| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung |
| linux:security [2018/07/12 18:23] – [Sicherheitsmaßnahmen von Linux] st | linux:security [2022/12/13 08:27] (aktuell) – [SELinux (Security Enhanced Linux)] st |
|---|
| | ====== Security ====== |
| |
| | * [[Partitionierung]] |
| | * [[Bootmanager absichern]] |
| | * [[Hardening]] |
| | * [[security:Security-Tools]] |
| | |
| | * [[linux:systemprotokolle#LogHost]] |
| | |
| | |
| | |
| | ===== Links ===== |
| | * [[http://www.linux-sec.net/|linux-sec.net: absolute Top-Adresse zum Thema]] |
| | * [[http://www.seifried.org/lasg/|Linux Administrator's Security Guide]] |
| | * [[http://seifried.org/lasg/|Linux Administrator's Security Guide]] |
| | |
| | * [[http://www.securityfocus.com/|Securityfocus]] |
| | * [[http://www.linux.com/article.pl?sid=06/12/08/1929225|Configuration: the forgotten side of security]] |
| | * [[http://linux-sec.net/|Linux-Sec.net]] |
| | * [[http://www.linuxsecurity.com/|Linuxsecurity]] |
| | * [[http://www.packetstormsecurity.org/|Packetstormsecurity]] |
| | * [[http://www.securiteam.com/|Securiteam]] |
| | * [[http://www.milw0rm.org/|milw0rm]] |
| | * [[http://www.zdnet.com.au/insight/soa/Top_five_Linux_lessons_for_Windows_admins/0,139023731,120265210,00.htm|Top five Linux lessons for Windows admins]] |
| | * [[http://aplawrence.com/Linux/lostlinuxpassword.html|Lost root password (Linux)]] |
| | * [[http://specialreports.linux.com/specialreports/06/12/04/072249.shtml?tid=137&tid=35|Making a distribution secure]] |
| | * [[http://www.hermann-uwe.de/blog/towards-a-moderately-paranoid-debian-laptop-setup--part-1-base-system|Towards a moderately paranoid Debian laptop setup [Update]]] |
| | * [[http://www.faqs.org/docs/securing/chap5sec62.html|Unusual or hidden files]] |
| | * [[http://www.uwsg.iu.edu/usail/external/recommended/Xsecure.html|Crash Course in X Windows Security]] |
| | |
| | ===== Vorüberlegungen ===== |
| | |
| | - Entscheiden Sie, welche Dienste auf dem System benötigt werden, und beschränken Sie den Einsatz genau auf diese Dienste – nicht mehr und nicht weniger. Nicht benötigte Dienste sollten auf dem System nicht installiert oder zumindest deaktiviert sein. Weiterhin sollten die benutzten Ports durch eine Firewall auf dem System freigegeben beziehungsweise sollten die Ports von nicht genutzten Diensten über die Firewall gesperrt werden. |
| | - Verwendete Dienste sind abzusichern, so dass bei einem erfolgreichen Angriff auf diesen Dienst nicht das gesamte System kompromittiert wird (beispielsweise durch die Verwendung einer chroot-Umgebung). |
| | - Auf dem System sollten nur die notwendigen Benutzerkonten angelegt und aktiviert sein. Aktive Benutzerkonten sind durch entsprechende Beschränkungen (Unix-Zugriffsrechte, Quota, ACLs) abzusichern. |
| | - Setzen Sie Programme ein, die einen unbefugten Zugriff auf das System erkennen und melden, so dass geeignete Gegenmaßnahmen ergriffen werden können. |
| | |
| | |
| | ===== Sicherheitsmaßnahmen von Linux ===== |
| | * Das Unix-Sicherheitsmodell |
| | * [[linux:rechte|Dateizugriffsberechtigungen]]: (Benutzer, Gruppe, alle) |
| | * Admin/rootaktionen |
| | * [[wpde>setuid]]/[[wpde>sgid]]-Flags für Programme |
| | * chuid/sgid-Aktionen für root |
| | * Prozeßseperation |
| | * Systemhärtungs (hardening-) Technologien |
| | * [[security:firewalls]] |
| | * [[linux:chroot]]-Umgebungen |
| | * [[linux:PAM]] |
| | * SELinux / [[Apparmor]] |
| | |
| | |
| | |
| | ===== SELinux (Security Enhanced Linux) ===== |
| | [[http://www.nsa.gov/selinux/|SELinux]] ist ein Zusatz für den Kernel, um damit stärkere Zugriffskontrollen auf bestimmte Ressourcen zu definieren. Dabei kann man sich für den "standard mode" (auch: "permissive mode") oder für den "secure mode" (auch: "enforcing mode") entscheiden. |
| | Im "standard mode" werden Abweichungen von den Richtlinien in Systemlog vermerkt aber dennoch erlaubt, während der "secure mode" die Richtlinien strikt durchsetzt. |
| | |
| | * Aktueller Modus: <code bash>sestatus</code> |
| | * auf permissive setzen ((schreibt nur Warnungen ins audit.log ''/var/log/audit/audit.log'')): <code bash>setenforce Permissive</code> |
| | * Config: <code bash>/etc/selinux/config</code> |
| | * Deaktivieren (nicht empfohlen!): //SELINUX=disabled// in Config-Datei CentOs stream / RHEL 9: Bootparameter selinux=0 |
| | |
| | Links: |
| | * [[http://linuxwiki.de/SELinux|Überblick zu SELinux auf linuxwiki]] |
| | * [[https://wiki.ubuntu.com/SELinux|SELinux @ Ubuntu-Wiki]] |
| | * [[http://selinux.sourceforge.net/|SELinux for Distributions]] |
| | * [[http://www.linux.com/article.pl?sid=06/12/08/1945236|SELinux: Comprehensive security at the price of usability]] |
| | * [[http://www.linuxsecurity.com/content/view/120567/49/|SELinux and Mandatory Access Control]] |
| | * [[http://www.linuxsecurity.com/content/view/120622/49/|SELinux and Access Decisions]] |
| | * [[http://www.linuxsecurity.com/content/view/120700/49/|SELinux Administration]] |
| | * [[http://www.linuxsecurity.com/content/view/120837/49/|SELinux Policy Development]] |
| | * [[http://kerneltrap.org/OpenBSD/SELinux_vs_OpenBSDs_Default_Security|SELinux vs. OpenBSD's Default Security]] |
| | * [[http://www.redhatmagazine.com/2007/08/21/a-step-by-step-guide-to-building-a-new-selinux-policy-module/|A step-by-step guide to building a new SELinux policy module]] |
| | * [[http://www.linux-magazin.com/videos/sicherheitskonzepte_in_rhel5|SELinux Vortrag]] |
| | |
| | |
| | ===== AppArmor ===== |
| | |
| | [[AppArmor]] |
| | |
| | ===== RSBAC (Ruleset Based Access Control) ===== |
| | [[http://www.rsbac.org/|RSBAC Homepage]] |
| | [[http://gentoo-wiki.com/RSBAC%2C_Who_is_root_anyway%3F|RSBAC, Who is root anyway?]] (@Gentoo-wiki.com) |
| | |
| | ===== grsecurity ===== |
| | [[http://www.grsecurity.net/|grsecurity]] ist ein Sicherheitspatch für den [[linux:Linux]]-[[linux:Kernel]]. |