Security
Links
Vorüberlegungen
- Entscheiden Sie, welche Dienste auf dem System benötigt werden, und beschränken Sie den Einsatz genau auf diese Dienste – nicht mehr und nicht weniger. Nicht benötigte Dienste sollten auf dem System nicht installiert oder zumindest deaktiviert sein. Weiterhin sollten die benutzten Ports durch eine Firewall auf dem System freigegeben beziehungsweise sollten die Ports von nicht genutzten Diensten über die Firewall gesperrt werden.
- Verwendete Dienste sind abzusichern, so dass bei einem erfolgreichen Angriff auf diesen Dienst nicht das gesamte System kompromittiert wird (beispielsweise durch die Verwendung einer chroot-Umgebung).
- Auf dem System sollten nur die notwendigen Benutzerkonten angelegt und aktiviert sein. Aktive Benutzerkonten sind durch entsprechende Beschränkungen (Unix-Zugriffsrechte, Quota, ACLs) abzusichern.
- Setzen Sie Programme ein, die einen unbefugten Zugriff auf das System erkennen und melden, so dass geeignete Gegenmaßnahmen ergriffen werden können.
Sicherheitsmaßnahmen von Linux
- Das Unix-Sicherheitsmodell
- Dateizugriffsberechtigungen: (Benutzer, Gruppe, alle)
- Admin/rootaktionen
- chuid/sgid-Aktionen für root
- Prozeßseperation
- Systemhärtungs (hardening-) Technologien
SELinux (Security Enhanced Linux)
SELinux ist ein Zusatz für den Kernel, um damit stärkere Zugriffskontrollen auf bestimmte Ressourcen zu definieren. Dabei kann man sich für den „standard mode“ (auch: „permissive mode“) oder für den „secure mode“ (auch: „enforcing mode“) entscheiden. Im „standard mode“ werden Abweichungen von den Richtlinien in Systemlog vermerkt aber dennoch erlaubt, während der „secure mode“ die Richtlinien strikt durchsetzt.
- Aktueller Modus:
sestatus
- auf permissive setzen 1):
setenforce Permissive
- Config:
/etc/selinux/config
- Deaktivieren (nicht empfohlen!): SELINUX=disabled in Config-Datei CentOs stream / RHEL 9: Bootparameter selinux=0
Links:
AppArmor
RSBAC (Ruleset Based Access Control)
RSBAC Homepage RSBAC, Who is root anyway? (@Gentoo-wiki.com)
grsecurity
grsecurity ist ein Sicherheitspatch für den Linux-Kernel.
1)
schreibt nur Warnungen ins audit.log
/var/log/audit/audit.log