile in der Datei etc default portmap aus OPTIONS i 127 0 0 1 und starten Sie den Portmapper neu Dies ist ausreichend um lokale RPC Dienste laufen zu lassen w hrend zur selben Zeit entfernte Systeme am Zugang gehindert werden lesen Sie dazu auch L sung des Problems der Weak End Hosts auf Seite 63 5 14 Hinzuf gen von Firewall F higkeiten Das Debian GNU Linux Betriebssystem hat die eingebauten F higkeiten des Linux Kernels Wenn Sie eine aktuelle Ver ffentlichung von Debian mit dem Standardkernel 2 6 installiert haben steht Ihnen als Firewall iptables netfilter zur Verf gung 5 14 1 Firewallen des lokalen Systems Sie k nnen eine Firewall dazu benutzen den Zugriff auf Ihr lokales System abzusichern und sogar um die Kommunikation von ihm nach Au en zu beschr nken Firewall Regeln k nnen auch dazu benutzt werden Prozesse zu sichern die nicht vern nftig konfiguriert werden k nnen um Dienste nicht einigen Netzwerken IP Adressen etc zur Verf gung zu stellen Dieser Schritt ist aber haupts chlich deshalb als letzter in dieser Anleitung weil es viel besser ist sich nicht alleine auf die F higkeiten der Firewall zu verlassen um ein System zu sch tzen Die Sicherheit eines Systems setzt sich aus mehreren Ebenen zusammen eine Firewall sollte die letzte sein wenn bereits alle Die
299. ompromittierungen enth lt Programme zur Protokollanalyse wie zum Beispiel Logcheck k nnen zus tzliche benutzt werden um Einbruchsversuche zu erkennen Siehe Nutzung und Anpassung von logcheck auf Seite 54 Daneben k nnen Pakete welche die Integrit t des Dateisystems berwachen siehe Pr fung der Integrit t des Dateisys tems auf Seite 59 sehr n tzlich sein um Anomalien in einer abgesicherten Umgebung zu erkennen Ein erfolgreicher Einbruch wird h chstwahrscheinlich Dateien auf dem lokalen Dateisystem ver ndern um die lokalen Sicherheitsrichtli nien zu umgehen Trojaner zu installieren oder Benutzer zu erstellen Solche Ereignisse k nnen mit Pr fwerkzeugen der Dateisystemintegrit t erkannt werden 10 4 Vermeiden von Root Kits 10 4 1 Ladbare Kernel Module LKM Ladbare Kernel Module sind Dateien die nachladbare Teile des Kernels enthalten Sie werden dazu verwendet die Funk tionalit t des Kernel zu erweitern Der Hauptnutzen des Einsatzes von Modulen liegt darin dass Sie zus tzliche Ger te wie eine Ethernet oder Soundkarte hinzuzuf gen k nnen ohne dass die Kernelquelle gepatcht und der gesamte Kernel neu bersetzt werden m sste Allerdings k nnen Cracker LKMs f r Root Kits knark und adore benutzen um auf GNU Linux Systemen Hintert ren zu ffnen LKM Hintert ren sind ausgekl gelter und schwere zu entdecken als traditionelle Root Kits Sie k nnen Prozesse Dateien Verzeichnisse und sogar Verbi
300. omputern als neues Gateway einsetzen JE Se de de de te sbin ifconfig br0 62 3 3 26 netmask 255 255 255 248 broadcast 62 3 3 31 Wenn Sie mit traceroute die Route des Linux Mail Servers verfolgen sehen Sie die Bridge nicht Wenn Sie mit ssh auf die Bridge zugreifen wollen m ssen Sie ein Gateway haben oder erst auf einen anderen Server wie den Mail Server zugreifen um dann ber die interne Netzwerkkarte auf die Bridge zuzugreifen D 3 Grundlegende Iptables Regeln Dies ist ein Beispiel f r grundlegende Regeln die f r beide Einstellungen benutzt werden k nnen iptables F FORWARD iptables P FORWARD DROP iptables A FORWARD s 0 0 0 0 0 0 0 0 d 0 0 0 0 0 0 0 0 m state state INVALID j DROP iptables A FORWARD m state state ESTABLISHED RELATED j ACCEPT Zwei lustige Regeln aber nicht bei klassischen Iptables Sorry Limit ICMP iptables A FORWARD p icmp m limit limit 4 s j ACCEPT bereinstimmende Strings eine gute einfache Methode um Viren sehr schnell abzublocken iptables I FORWARD j DROP p tcp s 0 0 0 0 0 m string string cmd exe Se Se de HE e te Abblocken aller MySOL Verbindungen nur um sicher zu gehen iptables A FORWARD p tcp s 0 0 d 62 3 3 0 24 dport 3306 j DROP Regeln f r den Linux Mail Server Erlaube FTP DATA 20 FTP 21 SSH 22 Kapitel D Aufsetzenden einer Bridge Firewall 151 iptables A FORWARD p tcp s 0 0 0 0 0 d 62 3 3 27 32 dport 20 22 j ACCEPT
301. on hinzu post down iptables restore lt etc iptables down rules For more advanced firewall configuration scripts through i fupdown you can use the hooks available to each interface as in the x d directories called with run parts see run parts 8 Testen Ihrer Firewall Konfiguration Testen Ihrer Firewall Konfiguration ist so einfach und so schwierig wie das Starten Ihres Firewall Skripts oder die Aktivie rung der Konfiguration die Sie in Ihrer Firewall Konfigurationsanwendung definierten Wenn Sie jedoch nicht sorgf ltig genug sind und Sie Ihre Firewall aus der Ferne konfigurieren z B durch eine SSH Verbindung k nnten Sie sich selbst aussperren Es gibt mehrere M glichkeiten dies zu verhindern Eine ist das Starten eines Skriptes in einem separaten Terminal das Ihre Firewall Konfiguration entfernt wenn es keine Eingabe von Ihnen erh lt Ein Beispiel daf r ist while true do test read t 20 p OK test z Stest amp amp etc init d firewall clear done Eine andere M glichkeit ist das Einf hren einer Hintert r in Ihr System durch einen alternativen Mechanismus der es Ihnen erlaubt das Firewall System entweder zur ckzusetzen oder ein Loch in es schl gt wenn irgendetwas krumm l uft Daf r k nnen Sie knockd verwenden und es so konfigurieren dass eine spezielle Portverbindungsversuchssequenz die Firewall zur cksetzt oder eine tempor re Regel hinzuf gt Selbst wenn die Pakete von der Firewal
302. org advisories und US CERT Vulnerability Notes Database http www kb cert org vuls und auf die CVE Bezeichnungen siehe unten enth lt Diese Verweise werden zur Nutzerfreundlichkeit angeboten aber nur der CVE Verweise werden regelm ig berpr ft und eingef gt Dieses Feature wurde im Juni 2002 der Webseite hinzugef gt Das Hinzuf gen von Querverweisen auf diese Sicherheitsdatenbanken hat folgende Vorteile e Es erleichtert Benutzern von Debian zu erkennen und nachzuvollziehen welche allgemeinen ver ffentlichten An k ndigungen schon von Debian abgedeckt sind e Systemadministratoren k nnen mehr ber die Verwundbarkeit und ihre Auswirkungen lernen wenn sie den Quer verweisen folgen e Diese Informationen k nnen benutzt werden um Ausgaben von Verwundbarkeitsscannern die Verweise auf CVE enthalten zu berpr fen um falsche Positivmeldungen auszusortieren vergleichen Sie Der Scanner X zur Einsch t zung der Verwundbarkeit sagt dass mein Debian System verwundbar w re auf Seite 138 7 2 2 CVE Kompatibilit t Debians Sicherheitsank ndigungen wurden am 24 Februar 2004 CVE kompatibel erkl rt http www de debian org security CVE certificate jpg e Die Entwickler von Debian wissen von der Notwendigkeit genaue und aktuelle Informationen ber den Lage der Sicherheit in der Debian Distribution zur Verf gung zu stellen Dies erm glicht es den Benutzern mit den Risiken durch neue Sicher heitsl cken u
303. otecting Your Linux Server and Network Anonymous Paperback 829 pages Sams Publishing ISBN 0672313413 Juli 1999 Linux Security von John S Flowers New Riders ISBN 0735700354 M rz 1999 Hacking Linux Exposed http www linux org books ISBN_0072127732 htm1 By Brian Hatch McGraw Hill Higher Education ISBN 0072127732 April 2001 Andere Biicher auch tiber allgemeine Aspekte von Sicherheit unter Unix nicht nur linuxspezifisch Practical Unix and Internet Security 2nd Edition http www ora com catalog puis noframes html Gar finkel Simpson and Spafford Gene O Reilly Associates ISBN 0 56592 148 8 1004pp 1996 Firewalls and Internet Security von Cheswick William R and Bellovin Steven M Addison Wesley 1994 ISBN 0 201 63357 4 320pp Andere n tzliche Websites um sich bez glich Sicherheit auf dem Laufenden zu halten NIST Security Guidelines http csre nist gov fasp index html Security Focus http www securityfocus com Dort wird die Bugtraq Schwachstellen Datenbank und Mailingliste bereitgestellt und es gibt allgemeine sicherheitsrelevante Informationen Neuigkeiten und Berichte Linux Security http www linuxsecurity com Allgemeine Informationen zu Sicherheit von Linux Werkzeuge Neuigkeiten Die Seite main documentation http www linuxsecurity com resources documentation 1 html ist beraus n tzlich Linux firewall and security site http www linux firewall tools com l
304. ount Be careful when configuring your firewall as Laurence J Lane says in the iptables package The tools can easily be misused causing enormous amounts of grief by completely crippling network access to a system It is not terribly uncommon for a remote system administrator to accidentally get locked out of a system hundreds or thousands of miles away You can even manage to get locked out of a computer who s keyboard is under your own fingers Please use due caution Vergessen Sie nicht Das blo e Installieren von iptables oder dem lteren Firewallcode gibt Ihnen keine Sicherheit es stellt lediglich die Software zur Verf gung Um eine Firewall zu haben m ssen Sie sie konfigurieren Wenn Sie keine Ahnung haben wie Sie Ihre Firewall Regeln manuell aufsetzen sollen sehen Sie in dem Packet Filtering HOWTO und NAT HOWTO aus dem Paket iptables zu finden unter usr share doc iptables html nach Wenn Sie nicht viel ber Firewalls wissen sollten Sie beginnen indem Sie das Firewalling and Proxy Server HOWTO http www tldp org HOWTO Firewall HOWTO html lesen Installieren Sie das Paket doc linux text wenn Sie es offline lesen wollen Wenn Sie Fragen stellen wollen oder Hilfe beim Einrichten einer Firewall ben tigen k n nen Sie sich an die debian firewall Mailingliste wenden siehe http lists debian org debian firewall Se hen Sie auch Seien Sie wachsam gegen ber generellen Sicherheitsproblemen auf Seite 23 f r weitere all
305. oute add default dev eth0 table 1 ip route add default dev ethl table 2 33Wie im Bugtrag Thread beschrieben gibt es daf r einige Patches auf http www linuxvirtualserver org julian hidden und http www fefe de linux eth forwarding diff 3 An attacker might have many problems pulling the access through after configuring the IP address binding while not being on the same broadcast domain same network as the attacked host If the attack goes through a router it might be quite difficult for the answers to return somewhere Kapitel 4 Nach der Installation 65 bin bash bin mount dev fd0 mnt floppy trap bin umount dev fd0 0 12 3 9 13 15 if usr bin md5sum then echo Kann md5sum nicht finden Breche ab exit 1 fti bin cp usr bin md5sum mnt floppy echo Erstelle MD5 Datenbank gt mnt floppy md5checksums txt for dir in bin sbin usr bin usr sbin lib usr lib do find dir type f xargs usr bin md5sum gt gt mnt floppy md5checksums lib txt done echo MD5 Datenbank nach der Installation erstellt if usr bin shalsum then echo Kann shalsum nicht finden echo WARNUNG nur die md5 Datenbank wird gespeichert else bin cp usr bin shalsum mnt floppy echo Erstelle SHA 1 Datenbank gt mnt floppy shalchecksums txt for dir in bin sbin usr bin usr sbin lib usr lib do find dir type f xargs usr bin shalsum gt gt mnt floppy shalchecksums lib txt done ech
306. packets redirect packets but be careful with this on heavy loaded web servers IP spoofing protection echo 1 gt proc sys net ipv4 conf IFACE rp_filter Disable ICMP redirect acceptance echo 0 gt proc sys net ipv4 conf IFACE accept_redirects echo 0 gt proc sys net ipv4 conf IFACE send_redirects Disable source routed packets echo 0 gt proc sys net ipv4 conf IFACE accept_source_route exit 0 Eine andere L sungsm glichkeit ist es ein init d Skript zu erstellen und es beim Booten auszuf hren verwenden Sie update rc d um die passenden rc d Links herzustellen 4 18 4 Konfiguration der Firewall Um die M glichkeiten einer Firewall zu haben damit entweder das lokale System oder andere dahinter besch tzt wer den muss der Kernel mit Firewall Unterst tzung kompiliert worden sein Der Standardkernel von Debian 2 2 Linux 2 2 stellt die Paketfilter Firewall ipchains zur Verf gung Der Standardkernel von Debian 3 0 Linux 2 4 enth lt die stateful Paketfilter Firewall iptables netfilter In jedem Fall ist es recht einfach einen anderen als den mit Debian gelieferten Kernel zu benutzen Sie finden vorkompilierte Kernel als Pakete vor die Sie leicht auf Ihrem Debian System installieren k nnen Mit Hilfe des Pakets kernel source X k nnen Sie auch die Kernelquellen herunterladen und einen ma geschneiderten Kernel kompilieren indem Siemake kpkg aus dem Paket kernel package benutzen Auf das Aufsetzen e
307. pe of the damage is limited to the jail Viele Dienste die als Daemonen laufen k nnen von dieser Vorgehensweise profitieren Die Daemonen die Sie mit Ihrer Debian Distribution installieren laufen jedoch nicht standardm ig in einem chroot Gef ngnis Dies beinhaltet Name Server wie bind Web Server wie apache Mail Server wie sendmail und FTP Server wie wu ftpd Wahrscheinlich ist es nur fair zu sagen dass die Komplexit t von BIND der Grund daf r ist warum er in den letzten Jahren so oft f r Attacken verwundbar war vergleiche Absichern von BIND auf Seite 74 Jedoch bietet Debian einige Software an die helfen kann chroot Umgebungen aufzubauen Sehen Sie Automatisches Erstellen von Chroot Umgebungen auf dieser Seite Wenn Sie irgendwelche Dienste in Ihrem System laufen lassen sollten Sie dies so sicher wie nur m glich tun Dies beinhaltet Entziehung von root Privilegien Starten in beschr nkten Umgebungen wie ein chroot Gef ngnis oder Ersetzen durch ein sichereres Aquivalent Seien Sie jedoch gewarnt dass aus einem chroot Gef ngnis ausgebrochen werden kann wenn der Benutzer der im In neren l uft der Superuser ist Sie m ssen also sicherstellen dass der Dienst als nicht privilegierter Benutzer l uft Durch Einschr nken seiner Umgebung schr nken Sie die welt lesbaren ausf hrbaren Dateien auf die der Dienst zugreifen kann ein Auf diese Weise begrenzen Sie die M glichkeiten einer Rechteerweiteru
308. quota g lt group gt ge ndert werden Setzen Sie dann die weiche und die harte Grenze und inode Quotas falls Sie es ben tigen Mehr Informationen ber Quotas finden Sie im Handbuch von quot und im Mini Howto von quota usr share doc HOWTO de html mini DE Quota HOWTO html Sie sollten auch einen Blick auf pam_limits so werfen 4 17 2 Die f r das ext2 Dateisystem spezifischen Attribute chattr lsattr Zus tzlich zu den normalen Unix Rechten bieten die ext2 und ext3 Dateisysteme eine Anzahl von besonderen Attributen die Ihnen mehr Kontrolle ber die Dateien auf Ihrem System erlauben Im Gegensatz zu den gew hnlichen Rechten werden diese Attribute nicht vom gebr uchlichen Befehl 1s 1 angezeigt und k nnen auch nicht mit chmod ge ndert werden Um sie zu verwalten brauchen Sie zwei weitere Programme n mlich 1sattr und chattr im Paket e2fsprogs Beachten Sie dass das bedeutet dass diese Attribute normalerweise bei einem Backup des Systems nicht gespeichert werden Wenn Sie also eines ver ndern k nnte es sich lohnen die aufeinander folgenden chattr Befehle in einem Skript zu speichern damit Sie sie sp ter wieder zuweisen k nnen falls Sie ein Backup zur ckspielen m ssen Kapitel 4 Nach der Installation 59 Unter allen Attributen werden die zwei die f r die Erh hung der Sicherheit am bedeutendsten sind mit den Buchstaben i und a bezeichnet Sie k nnen nur vom Superuser vergeben oder entfernt werden e Da
309. r Listen auf dem Laufenden daher sollte ihm dieses Problem bereits bekannt sein Leiten Sie keine weiteren Ma nahmen ein wenn Sie schon eine Bekanntmachung auf http security debian org sehen Wenn anscheinend keine Informationen ver ffentlicht wurden schicken Sie bitte eine E Mail zu den betroffenen Pa keten mit einer detaillierten Beschreibung der Verwundbarkeit Code der dies best tigt ist auch in Ordnung an team security debian org nailto team security debian org Dort erreichen Sie das Sicherheitsteam von Debian 12 2 10 Laut der Versionsnummer eines Paketes l uft bei mir immer noch eine angreifbare Version Statt auf eine neue Ver ffentlichung zu aktualisieren portiert Debian sicherheitsrelevante Korrekturen zu der Version zu r ck die in der Stable Ver ffentlichung enthalten ist Der Grund daf r ist dass sicher gegangen werden soll dass die Stable Ver ffentlichung so wenig wie m glich ver ndert wird Damit wird verhindert dass sich Dinge als Folge einer Si cherheitskorrektur unerwartet ndern oder kaputt gehen Ob Sie eine sichere Version eines Paketes benutzen stellen Sie fest indem Sie das Changelog des Paketes durchsehen oder indem Sie die exakte Versionsnummer urspr ngliche Version slash Debian Release mit der Nummer aus der Debian Sicherheits Ank ndigung DSA vergleichen 12 2 11 Bestimmte Software Proftpd ist f r einen Denial of Service Angriff anf llig F gen Sie Ihrer Konfigurationsdatei DenyFilt
310. r ften Dateien hochgeladen wo sie von einem Debian System verarbeitet und in die Warteschleife der angenom menen Dateien verschoben werden Kapitel 7 Die Infrastruktur f r Sicherheit in Debian 94 e Wenn das Sicherheitsteam ein Quellpaket akzeptiert d h dass es f r alle Architekturen korrekt Pakete erstellt und dass es die Sicherheitsl cke schlie t und keine neuen Probleme hervorruft f hrt es ein Skript aus das das Paket im Sicherheitsarchiv installiert die Paket Quell und Ver ffentlichungsdateien von security debian org auf dem gew hnlichen Weg aktualisiert dpkg scanpackages dpkg scansources eine Vorlage einer Ank ndigung erstellt die das Sicherheitsteam fertig stellen kann und die Pakete zu den vorgeschlagenen Aktualisierungen weiterleitet so dass sie sobald wie m glich in die echten Archive eingef gt werden k nnen Dieser Ablauf der fr her per Hand durchgef hrt wurde wurde w hrend des Freezing Abschnitts von Debian 3 0 Woody Juli 2002 getestet und umgesetzt Dank dieser Infrastruktur war es dem Sicherheitsteam m glich aktualisierte Pakete f r Apache und OpenSSH Probleme f r alle unterst tzen Architekturen fast 20 in weniger als einem Tag bereitzustellen 7 4 1 Leitfaden ber Sicherheitsaktualisierungen f r Entwickler Debian Entwickler die mit dem Sicherheitsteam zusammenarbeiten m ssen um in ihren Pakete Probleme zu l sen soll ten in der Entwicklerreferenz im Abschnitt Ha
311. r die Welt ein Problem darstellen wobei dies von Ihren lokalen Richtlinien abh ngt Sie k nnen dieses Verhalten so ab ndern dass das Erstellen eines Benutzers andere Rechte f r HOME liefert Um dieses Verhalten f r neue Benutzer zu ndern wenn sie erstellt werden ndern Sie in der Konfigurationsdatei etc adduser conf DIR_MODE auf 0750 nicht lesbar f r die Welt ab Benutzer k nnen immer noch Informationen austauschen aber nicht mehr unmittelbar in ihrem HOME Verzeichnis es sei denn dass sie dessen Recht ver ndert haben Wenn Sie den Lesezugriff auf die Home Verzeichnisse f r die Welt verhindert sollten Sie beachten dass dann Benutzer ihre pers nlichen Webseiten nicht unter public_html erstellen k nnen da der Webserver einen Teil des Pfads nicht lesen kann und zwar das HOME Verzeichnis Wenn Sie es Benutzern erlauben wollen ihre HTML Seiten in ihrem public_html zu ver ffentlichen sollten Sie DIR_MODE auf 0751 setzen Das erm glicht dem Webserver Zugriff auf das eigentliche public_html Verzeichnis welches selbst die Rechte 0755 haben sollte So kann er den von den Benutzern ver ffentlichten Inhalt anbieten Nat rlich sprechen wir hier nur ber die Standardeinstellung Benutzer k nnen grund s tzlich die Rechte f r ihre eigenen Dateien nach ihrem Gutd nken vergeben Oder Sie k nnen die Dinge die f r das Web bestimmt sind in einem getrennten Ort ablegen der kein Unterverzeichnis vom HOME Verzeichnis des Ben
312. rechte auf Protokolldateien var log last fail log Protokolle von Apache ein Stellen Sie sicher dass in etc checksecurity conf die Pr fung von SETUID eingeschaltet ist berlegen Sie sich an Protokolldateien nur erweiterbar append only und Konfigurationsdateien unver nder bar immutable zu machen indem Sie chattr benutzen nur ext2 3 Dateisystem Setzen Sie eine Integrit tspr fung des Dateisystems auf siehe Pr fung der Integrit t des Dateisystems auf Seite 59 Installieren Sie debsums Alles auf einem lokalen Drucker mitprotokollieren Brennen Sie Ihre Konfiguration auf eine bootbare CD und booten Sie hiervon Abschalten von Kernel Modulen e Einschr nkung des Netzwerkzugriffs Installieren und konfigurieren Sie ssh Vorschlag PermitRootLogin No in etc ssh sshd_config Permit EmptyPasswords No beachten Sie auch die anderen Vorschl ge im Text Schalten Sie in telnetd ab oder entfernen Sie ihn falls er installiert ist Deaktivieren Sie ganz allgemein alle berfl ssigen Dienste in etc inetd conf Benutzen Sie dazu update inetd disable oder Sie schalten inetd ganz ab oder verwenden einen Ersatz wie xinetd oder rlinetd Schalten Sie andere berfl ssige Netzwerkdienste ab ftp DNS www usw sollten nicht laufen wenn Sie sie nicht brauchen und nicht regelm ig berwachen In den meisten F llen muss ein Mail Server betrieben werden sollte aber so konfiguriert sein dass er nur lokal Mails z
313. ren Sie tiger oder ein hnliches Werkzeug zur Erkennung von Eindringlingen in Ihr Netzwerk Installieren Sie snort oder ein hnliches Werkzeug zur Erkennung von Eindringlingen in Ihr Netzwerk Verzichten Sie falls m glich auf NIS und RPC Abschalten von portmap Angelegenheiten mit Richtlinien Kapitel B Pr fliste der Konfiguration 145 Kl ren Sie die Benutzer ber das Wie und Warum Ihrer Richtlinien auf Wenn Sie etwas verboten haben das auf anderen Systemen normalerweise verf gbar ist stellen Sie Dokumentation bereit die erkl rt wie man die gleichen Resultate erreicht indem man andere sichere Mittel anwendet Verbieten Sie die Nutzung von Protokollen die Klartext Passw rter benutzen telnet rsh und hnliche ftp imap pop http Verbieten Sie Programme die SVGAlib benutzen Benutzen Sie Disk Quotas e Bleiben Sie ber Sicherheitsangelegenheiten informiert Abonnieren Sie sicherheitsrelevante Mailinglisten Richten Sie Sicherheitsaktualisierungen f r apt ein f gen Sie etc apt sources list einen Eintrag oder Eintr ge f r http security debian org hinzu Vergessen Sie auch nicht regelm ig apt get update apt get upgrade vielleicht als Cron Job lau fen zu lassen wie unter Ausf hren von Sicherheitsaktualisierungen auf Seite 35 beschrieben Kapitel B Pr fliste der Konfiguration 146 147 Anhang C Aufsetzen eines eigenst ndigen IDS Sie k n
314. ren m chten bis zum Anbieter des Pakets berpr fung der Release Datei Damit die Release Datei berpr ft werden kann wird sie mit GPG signiert Diese Unterschrift kommt in die Datei Release gpg die mit der Release Datei abgerufen werden kann Sie sieht in etwa so aus obwohl sich f r gew hn lich nur GPG ihren Inhalt ansieht Version GnuPG v1 4 1 GNU Linux iD8DBOBCqKOlnukh8wJbxY 8RAs fHAJ 9hu80GNRA12MSmP5 z2RZb6FI8kACEWVEX UBGPVc7 jbHHsg7 8EhMB1V U x609 Release gpg mit Apt berpr fen Wenn Secure Apt eine Release Datei herunterl dt l dt es immer auch die Release gpg Datei herunter Falls dies miss lingen sollte oder die Signatur nicht stimmt wird es eine R ckmeldung machen und hinweisen dass die Packages Dateien auf welche die Release Datei verweist und alle darin enthaltenen Pakete von einer nicht vertrauensw rdigen Quelle stammen So w rde dies w hrend apt get update aussehen W GPG error http ftp us debian org testing Release The following signatures couldn t be verified because the public key is not available NO_PUBKEY 010908312D230C5F 6Genau genommen handelt es sich um eine ASCII armored abgetrennte GPG Signatur Kapitel 7 Die Infrastruktur f r Sicherheit in Debian 97 Beachten Sie dass die zweite H lfte der langen Nummer die Schl ssel ID des Schl ssels ist von dem Apt nichts wei Im Beispiel ist sie 2D230C5F Falls Sie diese Warnung ignorieren und sp ter versuchen ein Pake
315. rg pzn howto chroot bind sh txt http www cryptio net ferlatte config Debian specific http web archive org web 20021216104548 http www psionic com papers whitep01 html and http csrc nist gov fasp FASPDocs NISTSecuringDNS htm 5 8 Absichern von Apache FIXME Add content modules provided with the normal Apache installation under usr lib apache X X mod_ and modules that can be installed separately in libapache mod XXX packages Sie k nnen den Zugriff auf Ihren Apache Server einschr nken wenn Sie ihn nur intern benutzen wollen zum Beispiel zu Testzwecken oder um auf die doc central Archive zuzugreifen etc und nicht wollen dass von au en auf ihn zuge griffen werden kann Um dies zu tun benutzen Sie die Listen oder BindAddress Direktiven in der Datei etc apache http conf Benutzen von Listen 5Diese Einstellungen wurden f r die neueren Ver ffentlichung von Bind noch nicht getestet 6Es sei denn Sie benutzen die instdi r Option wenn Sie dpkg aufrufen aber dann k nnte das chroot Gef ngnis etwas komplizierter werden Kapitel 5 Absichern von Diensten die auf Ihrem System laufen 79 Listen 127 0 0 1 80 Benutzen von BindAddress BindAddress 127 0 0 1 Starten Sie anschlie end Apache mit etc init d apache restart neu und Sie werden sehen dass er nur auf die lokale Schleife achtet In jedem Fall sollten Sie wenn Sie nicht die ganze Funktionalit t die Apache zur Verf gung stellt benutzen wol
316. rhindern zum Beispiel um das chroot Gef ngnis zu verlassen Ein Beispiel k nnte so aussehen bin total 660 drwxr xr x 2 root root 4096 Mar 18 13 36 drwxr xr x 8 guest guest 4096 Mar 15 16 53 r xr xr x 1 root root 531160 Feb 6 22 36 bash r xr xr x 1 root root 43916 Nov 29 13 19 1s r xr xr x 1 root root 16684 Nov 29 13 19 mkdir rwxr xr x 1 root root 23960 Mar 18 13 36 more r xr xr x 1 root root 9916 Jul 26 2001 pwd r xr xr x 1 root root 24780 Nov 29 13 19 rm lrwxrwxrwx 1 root root 4 Mar 30 16 29 sh gt bash etc total 24 drwxr xr x 2 root root 4096 Mar 15 16 13 drwxr xr x 8 guest Ouest 4096 Mar 15 16 53 LW r r 1 root root 54 Mar 15 13 23 group ri t 1 1 root root 428 Mar 15 15 56 hosts bel ege eleng 1 root root 44 Mar 15 15 53 passwd rwW r r 1 root root 52 Mar 15 13 23 shells lib total 1848 drwxr xr x 2 root root 4096 Mar 18 13 37 drwxr xr x 8 guest guest 4096 Mar 15 16 53 LWXr xr xX root root 92511 Mar 15 12 49 ld linux so 2 rwxr xr x root root 1170812 Mar 15 12 49 libc so 6 EE root root 20900 Mar 15 13 01 libcrypt so 1 rW r r root root 9436 Mar 15 12 49 libdl so 2 EW E gt root root 248132 Mar 15 12 48 libncurses so 5 LW r i gt root root 71332 Mar 15 13 00 libnsl so 1 rW r 1 root root 34144 Mar 15 16 10 libnss_files so 2 EN E 1SS root root 29420 Mar 15 12 57 libpam so 0 a gt root root 105498 Mar 15 12 51 libpthread so 0 EW t root root 25596 Mar
317. rootkit org pr ft Anzeichen von bekannten Root Kits auf dem Zielsystem Es ist aber kein v llig sicherer Test 10 5 Geniale paranoide Ideen was Sie tun k nnen Dies ist wahrscheinlich der unsicherste und lustigste Abschnitt da ich hoffe dass manche der Wow das klingt verr ckt Ideen umgesetzt werden Im Folgenden werden nur ein paar Ideen vorgestellt wie Sie Ihre Sicherheit erh hen k nnen abh ngig von Ihrem Standpunkt aus k nnen Sie sie f r genial paranoid verr ckt oder sicher halten e Mit Pluggable Authentication Modules PAM herum spielen Wie in einem phrack 56 Artikel geschrieben wurde ist das Sch ne an PAM dass Ihrer Fantasie keine Grenzen gesetzt sind Das stimmt Stellen Sie sich vor Root kann sich nur mit einen Fingerabdruck oder Abtastung des Auges oder einer Kryptokarte einloggen warum habe ich hier nur oder und nicht und gesagt e Faschistisches Protokollieren Ich w rde sagen dass alles was wir bisher ber Protokollieren besprochen haben unter weiches Loggen f llt Wenn Sie echtes Protokollieren betreiben wollen besorgen Sie sich einen Drucker mit Endlos Papier und schicken ihm alle Protokolle H rt sich lustig an ist aber zuverl ssig und kann nicht manipuliert oder entfernt werden e CD Distribution Diese Idee ist sehr leicht zu realisieren und bewirkt ganz gute Sicherheit Erstellen Sie eine abgesi cherte Debian Distribution mit passenden Firewall Regeln Erstellen Sie davo
318. rotokollen finden Dec 30 07 33 36 debian MARK Dec 30 07 53 36 debian MARK Dec 30 08 13 36 debian MARK This does not indicate any kind of compromise and users changing between Debian releases might find it strange If your system does not have high loads or many active services these lines might appear throughout your logs This is an indication that your syslogd daemon is running properly From syslogd 8 m interval Der Syslogd protokolliert regelm ig einen Zeitstempel Der voreingestellte Abstand zwischen zwei MARK Zeilen ist 20 Minuten Er kann mit dieser Option ge ndert werden Setzen Sie den Abstand auf Null um die Zeitstempel komplett abzuschalten 12 2 4 Ich habe Benutzer gefunden die laut meinen Protokolldateien su benutzen Bin ich kom promittiert Sie k nnten in Ihren Protokolldateien Zeilen wie die folgenden finden Apr 1 09 25 01 server su 30315 root nobody Apr 1 09 25 01 server PAM_unix 30315 su session opened for user nobody by UID 0 Seien Sie nicht zu besorgt Priifen Sie ob dies durch einen Cron Job hervorgerufen wird normalerweise etc cron daily find oder logrotate grep 25 etc crontab 25 9 xx root test e usr sbin anacron run parts report etc cron daily grep nobody etc cron daily find cd amp amp updatedb localuser nobody 2 gt dev null Kapitel 12 H ufig gestellte Fragen Frequently asked Questions FAQ 139 12 2 5 Ich hab
319. roup exists if z grep GROUP etc group then echo Creating group GROUP addgroup GROUP else echo WARN Group GROUP already exists Will not create it fi Same for the user if z grep USER etc passwd then echo Creating user USER adduser system home home USER no create home ingroup GROUP disabled password disabled login USER else echo WARN The user USER already exists Will not create it fi Change the init d script First make a backup check that there is not already one there first if f SINITDBAK then cp SINITD INITDBAK fi Then use it to change it cat SINITDBAK eval SAWKS gt SINITD Now put the options in the etc default bind file cat gt gt DEFAULT lt lt EOF Make bind run with the user we defined OPTIONS u USER g GROUP EOF echo WARN The script INITD has been changed trying to test the changes echo Restarting the named daemon check for errors here SINITD restart if ne 0 then echo ERR Failed to restart the daemon restore exit 1 fi RUNNING ps eo fname grep named if z SRUNNING then echo ERR Named is not running probably due to a problem with the changes restore exit 1 fi Check if it s running as expected RUNUSER ps eo user fname grep named cut f 1 da if SRUNUSER SUSER then echo All has gone well named seems to be running now as U
320. rungen anzeigen zu lassen und zu installieren Diese Anwendung arbeitet damit dass sie die Paketdatenbank abruft und ihren Inhalt mit dem System vergleicht Wenn die Datenbank regelm ig mit cron aktualisiert wird ist ihr Inhalt aktueller als die auf dem System installierten Pakete worauf die Anwendung Sie hinweisen wird Apt richtet eine solche Aufgabe ein etc cron d apt die abh ngig von der Konfiguration von Apt ausgef hrt wird genauer gesagt je nach APT Periodic In der GNOME Umgebung kann dieser Wert ber System gt Admin gt Software origins gt Updates oder mit usr bin software properties ge ndert werden Wenn Ihr System t glich die Paketliste herunterladen soll aber nicht die Pakete selbst sollte etc apt apt conf d 10periodic etwa so aussehen APT Periodic Update Package Lists 1 APT Periodic Download Upgradeable Packages 0 Sie k nnen auch eine andere cron Aufgabe verwenden z B die von cron apt installierte vgl Automatisches berpr fung von Aktualisierungen mit cron apt auf dieser Seite Damit k nnen Sie auch nur per Hand nach Aktualisierungen suchen Benutzer der KDE Umgebung sollten stattdessen adept und adept notifier installieren die vergleichbare Funktionen anbieten aber nicht in der Standardinstallation enthalten sind Automatisches berpr fung von Aktualisierungen mit cron apt Eine andere Methode f r automatische Sicherheitsaktualisierungen ist cron apt Dieses Paket stellt
321. s Attribut i immutable unver nderlich Eine Datei mit diesem Attribut kann weder ver ndert noch gel scht oder umbenannt werden nicht einmal vom Superuser Auch ein Link auf sie kann nicht angelegt werden e Das Attribut a append anf gen Dieses Attribut hat den gleichen Effekt wie das Attribut immutable allerdings mit der Ausnahme dass Sie immer noch die Datei im Anf gen Modus ffnen k nnen Das bedeutet dass Sie ihr immer noch Inhalt hinzuf gen aber den vorhanden Inhalt nicht ver ndern k nnen Dieses Attribut ist besonders f r die Protokolldateien n tzlich die unter var log gespeichert werden Beachten Sie aber dass sie durch Log Rotations Skripte manchmal verschoben werden Diese Attribute k nnen auch f r Verzeichnisse vergeben werden In diesem Fall ist es jedem unm glich den Inhalt des Verzeichnisses zu ver ndern also beispielsweise eine Datei umzubenennen oder zu l schen Wenn das append Attribut einem Verzeichnis zugewiesen wird k nnen nur noch Dateien erstellt werden It is easy to see how the a attribute improves security by giving to programs that are not running as the superuser the ability to add data to a file without modifying its previous content On the other hand the i attribute seems less interesting after all the superuser can already use the basic Unix permissions to restrict access to a file and an intruder that would get access to the superuser account could always use
322. s Handbuch auf anderen Sites sind tats chlich veraltet 1 6 14 Version 3 4 August September 2005 nderung von Javier Fern ndez Sanguino Pe a Die Verbesserung der Sicherheit nach der Installation im Zusammenhang mit der Kernelkonfiguration f r den Schutz der Netzwerkebene mit der Datei sysctl conf verbessert Wurde von Will Moy zur Verf gung gestellt Den Abschnitt ber Gdm dank Simon Brandmair verbessert Ausbesserungen von Tippfehlern die von Frederic Bothamy und Simon Brandmair entdeckt wurden Verbesserungen im Abschnitt Nach der Installation im Zusammenhang wie MD5 Summen oder SHA 1 Summen f r periodische berpr fungen erstellt werden Den Abschnitt Nach der Installation in Hinblick auf die Konfiguration von Checksecurity war veraltet aktualisiert 1 6 15 Version 3 3 Juni 2005 nderung von Javier Fern ndez Sanguino Pefia Einen Code Schnipsel hinzugef gt um mit Grep available eine Liste von Paketen zu erstellen die von Perl abh ngen Wurde so in 302470 erbeten Den Abschnitt ber Netzwerkdienste neu geschrieben welche installiert sind und wie man sie abschaltet Weitere Informationen zum Abschnitt ber die Entwicklung eines Honigtopfs hinzugef gt indem n tzliche Debian Pakete erw hnt werden 1 6 16 Version 3 2 M rz 2005 nderung von Javier Fern ndez Sanguino Pe a Den Abschnitt ber die Konfiguration von Limits mit PAM erweitert Informationen hinzugef gt wie pam_chroot f r Ope
323. s Sie mit Ihrem System machen wollen oder etwa nicht sollten Sie nur Software installieren die Sie wirklich f r den Betrieb ben tigen Jedes unn tig installierte Programm k nnte von einem Benutzer der Ihr System kompromittieren will genutzt werden oder von einem externen Eindringling der Shell Zugriff bekommen hat oder der Code von au erhalb durch einen fehlerhaften Dienst ausf hren kann Zum Beispiel kann das Vorhandensein von Hilfsprogrammen f r Programmierer ein C Compiler oder Interpretern wie Perl siehe allerdings unten Python tcl einem Angreifer helfen das System weiter zu kompromittieren e Der Angreifer kann seine Privilegien auf dem System erweitern Es ist beispielsweise leichter eine lokale Sicherheits l cke des Systems auszunutzen wenn man einen Debugger und Compiler zur Verf gung hat um den eigenen Exploit ein Programm das eine Sicherheitsl cke ausnutzt zu kompilieren und zu testen e Man k nnte dem Angreifer Werkzeuge zur Verf gung stellen die ihm helfen k nnten das kompromittierte System als Basis Dir Angriffe auf andere Systeme zu benutzen Nat rlich kann ein Eindringling mit lokalem Shell Zugriff seine eigenen Programme herunterladen und ausf hren Und sogar die Shell selbst kann benutzt werden um komplexere Programme zu schreiben Das Entfernen unn tiger Programme wird also nicht helfen das Problem zu verhindern Jedoch wird es f r den Angreifer etwas schwieriger das System zu ko
324. s das passende PAM laden Sie k nnen herausfinden welche Dienste H chst grenzen durchsetzen indem Sie Folgendes ausf hren find etc pam d name dpkg xargs grep limits grep v F r gew hnlich setzen Login Ssh und die grafischen Sitzungsmanager Gdm Kdm und Xdm Benutzerh chstgrenzen durch aber Sie sollte dies auch in anderen Konfigurationsdateien fiir PAM wie fiir Cron vornehmen um zu verhindern dass System Daemons alle Systemressourcen aufbrauchen Die konkreten Begrenzungen die Sie festlegen wollen h ngt von den Ressourcen Ihres Systems ab Das ist einer der Haupt gr nde warum keine H chstgrenzen in der Standardinstallation enthalten sind So setzt die Konfiguration im Beispiel unten eine Begrenzung von 100 Prozessen f r alle Benutzer um Fork Bomben zu vermeiden eine Begrenzung auf 10 MB Speicher pro Prozess und ein H chstgrenze von 10 gleichzeitigen Logins durch Benutzer in der Gruppe adm haben h here Begrenzungen und k nnen Dateien mit einem Speicherabbild schreiben wenn sie das wollen es gibt also nur eine weiche Begrenzung soft core 0 hard core 0 D hard rss 000 hard memlock 000 hard nproc 00 maxlogins hard data 02400 hard fsize 2048 adm hard core 00000 adm hard rss 00000 adm soft nproc 2000 adm hard nproc 3000 adm hard fsize 00000 adm maxlogins 0 Dies k nnten die H chstgrenzen eines Standardbenutzers einschlie lich der System Daemons s
325. s net ipv4 conf all accept_redirects echo 0 gt proc sys net ipv4 conf all send_redirects Disable source routed packets echo 0 gt proc sys net ipv4 conf all accept_source_route exit 0 Beachten Sie dass Sie auch verschiedene Netzwerkoptionen fiir verschiedene Schnittstellen falls Sie mehr als eine haben setzten k nnen indem Sie die pre up Zeile ver ndern pre up etc network interface secure IFACE Zus tzlich m ssen Sie ein Skript verwenden das nderungen nur auf eine bestimmte Schnittstelle anwendet und nicht auf alle Schnittstellen Beachten Sie aber dass einige Netzwerkoptionen nur global gesetzt werden k nnen Dies ist ein Beispielsskript bin sh e Skriptname etc network interface secure Ver ndert das Standardverhalten f r alle Schnittstellen in einigen Bereichen um vor TCP IP Spoofing und Angriffen zu sch tzen Wurde von Dariusz Puchalak beigesteuert IFACE 1 if z SIFACE then echo 0 Must give an interface name as argument echo Usage 0 lt interface gt Kapitel 4 Nach der Installation 63 exit 1 fi if e proc sys net ipv4 conf SIFACE then echo 0 Interface IFACE does not exit cannot find proc sys net ipv4 conf exit 1 fi echo 0 gt proc sys net ipv4 conf IFACE forwarding IP forwarding disabled echo 1 gt proc sys net ipv4 conf IFACE log_martians Log strange packets this includes spoofed packets source routed
326. se werden alle ben tigten Pakete installiert um Abh ngigkeiten aufzul sen 2Es kann auch von http www cert org kb acid http acidlab sourceforge net oder http www andrew cmu edu rdanyliw snort heruntergeladen werden Kapitel C Aufsetzen eines eigenst ndigen IDS 148 149 Anhang D Aufsetzenden einer Bridge Firewall Diese Informationen trug Francois Bayart bei um Benutzern zu helfen eine Linux Bridge Firewall mit 2 4 x Kernel und iptables aufzusetzen Ein Kernelpatch wird nicht mehr ben tigt da der Code Standardinhalt der Linux Kernel Distribution wurde Um die notwendigen Einstellungen im Kernel vorzunehmen rufen Sie make menuconfig oder make xconfig auf Ak tivieren Sie im Abschnitt Networking options folgende Optionen Network packet filtering replaces ipchains EJ Network packet filtering debugging NEW lt gt 802 1d Ethernet Bridging x netfilter firewalling support NEW Passen Sie auf dass Sie Folgendes deaktiviert m ssen wenn Sie Firewall Regeln anwenden wollen anderenfalls wird ipta bles nicht funktioniert Network packet filtering debugging NEW Anschlie end m ssen Sie die korrekten Optionen im Abschnitt IP Netfilter Configuration setzen Dann kompilieren und in stallieren Sie den Kernel Wenn Sie dies auf die Debian Art machen wollen installieren Sie kernel package und benutzen Sie make kpkg um ein ma geschneidertes Debian Kernelpaket zu erstellen das Sie mit dpkg auf I
327. sein um Sicherheitsaktualisierungen herunterzula den Dies wurde in Ausf hren von Sicherheitsaktualisierungen auf Seite 35 diskutiert Allerdings wird dieses Vorgehen ohne eine genaue Analyse nicht f r Unstable empfohlen da Sie Ihr System in einen un brauchbaren Zustand bringen k nnen wenn sich ein gravierender Fehler in ein wichtiges Paket eingeschlichen hat und auf Ihrem System installiert wird Testing ist vor diesem Problem etwas besser gesch tzt da gravierende Fehler eine bessere Chance haben entdeckt zu werden bevor das Paket in den Testing Zweig wandert obwohl Ihnen trotzdem keine Sicher heitsaktualisierungen zur Verf gung stehen Wenn Sie eine gemischte Distribution haben also eine Installation von Stable mit einige Pakete aus Testing oder Unstable k nnen Sie mit den Pinning Eigenschaften oder der Option target release von apt get herumspielen um nur die Pakete zu aktualisieren die Sie fr her aktualisiert haben 1Sje k nnen auch die Option quiet q verwenden Sie verringert die Ausgabe von apt get und wird keine Ausgabe produzieren wenn keine Pakete installiert werden Beachten Sie dass einige Pakete nicht debconf verwenden k nnten Die Aktualisierung k nnte dann h ngen bleiben da Pakete w hrend ihrer Konfiguration Eingaben des Benutzers verlangen 3Dies ist ein verbreitetes Problem da viele Benutzer ein stabiles System betreiben wollen aber einige Pakete aus Unstable einsetzen um die neusten F
328. sem vor 12 1 2 In Bugtraq gibt es viele Debian Fehler Hei t das dass es sehr gef hrdet ist Die Debian Distribution enth lt eine gro e und wachsende Zahl von Softwarepaketen wahrscheinlich sogar mehr als mit vielen propriet ren Betriebssystemen geliefert wird Je mehr Pakete installiert sind desto gr er ist die M glichkeit von Sicherheitsl cken in einem System Immer mehr Menschen untersuchen den Quellcode um Fehler zu entdecken Es gibt viele Anweisungen im Zusammen hang mit Audits des Quellcodes von gro en Softwarekomponenten die in Debian enthalten sind Immer wenn ein solcher Audit Sicherheitsl cken aufdeckt werden sie ausgebessert und eine Ank ndigung wird an Listen wie Bugtraq geschickt Fehler die in der Debian Distribution vorhanden sind betreffen normalerweise auch andere Anbieter und Distributionen Pr fen Sie einfach den Debian specific yes no Abschnitt am Anfang jeder Ank ndigung DSA 12 1 3 Hat Debian irgendein Zertifikat f r Sicherheit Die kurze Antwort Nein Die lange Antwort Zertifikate kosten Geld besonders ein seri ses Sicherheitszertifikat Niemand hat die Ressourcen aufge bracht um Debian GNU Linux beispielsweise mit irgendeinem Level des Common Criteria http niap nist gov cc scheme st zertifizieren zu lassen Wenn Sie daran interessiert sind eine GNU Linux Distribution mit Sicherheits zertifikaten zu haben stellen Sie uns die Ressourcen zur Verf gung um dies m glich zu ma
329. separate Partitionen sind werden sie nicht ge l scht falls Sie einmal Ihr Debian neu installieren m ssen e Rein sicherheitstechnisch ist es sinnvoll zu versuchen statische Daten auf eine eigene Partition zu legen und diese dann als nur lesbar einzuh ngen mounten Oder noch besser Legen Sie diese Daten auf einem rein lesbaren Medium ab Lesen Sie dazu die Ausf hrungen weiter unten 1 Eigentlich ist das so nicht ganz richtig da immer etwas Platz f r Root reserviert wird den ein normaler Benutzer nicht belegen kann Ein sehr gutes Beispiel dieser Art von Angriff der das tmp Verzeichnis benutzt ist ausf hrlich auf The mysteriously persistently exploitable pro gram contest http www hackinglinuxexposed com articles 20031111 html und auf The mysteriously persistently exploitable program explained http www hackinglinuxexposed com articles 20031214 html beschrieben beachten Sie dass dieser Vorfall in einem Zusam menhang mit Debian steht Im Prinzip ist das ein Angriff bei dem ein lokaler Benutzer eine angreifbare Setuid Anwendung versteckt indem er einen harten Link zu ihr einrichtet So kann er wirksam verhindern dass diese Anwendung vom Systemadministrator aktualisiert oder entfernt wird Dpkg wurde k rzlich verbessert um das zu verhindern vergleiche 225692 http bugs debian org 225692 Aber andere Setuid Anwendungen die nicht vom Paketverwaltungsprogramm gesteuert werden bleiben ein Risiko wenn Partitionen
330. ser See checksecurity 8 for more configuration info 4 18 Absicherung des Netzwerkzugangs FIXME mehr f r Debian spezifischer Inhalt ben tigt 4 18 1 Konfiguration der Netzwerkf higkeiten des Kernels Many features of the kernel can be modified while running by echoing something into the proc file system or by using sysctl Byentering sbin sysctl A you can see what you can configure and what the options are and it can be modi fied running sbin sysctl w variable value see sysct1 8 Only in rare cases do you need to edit something here but you can increase security that way as well For example net ipv4 icmp_echo_ignore_broadcasts 1 Dies ist ein Windows Emulator weil es sich wie Windows bei Rundrufen Broadcast Ping verh lt wenn es auf 1 gesetzt wird Das bedeutet dass ICMP Echo Anfragen die an die Rundrufadresse geschickt werden ignoriert werden Anderenfalls macht es gar nichts Falls Sie verhindern wollen dass Ihr System auf ICMP Echo Anfragen antwortet m ssen Sie nur diese Konfigurationsop tion anschalten net ipv4 icmp_echo_ignore_all 1 Verwenden Sie Folgendes um Pakete mit unm glichen Adressen erzeugt durch falsche Routen in Ihrem Netzwerk zu protokollieren proc sys net ipv4 conf all log_martians 1 F r weiterf hrende Informationen welche Sachen mit proc sys net ipv4 x angestellt werden k nnen sollten Sie usr src linux Documentation filesystems proc txt lesen Alle Optionen werden gr
331. ser agents with GPG PGP functionality in the security tools chapter Clarified how to enable MD5 passwords in woody added a pointer to PAM as well as a note regarding the max definition in PAM Added a new appendix on how to create chroot environments after fiddling a bit with makejail and fixing as well some of its bugs integrated duplicate information in all the appendix Added some more information regarding SSH chrooting and its impact on secure file transfers Some information has been retrieved from the debian security mailing list June 2002 thread secure file transfers New sections on how to do automatic updates on Debian systems as well as the caveats of using testing or unstable regarding security updates New section regarding keeping up to date with security patches in the Before compromise section as well as a new section about the debian security announce mailing list Added information on how to automatically generate strong passwords New section regarding login of idle users Reorganized the securing mail server section based on the Secure hardened minimal Debian or Why is the base system the way it is thread on the debian security mailing list May 2002 Reorganized the section on kernel network parameters with information provided in the debian security mailing list May 2002 syn flood attacked thread and added a new FAQ item as well New section on how to check users passwords and which packages to i
332. serfs jfs oder xfs Dadurch verringern Sie Probleme nach einen Absturz des Systems in folgenden F llen e Auf Laptops auf allen Dateisystemen Auf diese Art reduzieren Sie die Wahrscheinlichkeit eines Datenverlustes wenn beispielsweise unerwartet Ihr Akku leer wird oder das System aufgrund eines Hardware Problems etwa durch die X Konfiguration was relativ h ufig auftritt neu gestartet werden muss e Auf produktiven Systemen die gro e Mengen von Daten speichern zum Beispiel Mail Server FTP Server Netzwerk Dateiserver ist es empfehlenswert ein Journaling Dateisystem auf diesen Partitionen einzusetzen Wenn das System abst rzt ben tigt der Server so weniger Zeit um das Dateisystem wieder herzustellen und zu pr fen und die Wahrscheinlichkeit eines Datenverlustes wird verringert Lassen wir mal die Betrachtung der Leistung von Journaling Dateisystemen beiseite da dies oft in quasi religi se Glau benskriege ausartet In der Regel ist es besser das ext 3 Dateisystem zu benutzen Der Grund daf r ist die Abw rtskom patibilit t zu ext2 So k nnen Sie wenn es Probleme mit dem Journal gibt dieses einfach abschalten und haben immer noch ein funktionierendes Dateisystem Au erdem m ssen Sie wenn Sie das System mal mit einer Boot Diskette oder CD ROM wiederherstellen m ssen keinen speziellen Kernel benutzen Wenn es sich um einen 2 4er oder 2 6er Kernel handelt ist Unterst tzung f r ext 3 bereits vorhanden Wenn es sich um
333. sets some network options with builtin values These values may be overridden using etc network options SE dE SE FE OE EE kernel domainname example com Additional settings adapted from the script contributed by Dariusz Puchala see below Ignore ICMP broadcasts net ipv4 icmp_echo_ignore_broadcasts 1 Ignore bogus ICMP errors net ipv4 icmp_ignore_bogus_error_responses 1 Do not accept ICMP redirects prevent MITM attacks net ipv4 conf all accept_redirects 0 or Accept ICMP redirects only for gateways listed in our default gateway list enabled by default net ipv4 conf all secure_redirects 1 Do not send ICMP redirects we are not a router net ipv4 conf all send_redirects 0 Do not forward IP packets we are not a router Note Make sure that etc network options has ip_forward no net ipv4 conf all forwarding 0 Enable TCP Syn Cookies Kapitel 4 Nach der Installation 62 Note Make sure that etc network options has syncookies yes net ipv4 tcp_syncookies 1 Log Martian Packets net ipv4 conf all log_martians 1 Turn on Source Address Verification in all interfaces to prevent some spoofing attacks Note Make sure that etc network options has spoofprotect yes net ipv4 conf all rp_filter 1 Do not accept IP source route packets we are not a router net ipv4 conf all accept_source_route 0 Um dieses Skript verwe
334. sind gibt es zwei verschiedene Wege um diese Daten aktuell zu halten clamav freshclam er ffnet die M glichkeit die Datenbank automatisch ber das Internet zu aktualisieren und clamav data stellt die Daten unmittelbar zur Verf gung e mailscanner ist ein Gateway Scanner der in E Mails Viren und Spam entdeckt Er arbeitet auf der Grundlage von sendmail oder exim und kann mehr als 17 verschiedene Virensuch Engines einschlie lich clamav verwenden e libfile scan perl welches File Scan liefert Das ist eine Erweiterung von Perl mit der Dateien nach Viren durch sucht werden k nnen Mit diesem Modul k nnen plattformunabh ngige Virenscanner realisiert werden 2 Wenn Sie das letztere Paket verwenden und ein offizielles Debian betreiben wird die Datenbank nicht im Zuge von Sicherheitsaktualisierung auf den neusten Stand gebracht Sie sollten entweder clamav freshclam clamav getfiles verwenden um neue clamav data Pakete zu erstellen oder die Datenbank ber die Seite der Betreuer aktuell halten deb http people debian org zugschlus clamav data deb src http people debian org zugschlus clamav data Kapitel 8 Sicherheitswerkzeuge in Debian 109 e Amavis Next Generation http www sourceforge net projects amavis istim Paket amavis ng enthal ten und in Sarge verf gbar Es ist ein Virusscanner der in verschiedene MTAs Exim Sendmail Postfix oder Qmail integriert werden kann Er unterst tzt mehr als 15 Virensuch
335. sion 9 0 Oktober 2005 osos iba eRe CEES Cede es use PRES BEES 7 16 10 Version as uli 2005 a5 oe eae dake ee Ph da ee 8 1 6 11 Version 3 7 ApH 2006 ciar EE EE ET a ee e E 8 16 12 Version 3 6 EE ae eS hen NEE 8 16 13 Version 25 November 2005 22 ia he ee em derart 9 LOIS Version August September 2009 222332 boa 28a era in nr ne 9 16 13 Version 23 Wun 2000 at dd a A a A ER Bt a ae 9 1 6 16 Version 3 2 Matz 2005 2264 cba ws nn Ee a a ee ee E 9 LEAF Vasos Mana NC EEN 10 16 18 Version 2 0 December 2008 gt 4 4 a mii o Owe as ete a E be dE 10 16 19 Version 299 March 2008 stores EE ee a ie a E a 10 16 20 Version 499 December 2003 odres AAA a a RR 11 1 621 Version 2 97 September 2003 44 be ae EEN ur ET na ee e 11 SE Verso 2 SO Aust 200 u a her a eo ee ar er 11 16 23 Version 299 June 2009 2 A bas ce a ee ne er een bee eee eee 11 L624 Version 294 April 2003 2 oe iris Shae ae ehren Ferne Denn 12 1625 Version 290 MAN 2009 gt 2 5 od awk ee eed A a ea ee eRe a Red a 12 1 6 26 Version 2 92 February 2003 ce 424 neet Pee ee ET e ee ee Gee e E 12 1 6 27 Version 2 91 January February 2008 e ce cee Sk ee OR A eR Oe Ee 12 INHALTSVERZEICHNIS ii 1 6 28 Version 2 9 December 2002 4 4 45 6644 2 bd da ea eae ee EN 12 16 29 Version 48 November 2002 osos tejer ea ech een 13 16 30 Version 47 October 2002 2 8 223 as nein EEEE a sen las use 13 1 6 31 Version 2 6 September 2002 2 2 4 4 3 Zus ee a Kenn erleben e
336. sklogd e usr sbin syslog facility aus dem Paket sysklogd e usr sbin update inetd aus dem Paket netbase Ohne Perl und solange Sie diese Dienstprogramme nicht in einem Shell Skript neu schreiben werden Sie also wahrschein lich keine Pakete mehr verwalten k nnen und so kein Upgrade des Systems durchf hren k nnen was keine gute Idee ist Wenn Sie fest dazu entschlossen sind Perl aus dem Debian Basissystem zu entfernen und ein wenig Freizeit haben schicken Sie uns doch Fehlerberichte zu den aufgez hlten Paketen die als ein Patch einen Ersatz dieser Dienstprogramme als Shell Skript enthalten Wenn Sie wissen wollen welche Debian Pakete von Perl abh ngen k nnen Sie Folgendes verwenden grep available s Package Priority F Depends perl oder apt cache rdepends perl 3 7 Lesen Sie Debians Sicherheits Mailinglisten Es ist niemals falsch einen Blick in die Mailingliste debian security announce zu werfen auf der Anleitungen und Pro bleml sungen durch das Debian Sicherheits Team bekannt gemacht werden oder sich an mailto debian security lists debian org zu beteiligen wo Sie an Diskussionen zu sicherheitsrelevanten Fragen teilnehmen k nnen Um wichtige Warnungen zu Sicherheitsaktualisierungen zu erhalten senden Sie eine E Mail an debian security announce request lists debian org nailto debian security announce request lists debian org mit dem Wort subscribe in der Betreffzeile Sie k nnen diese mod
337. slog ein Sehr wichtig auf ernsthaft betriebenen Maschinen aber beachten Sie dass dies auch die Privatsph re verletzen kann SYSLOG_SG_ENAB yes Das gleiche wie bei SYSLOG_SU_ENAB aber f r das Programm Sg ENCRYPT_METHOD SHA512 Wie bereits erkl rt reduziert eine Verschl sselung von Passw rtern die Gefahr von W rterbuchangriffen erheblich da Sie l ngere Passw rter benutzen k nnen Diese Definition muss mit dem Wert in etc pam d common password berein stimmen 4 11 4 Aktionen bei der Benutzeranmeldung etc pam d login bearbeiten Sie k nnen die Datei zur Konfiguration des Anmeldevorgangs anpassen um eine strengere Richtlinie festzuschreiben Zum Beispiel k nnen Sie die Wartezeit zwischen zwei Anmeldeversuchen im Vergleich zur Standardkonfiguration erh hen Diese Standardvorgabe setzt eine Wartezeit von drei Sekunden auth optional pam_faildelay so delay 3000000 Wenn Sie den Wert von delay erh hen wird es schwieriger sich durch blo es Ausprobieren von Passw rtern brute force erfolgreich am Terminal anzumelden Wenn ein falsches Passwort eingegeben wird muss ein m glicher Angreifer oder ein normaler Benutzer viele Sekunden warten bis er wieder eine Eingabeaufforderung erh lt wodurch das Durchprobieren von Passw rtern sehr zeitaufwendig werden kann So m ssen etwa Benutzer bei delay 10000000 zehn Sekunden warten wenn sie das falsche Passwort eingeben In dieser Datei k nnen Sie auch einrichten dass das Sy
338. snews acl Safe_ports port 280 http mgmt acl Safe_ports port 488 gss http acl Safe_ports port 591 filemaker acl Safe_ports port 777 multiling http acl Safe_ports port 901 SWAT acl purge method PURGE acl CONNECT method CONNECT Erlaube nur cachemgr Zugriff von localhost http_access allow manager localhost http_access deny manager Erlaube nur purge Anfragen von localhost http_access allow purge localhost http_access deny purge Verbiete Anfragen zu unbekannten Ports http_access deny Safe_ports Verbiete CONNECT zu anderen als SSL Ports http_access deny CONNECT SSL_ports Kapitel 5 Absichern von Diensten die auf Ihrem System laufen 70 INSERT YOUR OWN RULE S HERE TO ALLOW ACCESS FROM YOUR CLIENTS http_access allow localhost And finally deny all other access to this proxy http_access deny all Default icp_access deny all Allow ICP queries from everyone icp_access allow all Sie sollten Squid auch entsprechend Ihren System Ressourcen konfigurieren einschlie lich des Cache Speichers Option cache_mem der Lage der zwischengespeicherten Dateien und der verwendeten Speichermenge auf der Platte Option cache_dir Beachten Sie dass es bei ungeeigneter Konfiguration vorkommen kann dass jemand eine Mail ber Squid weiterleitet da die Protokolle HTTP und SMTP ein hnliches Design haben Squids Standardkonfiguration verweigert Zugriffe auf Port 25 Wenn Sie Verbindungen an Port 25 erlauben wollen
339. ss beispielsweise f r ldap zu auth required pam_ldap so Im Fall von LDAP Verzeichnissen liefern manche Dienste LDAP Schemata mit die Sie Ihrem Verzeichnis hinzuf gen k n nen um eine LDAP Authentifizierung zu benutzen Wenn Sie relationale Datenbanken benutzen gibt es einen n tzlichen Trick Benutzen Sie die Klausel where wenn Sie die PAM Module konfigurieren Wenn Sie beispielsweise eine Datenbank mit der folgenden Tabelle haben user_id user_name realname shell password UID GID homedir sys pop imap ftp Wenn Sie die Attribute der Dienste zu Boolean Feldern machen k nnen Sie sie verwenden um den Zugang zu den ver schiedenen Diensten zu erlauben oder zu verbieten Sie m ssen dazu nur die geeigneten Zeilen in folgende Dateien einf gen etc pam d imap where imap 1 etc pam d qpopper where pop 1 etc nss mysqlx conf users where_clause user sys 1 etc proftpd conf SQLWhereClause ftp 1 Kapitel 12 H ufig gestellte Fragen Frequently asked Questions FAQ 138 12 2 Mein System ist angreifbar Sind Sie sich sicher 12 2 1 Der Scanner X zur Einsch tzung der Verwundbarkeit sagt dass mein Debian System ver wundbar w re Viele Scanner zur Einsch tzung der Verwundbarkeit liefern falsche Positivmeldungen wenn sie auf Debian Systemen ein gesetzt werden Das liegt daran dass sie nur die Version eines Softwarepakets berpr fen um herauszufinden ob es ver wundbar ist Sie pr fen n
340. ss die Verwendung von scp den Benutzern Zugang zum gesamten Dateisystem erm glicht es sei denn dass es in eine chroot Umgebung eingesperrt ist wie es in SSH in ein Chroot Gef ngnis einsperren auf Seite 68 be schrieben wird Wahrscheinlich sogar leichter abh ngig vom verwendeten Daemon kann auch der FTP in eine chroot Umgebung eingesperrt werden Das wird in Absichern von FTP auf Seite 70 beschrieben Falls Sie sich sorgen dass Be nutzer Ihre lokalen Dateien durchsehen und Sie verschl sselte Kommunikation w nschen k nnen Sie einen FTP Daemon mit Unterst tzung f r SSL einrichten oder FTP mit Klartext und VPN verbinden siehe Virtual Private Networks virtuelle private Netzwerke auf Seite 106 4 17 Einschr nkung und Kontrolle des Dateisystems 4 17 1 Benutzung von Quotas Es ist wichtig eine gute Quota Regelung zu haben da es die Benutzer daran hindert die Festplatten zu f llen Sie k nnen zwei Arten von Quota Systemen benutzen Benutzer Quota und Gruppen Quota Wie Sie sich sicher denken k nnen begrenzt ein User Quota den Plattenplatz den ein Benutzer belegen kann und ein Gruppen Quota macht dasselbe f r Gruppen Beachten Sie dies wenn Sie die Gr e der Quotas festlegen Es gibt ein paar wichtige Punkte die Sie erw gen sollten wenn Sie ein Quota System aufsetzen e Halten Sie die Quotas klein genug so dass die Benutzer Ihren Festplattenplatz nicht aufzehren k nnen e Halten Sie die Quotas gro
341. ss to the hashed passwords the etc shadow file Ein Administrator kann john oder crack beide benutzen Brute Force rohe Gewalt zum Knacken von Passw rtern zusammen mit einer passenden W rterliste verwenden um die Passw rter der Benutzer zu berpr fen und falls ein schlechtes Passwort entdeckt wird geeignete Schritte unternehmen Sie k nnen mit apt cache search wordlist nach Debian GNU Paketen suchen die W rterlisten enthalten oder Sie besuchen die klassischen Internetseiten mit W rterlisten wie ftp f ftp ox ac uk pub wordlists oder ftp ftp cerias purdue edu pub dict 4 11 16 Abmelden von unt tigen Benutzern Unt tige idle Benutzer stellen f r gew hnlich ein Sicherheitsproblem dar Ein Benutzer kann unt tig sein da er Mittages sen ist oder weil eine Verbindung aus der Ferne h ngen blieb und nicht wieder hergestellt wurde Unabh ngig von den Gr nden k nnen unt tige Benutzer zu einer Kompromittierung f hren e weil die Konsole des Benutzers vielleicht nicht verriegelt ist und damit ein Eindringling darauf zugreifen kann e because an attacker might be able to re attach to a closed network connection and send commands to the remote shell this is fairly easy if the remote shell is not encrypted as in the case of telnet In einige Systeme in der Ferne wurde sogar schon durch ein unt tiges und abgel stes Screen eingedrungen Die automatische Trennung von unt tigen Benutzern ist gew hnlich ein Teil der lo
342. stel len und zu vertreiben sofern die gesamte resultierende Arbeit unter den Bedingungen einer Genehmigung identisch zu dieser vertrieben wird d Unverbindliche bersetzung Es ist erlaubt bersetzungen dieses Dokuments in eine andere Sprache unter den obigen Bedingungen f r ver nderte Versionen zu kopieren und zu verteilen mit der Ausnahme dass diese Genehmigung bersetzt statt im urspr nglichem Englisch eingebunden werden kann sofern diese bersetzung des Copyrights von der Free Software Foundation genehmigt ist d U Inhaltsverzeichnis 1 Einleitung 1 1 1 2 13 1 4 1 5 1 6 1 ANOTE aan ee Ew SER ae ee ee an 1 Wo Sie diese Anleitung bekommen und verf gbare Formate 2 2 222m ee ee 2 EE Ged a aan Be ee ack dae an 2 MOIWIRSEN o os acp k Bi ee ee Be E ee Bo AR A 2 Dinge die noch geschrieben werden m ssen FIXME TODO anaana a 3 nderungs bersicht Changelog Geschichte aa nennen eee 5 1 61 Versions 17 January 2015 sese die EE ee e a ee a LE 5 10 2 Version S16 anar 2013 o a ade E hen er mr 5 163 Version 319 Dezember NUN a LE A ne er em bee eee AE 6 Lod er 14 Marz 2009 ss ies nkir A Se A a tebe bo Neri pr Ae es 6 163 WVersion3 13 Tebruar 2008 o ed erg ee d A e Ee a A A a A A 6 166 Version 3 12 Angust 2007 us ars re ED ee eee ee Meee ns 6 167 Version 311 anar 2007 a aa e ae Da pen 6 LGS Version 310 November 2006 lt gt s ss oa kie aooi e a A E a e be aed 7 16 9 Ver
343. stem dem Benutzer vor einer Anmeldung eine Nachricht anzeigt Standardm ig ist dies deaktiviert wie Sie hier sehen k nnen Kapitel 4 Nach der Installation 47 auth required pam_issue so issue etc issue Falls es Ihre Sicherheitsrichtlinie erfordert k nnen Sie mit dieser Datei eine Standardnachricht dass der Zugang zum Sys tem beschr nkt und der Benutzerzugang protokolliert wird anzeigen lassen Ein solcher Hinweis kann in bestimmten Regionen und nach der jeweiligen Rechtsprechung notwendig sein Um dies zu aktivieren m ssen Sie nur die entspre chende Mitteilung in die Datei etc issue eintragen und das Kommentarzeichen in der Zeile in etc pam d login entfernen um das Modul pam_issue so zu aktivieren In dieser Datei k nnen Sie weitere Einstellungen vornehmen die f r Ihre Sicherheit relevant sein k nnten wie zum Beispiel e Regeln erstellen welcher Benutzer zu welchen Zeiten auf das System zugreifen kann indem Sie das Modul pam_time so aktivieren und etc security time conf entsprechend konfigurieren standardm ig deaktiviert e den Anmeldevorgang so einrichten dass Benutzerbegrenzungen die in etc security limits conf definiert sind verwendet werden standardm ig aktiviert e dem Benutzer Informationen ber die vorangegangene Anmeldung anzeigen standardm ig aktiviert e nach erfolgter Anmeldung den Benutzern eine Nachricht etc motd und run motd dynamic anzeigen stan dardm ig aktiviert 4
344. sting Zweig auf Seite 118 beschrieben Wenn Sie dies erledigt haben stehen Ihnen zahlreiche Werkzeuge zur Verf gung mit denen Sie Ihr System aktualisieren k nnen Wenn Sie ein Desktop System einsetzen k nnen Sie eine Anwendung mit dem Namen Update notifier ver wenden mit der Sie leicht pr fen k nnen ob neue Aktualisierungen verf gbar sind Damit k nnen Sie Ihr System auch ber den Desktop auf den neusten Stand bringen mit update manager Weitere Informationen finden Sie unter Uber pr fung von Aktualisierungen auf dem Desktop auf Seite 116 F r den Desktop k nnen Sie auch Synaptic GNOME Kpackage oder Adept KDE einsetzen die einen gr eren Funktionsumfang aufweisen Wenn Sie auf einem textbasierten Terminal arbeiten stehen Ihnen Aptitude Apt und Dselect wobei letzteres veraltet ist zur Verf gung e Falls Sie die textbasierte Oberfl che von Apt itude verwenden wollen m ssen Sie zun chst u f r Update und dann g f r Upgrade eingeben Oder Sie f hren auf der Befehlszeile Folgendes als Root aus aptitude update aptitude upgrade e Falls Sie Apt einsetzen m chten m ssen Sie obige Zeilen von Aptitude nur mit apt get ersetzen e Falls Sie dselect verwenden wollen m ssen Sie zuerst aktualisieren U f r Update dann installieren I f r Install und schlie lich die installieren aktualisierten Pakete konfigurieren C f r Configure If you like you can add the deb src lines to etc apt sour
345. system ext2 ext3 oder ext 4 einh ngen k nnen Sie verschiedene Optionen mit dem mount Befehl oder in etc fstab verwenden Dies ist zum Beispiel mein fstab Eintrag f r meine tmp Partition dev hda7 tmp ext2 defaults nosuid noexec nodev 0 2 Achten Sie auf den Abschnitt mit den Optionen Die Option nosuid ignoriert komplett alle setuid und setgid Bits wah rend noexec das Ausf hren von Programmen unterhalb des Einh ngepunkts verbietet und nodev Ger tedateien ignoriert Das h rt sich toll an aber e ist nur auf ext2 oder ext 3 Dateisysteme anwendbar e kann leicht umgangen werden Die Option noexec die verhindert dass Programme ausgef hrt werden k nnen lie sich in fr heren Kernelversionen leicht umgehen alex joker tmp mount grep tmp dev hda7 on tmp type ext2 rw noexec nosuid nodev alex joker tmp date bash date Keine Berechtigung alex joker tmp lib ld linux so 2 date So 3 Dec 17 49 23 CET 2000 Neuere Versionen des Kernels verarbeiten aber die Option noexec richtig angrist tmp mount grep tmp dev hda3 on tmp type ext3 rw noexec nosuid nodev angrist tmp date bash tmp Keine Berechtigung angrist tmp lib ld linux so 2 date date error while loading shared libraries date failed to map segment from shared object Operation not permitted However many script kiddies have exploits which try to create and execute files in tmp If they do not have a clue
346. t Den alten Inhalt in den Abschnitt verschoben und auch einen Verweis auf die Ver nderungen die in Aptitude vorgenommen wurden hinzugef gt Ausbesserungen von Tippfehlern die von Frederic Bothamy entdeckt wurden 1 6 17 Version 3 1 January 2005 nderung von Javier Fern ndez Sanguino Pefia Added clarification to ro usr with patch from Joost van Baal Apply patch from Jens Seidel fixing many typos FreeSWAN is dead long live OpenSWAN Added information on restricting access to RPC services when they cannot be disabled also included patch provided by Aarre Laakso Update aj s apt check sigs script Apply patch Carlo Perassi fixing URLs Apply patch from Davor Ocelic fixing many errors typos urls grammar and FIXMEs Also adds some additional information to some sections Rewrote the section on user auditing highlight the usage of script which does not have some of the issues associated to shell history 1 6 18 Version 3 0 December 2004 Anderung von Javier Fern ndez Sanguino Pefia Rewrote the user auditing information and include examples on how to use script 1 6 19 Version 2 99 March 2004 Anderung von Javier Fern ndez Sanguino Pe a Added information on references in DSAs and CVE Compatibility Added information on apt 0 6 apt secure merge in experimental Fixed location of Chroot daemons HOWTO as suggested by Shuying Wang Changed APACHECTL line in the Apache chroot example even if its not used at
347. t Dinge in usr local zu erledigen und Verzeichnisse in home anzulegen Kapitel 12 H ufig gestellte Fragen Frequently asked Questions FAQ 135 12 1 13 Warum gibt es eine neue Gruppe wenn ich einen neuen Benutzer anlege Oder warum gibt Debian jedem Benutzer eine eigene Gruppe Das Standardverhalten von Debian ist dass jeder Benutzer seine eigene pers nliche Gruppe hat Das traditionelle UN X Modell weist alle Benutzer der Gruppe users zu Zus tzliche Gruppe werden erstellt um den Zugang zu gemeinsam ge nutzten Dateien die mit verschiedenen Projektverzeichnissen verbunden sind einzuschr nken Die Dateiverwaltung wur de schwierig wenn ein einzelner Benutzer an verschiedenen Projekten arbeitete da wenn jemand eine Datei erstellte diese mit der prim ren Gruppe des Erstellers z B users verbunden war Das Modell von Debian l st dieses Problem indem es jedem Benutzer seine eigene Gruppe zuweist So wird mit einer korrekten Umask 0002 und mit dem SETGID Bit f r ein Projektverzeichnis den Dateien die in diesem Verzeichnis erstellt werden automatisch die richtige Gruppe zugewiesen Das erleichtert die Arbeit von Menschen die an verschiedenen Pro jekten arbeiten da sie nicht die Gruppe oder Umasks ndern m ssen wenn sie mit gemeinsam genutzten Dateien arbeiten Sie k nnen allerdings dieses Verhalten ver ndern indem Sie etc adduser conf modifizieren ndern Sie die Variable USERGROUPS auf no ab Dadurch wir
348. t Wenn keine Eingabe erfolgt werden die Firewall Regeln zur ckgesetzt Ein Beispiel daf r ist bin bash while true do read n 1 p re you there t 30 ayt if z ayt then break fi done Reset the firewall chain user is not available echo echo Resetting firewall chain iptables F iptables P INPUT ACCEPT iptables P FORWARD ACCEPT iptables P OUTPUT ACCEPT exit 1 Selbstverst ndlich m ssen Sie alle Hintert ren abschalten ehe Sie Ihr System in Betrieb nehmen 159 Anhang G Chroot Umgebung f r SSH Es ist eine schwere Aufgabe eine eingeschr nkte Umgebung f r SSH zu erstellen Das liegt zum einen an seinen Abh n gigkeiten und zum anderen daran dass SSH im Gegensatz zu anderen Servern den Benutzern eine entfernte Shell zur Verf gung stellt Daher m ssen Sie sich berlegen welche Programme Benutzer in der Umgebung verwenden sollen Sie haben zwei M glichkeiten eine beschr nkte entfernte Shell einzurichten e die SSH Benutzer in ein Chroot Gef ngnis einsperren Dazu m ssen Sie den SSH Daemon so konfigurieren dass er Benutzer nach der Authentifizierung in ein Chroot Gef ngnis einsperrt bevor sie eine Shell bekommen Jeder Benutzer kann seine eigene Umgebung haben e den SSH Server in ein Chroot Gef ngnis einsperren Wenn die SSH Anwendung sich selbst in einer Chroot Umgebung befindet sind auch alle Benutzer in diese Umgebung eingesperrt Die erste M glichkeit hat den Vorteil dass es m glich ist so
349. t der die MD5 Summen auf Ihrer Maschine erstellt Dies ist nun ja extrem schwer und sehr unwahrschein lich Sie sollten diese berpr fung Ihrer Programme als sehr wichtig ansehen Weit verbreitete Werkzeuge hierf r sind sxid aide Advanced Intrusion Detection Environment fortgeschrittene Umge bung zur Erkennung von Eindringlingen tripwire integrit und samhain Das Installieren von debsums wird Ihnen helfen die Integrit t des Dateisystems zu berpr fen indem Sie die MD5 Summen jeder Datei gegen die MD5 Summe aus dem Debian Archiv Paket vergleichen Seien Sie aber gewarnt dass diese Dateien sehr leicht von einem Angreifer ge ndert Kapitel 4 Nach der Installation 60 werden k nnen Au erdem stellen nicht alle Pakete MD5 Summen f r die in ihnen enthaltenen Programme zur Verf gung Weitere Informationen finden Sie unter Regelm iges berpr fung der Integrit t auf Seite 120 und Einen Schnappschuss des Systems erstellen auf Seite 64 You might want to use locate to index the whole filesystem if so consider the implications of that The Debian findutils package contains locate which runs as user nobody and so it only indexes files which are visible to ever ybody However if you change it s behaviour you will make all file locations visible to all users If you want to index all the filesystem not the bits that the user nobody can see you can replace locate with the package slocate slocate is labeled as a s
350. t dev null then chown R SERVER_USER adm SERVER_HOME chmod u rwx g rxs o SERVER_HOME fi 6 Add the user to the ADDGROUP group if test n SADDGROUP then if groups SERVER_USER cut d 2 grep qw ADDGROUP then adduser SERVER_USER SADDGROUP fi fi configure faced Au erdem m ssen Sie f r das init d Skript sicherstellen e Starts the daemon dropping privileges if the software does not do the setuid 2 or seteuid 2 call itself you can use the chuid call of start stop daemon e dass der Daemon nur angehalten wird wenn die Benutzer IDs bereinstimmen Daf r ist die Option user von start stop daemon hilfreich e dass der Daemon nicht gestartet wird wenn sein Benutzer oder Gruppe nicht existiert if getent passwd grep q server_user then echo Server user does not exist Aborting gt amp 2 exit 1 i if getent group grep q server_group then echo Server group does not exist Aborting gt amp 2 exit 1 fi Wenn das Paket einen Systembenutzer erstellt kann er wieder in postrm entfernt werden wenn das Paket vollst ndig gel scht wird purge Dabei gibt es allerdings einen Nachteil Zum Beispiel werden Dateien die von dem Benutzer des Daemons erstellt wurden benutzerlos und k nnen sp ter einem neuen Benutzer geh ren dem die gleiche UID zugewiesen wurde Daher ist nicht zwingend notwendig dass Benutzer beim vollst ndigen L schen eines Pakets entfernt werden Dies h ng
351. t tspr fung sollte nur lesbar sein und Sie sollten auch sicherstellen dass das Programm das die Integrit t berpr ft und der Kernel des Betriebssystems nicht manipuliert wurde Einige Werkzeuge die im Abschnitt ber Programme zur Integrit tspr fung beschrieben wurden wie z B aide integrit und samhain sind schon so eingerichtet dass sie regelm ige Nachpr fungen durchf hren mittels crontab in den ersten beiden F llen und mittels eines eigenst ndigen Daemons bei samhain Sie k nnen den Administrator auf verschiedenen Wegen warnen normalerweise E Mail aber samhain kann auch Seiten SNMP Traps oder einen Alarm an syslog schicken wenn sich das Dateisystem ver ndert Wenn Sie eine Sicherheitsaktualisierung des System vorgenommen haben m ssen Sie nat rlich den Schnappschuss des Systems neu aufzeichnen um ihn an die nderungen durch die Sicherheitsaktualisierung anzupassen 10 3 Aufsetzen einer Eindringlingserkennung Debian GNU Linux enth lt Programme zur Erkennung von Eindringlingen Das sind Programme die unpassende oder b sartige Aktivit ten auf Ihrem lokalen System oder auf anderen System in Ihrem lokalen Netzwerk entdecken Diese Art von Verteidigung ist wichtig wenn das System sehr entscheidend ist oder Sie wirklich unter Verfolgungswahn leiden Die gebr uchlichsten Herangehensweisen sind die statistische Entdeckung von Unregelm igkeiten und die Entdeckung bestimmter Muster Beachten Sie immer dass Sie ein
352. t Umgebung wird als diese Benutzer und Gruppe laufen die f r nichts anderes auf dem System verwendet werden In dem Beispiel hei en sowohl Benutzer als auch Gruppe chrapach adduser home var chroot apache shell bin false no create home system group chrapach FIXME is a new user needed Apache already runs as the apache user Installieren Sie ganz normal Apache auf Debian apt get install apache e Richten Sie Apache ein z B definieren Sie Ihrer Subdomains usw Weisen Sie in der Konfigurationsdatei etc apache httpd conf den Optionen Group und User chrapach zu Starten Sie Apache neu und stellen Sie sicher dass der Server korrekt funktioniert Danach halten Sie den Server wieder an Installieren Sie make jail ist derzeit in Debian Testing vorhanden Sie sollten auch wget und lynx installieren da sie von makejail benutzt werden um den Server in der chroot Umgebung zu testen apt get install makejail wget lynx Kapitel H Chroot Umgebung f r Apache 170 e Kopieren Sie die Beispielkonfigurationsdatei f r Apache ins Verzeichnis etc makejail cp usr share doc makejail examples apache py etc makejail e Bearbeiten Sie etc makejail apache py Sie m ssen die Optionen chroot users und groups ver ndern Um diese Version von makejail laufen zu lassen k nnen Sie auch die Option packages hinzuf gen Vergleichen Sie die Makejail DoKumentation http www loc net makejail current doc Die Konfigurations
353. t d Skript da die Anderungen in etc default vorgenommen werden m ssen Eine veraltete M glichkeit Regeln f r die Firewall einzurichten entfernt da Woody nicht l nger unterst tzt wird Zu dem fr heren Hinweis bez glich LOG_UNKFAIL_ENAB zur ckgekehrt n mlich dass es auf no wie es stan dardm ig ist gesetzt werden sollte Informationen hinzugef gt wie das System mit Werkzeugen f r den Desktop einschlie lich Update notifier aktua lisiert wird und beschrieben wie man mit Aptitude das System aktualisiert Angemerkt dass dselect veraltet ist Die FAQ aktualisiert und berfl ssige Abschnitte entfernt Den Abschnitt ber die forensische Analyse von Schadsoftware berarbeitet und aktualisiert Einige tote Verweise entfernt oder korrigiert Viele Tipp und Grammatikfehler verbessert die von Francesco Poli mitgeteilt wurden 1 6 8 Version 3 10 November 2006 nderung von Javier Fern ndez Sanguino Pe a Beispiele gegeben wie rdepends von Apt cache verwendet wird Wurde von Ozer Sarilar vorgeschlagen Den Verweis auf das Benutzerhandbuch von Squid auf Grund seines Umzugs korrigiert Wurde von Oskar Pearson dem Betreuer mitgeteilt Informationen ber umask korrigiert es kann in logins defs nicht limits conf f r alle Anmelde Verbindung konfigu riert werden Auch dargestellt was Debians Vorgabe ist und was restriktivere Werte f r sowohl user als auch root w ren Vielen Dank an Reinhard Tartler f r das A
354. t sein mehrere Instanzen zu verwenden Die Standar deinstellung in Wheezy beinhaltet viele tty Konsolen serielle Schnittstellen und virtuelle Konsolen sowie den X Server und das console Ger t Sie k nnen das ohne Probleme anpassen wenn Sie nicht derartige viele Konsolen benutzen Sie k nnen die Anzahl der Konsolen und Schnittstellen in etc inittab berpr fen Weiterf hren de Informationen zu Terminal Schnittstellen finden Sie im Text Terminal HOWTO http tldp org HOWTO Text Terminal HOWTO 6 html Wenn Sie PAM benutzen k nnen Sie auch andere nderungen am Login Prozess die auch Einschr nkungen f r einzel ne Benutzer oder Gruppen zu bestimmten Zeiten enthalten k nnen durch Konfiguration der Datei etc pam d login vornehmen Eine interessante Eigenschaft die man auch abschalten kann ist die M glichkeit sich mit einem leeren Pass wort Null Passwort anzumelden Diese Eigenschaft kann eingeschr nkt werden indem Sie nullok aus folgender Zeile entfernen auth required pam_unix so nullok 4 8 Einschr nkung des System Neustarts von der Konsole aus Wenn eine Tastatur an Ihr System angeschlossen ist kann es jeder ja wirklich jeder mit physischem Zugang zu Ihrem System neu starten ohne sich an Ihrem System anmelden zu m ssen einfach indem er die Tastenkombination Strg Alt Entf dr ckt auch als Affengriff bekannt Dies k nnte gegen Ihre Sicherheitsrichtlinien versto en oder auch nicht 7In lteren Debian
355. t sollten Sie nachdem Sie nicht mehr von Wech seldatentr gern booten m ssen die Standard BIOS Einstellung ndern so dass das System ausschlie lich von der Festplatte bootet Gehen Sie sicher dass Sie Ihr BIOS Passwort nicht verlieren oder Sie werden nicht mehr ins BIOS zur ckkehren k nnen um die Einstellung wieder zu ndern damit Sie im Falle eines Festplattenfehlers Ihr System wiederherstellen k n nen indem Sie zum Beispiel eine CD ROM benutzen Eine andere weniger sichere aber bequemere M glichkeit ist es das BIOS so einzustellen dass es von der Festplatte bootet und nur falls dies fehlschl gt zu versuchen von austauschbaren Datentr gern zu booten brigens wird dies oft so gemacht weil viele Leute ihr BIOS Passwort nur selten benutzen so dass sie es leicht vergessen 4Es sei denn Sie haben ein Kernel Metapaket wie linux image 2 6 686 installiert welches immer die neueste Minor Version des Kernels einer Architektur installieren wird SEin Beispielskript mit dem Namen testnet http www debian administration org articles 70 testnet ist im Artikel Remotely re booting Debian GNU Linux machines http www debian administration org article 70 enthalten Ein ausgereifteres Testskript befindet sich im Artikel Testing network connectivity http www debian administration org article 128 6Das Einrichten einer seriellen Konsole w rde den Rahmen dieses Dokuments sprengen Informationen dazu finden Sie im Serial HOWTO
356. t vielmehr vom jeweiligen Paket ab Im Zweifelsfall sollte der Administrator gefragt werden mit debconf was passieren soll wenn ein Paket gel scht wird Maintainers that want to remove users in their postrm scripts are referred to the deluser deluser system option Wenn ein Programm unter einem Benutzer mit beschr nkten Rechten l uft wird sichergestellt dass Sicherheitsprobleme nicht das gesamte System besch digen k nnen Dieses Vorgehen beachtet auch das Prinzip der geringst m glichen Privi legien Denken Sie daran dass Sie die Rechte eines Programms auch noch durch andere Methoden als beschr nkte Be nutzerrechte weiter einschr nken k nnen Weitere Informationen finden Sie im Abschnitt Minimize Privileges http www dwheeler com secure programs Secure Programs HOWTO minimize privileges html des Buchs Secure Programming for Linux and Unix HOWTO Interessante Diskussionen zu diesem Thema finden sich in http lists debian org debian mentors 2004 10 msg00338 html und http lists debian org debian devel 2004 05 msg01156 html Sie k nnen sogar eine SELinux Richtlinie erstellen Kapitel 9 Der gute Umgang von Entwicklern mit der Sicherheit des OS 114 115 Kapitel 10 Vor der Kompromittierung 10 1 Halten Sie Ihr System sicher Sie sollten bestrebt sein Ihr System sicher zu halten indem Sie seine Verwendung und die es betreffenden Verwundbarkei ten im Auge behalten Sobald Patches verf gbar sind sollt
357. t von dieser Gruppe lesbar Einige Programme die auf diese Datei zugreifen m ssen sind SETGID shadow e utmp Diese Gruppe kann nach var run utmp und hnlichen Dateien schreiben Programme die darin schreiben k nnen m ssen sind SETGID utmp e video Diese Gruppe kann dazu benutzt werden einer bestimmen Gruppe von Benutzern Zugriff auf ein Videoger t zu geben staff Erlaubt Benutzern lokale Modifikationen am System vorzunehmen usr local home ohne dass sie Root Privilegien br uchten Vergleichen Sie sie mit adm die sich mehr auf berwachung Sicherheit bezieht e users W hrend Debian Systeme standardm ig das System einer privaten Benutzergruppe jeder Benutzer hat seine eigene Gruppe verwenden ziehen es manche vor ein traditionelleres Gruppen System zu verwenden In diesem System ist jeder Benutzer Mitglied dieser Gruppe Ich entfernte einen Systembenutzer Wie kann ich dies r ckg ngig machen If you have removed a system user and have not made a backup of your password and group files you can try recovering from this issue using update passwd see update passwd 8 Was ist der Unterschied zwischen den Gruppen adm und staff Die Gruppe adm besteht blicherweise aus Administratoren Die Rechte dieser Gruppe erlauben es ihnen Protokolldatei en zu lesen ohne su benutzen zu m ssen Die Gruppe staff ist gew hnlich f r Kundendienst und Junioradministratoren bestimmt und gibt ihnen die M glichkei
358. t zu installieren wird Sie Apt nochmals warnen WARNUNG Die folgenden Pakete k nnen nicht authentifiziert werden libglib perl libgtk2 perl Diese Pakete ohne berpr fung installieren j N Wenn Sie nun J dr cken haben Sie keine M glichkeit festzustellen ob die Datei die Sie bekommen wirklich diejenige ist die Sie auch installieren m chten oder ob sie eine ganz andere ist die Ihnen jemand der die Verbindung mit dem Server abgefangen hat mit einer gemeinen berraschung unterschieben will Hinweis Sie k nnen diese Abfragen abschalten indem Sie apt mit allow unauthenticated laufen lassen Es lohnt sich auch noch darauf hinzuweisen dass der Installer von Debian w hrend des Debootstraps des Basissystems solange Apt noch nicht verf gbar ist denselben Mechanismus mit signierten Release Dateien verwendet Der Installer benutzt sogar dieses Verfahren um Teile von sich selbst zu berpr fen die er aus dem Netz gezogen hat Debian signiert im Moment nicht die Release Dateien auf den CDs Apt kann aber so eingerichtet werden dass es immer den Paketen von CDs vertraut so dass dies nicht ein so gro es Problem darstellt Wie man Apt sagt wem es vertrauen soll Die ganze Sicherheit des Verfahrens beruht also darauf dass es eine Release gpg Datei gibt die eine Release Datei signiert und dass diese Signatur von apt mit Hilfe von GPG berpr ft wird Dazu muss es den ffentlichen Schl ssel der Person kennen welche die D
359. tch the whole logline Details on howto write rules are explained in usr share doc logcheck database README logcheck database gz It s an ongoing tuning process once the messages that are sent are always relevant you can consider the tuning finished Note that if Logcheck does not find anything relevant in your system it will not mail you even if it does run so you might get a mail only once a week if you are lucky 4 13 2 Konfiguration wohin Alarmmeldungen geschickt werden Debian wird mit einer Standardkonfiguration fiir Syslog in etc syslog conf ausgeliefert so dass Meldungen je nach System in die passenden Dateien geschrieben werden Das sollte Ihnen bereits bekannt sein Falls nicht werfen Sie einen Blick auf die Datei syslog conf und deren Dokumentation Wenn Sie ein sicheres System betreuen wollen sollte Ihnen bekannt sein wohin Protokoll Meldungen geschickt werden so dass sie nicht unbeachtet bleiben Zum Beispiel ist es f r viele Produktiv Systeme sinnvoll Meldungen auch auf der Konsole auszugeben Aber bei vielen solcher Systeme ist es wichtig eine neue Maschine zu haben die f r die anderen als ein Loghost fungiert d h sie empf ngt die Protokolle aller anderen Systeme Sie sollten auch an Mails f r Root denken da viele Programme zur Sicherheitskontrolle wie snort ihre Alarme an die Mailbox von Root senden Diese Mailbox zeigt normalerweise auf den ersten Benutzer der auf dem System erstellt wurde pr
360. td issue Clarified the information on disabling services to make it more consistent rpc info still referred to update rc d Added small note on Iprng Added some more info on compromised servers still very rough Fixed typos reported by Mark Bucciarelli Added some more steps in password recovery to cover the cases when the admin has set paranoid mode on Added some information to set paranoid mode on when login in console New paragraph to introduce service configuration Reorganized the After installation section so it is more broken up into several issues and it s easier to read Wrote information on how to set up firewalls with the standard Debian 3 0 setup iptables package Small paragraph explaining why installing connected to the Internet is not a good idea and how to avoid this using Debian tools Small paragraph on timely patching referencing to IEEE paper Appendix on how to set up a Debian snort box based on what Vladimir sent to the debian security mailing list September 3rd 2001 Information on how logcheck is set up in Debian and how it can be used to set up HIDS Information on user accounting and profile analysis Included apt conf configuration for read only usr copied from Olaf Meeuwissen s post to the debian security mailing list New section on VPN with some pointers and the packages available in Debian needs content on how to set up the VPNs and Debian specific issues based on Jaroslaw Tabor s an
361. tdiag e irpas W hrend xprobe lediglich aus der Ferne das Betriebssystem erkennen kann indem es TCP IP Fingerabdricke benutzt machen nmap und knocker beides das Betriebssystem erkennen und die Ports eines entfernten Rechners scannen Ande rerseits k nnen hping2 und icmpush f r ICMP Angriffstechniken benutzt werden Nbtscan das speziell f r SMB Netzwerke entworfen wurde kann benutzt werden um IP Netzwerke zu scannen und diverse Informationen von SMB Servern zu ermitteln einschlie lich der Benutzernamen Netzwerknamen MAC Adressen Dagegen kann fragrouter dazu verwendet werden um Systeme zur Eindringlingserkennung zu testen und um zu sehen ob das NIDS mit fragmentierten Angriffen umgangen werden kann FIXME Check Bug 153117 http bugs debian org 153117 ITP fragrouter to see if it s included FIXME add information based on Debian Linux Laptop for Road Warriors http www giac org practical gcux Stephanie_Thomas_GCUX pdf which describes how to use Debian and a laptop to scan for wireless 803 1 networks link not there any more 8 3 Interne Pr fungen Derzeit kann lediglich das Programm tiger benutzt werden um interne Pr fungen auch white box genannt eines Rechners vorzunehmen Dabei wird festgestellt ob das Dateisystem richtig aufgesetzt ist welche Prozesse auf dem Rechner horchen usw 8 4 Testen des Quellcodes Debian bietet einige Pakete an die C C Quellcode pr fen und Programmierfehler finden d
362. te des Vertrauens chain of trust die bei jemandem beginnt dem Sie vertrauen und der einen anderen Schl ssel unterschreibt usw bis Sie beim Schl ssel des Archivs sind Wenn Sie vorsichtig sind wollen Sie nachpr fen dass Ihr Archivschl ssel von einem Schl ssel unterschrieben wurde dem Sie vertrauen k nnen weil seine Kette des Vertrauens zu jemandem zur ckgeht den Sie pers nlich kennen Dazu sollten Sie eine Debian Konferenz oder eine lokale LUG zum Unterschreiben der Schl ssel besuchen Wenn Sie diese Sicherheitsbedenken nicht teilen k nnen unternehmen Sie was auch immer Sie passend finden wenn Sie eine neue Apt Quelle oder einen neuen Schl ssel verwenden Sie k nnten demjenigen der den Schl ssel anbietet eine Mail schreiben um den Schl ssel zu berpr fen Oder Sie vertrauen auf Ihr Gl ck und gehen davon aus dass Sie den richten heruntergeladen haben Das wichtige ist dass Secure Apt indem es das Problem darauf reduziert welchen Archivschl s seln Sie vertrauen Sie so vorsichtig und sicher vorgehen l sst wie es Ihnen passend und notwendig erscheint Die Integrit t eines Schl ssels berpr fen Sie k nnen dazu sowohl den Fingerabdruck als auch die Unterschriften des Schl ssels berpr fen Den Fingerabdruck kann man aus verschiedenen Quellen erhalten Sie k nnen im Buch The Debian System http debiansystem info readers changes 547 ziyi key 2006 nachsehen im IRC mit Debian Entwicklern reden oder Mailin
363. tel 1 Einleitung 5 1 6 Informationen dar ber hinzuf gen wie man mehrere snort Sensoren in einem System betreibt pr fe die Fehlerbe richte zu snort Informationen hinzuf gen wie man einen Honigtopf honeypot einrichtet honeyd Darstellung der Situation von FreeSwan verwaist und OpenSwan Der Abschnitt ber VPN muss berarbeitet wer den Einen gesonderten Abschnitt ber Datenbanken hinzuf gen ihre Standardwerte und wie man den Zugriff absichert Einen Abschnitt ber den Nutzen von virtuellen Servern wie Xen u a hinzuf gen Erkl ren wie Programme zur berpr fung der Integrit t verwendet werden AIDE integrit oder samhain Die Grundlagen sind einfach und k nnten sogar einige Verbesserungen der Konfiguration erkl ren nderungs bersicht Changelog Geschichte 1 6 1 Version 3 17 January 2015 Changes by Thijs Kinkhorst Remove mention of MD5 shadow passwords Do not recommend dselect for holding packages No longer include the Security Team FAQ verbatim because it duplicates information documented elsewhere and is hence perpetually out of date Update section on restart after library upgrades to mention needrestart Avoid gender specific language Patch by Myriam Use LSB headers for firewall script Patch by Dominic Walden 1 6 2 Version 3 16 Januar 2013 nderung von Javier Fern ndez Sanguino Pefia Hinweis dass das Dokument nicht in Hinblick auf die neusten Versionen aktualisiert ist
364. ten nicht w rtlich bernommen werden Wenn Sie alles in der Ferne mitprotokollieren wollen schreiben Sie einfach k k Ihr_Loghost into your syslog conf Logging remotely as well as locally is the best solution the attacker might presume to have covered his tracks after deleting the local log files See the syslog 3 syslogd 8 and syslog conf 5 manpages for additional information 4 13 4 Zugriffsrechte auf Protokolldateien It is not only important to decide how alerts are used but also who has read modify access to the log files if not using a remote loghost Security alerts which the attacker can change or disable are not worth much in the event of an intrusion Also you have to take into account that log files might reveal quite a lot of information about your system to an intruder who has access to them Einige Zugriffsrechte auf Protokolldateien sind nach der Installation nicht gerade perfekt aber das h ngt nat rlich von Ihrer lokalen Sicherheitsrichtlinie ab Zuerst einmal m ssen var log lastlog und var log faillog nicht f r normale Benutzer lesbar sein In der Datei last log k nnen Sie sehen wer sich zuletzt angemeldet hat In faillog befindet sich eine Zusammenfassung fehlgeschlagener Anmeldeversuche Der Autor empfiehlt die Rechte von beiden auf 660 zu setzen mit chmod 660 Werfen Sie einen kurzen Blick auf Ihre Protokolldateien und entscheiden Sie sehr vorsichtig welche Protokolldateien Sie les oder schreibbar f
365. ten on 192 168 1 2 forward only forwarders A B C D Me Die Option listen on bewirkt dass sich DNS nur auf die Schnittstelle bindet die die interne Adresse hat Aber sogar wenn diese Schnittstelle Verbindung zum Internet hat zum Beispiel weil Sie NAT benutzen werden Abfragen nur akzeptiert wenn sie von internen Hosts kommen Wenn das System mehrere Schnittstellen hat und Sie kein listen on gesetzt haben k nnten zwar nur interne Benutzer Abfragen starten aber da der Port f r Angreifer von au en ansprechbar ist k nnten sie versuchen den DNS zum Absturz zu bringen oder durch Speicher berlauf Attacken auszunutzen Sie k nnten ihn sogar dazu bringen lediglich auf 127 0 0 1 zu h ren wenn Sie den DNS Service nicht f r ein anderes System anbieten wollen Der version bind Eintrag in der chaos class enth lt die Version des derzeit laufenden Bind Prozesses Diese Information wird oft von automatischen Scannern und b sartigen Individuen dazu verwendet herauszufinden ob ein bind f r eine bestimmte Attacke verwundbar ist Indem Sie falsche oder gar keine Informationen im version bind Eintrag zur Verf gung stellen minimieren Sie die Wahrscheinlichkeit dass jemand Ihren Server aufgrund der publizierten Version attackieren wird Um Ihre eigene Version anzugeben benutzen Sie die Version Direktive auf folgende Art options various options here version Nicht verf gbar Das ndern des version bind Eintr
366. the chat tr program to remove the attribute Such an intruder may first be confused when noticing not being able to remove a file but you should not assume blindness after all the intruder got into your system Some manuals including a previous version of this document suggest to simply remove the chattr and 1sattr programs from the system to increase security but this kind of strategy also known as security by obscurity is to be absolutely avoided since it provides a false sense of security Dieses Problem l sen Sie auf sichere Art und Weise indem Sie die F higkeiten des Linux Kernel verwenden wie es in Proaktive Verteidigung auf Seite 122 beschrieben wird Die hier interessante F higkeit hei t CAP_LINUX_IMMUTABLE Wenn Sie es vom Satz der F higkeiten entfernen indem Sie zum Beispiel den Befehl 1lcap CAP_LINUX_IMMUTABLE ver wenden ist es nicht mehr m glich irgendwelche a oder i Attribute auf Ihrem System zu ver ndern auch nicht durch den Superuser Ein umfassende Strategie k nnte also folgenderma en aussehen 1 Vergeben Sie die Attribute a und i an von Ihnen gew nschte Dateien 2 F gen Sie den Befehl 1cap CAP_LINUX_IMMUTABLE einem der Skripten die den Start des Systems steuern startup scripts hinzu 3 Setzen Sie das Attribut i f r dieses Skript andere Startdateien und auch das Programm 1cap selbst 4 F hren Sie den oben genannten Befehl per Hand aus oder starten Sie
367. the original in the near future e Started a mini FAQ should be expanded with some questions recovered from my mailbox e Added general information to consider while securing e Added a paragraph regarding local incoming mail delivery e Added some pointers to more information e Added information regarding the printing service e Added a security hardening checklist e Reorganized NIS and RPC information e Added some notes taken while reading this document on my new Visor e Fixed some badly formatted lines e Fixed some typos e Added a Genius Paranoia idea contributed by Gaby Schilders 1 6 53 Version 1 5 Changes by Josip Rodin and Javier Fern ndez Sanguino Pe a e Added paragraphs related to BIND and some FIXMEs 1 6 54 Version 1 4 e Small setuid check paragraph e Various minor cleanups e Found out how to use sgm12t xt f for the txt version 1 6 55 Version 1 3 e Added a security update after installation paragraph e Added a proftpd paragraph e This time really wrote something about XDM sorry for last time Kapitel 1 Einleitung 21 1 6 56 Version 1 2 Lots of grammar corrections by James Treacy new XDM paragraph 1 6 57 Version 1 1 Typo fixes miscellaneous additions 1 6 58 Version 1 0 1 7 Erste Ver ffentlichung Danksagungen Alexander Reelsen schrieb die urspr ngliche Version Javier Fern ndez Sanguino f gte der Originalversion einiges an Informationen hinzu Robert
368. they will fall into this pit In other words a user cannot be tricked into executing a trojanized binary in tmp e g when tmp is accidentally added into the local PATH Seien Sie sich auch bewusst dass manche Skripte darauf aufbauen dass tmp ausf hrbare Rechte hat Bemerkens werterweise hatte oder hat Debconf Probleme bei dieser Sache weitere Informationen enth lt Fehler 116448 http bugs debian org 116448 Nachfolgend ein gr ndlicheres Beispiel Eine Anmerkung dazu var k nnte auch noexec enthalten aber manche Software 13 verwahrt ihre Programme unterhalb von var Dasselbe gilt f r die Option nosuid dev sda6 usr ext3 defaults ro nodev 0 2 dev sdal2 usr share ext3 defaults ro nodev nosuid 0 2 dev sda7 var ext3 defaults nodev usrquota grpquota 0 2 dev sda8 tmp ext3 defaults nodev nosuid noexec usrquota grpquota 0 2 dev sda9 var tmp ext3 defaults nodev nosuid noexec usrquota grpquota 0 2 dev sdal0 var log ext3 defaults nodev nosuid noexec 0 2 dev sdall var account ext3 defaults nodev nosuid noexec 0 2 dev sdal3 home ext3 rw nosuid nodev exec auto nouser async usrquota grpquota 0 2 dev fd0 mnt fd0 ext3 defaults users nodev nosuid noexec 0 0 dev d0 mnt floppy vfat defaults users nodev nosuid noexec 0 0 dev hda mnt cdrom iso9660 ro users nodev nosuid noexec 0 0 4 10 1 tmp noexec setzen Be careful if setting tmp noexec when you want to install new so
369. tificate chains has an impact on security updates on Microsoft Windows ltere Ver ffentlichungen wie Debian 3 1 Sarge k nnen mit zur ckportierten Versionen des Paketmanagers auf diese Methode zugreifen Kapitel 7 Die Infrastruktur f r Sicherheit in Debian 95 Durch diese Kette von MD5 Summen ist apt in der Lage zu verifizieren dass ein Paket aus einer bestimmten Ver ffent lichung stammt Dies ist zwar unflexibler als jedes Paket einzeln zu signieren kann aber auch mit den unten aufgef hrten Pl nen kombiniert werden Diese Vorgehensweise ist seit der Ver ffentlichung von Debian 4 0 verf gbar und vollst ndig in apt 0 6 enthalten http lists debian org debian devel 2003 debian devel 200312 msg01986 html weitere Informa tionen finden Sie unter Secure Apt auf dieser Seite Pakete die ein Frontend f r apt anbieten m ssen ver ndert werden um an diese neue F higkeit angepasst zu werden Das gilt f r aptitude das ver ndert http lists debian org debian devel 2005 03 msg02641 html wurde um zu dieser Vorgehensweise zu passen Frontends die bekannter ma en zurzeit mit dieser F higkeit umgehen k nnen sind aptitude und synaptic Die Signierung von Paketen wurde innerhalb des Debian Projekts ausf hrlich diskutiert Mehr Informationen hierzu fin den Sie unter http www debian org News week1y 2001 8 und http www debian org News weekly 2000 11 7 5 2 Secure Apt Die Ver ffentlichung von apt 0 6 das
370. tm1 ist bei CVE erh ltlich Kapitel 7 Die Infrastruktur f r Sicherheit in Debian 93 Debian stellt CVE Bezeichnungen sind in allen DSAs seit September 1998 zur Verf gung Alle Ank ndigungen k nnen auf der Webseite von Debian abgerufen werden Auch Ank ndigungen von neuen Verwundbarkeiten enthalten CVE Bezeichnungen wenn sie zum Zeitpunkt ihrer Ver ffentlichung verf gbar waren Ank ndigungen die mit einer bestimm ten CVE Bezeichnung verbunden sind k nnen direkt ber Debians Sicherheitsdatenbank Debian Security Tracker gesucht werden siehe unten In einige F llen finden Sie eine bestimmte CVE Bezeichnung in ver ffentlichten Ank ndigungen nicht Beispiele daf r sind e Keine Produkte von Debian sind von der Verwundbarkeit betroffen e Es gibt noch keine Ank ndigung welche die Verwundbarkeit abdeckt das Sicherheitsproblem wurde vielleicht als Sicherheitsfehler http bugs debian org cgi bin pkgreport cgi tag security gemeldet aber eine Ausbesserung wurde noch nicht getestet und hochgeladen e Eine Ank ndigung wurde ver ffentlicht bevor eine CVE Bezeichnung einer bestimmten Verwundbarkeit zugewiesen wurde sehen Sie auf der Webseite nach einer Aktualisierung 7 3 Sicherheitsdatenbank Die zentrale Datenbank dar ber welche Erkenntnisse Debians Sicherheitsteam von Verwundbarkeiten hat ist der De bian Security Tracker http security tracker debian net Sie enth lt Querverweise zwischen Paketen ver wundb
371. ttp www cert ru Russland SI CERT http www arnes si si cert Slowenien IRIS CERT http www rediris es cert Spanien SWITCH CERT http www switch ch cert Schweiz TWCERT CC http www cert org tw Taiwan und CERT CC http www cert org USA Kapitel 11 Nach einer Kompromittierung Reaktion auf einem Vorfall 127 sehr gute Quelle f r Tipps zur forensischen Analyse ist Brian Carriers Newsletter The Sleuth Kit Informer http www sleuthkit org informer index php Auch die Honeynet Challenges http www honeynet org misc chall html sind eine ausgezeichnete M glichkeit Ihre forensischen F higkeiten zu verbessern da sie echte Angriffe auf Honigtopfsysteme umfassen und Herausforderungen bieten die von der forensischen Analyse von Festplatten bis zu Protokollen der Firewall und Paketerfassung alles beinhalten FIXME This paragraph will hopefully provide more information about forensics in a Debian system in the coming future FIXME Talk on how to do a debsums on a stable system with the MD5sums on CD and with the recovered file system restored on a separate partition FIXME Add pointers to forensic analysis papers like the Honeynet s reverse challenge or David Dittrich s papers http staff washington edu dittrich 11 4 1 Analyse von Schadprogrammen Einige andere Programme aus der Debian Distribution die f r forensische Analyse verwendet werden k nnen sind e strace e ltrace A
372. tualisierungen mit apt Hier sind ein paar andere Aspekte ber die Sicherheit in Debian die Sie ber cksichtigen sollten Zum Beispiel k nnte es auf Grundlage einiger Daten scheinen dass Windows NT sicherer ist als Linux Dies w re eine fragw rdige Annahme Das liegt daran dass Linux Distributionen normalerweise viel mehr Anwendungen zur Verf gung stellen als Microsofts Windows NT Dieses Problem des Abz hlens von Sicherheitsl cken wird besser in Why Open Source Software Free Software OSS FS Look at the Numbers http www dwheeler com oss_fs_why html security von David A Wheeler beschrieben Kapitel 12 H ufig gestellte Fragen Frequently asked Questions FAQ 130 e Debian bietet mehr Sicherheitswerkzeuge an als andere Distributionen Vergleichen Sie dazu Sicherheitswerkzeuge in Debian auf Seite 105 e Debians Standardinstallation ist kleiner weniger Funktionen und daher sicherer Andere Distributionen tendieren im Namen der Benutzerfreundlichkeit dazu standardm ig viele Dienst zu installieren und manchmal sind diese nicht ordentlich konfiguriert denken Sie an Lion http www sophos com virusinfo analyses linuxlion html oder Ramen http www sophos com virusinfo analyses linuxramen html Debians Installa tion ist nicht so streng wie OpenBSD dort laufen Daemonen standardm ig nicht aber es ist ein guter Kompromiss 2 e Debian stellt die besten Verfahren zur Sicherheit in Dokumenten wie die
373. tzen das noch nicht viele Pakete Wenn Sie ein Regelwerk entwickelt haben dass fiir andere Benutzer n tzlich sein k nnte schicken Sie bitte einen Fehlerbericht f r das entsprechende Paket als ein wishlist Fehler Mehr Informationen finden Sie unter usr share doc logcheck README Debian logcheck konfiguriert man am besten indem man nach der Installation die Hauptkonfigurationsdatei etc logcheck logcheck conf bearbeitet Ver ndern Sie den Benutzer an den die Berichte geschickt werden standardm ig ist das Root Au erdem sollten Sie auch den Schwellenwert f r Berichte festlegen logcheck dat abase hat drei Schwellenwerte mit steigender Ausf hrlichkeit Workstation Arbeitsplatz Server und paranoid server ist der Standardwert parano id wird nur f r Hochsicherheitsmaschinen empfohlen auf denen so wenig Dienste wie m glich laufen workstation eignet sich f r relativ gesch tzte nicht kritische Maschinen Wenn Sie neue Protokoll Dateien hinzuf gen wollen m ssen Sie diese nur zu etc logcheck logcheck logfiles hinzuf gen Es ist f r die standardm ige Syslog Installation eingerichtet Once this is done you might want to check the mails that are sent for the first few days weeks months If you find you are sent messages you do not wish to receive just add the regular expressions see regex 7 and egrep 1 that correspond to these messages to the etc logcheck ignore d reportlevel local Try to ma
374. tzerfreund lichkeit und Sicherheit Paranoia abw gen Beachten Sie bitte dass diese Anleitung nur Software Themen behandelt Die beste Software der Welt kann Sie nicht sch t zen wenn jemand direkten Zugang zu Ihrem Rechner hat Sie k nnen ihn unter Ihren Schreibtisch stellen oder Sie k nnen ihn in einen starken Bunker mit einer ganzen Armee davor stellen Trotzdem kann der Rechner unter Ihrem Schreibtisch weitaus sicherer sein von der Software Seite aus gesehen als der eingebunkerte wenn Ihr Schreibtisch Rechner richtig konfiguriert und die Software des eingebunkerten Rechners voller Sicherheitsl cher ist Sie m ssen beide M glichkeiten betrachten Dieses Dokument gibt Ihnen lediglich einen kleinen berblick was Sie tun k nnen um die Sicherheit Ihres Debian GNU Linux Systems zu erh hen Wenn Sie bereits andere Dokumente ber Sicherheit unter Linux gelesen haben werden Sie feststellen dass es einige berschneidungen gibt Dieses Dokument soll aber auch nicht die allumfassende Informati onsquelle sein es versucht nur die gleichen Informationen so aufzubereiten dass sie gut zu einem Debian GNU Linux System passen Unterschiedliche Distributionen erledigen manche Dinge auf unterschiedliche Weise zum Beispiel den Aufruf von Daemons hier finden Sie Material das zu Debians Prozeduren und Werkzeugen passt 1 1 Autoren Der aktuelle Betreuer dieses Dokuments ist Javier Fern ndez Sanguino Pe a mailto jfs debian org Falls Sie
375. tzerptellle lt is sa 2 2 2 aaa 2 eu u Bra OEE Kein ae ESS 49 4 11 12 Umasks der Ben tzereisstellen 2 cima dee eke bee hee he ee EH EER Da Ee 49 4 11 13 Beschr nken was Benutzer sehen und worauf sie zugreifen k nnen 50 4 11 14 Erstellen von Benutzerpasswortern 51 4 11 15 berpr fung der Benutzerpassw rter 3240244 WW adsense are 51 4 11 16 Abmelden von unt tigen Benutzen o ce iecere s oa sen sacada k a aa d 52 2 12 Die Nutzung you Tepwrappers EECH 2 u wen su Seen ERE Da ar ia A ke 52 4 13 Die Wichtigkeit von Protokollen und Alarwen EE sara san 53 INHALTSVERZEICHNIS iv 4 13 1 Nutzung und Anpassung von logcheck s sst reaot m Oe ee 54 4 13 2 Konfiguration wohin Alarmmeldungen geschickt werden 54 413 3 Nutzeneines L cheste o s E eK e a ae 55 4134 Zugriffsrechte auf Protok lld teien o ccc bse ke ross tee nenne na 55 2 14 Den Kerne PANEN 2 a SS a es eee ee A ERG Ee EG ias BSP Re 55 4 18 Shia vor Pulleruberlailen s eane ur ana ae He EEN 57 4 15 1 Kernelpatch zum Schutz vor Puffer berl ufen 57 4 152 Pratproeramme f r Paffer berl ufe un 2 2528 A EERE ERE HE BO 57 4 16 Sichere bertragung von Dateien v2 citaba ad ae 57 4 17 Einschr nkung und Kontrolle des Dateisystems 58 417 1 Benutzung VOR Quotas ven 20k PR us ernannten ER EE Oe HS 58 4 17 2 Die fiir das ext2 Dateisystem spezifischen Attribute chattr Isattr o o o o ooo ooo 58 417 3 Pr fung der Integrit t d
376. uel Lacour has ssh deb packages for sarge with this feature They are available at http debian home dn net sarge ssh Notice that those might not be up to date so completing the compilation step is recommended Nachdem Sie den Patch angewendet haben mtissen Sie etc passwd anpassen und darin das Home Verzeichnis der Benutzer ndern mit dem speziellen K rzel 3Unter Umst nden ben tigen Sie die Ger te dev ptmx und dev pty und das Unterverzeichnis dev pts Es sollte ausreichen MAKEDEV im dev Verzeichnis der Chroot Umgebung auszuf hren um sie zu erstellen falls sie nicht existieren Wenn Sie einen Kernel einsetzen der die Ger tedateien dynamisch erstellt Version 2 6 m ssen Sie die Dateien dev pts selbst erstellen und mit den passenden Rechten ausstatten 4Wenn Sie einen Kernel verwenden der Mandatory Access Control RSBAC SElinux unterst tzt m ssen Sie die Konfiguration nicht ndern wenn Sie dem Sshd Benutzer die notwendigen Rechte einr umen um den Systemaufruf chroot ausf hren zu k nnen Kapitel G Chroot Umgebung f r SSH 161 joebenutzer x 1099 1099 Joe Zufaelliger Benutzer home joe bin bash Dies wird sowohl den Fernzugriff auf die Shell als auch Fernkopien ber den ssh Kanal einschr nken Gehen Sie sicher dass Sie alle ben tigten Programme und Bibliotheken in den Chroot Pfaden der Benutzer haben Diese Dateien sollten Root als Eigent mer haben um Manipulationen durch den Benutzer zu ve
377. uffinden des Fehlers 1 6 9 Version 3 9 Oktober 2006 nderung von Javier Fern ndez Sanguino Pefia Informationen hinzugef gt wie man Sicherheitsl cken verfolgt Hinweis auf den Debian Testing Sicherheits Tracker hinzugef gt Weitere Informationen ber die Sicherheitsunterst tzung f r Testing hinzugef gt Eine gro e Anzahl von Tippfehlern mit einem Patch von Simon Brandmair korrigiert Einen Abschnitt hinzugef gt wie der Root Prompt bei Initramfs abgestellt wird Wurde von Max Attems beigesteuert Verweise auf Queso entfernt Hinweis in der Einleitung hinzugef gt dass nun auch Testing vom Sicherheitsteam unterst tzt wird Kapitel 1 Einleitung 8 1 6 10 Version 3 8 Juli 2006 nderung von Javier Fern ndez Sanguino Pefia Die Hinweise neugeschrieben wie man SSH in einer Chroot Umgebung einsperrt um die verschiedenen Optionen deutlicher herauszustellen Vielen Dank an Bruce Park der auf verschiedene Fehler in diesem Anhang hinwies Den Aufruf von Isof verbessert wie es von Christophe Sahut vorgeschlagen wurde Patches von Uwe Hermann zur Verbesserung von Tippfehlern eingef gt Einen Tippfehler in einer Referenz verbessert der von Moritz Naumann entdeckt wurde 1 6 11 Version 3 7 April 2006 nderung von Javier Fern ndez Sanguino Pefia Einen Abschnitt ber die bew hrten Methoden der Debian Entwickler in Hinblick auf Sicherheitsfragen hinzugef gt Ein Firewall Skript mit Kommentaren von WhiteGhost hinzugef
378. um dem Kernel F higkeiten zu entziehen kernelbasierte Zugriffskon trolle um das System sicherer zu machen Beispielsweise wird das Ausf hren von lcap CAP_SYS_MODULE die F higkeit der ladbaren Module entfernen sogar f r Root Weitere etwas ltere Informationen zu Kernelf higkeiten finden Sie in Jon Corbets Abschnitt Kernel development http lwn net 1999 1202 kernel php3 auf LWN vom Dezember 1999 Wenn Sie diese vielen M glichkeiten auf Ihrem GNU Linux System nicht wirklich brauchen sollten Sie die Unterst t zung f r ladbare Module w hrend der Konfiguration des Kernels abschalten Das erreichen Sie indem Sie einfach CON FIG_MODULES n w hrend des Konfiguration Ihres Kernels oder in der Datei config festsetzen So werden LKM Root Kits vermieden aber Sie verlieren eine leistungsf hige Eigenschaft des Linux Kernels Au erdem kann das Abschalten der nachladbaren Module den Kernel berladen so dass die Unterst tzung ladbarer Module notwendig wird Reaktive Verteidigung Der Vorteil reaktiver Verteidigung ist dass sie die Systemressourcen nicht berl dt Sie funktioniert durch das Vergleichen von einer Tabelle der Systemaufrufe mit einer bekannterma en sauberen Kopie System map Eine reaktive Verteidigung kann den Systemadministrator nat rlich nur benachrichtigen wenn das System bereits kompromittiert wurde Die Entdeckung von Root Kits vollbringt unter Debian chkrootkit Das Programm Chkrootkit http www chk
379. ung accounting utilities enth lt Diese werden alle Befehle die ein Benutzer oder ein Prozess auf dem System ausf hrt auf die Kosten von Plattenplatz aufzeichnen Wenn Sie diese Auswertung aktivieren werden alle Informationen ber Prozesse und Benutzer unter var account gespeichert genauer gesagt in pacct Das Accounting Paket enth lt einige Werkzeuge Sa Ac und Lastcomm zur Analyse dieser Daten Andere Methoden zur Benutzer berwachung Wenn Sie wirklich paranoid sind und jeden Befehl jedes Benutzers protokollieren wollen k nnen Sie den Quellcode der Bash so ndern dass sie alles was der Benutzer eingibt in einer anderen Datei ablegt Oder Sie lassen Ttysnoop unun terbrochen jedes neue tty berwachen und die Ausgaben in einer Datei speichern Ein anderes n tzliches Programm ist snoopy vergleichen Sie auch the project page http sourceforge net projects snoopylogger Dies ist ein f r den Benutzer transparentes Programm das sich als eine Bibliothek einh ngt und eine H lle um execve Aufrufe bildet Jeder ausgef hrte Befehl wird im syslogd aufgezeichnet indem die authpriv M glichkeit benutzt wird blicherweise wird dies unter var log auth 1log gespeichert 4 11 11 Nachpr fung der Benutzerprofile Wenn Sie sehen wollen was Benutzer tats chlich tun wenn sie sich am System anmelden k nnen Sie die wt mp Datenbank benutzen die alle Anmeldeinformationen enth lt Diese Datei kann mit verschiedenen W
380. ung so schnell wie m glich vorbereitet und f r den Stable Testing und Unstable Zweig einschlie lich aller Architekturen ver ffentlicht Alle Informationen ber Sicherheit sind an einer zentralen Stelle zu finden http security debian org Debian versucht immer die gesamte Sicherheit seiner Distribution mittels neuer Projekte zu verbessern beispielswei se durch automatische Paket Signierungs und Verifikations Mechanismen Debian stellt eine Reihe von brauchbaren sicherheitsrelevanten Werkzeugen f r die Systemadministration und berwachung zur Verf gung Entwickler versuchen diese Werkzeuge fest mit der Distribution zu verbinden um sie zu einer besseren Einheit zur Durchsetzung lokaler Sicherheitsrichtlinien zu machen Diese Werkzeuge schlie en Folgendes mit ein integrit tspr fende Programme berwachungswerkzeuge Werkzeuge zum Abh rten Werkzeu ge f r Firewalls Eindringlings Erkennungs Werkzeuge und vieles andere Paketbetreuer sind sich der Sicherheitsprobleme bewusst Dies f hrt oft zur voreingestellt sicheren Installation von Diensten die sie manchmal in ihrer normalen Benutzung etwas einschr nken k nnen Dennoch versucht De bian Sicherheitsaspekte und Einfachheit der Administration abzuw gen zum Beispiel werden Dienste nicht in aktiv installiert wie es bei den Betriebssystemen der BSD Familie blich ist Auf jeden Fall sind bedeutende Si cherheitsaspekte wie zum Beispiel setuid Programme Teil der D
381. unktionen zu haben Das kommt daher dass sich manche Projekte schneller entwickeln als die Ver ffentlichungen von Debians Stable Kapitel 10 Vor der Kompromittierung 120 10 2 Regelm iges berpr fung der Integrit t Mit Hilfe der Basisinformationen die Sie nach der Installation erstellt haben also mit dem Schnappschuss der in Einen Schnappschuss des Systems erstellen auf Seite 64 beschrieben wird sollte es Ihnen m glich sein von Zeit zu Zeit die Integrit t des Systems zu berpr fen Eine Integrit tspr fung kann Ver nderungen am Dateisystem entdecken die durch einen Eindringling oder einen Fehler des Systemadministrators entstanden sind berpr fungen der Integrit t sollen wenn m glich extern durchgef hrt werden 7 Das bedeutet dass das Betriebssystem des berpr ften Systems nicht verwendet wird um den falschen Eindruck von Sicherheit also falsche Negative zu verhin dern der z B durch installierte Rootkits entstehen k nnte Die Datenbank mit der das System verglichen wird sollte sich daher auf einem nur lesbaren Medium befinden Falls der Einsatz einer externen Pr fung nicht m glich ist sollten Sie in Betracht ziehen die Integrit tspr fung mit den verf gbaren Werkzeugen zur Pr fung der Integrit t des Dateisystem durchzuf hren wie unter Priifung der Integrit t des Dateisystems auf Seite 59 beschrieben Allerdings sollten Vorsichtsma nahmen getroffen werden Die Datenbank f r die Integri
382. unktionieren wenn es von einem normalen Benutzer ausgef hrt wird FIXME Check if this is written in the Policy Some packages i e ftp daemons seem to enforce different permissions 3Beachten Sie dass das security by obscurity ist und daher auf lange Sicht gesehen wahrscheinlich nicht der M he wert ist Kapitel 12 H ufig gestellte Fragen Frequently asked Questions FAQ 132 12 1 10 Warum hat root oder BenutzerX die Rechte 755 Tats chlich kann die gleiche Frage auch f r jeden anderen Benutzer gestellt werden Da Debians Standardinstallation keine Dateien unter diesem Verzeichnis abgelegt sind keine sensiblen Informationen vorhanden die gesch tzt werden m ssten Wenn Sie denken dass diese Rechte f r Ihr System zu locker sind k nnen Sie sie auf 750 einschr nken F r Benutzer sollten Sie Begrenzung des Zugangs zu Informationen anderer Benutzer auf Seite 51 lesen Dieser Thread http lists debian org debian devel 2000 debian devel 200011 msg00783 html der Sicherheitsmailingliste von Debian hat weitere Ausf hrungen zu diesem Thema 12 1 11 Nach der Installation von grsec oder einer Firewall bekomme ich viele Nachrichten auf der Konsole Wie entferne ich sie Wenn Sie Nachrichten auf der Konsole empfangen aber etc syslog conf so eingerichtet haben dass diese in Dateien oder auf ein spezielles TTY umgeleitet werden sehen Sie dennoch Nachrichten auf der Konsole die direkt an sie geschickt werden D
383. urceforge net projects openantivirus siehe Fehler 150698 ITP oav scannerdaemon http bugs debian org 150698 und Fehler 150695 ITP oav update http bugs debian org 150695 FIXME Is there a package that provides a script to download the latest virus signatures from http www openantivirus org latest php FIXME Check if scannerdaemon is the same as the open antivirus scanner daemon read ITPs Allerdings wird Debian niemals propriet re unfreie und unverbreitbare Antiviren Software anbieten Dazu z hlen Panda Antivirus NAI Netshield Sophos Sweep http www sophos com TrendMicro Interscan http www antivirus com oder RAV http www ravantivirus com Weitere Hinweise finden Sie im Mini FAQ Antiviren Software f r Linux Unix http www computer networking de link security av linux txt Das be deutet nicht dass diese Software nicht richtig auf einem Debian System installiert werden kann Zus tzliche Informationen ber das Aufsetzen eines Systems zur Virenerkennung erhalten Sie im Artikel Building an E mail Virus Detection System for Your Network http www linuxjournal com article php sid 4882 von Dave Jo nes 8 9 GPG Agent Es ist heutzutage weit verbreitet E Mails digital zu unterschreiben manchmal auch zu verschl sseln Sie k nnen z B feststellen dass viele Menschen auf Mailinglisten ihre E Mails signieren Signaturen von ffentlichen Schl sseln ist im Moment die einzige M glichk
384. ustellt Installieren Sie von den Diensten die Sie brauchen nicht einfach das verbreiteteste Programm sondern schauen Sie nach sichereren Versionen die Debian liefert oder aus anderen Quellen um Was auch immer Sie schlie lich benutzen Stellen Sie sicher dass Sie die Risiken verstanden haben Setzen Sie Chroot Gef ngnisse f r ausw rtige Benutzer und Daemonen auf Configure firewall and tcpwrappers i e hosts_access 5 note trick for etc hosts deny in text Wenn Sie FTP laufen lassen setzen Sie den ftpd Server so auf dass er immer in einer chroot Umgebung im Home Verzeichnis des Benutzers l uft Wenn Sie X laufen lassen schalten Sie xhost Authentifizierung ab und benutzen Sie stattdessen ssh Oder noch besser Deaktivieren Sie die Weiterleitung von X komplett falls das m glich ist f gen Sie nolisten tcp zu der X Kommando Zeile hinzu und schalten Sie XDMCP in etc X11 xdm xdm config ab indem Sie den re questPort auf 0 setzen Schalten Sie Zugriff von au erhalb auf den Drucker ab Tunneln Sie alle IMAP oder POP Sitzungen durch SSL oder ssh Installieren Sie stunnel wenn Sie diesen Dienst anderen Mail Benutzern anbieten wollen Setzen Sie einen Log Host auf und konfigurieren Sie andere Maschinen ihre Protokolle an diesen Host zu senden etc syslog conf Sichern Sie BIND Sendmail und andere komplexe Daemonen ab starten Sie sie in einer chroot Umgebung und als Pseudobenutzer der nicht Root ist Installie
385. uthentication KerberosAuthentication or RhostsAuthentication you should disable them even if they are already by default see the manpage sshd_config 5 e Protocol 2 Deaktivieren Sie die Protokollversion 1 da diese einige Designschw chen hat die es einfacher zu machen Passw rter zu knacken F r weitere Informationen lesen Sie a paper regarding ssh protocol problems http earthops net ssh timing pdf oder das Xforce advisory http xforce iss net static 6449 php e Banner etc eine_Datei F gen Sie einen Bannertext er wird aus der Datei bezogen f r Benutzer die sich mit dem ssh Server verbinden hinzu In einigen L ndern sollte das Senden einer Warnung ber unautorisierten Zugriff oder Benutzer berwachung vor dem Zugriff zu einem bestimmten System erfolgen um sich rechtlich abzusichern Sie k nnen den Zugriff auf den ssh Server auch mittels pam_list file oder pam_wheel in der PAM Kontrolldatei be schr nken Zum Beispiel k nnen Sie jeden abhalten der nicht in der Datei etc loginusers aufgelistet ist durch Hin zuf gen folgender Zeile zu etc pam d ssh auth required pam_listfile so sense allow onerr fail item user file etc loginusers Abschlie end beachten Sie bitte dass diese Direktiven von einer OpenSSH Konfigurationsdatei stammen Derzeit gibt es drei weit verbreitete ssh Daemonen ssh1 ssh2 und OpenSSH von den OpenBSD Leuten Ssh1 war der erste verf gbare ssh Daemon und er ist noch der weit verbreitetst
386. utlich dass es wichtig ist dass sie auf dem neusten Stand gehalten wird Auch Sie k nnen Ihren Teil dazu beitragen Bitte unterst tzen Sie uns 1 4 Vorwissen Die Installation von Debian GNU Linux ist nicht sehr schwer und Sie sollten in der Lage gewesen sein es zu installieren Wenn Ihnen andere Linux Distributionen Unixe oder grunds tzliche Sicherheitskonzepte ein wenig vertraut sind wird es Ihnen leichter fallen diese Anleitung zu verstehen da nicht auf jedes einzelne Detail eingegangen werden kann oder dies w re ein Buch geworden und keine Anleitung Wenn Sie jedoch mit diesen Dingen noch nicht so vertraut sind sollten Sie vielleicht einen Blick in Seien Sie wachsam gegen ber generellen Sicherheitsproblemen auf Seite 23 f r tiefer gehende Informationen werfen Kapitel 1 Einleitung 3 1 5 Dinge die noch geschrieben werden m ssen FIXME TODO Dieses Kapitel beschreibt die Dinge welche in diesem Handbuch noch verbessert werden m ssen Einige Abschnitte bein halten FIXME oder TODO Markierungen in denen beschrieben wird welche Dinge fehlen oder welche Aufgaben erledigt werden m ssen Der Zweck dieses Kapitels ist es die Dinge die zuk nftig in dieses Handbuch aufgenommen werden k nnten und die Verbesserungen die durchgef hrt werden m ssen oder bei denen es interessant w re sie einzuf gen zu beschreiben Wenn Sie glauben dass Sie Hilfe leisten k nnten den auf dieser Liste aufgef hrten Punkten od
387. utzer orientierter z B f r Heimanwender als einige der anderen Pakete in der Liste die sich eher an Administratoren richten Einige der Programme die zuvor aufgef hrt wurden wie bastille fokussieren auf das Erstellen von Firewall Regeln zum Schutz des Rechners auf dem sie laufen sind aber nicht notwendigerweise daf r geschaffen Firewall Regeln f r Rechner zu erstellen die ein Netzwerk sch tzen wie shorewall oder fwbuilder Es gibt einen weiteren Typ von Firewall Anwendungen Anwendungs Proxys Wenn Sie eine M glichkeit suchen eine Unternehmensl sung aufzusetzen die Pakete filtert und eine Anzahl von transparenten Proxys bietet die feinabgestimm te Verkehrsanalysen bieten so sollten Sie zorp genauer betrachten Dies bietet alles in einem einzelnen Programm Sie k nnen diese Art von Firewall Rechner auch manuell aufsetzen indem Sie die Proxys die in Debian vorhanden sind f r verschiedene Dienste verwenden Zum Beispiel f r DNS bind richtig konfiguriert insmasq pdnsd oder totd f r FTP frox oder ftp proxy f r X11 xfwp f r IMAP imapproxy f r Mail smtpd oder f r POP3 p3scan F r andere Pro tokolle k nnen Sie entweder einen allgemeinen TCP Proxy wie simpleproxy oder einen allgemeinen SOCKS Proxy wie dante server tsocks oder socks4 server verwenden Typischerweise werden Sie auch ein Web Cache System wie squid und ein Web Filtersystem wie squidguard oder dansguardian nutzen Kapitel 5 Absichern von Diensten die
388. utzer und die Gruppe f r den Name Server erstellen und etc default bind und etc init d bind so ndern dass das Programm unter diesem Benutzer l uft Benutzen Sie es u erst vorsichtig da es nicht eingehend getestet wurde Sie k nnen die Benutzer auch von Hand erstellen und dann den Patch f r das Standard Init d Skript verwenden der im Fehlerbericht 157245 http bugs debian org cgi bin bugreport cgi bug 157245 enthalten ist bin sh Change the default Debian bind v8 configuration to have it run with a non root user and group DO NOT USER this with version 9 use debconf for configure this instead WARN This script has not been tested thoroughly please verify the changes made to the INITD script SE de de FE de EOE c 2002 Javier Fern ndez Sanguino Pe a This program is free software you can redistribute it and or modify it under the terms of the GNU General Public License as published by the Free Software Foundation either version 1 or at your option any later version This program is distributed in the hope that it will be useful but WITHOUT ANY WARRANTY without even the implied warranty of MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE See the GNU General Public License for more details Please see the file COPYING for the complete copyright notice Se 4b FE FE FE SE OSE SE FE SE OE OE EOE restore Just in case restore the system if the changes fail echo WARN Restoring to the pre
389. utzers ist 4 11 14 Erstellen von Benutzerpassw rtern In vielen F llen muss ein Administrator viele Benutzerkonten erstellen und alle mit Passw rtern ausstatten Der Adminis trator k nnte nat rlich einfach als Passwort den Namen des Benutzerkontos vergeben Dies w re aber unter Sicherheitsge sichtspunkten nicht sehr klug Ein besseres Vorgehen ist es ein Programm zur Erzeugung von Passw rtern zu verwenden Debian stellt die Pakete makepasswd apg und pwgen zur Verf gung die Programme liefern deren Name ist der gleiche wie der des Pakets die zu diesem Zweck verwendet werden k nnen Makepasswd erzeugt wirklich zuf llige Passw r ter gibt also der Sicherheit gegen ber der Aussprechbarkeit den Vorzug Dagegen versucht pwgen bedeutungslose aber aussprechbare Passw rter herzustellen dies h ngt nat rlich auch von Ihrer Muttersprache ab Apg liefert Algorithmen f r beide M glichkeiten Es gibt auch eine Client Server Version dieses Programms Diese befindet sich aber nicht im Debian Paket Passwd erlaubt nur die interaktive Zuweisung von Passw rtern da es direkt den tty Zugang benutzt Wenn Sie Pass w rter ndern wollen wenn Sie eine gro e Anzahl von Benutzern erstellen k nnen Sie diese unter der Verwendung von adduser mit der disabled login Option erstellen und danach usermod oder chpasswd benutzen beide Pro gramme stammen aus dem passwd Paket Sie haben sie also schon installiert Wenn Sie lieber eine Datei verw
390. van der Meulen stellte den Abschnitt ber Quota und viele seiner guten Ideen zur Verf gung Ethan Benson korrigierte den PAM Abschnitt und hatte einige gute Ideen Dariusz Puchalak trug Informationen zu verschiedenen Kapiteln bei Gaby Schilders trug eine nette Genius Paranoia Idee bei Era Eriksson gab dem Ganzen an vielen Stellen den sprachlichen Feinschliff und trug zur Checkliste im Anhang bei Philipe Gaspar schrieb die LKM Informationen Yotam Rubin trug sowohl Korrekturen f r viele Tippfehler bei als auch Informationen ber die Versionen von Bind und MD5 Passw rter Francois Bayart stellte den Anhang zur Verf gung in dem beschrieben wird wie man eine Bridge Firewall aufsetzt Joey Hess schrieb im Debian Wiki http wiki debian org SecureApt den Abschnitt der erkl rt wie Secure Apt funktioniert Martin F Krafft schrieb in seinem Blog etwas dar ber wie die Verifizierung von Fingerabdr cken funktioniert Dies wurde im Abschnitt ber Secure Apt verwendet Francesco Poli sah dieses Dokument umfassend durch und stellte eine gro e Anzahl von Fehlerberichten und Aus besserungen von Tippfehlern zur Verf gung mit denen dieses Dokument verbessert und aktualisiert werden konnte All den Leuten die Verbesserungen vorschlugen die letzten Endes eingeflossen sind siehe Anderungsiiber sicht Changelog Geschichte auf Seite 5 Alexander All den Leuten die mich ermutigten dieses HOWTO zu schreiben das sp ter zu ei
391. verwenden gibt es ein Problem wenn Sie in letzter Zeit nicht apt get update ausgef hrt haben und mit apt get ein Paket installieren m chten Apt k nnte sich dar ber beschweren dass es nicht authentifiziert werden konnte Warum passiert das blo apt get update l st das Problem Pr fung von Hand F r den Fall dass Sie nun zus tzliche Sicherheitspr fungen einf hren wollen aber nicht die neuste Version von apt einset zen wollen oder k nnen k nnen Sie das folgende Skript von Anthony Towns benutzen Dieses Skript f hrt automatisch neue Sicherheits berpr fungen durch damit ein Benutzer sicher gehen kann dass die Software die er herunterl dt die gleiche ist wie die die von Debian bereitgestellt wird Das verhindert dass sich Debian Entwickler in ein fremdes System einhacken k nnen ohne dass eine Zurechnung und R ckverfolgung m glich w re die durch das Hochladen eines Pakets auf das Hauptarchiv gew hrleistet werden Es kann auch verhindern dass ein Spiegel etwas fast genau abbildet das aber eben doch nicht ganz wie in Debian oder dass veraltete Versionen von instabilen Paketen mit bekannten Sicherheitsl cken zur Verf gung gestellt werden Dieser Beispielscode umbenannt nach apt check sigs sollte auf die folgende Art benutzt werden apt get update apt check sigs Ergebnisse apt get dist upgrade Zuerst m ssen Sie jedoch Folgendes tun 10Entweder weil Sie Stable Sarge oder eine ltere Ver
392. vious setup since I m unable to properly change it echo WARN Please check the INITDERR script mv INITD INITDERR cp INITDBAK INITD USER named GROUP named INITD etc init d bind DEFAULT etc default bind INITDBAK INITD preuserchange INITDERR INITD changeerror AWKS awk usr sbin ndc reload print stop sleep 2 start noprint 1 if noprint 0 noprint id u ne 0 amp amp echo This program must be run by the root user exit 1 1 Ab der Version 9 2 1 5 also seit der Ver ffentlichung von Sarge Tr Kapitel E Beispielskript um die Standard Installation von Bind zu ndern 154 RUNUSER ps eo user fname grep named cut f 1 da if SRUNUSER SUSER then echo WARN The name server running daemon is already running as USER echo ERR This script will not do any changes to your setup exit 1 EN it f ASINETD J then echo ERR This system does not have INITD which this script tries to change RUNNING ps eo fname grep named z SRUNNING amp amp echo ERR In fact the name server daemon is not even running is it installed echo ERR No changes will be made to your system exit 1 fi Check if there are options already setup if e DEFAULT then if grep q OPTIONS SDEFAULT then echo ERR The DEFAULT file already has options set echo ERR No changes will be made to your system fi fi Check if named g
393. vor einer Ver ffentlichung die Aktualisierungen nochmals getestet werden m ssen eine Ank n digung geschrieben werden muss oder eine Woche oder mehr gewartet werden muss um zu verhindern dass der Fehler ver ffentlicht wird bevor nicht alle Linux Anbieter eine vern nftige Chance hatten ihn zu beheben Folglich arbeitet das Archiv der Sicherheitsuploads nach dem folgenden Ablauf e Jemand findet ein Sicherheitsproblem e Jemand l st das Problem und l dt die L sung in den Eingang von security master debian org hoch dieser jemand ist normalerweise ein Mitglied des Sicherheitsteams kann aber auch ein Paketbetreuer mit einer passenden Verbesse rung sein der sich zuvor mit dem Sicherheitsteam in Verbindung gesetzt hat Die nderungs bersicht changelog beinhaltet ein testing security oder stable security als Zieldistribution Die hochgeladenen Dateien werden von einem Debian System berpr ft verarbeitet und in die Warteschleife der an genommenen Dateien weitergeleitet Danach werden die Buildds benachrichtigt Auf die Dateien in der Warteschleife kann das Sicherheitsteam und auf indirektem Wege die Buildds zugreifen e Buildds die Sicherheit unterst tzen holen sich das Quellpaket mit einer h heren Priorit t als normale Paketerstel lungen erstellen Pakete und schicken die Protokolle ans Sicherheitsteam e Das Sicherheitsteam antwortet auf die Protokolle und die neu erstellten Pakete werden in die Warteschleife der un gep
394. wendet werden http www de debian org security audit tools Beim Paketieren von Software sollten Entwickler darauf achten dass sie allgemein anerkannte Sicherheitsprinzipien ein halten Dazu geh ren e Die Software sollte mit so geringen Rechten wie m glich laufen Kapitel 9 Der gute Umgang von Entwicklern mit der Sicherheit des OS 112 Falls das Paket Binaries mit setuid oder setgid enth lt wird Lintian vor setuid http lintian debian org reports Tsetuid binary html setgid http lintian debian org reports Tsetgid binary html und setuid und setgid http lintian debian org reports Tsetuid gid binary html Binaries warnen Die Daemons die in einem Paket enthalten sind sollten mit den Rechten eines Benutzers laufen der nur geringe Privilegien besitzt vergleichen Sie dazu Benutzer und Gruppen f r Software Daemons erstellen auf dieser Seite e Automatisierte Aufgaben also mit cron sollten NICHT mit Root Rechten laufen Zumindest sollten mit Root Rechten keine komplizierten Aufgaben erledigt werden Falls Sie diese Prinzipien nicht einhalten k nnen sollten Sie sichergehen dass das Programm das mit umfangreicheren Rechten l uft auf Sicherheitsprobleme berpr ft wurde Wenn Sie sich nicht sicher sind oder Hilfe ben tigen sollten Sie sich mit dem Sicherheits Audit Team von Debian http www de debian org security audit in Verbindung setzen Wenn Binaries setuid setgid verwenden sollten Sie di
395. wohl unbeschr nkte als auch beschr nkte Benutzer zu ha ben Falls Sie keine Setuid Anwendungen in der Chroot Umgebung zur Verf gung stellen wird es schwieriger aus dem Gef ngnis auszubrechen Allerdings m ssen Sie gegebenenfalls Chroot Umgebungen f r jeden Benutzer einzeln einrich ten Au erdem ist die Konfiguration schwieriger da es Zusammenarbeit mit dem SSH Server erfordert Die zweite M g lichkeit ist leichter zu verwirklichen und sch tzt vor dem Ausnutzen eines Exploits des SSH Servers da auch dieser im Chroot Gef ngnis ist Jedoch m ssen alle Benutzer die gleiche Chroot Umgebung verwenden Verschiedene Umgebungen f r verschiedene Benutzer sind nicht m glich G 1 SSH Benutzer in ein Chroot Gef ngnis einsperren Sie k nnen den SSH Server so einrichten dass er bestimmte Benutzer in eine Chroot Umgebung einsperrt so dass sie eine Shell mit nur einer beschr nkten Anzahl von Anwendungen zur Verf gung haben G 1 1 Einsatz von libpam chroot Der wahrscheinlich leichteste Weg ist das Paket 1ibpam chroot das in Debian vorhanden ist zu verwenden Wenn Sie es installiert haben m ssen Sie e etc pam d ssh ver ndern um dieses PAM Modul zu verwenden F gen Sie dazu als letzte Zeile Folgendes ein session required pam_chroot so e eine passende Chroot Umgebung f r die Benutzer einrichten Sie k nnen versuchen die Skripte unter usr share doc libpam chroot examples zu verwenden das Programm makejail benutzen oder eine
396. wungen werden unterst tzt Wenn Sie beispielsweise das Paket mindterm verwenden unterst tzt dies nur Protokollversion 1 Jedoch ist der sshd Server standardm ig so konfiguriert nur Version 2 aus Sicherheitsgr nden zu akzeptieren 5 1 3 Verbieten der bertragung von Dateien Wenn Sie nicht m chten das Benutzer Dateien zum und vom ssh Server bertragen m ssen Sie den Zugang zu sftp server und zu scp einschr nken Sie k nnen dies f r sftp server tun indem Sie den korrekten Subsystem Wert in etc ssh sshd_config eintragen Sie k nnen auch Benutzer mittels libpam chroot in eine Chroot Umgebung einsperren so dass sie selbst wenn Da teitransfers erlaubt sind auf eine bestimmte Umgebung festgelegt sind die keine Systemdateien enth lt 5 1 4 Beschr nkung des Zugangs auf Dateientransfers Sie k nnen den Zugang von Benutzern der Gestalt beschr nken dass sie nur Dateien bertragen k nnen aber keine inter aktive Shell erhalten Dies k nnen Sie mit den folgenden Methoden erreichen e den Benutzern verbieten sich auf dem ssh Server einzuloggen wie oben beschrieben entweder durch die Konfigura tionsdatei oder die PAM Konfiguration oder e den Benutzern nur eine eingeschr nkte Shell wie scponly oder rssh zuweisen Diese Shells schr nken die Befehle ein die den Benutzern zur Verf gung stehen so dass sie auf dem entfernten Rechner keine Befehle ausf hren k nnen 5 2 Absichern von Squid Squid ist einer der verbreit
397. www cert org tech_tips usc20_full html FIXME This is based on v1 4 of the manual and might need to be updated e Beschr nkung des physischen Zugriffs und der Boot F higkeiten Setzen Sie im BIOS ein Passwort Schalten Sie im BIOS das Booten von Diskette CD ROM ab Setzen Sie ein LILO bzw GRUB Passwort etc lilo conf bzw boot grub menu 1st stellen Sie sicher dass die Konfigurationsdatei von LILO oder GRUB nicht lesbar ist e Partitionierung Legen Sie Daten die von Benutzern geschrieben wurden Daten die nicht zum System geh ren und sich st ndig ndernde Laufzeitdaten auf eigenen getrennten Partitionen ab Setzen Sie die Mount Optionen nosuid noexec nodev in etc fstab bei ext2 3 Partitionen die keine aus f hrbaren Programme enthalten sollten wie zum Beispiel home oder tmp e Passworthygiene und Anmeldesicherheit Wahlen Sie ein gutes Root Passwort Installieren und benutzen Sie PAM ES pS F gen Sie die Unterst tzung von PAM MD5 hinzu und stellen Sie sicher allgemein gesprochen dass die Eintr ge in den etc pam d Dateien die Zugriff auf die Maschine gew hren das zweite Feld in der pam d Datei auf requisite oder required gesetzt haben ndern Sie etc pam d login so dass nur lokale Anmeldungen von Root erlaubt werden Bezeichnen Sie au erdem autorisierte ttys in etc security access conf und richten Sie diese Datei berhaupt
398. x drwxr xr x drwxr xr x drwxr xr x drwxr xr x bin total 8368 drwxr xr x drwxr xr x ENN ENEE ENN ENN ENN ENN ENN ENN ENN ENN ENN ENN ENN ENN ENN ENN ENN EE ENN ENN ENN ENN ENN ENN ENN ENN ENN ENN ENN ENN ENN r xr xr x LWXr xr xX LWXr xr xX IWXI XI X LWXr xr xX IWXI XI X IWXI XI X IWXI XI X LWXr xr xX LWXr xr xX 9 root root 4096 Jun 5 11 root root 4096 Jun 3 2 NNNWABAN N root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root root 4096 4096 4096 4096 4096 4096 4096 Jun Jun Jun Jun Jun Jun Jun ss bs IB BD 4096 Jun 4 4096 Jun 5 09855 Jun 3 387764 Jun 3 36365 Jun 3 20629 Jun 3 6956 Jun 3 1 58116 Jun 3 04008 Jun 3 89340 Jun 3 441584 Jun 3 96036 Jun 3 07000 Jun 3 77832 Jun 4 9597 Jun 3 46979 Jun 3 0420 Jun 3 4528 Jun 3 1 11386 Jun 4 26168 Jun 3 49164 Jun 3 1600 Jun 3 24780 Jun 3 54980 Jun 3 27920 Jun 3 42
399. zt wird e wie Passw rter berpr ft werden Die folgende Beschreibung ist weit davon entfernt vollst ndig zu sein F r weitere Informationen k nnen Sie die Linux PAM Guides http www linux pam org Linux PAM html lesen Diese Dokumentation ist auf Ihrem System un ter usr share doc libpam doc html verf gbar wenn Sie 1ibpam doc installieren PAM offers you the possibility to go through several authentication steps at once without the user s knowledge You could authenticate against a Berkeley database and against the normal passwd file and the user only logs in if the authentication succeeds in both You can restrict a lot with PAM just as you can open your system doors very wide So be careful A typical configuration line has a control field as its second element Generally it should be setto requisite which returns a login failure if one module fails Passwortsicherheit in PAM Sehen Sie sich etc pam d common passwordan dievon etc pam d passwd eingebunden wird 14 Andere Dateien in etc pam d lesen diese Datei ein um die Verwendung eines Passworts durch Programme die einen Zugriff auf das Hin fr heren Debian Ver ffentlichungen befand sich die Konfiguration der Module direkt in etc pam d passwd Kapitel 4 Nach der Installation 43 System erlauben wie etwa das Konsolen Login Login grafische Login Manager z B Gdm oder Lightdm und Login aus der Ferne etwa mit Sshad zu definieren Sie m ssen sicherstel
400. zu installieren siehe oben Protokollieren ber ein serielles Kabel von Gaby Schilders So lange Server immer noch serielle Schnittstellen ha ben Stellen Sie sich ein Protokollsystem f r eine Anzahl von Servern vor Es ist vom Netz abgeschnitten und mit den Servern ber einen Multiplexer f r serielle Schnittstellen Cyclades oder hnliches verbunden Jetzt sollen alle Ihre Server die Protokolle an ihre serielle Schnittstelle schicken einfach nur hinschreiben Die Protokollmaschine akzep tiert nur einfachen Text als Eingabe auf ihrer seriellen Schnittstelle und schreibt ihn lediglich in eine Protokolldatei Schlie en Sie einen CD oder DVD Brenner an Brennen Sie die Protokolldatei wenn sie die Gr e des Mediums erreicht hat Wenn es jetzt nur noch CD Brenner mit automatischem Medien Wechsel g be Nicht so dauerhaft gespeichert wie ein Ausdruck aber mit dieser Methode kann man gr ere Mengen handhaben und die CD ROMs nehmen nicht so viel Platz weg e ndern Sie die Dateiattribute mit chattr dem Tipps HOWTO von Jim Dennis entnommen Nachdem Sie Ihr Sys tem sauber installiert und konfiguriert haben verwenden Sie das Programm chattr mit dem Attribut i um Da teien unver nderbar zu machen die Datei kann nicht gel scht umbenannt verlinkt oder beschrieben werden Sie sollten dieses Attribut f r alle Dateien in bin sbin usr bin usr sbin usr lib und den Kerneldateien in root Sie k nnen auch eine Kopie aller Dateien i
Download Pdf Manuals
Related Search