Vollbildmodus: Seiteninhalt ohne Menus

Security

Links

Vorüberlegungen

  1. Entscheiden Sie, welche Dienste auf dem System benötigt werden, und beschränken Sie den Einsatz genau auf diese Dienste – nicht mehr und nicht weniger. Nicht benötigte Dienste sollten auf dem System nicht installiert oder zumindest deaktiviert sein. Weiterhin sollten die benutzten Ports durch eine Firewall auf dem System freigegeben beziehungsweise sollten die Ports von nicht genutzten Diensten über die Firewall gesperrt werden.
  2. Verwendete Dienste sind abzusichern, so dass bei einem erfolgreichen Angriff auf diesen Dienst nicht das gesamte System kompromittiert wird (beispielsweise durch die Verwendung einer chroot-Umgebung).
  3. Auf dem System sollten nur die notwendigen Benutzerkonten angelegt und aktiviert sein. Aktive Benutzerkonten sind durch entsprechende Beschränkungen (Unix-Zugriffsrechte, Quota, ACLs) abzusichern.
  4. Setzen Sie Programme ein, die einen unbefugten Zugriff auf das System erkennen und melden, so dass geeignete Gegenmaßnahmen ergriffen werden können.

Sicherheitsmaßnahmen von Linux

  • Das Unix-Sicherheitsmodell
  • Systemhärtungs (hardening-) Technologien

SELinux (Security Enhanced Linux)

SELinux ist ein Zusatz für den Kernel, um damit stärkere Zugriffskontrollen auf bestimmte Ressourcen zu definieren. Dabei kann man sich für den „standard mode“ (auch: „permissive mode“) oder für den „secure mode“ (auch: „enforcing mode“) entscheiden. Im „standard mode“ werden Abweichungen von den Richtlinien in Systemlog vermerkt aber dennoch erlaubt, während der „secure mode“ die Richtlinien strikt durchsetzt.

AppArmor

AppArmor's Security Goals Protect your applications with AppArmor Firewall Your Applications with AppArmor

Achtung: Wenn eine app gestartet wurde bevor ein Profil geladen wurde bleibt sie unbeschränkt.

sudo aa-status
apparmor module is loaded.
26 profiles are loaded.
26 profiles are in enforce mode.
   /sbin/dhclient
   /usr/bin/evince
   /usr/bin/evince-previewer
   /usr/bin/evince-previewer//sanitized_helper
   /usr/bin/evince-thumbnailer
   /usr/bin/evince-thumbnailer//sanitized_helper
   /usr/bin/evince//sanitized_helper
   /usr/lib/NetworkManager/nm-dhcp-client.action
   /usr/lib/connman/scripts/dhclient-script
   /usr/lib/cups/backend/cups-pdf
   /usr/lib/ipsec/charon
   /usr/lib/libvirt/virt-aa-helper
   /usr/lib/lightdm/lightdm-guest-session
   /usr/lib/lightdm/lightdm-guest-session//chromium
   /usr/lib/telepathy/mission-control-5
   /usr/lib/telepathy/telepathy-*
   /usr/lib/telepathy/telepathy-*//pxgsettings
   /usr/lib/telepathy/telepathy-*//sanitized_helper
   /usr/lib/telepathy/telepathy-ofono
   /usr/sbin/cups-browsed
   /usr/sbin/cupsd
   /usr/sbin/libvirtd
   /usr/sbin/mysqld-akonadi
   /usr/sbin/mysqld-akonadi///usr/sbin/mysqld
   /usr/sbin/tcpdump
   docker-default
0 profiles are in complain mode.
5 processes have profiles defined.
5 processes are in enforce mode.
   /sbin/dhclient (1144) 
   /usr/lib/telepathy/mission-control-5 (2921) 
   /usr/sbin/cups-browsed (964) 
   /usr/sbin/cupsd (720) 
   /usr/sbin/libvirtd (1382) 
0 processes are in complain mode.
0 processes are unconfined but have a profile defined.

RSBAC (Ruleset Based Access Control)

grsecurity

grsecurity ist ein Sicherheitspatch für den Linux-Kernel.

 
linux/security.txt · Zuletzt geändert: 2017/07/07 20:12 von st
 
Backlinks: [[linux:security]]