securing-debian
Contents
1. rwxr xr x 1 root root 11268 Jun 3 13 46 pam_listfile sox rwxr xr x 1 root root 11182 Jun 3 13 46 pam_mail sox rwxr xr x 1 root root 5923 Jun 3 13 46 pam_nologin sox rwxr xr x 1 root root 5460 Jun 3 13 46 pam_permit sox rwxr xr x 1 root root 18226 Jun 3 13 46 pam_pwcheck sox rwxr xr x 1 root root 12590 Jun 3 13 46 pam_rhosts_auth sox rwxr xr x 1 root root 5551 Jun 3 13 46 pam_rootok sox rwxr xr x 1 root root 7239 Jun 3 13 46 pam_securetty sox rwxr xr x 1 root root 6551 Jun 3 13 46 pam_shells sox rwxr xr x 1 root root 55925 Jun 4 12 00 pam_smb_auth sox rwxr xr x 1 root root 12678 Jun 3 13 46 pam_stress sox rwxr xr x 1 root root 11170 Jun 3 13 46 pam_tally sox rwxr xr x 1 root root 11124 Jun 3 13 46 pam_time sox rwxr xr x 1 root root 45703 Jun 3 13 46 pam_unix sox rwxr xr x 1 root root 45703 Jun 3 13 46 pam_unix2 sox rwxr xr x 1 root root 45386 Jun 3 13 46 pam_unix_acct soxr rwxr xr x 1 root root 45386 Jun 3 13 46 pam_unix_auth sox Kapitel G Chroot Umgebung f r SSH 265 rwxr xr x 1 root root 45386 Jun 3 13 46 pam_unix_passwd sox rwxr xr x 1 root root 45386 Jun 3 13 46 pam_unix_session sox rwxr xr x 1 root root 9726 Jun 3 13 46 pam_userdb sox rwxr xr x 1 root root 6424 Jun 3 13 46 pam_warn sox rwxr xr x 1 root root 7460 Jun 3 13 46 pam_wheel sox skin total 3132 drwxr xr x 2 roo2. if n SGROUPGID then if SFIST_USER_GID gt SGROUPGID then echo n Removing SCREATEDGROUP group delgroup only if empty SCREATEDGROUP true echo done fi fi fi fi Wenn ein Programm unter einem Benutzer mit beschr nkten Rechten l uft wird sicherge stellt dass Sicherheitsprobleme nicht das gesamte System besch digen k nnen Dieses Vorge hen beachtet auch das Prinzip der geringst m glichen Privilegien Denken Sie daran dass Sie die Rechte eines Programms auch noch durch andere Methoden als beschr nkte Benutzerrechte weiter einschr nken k nnen Weitere Informationen finden Sie im Abschnitt Minimize Pri vileges http www dwheeler com secure programs Secure Programs HOWTO minimize privileges html des Buchs Secure Programming for Linux and Unix HOWTO 3Sie k nnen sogar eine SELinux Richtlinie erstellen 179 Kapitel 10 Vor der Kompromittierung 10 1 Halten Sie Ihr System sicher Sie sollten bestrebt sein Ihr System sicher zu halten indem Sie seine Verwendung und die es betreffenden Verwundbarkeiten im Auge behalten Sobald Patches verf gbar sind sollte Sie diese auch einspielen Denn auch wenn Sie zu Beginn ein sehr sicheres System eingerich tet haben sollten Sie sich erinnern dass die Sicherheit eines Systems mit der Zeit nachl sst Das liegt daran dass Sicherheitsl cken in Systemdiensten entdeckt werden k nnen Au er dem k nnen Benutzer die
3. Das Hinzuf gen von Querverweisen auf diese Sicherheitsdatenbanken hat folgende Vorteile e Es erleichtert Benutzern von Debian zu erkennen und nachzuvollziehen welche allge meinen ver ffentlichten Anweisungen schon von Debian abgedeckt wurden e Systemadministratoren k nnen mehr ber die Verwundbarkeit und ihre Auswirkungen lernen wenn sie den Querverweisen folgen e Diese Informationen k nnen benutzt werden um Ausgaben von Verwundbarkeitsscan nern die Verweise auf CVE enthalten zu berpr fen um falsche Positivmeldungen aus zusortieren vergleichen Sie Der Scanner X zur Einsch tzung der Verwundbarkeit sagt dass mein Debian System verwundbar w re auf Seite 215 7 2 2 CVE Kompatibilit t Debians Sicherheitsank ndigungen wurden am 24 Februar 2004 CVE kompatibel erkl rt http www de debian org security CVE certificate jpo Die Entwickler von Debian verstehen die Notwendigkeit genaue und aktuelle Informatio nen ber den Lage der Sicherheit in der Debian Distribution zur Verf gung zu stellen Dies erm glicht es den Benutzern mit den Risiken durch neue Sicherheitsl cken umzugehen CVE versetzt unsin die Lage standardisierte Verweise anzubieten die es Nutzern erm glicht einen Prozess zur Verwaltung der Sicherheit auf Grundlage von CVE http www cve mitre org compatible enterprise html zu entwickeln Das Projekt Common Vulnerabilities and Exposures CVE http cve mitre org wird von der M
4. Disable source routed packets echo 0 gt proc sys net ipv4 conf all accept_source_route exit 0 Beachten Sie dass Sie auch verschiedene Netzwerkoptionen fiir verschiedene Schnittstellen falls Sie mehr als eine haben haben k nnen indem Sie die pre up Zeile ver ndern pre up etc network interface secure SIFACE Zus tzlich m ssen Sie ein Skript verwenden das nderungen nur auf eine bestimmte Schnitt stelle anwendet und nicht auf alle Schnittstellen Beachten Sie aber dass einige Netzwerkop tionen nur global gesetzt werden k nnen Dies ist ein Beispielsskript bin sh e Skriptname etc network interface secur Ver ndert das Standardverhalten f r alle Schnittstellen in einigen Bereiche um vor TCP IP Spoofing und Angriffen zu sch tzen wurde von Dariusz Puchalak beigesteuert IFACE 1 if z SIFACE F then echo SO Must give an interface name as argument echo Usage 0 lt interface gt exit 1 fi if e proc sys net ipv4 conf IFACE then echo 0 Interface IFACE does not exit cannot find proc sys net ipv4 c exit 1 fi IP forwarding disabled echo 0 gt proc sys net ipv4 conf IFACE forwarding Kapitel 4 Nach der Installation 91 Log strange packets this includes spoofed packets source routed packets redirect packets but be careful with this on heavy loaded web servers echo 1 gt proc sys net ipv4 conf STIFACE log_mart
5. Die Entdeckung von Root Kits vollbringt unter Debian chkrootkit Das Programm Chkroot kit http www chkrootkit org pr ft Anzeichen von bekannten Root Kits auf dem Zielsystem Es ist aber kein v llig sicherer Test 10 5 Geniale paranoide Ideen was Sie tun k nnen Dies ist wahrscheinlich der unsicherste und lustigste Abschnitt da ich hoffe dass manche der Wow das klingt verr ckt Ideen umgesetzt werden Im folgenden werden nur ein paar Ideen vorgestellt wie Sie Ihre Sicherheit erh hen k nnen abh ngig von Ihrem Standpunkt aus k nnen Sie sie f r genial paranoid verr ckt oder sicher halten e Mit Pluggable Authentication Modules PAM herum spielen Wie in einem phrack 56 Artikel geschrieben wurde ist das sch ne an PAM dass Ihrer Fantasie keine Grenzen gesetzt sind Das stimmt Stellen Sie sich vor Root kann sich nur mit einen Fingerab druck oder Abtastung des Auges oder einer Kryptokarte einloggen warum habe ich hier nur oder und nicht und gesagt e Faschistisches Logging Ich w rde sagen dass alles was wir bisher ber Logging bespro chen haben unter weiches Loggen f llt Wenn Sie echtes Logging betreiben wollen besorgen Sie sich einen Drucker mit Endlos Papier und schicken ihm alle Logs H rt sich lustig an ist aber zuverl ssig und kann nicht manipuliert oder entfernt werden e CD Distribution Diese Idee ist sehr leicht zu realisieren und bewirkt ganz gute Sicher heit
6. echo are the ones you think you are downloading and that they are as up to echo date as you would expect echo echo or a month fmt echo cat etc apt sources list sed s x grep while read ty url dist comps do if S urlSS http o S urlSS x ftp J baseurl S url else continue fi echo Source S ty url dist comps testing and unstable should be no more than two or three days out of date stable updates no more than a few weeks then Kapitel 7 Die Infrastruktur f r Sicherheit in Debian 157 f Releas rm lynx reload Release gpg dump S url dists dist Release gt dev null 2 gt amp 1 wget tf else q O Release S url dists dist Release grep q Release then echo x NO TOP LEVEL Release FILE gt Release origline sed n s Origin x p Release head 1 lablline sed n s Label p Release head 1 suitline sed n s Suite p Release head 1 codeline sed n s Codename p Release head 1 dateline grep Date Releas head 1 dscrline grep Description Release head 1 echo o Origin origline lablline echo o Suite Ssuitline Scodeline echo o dateline echo o Sdscrline if S dist Ssuitline a dist
7. usw Die neusten Sicherheitsplugins sind sogar in der Lage eine Web Seite zu analysieren und zu versuchen interaktive Inhalte zu entdecken die zu einem Angriff genutzt werden k n nen Es existieren auch Java und Win32 Clients die benutzt werden k nnen um sich mit dem Nessus Server zu verbinden Diese sind jedoch in Debian nicht enthalten nikto ist ein Scanner zur Aufdeckung von Schwachstellen bei Webservern und kennt auch ei nige Anti IDS Taktiken die meisten davon sind keine Anti IDS Taktiken mehr Er ist einer der besten verf gbaren CGI Scanner zur Erkennung von WWW Servern und kann nur bestimmte Angriffe gegen ihn starten Die Datenbank die zum Scannen benutzt wird kann sehr leicht ge ndert werden um neue Informationen einzuf gen 8 2 Werkzeuge zum Scannen von Netzwerken Debian bietet Ihnen einige Werkzeuge zum Scannen von Hosts aber nicht zur Gefahrenab sch tzung Diese Programme werden in manchen F llen von Scannern zur Gefahrenabsch t zung zu einem ersten Angriff gegen entfernte Rechner genutzt um festzustellen welche Dienste angeboten werden Unter Debian sind im Moment verf gbar e nmap e xprobe e pot e knocker e isic e hping2 e icmpush e nbtscan f r die Pr fung von NetBIOS e fragrouter e strobe aus dem Paket netdiag e irpas W hrend xprobe lediglich aus der Ferne das Betriebssystem erkennen kann indem es TCP IP Fingerabdr cke benutzt machen nmap und knocker beides das Betrieb
8. e Added a security update after installation paragraph e Added a proftpd paragraph e This time really wrote something about XDM sorry for last time 1 6 50 Version 1 2 e Lots of grammar corrections by James Treacy new XDM paragraph 1 6 51 Version 1 1 e Typo fixes miscellaneous additions 1 6 52 Version 1 0 e Initial release 1 7 Danksagungen e Alexander Reelsen schrieb die urspriingliche Version e Javier Fern ndez Sanguino f gte der Originalversion einiges an Informationen hinzu e Robert van der Meulen stellte den Abschnitt ber Quota und viele seiner guten Ideen zur Verf gung e Ethan Benson korrigierte den PAM Abschnitt und hatte einige gute Ideen e Dariusz Puchalak trug Information zu verschiedenen Kapiteln bei e Gaby Schilders trug eine nette Genius Paranoia Idee bei e Era Eriksson gab dem Ganzen an vielen Stellen den sprachlichen Feinschliff und trug zur Checkliste im Anhang bei Kapitel 1 Einleitung 27 1 7 1 Philipe Gaspar schrieb die LKM Informationen Yotam Rubin trug sowohl Korrekturen fiir viele Tippfehler bei als auch Informationen ber die Versionen von Bind und MD5 Passworter Francois Bayart stellte den Anhang zur Verf gung in dem beschrieben wird wie man eine Bridge Firewall aufsetzt Joey Hess schrieb im Debian Wiki http wiki debian org SecureApt den Ab schnitt der erklart wie Secure Apt funktioniert Martin F Krafft schrieb in seinem Blog etwas dartiber wie die Ve
9. e dass der Daemon nicht gestartet wird wenn sein Benutzer oder Gruppe nicht existiert Kapitel 9 Der gute Umgang von Entwicklern mit der Sicherheit des OS 177 if getent passwd grep q server_user then echo Server user does not exist Aborting gt amp 2 exit 1 fi if getent group grep q server_group then echo Server group does not exist Aborting gt amp 2 exit 1 fi Wenn das Paket einen Systembenutzer erstellt kann er wieder in postrm entfernt werden wenn das Paket vollst ndig gel scht wird purge Dabei gibt es allerdings einen Nachteil Zum Bei spiel werden Dateien die von dem Benutzer des Daemons erstellt wurden benutzerlos und k nnen sp ter einem neuen Benutzer geh ren dem die gleiche UID zugewiesen wurde Da her ist nicht zwingend notwendig dass Benutzer beim vollst ndigen L schen eines Pakets entfernt werden Dies h ngt vielmehr vom jeweiligen Paket ab Im Zweifelsfall sollte der Ad ministrator gefragt werden mit debconf was passieren soll wenn ein Paket gel scht wird Sehen Sie sich folgenden Code an der zuvor erstellte Benutzer und Gruppen entfernt Dies geschieht aber nur dann wenn die UID im Bereich der dynamisch zugewiesenen System UIDs liegt und die GID einer Systemgruppe angeh rt case 1 in purge lee find first and last SYSTEM_UID numbers for LINE in grep SYSTEM_UID etc adduser conf grep v do case SLINE in FIRST_SYSTEM_UID FIS
10. ftp master debian org ziyi_ key_2006 asc ersetzen Sie 2006 mit dem aktuellen Jahr erh ltlich gpg besitzt mit den Schl sselservern eine standardisierte M glichkeit Schl ssel zu verbrei ten Damit kann GPG einen Schl ssel herunterladen und ihn zum Schl sselbund hinzuf gen Beispiel Se Ziyi ist der Name des Werkzeugs mit dem die Debian Server signiert werden und beruht auf dem Namen einer chinesischen Schauspielerin http de wikipedia org wiki Ziyi_Zhang Kapitel 7 Die Infrastruktur f r Sicherheit in Debian 151 gpg keyserver pgpkeys mit edu recv key 2D230C5F gpg requesting key 2D230C5F from hkp server pgpkeys mit edu gpg key 2D230C5F public key Debian Archive Automatic Signing Key 2006 lt f aster debian org gt imported gpg Anzahl insgesamt bearbeiteter Schlussel gpg importiert Sie k nnen dann den Schl ssel aus Ihrem Schl sselbund exportieren und ihn an apt key weiterreichen gpg a export 2D230C5F sudo apt key add gpg kein uneingeschr nkt vertrauensw rdiger Schl ssel 080F67F4 gefunden OK Die Warnung gpg kein uneingeschr nkt vertrauensw rdiger Schl ssel 080F67F4 gefunden bedeutet dass GPG nicht so konfiguriert wurde um einem Schl ssel vollst ndig zu vertrauen Das Zuweisen von Vertrauensstufen ist Teil des Web of Trust von OpenPGP was hier nicht Gegenstand ist Daher ist die Warnung unproblematisch F r gew hnlich wird dem eignen Schl ssel eines Ben
11. 10 4 1 Ladbare Kernel Module LKM Ladbare Kernel Module sind Dateien die nachladbare Teile des Kernels enthalten Sie werden dazu verwendet die Funktionalit t des Kernel zu erweitern Der Hauptnutzen des Einsatzes von Modulen liegt darin dass Sie zus tzliche Ger te wie eine Ethernet oder Soundkarte hin zuzuf gen k nnen ohne dass die Kernelquelle gepatcht und der gesamte Kernel neu bersetzt werden m sste Allerdings k nnen Cracker LKMs f r Root Kits knark und adore benutzen um auf GNU Linux Systemen Hintert ren zu ffnen LKM Hintert ren sind ausgekl gelter und schwere zu entdecken als traditionelle Root Kits Sie k nnen Prozesse Dateien Verzeichnisse und sogar Verbindungen verstecken ohne den Quellcode der Programme ver ndern zu m ssen Zum Beispiel kann ein b sartiges LKM den Kernel dazu zwingen bestimmte Prozesses vor procfs zu verstecken so dass nicht einmal eine bekannterma en gute Kopie des Programms ps alle Informationen ber die aktuellen Prozesse korrekt auflisten 10 4 2 Erkennen von Root Kits Es gibt zwei Herangehensweisen um Ihr System gegen LKM Root Kits zu verteidigen die ak tive Verteidigung und die reaktive Verteidigung Die Sucharbeit kann einfach und schmerzlos Kapitel 10 Vor der Kompromittierung 190 sein oder schwierig und erm dend ganz abh ngig von der Ma nahme die Sie ergreifen Aktive Verteidigung Der Vorteil dieser Art der Verteidigung ist dass schon verhindert wird d
12. Den Patch erhalten Sie unter ChrootSSH project http chrootssh sourceforge net wurde in Fehlerbericht 139047 http bugs debian org 139047 nachgefragt Der Patch k nnte Bestandteil von zuk nftigen Ver ffentlichungen des OpenSSH Pakets werden Emmanuel Lacour bietet ssh Pakete als Debs mit diesen F higkeiten f r Sarge an Sie sind unter http debian home dn net sarge ssh verf gbar Beachten Sie aber dass sie nicht aktuell sein m ssen daher wird empfohlen den Weg der Kompilierung zu gehen Nachdem Sie den Patch angewendet haben m ssen Sie etc passwd anpassen und darin das Home Verzeichnis der Benutzer ndern mit dem speziellen K rzel joeuser x 1099 1099 Joe Random User home joe bin bash Dies wird sowohl den Fernzugriff auf die Shell als auch Fernkopien ber den ssh Kanal ein schr nken Gehen Sie sicher dass Sie alle ben tigten Programme und Bibliotheken in den Chroot Pfaden der Benutzer haben Diese Dateien sollten Root als Eigent mer haben um Manipulationen durch den Benutzer zu verhindern zum Beispiel um das chroot Gef ngnis zu verlassen Ein Beispiel k nnte so aussehen kin total 660 drwxr xr x 2 root root 4096 Mar 18 13 36 drwxr xr x 8 guest guest 4096 Mar 15 16 53 r xr xr X 1 root root 531160 Feb 6 22 36 bash r xr xr x 1 root root 43916 Nov 29 13 19 ls r xr xr X 1 root root 16684 Nov 29 13 19 mkdir rwxr xr x 1 root
13. but WITHOUT ANY WARRANTY without even the implied warranty of MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE See the GNU General Public License for more details rm rf tmp apt release check mkdir tmp apt release check exit 1 cd tmp apt release check gt OK gt MISSING gt NOCHECK gt BAD arch dpkg print installation architecture am_root id u eq 0 get_md5sumsize cat 1 awk MD5Sum SHA1 MYARG 2 perl ne f split st if Sf 3 eq SENV MYARG print Sf 1 S f 2 n exit 0 checkit local FILE 1 local LOOKUP 2 Y get_md5sumsize Release LOOKUP y echo sy sed LJA SF SY x g m if e var lib apt lists SFILE J then if sy ww 1 then No file but not needed anyway Kapitel 7 Die Infrastruktur f r Sicherheit in Debian 156 ret rn fi echo SFILE gt gt MISSING echo MISSING Y return fa ZE LH o D Is chen echo SFILE gt gt NOCHECK echo NOCHECK return fi X md5sum lt var lib apt lists SFILE cut d f1 apt lists SFILE echo x echo X sed CS Tee af g LE TSK W SY Le then echo SFILE gt gt BAD echo BAD return fi echo SFILE gt gt OK echo OK echo Checking sources in etc apt sources list echo echo we c lt var l echo You should take care to ensure that the distributions you re downloadi
14. dev hda7 tmp ext2 defaults nosuid noexec nodev 0 Sie sehen den Unterschied in der Spalte mit den Optionen Die Option nosuid ignoriert kom plett alle setuid und setgid Bits w hrend noexec das Ausf hren von Programmen unterhalb des Einh ngepunkts verbietet und nodev Ger tedateien ignoriert Das h rt sich toll an aber Kapitel 4 Nach der Installation 56 e dies ist nur auf ext2 Dateisysteme anwendbar e kann leicht umgangen werden Die noexec Option die verhindert dass Binarys ausgef hrt werden k nnen lie e sich in fr heren Kernelversionen leicht umgehen a dev hda7 on tmp type ext2 rw noexec nosuid nodev alex joker tmp date bash date Permission denied alex joker tmp lib ld linux so 2 date Sun Dec 3 17 49 23 CET 2000 lex joker tmp mount grep tmp Neuere Versionen des Kernels verarbeiten aber die Option noexec richtig angrist tmp mount grep tmp dev hda3 on tmp type ext3 rw noexec nosuid nodev angrist tmp date bash tmp Keine Berechtigung angrist tmp lib ld linux so 2 date date error while loading shared libraries date failed to map segment from shared object Operation not permitted Wie auch immer viele Skript Kiddies haben Exploits die versuchen eine Datei in tmp zu er stellen und auszuf hren Wenn sie keine Ahnung haben werden sie in dieser Grube h ngen bleiben Mit anderen Worten Ein Benutzer kann nicht hereing
15. und suid Paranoia auf Seite 119 FIXME F ge Informationen aus folgenden Quellen ein http people debian org pzn howto chroot bind sh txt http www cryptio net ferlatte 6Es sei denn Sie benutzen die instdir Option wenn Sie dpkg aufrufen aber dann k nnte das chroot Gef ngnis etwas komplizierter werden Kapitel 5 Absichern von Diensten die auf Ihrem System laufen 117 config Debian spezifisch http web archive org web 20021216104548 http www psionic com papers whitep0l html und http csrce nist gov fasp FASPDocs NISTSecuringDNS htm 5 8 Absichern von Apache FIXME Add content modules provided with the normal Apache installation under usr lib apache X X mod_ and modules that can be installed separately in libapache mod XXX packages Sie k nnen den Zugriff auf Ihren Apache Server einschr nken wenn Sie ihn nur intern be nutzen wollen zum Beispiel zu Testzwecken oder um auf die doc central Archive zuzu greifen etc und nicht wollen dass von au en auf ihn zugegriffen werden kann Um dies zu tun benutzen Sie die Listen oder BindAddress Direktiven in der Datei etc apache http conf Benutzen von Listen Listen 127 0 0 1 80 Benutzen von Bind Address BindAddress 127 0 0 1 Starten Sie anschlie end Apache mit etc init d apache restart neu und Sie werden sehen dass er nur auf die lokale Schleife achtet In jedem Fall sollten Sie wenn Sie nicht die ganze Funktionalit t die Apache zur
16. 5 oder ein Skript ein setzen das beim Aktivieren der Netzwerkschnittstellen aufgerufen wird Die erste M glichkeit wird auf alle Schnittstellen angewendet die zweite erlaubt es Ihnen die Konfiguration f r jede Schnittstelle separat zu w hlen Ein Beispiel einer Konfiguration von etc sysctl conf die einige Netzwerkoptionen auf der Kernelebene absichert wird unten gezeigt Beachten Sie darin den Kommentar dass etc network options beim Ausf hren von etc init d networking dies ist in der Start sequenz nach procps einige Werte berschreiben k nnte wenn sich Werte in dieser Datei widersprechen Kapitel 4 Nach der Installation 88 etc sysctl conf Configuration file for setting system variables See sysctl conf 5 for information Also see the files under Documentation sysctl Documentation filesystems proc txt and Documentation networking ip sysctl txt in the kernel sources usr srce kernel version if you have a kernel package installed for more information of the values that can be defined here Sh t SE Sk Sk SR oe Be warned that etc init d procps is executed to set the following variables However after that etc init d networking sets some network options with builtin values These values may be overridden using etc network options Sh E SE Sk Sk Se kernel domainname example com Additional settings adapted from the script contributed by Darius
17. Das ist eine Firewall auf einer Live CD ROM die auf der Debian Distribution beruht Kapitel 11 Nach einer Kompromittierung Reaktion auf einem Vorfall 197 11 3 Setzen Sie sich mit dem lokal CERT in Verbindung Das CERT Computer and Emergency Response Team ist eine Organisation die Ihnen helfen kann Ihr System nach einem Einbruch wiederherzustellen Es gibt CERTs weltweit 3 Sie soll ten mit dem lokalen CERT Verbindung aufnehmen wenn sich ein sicherheitsrelevanter Vorfall ereignet hat der zu einem Einbruch in Ihr System gef hrt hat Die Menschen in der lokalen CERT k nnen Ihnen helfen Ihr System wiederherzustellen Selbst wenn Sie keine Hilfe ben tigen kann es anderen helfen wenn Sie dem lokalen CERT oder dem Koordinationszentrum des CERTs Informationen des Einbruchs zur Verf gung stellen Die gesammelten Informationen von gemeldeten Vorf llen werden verwendet um herauszufinden ob eine bestimmte Verwundbarkeit weit verbreitet ist ob sich ein neuer Wurm ausbreitet oder welche neuen Angriffswerkzeuge eingesetzt werden Diese Informa tionen werden benutzt um die Internet Gemeinschaft mit Informationen ber die aktuellen Sicherheitsvorkommnisse http www cert org current zu versorgen und um Hin weise zu Vorf llen http www cert org incident_notes und sogar Anweisungen http www cert org advisories zu ver ffentlichen Ausf hrliche Informationen wie und warum ein Vorfall gemeldet wird k nnen Sie auf CERT
18. Erstellen Sie eine abgesicherte Debian Distribution mit passenden Firewall Regeln Erstellen Sie davon ein bootbares ISO Image und brennen Sie es auf eine CD ROM Jetzt haben Sie eine nur lesbare Distribution mit etwa 600 MB Speicherplatz f r Dienste Stel len Sie lediglich sicher dass alle Daten die geschrieben werden sollen bers Netz ge schrieben werden F r einem Eindringling ist es unm glich Schreibzugriff auf diesem System zu erhalten Alle nderungen die ein Eindringling vornimmt werden mit ei nem Reboot des Systems r ckg ngig gemacht e Schalten Sie die Modul F higkeiten des Kernels ab Wenn Sie die Nutzung von Kernel Modulen w hrend der Kernel Kompilierung abschalten werden viele Kernel basieren de Hintert ren nicht einsetzbar da die meisten von ihnen darauf basieren modifizierte Kernel Module zu installieren siehe oben e Loggen ber ein serielles Kabel von Gaby Schilders So lange Server immer noch se rielle Schnittstellen haben Stellen Sie sich vor Sie ein Log System f r eine Anzahl von Servern Es ist vom Netz abgeschnitten und mit den Servern ber einen Multiplexer f r serielle Schnittstellen Cyclades oder hnliches verbunden Jetzt sollen alle Ihre Server ber ihre serielle Schnittstelle loggen Einfach nur hinschreiben Die Log Maschine ak zeptiert nur einfachen Text als Eingabe auf ihrer seriellen Schnittstelle und schreibt ihn lediglich in eine Log Datei Schlie en Sie einen CD oder DVD Brenner
19. berpr fen Ihres Display Managers Wenn Sie einen Display Manager lediglich zur lokalen Nutzung um einen sch nen graphi schen Login zu haben haben wollen gehen Sie sicher dass der XDMCP X Display Manager Control Protocol Krempel abgeschaltet ist Unter XDM k nnen Sie dies mit der folgenden Zeile in etc X11 xdm xdm config erreichen DisplayManager requestPort 0 F r GDM m ssen Sie in Ihre gdm conf Folgendes eintragen xdmcp Enable false Normalerweise sind unter Debian alle Display Manager so konfiguriert dass sie standardm fig keine XDMCP Dienste starten 5 5 Absichern des Druckerzugriffs die Ipd und Iprng Problematik Stellen Sie sich vor Sie kommen zur Arbeit und der Drucker spuckt endlose Mengen von Papier aus weil jemand eine DoS Attacke gegen Ihren Drucker Daemon durchf hrt Unange nehm oder In jeder UNIX Druck Architektur muss es einen Weg geben um die Daten des Clients auf den Druck Server zu bekommen Traditionell machen dies lpr und 1p so dass das Client Kommando die Daten in das Spool Verzeichnis kopiert oder symbolisch verlinkt weshalb diese Programme normalerweise SUID oder SGID sind Um jede Gefahr zu vermeiden sollen Sie Ihren Druck Server besonders sicher halten Dies heift dass Sie Ihren Druck Dienst so konfigurieren m ssen dass er nur Auftr ge von vertrau ensw rdigen Rechnern annimmt Hierzu m ssen Sie die Rechner von denen Sie Druckauftr ge entgegennehmen m chten in die Datei
20. der Manpage I any files etc rcrunlevel d SK name already exist then update rc d does nothing This is so that the system administrator can rearrange the links provided that they leave at least one link remaining without having their configuration overwritten Dies ist z B w nschenswert wenn Sie eine Chroot Umgebung zur Entwicklung einrichten Kapitel 3 Vor und w hrend der Installation 41 Wenn Sie file rc benutzen werden alle Informationen ber das Starten von Diensten durch eine gemeinsame Konfigurationsdatei verarbeitet und sogar nach der Deinstallation von Pa keten beibehalten Sie k nnen das TUI Text User Interface textbasierte Benutzungsoberfl che des Paketes sysv rc conf benutzen um all diese nderungen einfach zu erledigen sysv rc conf arbeitet sowohl mit file rc als auch mit normalen System V Runleveln Es gibt auch ver gleichbare GUIs f r Desktop Systeme Sie k nnen auch die Befehlszeile von sysv rc conf verwenden sysv rc conf foobar off Der Vorteil dieses Werkzeugs ist dass die rc d Links wieder auf den Status zur ckgesetzt wer den die sie vor dem Aufruf von off hatten wenn Sie den Dienst wieder aktivieren mit sysv rc conf foobar on Andere nicht empfohlene Methoden zum Abschalten eines Dienstes sind e Benennen Sie die Skriptdatei etc init d Dienst um zum Beispiel in etc init d OFF Dienst Da das Verweise die auf kein Ziel verweisen dangling sym li
21. der unm glich oder weitaus schwieriger da viele von ihnen darauf beruhen Dateien durch Aktionen eines SETUID Programms zu berschreiben das keinen frei w hlbaren Shellbefehl zur Verf gung stellt Eine Unbequemlichkeit dieser Vorgehensweise macht sich bemerkbar wenn Sie verschie dene Systemprogramme bauen und installieren Auf der anderen Seite verhindert dies auch dass make install die Dateien berschreibt Wenn Sie vergessen das Makefile zu lesen und die Dateien die berschrieben werden sollen mit chattr i behandelt haben und die Verzeichnisse in denen Sie neue Dateien erstellen wollen schl gt der make Befehl fehl Sie m ssen nur das Kommando chattr ausf hren und make neu aufrufen Sie k nnen diese Gelegenheit gleich dazu benutzen Ihre alten bin s und libs auszumisten und sie z B in ein old Verzeichnis oder Tar Archiv zu verschieben Beachten Sie dass dies Sie auch daran hindert die Pakete Ihres Systems zu aktualisieren da die Dateien aus den Paketen nicht berschrieben werden k nnen Also sollten Sie vielleicht ein Skript oder einen anderen Mechanismus haben der das immutable Flag auf allen Dateien deaktiviert bevor Sie ein apt get update ausf hren Spielen Sie mit der UTP Verkabelung herum Schneiden Sie dazu zwei oder vier Kabel durch und stellen ein Kabel her das nur Verkehr in eine Richtung zul sst Verwenden Sie dann UDP Pakete um Informationen an die Zielmaschine zu schicken die ein sicherer Log Ser
22. die Sie offen lassen h ngen von Ihrem individuellen Regelwerk be z glich ffentlich zug nglicher Dienste ab Pr fen Sie ob sie von inetd siehe Abschalten von inetd oder seinen Diensten auf Seite 41 oder von anderen installierten Paketen ge ffnet werden und leiten Sie passende Ma nahmen ein d h konfigurieren Sie inetd entfernen Sie das Paket verhindern Sie dass der Dienst beim Booten gestartet wird Hilft das L schen von Diensten aus etc services um meinen Rechner abzusichern Nein etc services stellt nur eine Verbindung zwischen virtuellem Namen und Portnum mer her Das Entfernen von Namen aus dieser Datei verhindert blicherweise nicht dass ein Dienst gestartet wird Manche Daemonen starten vielleicht nicht wenn etc services ver ndert wurde aber das ist nicht die Norm Um einen Dienst richtig abzuschalten sehen Sie sich Daemons abschalten auf Seite 40 an State Kapitel 12 H ufig gestellte Fragen Frequently asked Questions FAQ 213 12 1 15 Allgemeine Sicherheitsfragen Ich habe mein Passwort vergessen und kann auf das System nicht mehr zugreifen Die n tigen Schritte um wieder Zugriff erhalten h ngen davon ab ob Sie die vorgeschlagene Prozedur zum Absichern von lilo und BIOS durchgef hrt haben oder nicht Wenn Sie beides eingeschr nkt haben m ssen Sie im BIOS erlauben von anderen Medien als der Festplatte zu booten bevor Sie weitermachen k nnen Wenn Sie auch Ihr BIOS Passwort
23. die auf die Debian Distribution ab gestimmt sind Damit stehen mehr Funktionen zur Verf gung als in den Tigerskripten von TAMU oder sogar von TARA eine Tigerversion die von ARSC vertrieben wird Lesen Sie f r weitere Informationen die Datei README Debian und die Handbuchseite tiger 8 Eine dieser Verbesserungen ist das Skript deb_checkadvisories Diese Skript verwendet eine Liste von DSAs und gleicht sie mit den installierten Paketen ab Es meldete dann alle Pakete die laut dem Debian Security Team verwundbar sind Dies ist eine etwas andere all gemeinere Herangehensweise als im Tigerskript check_signatures das die MD5 Summen von Programmen mit bekannten L cken testet Da Debian im Moment keine Liste der MD5 Summen von Programmen mit bekannten L cken liefert wie sie von anderen Betriebssystemen wie Sun Solaris verwendet wird wird die berpr fung der DSAs Herangehensweise verwendet Das Problem sowohl der Herangehens weise mit DSAs als auch der mit MD5 Summen ist dass die Signaturen regelm ig aktualisiert werden m ssen Im Moment wird das dadurch gel st indem einen neue Version des Tigerpakets erstellt wird Aber es steht nicht fest dass der Paketbetreuer jedes Mal eine neue Version erstellt wenn ein DSA bekannt gegeben wird Eine nette Erweiterung die aber noch nicht implementiert ist w re es wenn das eigenst ndig durchgef hrt wird Das umfasst dass die DSAs aus dem Netz heruntergeladen werden eine Li
24. echo done fi 2 create homedir if not existing test d SSERVER_HOME mkdir SSERVER_HOME Kapitel 9 Der gute Umgang von Entwicklern mit der Sicherheit des OS 176 3 create user if not existing if getent passwd grep q SSERVER_USER then echo n Adding system user SSERVER_USER adduser quiet system ingroup SSERVER_GROUP no create home disabled password SSERVER_USER 2 gt dev null true echo done fi A adjust passwd entry usermod c SSERVER_NAME d SERVER_HOME g SSERVER_GROUP SSERVER_USER 5 adjust file and directory permissions if dpkg statoverride list SSERVER_HOME gt dev null then chown R SSERVER_USER adm SERVER_HOME chmod u rwx g rxs o SSERVER_HOME fi 6 Add the user to the ADDGROUP group if test n SADDGROUP then if groups SERVER_USER t d f2 grep qw SADDGROUP then adduser SSERVER_USER SADDGROUP fi fi DR configure Au erdem m ssen Sie f r das Init d Skript sicherstellen e dass der Daemon beim Starten seine Rechte ablegt Wenn die Software nicht selbst den setuid 2 oder seteuid 2 Aufruf absetzt sollten Sie die Option chuid f r start stop daemon verwenden e dass der Daemon nur angehalten wird wenn die Benutzer IDs bereinstimmen Daf r ist die Option user von start stop daemon hilfreich
25. echo gt proc sys net ipv4 conf all rp_filter echo 0 gt proc sys net ipv4 conf all send_redirects echo 0 gt proc sys net ipv4 conf all accept_source_route fw_stop sbin iptables F sbin iptables t nat F sbin iptables t mangle F sbin iptables P INPUT DROP FORWARD DROP OUTPUT ACCEPT sbin iptables sbin iptables mm ct Kapitel 5 Absichern von Diensten die auf Ihrem System laufen 130 fw_clear sbin iptables F sbin iptables t nat F sbin iptables t mangle F sbin iptables P INPUT ACCEPT sbin iptables P FORWARD ACCEPT sbin iptables P OUTPUT ACCEPT case S1 in start restart echo n Starting firewall fw_stop fw_start echo done vy stop echo n Stopping firewall fw_stop echo done D I clear cho n Clearing firewall rules fw_clear echo done ri echo Usage 0 start stop restart clear exit 1 ri esac exit 0 Um nicht alle Iptables Regeln in das Init d Skript einf gen zu m ssen k nnen Sie auch das Programm iptables restore verwenden um die Regeln zu laden die zuvor mit iptables save gespeichert wurden Um dies zu tun m ssen Sie Ihre Regeln erstellen und das Regelwerk statisch speichern z B in etc default firewall Konfiguration von Firewall Regeln mittels ifup Sie k nnen auch die Netzwerkkonfiguration in etc network interfaces verwenden um Ihre Firewall Regeln einzuri
26. etc hosts 1pd eintragen Allerdings akzeptiert der 1pr Daemon auch wenn Sie dies getan haben Verbindungen auf Port 515 auf jeder Schnittstelle Sie sollten sich berlegen ob Sie Verbindungen von Netzwer ken Rechnern die nicht drucken d rfen mittels Firewall abblocken wollen der 1pr Daemon kann nicht so konfiguriert werden dass er nur auf eine bestimmte IP Adresse h rt Sie sollten Lprng gegen ber lpr vorziehen da er so konfiguriert werden kann dass er Zu gangskontrolle ber IP beherrscht Und Sie k nnen spezifizieren auf welche Schnittstelle er sich binden soll wenn auch etwas sonderbar Wenn Sie Ihren Drucker nur lokal auf Ihrem System benutzen werden Sie diesen Dienst nicht ber ein Netzwerk teilen wollen Sie sollten dann berlegen ein anderes Druck System wie zum Beispiel das aus dem Paket cups oder PDQ http pdq sourceforge net das auf den Zugriffsrechten des Ger tes dev 1p0 beruht einzusetzen Kapitel 5 Absichern von Diensten die auf Ihrem System laufen 106 Bei cups werden die Druckauftr ge mit dem HTTP Protokoll zum Server bertragen Da durch muss der Client nicht ber spezielle Privilegien verf gen aber dies erfordert dass der Server auf irgendeinem Port lauscht Wie auch immer Wenn Sie cups nur lokal benutzen m chten k nnen Sie ihn so konfigurieren dass er nur auf die lokale Schleife loopback interface h rt indem Sie Folgendes in Ihrer etc cups cupsd conf ndern Listen 127
27. geben Sie auf Ihrer Maschine xhost ein Dies erlaubt jedem X Client sich mit Ihrem System zu verbinden F r etwas bessere Sicherheit k nnen Sie stattdessen das Komman do xhost Rechnername verwenden um den Zugriff auf bestimmte Rechner zu begrenzen Allerdings ist es eine viel sicherere L sung SSH zu benutzen um X zu tunneln und die ge samte Sitzung zu verschl sseln Dies geschieht automatisch wenn Sie sich auf eine andere Maschine via ssh einloggen Damit dies funktioniert m ssen Sie den ssh Client und den ssh Server konfigurieren Auf dem ssh Client sollte ForwardX11 in etc ssh ssh_config auf yes gesetzt sein Auf dem ssh Server sollte X11Forwarding in etc ssh sshd_config Kapitel 5 Absichern von Diensten die auf Ihrem System laufen 104 auf yes gesetzt sein und das Paket xbase clients sollte installiert sein Letzteres liegt dar an dass der SSH Server usr X11R6 bin xauth bei Debian Unstable usr bin xauth verwendet wenn er das Pseudo X Display aufsetzt In den Zeiten von SSH sollten Sie die xhost basierte Zugriffskontrolle komplett ber Bord werfen Wenn Sie keinen X Zugriff von anderen Maschinen ben tigen ist es f r die Sicherheit am bes ten die Bindung auf dem TCP Port 6000 abzuschalten indem Sie einfach Folgendes eingeben startx nolisten tcp Dies ist das Standard Verhalten unter XFree 4 1 0 der Xserver aus Debian 3 0 und 3 1 Wenn Sie XFree 3 3 6 laufen lassen d h wenn Sie Debian 2 2 benutze
28. ich habe ein Sicherheitsproblem entdeckt was soll ich tun 223 12 3 18 Wie kann ich das Debian Sicherheitsteam unterst tzen 224 12 3 19 Aus wem setzt sich das Sicherheitsteam zusammen 224 12 3 20 Pr ft das Debian Sicherheitsteam jedes Paket in Debian 224 12 3 21 Wie lange braucht Debian um die Angriffs M glichkeit XXXX zu repa BIETENE iomann ok mu Gem Bierce nee Bd Hs ee ar ee oe aed deat eee 225 12 3 22 Wie lange sind Sicherheitsaktualisierungen vorgesehen 225 123 23 Wie kann ich die Integrit t der Pakete pr fen 0 0 226 12 3 24 Was soll ich tun wenn ein zuf lliges Paket nach einer Sicherheitsaktua lisierung nicht mehr funktioniert EEN 208 ee ES 226 INHALTSVERZEICHNIS xi A Der Abh rtungsprozess Schritt f r Schritt 227 B Checkliste der Konfiguration 231 C Aufsetzen eines autonomen IDS 235 D Aufsetzen einer berbr ckenden Firewall bridge Firewall 237 D 1 Eine Bridge mit NAT und Firewall F higkeiten 2 22 2 0200 238 D2 Eine Bridge mit Firewall F higkeiten 25 4223 4 2 242 dee dds 238 DD Grundlegende Ipta les Regeln oia pore Soa e a aa ea ES 239 E Beispielskript um die Standard Installation von Bind zu ndern 241 F Schutz der Sicherheitsaktualisierung durch eine Firewall 245 G Chroot Umgebung f r SSH 249 G 1 SSH Benutzer in ein Chroot Gef ngnis einsperren 249 GLI Emsatz HEEN A sanra ao ak e Er do rn 250 12 1 2 Patche
29. kann das Programm smbclient nicht funktionieren wenn es von einem normalen Nutzer ausgef hrt wird FIXME Check if this is written in the Policy Some packages i e ftp daemons seem to enforce different permissions 12 1 10 Warum hat root oder NutzerX die Rechte 755 Tats chlich kann die gleiche Frage auch f r jeden anderen Nutzer gestellt werden Da Debians Standardinstallation keine Dateien unter diesem Verzeichnis abgelegt sind keine sensiblen In formationen vorhanden die gesch tzt werden m ssten Wenn Sie denken dass diese Rechte f r Ihr System zu locker sind k nnen Sie sie auf 750 einschr nken F r Nutzer sollten Sie Begrenzung des Zugangs zu Informationen anderer Nutzer auf Seite 70 lesen Dieser Thread http lists debian org debian devel 2000 debian devel 200011 msg00783 html der Sicherheitsmailingliste von Debian hat weitere Ausf hrungen zu diesem Thema Kapitel 12 H ufig gestellte Fragen Frequently asked Questions FAQ 206 12 1 11 Nach der Installation von grsec oder einer Firewall bekomme ich viele Nachrichten auf der Konsole Wie entferne ich sie Wenn Sie Nachrichten auf der Konsole empfangen und etc syslog conf so eingerichtet haben dass sie in Dateien oder auf ein spezielles TTY umgeleitet werden sehen Sie vielleicht Nachrichten die direkt an die Konsole geschickt werden Der Standardloglevel der Konsole ist bei jeden Kernel sieben was bedeutet dass alle Nach richten mit ein
30. lt Kapitel 5 Absichern von Diensten die auf Ihrem System laufen 108 receiver_verify true Auch wenn Ihr Mail Server keine Mails zustellen wird ist diese Konfiguration f r den Relay Tester auf http www abuse net relay html n tig um festzustellen dass Ihr Server nicht relaisf hig ist Wenn Sie Mails nur weiterleiten m chten k nnen Sie in Erw gung ziehen den Mail Daemon durch Programme zu ersetzen die nur zum Weiterleiten der Mail zu einem entfernten Mail Server konfiguriert werden k nnen Debian stellt zurzeit ssmtp und nullmailer f r diese Zwecke zur Verf gung Auf jeden Fall k nnen Sie f r sich selbst alle von Debian angebotenen Mail Transport Agents testen und sehen welcher davon am besten auf Ihr System zuge schnitten ist 5 6 2 Anbieten von sicherem Zugang zu Mailboxen Wenn Sie entfernten Zugriff auf Mailboxen erlauben wollen gibt es eine Anzahl von m glichen POP3 und IMAP Daemonen Wenn Sie IMAP Zugriff anbieten beachten Sie jedoch dass es ein allgemeines Dateizugriffsprotokoll ist Es kann das quivalent zu einem Shell Zugang werden da Benutzer in der Lage sein k nnten Zugang zu beliebigen Dateien zu erhalten auf die sie durch ihn zugreifen k nnen Versuchen Sie beispielsweise server com etc passwd als Ihren Eingabepfad zu konfi gurieren Wenn dies gelingt ist Ihr IMAP Daemon nicht richtig konfiguriert um diese Art von Zugriff zu verhindern Unter den IMAP Servern in Debian vermeid
31. nachdem Chroot aufgesetzt wurde sbin named xfer wenn Sie Namen transferieren var run Sorgen Sie auch daf r dass syslogd auf CHROOT dev log achtet so dass der Name Server seine syslog Eintr ge in das lokale System Protokoll schreiben lassen kann Wenn Sie Probleme mit dynamischen Bibliotheken vermeiden wollen k nnen Sie Bind statisch kompilieren Sie k nnen hierzu apt get mit der source Option benutzen Es kann sogar die Pakete herunterladen die Sie zum Kompilieren ben tigen Sie m ssten etwas hnliches wie das Folgende tun apt get source bind apt get build dep bind S cd bind 8 2 5 2 editieren Sie src port linux Makefile so dass CFLAGS die Option static beinhaltet dpkg buildpackage rfakeroot uc us cd dpkg i bind 8 2 5 2xdeb Nach der Installation werden Sie die Dateien in das Chroot Gef ngnis verschieben m ssen Sie k nnen die init d Skripte in etc init dlassen so dass das System automatisch den Name Server starten wird aber editieren Sie sie indem Sie bei den start stop daemon Aufrufen in diesen Skripten chroot location_of_chroot hinzuf gen Oder verwen den Sie f r BIND die Option t indem Sie sie in das OPTION Argument in der Konfigurati onsdatei etc default bind f r Version 8 oder etc default bind9 f r Version 9 eintragen F r weitere Informationen wie man Chroot Gef ngnisse aufsetzt siehe Allgemeine chroot
32. nachsehen im IRC mit Debian Entwicklern reden oder Mailinglisten lesen wo ein Wechsel des Schl ssel angek ndigt werden wird oder jede andere erdenkliche Methode verwenden um den Fingerabdruck zu berpr fen Zum Beispiel k nnen Sie auch Folgendes machen GET http ftp master debian org ziyi_key_2006 asc gpg import gpg key 2D230C5F public key Debian Archive Automatic Signing Key 2006 lt ftpmaster debian org gt imported gpg Anzahl insgesamt bearbeiteter Schlussel gpg unverandert gpg check sigs fingerprint 2D230C5F pub 1024D 2D230C5F 2006 01 03 expires 2007 02 07 Key fingerprint 0847 50FC 01A6 D388 A643 D869 0109 0831 2D23 OC5F uid Debian Archive Automatic Signing Key 2006 lt ftpmaster debian org gt sig 3 2D230C5F 2006 01 03 Debian Archive Automatic Signing Key 2006 lt ftpmaster debian org gt sig 2A4E3EAA 2006 01 03 Anthony Towns lt aj azure humbug org au gt sig 4F368D5D 2006 01 03 Debian Archive Automatic Signing Key 2005 lt ftpmaster debian org gt sig 29982E5A 2006 01 04 Steve Langasek lt vorlon dodds net gt sig FD6645AB 2006 01 04 Ryan Murray lt rmurray cyberhqz com gt sig AB2A91F5 2006 01 04 James Troup lt james nocrew org gt und dann von Ihrem Schliissel oder einem Schliissel dem Sie vertrauen den Pfad des Vertrauens http www de debian org doc manuals securing debian howto ch7 s deb pack sign zu wenigstens einem der Schl ssel der v
33. noexec 0 dev hda mnt cdrom 1509660 ro users nodev nosuid noexec 0 4 9 1 ttmp noexec setzen Seien Sie vorsichtig wenn Sie tmp noexec setzen und neue Software installieren wollen da manche Software es w hrend der Installation benutzt apt ist ein solches Programm siehe http bugs debian org 116448 wenn nicht APT ExtractTemplates TempDir siehe apt extracttemplates 1 passend konfiguriert wurde Sie k nnen diese Variable in etc apt apt conf auf ein anderes Verzeichnis als tmp mit exec Privilegien setzen 4 9 2 Setzen von usr auf nur lesen Wenn Sie auf usr nur lesenden Zugriff erlauben werden Sie nicht in der Lage sein neue Pakete auf Ihrem Debian GNU Linux System zu installieren Sie werden es erst mit Schreib zugriff erneut mounten m ssen die Pakete installieren und dann wieder nur mit lesendem Zugriff mounten apt kann so konfiguriert werden dass Befehle vor und nach dem Installie ren von Paketen ausgef hrt werden Vielleicht sollten Sie es passend konfigurieren Dazu ffnen Sie etc apt apt conf und f gen Sie Folgendes ein DPkg Pre Invoke mount usr o remount rw Post Invoke mount usr o remount ro Beachten Sie dass das Post Invoke mit einer usr busy Fehlermeldung scheitern wird Dies passiert vorwiegend wenn Sie eine Datei benutzen die aktualisiert wurde Sie k nnen diese Programme finden indem Sie lsof L1 ausf hren Halten Sie diese Progr
34. r a ae ee Sk ee e ay ee ee ee De re ae 219 12 3 3 Wie wird die Sicherheit in Debian gehandhabt 219 12 3 4 Wieso spielen Sie mit einer alten Version des Pakets herum 220 12 3 5 Was sind die Richtlinien f r ein repariertes Paket um auf securi tydebianorg zu erscheinen ne re tacte re Beuel 220 12 3 6 Was bedeutet lokal aus der Ferne 2 2 22 22 220 12 3 7 Die Versionsnummer f r ein Paket zeigt an dass ich immer noch eine verwundbare Version verwende 221 12 3 8 Wie wird die Sicherheit f r Testing und Unstable gehandhabt 221 12 3 9 Ich verwende eine ltere Version von Debian Wird sie vom Debian Sicherheitsteam unterst tzt aoao 221 12 3 10 Wie bekommt Testing Sicherheitsaktualisierungen 221 12 3 11 Wie wird die Sicherheit f r contrib und non free gehandhabt 222 12 3 12 Warum gibt es keinen offiziellen Mirror von security debian org 222 12 3 13 Ich habe DSA 100 und DSA 102 gesehen doch wo ist DSA 101 222 12 3 14 Ich habe versucht ein Paket herunterzuladen das in einem der Sicher heitsank ndigungen aufgef hrt war aber ich bekomme dabei einen file not found Fehler ss sess u a eS ack ae ae Re ew ea es 223 12 3 15 Wie kann ich das Sicherheitsteam erreichen 223 12 3 16 Was ist der Unterschied zwischen security debian org und debian security lists debiaL Org lt e sos osi s ooe ana a ee ee 223 12 3 17 Ich glaube
35. rten von Debian Systemen Nachdem Sie nun all die Informationen aus den vorherigen Kapiteln gelesen haben fragen Sie sich vielleicht Ich habe sehr viele Dinge zu erledigen um mein System abzusichern K nnte man das nicht automatisieren Die Antwort lautet Ja aber seien Sie vorsichtig mit automa tischen Werkzeugen Manche Leute denken dass ein Absicherungswerkzeug nicht die Not wendigkeit einer guten Systemadministration abschafft T uschen Sie sich also nicht selbst indem Sie denken dass Sie all die Prozesse automatisieren k nnten und sich alle betreffen den Angelegenheiten von selbst erledigen w rden Sicherheit ist ein andauernder Prozess an dem der Administrator teilnehmen muss Er kann nicht einfach wegbleiben und irgendwel che Werkzeuge die Arbeit erledigen lassen weil kein einzelnes Werkzeug die Umsetzung aller Sicherheitsrichtlinien aller Angriffe oder aller Umgebungen bew ltigen kann Seit Woody Debian 3 0 gibt es zwei unterschiedliche Pakete die zur Erh hung der Sicher heit n tzlich sind Das Paket harden versucht auf Basis der Paket Abh ngigkeiten schnell wertvolle Sicherheitspakete zu installieren und Pakete mit M ngeln zu entfernen Die Kon figuration der Pakete muss der Administrator erledigen Das Paket bastille implementiert gegebene Sicherheitsregeln f r das lokale System die auf einer vorhergehenden Konfiguration durch den Administrator basieren Sie k nnen auch mit einfachen Ja Nein Fragen d
36. s Incident Reporting Gui delines http www cert org tech_tips incident_reporting html nachlesen Sie k nnen auch weniger formale Einrichtungen verwenden wenn Sie Hilfe brauchen um Ihr System wiederherzustellen oder wenn Sie Informationen des Vorfalls diskutieren wol len Dazu z hlen die Mailingliste f r Vorf lle http marc theaimsgroup com 1 incidents und die Mailingliste f r Einbr che http marc theaimsgroup com 1 intrusions 11 4 Forensische Analyse Wenn Sie mehr Informationen sammeln wollen enth lt das Paket tct The Coroner s Tool kit von Dan Farmer und Wietse Venema Werkzeuge f r eine post mortem Analyse des Sys tems tct erlaubt es dem Benutzer Informationen ber gel schte Dateien laufende Pro zesse und mehr zu sammeln Sehen Sie bitte f r weitere Informationen in die mitgeliefer te Dokumentation Diese und andere Werkzeuge k nnen auch auf Sleuthkit and Autopsy http www sleuthkit org von Brian Carrier welches ein Web Frontend zur foren sischen Analyse von Disk Images zur Verf gung stellt gefunden werden In Debian befindet sich sowohl sleuthkit die Werkzeuge und autopsy die grafische Oberfl che Dies ist eine Liste einiger CERTs Ein vollst ndige Liste erhalten Sie unter FIRST Member Team infor mation http www first org about organization teams index html FIRST ist das Forum von Incident Response and Security Teams AusCERT http www auscert org au Austral
37. teilt werden nicht f r Testing Unstable siehe Wie wird die Sicherheit f r Testing und Un stable gehandhabt auf Seite 221 und ltere Distributionen siehe Ich verwende eine ltere Version von Debian Wird sie vom Debian Sicherheitsteam unterst tzt auf Seite 221 Erkennen von Sicherheitsproblemen Es gibt einige M glichkeiten wie ein Entwickler von Sicherheitsproblemen erfahren kann Kapitel 7 Die Infrastruktur f r Sicherheit in Debian 143 e Er bemerkt sie in einem ffentlichem Forum Mailingliste Webseite etc e Jemand reicht einen Fehlerbericht ein Es sollte dann das Security Tag verwendet oder vom Entwickler hinzugef gt werden e Jemand informiert ihn in einer privaten E Mail In den ersten beiden F llen ist die Information ffentlich verf gbar und es ist daher wichtig dass eine Ausbesserung so schnell wie m glich vorhanden ist Im letzten Fall k nnte keine ffentliche Information vorliegen In diesem Fall gibt es ein paar M glichkeiten wie mit dem Problem umzugehen ist e Wenn es ein triviales Problem ist wie unsichere tempor re Dateien gibt es keine Not wendigkeit das Problem geheim zu halten und eine Ausbesserung sollte erstellt und ver ffentlicht werden e Wenn es sich um ein ernst zunehmendes Problem handelt aus der Ferne ausnutzbar M glichkeit Root Rechte zu bekommen ist es vorzugw rdig die Information mit an deren Linux Anbietern zu teilen und eine Ver ffentlichung
38. und ssh Gehen Sie sicher dass Sie libpam cracklib zuerst installiert haben sonst werden Sie sich nicht einloggen k nnen password required pam_cracklib so retry 3 minlen 12 difok 3 password required pam_unix so use_authtok nullok mai Kapitel 4 Nach der Installation 59 Also was macht diese Beschw rungsformel nun genau Die erste Zeile l dt das cracklib PAM Modul welches einen Passwort Sicherheitscheck bereitstellt Es fragt nach einem neuen Pass wort mit mindestens 12 Zeichen einer Differenz von mindestens 3 Zeichen zum alten Pass wort und erlaubt 3 Versuche Cracklib ben tigt ein Paket mit W rterlisten wie wngerman wenglish wspanish Stellen Sie also sicher dass Sie ein passendes Paket f r Ihre Spra che installiert haben Ansonsten ist cracklib nicht verwendbar Die zweite Zeile f hrt das Standardauthentifizierungsmodul mit MD5 Passw rtern aus und erlaubt Passw rter mit ei ner L nge von Null Die use_authtok Anweisung ist notwendig um das Passwort von dem vorherigen Modul bergeben zu bekommen Um sicher zu stellen dass sich der Benutzer root nur von lokalen Terminals einloggen kann sollten Sie die folgende Zeile in etc pam d login eingef gt werden auth requisite pam_securetty so Danach sollten die Liste der Terminal in etc securetty ndern auf denen sich Root un mittelbar anmelden darf Alternativ dazu k nnen Sie auch das pam_access Modul aktivieren und etc security acces
39. vergessen haben m ssen Sie Ihr BIOS zur cksetzen Dazu ffnen Sie das PC Geh use und entfernen die BIOS Batterie Sobald Sie das Booten von CD ROM oder Diskette eingeschaltet haben sollten Sie Folgendes ausprobieren e Booten Sie von eine Rettungsdiskette und starten den Kernel e Wechseln Sie mit Alt F2 auf eine virtuelle Konsole e Mounten Sie die Partition auf der sich Ihr root befindet e Editieren Sie auf der Rettungsdiskette von Debian 2 2 befindet sich ae Debian 3 0 ent h lt nano tiny der vi hnelt die Datei etc shadow und ndern Sie die Zeile root asdf j31290341274075 XXXX X XXXX X X irgendeine Ziffer in root XXXX X XXXX X r Dies entfernt das vergessene Root Passwort das sich im ersten durch Doppelpunkte abge trennten Feld nach dem Nutzernamen befand Speichern Sie die Datei ab starten Sie das Sys tem neu und melden Sie sich als Root mit einem leeren Passwort an Dies wird funktionieren au er wenn Sie Ihr System etwas sicherer eingestellt haben d h wenn Sie nicht erlauben dass Nutzer leere Passw rter haben oder dass Root sich auf einer Konsole einloggen kann Falls Sie derartige Ma nahmen getroffen haben m ssen Sie im Single User Modus starten Wenn Sie LILO eingeschr nkt haben m ssen 1i10 erneut ausf hren nachdem Sie das Root Passwort zur ckgesetzt haben Das ist ziemlich verzwickt da Ihre etc lilo conf ver n dert werden muss da das Root Dateisystem eine RAM Disk und keine ech
40. wie schwer das Risiko der L cke wiegt und ob vor bergehend Gegenma nahmen zu treffen sind falls m glich bis ein Patch verf gbar ist der das Problem l st Sicherheitsprobleme in Ver ffentlichungen die vom Sicherheitsteam von Debian unterst tzt werden sollten irgendwann in Debian Sicherheits Ank ndigungen DSA behandelt werden die allen Benutzern zur Verf gung gestellt werden vergleiche Fortlaufende Aktualisierung des Systems auf dieser Seite Sobald ein Sicherheitsproblem ausgebessert wurde und die L sung in einer Ank ndigung enthalten ist wird es nicht mehr im Tracker aufgef hrt Sie k nnen es aber immer noch mit einer Suchanfrage nach dem CVE Namen finden indem Sie Querverweise f r Debian Sicherheitsank ndigungen http www de debian org security crossreferences verwenden Beachten Sie aber dass die Informationen im Tracker des Debian Testing Sicherheitsteams nur bekannte Sicherheitsl cken d h solche die ffentlich sind beinhalten In einigen F llen gibt das Debian Sicherheitsteam DSA f r Pakete heraus die auf vertraulichen Informationen be ruhen die das Team erhalten hat z B ber nicht dffentliche Mailinglisten der Distributionen oder von Programmautoren Seien Sie also nicht berrascht in Sicherheitsank ndigungen Si cherheitsprobleme zu entdecken die nicht im Tracker enthalten sind 10 1 2 Fortlaufende Aktualisierung des Systems Sie sollten regelm ig Sicherheitsaktualisierungen durc
41. 0 0 1 631 Es gibt noch andere Sicherheitsoptionen in dieser Konfigurationsdatei wie zum Beispiel das Erlauben oder Verweigern von Netzwerken oder Rechnern Wenn Sie sie allerdings nicht be n tigen belassen Sie es am besten dabei einfach nur den Port auf dem geh rt wird einzu schr nken Cups liefert auch Dokumentation ber den HTTP Port Wenn Sie diese potenziell n tzlichen Informationen einem Angreifer von au erhalb nicht enth llen wollen und der Port offen ist f gen Sie au erdem Folgendes hinzu A Location gt Order Deny Allow Deny From Al Allow From 127 0 0 1 lt Location gt Die Konfigurationsdatei kann so angepasst werden dass zus tzliche F higkeiten einschlie lich SSL und TLS Zertifikate oder Verschl sselung m glich werden Die Handb cher finden Sie unter http localhost 631 oder http cups org FIXME Add more content the article on Amateur Fortress Building http www rootprompt org provides some very interesting views FIXME Check if PDG is available in Debian and if so suggest this as the preferred printing system FIXME Check if Farmer Wietse has a replacement for printer daemon and if it s available in Debian 5 6 Absichern des Mail Dienstes Wenn Ihr Server kein Mail System ist m ssen Sie wirklich keinen Mail Daemon haben der auf eingehende Verbindungen reagiert Aber Sie wollen lokale Mails ausliefern um beispielsweise Mails an den Root User von irgendw
42. 1 root root 96036 Jun 3 13 45 faxrm rwxr xr x 1 root root 107000 Jun 3 13 45 faxstatx rwxr xr x 1 root root 77832 Jun 4 11 46 grep rwxr xr x 1 root root 19597 Jun 3 13 45 h2phx rwxr xr x 1 root root 46979 Jun 3 13 45 h2xs rwxr xr x 1 root root 10420 Jun 3 13 46 idx rwxr xr x 1 root root 4528 Jun 3 13 46 ldd rwxr xr x 1 root root 111386 Jun 4 11 46 lessx r xr xr x 1 root root 26168 Jun 3 13 45 loginx rwxr xr x 1 root root 49164 Jun 3 13 45 Lass rwxr xr x 1 root root 11600 Jun 3 13 45 mkdir rwxr xr x 1 root root 24780 Jun 3 13 45 morex rwxr xr x 1 root root 154980 Jun 3 13 45 pal2rgbx rwxr xr x 1 root root 27920 Jun 3 13 46 passwd rwxr xr x 1 root root 4241 Jun 3 13 45 pl2pmx rwxr xr x 1 root root 2350 Jun 3 13 45 pod2htmlx rwxr xr x 1 root root 7875 Jun 13 45 pod2latexx rwxr xr x 1 root root 17587 Jun 3 13 45 pod2manx rwxr xr x 1 root root 6877 Jun 3 13 45 pod2textx rwxr xr x 1 root root 3300 Jun 3 13 45 pod2usagex rwxr xr x 1 root root 3341 Jun 3 13 45 podchecker rwxr xr x 1 root root 2483 Jun 3 13 45 podselectx r xr xr x 1 root root 82412 Jun 4 11 46 psx rwxr xr x 1 root root 36365 Jun 3 13 45 pstruct rwxr xr x 1 root root 7120 Jun 3 13 45 pwdx rwxr xr x 1 root root 179884 Jun 3 13 45 rgb2ycbcr rwxr xr x 1 root root 20532 Jun 3 13 45 rmx rwxr xr x 1 root root 6720 Jun 4 10 15 rmdir rwxr xr x 1 root root 14705 Jun 3 13 45 s2px rwxr xr x 1 root root 28764 Jun 3 13 46 scpx rwxr xr x 1 root root 3850
43. 4 11 46 pwd lock rw r r 1 root root 653 Jun 3 13 46 group rw r r 1 root root 242 Jun 4 11 33 host conf rw r r 1 root root 857 Jun 4 12 04 hosts rw r r 1 root root 1050 Jun 4 11 29 ld so cache rw r r 1 root root 304 Jun 4 11 28 ld so conf rw r r 1 root root 235 Jun 4 11 27 ld so conf rw r r 1 root root 88039 Jun 3 13 46 moduli rw r r 1 root root 1342 Jun 4 11 34 nsswitch conf drwxr xr x 2 root root 4096 Jun 4 12 02 pam d rw r r root root 28 Jun 4 12 00 pam_smb conf rW r r root root 2520 Jun 4 11 57 passwd rw r r 1 root root 7228 Jun 3 13 48 profile rw r r 1 root root 1339 Jun 4 11 33 protocols rw r r 1 root root 274 Jun 4 11 44 resolv conf drwxr xr x 2 root root 4096 Jun 3 13 43 security ek 1 root root 1178 Jun 4 11 51 shadow SPW sass 1 root root 80 Jun 4 11 45 shadow rw Yr 1 root root 1178 Jun 4 11 48 shadow old rw r r 1 root root 161 Jun 3 13 46 shells rw r r 1 root root 1144 Jun 3 13 46 ssh_config a o 1 root root 668 Jun 3 13 46 ssh_host_dsa_key rw r r 1 root root 602 Jun 3 13 46 ssh_host_dsa_key pub EN 1 root root 527 Jun 3 13 46 ssh_host_key rw r r 1 root root 331 Jun 3 13 46 ssh_host_key pub 1W 22 1 root root 883 Jun 3 13 46 ssh_host_rsa_key rw r r 1 root root 222 Jun 3 13 46 ssh_host_rsa_key pub rw r r 1 root root 2471 Jun 4 12 15 sshd_config etc pam d total 24 drwxr xr x 2 root root 4096 Jun 4 12 02 Kapitel G Chroot Umgebung
44. 5 7 3 Chroot Gefangnis f r Name Server Um die gr tm gliche BIND Sicherheit zu erreichen m ssen Sie nun ein Chroot Gef ngnis siehe Allgemeine chroot und suid Paranoia auf Seite 119 um Ihren Daemon herum bau en Es gibt einen einfachen Weg dies zu erreichen Die Option t siehe die Handbuchseite named 8 oder Seite 100 von Bind s 9 Dokumentation PDF http www nominum com content documents bind9arm pdf Dies wird Bind selbst in ein bestimmtes Verzeich nis chrooten lassen ohne dass Sie ein eigenes Chroot Gef ngnis aufsetzen und sich Sorgen um dynamische Bibliotheken machen m ssen Die einzigen Dateien die in diesem Chroot Gef ngnis ben tigt werden sind dev null etc bind sollte die named conf und alle Server Zonen enthalten sbin named xfer wenn Sie Namen transferieren var run named sollte die PID und den Cache des Name Servers falls es ihn gibt enthalten Dieses Verzeichnis muss f r den named User schreibbar sein var log named Wenn Sie in eine Datei protokollieren muss dies f r den named User schreibbar sein dev log syslogd sollte hierauf h ren wenn named so konfiguriert ist dass er dar ber protokolliert Damit Ihr Bind Daemon vern nftig l uft braucht er bestimmte Zugriffsrechte auf die named Dateien Dies ist eine einfache Angelegenheit da die Konfigurationsdateien immer in etc named liegen Beachten Sie dass er lediglich Lesezugriff ben tigt es sei
45. 5 Virtual Private Networks virtuelle private Netzwerke Ein virtuelles privates Netzwerk VPN ist eine Gruppe von zwei oder mehreren Computern die typischerweise zu einem privaten Netzwerk mit begrenztem 6ffentlichen Netzwerkzugang verbunden sind und gesichert ber ein ffentliches Netzwerk kommunizieren VPNs k nnen einen einzelnen Rechner mit einem privaten Netzwerk verbinden Client Server oder ein ent ferntes LAN mit einem privaten Netzwerk Server Server VPNs verwenden Verschl sselung starke Authentifikation von entfernten Nutzern oder Hosts und Methoden um Struktur des privaten Netzwerks zu verstecken Debian enth lt einige Pakete die zum Aufsetzen von verschl sselten virtuellen privaten Netz werken verwendet werden k nnen e vtun Kapitel 8 Sicherheitswerkzeuge in Debian 166 e tunnelv Abschnitt non US e cipe source cipe common e tinc e secvpn pptpd e openvpn e openswan http www openswan org FIXME Update the information here since it was written with FreeSWAN in mind Check Bug 237764 and Message Id lt 200412101215 04040 rmayr debian org gt Das OpenSWAN Paket ist wahrscheinlich die beste Wahl da es nahezu mit allem zusammen arbeiten kann das das IP Security Protokoll IPsec RFC 2411 benutzt Aber auch die anderen oben aufgef hrten Pakete k nnen Ihnen helfen m glichst schnell einen sicheren Tunnel auf zusetzen Das Point to Point Tunneling Protocol PPTP ist ein urheberrechtli
46. Benutzer enth lt e eine Datenbank um eine List von Widerrufen von Zertifikaten Certificate Revocation Lists CRL zu verwalten e Ger te die mit der CA zusammenarbeiten um Smartcards USB Token oder hnliches zu erzeugen und die Zertifikate sicher zu speichern e Anwendungen die die von einer CA ausgestellten Zertifikate benutzen k nnen um ver schl sselte Kommunikation zu aufzubauen und bestimmte Zertifikate gegen die CRL zu pr fen zur Authentifizierung und so genannte full Single Sign On solutions e eine Zeitstempel Autorit t um Dokumente digital zu signieren e eine Verwaltungskonsole von der aus dies alles vern nftig benutzt werden kann Erstel lung von Zertifikaten Kontrolle der Widerruflisten usw Debian GNU Linux beinhaltet Softwarepaket die Ihnen bei einigen dieser PKI Probleme helfen k nnen Dazu geh rt OpenSSL zur Erstellung von Zertifikaten OpenLDAP f r ein Verzeichnis um die Zertifikate zu speichern gnupg und openswan mit X 509 Unterst t zung Jedoch stellt Debian zum Zeitpunkt der Ver ffentlichung von Woody Debian 3 0 keine der frei verf gbaren Certificate Authorities wie zum Beispiel pyCA OpenCA http www openca org oder die CA Muster von OpenSSL zur Verf gung F r weitere Infor mationen lesen Sie bitte das Open PKI Buch http ospkibook sourceforge net Kapitel 8 Sicherheitswerkzeuge in Debian 168 8 7 SSL Infrastruktur Debian stellt einige SSL Zertifikate i
47. Den Nutzerzugang ein schr nken auf Seite 65 beschrieben verwenden In Chroot Umgebung f r SSH auf Seite 249 k nnen Sie verschiedene Optionen finden um Chroot Umgebungen f r SSH zu erstellen 5 1 2 Ssh Clients Wenn Sie einen SSH Client mit einem SSH Server verwenden m ssen Sie sicherstellen dass er die selben Protokolle die vom Server erzwungen werden unterst tzt Wenn Sie beispielsweise das Paket mindterm verwenden unterst tzt dies nur Protokollversion 1 Jedoch ist der sshd Server standardm ig so konfiguriert nur Version 2 aus Sicherheitsgr nden zu akzeptieren 5 1 3 Verbieten von Dateitransfers Wenn Sie nicht m chten das Benutzer Dateien zum und vom ssh Server bertragen m s sen Sie den Zugang zu sftp server und zu scp einschr nken Sie k nnen dies f r sftp server tun indem Sie den korrekten Subsystem Wert in etc ssh sshd_config eintragen Sie k nnen auch Benutzer mittels 1ibpam chroot in eine Chroot Umgebung einsperren so dass sie selbst wenn Dateitransfers erlaubt sind auf eine bestimmte Umgebung festgelegt sind die keine Systemdateien enth lt 5 14 Beschr nkung des Zugangs auf Dateitransfers Sie k nnen den Zugang von Benutzern der Gestalt beschr nken dass sie nur Dateien bertra gen k nnen aber keine interaktive Shell erhalten Dies k nnen Sie mit den folgenden Metho den erreichen e den Benutzern verbieten sich auf dem ssh Server einzuloggen wie oben beschrieben entwede
48. F higkeiten f r unterschiedliche Protokolle erstellt werden k nnen Im Folgenden einige andere freie Antiviren Projekte die in der Zukunft in Debian GNU Linux enthalten sein k nnten e Open Antivirus http sourceforge net projects openantivirus siehe Fehler 150698 ITP oav scannerdaemon http bugs debian org 150698 und Fehler 150695 ITP oav update http bugs debian org 150695 FIXME Is there a package that provides a script to download the latest virus signatures from http www openantivirus org latest php FIXME Check if scannerdaemon is the same as the open antivirus scanner daemon read ITPs Allerdings wird Debian niemals propriet re unfreie und unverbreitbare Antiviren Software anbieten Dazu z hlen Panda Antivirus NAI Netshield Sophos Sweep http www sophos com TrendMicro Interscan http www antivirus com oder RAV http Kapitel 8 Sicherheitswerkzeuge in Debian 170 www ravantivirus com Weitere Hinweise finden Sie im Mini FAQ Antiviren Software f r Linux Unix http www computer networking de link security av linux txt Das bedeutet nicht dass diese Software nicht richtig auf einem Debian System installiert werden kann Zus tzliche Informationen ber das Aufsetzen eines Systems zur Virenerkennung erhalten Sie im Artikel Building an E mail Virus Detection System for Your Network http www linuxjournal com article php sid 4882 von Dave Jones 8 9 GPG Agent
49. Hosts 2 2 91 4 176 Schulz vor ARP Angriffen lt ia ee bce er rer 93 4 18 Einen Schnappschuss des Systems erstellen EEN eee es 93 2 19 Andere Emptehlungen ed 22 2 eh re Bea a 95 4 19 1 Benutzen Sie keine Software die von svgalib abhangt 95 5 Absichern von Diensten die auf Ihrem System laufen 97 Sl Absichem VOSS bc ck he ee CEG hse eS be e BEES EES 98 5 1 1 SSH in ein Chroot Gef ngnis einsperren A caw ec ee ee ee Rees 100 SLS Sn ger Sh enee e ee E CEE h 100 5 1 3 Verbieten von Dateitransfers 100 5 1 4 Beschr nkung des Zugangs auf Dateitransfers 100 ie SABSIENEEN EENHEETEN ee 101 So POSNER VOR FIP oxa sn er oh ra EI AC 102 5 4 Zugriff auf das X Window System absichern 103 INHALTSVERZEICHNIS vi 5 4 1 berpr fen Ihres Display Managers 2 2 2222 105 5 5 Absichern des Druckerzugriffs die lpd und lprng Problematik 105 5 6 Absichern des Mail Dienstes 2 2220er mern nn 106 561 Konfiguration eines Nullmallers 2 223 4 20 3 a 107 5 6 2 Anbieten von sicherem Zugang zu Mailboxen 22 5262 a8 be eG a eS 108 3 63 Sicherer Empfang Von Mails J kod Yo pa Eee ERE ES EELS 109 27 SEEMVORBIND 25224 22 0 20 here eh deed ae bana ew BAe SR 109 5 7 1 Bind Konfiguration um Missbrauch zu verhindern 110 57 2 ndern des BIND Benutzers en 112 5 7 3 Chro t Gef ngnis f r Nameserver u so socso mde were a 115 28 Absichem Von Apache gk BAS
50. Ich habe seltsame Root Sessions in meinen Logs entdeckt Wurde ich ge hackt Sie sehen folgende Art von Eintr gen in der Datei var log auth log May 2 11 55 02 linux PAM_unix 1477 cron session closed for user May 2 11 55 02 linux PAM_unix 1476 cron session closed for user May 2 12 00 01 linux PAM_unix 1536 cron session opened for user UID 0 May 2 12 00 02 linux PAM_unix 1536 cron session closed for user Sie kommen von einem ausgef hrten Cron Job in unserem Beispiel alle f nf Minuten Um herauszufinden welches Programm f r diese Jobs verantwortlich ist berpr fen Sie die Ein tr ge in etc crontab etc cron d etc crond daily und Roots crontab in var spool cron crontabs 12 2 7 Ich bin Opfer eines Einbruchs was soll ich jetzt tun Es gibt mehrere Schritte die Sie bei einem Einbruch durchf hren sollten e Pr fen Sie ob Ihr System auf dem aktuellen Stand der Sicherheitsaktualisierungen f r ver ffentlichte Verwundbarkeiten ist Wenn Ihr System verwundbar ist hat die die M g lichkeit dass Ihr System tats chlich gehackt wurde erh ht Die Wahrscheinlichkeit steigt weiter an wenn die Sicherheitsl cke schon eine Zeit lang bekannt ist da blicherweise mehr T tigkeit mit lteren Verwundbarkeiten besteht Hier ist ein Link zu SANS Top 20 Security Vulnerabilities http www sans org top20 e Lesen Sie dieses Dokument besonders den Abschnitt Nach einer Kompromittierung Reaktion au
51. Kapitel 5 Absichern von Diensten die auf Ihrem System laufen 109 FIXME Check uw imapd might be configured with user authentication through PAM too 5 6 3 Sicherer Empfang von Mails Das Lesen und Empfangen von Mails ist das gebr uchlichste Klartext Protokoll Wenn Sie POP3 oder IMAP benutzen um Ihre Mails zu erhalten senden Sie ein Klartext Passwort ber das gesamte Netz so dass ziemlich jeder Ihre Mails von nun an lesen kann Benutzen Sie statt dessen SSL Secure Sockets Layer um Ihre Mails zu empfangen Wenn Sie einen Shell Account auf dem Rechner der als POP oder IMAP Server agiert haben ist die andere Alternative SSH Hier ist eine beispielhafte fetchmailrc um dies zu zeigen poll mein imap mailserver org via localhost with proto IMAP port 1236 user ref there with password hackmich is alex here warnings 3600 folders Mail debian preconnect ssh f P C L 1236 my imap mailserver org 143 1 ref mein imap mailserver org sleep 15 lt dev null gt dev null Die wichtige Zeile ist die preconnect Zeile Sie startet eine SSH Verbindung und erstellt den notwendigen Tunnel durch den automatisch alle Verbindungen zum lokalen Port 1236 ver schl sselt an den IMAP Mail Server weitergeleitet werden Eine andere M glichkeit w re es fetchmail mit SSL Unterst tzung zu benutzen Wenn Sie verschl sselte Mail Dienste wie POP oder IMAP anbieten m chten apt get install stunnel und starten Sie Ihren Daemon a
52. Orthographiekenntnisse am sieren 29 Kapitel 2 Bevor Sie beginnen 2 1 Wof r m chten Sie dieses System benutzen Das Absichern von Debian ist nicht viel anders als das Absichern von irgendeinem anderen System Um es richtig zu machen m ssen Sie zun chst entscheiden was Sie damit machen m chten Anschlie end m ssen Sie sich klarmachen dass Sie die folgenden Schritte sorgf ltig ausgef hrt werden m ssen um ein wirklich sicheres System zu bekommen Sie werden feststellen dass diese Anleitung von der Pike auf geschrieben ist Sie werden die Informationen zu einer Aufgabe die Sie vor w hrend und nach der Debian Installation aus f hren sollten in der entsprechenden Reihenfolge vorgestellt bekommen Die einzelnen Auf gaben k nnen wie folgt beschrieben werden Entscheiden Sie welche Dienste Sie ben tigen und beschr nken Sie Ihr System auf sel bige Dies schlie t das Deaktivieren Deinstallieren von nicht ben tigten Diensten und das Installieren von Firewall hnlichen Filtern oder TCP Wrappern ein Einschr nken der Nutzer und Zugriffsrechte auf Ihrem System Abh rten der angebotenen Dienste damit der Einfluss auf Ihr System im Falle einer Kompromittierung m glichst gering ist Benutzen Sie die passenden Tools um sicherzustellen dass ein unautorisierter Zugriff auf Ihrem System entdeckt wird so dass Sie geeignete Gegenma nahmen ergreifen k n nen 2 2 Seien Sie wachsam gegen ber generellen S
53. Paketbetreuer sind daf r verantwortlich Pakete f r den Unstable Zweig vor zubereiten Grundlage daf r ist normalerweise eine neue Ver ffentlichung des Original programms Manchmal ereignen sich die nderungen fast zur selben Zeit und manch mal enth lt eine der Ver ffentlichungen eine Ausbesserung einer Sicherheitsl cke vor einer anderen Pakete in Stable werden gr ndlicher getestet als die in Unstable da letz tere in den meisten F llen die neueste Ver ffentlichung des Originalprogramms enth lt welches neue unbekannte Fehler enthalten k nnte e Gew hnlich sind Sicherheitsaktualisierungen f r den Unstable Zweig verf gbar wenn der Paketbetreuer ein neues Paket baut und f r den Stable Zweig wenn das Security Team eine neue Version hochl dt und ein DSA ver ffentlicht Beachten Sie dass beides nicht des Testing Zweig ver ndert e Wenn keine neuen Fehler in der Unstable Version des Pakets entdeckt werden wandert es nach ein paar Tagen nach Testing Das dauert normalerweise zehn Tage Es h ngt al lerdings von der Priorit t des Hochladens der Ver nderung ab und davon ob das Paket Kapitel 10 Vor der Kompromittierung 185 von Testing zur ckgehalten wird da Abh ngigkeiten nicht aufgel st werden k nnen Be achten Sie dass wenn das Paket daran gehindert ist nach Testing zu wandern auch die Priorit t des Hochladens daran nichts ndern kann Dieses Verhalten k nnte sich je nach dem Status der Ver ffentlich
54. Pakete zur Verf gung stellt Informationen ber die Service Konfiguration mit file rc e Alle Referenzen und URLs pr fen und die nicht mehr verf gbaren aktualisieren oder entfernen Kapitel 1 Einleitung 5 Informationen ber m glichen Ersatz unter Debian f r h ufig eingesetzte Server die bei eingeschr nktem Funktionsumfang n tzlich sind Beispiele lokaler lpr mit cups Paket remote Irp mit lpr bind mit dnrd maradns apache mit dhttpd thttpd wn tux exim sendmail mit ssmtpd smtpd postfix squid mit tinyproxy ftpd mit oftpd vsftp e Mehr Informationen ber die sicherheitsrelevanten Patches des Kernels unter Debian einschlie lich der oben aufgef hrten und insbesondere wie man diese Patches unter ei nem Debian System benutzt Erkennung von Eindringlingen Linux Intrusion Detection kernel patch 2 4 lids Linux Trustees im Paket trustees NSA Enhanced Linux http wiki debian org SELinux linux patch openswan e Details wie man unn tige Netzwerkdienste deaktiviert abgesehen von inetd dies ist teilweise Teil des Abh rtungsprozesses k nnte aber etwas ausgeweitet werden Informationen ber Passwort Rotation was sehr nah an grunds tzliche Regeln Policies herankommt e Policies und die Aufkl rung der Nutzer ber die Policy e Mehr ber tcpwrapper und wrapper im Allgemeinen e hosts equiv und andere wichtige Sicherheitsl cher e m gliche Probleme bei der Da
55. Pr fsummen kann berpr ft werden ob Sie eine getreue Kopie der Paketdatei also mit einer MD5 Summe die mit der in der Release Datei bereinstimmt heruntergeladen haben Und wenn ein einzelnes Paket heruntergeladen wird kann auch die MD5 Summe mit dem Inhalt der Paketdatei verglichen werden Wenn bei einem dieser Schrit te ein Fehler auftauchen sollte bricht Apt den Vorgang ab Nichts davon ist neu in Secure Apt aber es bietet die Grundlage daf r Beachten Sie dass es bis jetzt eine Datei gibt die Apt nicht berpr fen kann die Release Datei Bei Secure Apt dreht sich alles darum dass Apt die Release Datei berpr ft bevor es irgendetwas anderes damit macht Wenn man das schafft besteht eine l ckenlose Authentifizierungskette von dem Paket das Sie installieren m chten bis zum Anbieter des Pakets berpr fung der Release Datei Damit die Release Datei berpr ft werden kann wird sie mit GPG signiert Diese Unter schrift kommt in die Datei Release gpg die mit der Release Datei abgerufen werden kann Sie sieht in etwa sof aus obwohl sich f r gew hnlich nur GPG ihren Inhalt ansieht Genau genommen handelt es sich um eine ASCII armored abgetrennte GPG Signatur Kapitel 7 Die Infrastruktur f r Sicherheit in Debian 149 nn BEGIN PGP SIGNATURE Version GnuPG v1 4 1 GNU Linux iD8DBOBCqKOlnukh8wJbxY8SRASfHAJ9hU80OGNRAL2MSmP5S Z2RZbEFJSKACEWV UBGPVc7 jbHHsg7 8EhMB1V U x60g SE END PGP SIGNATUR
56. Server zu arbeiten Sie m ssen sich dar ber also keine Gedanken machen Sie m ssen sicher stellen dass es wirk lich n tig ist wenn Sie diese Eigenschaft nutzen wollen Weitere Informationen ber den Accelerator Mode in Squid finden Sie im Squid User s Guide Accelerator Mode http www deckle co za squid users guide Accelerator_Mode 5 3 Absichern von FTP Wenn Sie wirklich FTP benutzen m ssen ohne ihn mit sslwrap zu umh llen oder innerhalb eines SSL oder SSH Tunnels sollten Sie ftp in das Home Verzeichnis der FTP Nutzer mit Kapitel 5 Absichern von Diensten die auf Ihrem System laufen 103 chroot einsperren so dass sie nichts anderes sehen k nnen als ihr eigenes Verzeichnis An dernfalls k nnen sie Ihr Root Dateisystem durchlaufen als h tten sie Shell Zugriff darauf Sie k nnen die folgende Zeile in Ihre proftpd conf Datei im globalen Abschnitt hinzuf gen um die chroot F higkeiten zu nutzen DefaultRoot Starten Sie ProFTPd neu indem Sie etc init d proftpd restart eingeben und pr fen Sie ob Sie noch aus Ihrem Home Verzeichnis heraus kommen k nnen Um ProFTPd DoS Angriffe durch zu verhindern f gen Sie die folgende Zeile Ihrer etc proftpd conf hinzu DenyFilter x x Vergessen Sie nicht dass FTP Login und Authentifizierungs Passwort als Klartext sendet dies ist kein Problem wenn Sie einen anonymen ffentlichen Dienst anbieten und es gibt bessere Alternativen in Debian hier
57. Sicherheit untergraben wenn ihnen das notwendige Verst ndnis fehlt z B wenn sie entfernt auf ein System mit einem Klartextpasswort oder einem einfach zu erratenden Passwort zugreifen oder gar weil sie aktiv versuchen die Sicherheit des Systems auszuschalten indem Sie z B zus tzliche Dienste lokal in ihren Konten installieren 10 1 1 Beobachtung von Sicherheitsl cken Die meisten Administratoren werden sich Sicherheitsl cken die ihr System betreffen bewusst wenn sie den dazugeh rigen Patch sehen Sie k nnen aber Angriffen schon im Vorfeld begeg nen und vor bergehende Abwehrma nahmen einleiten sobald Sie festgestellt haben dass Ihr System verwundbar ist Dies gilt besonders f r exponierte Systeme sind z B mit dem Inter net verbunden die Dienste anbieten In diesem Fall sollte der Systemadministrator einen Blick auf die bekannten Informationsquellen werfen um als erster zu wissen wenn eine Sicherheits l cke f r einen kritischen Dienst entdeckt wird Typischerweise abonniert man eine Mailingliste f r Ank ndigungen und beobachtet Websei ten oder Fehlerverfolgungssysteme der Software Entwickler eines bestimmten Programms So sollten beispielsweise Apache Benutzer regelm ig Apaches Auflistung von Sicherheitsl cken http httpd apache org security_report html durchsehen und die Mailinglis te Ank ndigungen f r den Apache Server http httpd apache org lists html http announce abonnieren Um bekannte Sicherheit
58. Verf gung stellt benutzen wollen mal einen Blick auf die anderen Web Server aus Debian werfen zum Beispiel dhttpd Die Apache Documentation http httpd apache org docs misc security_ tips html stellt viele Informationen zu Sicherheitsma nahmen die Sie auf einem Apache Web Server anwenden k nnen bereit die gleichen Informationen erhalten Sie unter Debian auch durch das Paket apache doc Mehr Informationen zu weiteren Restriktionen von Apache durch Einrichten chroot Gef ngnisses wird in Chroot Umgebung f r Apache auf Seite 267 bereitgestellt 5 8 1 Verhindern dass Benutzer Web Inhalte ver ffentlichen Die Standard Apache Installation in Debian erlaubt Benutzern Inhalt unter HOME public_html bereitzustellen Dieser Inhalt kann aus aus der Ferne mit einer URL wie http Ihr_Apache_Server benutzer abgegriffen werden Wenn Sie dies nicht erlauben wollen m ssen Sie in der Konfigurationsdatei etc apache http conf von Apache 1 3 folgendes Module auskommentieren Kapitel 5 Absichern von Diensten die auf Ihrem System laufen 118 LoadModule userdir_module usr lib apache 1 3 mod_userdir so Wenn Sie Apache 2 0 verwenden m ssen Sie die Datei etc apache2 mods enabled userdir load entfernen oder die Standardkonfiguration einschr nken indem Sie etc apache2 mods enabled userdir conf bearbeiten Falls allerdings das Modul statisch verlinkt wurde Sie k nnen die Module die einkompiliert wurden mittels a
59. ai 25 25 24 2323 22 954 Ba sah 201 1211 BEDIENT coce Baar ee ee re He pe 201 12 1 2 In Bugtraq gibt es viele Debian Fehler Hei t das dass es sehr gef hrdet Oe mr od oe bee ee eee eae ee ee eG ea ee as Wee 202 12 13 Hat Debian irgendein Zertifikat f r Sicherheit ok be ee a 203 12 1 4 Gibt es irgendein Abh rtungsprogramm f r Debian 203 12 1 5 Ich m chte einen XYZ Dienst laufen lassen Welchen sollte ich benutzen 203 INHALTSVERZEICHNIS ix 12 1 6 Wie mache ich den Dienst XYZ unter Debian sicherer 204 12 1 7 Wie kann ich die Banner der Dienste entfernen 204 12 1 8 Sind alle Debian Pakete sicher 2 2 2 2 Hmm mn en 204 12 1 9 Warum sind einige Log und Konfigurationsdateien f r die Welt lesbar Istdasnicht nsieher o 4 3 sen e Ba AB Boe eee Ra EEE 205 12 1 10 Warum hat root oder NutzerX die Rechte 755 205 12 1 11 Nach der Installation von grsec oder einer Firewall bekomme ich viele Nachrichten auf der Konsole Wie entferne ich sie 206 12 1 12 Benutzer und Gruppen des Betriebssystems 206 12 1 13 Warum gibt es eine neue Gruppe wenn ich einen neuen Nutzer anlege Oder warum gibt Debian jedem Nutzer eine eigene Gruppe 210 12 1 14 Fragen ber Dienste und offene Ports se ese zus we E 211 12 1 15 Allgemeine Sicherheilsagen lt u ccno 2 a Sa Era en a 213 12 1 16 Wie muss ich vorgehen wenn ich meinen Nutzern einen Dienst
60. an Brennen Sie die Log Datei wenn sie die Gr e des Mediums erreicht hat Wenn es jetzt nur noch CD Brenner mit automatischem Medien Wechsel g be Nicht so dauerhaft gespeichert wie Kapitel 10 Vor der Kompromittierung 192 ein Ausdruck aber mit dieser Methode kann man gr ere Mengen handhaben und die CD ROMs nehmen nicht so viel Platz weg e ndern Sie die Dateiattribute mit chatt r dem Tipps HOWTO von Jim Dennis entnom men Nachdem Sie Ihr System sauber installiert und konfiguriert haben verwenden Sie das Programm chattr mit dem Attribut i um Dateien unver nderbar zu machen die Datei kann nicht gel scht umbenannt verlinkt oder beschrieben werden Sie sollten die ses Attribut f r alle Dateien in bin sbin usr bin usr sbin usr lib und den Kerneldateien in root Sie k nnen auch eine Kopie aller Dateien in etc mittar oder dergleichen erstellen und das Archiv als unver nderbar kennzeichnen Mit dieser Vorgehensweise k nnen Sie den Schaden zu begrenzen den Sie anrichten k n nen wenn Sie als Root eingeloggt sind Sie k nnen keine Dateien mit einer fehlgeleite ten Umleitung berschreiben und Sie werden Ihr System nicht durch ein fehlplatziertes Leerzeichen im Kommando rm fr unbenutzbar machen Sie k nnen aber Ihren Daten immer noch einigen Schaden zuf gen aber Ihre Bibliotheken und Programme sind sicherer Dies macht auch verschiedene Sicherheits und Denial of Service DoS Exploits entwe
61. anbieten m chte ihnen aber kein Shell Konto geben will 2 2 2 214 12 2 Mein System ist angreifbar Sind Sie sich sicher gt 24 csc ee eee 004 215 12 2 1 Der Scanner X zur Einsch tzung der Verwundbarkeit sagt dass mein 12 2 2 Ich habe in meinen Logfiles einen Angriff gesehen Ist mein System kom PREISER Sege re 5 SKS eee en BE ER ew oe a 215 12 2 3 Ich habe in meinen Logs merkw rdige MARK Eintr ge gefunden Wurde UNTEN A ee oe YS Bea a a RE 215 12 2 4 Ich habe Nutzer gefunden die laut meinen Logfiles su benutzen Bin NEEN 216 12 2 5 Ich habe possible SYN flooding in meinen Logs entdeckt Werde ich DEENEN en El A ei E Pea ee ee ee EE 216 12 2 6 Ich habe seltsame Root Sessions in meinen Logs entdeckt Wurde ich ge Dale ne na A en Soe ee E reng et ee he ee 217 12 2 7 Ich bin Opfer eines Einbruchs was soll ich jetzt tun 217 1225 Wie verfolge ich emen Ans zur ck our s a pw ew ge ar 218 12 2 9 Das Programm X in Debian ist angreifbar was sollichtun 218 12 2 10 Laut der Versionsnummer eines Paketes l uft bei mir immer noch eine EE 218 DANS ee zur ERP ESSE SHR DES Sd PASE SSS e 218 12 3 Fragen zum Sicherhetisteam von Debian 2 2 3 2 3283 dew ds 219 INHALTSVERZEICHNIS x 12 3 1 Was ist eine Debian Sicherheits Ank ndigung Debian Security Adviso WOSA ase hee E ER euer EE E eg 219 12 3 2 Die digitale Signatur eines Debian Anweisung wird nicht korrekt verifi PATE
62. anderen daran dass SSH im Gegensatz zu anderen Servern den Benutzern eine entfernte Shell zur Verf gung stellt Daher m ssen Sie sich berlegen welche Programme Benutzer in der Umgebung verwenden sollen Sie haben zwei M glichkeiten eine beschr nkte entfernte Shell einzurichten e die SSH Benutzer in ein Chroot Gef ngnis einsperren Dazu m ssen Sie den SSH Daemon so konfigurieren dass er Benutzer nach der Authentifizierung in ein Chroot Gef ngnis einsperrt bevor sie eine Shell bekommen Jeder Benutzer kann seine eigene Umgebung haben e den SSH Server in ein Chroot Gef ngnis einsperren Wenn die SSH Anwendung sich selbst in einer Chroot Umgebung befindet sind auch alle Benutzer in diese Umgebung eingesperrt Die erste M glichkeit hat den Vorteil dass es m glich ist sowohl unbeschr nkte als auch be schr nkte Benutzer zu haben Falls Sie keine Setuid Anwendungen in der Chroot Umgebung zur Verf gung stellen wird es schwieriger aus dem Gef ngnis auszubrechen Allerdings m s sen Sie gegebenenfalls Chroot Umgebungen f r jeden Benutzer einzeln einrichten Au erdem ist die Konfiguration schwieriger da es Zusammenarbeit mit dem SSH Server erfordert Die zweite M glichkeit ist leichter zu verwirklichen und sch tzt vor dem Ausnutzen eines Ex ploits des SSH Servers da auch dieser im Chroot Gef ngnis ist Jedoch m ssen alle Benutzer die gleiche Chroot Umgebung verwenden Verschiedene Umgebungen f r verschiedene Be nutzer
63. auch dazu verwenden Sie chattr Vervollst ndigung der Nutzer berwachung durch Accounting Werkzeuge Die vorherigen Beispiele sind ein einfacher Weg um die berwachung von Nutzern einzu richten Sie eignen sich aber nicht unbedingt f r komplexe Systeme oder f r solche auf denen die Nutzer berhaupt keine oder ausschlie lich Shells am Laufen haben Sollte dies der Fall sein schauen Sie sich das Paket acct an das Werkzeuge zur Bilanzierung accounting utili ties enth lt Diese werden alle Kommandos die ein Nutzer oder ein Prozess auf dem System ausf hrt auf die Kosten von Plattenplatz aufzeichnen Wenn Sie diese Bilanzierung aktivieren werden alle Informationen ber Prozesse und Nutzer unter var account gespeichert genauer gesagt in pacct Das Accounting Paket schlie t einige Werkzeuge sa ac und lastcomm zur Analyse dieser Daten ein Andere Methoden zur Benutzer berwachung Wenn Sie wirklich paranoid sind und jedes Kommando des Nutzers protokollieren wollen k nnten Sie den Quellcode der Bash so ndern dass sie alles das der Nutzer eingibt in ei ner anderen Datei ablegt Oder Sie lassen ttysnoop ununterbrochen jedes neue tty ber wachen und die Ausgaben in einer Datei speichern Ein anderes n tzliches Programm ist 18Ohne das Append Only Flag w re es den Nutzern m glich den Inhalt des Verlaufs zu l schen indem sie gt bash_history ausf hren Ttys werden fiir lokal Logins und entfernte Logins mi
64. dar Sie sollten keine Dienste installieren die Sie nicht unbedingt auf dem System brauchen Jeder installierte Dienst k nnte neue vielleicht nicht gerade offensichtliche oder bekannte Sicher heitsl cher auf Ihrem Computer ffnen Wie Sie vielleicht schon wissen wird ein Dienst sobald er installiert wird auch gleich automa tisch aktiviert Bei einer Standardinstallation ohne weitere installierte Dienste ist die Anzahl der laufenden Dienste ziemlich gering Und die Anzahl der Dienste die im Netzwerk ange boten werden ist noch niedriger In einer Standardinstallation von Debian 3 1 werden Sie mit OpenSSH Exim abh ngig davon wie Sie ihn konfiguriert haben und dem RPC Portmapper als Netzwerkdienste auskommen Der RPC Portmapper ist standardm ig installiert da er f r viele Dienste wie zum Beispiel NFS ben tigt wird Er kann allerdings sehr leicht entfernt werden Weitere Informationen wie Sie RPC Dienste absichern oder abschalten finden Sie un ter Sichern von RPC Diensten auf Seite 121 Wenn Sie einen neuen Netzwerkdienst Daemon auf Ihrem Debian GNU Linux System in stallieren kann er auf zwei Arten gestartet werden durch den inetd Superdaemon d h eine Zeile wird zu der etc inetd conf hinzugef gt oder durch ein eigenst ndiges Programm dass sich selbst an die Netzwerkschnittstelle bindet Eigenst ndige Programme werden durch etc init d gesteuert Sie werden beim Hochfahren durch den Sys V Mechanismus gesta
65. dem Sicherheitsteam m glich aktualisierte Pakete f r Apache und OpenSSH Probleme f r alle unterst tzen Architekturen fast 20 in weniger als einem Tag bereitzustellen 7 3 1 Leitfaden ber Sicherheitsaktualisierungen f r Entwickler Diese Mail wurde von Wichert Akkerman an die Mailingliste debian devel announce http lists debian org debian devel announce 2002 debian devel announce 200206 msg00004 html geschickt um zu beschreiben wie Entwickler von Debian Sicherheitsprobleme in ihren Paketen handhaben Sie wird hier ver ffentlicht sowohl um Entwicklern zu helfen als auch um Nutzern zu verdeutlichen wie mit Sicherheit in Debian umgegangen wird FIXME Beachten Sie dass die aktuelle Referenz f r diese Informationen die Debian Entwicklerreferenz http www debian org doc manuals developers reference ch pkgs bug security ist und dieser Abschnitt demn chst entfernt wird Zusammenarbeit mit dem Sicherheitsteam Wenn ein Entwickler von einem Sicherheitsproblem erf hrt egal ob in seinem Pa ket oder in einem anderen sollte er das immer dem Sicherheitsteam melden unter team security debian org Sie gehen ungel sten Sicherheitsproblemen nach k nnen Paket betreuern mit Sicherheitsproblemen helfen oder sie selber l sen sind f r den Versand von Sicherheitsank ndigungen verantwortlich und betreuen security debian org Beachten Sie bitte dass Sicherheitsank ndigungen nur f r ver ffentlichte Distributionen er
66. det und somit kein getrenntes Archiv f r Non US hat 4 2 1 Sicherheitsaktualisierungen von Bibliotheken Wenn Sie eine Sicherheitsaktualisierung durchgef hrt haben m ssen Sie gegebenenfalls eini ge Dienste des Systems neu starten Wenn Sie das nicht tun k nnten Dienste auch nach der Sicherheitsaktualisierung immer noch verwundbar sein Das liegt daran dass Daemonen die schon vor einem Upgrade liefen immer noch die alten Bibliotheken vor dem Upgrade verwen den k nnten Um herauszufinden welche Daemonen neu gestartet werden m ssen k nnen Sie das Programm checkrestart ist im Paket debian goodies enthalten oder diesen Einzeiler als Root verwenden lsof grep lt aktualisierte_Bibliothek gt awk print 1 9 Selbst wenn die Bibliotheken aus dem Dateisystem entfernt wurden werden die Inodes nicht beseitigt bis kein Programm mehr einen offenen Dateideskriptor mit Verweis auf sie hat 3Je nach der Version von lsof m ssen Sie 8 statt 9 verwenden uniq sort Kapitel 4 Nach der Installation 50 Einige Pakete wie 1 ibc6 werden diesen Test in der Postinst Phase f r eine begrenzte Anzahl von Diensten durchf hren da ein Upgrade von notwendigen Bibliotheken einige Anwendun gen unbrauchbar machen kann wenn sie nicht neu gestartet werden Indem das System auf Runlevel 1 Single User und dann zur ck auf Runlevel 3 Multi User gebracht wird sollten die meisten wenn nicht alle Systemdien
67. e Added a patch submitted by Jesus Climent regarding access of valid system users to Proftpd when configured as anonymous server e Small change on partition schemes for the special case of mail servers e Added Hacking Linux Exposed to the books section e Fixed directory typo noticed by Eduardo P rez Ureta e Fixed etc ssh typo in checklist noticed by Edi Stojicevi Kapitel 1 Einleitung 20 1 6 30 Version 2 3 Changes by Javier Fern ndez Sanguino Pe a Fixed location of dpkg conffile Remove Alexander from contact information Added alternate mail address Fixed Alexander mail address even if commented out Fixed location of release keys thanks to Pedro Zorzenon for pointing this out 1 6 31 Version 2 2 Changes by Javier Fern ndez Sanguino Pe a Fixed typos thanks to Jamin W Collins Added a reference to apt extracttemplate manpage documents the APT ExtractTemplate config Added section about restricted SSH Information based on that posted by Mark Janssen Christian G Warden and Emmanuel Lacour on the debian security mailing list Added information on anti virus software Added a FAQ su logs due to the cron running as root 1 6 32 Version 2 1 Changes by Javier Fern ndez Sanguino Pe a Changed FIXME from Ishell thanks to Oohara Yuuma Added package to sXid and removed comment since it is available Fixed a number of typos discovered by Oohara Yuuma ACID is now available in Debian i
68. eine serielle Konsole f r den lokalen Zugang verwenden Wenn X eine ganze Zahl Integer ist sollten Sie mehrere Instanzen haben abh ngig von der Anzahl der virtuellen Konsolen die Sie in etc inittab aktiviert haben Weiter f hrende Informationen zu Terminal Schnittstellen finden Sie im Text Terminal HOWTO http tldp org HOWTO Text Terminal HOWTO 6 htm l Die Datei etc securetty ist eine Konfigurationsdatei die zum Paket Login geh rt Oder ttyvX in GNU FreeBSD und ttyE0 in GNU KNetBSD Oder comX in GNU Hurd cuaaX in GNU FreeBSD und ttyXX in GNU KNetBSD Die Standardeinstellung in Woody beinhaltet zw lf lokale tty und vc Konsolen und die console Schnittstelle Anmeldungen von entfernten Orten sind nicht erlaubt In Sarge stellt die Standardeinstellung 64 Konsolen f r tty und vc Konsolen zu Verf gung Sie k nnen das ohne Probleme entfernen wenn Sie nicht derartige viele Konsolen benutzen 1 Achten Sie auf die getty Eintr ge Kapitel 4 Nach der Installation 55 Wenn Sie PAM benutzen k nnen Sie auch andere nderungen am Login Prozess die auch Einschr nkungen f r einzelne Benutzer oder Gruppen zu bestimmten Zeiten enthalten k n nen durch Konfiguration der Datei etc pam d login vornehmen Eine interessante Ei genschaft die man auch abschalten kann ist die M glichkeit sich mit einem leeren Passwort Null Passwort einzuloggen Diese Eigenschaft kann eingeschr nkt werden indem sie nullok aus der Z
69. erzeugen Dies kann einiges an Plattenplatz ben tigen da Sie alle ben tigten Programme ebenso wie Bibliotheken in das Ge f ngnis kopieren m ssen Aber danach ist die Wirkung des Schadens selbst wenn der Benutzer etwas b sartiges macht auf das Gef ngnis beschr nkt Viele Dienste die als Daemonen laufen k nnen von dieser Vorgehensweise profitieren Die Daemonen die Sie mit Ihrer Debian Distribution installieren laufen jedoch nicht standardm Big in einem chroot Gefangnis Dies beinhaltet Name Server wie bind Web Server wie apache Mail Server wie sendmail und FTP Server wie wu ftpd Wahrscheinlich ist es nur fair zu sagen dass die Komplexit t von BIND der Grund daf r ist warum er in den letzten Jahren so oft f r Attacken verwundbar war vergleiche Sichern von BIND auf Seite 109 Jedoch bietet Debian einige Software an die helfen kann chroot Umgebungen aufzubauen Sehen Sie Automatisches Erstellen von Chroot Umgebungen auf der nachsten Seite Wenn Sie irgendwelche Dienste in Ihrem System laufen lassen sollten Sie dies so sicher wie nur m glich tun Dies beinhaltet Entziehen von root Privilegien Starten in beschr nkten Um gebungen wie ein chroot Gef ngnis oder Ersetzen durch ein sichereres Aquivalent Seien Sie jedoch gewarnt dass aus einem chroot Gef ngnis ausgebrochen werden kann wenn der Benutzer der im Inneren l uft der Superuser ist Sie m ssen also sicherstellen dass der Dien
70. f r SSH 263 drwxr xr x 4 root root 4096 Jun 4 12 35 lrwxrwxrwx 1 root root 4 Jun 4 12 02 other gt sshd rw r r 1 root root 318 Jun 3 13 46 passwd rw r r 1 root root 546 Jun 4 11 36 ssh rw r r 1 root root 479 Jun 4 12 02 sshd rw r r 1 root root 370 Jun 3 13 46 su etc security total 32 drwxr xr x 2 root root 4096 Jun 3 13 43 drwxr xr x 4 root root 4096 Jun 4 12 35 rw r r 1 root root 1971 Jun 13 46 access conf rw r r 1 root root 184 Jun 3 13 46 chroot conf rw r r 1 root root 2145 Jun 3 13 46 group conf rw r r 1 root root 1356 Jun 3 13 46 limits conf rw r r 1 root root 2858 Jun 3 13 46 pam_env conf rw r r 1 root root 2154 Jun 3 13 46 time conf lib total 8316 drwxr xr x 3 root root 4096 Jun 4 12 13 drwxr xr x 9 root root 4096 Jun 5 10 05 rw r r 1 root root 1024 Jun 4 11 51 cracklib_dict hwm rw r r 1 root root 214324 Jun 4 11 51 cracklib_dict pwd rw r r 1 root root 11360 Jun 4 11 51 cracklib_dict pwi rwxr xr x 1 root root 342427 Jun 3 13 46 ld linux so 2 rwxr xr x 1 root root 4061504 Jun 3 13 46 libc so 6 1rwxrwxrwx root root 15 Jun 4 12 11 libcrack so gt libcrack so 2 7 1rwxrwxrwx root root 15 Jun 4 12 11 libcrack so
71. here too Kapitel 4 Nach der Installation 48 4 2 Ausf hren von Sicherheitsupdates Sobald neue Sicherheitsl cher in einem Paket entdeckt wurden reparieren sie Debians Paket betreuer und Originalautoren im Allgemeinen innerhalb von Tagen oder sogar Stunden Nach dem das Loch gestopft wurde werden neue Pakete unter http security debian org bereit gestellt Wenn Sie ein Debian Release installieren m ssen Sie ber cksichtigen dass es seit der Ver ffentlichung Sicherheitsaktualisierungen gegeben haben k nnte nachdem entdeckt wurde dass ein bestimmtes Paket verwundbar ist Ebenso k nnte es kleinere Releases gegeben haben Es gab vier kleinere Ver ffentlichungen von Debian 3 1 Sarge die diese Paketaktualisierungen enthalten Sie m ssen sich das Erstellungsdatum Ihres CD Sets wenn Sie ein solches benutzen notieren und auf der Sicherheitsseite nachpr fen ob es Sicherheitsaktualisierungen gegeben hat Wenn es solche gibt und Sie die Pakete nicht von der Sicherheitsseite mit einem anderen System her unterladen k nnen Ihr System ist doch nicht schon mit dem Internet verbunden oder k nn ten Sie es in Erw hnung ziehen falls Sie nicht beispielsweise durch eine Firewall gesch tzt sind Firewall Regeln zu aktivieren so dass Ihr System ausschlie lich mit security debian org Verbindung aufnehmen kann und dann ein Update ausf hren Eine Beispielkonfiguration fin den Sie unter Schutz der Sicherheitsaktualisierung du
72. lilo auf Wenn Sie die restricted Zeile weglassen wird lilo immer nach dem Passwort fragen egal ob LILO Parameter bergeben wurden oder nicht Die Standard Zugriffsrechte auf etc lilo conf erlauben root das Lesen und Schreiben und der Gruppe von lilo conf ebenfalls root das Lesen Wenn Sie GRUB anstelle von LILO verwenden editieren Sie boot grub menu lst und f gen die folgenden zwei Zeilen am Anfang an dabei ersetzen Sie nat rlich hackmich mit dem vorgesehenen Passwort Dies verhindert dass Benutzer die Booteintr ge ver ndern k n nen timeout 3 legt eine Wartedauer von 3 Sekunden fest bevor grub den Standard Eintrag bootet timeout 3 password hackmich Kapitel 4 Nach der Installation 53 Um die Integrit t Ihres Passwortes zus tzlich abzusichern sollten Sie Ihr Passwort verschl s selt ablegen Das Dienstprogramm grub md5 crypt erzeugt ein gehashtes Passwort das kompatibel mit GRUBs Verschl sselungsalgorithmus MD5 ist Um grub mitzuteilen dass ein Passwort im MD5 Format verwendet wird benutzen Sie die folgende Anweisung timeout 3 password md5 1 arPydhOoMSbIgEKjMW5kxeEuvElRah4 Der Parameter md5 wurde hinzugef gt um bei grub einen MD5 Authentifizierungsprozess zu erzwingen Das angegebene Passwort ist die MD5 verschl sselte Version von hackmich MD5 Passworter sind Klartext Passw rtern vorzuziehen Weitere Informationen ber grub Passw rter k nnen Sie im grub doc Paket finden 4 5 Entfernen
73. mit Woody Falls Sie Sarge oder eine neuere Version verwenden sollten Sie einen aktuelleren Kernel einsetzen in dem diese Features bereits enthalten sind Wie auch immer einige Patches werden von Debian noch nicht zur Verf gung gestellt Wenn Sie denken dass manche von ihnen hinzugef gt werden sollten fragen Sie danach auf Arbeit bed rfende und voraussichtliche Pakete http www de debian org devel wnpp Kapitel 4 Nach der Installation 80 4 14 Schutz vor Puffer berl ufen Puffer berlauf buffer overflow wird eine verbreitete Art von Angriffen auf Software ge nannt die die unzureichende berpr fung von Eingabegrenzen ausnutzen ein Programmier fehler der h ufig bei der Programmiersprache C auftritt um durch Programmeingaben Befeh le auf der Maschine auszuf hren Diese Attacken ber Server die auf Verbindungen warten oder ber lokal installierte Software die einem Nutzer gr ere Privilegien gew hrt setuid oder setgid kann zu einem kompromittierten System f hren Es gibt haupts chlich vier Methoden um sich gegen Puffer berl ufe zu sch tzen e Patchen Sie den Kernel um das Ausf hren des Stapelspeichers zu verhindern Sie k n nen entweder Exec Shield OpenWall oder PaX ist in den Grsecurity und Adamantix patches enthalten verwenden e Benutzen Sie eine Bibliothek wie libsafe http www research avayalabs com project libsafe um verwundbare Funktionen zu berschreiben und ordentli
74. ndern Sie die Variable USERGROUPS auf no ab Dadurch wird keine neue Gruppe erstellt wenn ein neuer Nutzer angelegt wird Sie sollten auch USERS_GID die GID der Grup pe zuweisen der alle Nutzer angeh ren Kapitel 12 H ufig gestellte Fragen Frequently asked Questions FAQ 211 12 1 14 Fragen ber Dienste und offene Ports Warum werden Dienste w hrend der Installation aktiviert Das ist der Ann herung an das Problem auf der einen Seite sicherheitsbewusst und auf der anderen Seite benutzerfreundlich zu sein Anders als OpenBSD das alle Dienste abschaltet bis sie vom Administrator aktiviert werden aktiviert Debian GNU Linux alle installierten Dienste bis sie abgeschaltet werden siehe dazu Daemons abschalten auf Seite 40 Immerhin haben Sie den Dienst installiert oder Es gab viele Diskussionen auf Debian Mailinglisten sowohl auf debian devel als auch auf debian security dar ber welches die bessere Vorgehensweise f r eine Standardinstallation ist Jedoch gab es bisher 10 M rz 2002 keinen Konsens Kann ich inetd entfernen Inetd ist nicht leicht zu entfernen da netbase von dem Paket abh ngt das es enth lt netkit inetd Wenn Sie es entfernen wollen k nnen Sie es entweder abschalten siehe Daemons abschalten auf Seite 40 oder das Paket entfernen indem Sie das Paket equivs benutzen Warum muss ich Port 111 offen haben Port 111 ist sunrpcs Portmapper und wird standardm ig bei der Grundins
75. oder SHA 1 Summen f r periodische berpr fungen erstellt werden Aktualisierte den Abschnitt Nach der Installation in Hinblick auf die Konfiguration von checksecurity war veraltet Kapitel 1 Einleitung 11 1 6 9 Version 3 3 Juni 2005 nderung von Javier Fern ndez Sanguino Pefia e F gte einen Code Fetzen hinzu um mit grep available eine Liste von Paketen zu erstel len die von Perl abh ngen Wurde in 302470 nachgefragt e Schrieb den Abschnitt ber Netzwerkdienste neu welche installiert sind und wie man sie abschaltet e F gte weitere Informationen zum Abschnitt ber die Entwicklung eines Honigtopfs hin zu indem n tzliche Debian Pakete erw hnt werden 1 6 10 Version 3 2 M rz 2005 nderung von Javier Fern ndez Sanguino Pefia e Erweiterte den Abschnitt ber die Konfiguration von Limits mit PAM e F gte Informationen hinzu wie pam_chroot f r openssh eingesetzt wird auf Grundlage der README von pam_chroot e Verbesserte einige kleinere Dinge die von Dan Jacobson gemeldet wurden e Aktualisierte die Informationen ber Kernelpatches basiert teilweise auf einem Patch von Carlo Perassi auf den Anmerkungen zu aufgegebenen Teilen des Kernels und auf den neuen Kernelpatches adamantix e F gte einen Patch von Simon Brandmair ein der einen Satz im Zusammenhang mit Login Fehlern auf dem Terminal ausbesserte e F gte Mozilla Thunderbird zu den g ltigen GPG Agenten hinzu wie von Kapolna
76. only way to do automatic update checks e Slightly rewrite of the section on executing a security updates due to Jean Marc Ranger comments e Added a note on Debian s installation which will suggest the user to execute a security update right after installation 1 6 21 Version 2 91 January February 2003 Changes by Javier Fern ndez Sanguino Pefia me e Added a patch contributed by Fr d ric Sch tz e Added a few more references on capabilities thanks to Fr d ric e Slight changes in the bind section adding a reference to BIND s 9 online documentation and proper references in the first area Hi Pedro e Fixed the changelog date new year e Added a reference to Colin s articles for the TODOs e Removed reference to old ssh chroot patches More patches from Carlo Perassi e Typo fixes recursive in Bind is recursion pointed out by Maik Holtkamp Kapitel 1 Einleitung 16 1 6 22 Version 2 9 December 2002 Changes by Javier Fern ndez Sanguino Pefia me Reorganized the information on chroot merged two sections it didn t make much sense to have them separated e Added the notes on chrooting Apache provided by Alexandre Ratti e Applied patches contributed by Guillermo Jover 1 6 23 Version 2 8 November 2002 Changes by Javier Fern ndez Sanguino Pefia me e Applied patches from Carlo Perassi fixes include re wrapping the lines URL fixes and fixed some FIXMEs e Updated the
77. org erh ltlich Weiterf hrende Informationen k nnen Sie auf der SElinux in Debian Wiki Seite http wiki debian org SELinux und auf Manoj Srivastavas http www golden gryphon com software security selinux xhtml und Russell Coo kers http www coker com au selinux SElinux Webseiten finden Der Exec Shield Patch http people redhat com mingo exec shield aus dem Paket kernel patch exec shield Dieser Patch sch tzt vor einigen Puffer berl ufen stack smashing attacks Der Grsecurity Patch http www grsecurity net aus den Paketen kernel patch 2 4 grsecurity und kernel patch grsecurity2 2 verwirklicht Mandatory Access Control durch RBAC und stellt Schutz vor Puffer berl ufen durch Pax ACLs Zuf lligkeit im Netzwerk um die Fr kennung von Spuren des OS zu erschweren und noch viele Features mehr http www grsecurity net features php zur Verf gung Beachten Sie dass ein Konflikt zwischen diesem Patch und den Patches besteht die schon im Quellpaket des Kernels 2 4 von Debian enthalten sind Sie werden den Vanilla Kernel verwenden m ssen Dazu f hren Sie folgende Schritte durch apt get install kernel source 2 4 22 kernel patch debian 2 4 22 tar xj usr src kernel source 2 4 22 tar bz2 cd kernel source 2 4 22 usr srce kernel patches all 2 4 22 unpatch debian F r weitere Informationen siehe 194225 http bugs debian org 194225 199519 http pugs debian org 199519 206458
78. ren falls Sie mehrere haben und ssh nicht auf allen verf gbar sein soll oder Sie in Zukunft eine neue Netzwerkkarte einbauen werden und keine ssh Verbindungen auf ihr erlauben wollen e PermitRootLogin no Versuchen Sie so wenige Logins als Root wie m glich zu erlauben Wenn nun jemand Root werden will ben tigt er zwei Logins So kann das Root Passwort nicht so leicht ausgetestet werden e Port 666 oder ListenAddress 192 168 0 1 666 Ver ndern Sie den Listen Port so dass ein Eindringling nicht wirklich sicher sein kann ob ein sshd Daemon l uft aber beachten Sie dass dies lediglich Sicherheit durch Ver schleierung ist e PermitEmptyPasswords no Nicht gesetzte Passw rter verspotten jegliche System Sicherheit e AllowUsers alex ref ich irgendwo Erlauben Sie nur bestimmten Nutzern sich via ssh auf der Maschine einzuloggen user host kann auch verwendet werden um einen bestimmten Benutzer user dazu zu zwingen nur von einem bestimmten Rechner host aus zuzugreifen Kapitel 5 Absichern von Diensten die auf Ihrem System laufen 99 e AllowGroups wheel admin Erlauben Sie nur bestimmten Gruppenmitgliedern sich via ssh auf der Maschine ein zuloggen AllowGroups und AllowUsers haben quivalente Verfahrensweisen um den Zugang zu der Maschine zu verwehren Es wird nicht berraschen dass es sich hierbei um DenyUsers und DenyGroups handelt e PasswordAuthentication yes Es ist allein Ihre Wahl wa
79. root 23960 Mar 18 13 36 more L Xr xr xX 1 root root 9916 Jul 26 2001 pwd r xXr xr X 1 root root 24780 Nov 29 13 19 rm lrwxrwxrwx 1 root root 4 Mar 30 16 29 sh gt bash etc total 24 drwxr xr x 2 root root 4096 Mar 15 16 13 drwxr xr x 8 guest guest 4096 Mar 15 16 53 LW r r 1 root root 54 Mar 15 13 23 group LW r r 1 root root 428 Mar 15 15 56 hosts LW r r 1 root root 44 Mar 15 15 53 passwd EW L r 1 root root 52 Mar 15 13 23 shells Kapitel G Chroot Umgebung f r SSH 253 lib total 1848 drwxr xr x 2 root root 4096 Mar 18 13 37 drwxr xr x 8 guest guest 4096 Mar 15 16 53 LWXr xr X 1 root root 92511 Mar 15 12 49 1d linux so 2 LWXr xr xX 1 root root 1170812 Mar 15 12 49 libc so 6 LW r r 1 root root 20900 Mar 15 13 01 libcrypt so l rW r r 1 root root 9436 Mar 15 12 49 libdl so 2 r W E r 1 root root 248132 Mar 15 12 48 libncurses so 5 rW r r 1 root root 71332 Mar 15 13 00 libnsl so 1 rW r r 1 root root 34144 Mar 15 16 10 libnss_files so 2 LW r r 1 root root 29420 Mar 15 12 57 libpam so 0 LW r r 1 root root 105498 Mar 15 12 51 libpthread so 0 rW r r 1 root root 25596 Mar 15 12 51 librt so l rW r r 1 root root 7760 Mar 15 12 59 libutil so IWSE ES 1 root root 24328 Mar 15 12 57 libwrap so 0 usr total 16 drwxr xr x 4 root root 4096 Mar 15 13 00 drwxr xr x 8 guest guest 4096 Ma
80. seit Woody ist durch Patches angepasst um dieselbe Funktionalit t unter Debian GNU Linux Systemen zur Verf gung zu stellen Bastille kann mit verschiedenen Oberfl chen bedient werden alle sind in ihrem eigenen Hand buch dokumentiert die dem Administrator erlauben e Schritt f r Schritt Fragen zur erw nschten Sicherheit Ihres Systems zu beantworten sie he InteractiveBastille 8 e Standardeinstellungen zur Sicherheit zwischen locker moderat und paranoid f r ei ne bestimmte Einrichtung Server oder Arbeitsplatz Rechner zu benutzen und Bastil le entscheiden zu lassen welche Sicherheitsregelungen eingef hrt werden sollen siehe BastilleChooser 8 e eine vorgefertigte Konfigurationsdatei von Bastille oder vom Administra tor zu nehmen und eine vorgegebene Sicherheitsregelung zu benutzen siehe AutomatedBastille 8 Kapitel 6 Automatisches Abh rten von Debian Systemen 136 137 Kapitel 7 Die Infrastruktur f r Sicherheit in Debian 7 1 Das Sicherheitsteam von Debian Debian hat ein Sicherheitsteam das aus f nf Mitgliedern und zwei Sekret ren besteht Es ist f r die Sicherheit in der Stable Ver ffentlichung verantwortlich Das bedeutet dass es Sicher heitsl cken nachgeht die in Software auftauchen indem es Foren wie Bugtraq oder vuln dev beobachtet und ermittelt ob davon die Stable Ver ffentlichung betroffen ist Das Sicherheitsteam von Debian ist auch der Ansprechpartner f r Proble
81. sind nicht m glich G 1 SSH Benutzer in ein Chroot Gef ngnis einsperren Sie k nnen den SSH Server so einrichten dass er bestimmte Benutzer in eine Chroot Umgebung einsperrt so dass sie eine Shell mit nur einer beschr nkten Anzahl von Anwen dungen zur Verf gung haben Kapitel G Chroot Umgebung f r SSH 250 G 1 1 Einsatz von libpam chroot Der wahrscheinlich leichteste Weg ist das Paket libpam chroot das in Debian vorhanden ist zu verwenden Wenn Sie es installiert haben m ssen Sie etc pam d ssh ver ndern um dieses PAM Modul zu verwenden F gen Sie dazu als letzte Zeile Folgendes ein session required pam_chroot so e eine passende Chroot Umgebung f r die Benutzer einrichten Sie k nnen versu chen die Skripte unter usr share doc libpam chroot examples zu verwen den das Programm makejail benutzen oder eine minimale Debian Umgebung mit debootstrap aufsetzen Stellen Sie sicher dass die Umgebung die notwendigen Ger te enth lt e etc security chroot conf bearbeiten damit die ausgew hlten Nutzer in das Ver zeichnis eingesperrt werden das Sie zuvor eingerichtet haben Sie sollten unabh ngige Verzeichnisse f r verschiedene Nutzer haben damit sie weder das ganze System noch sich gegenseitig sehen k nnen e SSH konfigurieren Je nach der eingesetzten OpenSSH Version funktioniert die Chroot Umgebung sofort Seit 3 6 1p2 wird die Funktion do_pam_session aufgerufen nachdem sshd seine Rechte abg
82. sollten mit Root Rechten keine komplizierten Aufgaben erledigt werden Falls Sie diese Prinzipien nicht einhalten k nnen sollten Sie sichergehen dass das Programm das mit umfangreicheren Rechten l uft auf Sicherheitsprobleme berpr ft wurde Wenn Sie sich nicht sicher sind oder Hilfe ben tigen sollten Sie sich mit dem Sicherheits Audit Team von Debian http www de debian org security audit in Verbindung set zen Wenn Binaries setuid setgid verwenden sollten Sie die Richtlinie von Debian zu Rechten und Besitzern http www debian org doc debian policy ch files s10 9 be achten F r weitere Informationen insbesondere hinsichtlich Sicherheitsfragen sollten Sie das Secure Programming for Linux and Unix HOWTO http www dwheeler com secure programs und das Build Security In https buildsecurityin us cert gov portal Portal lesen oder den Programmautor darauf hinweisen Kapitel 9 Der gute Umgang von Entwicklern mit der Sicherheit des OS 175 9 2 Benutzer und Gruppen f r Daemons erstellen Wenn Ihre Software als Daemon l uft der keine Root Rechte ben tigt m ssen Sie f r ihn einen Benutzer erstellen Es gibt zwei Arten von Benutzern in Debian die f r Pakete verwendet werden k nnen statische UIDs werden von base passwd vergeben eine Liste der statischen Benutzern in Debian finden Sie bei Benutzer und Gruppen des Betriebssystems auf Seite 206 und dynamisches UIDs die in einem zugewiesenen Bereich lie
83. traceroute ist sie versteckt und Sie behalten Ihr echtes Gateway auf Ihren anderen Computern Jetzt k nnen Sie ein Gateway auf Ihrer Bridge konfigurieren und es auf Ihren anderen Computern als neues Gateway einsetzen H SR th sbin ifconfig brO 62 3 3 26 netmask 255 255 255 248 broadcast 62 3 3 32 Wenn Sie mit traceroute die Route des Linux Mail Servers verfolgen sehen Sie die Bridge nicht Wenn Sie mit ssh auf die Bridge zugreifen wollen m ssen Sie ein Gateway haben oder erst auf einen anderen Server wie den Mail Server zugreifen um dann tiber die interne Netzwerkkarte auf die Bridge zuzugreifen D 3 Grundlegende Iptables Regeln Dies ist ein Beispiel f r grundlegende Regeln die f r beide Einstellungen benutzt werden k nnen iptables F FORWARD iptables P FORWARD DROP Kapitel D Aufsetzen einer berbr ckenden Firewall bridge Firewall 240 ip ip tables A FORWARD s 0 0 0 0 0 0 0 0 d 0 0 0 0 0 0 0 0 m state state IN tables A FORWARD m state state ESTABLISHED RELATED j ACCEPT Zwei lustige Regeln aber nicht bei klassischen Iptables Sorry Limit ICMP iptables A FORWARD p icmp m limit limit 4 s j ACCEPT bereinstimmende Strings eine gute einfache Methode um Viren sehr schnell abzublocken iptables I FORWARD j DROP p tcp s 0 0 0 0 0 m string string cmd exe Abb
84. und VPN verbinden siehe Virtual Private Networks virtuelle private Netzwerke auf Seite 165 4 16 Einschr nkung und Kontrolle des Dateisystems 4 16 1 Benutzung von Quotas Es ist wichtig eine gute Quota Regelung zu haben da es die Nutzer daran hindert die Fest platten zu f llen Sie k nnen zwei Arten von Quota Systemen benutzen Nutzer Quota und Gruppen Quota Wie Sie sicher denken k nnen limitiert User Quota den Plattenplatz den ein Nutzer belegen kann und Gruppen Quota macht dasselbe f r ganze Gruppen Beachten Sie dies wenn Sie die Gr e der Quotas festlegen Es gibt ein paar wichtige Punkte ber die Sie nachdenken sollten wenn Sie ein Quota System aufsetzen e Halten Sie die Quotas klein genug so dass die Nutzer Ihre Festplatte nicht aufzehren k nnen e Halten Sie die Quotas gro genug so dass Nutzer sich nicht beschweren oder dass Ihr Mail Quota Sie daran hindert nach einer Weile Mails anzunehmen e Nutzen Sie Quotas auf allen Bereichen die Nutzer beschreiben k nnen auf home eben so wie auf tmp F r jede Partition und jedes Verzeichnis auf das Nutzer Schreibzugriff haben sollte ein Quota eingerichtet werden Berechnen Sie eine sinnvolle Quota Gr e die Benutzerfreundlichkeit und Sicherheit kombiniert und weisen Sie diese zu Kapitel 4 Nach der Installation 83 So nun wollen Sie Quotas benutzen Zuerst m ssen Sie pr fen ob Ihr Kernel Quota unter st tzt Wenn nicht m ssen Si
85. usr sbin exim upgrade to r3 aus dem Paket exim e usr sbin exiqsumm aus dem Paket exim e usr sbin keytab lilo aus dem Paket lilo e usr sbin liloconfig aus dem Paket lilo e usr sbin lilo_find_mbr aus dem Paket lilo e usr sbin syslogd listfiles aus dem Paket sysklogd e usr sbin syslog facility aus dem Paket sysklogd e usr sbin update inetd aus dem Paket netbase Ohne Perl und solange Sie diese Dienstprogramme nicht in einem Shell Skript neu schreiben werden Sie also wahrscheinlich keine Pakete mehr verwalten k nnen und so das System nicht upgraden k nnen und das ist keine gute Idee Wenn Sie sich dazu entschlossen haben Perl aus dem Debian Basis System zu entfernen und ein wenig Freizeit haben schicken Sie uns doch Fehlerberichte zu den aufgez hlten Paketen die als ein Patch einen Ersatz dieser Dienstprogramme als Shell Skript enthalten Wenn Sie wissen wollen welche Debian Pakete von Perl abh ngen k nnen Sie Folgendes ver wenden grep available s Package Priority F Depends perl oder apt cache rdepends perl Kapitel 3 Vor und w hrend der Installation 46 3 8 Lesen Sie Debians Sicherheits Mailinglisten Es ist niemals falsch einen Blick in die debian security announce Mailingliste zu werfen wo Anleitungen und Probleml sungen durch das Debian Sicherheits Team bekannt gemacht wer den oder sich an mailto debian security lists debian org zu beteiligen wo Sie an D
86. verf gbar Es bein haltet Pr sentationen und Kommentare des Autors David Wheeler Irgendwann wurde er von der Linux Security Knowledge Base abgel st Dieses Dokument wird ebenfalls durch das Paket lasg zur Verf gung gestellt Jetzt wird der Guide wieder unter dem Namen Lasg verbreitet Kapitel 2 Bevor Sie beginnen 31 e Wenn Sie es in Betracht ziehen eine Firewall zu installieren sollten Sie das Fire wall HOWTO http www tldp org HOWTO Firewall HOWTO html und das IPCHAINS HOWTO http www tldp org HOWTO IPCHAINS HOWTO html bei Kerneln vor Version 2 4 lesen e Schlie lich ist die Linux Security ReferenceCard http www linuxsecurity com docs QuickRefCard pdf eine gute Kurztibersicht um in Sachen Sicherheit auf dem aktuellen Stand zu bleiben In jedem Fall gibt es mehr Informationen tiber die hier behandelten Dienste NFS NIS SMB in den vielen HOWTOs die Sie beim Linux Dokumentations Projekt http www tldp org finden Manche dieser Dokumente gehen auf die Sicherheitsaspekte von be stimmten Diensten ein Gehen Sie sicher dass Sie auch hierauf einen Blick werfen Die HOWTO Dokumente des Linux Dokumentations Projektes sind unter Debian GNU Linux durch Installation der Pakete doc linux text englische Text Version oder doc 1inux de HTML Version verf gbar Nach der Installation sind diese Dokumente in den Verzeichnissen usr share doc HOWTO en txt beziehungsweise usr share doc HOWTO de htm
87. xargs usr bin shalsum gt gt mnt f floppy shalchecksums li done echo SHA 1 Datenbank nach der Installation erstellt SECH bin umount dev fd0 exit 0 Beachten Sie dass das Programm md5sum und shalsum falls verf gbar auch auf der Disket te gesichert werden muss so dass Sie es sp ter benutzen k nnen um die anderen Programme Ihres Systems zu pr fen f r den Fall dass md5sum oder shalsum einen Trojaner enthalten Wenn Sie aber sicher sein wollen dass Sie eine g ltige Kopie von md5sum verwenden sollten Sie eine statische Kopie von md5sum erstellen und diese verwenden damit wird verhindert dass eine manipulierte libc Bibliothek das Programm beeintr chtigt oder md5sum nur in einer sauberen Umgebung einsetzen die Sie etwa mit einer Rettungs CD ROM oder einer Live CD Kapitel 4 Nach der Installation 95 erzeugen k nnen damit wird verhindert dass ein manipulierter Kernel das Programm be einflusst Ich kann es nicht genug betonen Wenn Sie ein System haben in das eingebrochen wurde k nnen Sie den Ausgaben nicht vertrauen Sehen Sie sich auch Nach einer Kompro mittierung Reaktion auf einem Vorfall auf Seite 195 an Dieser Schnappschuss enth lt nicht die Dateien unterhalb von var lib dpkg info wo MD5 Summen installierter Pakete enthalten sind die Dateien enden mit md5sums Sie k n nen diese Informationen zus tzlich kopieren aber Sie sollten Folgendes beachten e die Dateien mit den MD5 Summen enthalt
88. xr x 9 root root 4096 Jun 5 10 05 drwxr xr x 11 root root 4096 Jun 3 13 43 drwxr xr x 2 root root 4096 Jun 4 12 13 bin drwxr xr x 2 root root 4096 Jun 4 12 16 dev drwxr xr x 4 root root 4096 Jun 4 12 35 etc drwxr xr x 3 root root 4096 Jun 4 12 13 lib drwxr xr x 2 root root 4096 Jun 4 12 35 sbin drwxr xr x 2 root root 4096 Jun 4 12 32 tmp drwxr xr x 2 root root 4096 Jun 4 12 16 usr kin total 8368 drwxr xr x 2 root root 4096 Jun 4 12 13 drwxr xr x 9 root root 4096 Jun 5 10 05 LWXT XrT X root root 109855 Jun 3 13 45 a2px rwxr xr x 1 root root 387764 Jun 3 13 45 bashx LWXT XrT X root root 36365 Jun 3 13 45 c2phx rwxr xr x 1 root root 20629 Jun 3 13 45 dprofpp rwxr xr x 1 root root 6956 Jun 3 13 46 envr LWXT XrT X root root 158116 Jun 3 13 45 fax2ps Beachten Sie dass keine SETUID Dateien vorhanden sind Das erschwert es entfernten Benutzern aus der chroot Umgebung auszubrechen Es verhindert allerdings auch dass Nutzer ihr Passwort ndern da passwd nicht die Dateien etc passwd und etc shadow ver ndern kann Kapitel G Chroot Umgebung f r SSH 261 rwxr xr x 1 root root 104008 Jun 3 13 45 faxalterx rwxr xr x 1 root root 89340 Jun 3 13 45 faxcoverx rwxr xr x 1 root root 441584 Jun 3 13 45 faxmailx rwxr xr x
89. zu gestalten sollten einen Blick auf colorize ccze oder glark werfen Es gibt da noch eine Menge ber die Analyse von Logs zusagen das hier nicht behandelt werden kann Eine gute Quelle f r weiter Informationen ist die Webseite Log Analysis http www loganalysis org In jedem Fall sind selbst automatische Werkzeuge dem besten Analysewerkzeug nicht gewachsen Ihrem Gehirn Es gibt dar ber einen ziemlich guten Artikel von Lance Spitzner http www spitzner net swatch html Kapitel 4 Nach der Installation 75 4 12 1 Nutzung und Anpassung von logcheck Das Paket logcheck ist in Debian auf drei Pakete verteilt Logcheck das Hauptpro gramm logcheck dat abase eine Datenbank regul rer Ausdr cke f r das Programm und logtail gibt Logzeilen aus die noch nicht gelesen wurden Der Standard unter Debian in etc cron d logcheck ist dass Logcheck jede Stunde und nach jedem Neustart ausge f hrt wird Wenn dieses Werkzeug in geeigneter Weise angepasst wurde kann es sehr n tzlich sein um den Administrator zu alarmieren wenn etwas ungew hnliches auf dem Sys tem passiert Logcheck kann vollst ndig angepasst werden so dass es Mails ber Ereignisse aus den Logs sendet die Ihrer Aufmerksamkeit bed rfen Die Standard Installation umfasst Profile zum ignorieren von Ereignissen und Rechtswidrigkeiten f r drei unterschiedliche Setups Workstation Server und paranoid Das Debian Paket umfasst die Konfigurationsdatei etc
90. zur Verf gung stellen die ihm helfen k nnten das kompromittierte System als Basis f r Angriffe auf andere Systeme zu benutzen Nat rlich kann ein Eindringling mit lokalem Shell Zugriff seine eigenen Programme herun terladen und ausf hren Und sogar die Shell selbst kann benutzt werden um komplexere Programme zu schreiben Das Entfernen unn tiger Programme wird also nicht helfen das Problem zu verhindern Jedoch wird es f r den Angreifer wesentlich schwieriger werden das System zu kompromittieren und manchmal wird er in dieser Situation aufgeben und sich ein leichteres Ziel suchen Wenn Sie also auf einem produktivem System Werkzeuge lassen die benutzt werden k nnen um andere Systeme anzugreifen siehe Programme zur Fernpr fung der Verwundbarkeit auf Seite 163 m ssen Sie auch davon ausgehen dass ein Angreifer sie auch benutzen wird Beachten Sie bitte dass eine Standardinstallation von Debian Sarge d h eine Installation bei der nicht individuell Pakete ausgew hlt werden einige Pakete zur Softwareentwicklung in stallieren wird die normalerweise nicht ben tigt werden Das liegt daran dass einige Pakete zur Softwareentwicklung die Priorit t Standard haben Wenn Sie keine Software entwickeln k nnen Sie ohne Bedenken die folgenden Pakete von Ihrem System entfernen was nebenbei auch etwas Platz schafft Paket Gr e gdb 2 766 822 Gee 3 3 1 570 284 dpkg dev 166 800 lib
91. 00 Dec 2 16 06 lib dr xr xr x 43 root root 0 Dec 3 05 03 proc drwxr xr x 2 root root 48 Dec 2 16 06 sbin drwxr xr x 6 root root 144 Dec 2 16 04 usr drwxr xr x 7 root root 168 Dec 2 16 06 var Um diesen Test zu automatisieren geben Sie 1s la proc cat var chroot apache var run apache pid root ein FIXME Add other tests that can be run to make sure the jail is closed Ich mag das da es so nicht sehr schwierig ist das Gef ngnis einzurichten und der Server mit nur zwei Zeilen aktualisiert werden kann apt get update amp amp apt get install apache makejail etc makejail apache py H 3 Weiterf hrende Informationen Wenn Sie nach weiteren Informationen suchen sehen Sie sich die Quellen an auf denen diese Anleitung beruht e Die Makejail Homepage http www f floc net makejail Diese Programm wurde von Alain Tesio geschrieben e Das Chrooting daemons and system processes HOWTO http zdziarski com papers chroot html von Jonathan A Zdziarski 12 03 2003
92. 00 Jun 3 13 45 sendfaxx rwxr xr x 1 root root 67548 Jun 3 13 45 sendpagex rwxr xr x 1 root root 88632 Jun 3 13 46 sftpx rwxr xr x 1 root root 387764 Jun 3 13 45 shx LWS x x 1 root root 744500 Jun 3 13 46 sloginx rwxr xr x 1 root root 14523 Jun 3 13 46 splaink LWS x x 1 root root 744500 Jun 3 13 46 ssh rwxr xr x 1 root root 570960 Jun 3 13 46 ssh addx rwxr xr x 1 root root 502952 Jun 3 13 46 ssh agent rwxr xr x 1 root root 575740 Jun 3 13 46 ssh keygenx rwxr xr x 1 root root 383480 Jun 3 13 46 ssh keyscank rwxr xr x 1 root root 39 Jun 3 13 46 ssh_europa rwxr xr x 1 root root 107252 Jun 4 10 14 stracex Kapitel G Chroot Umgebung f r SSH 262 rwxr xr x 1 root root 8323 Jun 4 10 14 strace graph rwxr xr x 1 root root 158088 Jun 3 13 46 thumbnailx rwxr xr x 1 root root 6312 Jun 3 13 46 ttyr rwxr xr x 1 root root 55904 Jun 4 11 46 useraddx rwxr xr x 1 root root 585656 Jun 4 11 47 vix rwxr xr x 1 root root 6444 Jun 4 11 45 whoamix dev total 8 drwxr xr x 2 root root 4096 Jun 4 12 16 drwxr xr x 9 root root 4096 Jun 5 10 05 erw r r 1 root root 1 9 Jun 3 13 43 urandom etc total 208 drwxr xr x 4 root root 4096 Jun 4 12 35 drwxr xr x 9 root root 4096 Jun 5 10 05 Eegeregie 1 root root 0 Jun
93. 2 gt libcrack so 2 7 rwxr xr x 1 root root 33291 Jun 4 11 39 libcrack so 2 7x rwxr xr x 1 root root 60988 Jun 3 13 46 libcrypt so 1lk rwxr xr x 1 root root 71846 Jun 3 13 46 libdl so 2x rwxr xr x 1 root root 27762 Jun 3 13 46 libhistory so 4 0x lrwxrwxrwx 1 root root 17 Jun 4 12 12 libncurses so 4 gt libncurses so 4 2 rwxr xr x 1 root root 503903 Jun 3 13 46 libncurses so 4 2x lrwxrwxrwx 1 root root 17 Jun 4 12 12 libncurses so 5 gt libncurses so 5 0 rwxr xr x 1 root root 549429 Jun 3 13 46 libncurses so 5 0x rwxr xr x 1 root root 369801 Jun 3 13 46 libnsl so 1x rwxr xr x 1 root root 142563 Jun 4 11 49 libnss_compat so 1x rwxr xr x 1 root root 215569 Jun 4 49 libnss_compat so 2x rwxr xr x 1 root root 61648 Jun 4 11 34 libnss_dns so 1 rwxr xr x 1 root root 63453 Jun 4 11 34 libnss_dns so 2 rwxr xr x 1 root root 63782 Jun 4 11 34 libnss_dns6 so 2x rwxr xr x 1 root root 205715 Jun 3 13 46 libnss_files so 1x rwxr xr x 1 root root 235932 Jun 3 13 49 libnss_files so 2x rwxr xr x root root 204383 Jun 4 33 libnss_nis so 1 rwxr xr x 1 root root 254023 Jun 4 33 libnss_nis so 2x rwxr xr x 1 root root 256465 Jun 4 33 libnss_nisplus so 2x Kapitel G Chroot Umgebung f r SSH 264 lrwxrwxrwx 1 root root 14 Jun 4 12 12 libpam so 0 gt libpam so 0 72x rwxr xr x 1 root root 31449 Jun 3 13 46 libpa
94. 2 2 5 s0o ss_db 2 2 so ss_db so 2 gt libnss_db 2 2 so ss_dns 2 2 5 s0 ss_dns so 2 gt libnss_dns 2 2 5 s0 ss_fil ss_fil les 2 2 5 s0 les so 2 gt libnss_files 2 2 5 so ss_hesiod 2 2 5 s0 ss_hesiod so 2 gt libnss_hesiod 2 2 5 so ss_nis 2 2 5 so ss_nis so 2 gt libnss_nis 2 2 5 s0 ss_nisplus 2 2 5 so ss_nisplus so 2 gt libnss_nisplus 2 2 5 so libpam so 0 gt libpam so 0 72 libpam so 0 72 libpthread 0 9 so libpthread so 0 gt libpthread 0 9 so v 2 2 5 s0 libresol v so 2 gt libresolv 2 2 5 so librt 2 2 5 so s LiBrEE sock gt Z ek E Sen libuti libutil OR Ee SO 1 gt tb at LE EE libwrap so 0 gt libwrap so 0 7 6 libwrap so 0 7 6 security pam_access so pam_chroot so pam_deny so pam_env so pam_filter so pam_ftp so pam_group so pam_issue so pam_lastlog so pam_limits so pam_listfile so pam_mail so pam_mkhomedir so pam_motd so pam_nologin so pam_permit so pam_rhosts_auth so pam_rootok so pam_securetty so Kapitel G Chroot Umgebung f r SSH 259 pam_shells so pam_stress so pam_tally so pam_time so pam_unix so pam_unix_acct so gt pam_unix so pam_unix_auth so gt pam_unix so pam_unix_passwd so gt pam_unix so pam_unix_session so gt pam_unix so pam_userdb so pam_warn so pam_wheel so sbin start stop daem
95. 31 uid Debian Archive Automatic Signing Key 2005 lt ftpmaster d Im Beispiel ist 4F368D5D die Schl ssel ID Beachten Sie dass dieser Schl ssel nur f r ein Jahr g ltig ist Debian tauscht die Schl ssel als letzte Verteidigungslinie gegen Sicherheitsrisiken die das Knacken eines Schl ssels umfassen regelm ig aus Mit dem Schl ssel des Archivs wird apt dem offiziellen Archiv von Debian vertrauen Wenn Sie aber weitere Paketdepots zu etc apt sources list hinzuf gen wollen m ssen Sie Apt Ihre Schl ssel mitteilen wenn Sie wollen dass Apt ihnen vertraut Sobald Sie den Schl s sel haben und ihn berpr ft haben m ssen Sie nur apt key add Datei laufen lassen um den Schl ssel hinzuzuf gen Der schwierigste Teil dabei ist den Schl ssel zu bekommen und ihn zu berpr fen Den Schl ssel f r Paketdepots finden Mit dem Paket debian archive keyring werden Schl ssel f r apt bereitgestellt Aktua lisierungen dieses Pakets f hren dazu dass GPG Schl ssel f r das von Debian Hauptarchiv hinzugef gt oder gel scht werden F r die brigen Archive gibt noch keinen standardisierten Ort wo sich der Schl ssel f r ein Paketdepot befinden soll Es besteht die grobe bereinkunft dass der Schl ssel auf der Web seite des Paketdepots oder im Depot selbst zu finden sein sollte Wie gesagt ist dies kein echter Standard so dass Sie den Schl ssel unter Umst nden suchen m ssen Der Schl ssel des Debian Archivs ist unter http
96. 5 lesen Bevor Sie sich mit einem Netzwerk verbinden insbesondere wenn es sich um ein 6ffentli ches Netzwerk handelt sollten Sie wenigstens eine Sicherheitsaktualisierung siehe Ausfiih ren von Sicherheitsupdates auf der n chsten Seite durchf hren Optional k nnen Sie auch einen Schnappschuss Ihres Systems machen siehe Einen Schnappschuss des Systems erstel len auf Seite 93 4 1 Abonnement der Security Announce Mailingliste von Debian Um Informationen zu verf gbaren Sicherheitsaktualisierungen und die Debian Sicherheits Ank ndigungen DSA zu erhalten sollten Sie Debians Security Announce Mailingliste abon nieren Lesen Sie Das Sicherheitsteam von Debian auf Seite 137 f r weitere Informationen wie das Sicherheitsteam von Debian arbeitet Hinweise wie man die Mailinglisten von Debian abonniert finden Sie unter http lists debian org DSAs werden mit der Signatur des Sicherheitsteams von Debian unterschrieben die unter http security debian org erh ltlich ist Sie sollten in Betracht ziehen auch die debian security Mailingliste http lists debian org debian security zu abonnieren Dort finden allgemeine Diskussionen zu Sicherheitsthemen im Betriebssystem Debian statt Sie k nnen auf der Liste sowohl mit gleich gesinnten Systemadministratoren als auch mit Entwicklern von Debian und Programmautoren in Kontakt treten Diese werden Ihre Fragen beantworten und Ihnen Ratschl ge geben FIXME Add the key
97. 73 Die Wichtigkeit von Logs und Alarmen 5 06 aaa 74 4 12 1 Nutzung und Anpassung von logcheck 2 04 8s a au eee en 75 4 12 2 Konfiguration wohin Alarmmeldungen geschickt werden 76 4 123 Nutzen eines lOgnesls 2664 EE an nn a a ES ee 76 4 12 4 Zugriffsrechte auf Log Dateien 222 2 2 2 we 20 der hs 77 INHALTSVERZEICHNIS v 419 Den Kernel Basen sida sema nat ara ah pe e e Ae 78 4 14 Schutz vor Puller berl ufeti occa o scra eale A na ENN REY AEN eS 80 4 14 1 Kernelpatch zum Schutz vor Puffer berl ufen 81 4142 eM iC Tipsarea ee a Sg Eee we Re ee Ba 81 4 143 Pr fprogrammie f r Puffer berl ufe gt gt ose es accesses naa ris 81 4 15 Sichere bertragung von Dateien 22H res so nee 81 4 16 Einschr nkung und Kontrolle des Dateisystems 82 Ale Benutzung VON Qubbs 2 64265 oe as Senn an ae HEE OM a HA 82 4 16 2 Die f r das ext2 Dateisystem spezifischen Attribute chattr Isattr 83 4 16 3 Pr fung der Integrit t des Dateisystems 2 220220 84 4 16 4 Aufsetzen einer berpr fung von setuid 00 4 85 4 17 Absicherung des Netzwerkzugangs 23 8 23 23 25234 2 82 eee NN e 86 4 17 1 Konfiguration der Netzwerkf higkeiten des Kernels 86 4 172 Konfiguration von Syncookies 2 4 85 Shes 24 ee EE EE REELS 87 4 17 3 Absicherung des Netzwerks beim Hochfahren 87 4 174 Konfiguration der Firewall ics 25 02 dese G een ee 91 4 17 5 L sung des Problems der Weak End
98. A Ein BEES ee ER Er a 117 5 8 1 Verhindern dass Benutzer Web Inhalte ver ffentlichen 117 282 Redilevon Log Dall ard nk eee Pee ee RAR EARS EE OO RD 118 5 8 3 Ver ffentlichte Web Datelen 22 6s i pee eee PKR 5000 0 4 118 39 See VON DING sose are dh we EE res 118 5 10 Allgemeine chroot und seid Parandla es se se so ss aom ER nenn 119 5 10 1 Automatisches Erstellen von Chroot Umgebungen 120 5 11 Allgemeine Klartextpasswort Parandia EEN EEN RR 120 3 12 NIS deaktiyicren a eas be he EG Oh EE Ee BEE e SE EES 121 5 13 Sichern von KE Diesen A EN ern are Rw EE ea 121 5 13 1 Vollst ndiges Deaktivieren vonRPC Diensten 2 2 2 122 5 13 2 Einschr nken des Zugriffs auf RPC Diessie e EE EEN ds 122 5 14 Hinzuf gen von Firewall F higkeiten 2 65546864 Ow a ae ehr 122 5 14 1 Eirewallen des lokalen Systems lt o so sa ees au ENN bw ee ES 123 5 14 2 Sch tzen anderer Systeme durch eine Firewall 0 124 5 14 3 Aufsetzen einer Firewall 25 ek ee 8 eR ee ar Re Se aS 124 6 Automatisches Abh rten von Debian Systemen 133 Of FETAN o a EAS rare RE Rae aaa d 133 62 Bastille Li x se wa BOA EOE ee E EN Ee BS 135 INHALTSVERZEICHNIS vii 7 Die Infrastruktur f r Sicherheit in Debian 137 7 1 Das Sicherhettsteam von Debian 5 66k eek eee de wee ee ee A KN 137 7 2 Debian Sicherheits Ank ndigungen 2 266854 24804 Ge eg eRe Ge BS 138 7 2 1 Querverweise der Verwundbarkeiten 139 Poe C
99. Anleitung zum Absichern von Debian Javier Fern ndez Sanguino Pe a lt jfs debian org gt Autoren auf dieser Seite Version 3 11 Tue 08 May 2012 04 31 25 0000 Zusammenfassung Dieses Dokument handelt von der Sicherheit im Debian Projekt und im Betriebssystem Debian Es beginnt mit dem Prozess eine Standardinstallation der Debian GNU Linux Distribution abzusichern und abzuh rten Es deckt die gew hnliche Arbeit ab eine sichere Netzwerkumgebung mit Debian GNU Linux zu schaffen und liefert zus tzliche Informatio nen ber die verf gbaren Sicherheitswerkzeuge Es befasst sich auch damit wie die Sicherheit in Debian vom Sicherheits und Auditteam gew hrleistet wird Copyright Hinweis Copyright 2002 2007 Javier Fern ndez Sanguino Pe a Copyright 2001 Alexander Reelsen Javier Fern ndez Sanguino Pe a Copyright 2000 Alexander Reelsen An manchen Abschnitten besteht ein Copyright der jeweiligen Autoren Genaueres erfahren Sie unter Danksagungen auf Seite 26 Es ist erlaubt dieses Dokument unter den Bedingungen der GNU General Public License Ver sion 2 http www gnu org copyleft gpl html oder jeder sp teren Version die von der Free Software Foundation ver ffentlicht wird zu kopieren zu verbreiten und oder zu ver ndern Es wird in der Hoffnung ver ffentlicht dass es sich als n tzlich erweisen k nnte aber OHNE JEDE GEW HRLEISTUNG Es ist erlaubt unver nderte Kopien dieses Dokuments zu erst
100. Changelog des Paketes durchsehen oder indem Sie die exak te Versionsnummer urspr ngliche Version slash Debian Release mit der Nummer aus der Debian Sicherheits Ank ndigung DSA vergleichen 12 2 11 Spezielle Software Proftpd ist f r einen Denial of Service Angriff anf llig F gen Sie Ihrer Konfigurationsdatei DenyFilter x hinzu Mehr Informationen entneh men Sie http www proftpd org bugs html Kapitel 12 H ufig gestellte Fragen Frequently asked Questions FAQ 219 Nach der Installation von portsentry sind viele Ports offen Dies ist nur die Art und Weise wie portsentry arbeitet Es ffnet etwas zwanzig ungenutzte Ports und versucht so Port Scans zu entdecken 12 3 Fragen zum Sicherheitsteam von Debian Diese Informationen stammen aus dem Debian Sicherheits FAQ http www de debian org security faq Es umfasst Informationen bis zum Januar 2006 und beantwortet auch andere h ufige Fragen aus der Mailingliste debian security 12 3 1 Was ist eine Debian Sicherheits Ank ndigung Debian Security Advisory DSA Das Debian Sicherheitsteam siehe unten weist darin auf die Entdeckung und Korrektur von sicherheitsrelevanten Verwundbarkeiten in einem Paket von Debian GNU Linux hin Digi tal unterschriebene DSAs werden an ffentliche Mailinglisten gesendet und auf der Webseite von Debian ver ffentlicht sowohl auf der Hauptseite als auch unter Sicherheits Informationen http www de debian org security
101. Chroot Umgebung notwendigen Bestandteile erhalten aber dies geht auf Kosten von Plattenspeicher Eine minimale Installation von Debian ben tigt einige hundert Megabyte Dieses minimale System k nnte auch Setuid Dateien enthalten mit denen ein Benutzer aus dem Chroot Gef ngnis ausbrechen k nnte wenn sie eine Rechteerweiterung zulassen Kapitel G Chroot Umgebung f r SSH 255 G 2 2 Automatisches Erstellen der Umgebung der leichte Weg Mit dem Paket make jail k nnen Sie leicht eine eingeschr nkte Umgebung erstellen da es automatisch den Trace des Server Daemons verfolgt mit strace und daf r sorgt dass er in der eingeschr nkten Umgebung l uft Der Vorteil von Programmen die automatisch die chroot Umgebung einrichten liegt darin dass sie im Stande sind Pakete in die chroot Umgebung zu kopieren und verfolgen sogar die Abh ngigkeiten der Pakete um sicherzustellen dass sie vollst ndig sind Dadurch wird das Bereitstellen von Anwendungen f r Benutzer leichter Um ein Chroot Gef ngnis aus den von make jail zur Verf gung gestellten Beispielen einzu richten m ssen Sie var chroot sshd erstellen und folgenden Befehl ausf hren makejail usr share doc makejail examples sshd py Dies wird eine Chroot Umgebung im Verzeichnis var chroot sshd erstellen Beachten Sie dass diese Chroot Umgebung nicht voll funktionst chtig ist bis Sie e Das Dateisystem procfs in var chroot sshd proc eingebunden haben Makejail wird e
102. DSAs enthalten Informationen ber die beeintr chtigten Pakete den entdeckten Sicherheits mangel und wo man die aktualisierten Pakete bekommt und ihre MD5 Summen 12 3 2 Die digitale Signatur eines Debian Anweisung wird nicht korrekt verifi ziert Dies ist wahrscheinlich ein Problem auf Ihrer Seite Die Liste debian security announce http www de debian org security faq besitzt einen Filter der es nur erlaubt Nachrich ten mit einer korrekten Signatur eines Mitglieds des Sicherheitsteams zu versenden Die h ufigste Ursache daf r ist zumeist ein Mail Programm auf Ihrer Seite das die Nach richt leicht ver ndert und dadurch die Signatur ung ltig macht Versichern Sie sich dass Ih re Software keine MIME Entschl sselung oder Verschl sselung durchf hrt und auch keine Tabulator Leerzeichen Konvertierungen vornimmt Bekannte belt ter sind fetchmail mit der Option mimedecode formail nur von procmail 3 14 und evolution 12 3 3 Wie wird die Sicherheit in Debian gehandhabt Sobald das Sicherheitsteam auf einen Vorfall aufmerksam wird berpr fen ihn ein oder meh rere Mitglieder und berlegen seinen Einfluss auf die Stable Ver ffentlichung von Debian z B ob es verwundbar ist oder nicht Wenn unser System verwundbar ist arbeiten wir an ei ner Problembehebung Der Paketbetreuer wird ebenfalls kontaktiert wenn dieser nicht bereits Kapitel 12 H ufig gestellte Fragen Frequently asked Questions FAQ 220 selbs
103. Dateien im news Spool geh ren h ufig dem Nutzer und der Gruppe news Programme wie inews die man be nutzen kann um News zu posten sind normalerweise SETGID news e uucp Der Nutzer uucp und die Gruppe uucp werden vom UUCP Subsystem benutzt Ihnen geh ren Spool und Konfigurationsdateien Nutzer in der Gruppe uucp k nnen uucico aufrufen e proxy Wie Daemon wird dieser Nutzer und diese Gruppe von manchen Daemonen ins besondere Proxy Daemonen verwendet die keine spezielle User ID haben aber eigene Dateien besitzen m ssen Zum Beispiel wird die Gruppe proxy von pdnsd benutzt und squid l uft als Nutzer proxy e majordom Ma jordomo hat auf Debian Systemen aus historischen Gr nden eine statisch zugewiesene UID Auf neuen Systemen wird sie nicht installiert e postgres Postgresql Datenbanken geh ren diesem Nutzer und dieser Gruppe Alle Dateien in var lib postgresql geh ren diesem Nutzer um anst ndige Sicherheit zu gew hrleisten e www data Einige Web Server laufen als www data Web Inhalte sollten nicht diesem Nutzer geh ren andernfalls w re ein kompromittierter Web Server in der Lage eine Web Seite zu berschreiben Daten die der Web Server schreibt einschlie lich Log Dateien geh ren www data e backup So k nnen Backup Wiederherstellungszust ndigkeiten lokal an irgendjeman den ohne volle Root Zugriff delegiert werden e operator operator ist historisch und praktisch das einzige Nutzer Konto in d
104. Die Bridge wird korrekt und unsichtbar transparente Firewall sein In einem traceroute ist sie versteckt und Sie behalten Ihr echtes Gateway auf Ihren anderen Computern Jetzt k nnen Sie ein Gateway auf Ihrer Bridge konfigurieren und es auf Ihren anderen Computern als neues Gateway einsetzen SR SR HE sbin ifconfig brO 62 3 3 26 netmask 255 255 255 248 broadcast 62 3 3 32 Ich habe diese internen IPs f r mein NAT benutzt ip addr add 192 168 0 1 24 dev brO sbin route add default gw 62 3 3 25 D 2 Eine Bridge mit Firewall F higkeiten Eine zweite denkbare Konfiguration ist ein System das als transparente Firewall f r ein LAN mit einer ffentlichen IP Adresse aufgesetzt ist Kapitel D Aufsetzen einer berbr ckenden Firewall bridge Firewall 239 Internet router 62 3 3 25 bridge 62 3 3 26 WWW Server 62 3 3 28 gw 62 3 3 Mail Server 62 3 3 27 gw 62 3 Die folgenden Kommandos zeigen wie diese Bridge konfiguriert werden kann So wird die Schnittstelle brO erstellt usr sbin brcetl addbr bro Hinzuf gen der Ethernet Schnittstelle die die Bridge benutzen soll usr sbin brcetl addif brO etho0 usr sbin brcetl addif br0 ethl Starten der Schnittstelle sbin ifconfig eth0 0 0 0 0 sbin ifconfig ethl 0 0 0 0 En Konfigurieren der Ethernet Bridge Die Bridge wird korrekt und unsichtbar transparente Firewall sein In einem
105. E Kal X Release gpg mit Apt berpr fen Wenn Secure Apt eine Release Datei herunterl dt l dt es auch immer die Release gpg Datei herunter Falls dies misslingen sollte oder die Signatur nicht stimmt wird es eine R ck meldung machen und hinweisen dass die Paketdateien auf die die Release Datei verweist und alle darin enthaltenen Pakete von einer nicht vertrauensw rdigen Quelle stammen So w rde dies w hrend apt get update aussehen W GPG error http ftp us debian org testing Release The following signatu couldn t be verified because the public key is not available NO_PUI Beachten Sie dass die zweite Halfte der langen Nummer die Schliissel ID des Schliissels ist von dem Apt nichts weifs Im Beispiel ist sie 2D230C5F Falls Sie diese Warnung ignorieren und sp ter versuchen ein Paket zu installieren wird Sie Apt nochmals warnen WARNUNG Die folgenden Pakete k nnen nicht authentifiziert werden libglib perl libgtk2 perl Diese Pakete ohne berpr fung installieren j N Wenn Sie nun J dr cken haben Sie keine M glichkeit festzustellen ob die Datei die Sie be kommen wirklich diejenige ist die Sie auch installieren m chten oder ob sie eine ganz andere ist die Ihnen jemand der die Verbindung mit dem Server abgefangen hat mit einer gemeinen berraschung unterschieben will Sie k nnen diese Abfragen abschalten indem Sie apt mit allow unauthenticate
106. E a a bok u nee EE ail Be ie 19 Me AS 2 fg hac Gale en eS 20 Version 202 E oa AE Se ee Gee we Oe EN A a BY 20 Version A 22 oe debe hidw ts ches esa beh bee hoes os 20 REENERT ee Bk Mowe Sake RS Bee Ee aoe ee ee he 21 Veron oy ane many Gig BSR Kae OTE N Aue oe Be e 22 Wersten 9G soe eda Seek Be BOE SERA Be we Pa 22 Version LOZ ue he a hae es he ee A Soe we ae SO i ee oe a ae 22 Version 126 2 oo od eb E Be SA eS SESE EDDY ed Bo 23 VERSION OG 2 a a OE e ee a ee ee eS 23 Version Wee A oo et aoe od Gok Ses Boca Se eo ew BOE E a 23 Merion LIE NEE an aa Bee BP e a Wa ee h 23 Version LOX i ee Sado e ir Ed eee De a he Oe ee we 23 Version dO 2 4 5 2 04424 444 dN cs ORES eso be hb aE aa 24 NOS A ke ado E a See Ble Ook ee eee ee we 24 Wearside son nee bee e A Boe Oe e E ee eet 24 Verio ve Are god ween wo dee dla e E Gee Haran God 25 Version LG se ee eee na Dee De ee a E Oe an HO 25 Versiom lD s u Sa dowd hae dee Ste sks bee EME eo are BS 25 INHALTSVERZEICHNIS iii 1648 Version iA 22 2 geta npt Ds EE da ed id area 26 1649 Version lO e ea ee en Be a ar Sch 26 1650 Version 2 2 22 252 3 22 00 Diener ee Be bee 26 Dol e EE He 16 52 Version lO 222222 224 22 88 EELER E EE EE E A He ee bee eed eR EE Oe PS Oe Eee EE EE RY 26 17 1 Danksagungen des bersetzers a ee Haan a ae EES EES 27 Bevor Sie beginnen 29 21 Wof r m chten Sie dieses System benutzen 2 eek eee ead eee E 29 2 2 Seien Sie wachsam gegen ber generellen Sicherheitsprobleme
107. Es ist heutzutage weit verbreitet E Mails digital zu unterschreiben manchmal auch zu ver schl sseln Sie k nnen z B feststellen dass viele Menschen auf Mailinglisten ihre E Mails signieren Signaturen von ffentlichen Schl sseln ist im Moment die einzige M glichkeit um festzustellen ob eine E Mail vom Absender geschickt wurden und nicht von jemand anderem Debian GNU Linux enth lt eine Anzahl von E Mail Clients mit der eingebauten F higkeit E Mails zu signieren Sie arbeiten entweder mit gnupg oder pgp zusammen e evolution e mutt e kmail e mozilla oder Thunderbird im Paket mozilla thunderbird enthalten falls das Enigmail http enigmail mozdev org Plugin installiert ist was durch das Pa ketmozilla enigmail und mozilla thunderbird enigmail bereitgestellt wird e sylpheed Abh ngig davon wie sich die stabile Version dieses Pakets entwickelt m s sen Sie die bleeding edge Version sylpheed claws verwenden e gnus wird mit dem Paket mailcrypt installiert und ist eine Schnittstelle f r emacs zu gnupg e kuvert stellt diese Funktion unabh ngig von Ihrem Mail User Agent MUA zur Verf gung indem es mit dem Mail Transport Agent MTA arbeitet Key Server erm glichen es Ihnen ver ffentlichte ffentliche Schl ssel herunterzuladen damit Sie Signaturen berpr fen k nnen Einer diese Key Server ist http wwwkeys pgp net gnupg kann automatisch ffentliche Schl ssel holen die sich nicht schon in I
108. ITRE Corporation betreut und stellt eine Liste von standardisierten Bezeichnungen f r Verwundbarkeiten und Sicherheitsl cken zur Verf gung Debian ist berzeugt dass es au erordentlich wichtig ist die Nutzer mit zus tzlichen Infor mationen im Zusammenhang mit Sicherheitsproblemen die die Debian Distribution betreffen Der vollst ndige Fragebogen zur Kompatibilit t http cve mitre org compatible phase2 SPI_ Debian html ist bei CVE erh ltlich Kapitel 7 Die Infrastruktur f r Sicherheit in Debian 140 zu versorgen Indem CVE Bezeichnungen in den Anweisungen enthalten sind k nnen Nut zer leichter allgemeine Verwundbarkeiten mit bestimmten Aktualisierungen von Debian in Verbindung bringen Dies verringert die Zeit die ben tigt wird um Verwundbarkeiten die unsere Nutzer betreffen abzuarbeiten Au erdem vereinfacht es die Organisation der Sicher heit in einer Umgebung in der schon Sicherheitswerkzeuge die CVE verwenden wie Erken nungssysteme von Eindringlingen in Netzwerk oder Host oder Werkzeuge zur Bewertung der Sicherheit eingesetzt werden unabh ngig davon ob sie auf der Debian Distribution beruhen Debian begann im Juni 2002 CVE Bezeichnung zu den DSAs hinzuzuf gen Jetzt sind CVE Bezeichnungen in allen DSAs seit September 1998 enthalten nachdem die Nachpr fungspha se im August 2002 begonnen wurde Alle Anweisungen k nnen auf der Webseite von Debi an abgerufen werden Auch Ank ndigungen von neuen Verwun
109. Linux aber auch von BSD Derivaten koor dinieren Sicherheits Ank ndigung f r verschiedene Vorf lle und haben vereinbart einen be stimmten Zeitplan einzuhalten so dass alle Distributoren in der Lage sind eine Anweisung zur selben Zeit zu ver ffentlichen Dadurch soll verhindert werden dass ein Anbieter dis kriminiert wird der mehr Zeit ben tigt z B falls der Hersteller l ngere Qualit tssicherungs tests f r die Pakete durchf hrt oder mehrere Architekturen bzw Bin r Distributionen unter st tzt Unser eigenes Sicherheitsteam bereitet ebenfalls Anweisungen im Vorhinein vor Es passiert immer wieder mal dass andere Sicherheitsprobleme fr her abgearbeitet werden m s sen als vorbereitete Gutachten ver ffentlicht werden k nnen und daher wird tempor r eine oder mehrere Anweisungen der Nummer nach ausgelassen Kapitel 12 H ufig gestellte Fragen Frequently asked Questions FAQ 223 12 3 14 Ich habe versucht ein Paket herunterzuladen das in einem der Sicher heitsank ndigungen aufgef hrt war aber ich bekomme dabei einen file not found Fehler Immer wenn eine neuere Fehlerbehebung ein lteres Paket auf security debian org ersetzt ste hen die Chancen gut dass das ltere Paket gel scht wird wenn das neue installiert wird Daher erhalten Sie diesen file not found Fehler Wir wollen Pakete mit bekannten Sicherheitsl cken nicht l nger als absolut notwendig verbreiten Bitte benutzen Sie die Pakete von d
110. Moment tun d U vergleichen Sie bitte die Version der Ubersetzung mit der neuesten Version Falls Sie feststellen dass die Ubersetzung veraltet ist sollten Sie in Betracht ziehen die Originalversion zu verwenden oder zumindest Es w rde eine Menge Arbeit ersparen wenn die Verbesserungen in die SGML Dateien eingearbeitet werden Diese sind mittels CVS abrufbar und k nnen auch ber die Webschnittstelle http cvs debian org ddp manuals sgml securing howto cvsroot debian doc abgerufen werden d U Kapitel 1 Einleitung 3 die Anderungsiibersicht Changelog Geschichte auf Seite 7 durchsehen um zu wissen was ge ndert wurde Wenn Sie eine vollst ndige Kopie des Handbuchs wollen k nnen Sie die Text Version http www de debian org doc manuals securing debian howto securing debian howto de txt oder die PDF Version http www de debian org doc manuals securing debian howto securing debian howto de pdf von der Seite des Debian Dokumentationsprojektes herunterladen Diese Versionen k nnen sinnvoller sein wenn Sie das Dokument auf ein tragbares Medium kopieren oder ausdrucken wollen Seien Sie aber gewarnt das Dokument ist ber 200 Seiten lang und einige Abschnitte von Code ist in der PDF Version wegen den eingesetzten Formatierungswerkzeugen nicht richtig umgebrochen und k nnte daher nur unvollst ndig ausgedruckt werden Das Dokument ist auch in den Formaten HTML txt und PDF im Paket harden doc http packages
111. OUPS yes Sie ndern dieses Verhalten wenn Sie den Wert auf no setzen Dies wird aber nicht empfohlen Kapitel 4 Nach der Installation 69 Bei Anmeldungen die von login Gebrauch machen erh lt die UMASK Festlegung in etc login defs Vorrang vor allen anderen Einstellungen Dieser Wert wird aber nicht von An wendungen des Benutzers beachtet die nicht login verwenden wie z B solche die durch su cron oder ssh ausgef hrt werden Vergessen Sie nicht die Dateien unter etc skel zu berpr fen und gegebenenfalls anzu passen da dort die Standards f r Benutzer festgelegt werden die mit dem Befehl adduser erstellt werden Standardm ig enthalten die Dateien in Debian keinen Aufruf von umask Wenn sich aber ein solcher in Konfigurationsdateien befindet sind neue Benutzer eher geneigt ihn ihren Bed rfnissen anzupassen Beachten Sie allerdings dass ein Nutzer seine umask Einstellung ab ndern kann wenn er es m chte um sie gro z giger oder einschr nkender zu machen indem er seine Konfigurations dateien ver ndert Das Paket libpam umask passt die Standard umask eines Benutzers mit Hilfe von PAM an Nachdem Sie das Paket installiert haben tragen Sie Folgendes in etc pam d common session ein session optional pam_umask so umask 077 Zu guter Letzt sollte Sie in Betracht ziehen die Standard Umask von Root 022 wird in root bashrc festgelegt auf einen strengeren Wert zu ver ndern Damit kann verhindert werden da
112. Priorit t Wenn ein Sicherheitsproblem in einem Debian Paket entdeckt wird wird eine Sicherheits Aktualisierung so schnell wie m glich vorbereitet und f r den Stabile Testing und Unstabile Zweig einschlie lich aller Architekturen ver ffentlicht e Alle Informationen ber Sicherheit sind an einer zentralen Stelle zu finden http security debian org e Debian versucht immer die gesamte Sicherheit seiner Distribution zu verbessern bei spielsweise durch automatische Paket Signierungs und Verifikations Mechanismen e Debian stellt eine brauchbare Anzahl von sicherheitsrelevanten Werkzeugen f r System Administratoren und zur berwachung zur Verf gung Entwickler versuchen diese Werkzeuge fest mit der Distribution zu verbinden um Sie anpassbarer zur Durchsetzung lokaler Sicherheits Regelungen zu machen Diese Werkzeuge schlie en Folgendes mit ein integrit tspr fende Programme allgemeine Pr fwerkzeuge Werkzeuge zum Ab h rten Werkzeuge f r Firewalls Eindringlings Erkennungs Tools und vieles andere Kapitel 2 Bevor Sie beginnen 33 e Paketbetreuer sind sich der Sicherheits Probleme bewusst Dies f hrt oft zu vorein gestellt sicheren Installationen von Diensten die sie manchmal in ihrer normalen Be nutzung etwas einschr nken k nnen Dennoch versucht Debian Sicherheitsaspekte und Einfachheit der Administration abzuw gen zum Beispiel werden Dienste nicht inaktiv installiert wie es bei den Betriebssy
113. Quelle f r Tipps zur forensischen Analyse ist Brian Carriers Newsletter The Sleuth Kit Informer http www sleuthkit org informer index php Auch die Honeynet Challenges http www honeynet org misc chall html sind eine ausgezeichnete M glichkeit Ihre forensischen F higkeiten zu verbessern da sie ech te Angriffe auf Honigtopfsysteme umfassen und Herausforderungen bieten die von der fo rensischen Analyse von Festplatten bis zu Protokollen der Firewall und Paketerfassung alles beinhalten FIXME This paragraph will hopefully provide more information about forensics in a Debian system in the coming future FIXME Talk on how to do a debsums on a stable system with the MD5sums on CD and with the recovered file system restored on a separate partition FIXME Add pointers to forensic analysis papers like the Honeynet s reverse challenge or David Dittrich s papers http staff washington edu dittrich 11 4 1 Analyse der Malware Einige andere Programme aus der Debian Distribution die f r forensische Analyse verwendet werden k nnen sind e strace e ltrace Alle diese Pakete k nnen dazu benutzt werden um Schurkenprogramme wie z B Hintert ren zu analysieren um herauszufinden wie sie arbeiten und was sie mit dem System anstel len Einige andere gebr uchliche Werkzeuge sind ldd in 1ibc6 strings und ob jdump beide in binutils Wenn Sie eine forensische Analyse von Hintert ren oder verd cht
114. SH Rechtetrennung Privilege Separation einsetzt was standardm ig so ist Dazu muss in der Konfigurationsdatei etc ssh sshd_config folgende Zeile enthalten sein UsePrivilegeSeparation yes Dadurch wird der entfernte Daemon so wenig Dinge wie m glich als Root ausf hren Wenn er also einen Fehler enthalten sollte kann damit nicht aus dem Chroot Gef ngnis ausgebrochen werden Beachten Sie dass anders als wenn Sie eine Chroot Umgebung f r jeden Benutzer einzeln einrichten in diesem Fall der SSH Daemon im selben Chroot Gef ngnis wie die Be nutzer l uft Es gibt also mindestens einen Prozess in der Chroot Umgebung der als Root l uft Mit ihm ist es m glich aus dem Chroot Gef ngnis auszubrechen Beachten Sie auch dass SSH nur funktioniert wenn die Partition auf der die Chroot Umgebung eingerichtet wurde nicht mit der Option nodev gemountet wurde Wenn Sie diese Option verwenden bekommen Sie folgende Fehlermeldung PRNG is not seeded weil dev urandom nicht in der Chroot Umgebung funktioniert G 2 1 Einrichten eines minimalen Systems der wirklich leichte Weg Sie k nnen mit debootstrap eine minimale Umgebung einrichten die ausschlie lich den SSH Server enth lt Daf r m ssen Sie nur eine Chroot Umgebung einrichten wie es im Chroot Abschnitt der Debian Referenz http www de debian org doc manuals reference ch09 _chroot_system beschrieben wird Diese Vorgehensweise ist idiotensi cher Sie werden alle fiir die
115. SIT apt cache policy Skernel rnel image 2 4 27 2 686 Installed 2 4 27 9 Candidate 2 4 27 9 Version Table kkk 2 4 27 9 0 2 wn um An Wenn Sie eine Sicherheitsaktualisierung durchf hren die auch das Kernel Image umfasst miissen Sie das System neu starten damit die Sicherheitsaktualisierung Wirkung zeigen kann Anderenfalls lassen Sie immer noch das alte und verwundbare Kernel Image laufen Wenn Sie das System neu starten m ssen wegen eines Kernel Upgrades sollten Sie si cherstellen dass der Kernel fehlerfrei booten wird und die Netzwerkverbindungen her gestellt werden besonders wenn die Sicherheitsaktualisierung ber eine entfernte Verbin dung wie mit ssh durchgef hrt wird F r den ersten Fall k nnen Sie Ihren Boot Loader so konfigurieren dass er den Originalkernel l dt wenn ein Fehler auftritt f r weiterf h rende Informationen sollten Sie Remotely rebooting Debian GNU Linux machines http www debian administration org article 70 lesen Im zweiten Fall m ssen Sie ein Skript verwenden das die Netzwerkverbindungen testen kann und berpr ft ob der Ker nel das Netzwerksystem korrekt gestartet hat und wenn das nicht geschehen ist das System neu startet Dies sollte b se berraschungen verhindern wie wenn man den Kernel aktua lisiert und dann nach einem Reboot merkt dass die Netzwerkhardware nicht richtig erkannt oder konfiguriert wurde und man daher eine weite Strecke zur cklege
116. SSH Abschnitt dass chroot nicht funktioniert wenn die Option nodev mit der Partition verwendet wird und auf das aktuelle ssh Paket mit dem chroot Patch Vie len Dank an Lutz Broedel f r diese Hinweise Ausbesserung eines Tippfehlers der von Marcos Roberto Greiner entdeckt wurde md5sum sollte shalsum im Code Schnipsel sein F gte Jens Seidels Patch ein der eine Anzahl von Paketnamen und Tippfehlern verbes serte Kleine Aktualisierung des Werkzeugabschnitts entfernte Werkzeuge die nicht l nger verf gbar sind und f gte einige neue hinzu Schrieb Teile des Abschnitts neu in dem es darum geht wo und in welchen Forma ten dieses Dokument erh ltlich ist die Webseite stellt eine PDF Version zur Verf gung Merkte auch an dass Kopien auf anderen Seiten und bersetzungen veraltet sein k nn ten viele der Ireffer auf Google f r dieses Handbuch auf anderen Seiten sind veraltet 1 6 8 Version 3 4 August September 2005 Anderung von Javier Fern ndez Sanguino Pe a Verbesserte die Erh hung der Sicherheit nach der Installation im Zusammenhang mit der Kernelkonfiguration f r den Schutz der Netzwerkebene mit der Datei sysctl conf Wurde von Will Moy zur Verf gung gestellt Verbesserte den Abschnitt ber gdm mit Hilfe von Simon Brandmair Ausbesserungen von Tippfehlern die von Frederic Bothamy und Simon Brandmair ent deckt wurden Verbesserungen im Abschnitt Nach der Installation im Zusammenhang wie MD5 Summen
117. Schalten Sie im BIOS das Booten von Diskette CD ROM ab Setzen Sie ein LILO bzw GRUB Passwort etc lilo conf bzw boot grub menu 1st stellen Sie sicher dass die LILO oder GRUB Konfigurationen nicht einsehbar sind e Partitionierung Legen Sie Daten die von Nutzern geschrieben wurden Daten die nicht zum System geh ren und sich st ndig ndernde Laufzeitdaten auf eigenen getrennten Partitio nen ab Setzen Sie die Mount Optionen nosuid noexec nodev in etc fstab bei ext2 3 Partitionen die keine ausf hrbaren Programme enthalten sollten wie zum Beispiel home oder tmp e Passwort Hygiene und Login Sicherheit Wahlen Sie ein gutes Root Passwort Benutzen Sie Shadow und MD5 Passworter Installieren und benutzen Sie PAM Kapitel B Checkliste der Konfiguration 232 F gen Sie die Unterst tzung von PAM MD5 hinzu und stellen Sie sicher allgemein gesprochen dass die Eintr ge in den etc pam d Dateien die Zugriff auf die Maschine gew hren das zweite Feld in der pam d Datei auf requisite oder required gesetzt haben ndern Sie etc pam d login so dass nur lokale Root Logins erlaubt wer den Markieren Sie au erdem autorisierte ttys in etc security access conf und richten Sie diese Datei berhaupt so ein dass Root Logins so weit wie m g lich eingeschr nkt werden F gen Sie pam_limits so hinzu wenn Sie Einschr nkungen pro Benutzer vo
118. Seite Pakete die ein Frontend f r apt anbieten m ssen ver ndert wer den um an diese neue F higkeit angepasst zu werden Das gilt f r aptitude das ver n dert http lists debian org debian devel1 2005 03 msg02641 html wurde um zu dieser Vorgehensweise zu passen Frontends die bekannterma en zurzeit mit dieser F higkeit umgehen k nnen sind aptitude und synaptic Die Signierung von Paketen wurde innerhalb des Debian Projekts ausf hrlich diskutiert Mehr Informationen hierzu finden Sie unter http www debian org News weekly 2001 8 und http www debian org News weekly 2000 11 7 4 2 Secure Apt Die Ver ffentlichung von apt 0 6 das seit Debian 4 0 Etch verf gbar ist enth lt apt secure auch als Secure Apt bekannt das ein Werkzeug ist mit dem ein Systemadministrator die Inte grit t von heruntergeladenen Paketen mit dem oben dargestellten Verfahren berpr fen kann Diese Ver ffentlichung enth lt das Werkzeug apt key um neue Schl ssel zum Schl ssel bund von apt hinzuzuf gen welcher standardm ig nur den aktuellen Signierungsschl ssel des Debian Archivs enth lt Diese Ver nderungen basieren auf dem Patch f r apt verf gbar in Fehler 203741 http bugs debian org cgi bin bugreport cgi bug 203741 der diese Erweiterung zur Verf gung stellt Secure Apt berpr ft die Distribution mit der Release Datei Dies wurde schon unter Uber pr fung der Distribution mit der Release Datei auf der
119. Sie sehen was Sie einstellen k nnen und was die Optionen sind Ver nderungen werden vorgenommen indem sbin sysctl w variable value ausgef hrt wird vergleiche sysct1 8 Nur in seltenen F llen m ssen Sie hier etwas bearbeiten Aber auch hier k nnen Sie die Sicherheit erh hen Zum Beispiel net ipv4 icmp_echo_ignore_broadcasts 1 Dies ist ein Windows Emulator weil es sich wie Windows bei Rundrufen Broadcast Ping ver h lt wenn es auf 1 gesetzt wird Das bedeutet dass ICMP Echo Anfragen die an die Rundru fadresse geschickt werden ignoriert werden Anderenfalls macht es gar nichts Falls Sie verhindern wollen dass Ihr System auf ICMP Echo Anfragen antwortet m ssen Sie nur diese Konfigurationsoption anschalten net ipv4 icmp_echo_ignore_all 1 Verwenden Sie Folgendes um Pakete mit unm glichen Adressen erzeugt durch falsche Rou ten in Ihrem Netzwerk zu protokollieren proc sys net ipv4 conf all log_martians 1 F r weiterf hrende Informationen dazu welche Sachen mit proc sys net ipv4 x an gestellt werden k nnen sollten Sie usr src linux Documentation filesystems proc txt lesen Alle Optionen werden gr ndlich in usr src linux Documentation networking ip sysctl txt beschrieben to Debian kopiert das Paket kernel source version die Kernelquellen nach usr src kernel source version tar bz2 Ersetzen Sie einfach version mit der installierten Kernelversion Kapitel 4 Nach der Install
120. Sie sich ausgeschlossen haben zu korrigieren FIXME This needs DNS to be working properly since it is required for security debian org to work You can add security debian org to etc hosts but now it is a CNAME to several hosts there is more than one security mirror lWie z B knockd Alternativ dazu k nnen Sie auch eine separate Konsole ffnen und das System nachfragen lassen ob sich jemand auf der Gegenseite befindet Wenn keine Eingabe erfolgt werden die Firewall Regeln zu r ckgesetzt Ein Beispiel daf r ist bin bash while true do read n 1 p re you there t 30 ayt if z ayt then break fi done Reset the firewall chain user is not available echo echo Resetting firewall chain iptables F iptables P INPUT ACCEPT iptables P FORWARD ACCEPT iptables P OUTPUT ACCEPT exit 1 Selbstverst ndlich m ssen Sie alle Hintert ren abschalten ehe Sie Ihr System in Betrieb nehmen iptables A INPUT m state state ESTABLISHED RELATED j ACCEPT Kapitel F Schutz der Sicherheitsaktualisierung durch eine Firewall 247 FIXME this will only work with HTTP URLs since ftp might need the ip_conntrack_ftp mo dule or use passive mode Kapitel F Schutz der Sicherheitsaktualisierung durch eine Firewall 248 249 Anhang G Chroot Umgebung f r SSH Es ist eine schwere Aufgabe eine eingeschr nkte Umgebung f r SSH zu erstellen Das liegt zum einen an seinen Abh ngigkeiten und zum
121. Sie sollten Squid auch entsprechend Ihren System Ressourcen konfigurieren inklusive Cache Speicher Option cache_mem Lage der gecachten Dateien und der verwendeten Speicher menge auf der Platte Option cache_dir Man beachte dass es bei ungeeigneter Konfiguration vorkommen kann dass jemand eine Mail ber Squid weiterleitet da die Protokolle HTTP und SMTP ein hnliches Design haben Squids Standardkonfiguration verweigert Zugriffe auf Port 25 Wenn Sie Verbindungen an Port 25 erlauben wollen fiigen Sie ihn einfach zu der Safe_ports Liste hinzu Aber dies ist NICHT empfohlen Passendes Aufsetzen und Konfigurieren des Proxy Cache Servers ist nur ein Teil der Absiche rung Ihrer Seite Eine andere notwendige Aufgabe ist es Squids Log Dateien zu analysieren um sicher zu gehen dass alles so arbeitet wie es sollte Es gibt ein paar Pakete in Debian GNU Linux die einem Administrator hierbei helfen k nnen Die folgenden Pakete sind in Debian 3 0 Woody und Debian 3 1 Sarge verf gbar e calamaris Log Datei Analysator f r Squid oder Oops Proxy Log Dateien e modlogan Ein modularer Log Datei Analysator e sarg Squid Analysis Report Generator e squidtaild Squid Log Beobachtungsprogramm Wenn Squid im Accelerator Mode betrieben wird agiert er auch als Web Server Akti vieren dieser Option erh ht die Komplexit t des Codes was ihn weniger vertrauenswiir dig macht Standardm ig ist Squid nicht dazu konfiguriert als Web
122. Sind Sie sich sicher auf Seite 215 zu finden 11 2 Anlegen von Sicherheitskopien Ihres Systems wenn Sie sich sicher sind dass das System kompromittiert wurde vergessen Sie nicht dass Sie weder der installierten Software noch irgendwelchen Informationen die es an Sie liefert vertrauen k nnen Anwendungen k nnten von einem Trojaner befallen sein Kernel Module k nnten installiert worden sein usw Am besten ist es eine komplette Sicherheitskopie Ihres Dateisystems mittels dd zu erstel len nachdem Sie von einem sicheren Medium gebootet haben Debian GNU Linux CD ROMs k nnen dazu n tzlich sein da sie auf Konsole zwei eine Shell anbieten nachdem die Installati on gestartet wurde mit Alt 2 und Enter aktivieren Sie sie Von dieser Shell aus sollten Sie eine Sicherheitskopie m glichst auf einem anderen Host erstellen vielleicht auf einen Netzwerk File Server ber NFS FTP Dadurch kann eine Analyse des Einbruchs oder eine Neuinstalla tion durchgef hrt werden w hrend das betroffene System offline ist Wenn Sie sich sicher sind dass es sich lediglich um ein trojanisiertes Kernel Modul handelt k nnen Sie versuchen das Kernel Image von der Debian CD ROM im rescue Modus zu laden Stellen Sie sicher dass Sie im single Modus starten so dass nach dem Kernel keine weiteren Trojaner Prozesse gestartet werden Das ist auch das Werkzeug mit dem die CD ROMs f r das Projekt Gibraltar http www gibraltar at erstellt werden
123. Stromkabel Kapitel 11 Nach einer Kompromittierung Reaktion auf einem Vorfall 196 benutzen um eine solche CD ROM zu erstellen Auch die CD ROM von FIRE http biatchux dmzs com fr her als Biatchux bekannt k nnte hilfreich sein da diese Live CD ROM forensische Werkzeuge enth lt die in solchen Situationen n tzlich sind Es gibt noch kein Programm wie dieses das auf Debian basiert Es gibt auch keinen leichten Weg eine CD ROM mit Ihrer Auswahl von Debian Paketen und mkinitrd cd zu erstellen Daher werden Sie die Dokumentation lesen m ssen wie Sie Ihre eigenen CD ROMs machen Wenn Sie eine Kompromittierung wirklich schnell reparieren wollen sollten Sie den kompro mittierten Rechner aus dem Netzwerk entfernen und das Betriebssystem von Grund auf neu installieren Dies k nnte nat rlich nicht sehr wirkungsvoll sein da Sie nicht erfahren wie der Eindringling zuvor Root Rechte bekommen hat Um das herauszufinden m ssen Sie alles pr fen Firewall Integrit t der Dateien Log Host Log Dateien und so weiter Weitere Informatio nen was Sie nach einem Einbruch unternehmen sollten finden Sie in CERT s Steps for Recove ring from a UNIX or NT System Compromise http www cert org tech_tips root_ compromise html oder in Sans Incident Handling Guide http www sans org y2k DDoS htm Einige h ufige Fragen wie mit einem gehackten Debian GNU Linux System umzugehen ist sind unter Mein System ist angreifbar
124. System erlauben Im Gegensatz zu den gew hnlichen Rechten werden diese Attribute nicht vom ge br uchlichen Befehl 1s 1 angezeigt und k nnen auch nicht mit chmod ge ndert werden Um sie zu verwalten brauchen Sie zwei weitere Programme n mlich lsattr und chattr im Paket e2fsprogs Beachten Sie dass das bedeutet dass diese Attribute normalerweise bei einem Backup des Systems nicht gespeichert werden Wenn Sie also eines ver ndern k nnte es sich lohnen die aufeinander folgenden chatt r Befehle in einem Skript zu speichern damit Sie sie sp ter wieder zuweisen k nnen falls Sie ein Backup zur ckspielen m ssen Unter allen Attributen werden die zwei die f r die Erh hung der Sicherheit am bedeutendsten sind mit den Buchstaben i und a bezeichnet Sie k nnen nur vom Superuser vergeben oder entfernt werden e Das Attribut i immutable unver nderlich Eine Datei mit diesem Attribut kann we der ver ndert noch gel scht oder umbenannt werden nicht einmal vom Superuser Auch ein Link auf sie kann nicht angelegt werden e Das Attribut a append anf gen Dieses Attribut hat den gleichen Effekt f r das Attribut immutable allerdings mit der Ausnahme dass Sie immer noch die Datei im Anf gen Modus ffnen k nnen Das bedeutet dass Sie ihr immer noch Inhalt hinzuf gen aber den vorhanden Inhalt nicht ver ndern k nnen Dieses Attribut ist besonders f r die Protokolldateien n tzlich die unter var l
125. TCP wurden entwickelt als es noch keine echten Paket filter gab aber Zugangskontrollen notwendig waren Trotzdem sind sie immer noch hoch in teressant und n tzlich Ein TCP Wrapper erlaubt Ihnen einem Host oder einer Domain einen Dienst anzubieten oder zu verweigern und standardm ig Zugriff zu erlauben oder zu ver weigern das alles wird auf der Anwendungsebene durchgef hrt Wenn Sie mehr Informatio nen haben m chten sehen Sie sich hosts_access 5 an Viele der unter Debian installierten Dienste e werden entweder durch den TCP Wrapper Service t cpd aufgerufen e oder wurden mit libwrapper Bibliothek f r TCP Wrapper Unterst tzung kompiliert Einerseits werden Sie bei manchen Diensten einschlie lich telnet ftp netbios swat und finger die in etc inetd conf konfiguriert werden sehen dass die Konfigurati onsdatei zuerst usr sbin tcpd aufruft Andererseits selbst wenn ein Dienst nicht ber den inetd Superdaemon ausgef hrt wird kann die Unterst tzung von Tcp Wrapper ein kompiliert werden Dienste die unter Debian mit TCP Wrappern kompiliert wurden sind ssh portmap in talk rpc statd rpc mountd gdm oaf der GNOME Aktivierungs Daemon nessus und viele andere 2 Um herauszufinden welche Pakete TCP Wrapper benutzen versuchen Sie Folgendes apt cache rdepends libwrap0 Beachten Sie bitte Folgendes wenn Sie tcpchk ein sehr n tzliches Programm zur ber pr fung der TCP Wrapper Konfig
126. T_SYSTEM_UID echo SLINE cut f2 d fi D I LAST_SYSTEM_UID LAST_SYSTEM_UID echo LINE cut f2 d D I ii esac done Remove system account if necessary CREATEDUSER server_user Interessante Diskussionen zu diesem Thema finden sich in http lists debian org debian mentors 2004 10 msg00338 html und http lists debian org debian devel 2004 05 msg01156 html Unter Umst nden wird er als dh_adduser in debhelper enthalten sein Sehen Sie sich dazu 81967 http bugs debian org 81697 291177 http bugs debian org 291177 und 118787 http bugs debian org 118787 an Kapitel 9 Der gute Umgang von Entwicklern mit der Sicherheit des OS 178 if n SFIST_SYSTEM_UID amp amp n SLAST_SYSTEM_UID then if USERID getent passwd SCREATEDUSER cut f 3 d then if n SUSERID then if SFIST_SYSTEM_UID le SUSERID amp amp SUSERID le SLAST_SYSTEM_UID then echo n Removing SCREATEDUSER system user deluser quiet SCREATEDUSER true echo done fi fi fi Remove system group if necessary CREATEDGROUP server_group FIRST_USER_GID grep USERS_GID etc adduser conf cut f2 d Test if n FIST_USER_GID then if GROUPGID getent group CREATEDGROUP c t f 3 d ir Yz then
127. VE Kompatibilitit si escadre rop i e eE E a 139 7 3 Die Infrastruktur der Sicherheit bei der Paketerstellung in Debian 140 7 3 1 Leitfaden ber Sicherheitsaktualisierungen f r Entwickler 142 24 Paketsignicrung WEDER A AC ug ee ne ea ee e 145 74 1 Die aktuelle Methode zur Pr fung von Paketsignaturen 145 Tie TE AR eroi ee ee u Bra eh ee ey nk 146 7 4 3 berpr fung der Distribution mit der Release Datei 147 7 4 4 Pr fung von Debian fremden Quellen 2 2 zur 2 2 0u 2 es 160 7 4 5 Alternativer Entwurf zur Einzelsignierung von Paketen 161 Sicherheitswerkzeuge in Debian 163 8 1 Programme zur Fernpr fung der Verwundbarkeit 163 8 2 Werkzeuge zum Scannen von Netzwerken 22 8 25 3 2 2 eee a 164 Do Interne a ane a ee ren ae ea eS 165 84 Testen des Quellcodes 165 8 5 Virtual Private Networks virtuelle private Netzwerke 165 851 Pointto Point Tunneling A i ccs A Bere rare 166 8 6 Infrastruktur f r ffentliche Schl ssel Public Key Infrastructure PKI 167 8 7 SSL Infrastruktur 24 234 Arie 168 Oo APUV TORTI gosa rd ee A b EE ee EN Se 168 e e Bu eee boot Pee a a Er E a Eee a ws 170 Der gute Umgang von Entwicklern mit der Sicherheit des OS 173 9 1 Das richtige Vorgehen f r die Nachpr fung der Sicherheit und Gestaltung 173 9 2 Benutzer und Gruppen f r Daemons erstellen EE deve ds 175 INHALTSVERZEICHNIS vili 10 Vor der Kompromittier
128. Werkzeug zur Erkennung von Eindringlin gen in Ihr Netzwerk Kapitel B Checkliste der Konfiguration 234 Installieren Sie snort oder ein hnliches Werkzeug zur Erkennung von Eindringlin gen in Ihr Netzwerk Verzichten Sie falls m glich auf NIS und RPC Abschalten von portmap e Angelegenheiten mit Richtlinien Kl ren Sie die Nutzer ber das Wie und Warum Ihrer Richtlinien auf Wenn Sie etwas verboten haben das auf anderen Systemen normalerweise verf gbar ist stel len Sie Dokumentation bereit die erkl rt wie man die gleichen Resultate erreicht indem man andere sichere Mittel anwendet Verbieten Sie die Nutzung von Protokollen die Klartext Passw rter benutzen telnet rsh und Freunde ftp imap pop http Verbieten Sie Programme die SVGAlib benutzen Benutzen Sie Disk Quotas e Bleiben Sie ber Sicherheitsangelegenheiten informiert Abonnieren Sie sicherheitsrelevante Mailinglisten Richten Sie Sicherheitsaktualisierungen f r apt ein f gen Sie etc apt sources list einen Eintrag oder Eintr ge f r http security debian org hin zu Vergessen Sie auch nicht regelm ig apt get update apt get upgrade vielleicht als Cron Job laufen zu lassen wie unter Ausf hren von Sicherheits updates auf Seite 48 beschrieben 235 Anhang C Aufsetzen eines autonomen IDS Sie k nnen sehr leicht eine Debian Box als eigenst ndiges Eindringlings Erkennungs Syst
129. agen damit die Bibliothek global geladen wird Seien Sie dennoch vorsichtig da das Software unbrauchbar machen kann besonders Programme die mit der alten 1ibc5 verkn pft sind Sie sollten also zuerst die gemeldeten Fehlerberich te http bugs debian org libsafe lesen und die kritischsten Programme auf Ihrem System mit dem Programm zum Einh llen von libsafe testen Wichtiger Hinweis Der Schutz durch 1ibsafe k nnte im Moment nicht wirkungsvoll sein wie es in 173227 http bugs debian org 173227 beschrieben wird Testen Sie es gr nd lich bevor Sie es in einer produktiven Umgebung einsetzen und verlassen Sie sich nicht aus schlie lich darauf um Ihr System zu sch tzen 4 14 3 Pr fprogramme f r Puffer berl ufe Zur Nutzung von Werkzeugen zum Aufsp ren von Puffer berl ufen ben tigen Sie in je dem Fall Programmiererfahrung um den Quellcode zu reparieren und neu zu kompilie ren Debian stellt beispielsweise b fbt est er einen berlauftester der Programme per Brute Force durch Testen aller M glichkeiten nach berl ufen der Kommandozeile und von Um gebungsvariablen durchtestet bereit Andere interessante Pakete sind auch rats pscan flawfinder und splint 4 15 Sichere bertragung von Dateien W hrend der normalen Systemadministration m ssen Sie immer mal wieder Dateien auf Ihr System spielen oder von diesem holen Auf sichere Art und Weise Dateien von einem Host zu einem anderen zu kopieren wird durch di
130. ale dists Struktur benutzen oder ndern Sie das Skript so dass es auch mit denen funktioniert e Ignorieren Sie die Tatsache dass Sicherheitsaktualisierungen von Debian keine signierten Release Dateien haben und das Quelldateien noch keine richtigen Pr fsummen in der Release Datei haben e Bereiten Sie sich darauf vor zu pr fen dass die richtigen Quellen durch den richtigen Schl ssel signiert wurden Dies ist der Beispielscode f r apt check sigs Die neuste Fassung ist unter http people debian org ajt apt check sigs erh ltlich Dieser Code befindet sich im Moment noch im Beta Stadium F r weitere Informationen sollten Sie http lists debian org debian devel 2002 debian devel 200207 msg00421 html lesen 0Entweder weil Sie Stable Sarge oder eine ltere Ver ffentlichung verwenden oder weil Sie nicht die neuste Version von Apt einsetzen wollen obwohl wir das Testen wirklich sch tzen w rden echo OK Kapitel 7 Die Infrastruktur f r Sicherheit in Debian 155 bin bash Copyright c 2001 Anthony Towns lt ajt debian org gt This program is free software you can redistribute it and or modify it under the terms of the GNU General Public License as published by the Free Software Foundation either version 2 of the License or at your option any later version This program is distributed in the hope that it will be useful
131. alout Voller und direkter Zugriff auf serielle Schnittstellen Mitglieder dieser Gruppen k nnen Modems rekonfigurieren sich irgendwo einw hlen usw e dip Der Name der Gruppe steht f r Dial up IP Mitglied der Gruppe dip zu sein er laubt Ihnen Programme wie ppp dip wvdial usw zu benutzen um eine Verbindung herzustellen Die Nutzer in dieser Gruppe k nnen das Modem nicht konfigurieren Sie k nnen lediglich Programme aufrufen die es benutzen e fax Erlaubt es den Mitgliedern Fax Software zu benutzen um Faxe zu senden und zu empfangen e voice Voicemail n tzlich f r Systeme die Modems als Anrufbeantworter benutzen e cdrom Diese Gruppe kann dazu benutzt werden einer bestimmen Menge von Nutzern Zugriff auf CD ROM Laufwerke zu geben e floppy Diese Gruppe kann dazu benutzt werden einer bestimmen Menge von Nutzern Zugriff auf Diskettenlaufwerke zu geben e tape Diese Gruppe kann dazu benutzt werden einer bestimmen Menge von Nutzern Zugriff auf Bandlaufwerke zu geben e sudo Mitglieder dieser Gruppe m ssen ihr Passwort nicht eingeben wenn sie sudo be nutzen Siehe usr share doc sudo OPTIONS e audio Diese Gruppe kann dazu benutzt werden einer bestimmen Menge von Nutzern Zugriff auf jedes Audioger t zu geben e src Dieser Gruppe geh ren die Quellcodes einschlie lich der Dateien in usr src Sie kann benutzt werden um einem bestimmten Nutzern die M glichkeit zu bieten Quell code des Systems zu
132. alprogramm schneller verf gbar sind dagegen m s sen andere Versionen wie die im Stable Zweig normalerweise zur ckportiert werden Sie k nnen ver ffentlichte Verwundbarkeiten f r Testing und Unstable im Security Bug Tracker http security tracker debian net tracker einsehen 12 3 9 Ich verwende eine ltere Version von Debian Wird sie vom Debian Sicherheitsteam unterst tzt Nein Ungl cklicherweise kann das Sicherheitsteam von Debian nicht sowohl die Stable Ver ffentlichung und inoffiziell auch Unstable als auch andere ltere Ver ffentlichungen handhaben Sie k nnen allerdings Sicherheitsaktualisierungen f r eine bestimmte Zeitspan ne normalerweise einige Monate nach der Ver ffentlichung einer neuen Debian Distribution erwarten 12 3 10 Wie bekommt Testing Sicherheitsaktualisierungen Sicherheitsaktualisierungen gelangen ber Unstable in die Testing Distribution Normalerwei se werden sie mit einer hohen Priorit t hochgeladen wodurch sich die Quarant ne auf zwei Kapitel 12 H ufig gestellte Fragen Frequently asked Questions FAQ 222 Tage reduziert Nach dieser Zeit gelangen die Pakete automatisch nach Testing wenn sie f r alle Architekturen gebaut worden sind und ihre Abh ngigkeiten in Testing erf llt werden k n nen Das Testing Sicherheitsteam http secure testing master debian net stellt ebenfalls Sicherheitsaktualisierungen in seinem Depot zur Verf gung wenn der normale Mi gratio
133. am Funktionieren hindern es sei denn der Firewall Code wird entfernt Beachten Sie dass ein Eindringling keinen Superuser Zugriff ben tigt um ferngesteuerte Trojaner zu instal lieren da es erlaubt ist sich an Ports zu binden wenn es sich nicht um einen privilegierten Port handelt und die F higkeiten Capabilities noch vorhanden sind Demzufolge w re ein passendes Firewall Setup eines mit einer standardm igen Deny Policy was also alles ablehnt was nicht ausdr cklich erlaubt ist und weiterhin e Eingehende Verbindungen werden nur zu lokalen Diensten von erlaubten Maschinen gestattet e Ausgehende Verbindungen werden nur von Diensten erlaubt die auf Ihrem System be nutzt werden DNS Web Surfen POP E Mail e Die Forward Regel verbietet alles es sei denn andere Systeme werden gesch tzt siehe dazu unten e Alle anderen eingehenden und ausgehenden Verbindungen werden abgelehnt ipchains und iptables ist dass letzteres auf stateful packet inspection zustandsbehaftete Paketuntersuchung beruht so dass Ihnen sicherere und einfacher zu erstellende Filterkonfigurationen zur Verf gung stehen ltere und nun nicht l nger unterst tzte Debian Ver ffentlichungen die den Kernel 2 0 einsetzen ben tigten einen geeigneten Kernel Patch Im Gegensatz zu pers nlichen Firewalls f r andere Betriebssysteme stellt Debian GNU Linux noch keine Firewall Erstellungs Schnittstelle zur Verf gung die Regeln erstel
134. amme an oder starten Sie sie erneut und rufen dann Post Invoke manu ell auf Achtung Das bedeutet dass Sie wahrscheinlich jedes Mal Ihre Sitzung von X falls Sie eine laufen haben neu starten m ssen wenn Sie ein gr eres Upgrade Ihres Systems durch f hren Sie m ssen entscheiden ob ein nur lesbares usr zu Ihrem System passt Vergleichen Sie auch diese Diskussion auf debian devel ber nur lesbares usr http lists debian org debian devel 2001 11 threads htm1 00212 Kapitel 4 Nach der Installation 58 4 10 Den Benutzern einen sicheren Zugang bereitstellen 4 10 1 Nutzerauthentifizierung PAM PAM Pluggable Authentication Modules erlauben dem Systemadministrator auszuw hlen wie eine Anwendung Benutzer authentifiziert Beachten Sie dass PAM nichts machen kann solange die Anwendung nicht mit Unterst tzung f r PAM kompiliert wurde Die meisten Anwendungen die mit Debian geliefert werden haben diese Unterst tzung eingebaut Vor Version 2 2 hatte Debian keine Unterst tzung f r PAM Die derzeitige Standardkonfigurati on f r jeden Dienst der PAM benutzt ist es UNIX Authentifizierung zu emulieren lesen Sie usr share doc libpam0g Debian PAM MiniPolicy gz um mehr dar ber zu erfah ren wie PAM Dienste unter Debian arbeiten sollten Jede Anwendung mit PAM Unterst tzung stellt eine Konfigurationsdatei unter etc pam d zur Verf gung in welcher Sie ihr Verhalten einstellen k nnen e welches Verfahren zur Aut
135. andard Verhalten bei initrd s linuxrc Die folgende Meldung wird erscheinen Press ENTER to obtain a shell waits 5 seconds Kapitel 4 Nach der Installation 54 Um dieses Verhalten zu entfernen m ssen Sie etc mkinitrd mkinitrd conf editieren und den Eintrag DELAY Anzahl Sekunden die das linuxrc Skript warten soll um den Nutzer Eingriffe zu erlauben bevor das System hochgefahren wird DELAY 0 setzen Erstellen Sie anschlie end Ihr Ramdisk Image neu Dies k nnen Sie zum Beispiel so tun cd boot mkinitrd o initrd img 2 4 18 k7 lib modules 2 4 18 k7 oder vorzugsweise so dpkg reconfigure kernel image 2 4 x yz 4 7 Einschrankender Konsolen Zugang Manche Sicherheitsregelwerke k nnten Administratoren dazu zwingen sich erst als Benut zer mit ihrem Passwort auf dem System einzuloggen und dann Superuser zu werden mit su oder sudo Solche eine Policy ist in Debian in der Datei etc login defs oder etc securetty falls Sie PAM verwenden implementiert e In login defs ndern Sie die CONSOLE Variable die eine Datei oder eine Liste von Terminals definiert an denen sich Root einloggen darf e In securetty entfernen Sie oder f gen Sie Terminals hinzu auf die Root zugreifen darf Falls Sie nur lokalen Zugang zur Konsole erlauben wollen ben tigen Sie console ttyX und vc X falls Sie die devfs Schnittstelle verwenden Sie sollten auch ttySX hin zuf gen wenn Sie
136. angemessene Zugriffsrech te haben zum Beispiel 640 mit einer passenden Gruppen Zugeh rigkeit wie adm Kapitel 4 Nach der Installation 64 SYSLOG_SU_ENAB yes Dies schaltet das Mitprotokollieren von su Versuchen im Syslog ein Sehr wichtig auf ernst haften Maschinen aber beachten Sie dass dies auch die Privatsph re verletzen kann SYSLOG_SG_ENAB yes Das gleiche wie bei SYSLOG_SU_ENAB jedoch f r das Programm sg MD5_CRYPT_ENAB yes Wie bereits erkl rt reduzieren MD5 Summen Passw rter gro artig das Problem lexikalischer Attacken da Sie l ngere Passw rter benutzen k nnen Wenn Sie slink benutzen lesen Sie die Dokumentation zu MD5 bevor Sie diese Option einschalten Ansonsten wird dies in PAM gesetzt PASS_MAX_LEN 50 Wenn Sie MD5 Passworter in Ihrer PAM Konfiguration aktiviert haben dann sollten Sie diese Variable auf denselben Wert setzen den Sie dort benutzt haben 4 10 4 ftp Einschr nken Editieren von etc ftpusers Die Datei etc ftpusers enth lt eine Liste von allen Nutzern denen es nicht erlaubt ist sich auf dem Rechner mit ftp einzuloggen Benutzen Sie diese Datei nur wenn Sie wirklich ftp er lauben wollen wozu im Allgemeinen nicht geraten wird da es Klartext Passw rter benutzt Wenn Ihr ftp Daemon PAM unterst tzt k nnen Sie dies ebenfalls benutzen um Nutzern be stimmte Dienste zu erlauben oder zu verbieten FIXME FEHLER Ist es ein Fehler dass ftpusers in Debian standardm ig nicht d
137. ar lib apt lists SFILE we c lt var lib apt lists SF x echo SX sed s x s asi g X echo X sed s s s asi Join if Sx Sy then echo SFILE gt gt BAD echo BAD 7 4 4 Pr fung von Debian fremden Quellen Beachten Sie dass wenn Sie die neuste Version von Apt mit Secure Apt einsetzen kein zusatz licher Aufwand auf Ihrer Seite notwendig sein sollte wenn Sie keine Debian fremden Quellen verwenden In diesen F llen erfordert apt get eine zus tzliche Best tigung Dies wird ver hindert wenn Release und Release gpg Dateien in den Debian fremden Quellen zur Ver f gung stehen Die Release Datei kann mit apt ftparchive ist in apt utils 0 5 0 und Kapitel 7 Die Infrastruktur f r Sicherheit in Debian 161 sp ter enthalten erstellt werden die Release gpg ist nur die abgetrennte Signatur Beide k nnen mit folgender einfacher Prozedur erstellt werden rm f dists unstable Release apt ftparchive release dists unstable gt dists unstable Release gpg sign ba o dists unstable Release gpg dists unstable Release 7 4 5 Alternativer Entwurf zur Einzelsignierung von Paketen Dieser zus tzliche Entwurf jedes Paket einzeln zu signieren erlaubt es Pakete zu pr fen selbst wenn sie nicht mehr in irgendeiner Packages Datei erw hnt werden Und so k nnen auch Pakete von Dritten f r die es nie eine Packages Datei gab unter Debian installiert wer den Dies wird ab
138. as man sich entfernt einloggen kann und das nicht von NIS NFS abh ngt e list Mailinglisten Archive und Daten geh ren diesem Nutzer und dieser Gruppe Man che Mailinglisten Programme laufen auch unter diesem Nutzer e irc Wird von irc Daemonen benutzt Ein statisch zugewiesener Nutzer wird nur wegen eines Fehlers in ircd ben tigt das beim Start SETUID auf sich selbst f r eine bestimmte UID ausf hrt e gnats e nobody nogroup Daemonen die keine eigenen Dateien haben laufen als Nutzer nobo dy und Gruppe nogroup Demzufolge sollten keine Dateien auf dem gesamten System diesem Nutzer oder dieser Gruppe geh ren Andere Gruppe die keinen dazugeh rigen Benutzer haben e adm Die Gruppe adm wird zu Zwecken der berwachung benutzt Mitglieder dieser Gruppe k nnen viele Dateien in var 1log lesen und die xconsole benutzen var log war fr her einmal usr adm und sp ter var adm daher der Name dieser Gruppe Kapitel 12 H ufig gestellte Fragen Frequently asked Questions FAQ 209 e tty TIY Ger te geh ren dieser Gruppe Die Befehle write und wall benutzen dies um auf die TTYs anderer Leute zu schreiben e disk Roh Zugriff auf Festplatten Gr tenteils quivalent zum Root Zugriff e kmem dev kmem und hnliche Dateien sind von dieser Gruppe lesbar Dies ist gr tenteils ein Relikt aus BSD Aber jedes Programm dass Lese Zugriff auf den Systemspei cher braucht kann so SETGID kmem gemacht werden e di
139. ass das System Scha den nimmt Eine m gliche Strategie ist das Ziel zuerst zu erreichen also ein LKM zu laden das dazu da ist das System vor anderen b swilligen LKMs zu sch tzen Eine andere Ma nahme ist es dem Kernel F higkeiten zu entziehen Zum Beispiel k nnen Sie aus dem Kernel vollst ndig die F higkeit von ladbaren Kernel Modulen entfernen Beachten Sie allerdings dass es Root Kits gibt die selbst in diesen F llen funktionieren Es gibt auch welche die direkt dev kmem Kernelspeicher manipulieren um sich zu verstecken Debian GNU Linux hat ein paar Pakete die dazu verwendet werden k nnen eine aktive Ver teidigung aufzusetzen e lcap eine benutzerfreundliche Schnittstelle um dem Kernel F higkeiten zu entziehen kernelbasierte Zugriffskontrolle um das System sicherer zu machen Beispielsweise wird das Ausf hren von lcap CAP_SYS_MODULE die F higkeit der ladbaren Modu le entfernen sogar f r Root Weitere etwas ltere Informationen zu Kernelf higkei ten finden Sie in Jon Corbets Abschnitt Kernel development http lwn net 1999 1202 kernel php3 auf LWN vom Dezember 1999 Wenn Sie diese vielen M glichkeiten auf Ihrem GNU Linux System nicht wirklich brauchen sollten Sie die Unterst tzung f r ladbare Module w hrend der Konfiguration des Kernels ab schalten Das erreichen Sie indem Sie einfach CONFIG_MODULES n w hrend des Konfigu ration Ihres Kernels oder in der Datei config festsetzen So werde
140. ass w hrend der Aktualisierung keine Eingabe verlangt wird Auf diese Weise k nnen Aktualisierungen nicht interaktiv durchgef hrt werden e berpr fen Sie die Ergebnisse der Ausf hrung von cron die an den Superuser gemailt werden sofern nicht die Umgebungsvariable MAILTO im Skript ge ndert wurde Eine sichere Alternative k nnte es sein die Option d oder download only zu verwen den Das hat zur Folge dass die ben tigten Pakete nur heruntergeladen aber nicht installiert werden Und wenn dann die Ausf hrung von cron zeigt dass das System aktualisiert werden muss kann das von Hand vorgenommen werden Um diese Aufgaben zu erf llen muss das System korrekt konfiguriert sein um Sicherheits aktualisierungen herunterzuladen Dies wurde in Ausf hren von Sicherheitsupdates auf Sei te 48 diskutiert Allerdings wird dieses Vorgehen ohne eine genaue Analyse nicht f r Unstable empfohlen da Sie Ihr System in einen unbrauchbaren Zustand bringen k nnen wenn sich ein gravierender Fehler in ein wichtiges Paket eingeschlichen hat und auf Ihrem System installiert wird Tes ting ist vor diesem Problem etwas besser gesch tzt da gravierende Fehler eine bessere Chan ce haben entdeckt zu werden bevor das Paket in den Testing Zweig wandert obwohl Ihnen trotzdem keine Sicherheitsaktualisierungen zur Verf gung stehen Wenn Sie eine gemischte Distribution haben also eine Installation von Stable mit einige Pa kete aus Testing od
141. ation 87 4 17 2 Konfiguration von Syncookies Diese Option ist ein zweischneidiges Schwert Auf der einen Seite sch tzt es Ihr System vor dem berfluten mit syn Paketen Auf der anderen Seite verletzt es definierte Standards RFCs net ipv4 tcp_syncookies 1 Wenn Sie das dauerhaft f r den Kernel festlegen wollen m ssen Sie in etc network options syncookies yes festlegen Jedes Mal wenn etc init d networking ausgef hrt wird was typischerweise beim Booten geschieht wird diese Option wirksam Dagegen wird folgendes nur eine einmalige Wirkung bis zum n chsten Neustart haben echo 1 gt proc sys net ipv4 tcp_syncookies Diese Option ist nur verf gbar wenn der Kernel mit CONFIG_SYNCOOKIES bersetzt wurde Alle Kernel von Debian wurden mit dieser Option kompiliert Sie k nnen das folgenderma en berpr fen sysctl A grep syncookies net ipv4 tcp_syncookies 1 Weitere Informationen zu TCP Syncookies finden Sie unter http cr yp to syncookies html 4 17 3 Absicherung des Netzwerks beim Hochfahren Wenn Sie die Netzwerkoptionen des Kernels konfigurieren m ssen Sie daf r sorgen dass sie bei jedem Neustart des Systems geladen werden Das nachfolgende Beispiel aktiviert neben vielen der oben vorgestellten Optionen auch noch ein paar andere n tzliche Optionen Tats chlich gibt es zwei M glichkeiten Ihr Netzwerk beim Booten einzurichten Sie k nnen entweder etc sysctl conf konfigurieren siehe sysct1 conf
142. auch wirklich tun m ssen Wenn Sie es m ssen werden Sie feststellen dass Debian viele Finger Daemonen zur Verf gung stellt hier die Ausgabe von apt cache search fingerd e cfingerd Konfigurierbarer finger Daemon e efingerd Ein weiterer Unix finger Daemon mit anpassbarer Ausgabe Kapitel 5 Absichern von Diensten die auf Ihrem System laufen 119 e ffingerd Ein sicherer finger Daemon e fingerd Remote User Informationsserver e xfingerd BSD hnlicher finger Daemon mit qmail Unterstiitzung ffingerd ist der empfohlene finger Daemon wenn Sie vorhaben einen ffentlichen Dienst anzubieten In jedem Fall sind Sie dazu angespornt wenn Sie ihn ber inetd xinetd oder tcp server laufend aufzusetzen Schr nken Sie die Anzahl der Prozesse die gleichzeitig laufen d r fen ein Schr nken Sie den Zugriff auf den Finger Daemon von bestimmten Hosts ein indem Sie tcp wrapper benutzen und lassen Sie ihn nur auf die Schnittstellen lauschen auf die er achten muss 5 10 Allgemeine chroot und suid Paranoia chroot isteine der m chtigsten M glichkeiten einen Daemon oder einen Benutzer oder einen anderen Dienst zu beschr nken Denken Sie einfach an ein Gef ngnis um Ihr Ziel das das Ziel nicht verlassen kann normalerweise es gibt aber einige Bedingungen die einem einen Aus bruch aus solch einem Gef ngnis gestatten Wenn Sie einem Benutzer oder einem Dienst nicht trauen k nnen Sie eine modifizierte root Umgebung f r ihn
143. auf ab sicher zu sein Sie ist aber nicht so paranoid wie andere Betriebssysteme die Dienste standardm ig abgeschaltet In jedem Fall muss der Syste madministrator die Sicherheit des System den lokalen Sicherheitsma st ben anpassen F r eine bersicht der Sicherheitsl cken von vielen Betriebssystemen sollten Sie sich die US CERT Statistik http www cert org stats cert_stats html ansehen oder sich selber Statistiken mit der National Vulnerability Database http nvd nist gov statistics cfm fr her ICAT erstellen Sind diese Daten n tzlich Es m ssen verschie dene Faktoren ber cksichtigt werden wenn die Daten interpretiert werden sollen Man sollte beachten dass diese Daten nicht dazu verwendet werden k nnen um die Verwundbarkeit eines Betriebssystems mit der eines anderen zu vergleichen Bedenken Sie au erdem dass sich einige registrierte Sicherheitsl cken im Zusammenhang mit Debian nur auf den Unstable Zweig also den nicht offiziell ver ffentlichten Zweig beziehen Zum Beispiel k nnte es auf Grundlage einiger Daten scheinen dass Windows NT sicherer ist als Linux Dies w re eine fragw rdige Annahme Das liegt daran dass Linux Distributionen normalerweise viel mehr An wendungen zur Verf gung stellen als Microsofts Windows NT Dieses Problem des Abz hlens von Sicherheits l cken wird besser in Why Open Source Software Free Software OSS FS Look at the Numbers http www dwheeler com oss_fs_why html sec
144. auf eine neue Version des Originalprogramms umzusteigen aber dies muss zuvor mit dem Sicherheits Team koordiniert werden 12 3 5 Was sind die Richtlinien f r ein repariertes Paket um auf securi ty debian org zu erscheinen Sicherheitsl cken in der Stable Distribution garantieren dass ein Paket zu security debian org hinzugef gt wird Alles andere tut das nicht Die Gr e der L cke ist hier nicht das wirkliche Problem blicherweise bereitet das Sicherheitsteam die Pakete gemeinsam mit dem Paket betreuer vor Sofern jemand ein Vertrauensw rdiger das Problem analysiert alle ben tigten Pakete bersetzt und diese an das Sicherheitsteam bermittelt dann k nnen auch sehr klei ne Sicherheitsreparaturen auf security debian org erscheinen Lesen Sie dazu bitte auch unten weiter Sicherheitsaktualisierungen dienen einem Zweck Eine Behebung f r eine Sicherheitsver wundbarkeit zu bieten Sie sind keine Methode um zus tzliche nderungen in das Stable Release einzubringen ohne diese die normale Point Release Prozedur durchmachen zu lassen 12 3 6 Was bedeutet lokal aus der Ferne Einige Ank ndigungen decken Verwundbarkeiten ab die nicht mit dem klassischen Schema von lokalen und Verwundbarkeiten aus der Ferne identifiziert werden k nnen Einige Ver wundbarkeiten k nnen nicht aus der Ferne ausgenutzt werden d h sie entsprechen nicht Kapitel 12 H ufig gestellte Fragen Frequently asked Questions FAQ 221 einem Dae
145. azu benutzen den Zugriff auf Ihr lokales System abzusichern und sogar um die Kommunikation von ihm nach Au en zu beschr nken Firewall Regeln k nnen auch dazu benutzt werden Prozesse zu sichern die nicht vern nftig konfiguriert werden k n nen um Dienste nicht einigen Netzwerken IP Adressen etc zur Verf gung zu stellen Dieser Schritt ist aber haupts chlich deshalb als letzter in dieser Anleitung weil es viel besser ist sich nicht alleine auf die F higkeiten der Firewall zu verlassen um ein System zu sch tzen Die Sicherheit eines Systems setzt sich aus mehreren Ebenen zusammen eine Firewall sollte die letzte sein wenn bereits alle Dienste abgeh rtet worden sind Sie k nnen sich sicherlich leicht eine Konfiguration vorstellen bei der ein System lediglich von einer eingebauten Fire wall gesch tzt wird und der Administrator gl ckselig die Firewall Regeln aus irgendwelchen Gr nden Probleme mit dem Setup Verdruss Denkfehler entfernt Dieses System w re weit ge ffnet f r Angriffe wenn es keine anderen Schutzma nahmen auf dem System gibt Andererseits k nnen Firewall Regeln auf dem lokalen System daf r sorgen dass b se Dinge nicht passieren Sogar wenn die bereitgestellten Dienste sicher konfiguriert sind kann eine Fi rewall vor Misskonfigurationen oder frisch installierten Diensten die noch nicht passend kon figuriert sind sch tzen Au erdem wird eine strenge Konfiguration nach Hause telefonierende Trojaner
146. barkeit ein Angriff 12 2 9 Das Programm X in Debian ist angreifbar was soll ich tun Nehmen Sie sich zuerst einen Augenblick Zeit um zu schauen ob die Sicherheitsl cke in 6f fentlichen Sicherheitsmailinglisten wie Bugtraq oder anderen Foren bekannt gemacht wurde Das Sicherheitsteam von Debian ist hinsichtlich dieser Listen auf dem Laufenden daher k nn te ihm dieses Problem bereits bekannt sein Leiten Sie keine weiteren Mafsnahmen ein wenn Sie schon eine Bekanntmachung auf http security debian org sehen Wenn anscheinend keine Informationen ver ffentlicht wurden schicken Sie bitte eine E Mail zu den betroffenen Paketen mit einer detaillierten Beschreibung der Verwundbarkeit Co de der dies best tigt ist auch in Ordnung an team security debian org mailto team security debian org Dort erreichen Sie das Sicherheitsteam von Debian 12 2 10 Laut der Versionsnummer eines Paketes l uft bei mir immer noch eine an greifbare Version Statt auf neue Ver ffentlichung zu aktualisieren portiert Debian sicherheitsrelevante Korrek turen zu der Version zur ck die in der Stable Ver ffentlichung enthalten ist Der Grund daf r ist dass sicher gegangen werden soll dass die Stable Ver ffentlichung so wenig wie m glich ver ndert wird Damit wird verhindert dass sich Dinge als Folge einer Sicherheitskorrektur unerwartet ndern oder kaputt gehen Ob Sie eine sichere Version eines Paketes benutzen stellen Sie fest indem Sie das
147. barkeit liefern falsche Positivmeldungen wenn sie auf Debian Systemen verwendet werden Das liegt daran dass sie nur die Version eines Softwarepakets berpr fen um herauszufinden ob es verwundbar ist Sie pr fen nicht ob tats chlich eine Sicherheitsl cke vorhanden ist Da Debian nicht die Version einer Software ndert wenn ein Paket repariert wird h ufig werden Ausbesserungen an neueren Ver ffent lichungen zur ckportiert neigen einige Werkzeuge dazu zu denken dass ein aktualisiertes Debian System verwundbar ist auch wenn das nicht der Fall ist Wenn Sie denken dass Ihr System auf dem aktuellen Stand der Sicherheitsaktualisierungen ist sollten Sie die Querverweise zu den Datenbanken mit Sicherheitsl cken in denen die DSAs ver ffentlicht sind vergleichen Sie dazu Debian Sicherheits Anktindigungen auf Seite 138 verwenden um falsche Positive auszusondern wenn das Programm das Sie verwenden CVE Referenzen enth lt 12 2 2 Ich habe in meinen Logfiles einen Angriff gesehen Ist mein System kom promittiert Ein Hinweis auf einen Angriff hei t nicht notwendigerweise dass Ihr System gehackt wurde Leiten Sie die blichen Schritte ein um festzustellen ob das System kompromittiert wurde sie he Nach einer Kompromittierung Reaktion auf einem Vorfall auf Seite 195 Selbst wenn Ihr System hinsichtlich des protokollierten Angriffs nicht verwundbar ist k nnte ein entschlosse ner Angreifer neben der von Ihnen en
148. based on what Vladimir sent to the debian security mailing list September 3rd 2001 Information on how logcheck is setup in Debian and how it can be used to setup HIDS Information on user accounting and profile analysis Included apt conf configuration for read only usr copied from Olaf Meeuwissen s post to the debian security mailing list New section on VPN with some pointers and the packages available in Debian needs content on how to setup the VPNs and Debian specific issues based on Jaroslaw Tabor s and Samuli Suonpaa s post to debian security Small note regarding some programs to automatically build chroot jails Kapitel 1 Einleitung 22 e New FAQ item regarding identd based on a discussion in the debian security mailing list February 2002 started by Johannes Weiss e New FAQ item regarding inetd based on a discussion in the debian security mailing list February 2002 e Introduced note on rcconf in the disabling services section e Varied the approach regarding LKM thanks to Philipe Gaspar e Added pointers to CERT documents and Counterpane resources 1 6 34 Version 1 99 Changes by Javier Fern ndez Sanguino Pe a e Added a new FAQ item regarding time to fix security vulnerabilities e Reorganised FAQ sections e Started writing a section regarding firewalling in Debian GNU Linux could be broade ned a bit e Fixed typos sent by Matt Kraai e Fixed DNS information e Added information on whisk
149. benutzen zu m ssen Die Gruppe staff ist gew hnlich f r Kundendienst und Junioradministratoren bestimmt und gibt ihnen die M g lichkeit Dinge in usr local zu erledigen und Verzeichnisse in home anzulegen 12 1 13 Warum gibt es eine neue Gruppe wenn ich einen neuen Nutzer anlege Oder warum gibt Debian jedem Nutzer eine eigene Gruppe Das Standardverhalten von Debian ist dass jeder Nutzer seine eigene pers nliche Gruppe hat Das traditionelle UN X Modell weist alle Benutzer der Gruppe users zu Zus tzliche Gruppe werden erstellt um den Zugang zu gemeinsam genutzten Dateien die mit verschiedenen Pro jektverzeichnissen verbunden sind einzuschr nken Die Dateiverwaltung wurde schwierig wenn ein einzelner Nutzer an verschiedenen Projekten arbeitete da wenn jemand eine Datei erstellte diese mit der prim ren Gruppe des Erstellers z B users verbunden war Das Modell von Debian l st dieses Problem indem es jedem Nutzer seine eigene Gruppe zu weist So wird mit einer korrekten Umask 0002 und mit dem SETGID Bit f r ein Projekt verzeichnis den Dateien die in diesem Verzeichnis erstellt werden automatisch die richtige Gruppe zugewiesen Das erleichtert die Arbeit von Menschen die an verschiedenen Projek ten arbeiten da sie nicht die Gruppe oder Umasks ndern m ssen wenn sie mit gemeinsam genutzten Dateien arbeiten Sie k nnen allerdings dieses Verhalten ver ndern indem Sie etc adduser conf modifi zieren
150. bschnitt ber Datenbanken hinzu ihre Standardwerte und wie man den Zugriff absichert e F ge einen Abschnitt ber den Nutzen von virtuellen Servern wie Xen u a hinzu e Erkl re wie Programme zur berpr fung der Integrit t verwendet werden AIDE inte grit oder samhain Die Grundlagen sind einfach und k nnten auch einige Verbesserun gen der Konfiguration enthalten 1 6 nderungs bersicht Changelog Geschichte 1 6 1 Version 3 11 Januar 2007 nderung von Javier Fern ndez Sanguino Pefia Vielen Dank an Francesco Poli f r die um fangreiche Durchsicht dieses Dokuments e Entfernte die meisten Verweise auf Woody da es nicht l nger im Archiv verf gbar ist und es daf r auch keine Unterst tzung der Sicherheit mehr gibt e Beschrieb wie Benutzer eingeschr nkt werden so dass sie nur Datei bertragungen durchf hren k nnen e F gte einen Hinweis auf die Entscheidung zur Umstufung vertraulicher Meldungen an Debian ein e Aktualisierte den Verweis auf die Anleitung zum Umgang mit Vorf llen e F gte einen Hinweis darauf ein dass Entwicklerwerkzeuge wie Compiler nicht mehr standardm ig in Etch installiert werden e Korrigierte den Verweis auf den Master Security Server e F gte einen Hinweis auf die Dokumentation zu APT secure ein e Verbesserte die Erl uterung der APT Signaturen e Kommentierte einige Stellen aus die auf noch nicht fertig gestellte Abschnitte der offizi ellen ffentlichen Schl ssel
151. c6 dev 2 531 564 cpp 3 3 391 346 manpages dev 081 408 flex 257 678 g 1 384 Hinweis virtuelles Paket linux kernel headers 1 371 2022 bin86 82 090 cpp 29 446 gcc 4 896 Hinweis virtuelles Paket g 3 3 1 778 880 bison 702 830 make 366 138 libstdc 5 3 3 dev 774 982 H ufig werden fremde Systeme nur deshalb gehackt weil Sie zu weiteren illegitimen Aktivit ten benutzt werden sollen DoS Attacken Spam geheime FTP Server DNS Schweinereien Der Angreifer m chte meist gar nicht an die vertraulichen Daten auf dem kompromittierten System herankommen Kapitel 3 Vor und w hrend der Installation 44 Dieses Verhalten wurde in den Ver ffentlichungen nach Sarge ver ndert F r weitere Informationen sehen Sie sich Fehler 301273 http bugs debian org cgi bin bugreport cgi bug 301273 und Fehler 301138 http bugs debian org cgi bin bugreport cgi bug 301138 an Wegen eines Fehlers im Installationssystem ist dies nicht geschehen wenn mit dem Installationssystem von Debian 3 0 Woody installiert wird 3 7 1 Entfernen von Perl Sie m ssen bedenken dass es nicht gerade einfach ist Perl von einem Debian System zu entfernen in der Tat kann es ziemlich schwierig werden da es von vielen Dienstprogram men benutzt wird perl base hat au erdem Priority required und das sagt eigentlich schon alles Es ist aber trotzdem machbar Allerdings k nnen Sie auf diesem System keine Perl Anwendung mehr laufen lassen A
152. ch um Logs des Honigtopfs zu einem entfernen Syslog Server zu schicken e snort um allen eingehenden Netzwerkverkehr auf den Honigtopf mitzuschneiden und die Angriffe zu erkennen e osh eine eingeschr nkte Shell mit Logging die unter SETUID Root l uft und verbesser te Sicherheit hat siehe den Artikel von Lance Spitzner weiter unten e Nat rlich alle Daemons die Sie auf dem falschen Honigtopfserver verwenden wollen Je nachdem welche Art von Angreifer Sie analysieren wollen k nnen Sie den Honigtopf abh rten und die Sicherheitsaktualisierungen einspielen oder eben nicht e Integrit tspr fer siehe Pr fung der Integrit t des Dateisystems auf Seite 84 und das Coroner s Toolkit t ct um nach dem Angriff eine Analyse durchzuf hren e honeyd und farpd um einen Honigtopf einzurichten der auf Verbindungen zu unge nutzten IP Adressen lauscht und diese an Skripte weiterleitet die echte Dienste simulie ren Sehen Sie sich auch iisemulator an e tinyhoneypot um einen einfachen Honigtopf Server mit gef lschten Diensten einzu richten Falls Sie kein System brig haben um die Honigt pfe und Systeme die das Netzwerk sch tzen und kontrollieren zu bauen k nnen Sie die Technologie zur Virtualisierung einsetzen die in xen oder uml User Mode Linux enthalten ist Wenn Sie diesen Weg w hlen m ssen Sie Ihren Kernel entweder mit kernel patch xen oder kernel patch uml patchen Sie k nnen mehr ber das Aufstel
153. ch gesch tztes Protokoll von Microsoft f r VPN Es wird unter Linux unterst tzt aber es sind einige schwere Sicherheitsprobleme bekannt F r weitere Informationen ber IPsec und PPTP lesen Sie bitte das VPN Masquerade HOWTO http www tldp org HOWTO VPN Masquerade HOWTO html ber PPP ber SSH das VPN HOWTO http www tldp org HOWTO VPN HOWTO html das Cipe Mini HOWTO http www tldp org HOWTO mini Cipe Masq html und das PPP und SSH Mini HOWTO http www tldp org HOWTO mini ppp ssh index htm l Es kann sich auch lohnen sich Yavipin http yavipin sourceforge net anzusehen Allerdings scheinen noch keine Pakete f r Debian verf gbar zu sein 8 5 1 Point to Point Tunneling Wenn Sie einen tunnelnden Server f r eine gemischte Umgebung sowohl Microsofts Betriebs system als auch Linux Clients zur Verf gung stellen wollen und IPsec keine M glichkeit ist da es nur in Windows 2000 und Windows XP enthalten ist k nnen Sie PoPToP Point to Point Tunneling Server verwenden Er wird vom Paket pptpd bereitgestellt Wenn Sie Microsofts Authentifikation und Verschl sselung mit dem Server verwenden wollen die im Paket ppp enthalten sind sollten Sie Folgendes aus der FAQ beachten Sie m ssen nur dann PPP 2 3 8 einsetzen wenn Sie zu Microsoft kompatible MSCHAPv2 MPPE Authentifikation und Verschl sselung haben wollen Der Grund daf r ist dass der aktuelle MSCHAPv2 MPPE Patch 19990813 gegen PPP 2 3 8 erstellt wur
154. che Pr fungen einzuf hren Informationen wie man libsafe installiert finden Sie hier http www Linux Sec net harden libsafe uhow2 txt e Verbessern Sie den Quellcode indem Sie Werkzeuge einsetzen die Teile finden die zu dieser Verwundbarkeit f hren k nnten e bersetzen Sie den Quellcode neu um vern nftige Pr fungen einzuf hren um ber l ufe zu verhindern Benutzen Sie dazu den Stack Smashing Protector SSP http www research ibm com trl projects security ssp Patch f r GCC der von Adamantix http www adamantix org verwendet wird Debian GNU Linux liefert bis einschlie lich der Release 3 0 Software um alle dieser Metho den bis auf den Schutz bei der bersetzung des Quellcodes das wurde aber schon in Fehler 213994 http bugs debian org 213994 nachgefragt zu implementieren Beachten Sie dass selbst wenn Debian einen Compiler zur Verf gung stellen w rde der Schutz vor Stapel und Puffer berl ufen bieten w rde so doch alle Pakete neu bersetzt wer den m ssten um diese Eigenschaft einzuf hren Tats chlich ist das die Aufgabe der Distri bution Adamantix unter anderen F higkeiten Die Auswirkungen dieses neuen Features auf die Stabilit t der Software muss aber noch ermittelt werden einige Programme und einige Prozessoren werden vielleicht deswegen nicht mehr funktionieren Seien Sie auf jeden Fall gewarnt dass selbst diese Umgehungen des Problems nicht vor Puf fer berl ufen sch tzen
155. cherheit f r Testing und Unstable gehandhabt auf Seite 221 Es ist eine Tatsache dass manche Sicherheitsprobleme nur in Unstable auftreten und nicht in Stable Das r hrt daher dass dort st ndig neue Funktionen zu den Anwendungen hinzuge f gt werden und auch neue Anwendungen aufgenommen werden die unter Umst nden noch nicht vollst ndig getestet wurden Um im Unstable Zweig Sicherheitsaktualisierungen durchzuf hren m ssen Sie vielleicht eine vollst ndige Aktualisierung mit einer neuen Version durchf hren was viel mehr als nur das betroffene Pakete aktualisieren k nnte Sicherheitsaktualisierungen wurden mit Ausnahmen nur in den Stable Zweig zur ckportiert Die Grundidee ist dass zwischen den Aktualisie rungen kein neuer Code hinzugef gt werden sollte sondern nur Beseitigungen von wichtigen Problemen Denken Sie daran dass Sie allerdings den Sicherheitstracker verwenden k nnen wie unter Beobachtung von Sicherheitsl cken auf Seite 179 beschrieben um bekannte Sicherheitspro bleme f r diesen Zweig nachzuvollziehen 10 1 4 Sicherheitsunterst tzung f r den Testing Zweig Wenn Sie den Testing Zweig verwenden m ssen Sie einige Problemkreise hinsichtlich der Ver f gbarkeit von Sicherheitsaktualisierungen in Betracht ziehen e Wenn eine Sicherheitsl cke geschlossen wurde portiert das Security Team den Patch nach Stable zur ck da Stable normalerweise einige Minor oder Majorversionen zur ck liegt Die
156. chlie t die folgenden Optionen mit ein allow transfer allow query allow recursion und version Sie k nnen dies in dem globalen Abschnitt tun so wird es auf alle Zonen angewandt oder jeweils pro Zone Dies ist im Paket bind doc dokumentiert Sobald das Paket installiert ist k nnen Sie hierzu mehr in usr share doc bind html index html lesen Stellen Sie sich vor Ihr Server ist mit dem Internet und Ihrem internen Netzwerk Ihre interne IP ist 192 168 1 2 verbunden ein einfacher Server im heimischen Netzwerk Sie m chten kei nen Dienst im Internet anbieten und lediglich DNS Abfragen von Ihren internen Rechnern er lauben Sie k nnen dies einschr nken indem Sie Folgendes in Ihre etc bind named conf aufnehmen options allow query 192 168 1 24 allow transfer none allow recursion 192 168 1 24 listen on 192 168 1 2 forward only forwarders A B C D Die Option listen on bewirkt dass sich DNS nur auf die Schnittstelle bindet die die interne Adresse hat Aber sogar wenn diese Schnittstelle Verbindung zum Internet hat zum Beispiel weil Sie NAT benutzen werden Abfragen nur akzeptiert wenn sie von internen Hosts kom men Wenn das System mehrere Schnittstellen hat und Sie kein listen on gesetzt haben k nn ten zwar nur interne Nutzer Abfragen starten aber da der Port f r Angreifer von au en an sprechbar ist k nnten sie versuchen den DNS zum Absturz
157. cht als Root l uft Bei bind in der Version 9 in Debian ist dies standardm ig so Diese Version ist demnach der Version 8 von bind vorzuziehen Dieses Skript ist hier aus historischen Gr nden aufgef hrt und soll zeigen wie man diese Art von Ver nderungen systemweit automatisieren kann Das Skript wird den Benutzer und die Gruppe f r den Name Server erstellen und etc default bindund etc init d bind so ndern dass das Programm unter diesem Benutzer l uft Benutzen Sie es u erst vorsichtig da es nicht ausreichend getestet wurde Sie k nnen die Benutzer auch von Hand erstellen und dann den Patch f r das Standard Init d Skript verwenden der im Fehlerbericht 157245 http bugs debian org cgi bin bugreport cgi bug 157245 enthalten ist bin sh Change the default Debian bind v8 configuration to have it run with a non root user and group DO NOT USE this with version 9 use debconf for configure this instead WARN This script has not been tested thoroughly please verify the changes made to the INITD script c 2002 Javier Fern ndez Sanguino Pefia This program is free software you can redistribute it and or modify Ab der Version 9 2 1 5 also seit der Ver ffentlichung von Sarge Kapitel E Beispielskript um die Standard Installation von Bind zu ndern 242 it under the terms of the GNU General Public License as published by the Free Soft
158. chten Daf r m ssen Sie Folgendes tun Kapitel 5 Absichern von Diensten die auf Ihrem System laufen 131 e Erstellen Sie Ihre Firewall Regeln f r die aktivierte Schnittstelle e Sichern Sie Ihre Regeln mit iptables save in eine Datei in etc zum Beispiel etc iptables up rules e Konfigurieren Sie etc network interfaces diese Regeln zu verwenden iface ethO inet static address x x x X interface configuration pre up iptables restore lt etc iptables up rules Wahlweise k nnen Sie auch Regeln erstellen die beim Herunterfahren der Netz werkschnittstelle ausgef hrt werden Dazu erzeugen Sie diese speichern sie in etc iptables down rules und f gen diese Anweisung zur Schnittstellenkonfiguration hin zu post down iptables restore lt etc iptables down rules F r weitergehende Firewall Konfigurationsskripte durch ifupdown k nnen Sie die zu jeder Schnittstelle verf gbaren Hooks Einspringpunkte wie in den x d Verzeichnissen verwen den die mit run parts aufgerufen werden vergleiche run parts 8 Testen Ihrer Firewall Konfiguration Testen Ihrer Firewall Konfiguration ist so einfach und so schwierig wie das Starten Ih res Firewall Skripts oder die Aktivierung der Konfiguration die Sie in Ihrer Firewall Konfigurationsanwendung definierten Wenn Sie jedoch nicht sorgf ltig genug sind und Sie Ihre Firewall aus der Ferne konfigurieren z B durch eine SSH Verbindung k nnten Sie sich selbs
159. contents of the Debian security team FAQ e Added a link to the Debian security team FAQ and the Debian Developer s reference the duplicated sections might just might be removed in the future e Fixed the hand made auditing section with comments from Michal Zielinski e Added links to wordlists contributed by Carlo Perassi e Fixed some typos still many around e Fixed TDP links as suggested by John Summerfield 1 6 24 Version 2 7 October 2002 Changes by Javier Fern ndez Sanguino Pefia me Note I still have a lot of pending changes in my mailbox which is currently about 5 Mbs in size e Some typo fixes contributed by Tuyen Dinh Bartek Golenko and Daniel K Gebhart e Note regarding dev kmem rootkits contributed by Laurent Bonnaud e Fixed typos and FIXMEs contributed by Carlo Perassi Kapitel 1 Einleitung 17 1 6 25 Version 2 6 September 2002 Changes by Chris Tillman tillman voicetrak com e Changed around to improve grammar spelling e s host deny hosts deny 1 place e Applied Larry Holish s patch quite big fixes a lot of FIXMEs 1 6 26 Version 2 5 September 2002 Changes by Javier Fern ndez Sanguino Pefia me e Fixed minor typos submitted by Thiemo Nagel e Added a footnote suggested by Thiemo Nagel e Fixed an URL link 1 6 27 Version 2 5 August 2002 Changes by Javier Fern ndez Sanguino Pefia me There were many things waiting on my inbox as far back as february to be include
160. cryptnet net fdp crypto gpg party gpg party de html Kapitel 8 Sicherheitswerkzeuge in Debian 172 173 Kapitel 9 Der gute Umgang von Entwicklern mit der Sicherheit des OS Dieses Kapitel handelt von einigen der anerkannten Vorgehensweisen wenn Entwickler Pa kete f r Debian erstellen Wenn Sie sehr an sicherheitsbewusster Programmierung interes siert sind sollten Sie David Wheelers Secure Programming for Linux and Unix HOWTO http www dwheeler com secure programs und Secure Coding Principles and Practices http www securecoding org von Mark G Graff und Kenneth R van Wyk O Reilly 2003 lesen 9 1 Das richtige Vorgehen f r die Nachpr fung der Sicherheit und Gestaltung Entwickler die Software in Pakete packen sollten gr te Anstrengung darauf verwenden si cherzustellen dass die Installation der Software und ihre Verwendung keine Sicherheitsrisiken f r das System oder seine Benutzer er ffnet Dazu sollten sie vor der Ver ffentlichung der Software oder einer neuen Version den Quell code des Pakets nachpr fen um Fehler zu finden die zu Sicherheitsl cken f hren k nnen Bekannterma en ist der Aufwand f r die Fehlerbehebung in verschiedenen Stadien der Ent wicklung unterschiedlich So ist es leichter und billiger Fehler w hrend der Entwicklung auszubessern als sp ter wenn die Software schon herausgegeben wurde und nur noch gewar tet wird einige Studien behaupten dass die Kosten in dieser Phas
161. d so I m going to tag this the back from honeymoon release e Added some information on how to setup the Xscreensaver to lock automatically the screen after the configured timeout e Add a note related to the utilities you should not install in the system Including a no te regarding Perl and why it cannot be easily removed in Debian The idea came after reading Intersect s documents regarding Linux hardening e Added information on lvm and journaling filesystems ext3 recommended The informa tion there might be too generic however e Added a link to the online text version check e Added some more stuff to the information on firewalling the local system triggered by a comment made by Hubert Chan in the mailing list e Added more information on PAM limits and pointers to Kurt Seifried s documents re lated to a post by him to Bugtrag on April 4th 2002 answering a person that had disco vered a vulnerability in Debian GNU Linux related to resource starvation e As suggested by Juli n Mu oz provided more information on the default Debian umask and what a user can access if he has been given a shell in the system scary huh Kapitel 1 Einleitung 18 e Included a note in the BIOS password section due to a comment from from Andreas Wohlfeld e Included patches provided by Alfred E Heggestad fixing many of the typos still present in the document e Added a pointer to the changelog in the Credits section sinc
162. d lau fen lassen Es lohnt sich auch noch darauf hinzuweisen dass der Installer von Debian w hrend des De bootstraps des Basissystems solange Apt noch nicht verf gbar ist denselben Mechanismus mit signierten Release Dateien verwendet Der Installer benutzt sogar dieses Verfahren um Teile von sich selbst zu berpr fen die er aus dem Netz gezogen hat Debian signiert im Mo ment nicht die Release Dateien auf den CDs Apt kann aber so eingerichtet werden dass es immer den Paketen von CDs vertraut so dass dies nicht ein so gro es Problem darstellt Oder Ihren DNS vergiftet hat oder den Server spooft oder die Datei auf einem Spiegel platziert hat den Sie verwenden oder BKEY 0109 Kapitel 7 Die Infrastruktur f r Sicherheit in Debian 150 Wie man Apt sagt wem es vertrauen soll Die ganze Sicherheit des Verfahrens beruht also darauf dass es eine Release gpg Datei gibt die eine Release Datei signiert und dass diese Signatur von apt mit Hilfe von GPG berpr ft wird Dazu muss es den ffentlichen Schl ssel der Person kennen die die Da tei unterschrieben hat Diese Schl ssel werden in Apts eigenem Schl sselbund etc apt trusted gpg gespeichert Bei der Verwaltung dieser Schl ssel kommt Secure Apt ins Spiel Standardm ig befindet sich bei Debian Systemen der Schl ssel des Debian Archivs im Schl sselbund apt key list etc apt trusted gpg pub 1024D 4F368D5D 2005 01 31 expires 2006 01
163. das Paket entfernen oder indem Sie update inetd benutzen e Wenn Sie Dienste eingeh llt haben und usr sbin tcpd benutzen pr fen Sie ob die Dateien etc hosts allow und etc hosts deny passend zu Ihren Richtlinien f r die Dienste konfiguriert sind e Wenn der Server mehr als eine externe Schnittstelle benutzt sollten Sie vielleicht Diens te darauf beschr nken auf bestimmten Schnittstellen zu lauschen Ob das m glich ist h ngt aber von den Diensten ab Wenn Sie zum Beispiel internen FTP Zugriff erlauben wollen lassen Sie den FTP Daemon nur auf der internen Schnittstelle lauschen nicht auf allen d h 0 0 0 0 21 Booten Sie die Maschine neu oder wechseln Sie in den Single User Modus und zur ck in den Multi User Modus mit init Cz eee init Kapitel A Der Abh rtungsprozess Schritt f r Schritt 229 e Pr fen Sie die nun angebotenen Dienste und wiederholen Sie gegebenenfalls die letzten Schritte e Installieren Sie jetzt die ben tigten Dienste falls es noch nicht geschehen ist und konfi gurieren Sie sie passend e Pr fen Sie mit folgendem Shell Befehl unter welchem Nutzer die verf gbaren Dienste laufen for i in usr sbin lsof i grep LISTEN cut da f 1 sort u gt do user ps ef grep i grep v grep cut f 1 da gt echo Service i is running as user Suser done Uberlegen Sie ob Sie diese Dienste einem bestimmten Benutzer oder Gruppe zu weisen woll
164. das Sicherheitsteam und auf indirektem Wege die Buildds zugreifen e Buildds die Sicherheit unterst tzen holen sich das Quellpaket mit einer h heren Prio rit t als normale Paketerstellungen erstellen Pakete und schicken die Logs ans Sicher heitsteam e Das Sicherheitsteam antwortet auf die Logs und die neu erstellten Pakete werden in die Warteschleife der ungepr ften Dateien hochgeladen wo sie von einem Debian System verarbeitet und in die Warteschleife der angenommenen Dateien verschoben werden e Wenn das Sicherheitsteam ein Quellpaket akzeptiert d h dass es f r alle Architekturen korrekt Pakete erstellt und dass es die Sicherheitsl cke schlie t und keine neuen Proble me hervorruft f hren sie ein Skript aus das Kapitel 7 Die Infrastruktur f r Sicherheit in Debian 142 das Paket im Sicherheitsarchiv installiert die Paket Quell und vVer ffentlichungsdateien von securi ty debian org auf dem gew hnlichen Weg aktualisiert dpkg scanpackages dpkg scansources eine Vorlage einer Anweisung erstellt die das Sicherheitsteam fertig stellen kann und wahlweise die Pakete zu den vorgeschlagenen Aktualisierungen weiterleitet so dass sie sobald wie m glich in die echten Archive eingef gt werden k nnen Dieser Ablauf der fr her per Hand durchgef hrt wurde wurde w hrend des Freezing Abschnitts von Debian 3 0 Woody Juli 2002 getestet und umgesetzt Dank dieser Infrastruk tur war es
165. dbarkeiten enthalten CVE Bezeichnungen wenn sie zum Zeitpunkt ihrer Ver ffentlichung verf gbar waren Anweisun gen die mit einer bestimmten CVE Bezeichnung verbunden sind k nnen direkt ber die Suchmaschine http search debian org gesucht werden Benutzer die nach einer bestimmten CVE Bezeichnung suchen wollen k nnen auch die Suchmaschine verwenden die auf debian org verf gbar ist um die verf gbaren An weisungen auf Englisch und bersetzungen in andere Sprachen die mit den CVE Bezeichnungen verbunden sind abzurufen Eine Suche kann nach einem bestimmten Begriff z B nach der Anweisung CAN 2002 0001 http search debian org q advisory 22CAN 2002 0001 22ps 500 1m all oder nach einem Teilbegriff z B alle Kandidaten von 2002 die in Anweisungen enthalten sind finden Sie mit der Suche nach CAN 2002 http search debian org q advisory 22CAN 2002 22ps 500 1m all durchgef hrt werden Beachten Sie dass Sie das Wort advisory zu sammen mit der CVE Bezeichnung eingeben m ssen um nur die Sicherheitsank ndigungen zu erhalten In einige F llen finden Sie eine bestimmte CVE Bezeichnung in ver ffentlichten Anweisungen nicht Beispiele daf r sind e Keine Produkte von Debian sind von der Verwundbarkeit betroffen e Es gibt noch keine Anweisung die die Verwundbarkeit abdeckt Das Sicherheitspro blem wurde vielleicht als Sicherheitsfehler http bugs debian org cgi bin pkgreport cgi tag security gemelde
166. de Wenn Sie keine zu Microsoft kompatible Authentifikation und Verschl sselung brauchen k nnen Sie jede PPP Quelle mit der Version 2 3 x verwenden Kapitel 8 Sicherheitswerkzeuge in Debian 167 Allerdings m ssen Sie auf den Kernel einen Patch anwenden der im Paket kernel patch mppe enthalten ist Er stellt das Module pp_mppe f r den pppd zur Verf gung Beachten Sie dass Verschl sselung in ppptp erfordert dass Sie die Nutzerpassw rter in Klartext speichern Au erdem sind f r das MS CHAPv2 Protokoll Sicherheitsl cken bekannt http mopo informatik uni freiburg de pptp_mschapv2 8 6 Infrastruktur f r ffentliche Schl ssel Public Key Infrastruc ture PKI Mit der Infrastruktur f r ffentliche Schl ssel PKI wurde eine Sicherheitsarchitektur einge fiihrt um den Grad der Vertrauenswiirdigkeit von Informationen die tiber unsichere Netz werke ausgetauscht werden zu erh hen Sie beruht auf dem Konzept von ffentlichen und privaten kryptographischen Schl sseln um die Identit t des Absenders Signierung zu ber pr fen und die Geheimhaltung zu sichern Verschl sselung Wenn Sie ber die Einrichtung einer PKI nachdenken sehen Sie sich mit einer breiten Palette von Problemen konfrontiert e eine Zertifizierungsstelle Certification Authority CA die Zertifikate ausgeben und be st tigen und unter einer bestimmten Hierarchie arbeiten kann e ein Verzeichnis das die ffentlichen Zertifikate der
167. debian org harden doc enthalten Beachten Sie allerdings dass das Paket nicht genauso aktuell sein muss wie das Dokument das Sie auf der Debian Seite finden Sie k nnen sich aber immer eine aktuelle Version aus dem Quellpaket bauen Sie k nnen auch die Ver nderungen durchforsten die am Dokument vorgenommen wurden indem Sie die Protokolle der Versionskontrolle mit dem CVS Server http cvs debian org ddp manuals sgml securing howto cvsroot debian doc durchsehen 1 3 Organisatorisches Feedback Nun kommt der offizielle Teil Derzeit sind die meisten Teile dieser Anleitung noch von mir Alexander Reelsen geschrieben aber meiner Meinung nach sollte dies nicht so bleiben Ich wuchs mit freier Software auf und lebe mit ihr sie ist ein Teil meiner allt glichen Arbeit und ich denke auch von Ihrer Ich ermutige jedermann mir Feedback Tipps f r Erg nzungen oder andere Vorschl ge die Sie haben k nnten zuzuschicken Wenn Sie denken dass Sie einen bestimmten Abschnitt oder Paragraphen besser pflegen k n nen dann schreiben Sie dem Dokumenten Betreuer und Sie d rfen es gerne erledigen Insbe sondere wenn Sie eine Stelle finden die mit FIXME markiert wurde was bedeutet dass die Autoren noch nicht die Zeit hatten oder sich noch Wissen ber das Thema aneignen m ssen schicken Sie ihnen sofort eine E Mail F r diese Anleitung ist es nat rlich u erst wichtig dass sie weiter gepflegt und auf dem neusten Stand gehalt
168. delt die eingegebene Passw rter in einer versteckten Datei ablegt oder sie als Klartext im ganzen Internet herummailt Die einzige Methode einen gewissen Schutz daf r zu haben ist es die Dateien jede n Stun de Tag Monat ich ziehe t glich vor zu pr fen indem man deren aktuelle und alte MD5 Summe vergleicht Zwei unterschiedliche Dateien k nnen keine gleichen MD5 Summen haben Kapitel 4 Nach der Installation 85 die MD5 Summe umfasst 128 Bits so ist die Wahrscheinlichkeit dass zwei unterschiedliche Dateien eine gleiche MD5 Summe haben etwa 1 zu 3 4e3803 So sind Sie sicher solange nie mand den Algorithmus gehackt hat der die MD5 Summen auf Ihrer Maschine erstellt Dies ist nun ja extrem schwer und sehr unwahrscheinlich Sie sollten diese berpr fung Ihrer Pro gramme als sehr wichtig ansehen Weit verbreitete Tools hierf r sind sxid aide Advanced Intrusion Detection Environment fortgeschrittene Umgebung zur Erkennung von Eindringlingen tripwire integrit und samhain Das Installieren von debsums wird Ihnen helfen die Integrit t des Dateisystems zu berpr fen indem Sie die MD5 Summen jeder Datei gegen die MD5 Summe aus dem Debian Archiv Paket vergleichen Seien Sie aber gewarnt dass diese Dateien sehr leicht von einem Angreifer ge ndert werden k nnen Au erdem stellen nicht alle Pakete MD5 Summen f r die in ihnen enthaltenen Programme zur Verf gung Weitere Informationen finden Sie unter Pe riodische ber
169. denn es han delt sich um einen sekund ren oder zwischenspeichernden Cache Name Server Wenn dies der Fall ist m ssen Sie ihm Lese und Schreibzugriff auf die notwendigen Zonen gew hren damit Zonen Transfers vom prim ren Server funktionieren Mehr Informationen ber das Chrooten von Bind finden Sie unter Chroot BIND HOWTO http www tldp org HOWTO Chroot BIND HOWTO html betrifft Bind 9 und Chroot BINDS HOWTO http www tldp org HOWTO Chroot BIND8 HOWTO html betrifft Bind 8 Diese Dokumente sollten auch nach der Installation des Paketes doc linux text Text Version oder doc linux html HTML Version verf gbar sein Ein anderes n tzliches Dokument ist http web archive org web 20011024064030 http www psionic com papers dns dns linux Wenn Sie f r Bind ein komplettes Chroot Gef ngnis aufsetzen d h Sie benutzen nicht nur t stellen Sie sicher dass Sie die folgenden Dateien darin haben dev log syslogd sollte hierauf h ren Diese Einstellungen wurden f r die neueren Ver ffentlichung von Bind noch nicht getestet Kapitel 5 Absichern von Diensten die auf Ihrem System laufen 116 dev null etc bind named conf etc localtime etc group mit einer einzigen Zeile named x GID etc ld so cache mit ldconfig erstellt lib 1d 2 3 6 so0 lib libc 2 3 6 s0 lib ld linux so 2 symbolischer Link auf 1d 2 3 6 so lib libc so 6 symbolischer Link auf libc 2 3 6 s0 sbin ldconfig kann gel scht werden
170. des Root Prompts von Initramfs Hinweis Dies betrifft alle Standard Kernel die nach Debian 3 1 ver ffentlicht wurden Die Linux Kernel 2 6 enthalten die M glichkeit w hrend des Bootvorgangs eine Root Shell zu erhalten Dies geschieht wenn beim Laden von initramfs ein Fehler auftritt Dadurch kann der Administrator auf eine Rettungsshell mit Root Rechten zugreifen Mit dieser Shell k nnen von Hand Module geladen werden falls eine automatische Erkennung scheitern sollte Diese Verhalten ist Standard f r ein von initramfs tools erzeugtes Initramfs Folgende Fehler meldung wird auftreten ALERT dev sdal does not exist Dropping to a shell Um dieses Verhalten abzuschalten m ssen Sie folgenden Boot Parameter setzen panic 0 Sie k nnen ihn entweder in den Abschnitt kopt in boot grub menu lst eintragen und update grub ausf hren oder ihn dem Abschnitt append von etc lilo conf hinzuf gen 4 6 Entfernen des Root Promptes aus dem Kernel Hinweis Dies trifft nicht auf Kernel zu die in Debian 3 1 enthalten sind da die Wartezeit auf Null ver ndert wurde Linux 2 4 Kernel bieten kurz nach dem Laden des cramfs einen Weg Zugriff auf eine Root Shell zu bekommen also w hrend das System bootet Es erscheint eine Meldung die dem Adminis trator erlaubt eine auszuf hrende Shell mit Root Privilegien zu ffnen Diese Shell kann dazu benutzt werden manuell Module zu laden falls die automatische Erkennung fehlschl gt Dies ist das St
171. die Sie auf neue Aktualisie rungen aufmerksam macht Damit k nnen Sie Ihr System auch ber den Desktop auf den Ab Etch und den folgenden Ver ffentlichungen Kapitel 4 Nach der Installation 49 neusten Stand bringen mit update manager F r den Desktop k nnen Sie auch synaptic kpackage oder adept einsetzen die einen gr eren Funktionsumfang aufweisen Wenn Sie auf einem textbasierten Terminal arbeiten stehen Ihnen aptitude apt und dselect wobei letzteres veraltet ist zur Verf gung e Falls Sie die textbasierte Oberfl che von aptitude verwenden wollen m ssen Sie zu n chst u f r Update und dann g f r Upgrade eingeben Oder Sie f hren auf der Be fehlszeile Folgendes als Root aus H aptitude update aptitude upgrade e Falls Sie apt einsetzen m chten m ssen Sie obige Zeilen von aptitude nur mit apt get ersetzen e Falls Sie dselect verwenden wollen m ssen Sie zuerst aktualisieren U f r Upda te dann installieren I f r Install und schlie lich die installieren aktualisierten Pakete konfigurieren C f r Configure Wenn Sie m chten k nnen Sie ebenfalls eine deb src Zeile hinzuf gen Weitere Details finden Sie unter apt 8 Anmerkung Sie brauchen folgende Zeile nicht hinzuf gen deb http security debian org debian non US stable non US main contrib non free Das liegt daran dass sich der Server der security debian org hostet au erhalb der USA befin
172. dlegende Konzepte die Sie brauchen um den Rest dieses Abschnitts verstehen zu k nnen Eine Pr fsumme ist eine Methode bei der eine Datei auf eine relativ kurze Zahl herunterge kocht wird mit der der Inhalt der Datei eindeutig identifiziert werden kann Dies ist wesentlich schwieriger als es zun chst erscheinen mag Der am weitesten verbreitetste Typ von Pr fsum men MD5 ist gerade dabei unbrauchbar zu werden Verschl sselung mit ffentlichen Schl sseln fu t auf einem Schl sselpaar einem ffentlichen Schl ssel und einem privaten Schl ssel Der ffentliche Schl ssel wird an die Allgemeinheit verteilt Der private muss ein Geheimnis bleiben Jeder der den ffentlichen Schl ssel hat kann eine Nachricht verschl sseln so dass sie nur noch der Besitzer des privaten Schl ssels lesen kann Es besteht deneben die M glichkeit mit einem privaten Schl ssel eine Datei zu signie ren Wenn eine Datei mit einer digitalen Unterschrift versehen wurde kann jeder der den 6f fentlichen Schl ssel hat berpr fen ob die Datei mit diesem Schl ssel unterschrieben wurde Ohne den privaten Schl ssel l sst sich eine solche Signatur nicht nachmachen Diese Schl ssel bestehen aus ziemlich langen Zahlen 1024 oder 2048 Ziffern oder sogar l n ger Damit sie leichter zu verwenden sind haben sie eine k rzere Schl ssel ID eine Zahl mit nur acht oder 16 Stellen mit der sie bezeichnet werden k nnen Secure Apt verwendet gpg um Dateie
173. dpkg auf Ihrem Server instal lieren k nnen Sobald der neue Kernel kompiliert und installiert ist m ssen Sie das Paket bridge utils installieren Wenn Sie diesen Schritt abgeschlossen haben k nnen Sie die Konfiguration Ihrer Bridge fer tigstellen Im n chsten Abschnitt werden Ihnen zwei verschiedene m gliche Konfigurationen einer Bridge vorgestellt Beide sind mit einer bersicht eines hypothetischen Netzwerks und den notwendigen Befehlen versehen Kapitel D Aufsetzen einer berbr ckenden Firewall bridge Firewall 238 D 1 Eine Bridge mit NAT und Firewall F higkeiten Die erste Konfigurationsm glichkeit benutzt die Bridge als Firewall mit Network Address Translation NAT bersetzung der Netzwerkadressen die einen Server und interne LAN Clienten sch tzt Unten wird eine Darstellung der Anordnung des Netzwerks gezeigt Internet router 62 3 3 25 bridge 62 3 3 26 gw 62 3 3 25 192 WWW Server 62 3 3 27 gw 62 3 LAN Zipowz 192 168 0 2 gw 192 1 Die folgenden Befehle zeigen wie diese Bridge konfiguriert werden kann So wird die Schnittstelle br0 erstellt usr sbin brcetl addbr bro Hinzuf gen der Ethernet Schnittstelle die die Bridge benutzen soll usr sbin brctl addif brO eth0 usr sbin brcetl addif brO ethl Starten der Ethernet Schnittstelle sbin ifconfig eth0 0 0 0 0 sbin ifconfig ethl 0 0 0 0 Konfigurieren der Ethernet Bridge
174. e e F gen Sie dem System Firewall F higkeiten hinzu die eingehende Verbindungen nur zu angebotenen Diensten erlauben und ungenehmigte ausgehende Verbindungen verhin dern e berpr fen Sie erneut die Installation auf Angriffspunkte mit einem Netzwerk Scanner Kapitel A Der Abh rtungsprozess Schritt f r Schritt 230 e Pr fen Sie ausgehende Verbindungen vom System zu Hosts au erhalb mit einem Netzwerk Scanner um sicherzustellen dass ungewollte Verbindungen keinen Weg nach drau en finden FIXME this procedure considers service hardening but not system hardening at the user level include information regarding checking user permissions SETUID files and freezing changes in the system using the ext2 file system 231 Anhang B Checkliste der Konfiguration Dieser Anhang wiederholt kurz Punkte aus anderen Abschnitten dieser Anleitung in einem verdichteten Checklisten Format Er ist als schnelle Zusammenfassung f r Leute gedacht die bereits diese Anleitung gelesen haben Es gibt auch andere gute Checklisten zum Bei spiel Kurt Seifrieds Securing Linux Step by Step http seifried org security os l1inux 20020324 securing linux step by step html und CERT s Unix Security Checklist http www cert org tech_tips usc20_full html FIXME This is based on v1 4 of the manual and might need to be updated e Schr nken Sie physischen Zugriff und Boot F higkeiten ein Setzen Sie im BIOS ein Passwort
175. e aufzusetzen chrootuid erlaubt es Ihnen sogar es unter einem eingeschr nkten Benutzer laufen zu lassen Einige dieser Werkzeuge k nnen verwendet werden um das Chroot Gef ngnis leicht aufzu setzen Zum Beispiel kann das make jail Programm ein chroot Gef ngnis mit kurzen Kon figurationsdateien erzeugen und aktualisieren Es bietet Beispielskonfigurationsdateien f r bind apache postgresql und mysql Es versucht alle Dateien die vom Daemon ben tigt werden mittels strace stat und Debians Paketabh ngigkeiten zu bestimmen und in das Gef ngnis zu installieren Weitere Information gibt es unter http www floc net makejail Jailer ist ein hnliches Werkzeug und kann von http www balabit hu downloads jailer heruntergeladen werden und ist auch als Debian Paket verf gbar 5 11 Allgemeine Klartextpasswort Paranoia Sie sollten versuchen jeden Netzwerk Dienst der seine Passworte als Klartext ber das Netz sendet oder empf ngt wie zum Beispiel FTP Telnet NIS RPC vermeiden Der Autor emp fiehlt jedem ssh anstelle von telnet und ftp zu verwenden Vergessen Sie jedoch nicht dass die Migration von telnet zu ssh die Sicherheit in keinster Weise erh ht wenn Sie weiterhin Klartext Protokolle verwenden Am besten w re es ftp telnet pop imap und http zu entfernen und durch ihre entsprechenden verschl sselten Dienste zu erset zen Sie sollten in Erw gung ziehen von diesen Diensten zu deren SSL Versionen zu wechseln ftp
176. e 60 Mal h her sind Es gibt Hilfsmittel die versuchen Fehler automatisch zu entdecken Entwickler sollten dennoch die verschiedenen Sicherheitsfehler kennen damit sie sie verstehen und sie so in eigenen oder fremden Programmcode entdecken k nnen Programmierfehler die typischerweise zu Sicherheitsproblemen f hren sind insbeson dere Puffer berl ufe http de wikipedia org wiki Puffer C3 BCberlauf Format String berl ufe Heap berl ufe und Integer berl ufe in C C Programmen vor bergehende Symlink Schwachstellen http de wikipedia org wiki Kapitel 9 Der gute Umgang von Entwicklern mit der Sicherheit des OS 174 Symlink Schwachstelle in Skripten Directory Traversal http de wikipedia org wiki Directory_Traversal die Einschleusung von Befehlen auf Servern und Cross Site Scripting http de wikipedia org wiki Cross Site_Scripting sowie SOL Injektionen http de wikipedia org wiki SQL Injektion bei web orientierten Anwendungen Eine ausf hrliche Liste von Sicherheitsfehlern finden Sie in For tifys Taxonomy of Software Security Errors http vulncat fortifysoftware com Einige dieser Probleme Konnen Sie nur erkennen wenn Sie ein Experte in der verwendeten Programmiersprache sind Aber andere k nnen leicht entdeckt und behoben werden Zum Beispiel kann eine Symlink Schwachstelle auf Grund einer falschen Verwendung von tempo r ren Verzeichnissen ohne Weiteres entdeckt werden indem S
177. e Anzahl von Benutzern er stellen k nnen Sie diese unter der Verwendung von adduser mit der disabled login Option erstellen und danach usermod oder chpasswd benutzen beide Programme stam men aus dem passwd Paket Sie haben sie also schon installiert Wenn Sie lieber eine Datei verwenden die alle Informationen zur Erstellung von Nutzern als Batch Prozess enth lt sind Sie vielleicht mit newusers besser dran 4 10 14 Kontrolle der Benutzerpassw rter Die Passw rter der Nutzer sind manchmal die schw chste Stelle der Sicherheit eines Systems Das liegt daran dass manche Nutzer schwache Passw rter f r ihr Konto w hlen und je mehr Nutzer Zugang zum System haben umso gr er die Chance dass das passiert Selbst wenn Sie berpr fungen mit dem PAM Module cracklib und Grenzen f r Passw rter einsetzen wie in Nutzerauthentifizierung PAM auf Seite 58 beschrieben wird ist es Nutzern immer noch m glich schwache Passw rter zu verwenden Da der Zugang der Nutzer auch den Zugang aus der Ferne hoffentlich ber ssh umfassen kann ist es wichtig dass das Erraten von Pass w rtern f r entfernte Angreifer so schwierig wie m glich ist Dies gilt insbesondere dann wenn es ihnen gelungen sein sollte Zugang zu wichtigen Informationen wie den Benutzerna men oder sogar den Dateien passwd und shadow selbst zu bekommen Ichpasswd kann keine MD5 Passw rter erzeugen Daher muss ihm das Passwort in verschl sselter Form berg
178. e Benutzung des Paketes ssh erreicht Eine andere M glichkeit ist die Nutzung von ftpd ssl einem ftp Server der Secure Socket Layer benutzt um bertragungen zu verschl sseln Kapitel 4 Nach der Installation 82 Jede dieser Methoden ben tigt nat rlich einen speziellen Client Debian stellt Ihnen solche zur Verf gung zum Beispiel enth lt das Paket ssh das Programm scp Es arbeitet wie rcp aber ist komplett verschl sselt so dass die b sen Jungs noch nicht einmal herausbekommen k n nen WAS Sie kopieren Wie es den Server gibt so gibt es nat rlich auch ein ftp ss1 Client Paket Sie k nnen Clients f r diese Software sogar f r andere nicht UNIXoide Betriebssys teme finden putty und winscp stellen eine secure copy Implementierung f r jede Version von Microsoft Betriebssystemen zur Verf gung Beachten Sie dass die Verwendung von scp den Nutzern Zugang zum gesamten Dateisystem erm glicht es sei denn dass es in eine chroot Umgebung eingesperrt ist wie es in SSH in ein Chroot Gef ngnis einsperren auf Seite 100 beschrieben wird Wahrscheinlich sogar leich ter abh ngig vom verwendeten Daemon kann auch der FTP in eine chroot Umgebung ein gesperrt werden Das wird in Absichern von FTP auf Seite 102 beschrieben Falls Sie sich sorgen dass Nutzer Ihre lokalen Dateien durchsehen und Sie verschl sselte Kommunikation w nschen k nnen Sie einen FIP Daemon mit Unterst tzung f r SSL einrichten oder FTP mit Klartext
179. e Od ee aa 9 1 6 7 Version 3 5 November 2005 22 22 222mm een 10 168 Version 3 4 August September 2005 E ewe eee we es 10 169 Version do Jan I 2 2 26 ebb eee SEEDED nino ta ee 11 1 610 Version le 2005 lt a we EIER eRe eee eR EO ee 11 16 11 Versioh 31 January 2005 2 22 ss e re ew BSG a be hee ES EE RY 12 1 6 12 Version 3 0 December 2004 seen ee ee Ree ad 12 1 5 13 Version 299 March 2004 aan eed nen er ERO 12 1 6 14 Version 2 98 December 2003 22222 nn nennen 13 165 Version 297 Geptember 2009 x eg Br RR RE ACEN A 13 16 16 Version 296 august 7003 x hed he Ae eH EEAM EE 14 INHALTSVERZEICHNIS ii 1 6 17 1 6 18 1 6 19 1 6 20 1 6 21 16 22 1 6 23 1 6 24 1 6 25 1 6 26 16 27 1 6 28 1 6 29 1 6 30 L631 16 32 1 6 33 1 6 34 1 635 1 6 36 1 6 37 1 6 38 1 6 39 1 6 40 1 6 41 1 6 42 1 6 43 1 6 44 1 6 45 1 6 46 1 6 47 Version 2 95 June 2009 4 i Bb sorea terag dia ESSE ESYE ES 14 Version 2 94 April 200R SEENEN EE 14 Version 2 93 march 2003 ee Osh EE OR Ae NN EM Se OS 15 Version 2 92 February 2009 lt o sa keci ee DR we DHA 15 Version 2 91 January February 2003 oc 4 EE E EEN Bee 15 Version 2 9 December 2002 2 222222 22cm nenn 16 Version 2 8 November 2002 2 2222 22mm n en 16 Version ev 8 er A Be amd Fr 16 Version 26 September 2002 lt o s i ce arena 17 Version 25 September 2002 gt ss se bee be aw hE ROE nee 17 Version 2o AUEREL 2002 oi e e BRE ee e ee RES 17 Kiel EEN 19 E
180. e auch als secu rity by obscurity Sicherheit durch Verschleierung bekannt ist sollte unter allen Umst nden vermieden werden da sie ein falsches Gef hl von Sicherheit vermittelt Dieses Problem l sen Sie auf sichere Art und Weise indem Sie die F higkeiten des Linux Kernel verwenden wie es in Aktive Verteidigung auf Seite 190 beschrieben wird Die hier interessante F higkeit hei t CAP_LINUX_IMMUTABLE Wenn Sie es vom Satz der F higkeiten entfernen indem Sie zum Beispiel den Befehl 1cap CAP_LINUX_IMMUTABLE verwenden ist es nicht mehr m glich irgendwelche a oder i Attribute auf Ihrem System zu ver ndern auch nicht dem Superuser Ein vollst ndige Strategie k nnte also folgenderma en aussehen 1 Vergeben Sie die Attribute al und i an von Ihnen gew nschte Dateien 2 F gen Sie den Befehl 1 cap CAP_LINUX_IMMUTABLE einem der Skripten die den Start des Systems steuern startup scripts hinzu 3 Setzen Sie das Attribut i f r dieses Skript andere Startdateien und auch das Programm lcap selbst 4 F hren Sie den oben genannten Befehl per Hand aus oder starten Sie Ihr System neu um sicherzustellen dass alles wie gew nscht funktioniert 4 16 3 Pr fung der Integrit t des Dateisystems Sind Sie sich sicher dass bin login auf Ihrer Festplatte immer noch dasselbe Programm ist das Sie vor ein paar Monaten installiert haben Was w re wenn es sich um eine gehackte Ver sion han
181. e der Welt kann Sie nicht sch tzen wenn jemand direkten Zugang zu Ihrem Rechner hat Sie k nnen ihn unter Ihren Schreibtisch stellen oder Sie k nnen ihn in einen starken Bunker mit einer ganzen Armee davor stellen Trotzdem kann der Rechner unter Ihrem Schreibtisch weitaus sicherer sein von der Software Seite aus gesehen als der eingebunkerte wenn Ihr Schreibtisch Rechner richtig konfiguriert und die Software des eingebunkerten Rechners voller Sicherheitsl cher ist Sie m ssen beide M glichkeiten betrachten Dieses Dokument gibt Ihnen lediglich einen kleinen berblick was Sie tun k nnen um die Sicherheit Ihres Debian GNU Linux Systems zu erh hen Wenn Sie bereits andere Dokumente ber Sicherheit unter Linux gelesen haben werden Sie feststellen dass es einige berschnei dungen geben wird Wie auch immer Dieses Dokument versucht nicht die ultimative In formationsquelle zu sein es versucht nur die gleichen Informationen so zu adaptieren dass sie gut auf ein Debian GNU Linux System passen Unterschiedliche Distributionen erledigen manche Dinge auf unterschiedliche Art zum Beispiel den Aufruf von Daemons hier finden Sie Material das zu Debians Prozeduren und Werkzeugen passt 1 1 Autoren Der aktuelle Betreuer dieses Dokuments ist Javier Fern ndez Sanguino Pe a mailto jfs debian org Falls Sie Kommentare Erg nzungen oder Vorschl ge haben schicken Sie ihm Kapitel 1 Einleitung 2 diese bitte Sie werden dann
182. e ihn neu kompilieren Pr fen Sie anschlie end ob das Paket quota installiert ist Wenn nicht installieren Sie es Um Quota f r die entsprechenden Dateisysteme einzuschalten m ssen Sie nur die Einstel lung defaults in Ihrer etc fstab zu defaults usrquota ndern Wenn Sie Gruppen Quotas ben tigen ersetzen Sie usrquota durch grpquota Sie k nnen auch beides verwen den Erstellen Sie dann leere quota user und quota group in den Hauptverzeichnissen der Dateisysteme auf denen Sie Quotas einf hren m chten d h touch home quota user home quota group f r das Dateisystem home Starten Sie quota neu indem Sie etc init d quota stop etc init d quota start ausf hren Nun sollte quota laufen und die Gr en k nnen festgelegt werden Bearbeiten der Quotas eines bestimmten Nutzer wird mit edquota u lt user gt gemacht Gruppen Quotas k nnen mit edquota g lt group gt ge ndert werden Setzen Sie dann die weiche und die harte Grenze und inode Quotas falls Sie es ben tigen Mehr Informationen ber Quotas finden Sie im Handbuch von quot und im Mini Howto von quota usr share doc HOWTO de html mini DE Quota HOWTO html Sie soll ten auch einen Blick auf pam_limits so werfen 4 16 2 Die f r das ext2 Dateisystem spezifischen Attribute chattr lsattr Zus tzlich zu den normalen Unix Rechten bieten die ext2 und ext3 Dateisysteme eine An zahl von besonderen Attributen die Ihnen mehr Kontrolle ber die Dateien auf Ihrem
183. e information regarding expected contents in securetty since it s kernel spe cific e Added pointer to snoopylogger Debian bug 179409 e Added reference to guarddog Debian bug 170710 e Apt ftparchive is in apt utils not in apt thanks to Emmanuel Chantreau for pointing this out e Removed jvirus from AV list 1 6 14 Version 2 98 December 2003 Changes by Javier Fern ndez Sanguino Pefia e Fixed URL as suggested by Frank Lichtenheld e Fixed PermitRootLogin typo as suggested by Stefan Lindenau 1 6 15 Version 2 97 September 2003 Changes by Javier Fern ndez Sanguino Pefia e Added those that have made the most significant contributions to this manual please mail me if you think you should be in the list and are not e Added some blurb about FIXME TODOs e Moved the information on security updates to the beginning of the section as suggested by Elliott Mitchell e Added grsecurity to the list of kernel patches for security but added a footnote on the current issues with it as suggested by Elliott Mitchell Kapitel 1 Einleitung 14 e Removed loops echo to all in the kernel s network security script as suggested by Elliott Mitchell e Added more up to date information in the antivirus section e Rewrote the buffer overflow protection section and added more information on patches to the compiler to enable this kind of protection 1 6 16 Version 2 96 august 2003 Changes by Javier Fern ndez Sang
184. e most people who contribute are listed here and not there e Added a few more notes to the chattr section and a new section after installation talking about system snapshots Both ideas were contributed by Kurt Pomeroy e Added a new section after installation just to remember users to change the boot up sequence e Added some more TODO items provided by Korn Andras e Added a pointer to the NIST s guidelines on how to secure DNS provided by Daniel Quinlan e Added a small paragraph regarding Debian s SSL certificates infrastructure e Added Daniel Quinlan s suggestions regarding ssh authentication and exim s relay con figuration e Added more information regarding securing bind including changes suggested by Da niel Quinlan and an appendix with a script to make some of the changes commented on that section e Added a pointer to another item regarding Bind chrooting needs to be merged e Added a one liner contributed by Cristian Ionescu Idbohrn to retrieve packages with tcpwrappers support e Added a little bit more info on Debian s default PAM setup e Included a FAQ question about using PAM to give services w o shell accounts e Moved two FAQ items to another section and added a new FAQ regarding attack detec tion and compromised systems e Included information on how to setup a bridge firewall including a sample Appendix Thanks to Francois Bayart who sent me this on march e Added a FAQ regarding the sy
185. e nur Root und die adm Gruppe zugreifen kann versuchen Sie find var log type f a perm 640 Manche sind sogar ausschlie lich f r Root verf gbar sehen Sie sich find var log type f a perm 600 a uid 0an Was kann ein Nutzer von Ihrem System sehen Wahrscheinlich ziemlich viele Sachen versu chen Sie mal Folgendes und jetzt tief durchatmen find type f a perm 006 2 gt dev nul find type d a perm 007 2 gt dev nul Was Sie sehen ist eine Liste von allen Dateien die ein Nutzer einsehen kann und die Verzeich nisse auf die er Zugriff hat Begrenzung des Zugangs zu Informationen anderer Nutzer Wenn Sie immer noch Benutzern einen Shellzugang zur Verf gung stellen wollen sollten Sie vielleicht die Informationen begrenzen die man ber anderen Nutzern einholen kann Nut zer mit einer Shell haben die Neigung eine ziemlich gro e Anzahl von Dateien in ihrem HOME zu erstellen Mailboxen pers nliche Daten Konfigurationen f r X GNOME KDE Anwendungen In Debian wird jeder Nutzer mit einer zugeh rigen Gruppe erstellt Verschiedene Nutzer ge h ren dabei nie zur selben Gruppe Folgendes ist das Standardverhalten Wenn ein Benutzer konto angelegt wird wird auch eine Gruppe mit dem gleichen Namen erstellt Dieser Gruppe wird der Nutzer zugewiesen Damit wird die Idee einer allgemeinen users Gruppe berfl ssig die es Nutzern erschweren k nnte Informationen vor anderen Nutzern zu ve
186. eben werden bevor es mit der e Option verwendet werden kann Kapitel 4 Nach der Installation 72 Ein Systemadministrator muss bei einer gro en Anzahl von Nutzern berpr fen ob deren Passw rter mit den lokalen Sicherheitsma st ben in Einklang stehen Und wie berpr ft man das Indem man versucht sie wie ein Angreifer zu knacken der Zugriff auf die gehashten Passw rter hat also auf die Datei etc shadow Ein Administrator kann john oder crack beide benutzen Brute Force Rohe Gewalt zum Knacken von Passw rtern zusammen mit einer passenden W rterliste verwenden um die Passw rter der Nutzer zu berpr fen und falls ein schlechtes Passwort entdeckt wird geeignete Schritte unternehmen Sie k nnen mit apt cache search wordlist nach Debian GNU Paketen suchen die W rterlisten enthalten oder Sie besuchen die klassischen Internetseiten mit W rterlisten wie ftp ftp ox ac uk pub wordlists oder ftp ftp cerias purdue edu pub dict 4 10 15 Ausloggen von unt tigen Nutzern Unt tige idle Nutzer stellen f r gew hnlich ein Sicherheitsproblem dar Ein Nutzer kann unt tig sein da er Mittagessen ist oder weil eine entfernte Verbindung h ngen blieb und nicht wieder hergestellt wurde Unabh ngig von den Gr nden k nnen unt tige Benutzer zu einer Kompromittierung f hren e weil die Konsole des Benutzers vielleicht nicht verriegelt ist und damit ein Eindringling darauf zugreifen kann e weil ein Angreifer an eine sc
187. eile auth required pam_unix so nullok entfernen 4 8 System Neustart von der Konsole aus einschranken Wenn an Ihr System eine Tastatur angeschlossen ist kann jeder ja wirklich jeder Ihr System neu starten ohne sich in Ihr System einloggen zu m ssen Dies k nnte gegen Ihre Sicher heitsrichtlinien versto en oder auch nicht Wenn Sie dies einschr nken wollen m ssen Sie in etc inittab pr fen ob die Zeile die enth lt dass ct rlaltdel shutdown aufruft den a Schalter enth lt vergessen Sie nicht init q auszuf hren nachdem Sie diese Datei irgendwie ver ndert haben Standardm ig enth lt Debian diesen Schalter ca 12345 ctrlaltdel sbin shutdown tl a r now Jetzt m ssen Sie um es manchen Benutzern zu erlauben Ihr System neu zu starten eine Datei etc shutdown allow erstellen wie es die Handbuchseite shut down 8 beschreibt Dort m ssen die Namen der Benutzer die das System neu booten d rfen aufgef hrt sein Wenn der drei Finger Salut auch bekannt als Strg Alt Entf und Affengriff ausgef hrt wird wird gepr ft ob irgendeiner der Benutzer die in der Datei aufgelistet sind eingeloggt sind Wenn es keiner von ihnen ist wird shutdown das System nicht neu starten 4 9 Partitionen auf die richtige Art einbinden Wenn Sie eine ext2 Partition einbinden k nnen Sie verschiedene Optionen mit dem mount Befehl oder in etc fstab verwenden Dies ist zum Beispiel mein fstab Eintrag f r meine tmp Partition
188. ein Login aus der Ferne in ein administratives Konto nicht erlaubt wird Auf diese Weise m ssen die Nutzer das Programm su oder sudo aufrufen um Administratorenrechte zu bekommen so dass es immer eine nachpr fbare Spur gibt Sie m ssen die folgende Zeile zu Ihrer etc security access conf hinzuf gen die De bians Standardkonfigurationsdatei hat ein Beispiel auskommentiert wheel ALL EXCEPT LOCAL Vergessen Sie nicht in etc pam d das pam_access Module f r jeden Dienst oder je de Standardkonfiguration anzuschalten wenn Sie wollen dass Ihre nderungen an etc security access conf ber cksichtigt werden 4 10 8 Den Nutzerzugang einschr nken Manchmal werden Sie vielleicht denken dass Sie einen Nutzer auf Ihrem System erstellen m ssen um einen bestimmten Dienst pop3 E Mail Server oder ftp anzubieten Bevor Sie dies tun erinnern Sie sich zuerst daran dass die PAM Implementierung in Debian GNU Linux Ihnen erlaubt Nutzer mit einer breiten Auswahl von externen Verzeichnisdiensten radius ldap etc zu best tigen Dies wird vom libpam Paket bewerkstelligt Wenn Sie einen Nutzer anlegen m ssen und auf Ihr System aus der Ferne zugegriffen wer den kann beachten Sie dass es Nutzern m glich sein wird sich einzuloggen Sie k nnen dies beheben indem Sie diesen Nutzern eine Null dev nu11 als Shell sie m sste in etc shells aufgelistet sein zuweisen Wenn Sie den Nutzern erlauben wollen auf das System z
189. eine CD ROM benutzen Eine andere weniger sichere aber bequemere M glichkeit ist es das BIOS so einzustellen dass es von der Festplatte bootet und nur falls dies fehlschl gt versucht von austauschbaren Datentr gern zu booten brigens wird dies oft so gemacht weil viele Leute ihr BIOS Passwort nur selten benutzen so dass sie es zu leicht vergessen 4 4 Ein Passwort f r LILO oder GRUB einstellen Jeder kann sehr einfach eine root Shell auf Ihrem System bekommen indem er einfach lt Name Ihres Bootimages gt init bin sh am Bootprompt eingibt Nachdem die Pass w rter ge ndert und das System neu gestartet wurde hat die Person uneingeschr nkten Root Zugang und kann nach Belieben alles auf Ihrem System machen Nach dieser Prozedur haben Sie keinen Root Zugang mehr zu Ihrem System weil Sie das Root Passwort nicht kennen Um sicher zu stellen dass dies nicht passieren kann sollten Sie den Boot Loader mit einem Passwort sch tzen Sie k nnen zwischen einem globalen Passwort und Passw rtern f r be stimmte Images w hlen F r LILO m ssen Sie die Konfigurationsdatei etc lilo conf editieren und eine password und restricted Zeile wie im folgenden Beispiel einf gen image boot 2 2 14 vmlinuz label Linux read only password hackmich restricted Gehen Sie danach sicher dass die Konfigurationsdatei nicht f r alle lesbar ist um zu ver hindern dass lokale Nutzer das Passwort lesen k nnen Haben Sie dies getan rufen Sie
190. einer Boot Diskette oder CD ROM wiederherstellen m ssen keinen speziellen Kernel benutzen Wenn es sich um einen 2 4er oder 2 6er Kernel handelt ist Unterst tzung f r ext 3 bereits vorhan den Wenn es sich um einen 2 2er Kernel handelt k nnen Sie trotzdem Ihr Dateisystem boo ten auch wenn Sie die Journaling F higkeiten einb en Wenn Sie ein anderes Journaling Dateisystem benutzen werden Sie feststellen dass eine Wiederherstellung nicht m glich ist bis Sie einen 2 4er oder 2 6er Kernel mit den ben tigten Modulen haben Wenn Sie einen 2 2er Kernel auf der Rettungsdiskette verwenden m ssen kann es sich als noch schwerer erweisen auf reiserfs oder xfs zuzugreifen Auf jeden Fall ist die Datenintegrit t unter ext 3 besser da es auch Datei Daten protokolliert w hrend andere Dateisysteme lediglich Meta Daten protokollieren siehe auch http lwn net 2001 0802 a ext3 modes php3 3 3 Gehen Sie nicht ins Internet bevor Sie nicht bereit sind W hrend der Installation sollten Sie das System nicht sofort mit dem Internet verbinden Dies h rt sich vielleicht komisch an aber die Installation ber das Netzwerk ist eine g ngige Metho de Da das System einige Dienste installiert und diese sofort aktiviert werden k nnten Sie Ihr System f r Angriffe ffnen wenn das System mit dem Internet verbunden ist und die Dienste nicht geeignet konfiguriert sind Au erdem sollten Sie beachten dass manche Pakete noch Sicherheitsprobleme
191. einer Workstation mit nur einem Benutzer Wenn Sie keine Verwendung von ihn haben sollten Sie ihn abschalten damit Sie keinen Dienst f r die Au en welt offen lassen Wenn Sie sich entscheiden den identd Port mit einer Firewall zu blockieren benutzen Sie bitte die Regel reject und nicht die Regel deny da andernfalls eine Verbindung zu einem Server die identd verwendet bis zu einer Zeit berschreitung h ngen bleiben wird lesen Sie dazu reject or deny issues http logi cc linux reject_or_deny php3 Ich habe Dienste die die Ports 1 und 6 verwenden Welche sind das und wie kann ich sie entfernen Sie f hren den Befehlnetstat an aus und erhalten Folgendes Active Internet connections servers and established Proto Recv Q Send Q Local Address Foreign Address PID Program name raw 0 0 0 0 0 0 1 0 0 0 0 raw 0 0 0 0 0 0 6 0 0 0 0 Sie sehen nicht Prozesse die auf dem TCP UDP Port 1 und 6 lauschen Tatsachlich sehen Sie einen Prozess der auf einem Raw Socket ftir Protokoll 1 ICMP und 6 TCP lauscht Ein sol ches Verhalten ist fiir Trojaner und einige Systeme zur Eindringlingserkennung wie iplogger und portsentry blich Wenn Sie diese Pakete besitzen l schen Sie sie einfach Falls nicht versuchen Sie mit netcats Option p Prozess herauszufinden welcher Prozess diese Lauscher betreibt Ich habe festgestellt dass ich den folgenden Port XYZ offen habe Kann ich ihn schlie en Ja nat rlich Die Ports
192. elativ gesch tzte nicht kri tische Maschinen Wenn Sie neue Log Dateien hinzuf gen wollen m ssen Sie diese nur zu etc logcheck logcheck logfiles hinzuf gen Es ist f r die standardm ige Syslog installation eingerichtet Wenn Sie dies geschafft haben sollten Sie die n chsten Tage Wochen Monate die verschick ten Mails tiberpriifen Falls Sie Nachrichten finden die Sie nicht erhalten wollen fiigen Sie die regul ren Ausdr cke regular expressions vergleiche regex 7 und egrep 1 die zu diesen Nachrichten passen in etc logcheck ignore d reportlevel local ein Versuchen Sie dass der regul re Ausdruck mit der gesamten Logzeile bereinstimmt Details wie man Regeln schreibt finden Sie in usr share doc logcheck database README logcheck database gz Das ist ein andauernder Prozess der Abstimmung Wenn nur noch relevante Meldungen verschickt werden k nnen Sie davon ausgehen dass dieser Prozess beendet ist Beachten Sie dass logcheck selbst wenn er l uft Ihnen keine Kapitel 4 Nach der Installation 76 Mail schickt wenn er nichts Relevantes auf Ihrem System findet so bekommen Sie h chstens eine Mail pro Woche wenn Sie Gl ck haben 4 12 2 Konfiguration wohin Alarmmeldungen geschickt werden Debian wird mit einer Standardkonfiguration f r Syslog in etc syslog conf ausgelie fert so dass Meldungen je nach System in die passenden Dateien geschrieben werden Das soll te Ihnen bereits bekannt se
193. elchen Alarmsystemen zu erhalten Wenn Sie exim haben mtissen Sie den Daemon nicht laufen lassen um dies zu erreichen da der Standard cron Job die Mails abarbeitet Sehen Sie in Daemons abschalten auf Seite 40 wie man dies erledigt Kapitel 5 Absichern von Diensten die auf Ihrem System laufen 107 5 6 1 Konfiguration eines Nullmailers Sie m gen einen lokalen Mail Daemon wollen so dass er die Mails die vom lokalen Rechner zu einem anderen System geschickt wurden versenden kann Dies ist blich wenn Sie eine Anzahl von Systemen zu administrieren haben und nicht zu jedem von diesen eine Verbin dung aufbauen wollen um die dort lokal verschickten Mails zu lesen Genau wie all das Pro tokollieren eines jeden individuellen Systems durch einen zentralen syslog Server zentralisiert werden kann so kann auch Mail zu einem zentralen Mail Server gesandt werden Solch ein nur sendendes System sollte sorgf ltig daf r eingerichtet werden Der Daemon kann ebenso konfiguriert werden nur an der Loopback Adresse zu lauschen Die folgenden Konfigurationsschritte m ssen nur zur Konfiguration des exim Pakets in der Debian 3 0 Version vorgenommen werden Wenn Sie eine neuere Version verwenden wie z B 3 1 das exim4 verwendet so wurde das Installationssystem verbessert so dass wenn der Mail Iransport Agent konfiguriert wurde nur lokale Mails zu versenden es automatisch nur Verbindungen vom lokalen Rechner und keine entfernten Verbindunge
194. elegt hat Da chroot Root Rechte ben tigt wird es mit Rechtetren nung nicht funktionieren Allerdings wurde in neueren OpenSSH Versionen der PAM Code ver ndert so dass do_pam_session vor dem Ablegen der Rechte aufgerufen wird Daher funktioniert es auch mit aktivierter Rechtetrennung Falls Sie sie abschalten m s sen m ssen Sie etc ssh sshd_config so ver ndern UsePrivilegeSeparation no Sie k nnen die Option debug verwenden Damit wird der Fortschritt des Moduls unter authpriv notice proto kolliert Mit folgendem Python Aufruf k nnen Sie eine sehr eingeschr nkte Bash Umgebung f r makejail erstellen Er stellen Sie das Verzeichnis var chroots users foo und eine Datei mit dem Namen bash py und folgendem Inhalt chroot var chroots user foo cleanJailFirst 1 testCommandsInsideJail bash 1s F hren Sie dann makejail bash py aus um eine Benutzer Umgebung unter var chroots user foo zu erstellen So testen Sie die Umgebung chroot var chroots user foo 1s bin dev etc lib proc sbin usr Unter Umst nden ben tigen Sie die Ger te dev ptmx und dev ptyx und das Unterverzeichnis dev pts Es sollte ausreichen MAKEDEV im dev Verzeichnis der Chroot Umgebung auszufiihren um sie zu er stellen falls sie nicht existieren Wenn Sie einen Kernel einsetzen der die Ger tedateien dynamisch erstellt Version 2 6 m ssen Sie die Dateien dev pts selbst erstellen und mit den passenden Rechten ausstatten Kapitel G Chr
195. elegt werden einen ausf hrba ren Trojaner in tmp laufen zu lassen zum Beispiel indem er zuf llig tmp in seinen Suchpfad aufnimmt Seien Sie sich auch bewusst dass manche Skripte darauf aufbauen dass tmp ausf hrbare Rechte hat Bemerkenswerterweise hatte oder hat Debconf Probleme bei dieser Sache wei tere Informationen enth lt Fehler 116448 http bugs debian org 116448 Nachfolgend ein gr ndlicheres Beispiel Eine Anmerkung dazu var k nnte auch noexec enthalten aber manche Software verwahrt ihre Programme unterhalb von var Dasselbe gilt f r die nosuid Option dev sda6 usr ext defaults ro nodev 0 2 dev sdal2 usr share ext3 defaults ro nodev nosuid 0 dev sda7 var ext3 defaults nodev usrquota grpquota 0 dev sda8 tmp ext3 defaults nodev nosuid noexec usrquo t dev sda9 var tmp ext3 defaults nodev nosuid noexec usrquo t Einiges davon trifft auf den Paketverwalter dpkg zu da die Installations oder Deinstallationsanweisungen post pre unter var 1lib dpkg liegen und auch auf Smartlist 2 2 ta grpqu ta grpqu Kapitel 4 Nach der Installation 57 dev sdal0 var log ext3 defaults nodev nosuid noexec 0 2 dev sdall var account ext3 defaults nodev nosuid noexec 0 2 dev sdal3 home ext3 rw nosuid nodev exec auto nouser async usrg dev d0 mnt fd0 ext defaults users nodev nosuid noexec 0 dev d0 mnt floppy vfat defaults users nodev nosuid
196. ellen und zu vertreiben voraus gesetzt der Copyright Hinweis und diese Genehmigung bleiben auf allen Kopien erhalten Es ist erlaubt ver nderte Kopien dieses Dokuments unter den Voraussetzungen f r unver n dertes Kopieren zu erstellen und zu vertreiben sofern die gesamte resultierende Arbeit unter den Bedingungen einer Genehmigung identisch zu dieser vertrieben wird Es ist erlaubt bersetzungen dieses Dokuments in eine andere Sprache unter den obigen Bedingungen f r ver nderte Versionen zu kopieren und zu verteilen mit der Ausnahme dass diese Genehmigung bersetzt statt im urspr nglichem Englisch eingebunden werden kann sofern diese bersetzung des Copyrights von der Free Software Foundation genehmigt ist Inhaltsverzeichnis 1 Einleitung dech 1 2 1 3 1 4 deg 1 6 1 AUO ee te ae a ete se able Bde ete oe e ee e S 1 Wo Sie diese Anleitung bekommen und verf gbare Formate 2 Organisatorisches 7 Feedback 2 2 2288 328 SEY pre ri RS 3 VOTWISSEHR eg ced E EN E EN en an EE ee er er 3 Dinge die noch geschrieben werden m ssen FIXME TODO 4 nderungs bersicht Changelog Geschichte 7 16 1 Vesichn3lT latitiar 2007 a so 20 E E E nen Z 162 Version 3 10 November 2009 es ns ur be eee Bere ah u ee 8 163 Versions Oktober 005 e EE AE er Ac 8 164 Version38 Juli 2006 e e reca s eee EEN rer 9 dn Vrsno EREM re A EE ORE eee Er BE AR 9 156 Version dee 2006 osa eee eee Ra eee Ra
197. em Intrusion Detection System IDS aufsetzen indem Sie snort benutzen und eine webbasierte Schnittstelle zur berwachung der Alarme ber Eindringlinge einrichten e Installieren Sie ein Debian Basis System ohne zus tzliche Pakete e Installieren Sie eine Version von Snort die Datenbanken unterst tzt und richten Sie Sn ort so ein dass die Alarme in der Datenbank protokolliert werden e Laden Sie BASE Basic Analysis and Security Engine oder ACID Analysis Console for Intrusion Databases Konsole zur Analyse fiir Eindringling Datenbanken herunter und installieren Sie es Konfigurieren Sie es so dass es die gleiche Datenbank wie Snort ver wendet e Installieren Sie die notwendigen Pakete BASE wird derzeit f r Debian im Paket acidbase geliefert ACID im Paket acidl ab Beide stellen eine graphische WWW Schnittstelle zur Ausgabe von Snort zur Verf gung Neben der Grundinstallationen ben tigen Sie auch einen Webserver wie apache einen PHP Interpreter und eine relationale Datenbank wie postgresql oder mysql wo Snort seine Alarme ablegen kann Dieses System sollte mit wenigstens zwei Netzwerk Schnittstellen ausgestattet sein Eine ver bunden mit einem Verwaltungs LAN um die Resultate abzufragen und das System zu verwal ten und eine ohne IP Adresse das an mit dem zu beobachtenden Abschnitt des Netzwerks verbunden ist Sie sollten den Webserver so einrichten dass er nur auf der Schnittstelle lauscht die mit dem Ver
198. en eine Unternehmensl sung aufzusetzen die Pakete filtert und eine Anzahl von transparenten Proxys bietet die feinabgestimmte Verkehrsanalysen bieten so sollten Sie zorp genauer betrachten Dies bietet alles in einem einzelnen Programm Sie k nnen diese Art von Firewall Rechner auch manuell aufsetzen indem Sie die Proxys die in Debian vor handen sind f r verschiedene Dienste verwenden Zum Beispiel f r DNS bind richtig konfi guriert dnsmasq pdnsd oder totd f r FIP frox oder ftp proxy f r X11 xfwp f r IMAP imapproxy f r Mail smtpd oder fiir POP3 p3scan F r andere Protokolle k nnen Sie entwe der einen allgemeinen TCP Proxy wie simpleproxy oder einen allgemeinen SOCKS Proxy wie dante server tsocks oder socks4 server verwenden Typischerweise werden Sie auch ein Web Cache System wie squid und ein Web Filtersystem wie squidguard oder dansguardian nutzen Kapitel 5 Absichern von Diensten die auf Ihrem System laufen 127 Manuelle init d Konfiguration Eine andere M glichkeit ist die manuelle Konfiguration Ihrer Firewall Regeln durch ein init d Skript das die iptables Befehle ausf hrt Befolgen Sie diese Schritte e Sehen Sie das unten aufgef hrte Skript durch und passen Sie es Ihren Anforderungen an e Testen Sie das Skript und berpr fen Sie die Syslog Meldungen nach unterdr ckten Netzverkehr Wenn Sie vom Netzwerk aus testen werden Sie entweder den Beispiels hellcode starten wollen um die Firewall zu
199. en Dienst so dass er Ihren Backend benutzt Bearbeiten Sie dazu die dem Dienst entsprechenden Dateien unter etc pam d und ndern die folgenden Zeile von auth required pam_unix_auth so shadow nullok use_first_pass beispielsweise f r ldap zu auth required pam_ldap so Im Fall von LDAP Verzeichnissen liefern manche Dienste LDAP Schemata mit die Sie Ihrem Verzeichnis hinzuf gen k nnen um eine LDAP Authentifizierung zu benutzen Wenn Sie rela tionale Datenbanken benutzen gibt es einen n tzlichen Trick Benutzen Sie die Klausel where wenn Sie die PAM Module konfigurieren Wenn Sie beispielsweise eine Datenbank mit der folgenden Tabelle haben user_id user_name realname shell password uid gid homedir sys pop imap Wenn Sie die Attribute der Dienste zu Boolean Feldern machen k nnen Sie sie verwenden um den Zugang zu den verschiedenen Diensten zu erlauben oder zu verbieten Sie m ssen dazu nur die geeigneten Zeilen in folgende Dateien einf gen e etc pam d imap where imap 1 e etc pam d qpopper where pop 1 e etc nss mysql conf users where_clause user sys Liz e etc proftpd conf SQLWhereClause ftp 1 ftp Kapitel 12 H ufig gestellte Fragen Frequently asked Questions FAQ 215 12 2 Mein System ist angreifbar Sind Sie sich sicher 12 2 1 Der Scanner X zur Einsch tzung der Verwundbarkeit sagt dass mein Debian System verwundbar w re Viele Scanner zur Einsch tzung der Verwund
200. en Sie bitte dass er seit 2001 nicht mehr ak tualisiert wurde trotzdem sind einige Informationen immer noch sachdienlich 1 Kurt Seifried s Securing Linux Step by Step http seifried org security os l1inux 20020324 securing linux step by step htm l e In Securing and Optimizing Linux RedHat Edition http www tldp org links p_books html securing_linux finden Sie eine Dokumentation hnlich zu dieser bezogen auf Red Hat Manche behandelten Sachen sind nicht distributionsspezifisch passen also auch auf Debian e Ein anderes Red Hat bezogenes Dokument ist der EAL3 Evaluated Configu ration Guide for Red Hat Enterprise http ltp sourceforge net docs RHEL EAL3 Configuration Guide pdf e IntersectAlliance hat einige Dokumente ver ffentlicht die als Referenz benutzt werden k nnen wie man einen Linux Server und seine Dienste abh rtet Diese Dokumen te sind auf ihrer Seite http www intersectalliance com projects index html verf gbar e F r Netzwerk Administratoren ist das Securing your Domain HOWTO http www linuxsecurity com docs LDP Securing Domain HOWTO ein gutes Hand buch wie man sein Netzwerk absichert e Wenn Sie die Programme die Sie benutzen m chten oder die Sie neu schreiben wol len bez glich Sicherheit auswerten wollen sollten Sie das Secure Programs HOWTO http www tldp org HOWTO Secure Programs HOWTO durchlesen die Vor lage ist unter http www dwheeler com secure programs
201. en die MD5 Summen aller Dateien die ein Debian Paket enth lt nicht nur die der Systemprogramme Das hat zur Folge dass die se Datenbank viel gr er ist 5 MB statt 600 KB auf einem Debian GNU Linux System mit graphischen Subsystem und etwa 2 5 GB Software installiert und nicht auf ein klei nes transportables Medium wie eine Diskette passt aber wohl auf einen tragbaren USB Speicher e nicht alle Debian Pakete stellen MD5 Summen der installierten Dateien zur Verf gung da es derzeit nicht in der Policy verlangt wird Sie k nnen allerdings nach der Installa tion die MD5 Summen aller Pakete mit debsums erstellen debsums generate missing keep Sobald der Schnappschuss erstellt wurde sollten Sie sicherstellen dass das entsprechende Medium schreibgesch tzt ist Sie k nnen es dann als Sicherheitskopie verwenden oder in ein Laufwerk stecken um jede Nacht mit cron die MD5 Summen des Systems mit Ihrem Schnappschuss zu vergleichen Wenn Sie keine berpr fung von Hand einrichten wollen k nnen Sie immer eines der Inte grit tssysteme verwenden die diese Aufgabe und noch vieles mehr f r Sie erledigen werden Weitere Informationen finden Sie unter Periodische berpr fung der Integrit t auf Seite 187 4 19 Andere Empfehlungen 4 19 1 Benutzen Sie keine Software die von svgalib abh ngt SVGAIib ist ganz nett f r Konsolen Liebhaber wie mich aber in der Vergangenheit wurde mehrfach gezeigt dass es ziemlich unsiche
202. en neuesten Sicherheitsank ndigungen die ber die Mailingliste debian security announce http lists debian org debian security announce verteilt werden Am besten rufen Sie einfach apt get update auf bevor Sie das Paket aktualisieren 12 3 15 Wie kann ich das Sicherheitsteam erreichen Sicherheitsinformationen k nnen an security debian org mailto security debian org geschickt werden damit sie von allen Debian Entwicklern gelesen werden Wenn Sie sensible Informationen haben benutzen Sie bitte team security debian org mailto team security debian org die nur vom Sicherheitsteam gelesen wird Wenn Sie es w nschen kann die E Mail auch mit dem Kontaktschl ssel von Debian Security Key ID 0x363CCD9 http pgpkeys pca dfn de 11371 pks lookup search 0x363CCD950p vindex verschl sselt werden Sehen Sie sich auch die PGP GPG Schl ssel des Sicherheitsteams http www debian org security keys txt an 12 3 16 Was ist der Unterschied zwischen security debian org und debian security lists debian org Wenn Sie eine Nachricht an security debian org schicken wird diese an die Developer Mailingliste geschickt debian private die alle Entwickler von Debian abonniert haben Nach richten an diese Liste werden vertraulich behandelt d h sie werden nicht auf einer ffentlichen Webseite archiviert debian security lists debian org ist eine ffentliche Mail Liste offen f r jeden der Sie abonnieren http www de debian org Maili
203. en und sie vielleicht auch in einer chroot Umgebung einsperren wollen um die Sicherheit zu erh hen Sie k nnen dies tun indem Sie die etc init d Skripte ndern die den Dienst starten Die meisten Dienste benutzen unter Debi an start stop daemon der die daf r Optionen change uid und chroot zur Verf gung stellen Ein paar warnende Worte zum Einsperren in eine chroot Umgebung Sie m ssen alle Dateien die durch das Paket des Dienstes installiert wur den verwenden Sie dpkg L und alle Pakete von denen es abh ngt in die Chroot Umgebung legen Informationen wie das Programm ssh in eine chroot Umgebung eingesperrt wird finden Sie unter Chroot Umgebung f r SSH auf Seite 249 e Wiederholen Sie die Schritte oben um zu pr fen ob nur die gew nschten Dienste laufen und ob sie unter der gew nschten Nutzer Gruppen Kombination laufen e Testen Sie die installierten Dienste um festzustellen ob sie wie erwartet arbeiten e berpr fen Sie das System indem Sie einen Scanner zur Absch tzung der Verwundbar keit zum Beispiel nessus benutzen um Angriffsm glichkeiten Fehlkonfigurationen alte oder nicht ben tigte Dienste zu finden e Installieren Sie Instrumente zur Entdeckung von Eindringlingen in Netzwerk und Hosts wie snort und logcheck e Wiederholen Sie den Netzwerk Scan und pr fen Sie ob das System zur Erkennung von Eindringlingen funktioniert Die richtig Paranoiden berlegen sich auch das Folgend
204. en wird Auch Sie k nnen Ihren Teil dazu beitragen Bitte unterst tzen Sie uns 1 4 Vorwissen Die Installation von Debian GNU Linux ist nicht wirklich schwer und Sie sollten in der La ge gewesen sein es zu installieren Wenn Ihnen andere Linux Distributionen Unixe oder die grunds tzliche Sicherheitskonzepte ein wenig vertraut sind wird es Ihnen leichter fallen die se Anleitung zu verstehen da nicht auf jedes winzige Detail eingegangen werden kann oder Kapitel 1 Einleitung 4 dies w re ein Buch geworden und keine Anleitung Wenn Sie jedoch mit diesen Dingen noch nicht so vertraut sind sollten Sie vielleicht einen Blick in die Seien Sie wachsam gegen ber generellen Sicherheitsproblemen auf Seite 29 f r tiefer gehende Informationen werfen 1 5 Dinge die noch geschrieben werden m ssen FIXME TODO Dieses Kapitel beschreibt die Dinge welche in diesem Handbuch noch verbessert werden m s sen Einige Abschnitte beinhalten FIXME oder TODO Markierungen in denen beschrieben wird welche Dinge fehlen oder welche Aufgaben erledigt werden m ssen Der Zweck die ses Kapitels ist es die Dinge die zuk nftig in dieses Handbuch aufgenommen werden k nn ten und die Verbesserungen die durchgef hrt werden m ssen oder bei denen es interessant w re sie einzuf gen zu beschreiben Wenn Sie glauben dass Sie Hilfe leisten k nnten den auf dieser Liste aufgef hrten Punkten oder solchem im Text abzuhelfen setzen Sie s
205. enn Sie daran interessiert sind eine GNU Linux Distribution mit Sicherheitszer tifikaten zu haben stellen Sie uns die Ressourcen zur Verf gung um dies m glich zu machen Es gibt im Moment mindestens zwei Linux Distributionen die mit verschiedenen EAL http en wikipedia org wiki Evaluation_Assurance_Level Levels zertifiziert sind Beachten Sie dass einige CC Tests im Linux Testing Project http ltp sourceforge net vorhanden sind welche in Debian durch 1tp angeboten wird 12 14 Gibt es irgendein Abh rtungsprogramm f r Debian Ja Bastille Linux http www bastille unix org das sich urspr nglich an anderen Linux Distributionen Red Hat und Mandrake orientierte funktioniert derzeit auch mit De bian Es sind Ma nahmen eingeleitet um nderungen am Originalprogramm auch in das Debianpaket bastille einflie en zu lassen Manche Leute glauben jedoch dass ein Absicherungsprogramm nicht die Notwendigkeit einer guten Administration ersetzt 12 1 5 Ich m chte einen XYZ Dienst laufen lassen Welchen sollte ich benutzen Einer der gr ten St rken von Debian ist die gro e Vielfalt von Paketen die die gleichen Funk tionen erf llen DNS Server Mail Server FTP Server Web Server etc Das kann einen uner fahrenen Administrator verwirren wenn er herausfinden will welches Paket das richtige f r ihn ist Die beste Wahl h ngt in der Balance zwischen Ihrem Bed rfnis nach Funktionalit t und dem nach Sicherheit in d
206. entfernen wenn Sie nichts innerhalb von 20 Sekunden eingeben oder Sie sollten die default deny Richtliniendefinition auskommen tieren P INPUT DROP und P OUTPUT DROP und berpr fen dass das System keine g ltigen Daten verworfen hat e Verschieben Sie das Skript nach etc init d meineFirewall e Konfigurieren Sie das System das Skript zu starten bevor irgendein Netzwerk konfigu riert wird update rce d meineFirewall start 40 S stop 89 0 6 Dies ist das Beispiel Firewallskript bin sh Simple example firewall configuration Caveats This configuration applies to all network interfaces if you want to restrict this to only a given interface use i INTERFACE in the iptables calls Remote access for TCP UDP services is granted to any host you probably want to restrict this using source chkconfig 2345 9 91 description Activates Deactivates the firewall at boot time You can test this script before applying with the following shell snippet if you do not type anything in 10 seconds the firewall rules will be cleared while true do test read t 20 p OK test z Stest amp amp etc init d meineFirewall clear done SE SE SE Sk OSE SE tE SE SE SE SR db db r Kapitel 5 Absichern von Diensten die auf Ihrem System laufen 128 PATH bin sbin usr bin usr sbin Services that the sy
207. equired pam_listfile so sense allow onerr fail item user fil Abschlie end beachten Sie bitte dass diese Direktiven von einer OpenSSH Konfigurationsdatei stammen Derzeit gibt es drei weit verbreitete ssh Daemonen sshl ssh2 und OpenSSH von den OpenBSD Leuten Ssh1 war der erste verf gbare ssh Daemon und er ist noch der weit verbreitetste Ger chten zufolge gibt es sogar eine Windows Version Ssh2 hat gegen ber ssh1 viele Vorteile abgesehen davon dass es unter einer unfreien Lizenz ver ffentlicht wurde OpenSSH ist ein v llig freier ssh Daemon der sowohl ssh1 als auch ssh2 unterst tzt OpenSSH ist die Version die installiert wird wenn Sie auf Debian das Paket ssh ausw hlen Mehr Informationen wie Sie SSH mit Unterst tzung f r PAM aufsetzen finden Sie hier security mailing list archives http lists debian org debian security 2001 debian security 200111 msg00395 html etc logi Kapitel 5 Absichern von Diensten die auf Ihrem System laufen 100 5 1 1 SSH in ein Chroot Gef ngnis einsperren Zurzeit bietet OpenSSH keine M glichkeit automatisch Benutzer bei der Verbindung in ein Chroot Gef ngnis einzusperren die kommerzielle Version bietet diese Funktionalit t Wie dem auch sei es gibt auch ein Projekt das diese Funktionalit t f r OpenSSH anbietet ver gleiche http chrootssh sourceforge net Es ist aber aktuell noch nicht f r Debian paketiert Sie sollten stattdessen das pam_chroot Modul wie in in
208. er Unstable k nnen Sie mit den Pinning Eigenschaften oder der Option target release von apt get herumspielen um nur die Pakete zu aktualisieren die Sie fr her aktualisiert haben Sie k nnen auch die Option quiet q verwenden Sie verringert die Ausgabe von apt get und wird keine Ausgabe produzieren wenn keine Pakete installiert werden Beachten Sie dass einige Pakete nicht debconf verwenden k nnten Die Aktualisierung k nnte dann h ngen bleiben da Pakete w hrend ihrer Konfiguration Eingaben des Nutzers verlangen Dies ist ein verbreitetes Problem da viele Nutzer ein stabiles System betreiben wollen aber einige Pakete aus Unstable einsetzen um die neusten Funktionen zu haben Das kommt daher dass sich manche Projekte schneller entwickeln als die Ver ffentlichungen von Debians Stable Kapitel 10 Vor der Kompromittierung 187 10 2 Periodische berpr fung der Integrit t Mit Hilfe der Basisinformationen die Sie nach der Installation erstellt haben also mit dem Schnappschuss der in Einen Schnappschuss des Systems erstellen auf Seite 93 beschrieben wird sollte es Ihnen m glich sein von Zeit zu Zeit die Integrit t des Systems zu berpr fen Eine Integrit tspr fung kann Ver nderungen am Dateisystem entdecken die durch einen Eindringling oder einen Fehler des Systemadministrators entstanden sind berpr fungen der Integrit t sollen wenn m glich von au erhalb durchgef hrt werden Das bedeu
209. er als die Paketversionen in sp teren Distributionen F r Testing bedeutet das dass es eine h here Version als in Unstable sein muss Falls es dort keine gibt Testing und Unstable haben z B die gleichen Versionen laden Sie zuerst die neue Version nach Unstable hoch e Laden Sie nicht nur die Quellen hoch source only upload wenn Ihr Paket nur bin re Pakete enth lt binary all Die Buildd Infrastruktur wird diese nicht erstellen e Wenn Sie ein Paket kompilieren stellen Sie sicher dass Sie es auf einem reinen System kompilieren auf dem nur Pakete aus der Distribution installiert sind f r die Sie das Pa ket erstellen Wenn Sie selbst ein solches System nicht haben k nnen Sie es mit einer Ma schine von debian org versuchen siehe http db debian org machines cgi oder setzen Sie chroot ein die Pakete pbuilder und debootstrap k nnen daf r hilfreich sein Hochladen von Sicherheitsausbesserungen Nachdem der Entwickler ein neues Paket erstellt und getestet hat muss es hochgeladen wer den damit es in den Archiven installiert werden kann Sicherheitsrelevante Dateien werden nach ftp security master debian org pub SecurityUploadQueue hochgeladen Wenn eine in die Sicherheitswarteschleife hochgeladene Datei akzeptiert wurde wird das Pa ket automatisch f r alle Architekturen neu erstellt und zur berpr fung durch das Sicherheits team abgelegt Nur das Sicherheitsteam kann auf hochgeladene Dateien die auf Annahme ode
210. er and nbtscan to the auditing section e Fixed some wrong URLs 1 6 35 Version 1 98 Changes by Javier Fern ndez Sanguino Pe a e Added a new section regarding auditing using Debian GNU Linux e Added info regarding finger daemon taken from the security mailing list 1 6 36 Version 1 97 Changes by Javier Fern ndez Sanguino Pe a e Fixed link for Linux Trustees e Fixed typos patches from Oohara Yuuma and Pedro Zorzenon Kapitel 1 Einleitung 23 1 6 37 Version 1 96 Changes by Javier Fern ndez Sanguino Pefia e Reorganized service installation and removal and added some new notes e Added some notes regarding using integrity checkers as intrusion detection tools e Added a chapter regarding package signatures 1 6 38 Version 1 95 Changes by Javier Fern ndez Sanguino Pe a e Added notes regarding Squid security sent by Philipe Gaspar e Fixed rootkit links thanks to Philipe Gaspar 1 6 39 Version 1 94 Changes by Javier Fern ndez Sanguino Pe a e Added some notes regarding Apache and Lpr Ipng e Added some information regarding noexec and read only partitions Rewritten how can users help in Debian security issues FAQ item 1 6 40 Version 1 93 Changes by Javier Fern ndez Sanguino Pe a e Fixed location of mail program e Added some new items to the FAQ 1 6 41 Version 1 92 Changes by Javier Fern ndez Sanguino Pe a e Added a small section on how Debian handles security e Clarified MD5 passwords thanks to rock
211. er inetd zu starten Wenn Sie immer noch einen inetd Dienst laufen lassen wollen wechseln Sie wenigstens zu einem besser zu konfigurierenden Inet Daemonen wie xinetd oder rlinetd Sie sollten alle nicht ben tigten Inetd Dienste auf Ihrem System abschalten wie zum Beispiel echo chargen discard daytime time talk ntalk und die r Dienste rsh rlogin und rcp die als SEHR unsicher gelten benutzen Sie stattdessen ssh Sie k nnen Dienste abschalten indem Sie direkt etc inetd conf editieren aber Debian stellt Ihnen einen besseren Weg zur Verf gung update inetd was die Dienste auf eine Art herauskommentiert so dass sie leicht wieder eingeschaltet werden k nnen Sie k nnen den Telnet Daemon sehr leicht mit dem folgenden Kommando abschalten so dass die Konfigu rationsdateien angepasst und der Daemon neu gestartet wird usr sbin update inetd disable telnet Wenn Sie Dienste starten wollen aber nur auf bestimmten IP Adressen Ihres Systems m ssen Sie eventuell auf eine undokumentierte Funktion des inetd zur ckgreifen Austausch des Namens des Dienstes durch dienst ip Alternativ k nnen Sie einen Daemon wie xinetd benutzen 3 7 Installieren Sie m glichst wenig Software Debian bietet sehr viel Software an Debian 3 0 Woody enth lt sechs oder sieben je nach Archi tektur CDs mit Software und tausenden Paketen Debian 3 1 Sarge wird mit etwa 13 CD ROMs ausgeliefert werden Bei so viel Software selbst wenn Sie die Installat
212. er jeweiligen Situation ab Im folgenden einige Fragen die Sie sich stellen sollten wenn Sie zwischen hnlichen Paketen entscheiden m ssen e Wird es noch vom Originalautor betreut Wann war die letzte Ver ffentlichung Kapitel 12 H ufig gestellte Fragen Frequently asked Questions FAQ 204 e Ist das Paket ausgereift Die Versionsnummer sagt nichts dar ber aus wie ausgereift es ist Versuchen Sie seine Geschichte nachzuvollziehen e Ist es von Fehlern durchsetzt Gab es Sicherheits Ank ndigungen im Zusammenhang mit ihm e Stellt die Software die ganze Funktionalit t zur Verf gung die Sie ben tigen Bietet es mehr als Sie wirklich brauchen 12 1 6 Wie mache ich den Dienst XYZ unter Debian sicherer Sie werden in diesem Dokument Informationen ber das Absichern von einigen Diensten FTP Bind unter Debian GNU Linux finden F r Dienste die hier nicht abgedeckt werden pr fen Sie die Programm Dokumentation oder allgemeine Linux Informationen Die meisten Sicher heitshinweise f r Unix Systeme sind auch auf Debian anwendbar So wird Dienst X unter Debian in den meisten F llen wie in einer anderen Linux Distribution oder Un x was das betrifft abgesichert 12 1 7 Wie kann ich die Banner der Dienste entfernen Wenn Sie z B nicht wollen dass Nutzer sich mit Ihrem POP3 Daemon verbinden und dadurch Informationen ber Ihr System erlangen sollten Sie das Banner das der Dienst den Nutzern zeigt entfernen oder ver nd
213. er kein Standard werden Dieser Entwurf zur Paketsignierung kann mit debsig verify und debsigs umgesetzt wer den Diese beiden Pakete k nnen in einer deb Datei eingebettete Unterschriften erstellen und pr fen Debian hat bereits jetzt die M glichkeiten dies zu tun Aber es gibt keine Planung dieses Regelwerk oder hnliche Werkzeuge umzusetzen da nunmehr das Schema mit der Signierung des Archivs bevorzugt wird Die Werkzeuge werden dennoch f r Benutzer und Administratoren von Archiven zur Verf gung gestellt wenn sie diese Vorgehensweise bevor zugen Die aktuellen Versionen von dpkg seit 1 9 21 beinhalten einen Patch http lists debian org debian dpkg 2001 debian dpkg 200103 msg00024 html der diese Funktionen zur Verf gung stellt sobald debsig veri fy installiert ist HINWEIS Derzeit wird etc dpkg dpkg cfg standardm ig mit der Option no debsig ausgeliefert HINWEIS 2 Unterschriften von Entwicklern werden im Moment entfernt wenn sie in das Pa ketarchiv gelangen da die derzeit vorzugsw rdige Methode die berpr fung der Release Datei ist wie es oben beschrieben wurde Kapitel 7 Die Infrastruktur f r Sicherheit in Debian 162 163 Kapitel 8 Sicherheitswerkzeuge in Debian FIXME More content needed Debian stellt au erdem einige Sicherheitswerkzeuge zur Verf gung die eine Debian Maschine zum Zweck der Sicherheit passend einrichten k nnen Diese Zielsetzung schlie t die Siche rung von Sy
214. er niedrigeren Priorit t auf der Konsole erscheinen werden F r gew hnlich haben Firewalls die LOG Regel und einige andere Sicherheitswerkzeuge eine niedrigere Log Priorit t Daher werden ihre Logs direkt an die Konsole geschickt Um die Nachrichten die an die Konsole geschickt werden nicht verringern k nnen Sie dmesg Option n vergleichen Sie dmesg 8 verwenden das den Ringspeicher des Kernel unter sucht und steuert Damit das nach dem n chsten Neustart in Ordnung ist ndern Sie in etc init d klogd KLOGD zu KLOGD c 4 ab Verwenden Sie eine niedrigere Nummer f r c wenn Sie immer noch unerw nschte Nach richten sehen Eine Beschreibung der verschiedenen Loglevels befindet sich in usr include sys syslog h define LOG_EMERG 0 system is unusable x define LOG _ALERT d action must be taken immediately define LOG_CRIT 2 x critical conditions define LOG_ERR 3 x error conditions ad define LOG WARNING 4 x warning conditions define LOG_NOTICE 5 normal but significant condition x define LOG_INFO 6 x informational define LOG_DEBUG 7 debug level messages 12 1 12 Benutzer und Gruppen des Betriebssystems Sind alle Systemnutzer notwendig Ja und nein Debian wird mit einigen vordefinierten Nutzern User ID UID lt 99 beschrie ben in der Debian Policy http www de debian org doc debian policy oder in usr share doc base pas
215. ern Wie Sie das anstellen k nnen h ngt von der Software ab mit der Sie einen bestimmten Dienst betreiben F r post fix stellen Sie beispielsweise das SMTP Banner in etc postfix main cf ein smtpd_banner Smyhostname ESMTP Smail_name Debian GNU Andere Software kann nicht so leicht verandert werden ssh muss neu kompiliert werden um die angezeigte Version zu ndern Stellen Sie sicher dass sie nicht den ersten Teil des Ban ners SSH 2 0 entfernen da Clients ihn verwenden um die von Ihrem Paket unterst tzten Protokolle zu identifizieren 12 1 8 Sind alle Debian Pakete sicher Das Sicherheitsteam von Debian kann nicht alle Pakete aus Debian auf potenzielle Sicher heitsl cken hin analysieren da es einfach nicht genug Ressourcen gibt um f r das gesamte Projekt ein Quellcodeaudit durchzuf hren Allerdings profitiert Debian von den Quellcode Pr fungen durch die Originalautoren Beachten Sie dass das security by obscurity ist und daher auf lange Sicht gesehen wahrscheinlich nicht der M he wert ist Kapitel 12 H ufig gestellte Fragen Frequently asked Questions FAQ 205 Tats chlich k nnte ein Debian Entwickler in einem Paket einen Trojaner verbreiten und es gibt keine M glichkeit das nachzupr fen Sogar wenn es in einen Zweig von Debian einge f hrt werden w rde w re es unm glich alle m glichen Situationen abzudecken in denen der Trojaner ausgef hrt werden w rde Das ist der Grund war
216. erwendet wurde um den Archivschl ssel zu unterschreiben berpr fen Wenn Sie vorsichtig sein wollen sollten Sie Apt mitteilen dass es dem Schl ssel nur vertrauen darf wenn es einen passenden Pfad gefun den hat S gpg export a 2D230C5F sudo apt key add Ok Kapitel 7 Die Infrastruktur f r Sicherheit in Debian 153 Der aktuelle Schl ssel ist mit dem vorhergehenden Archivschl ssel unterschrieben so dass Sie theoretisch auf Ihrem alten Vertrauen aufbauen k nnen Der j hrliche Austausch des Archivschl ssels von Debian Wie schon oben erw hnt wird der Schl ssel mit dem das Debian Archiv signiert wird jedes Jahr im Januar ausgetauscht Da Secure Apt noch jung ist haben wir noch nicht sehr viel Er fahrung damit und es gibt noch ein paar haarige Stellen Im Januar 2006 wurde ein neuer Schl ssel f r 2006 erstellt und die Release Datei wurde da mit unterschrieben Um aber zu vermeiden dass Systeme die noch den alten Schl ssel von 2005 verwenden nicht mehr korrekt arbeiten wurde die Release Datei auch mit dem alten Schl ssel unterschrieben Es war geplant dass Apt je nach dem verf gbaren Schl ssel eine der beiden Unterschriften akzeptieren w rde Aber es zeigte sich ein Fehler in Apt da es sich weigerte der Datei zu vertrauen wenn es nicht beide Schl ssel hatte und somit beide Un terschriften berpr fen konnte Dies wurde in der Version 0 6 43 1 ausgebessert Es gab auch Verwirrung dar ber wie der Schl s
217. esco Poli mitgeteilt wurden 1 6 2 Version 3 10 November 2006 nderung von Javier Fern ndez Sanguino Pefia e Gab Beispiele wie rdepends von apt cache verwendet wird Wurde von Ozer Sarilar vorgeschlagen e Korrigierte den Verweis auf das Benutzerhandbuch von Squid auf Grund seines Umzugs Wurde von Oskar Pearson dem Herausgeber mitgeteilt e Korrigierte Informationen ber umask seine logins defs nicht limits conf wo dies f r einen Anmeldungen konfiguriert werden kann Stellte den Standard von Debian und strengere Werte f r Benutzer und Root dar Vielen Dank an Reinhard Tartler f r das Auf finden des Fehlers 1 6 3 Version 3 9 Oktober 2006 nderung von Javier Fern ndez Sanguino Pefia Kapitel 1 Einleitung 9 e F gte Informationen hinzu wie man Sicherheitsl cken verfolgt Hinweis auf den Debian Testing Sicherheits Tracker e F gte weitere Informationen ber die Sicherheitsunterst tzung f r Testing hinzu e Korrigierte eine gro e Anzahl von Tippfehlern mit einem Patch von Simon Brandmair e F gte einen Abschnitt hinzu wie das Root Prompt bei initramfs abgestellt wird Wurde von Max Attems beigesteuert e Entfernte Verweise auf queso e Hinweis in der Einleitung dass nun auch Testing vom Sicherheitsteam unterst tzt wird 1 6 4 Version 3 8 Juli 2006 Anderung von Javier Fern ndez Sanguino Pe a e Schrieb die Hinweise neu wie man SSH in einer Chroot Umgebung einsperrt um die verschiedenen O
218. et der cyrus Server im Paket cyrus imapd dies indem er den gesamten Zugriff zu einer Datenbasis in einem beschr nkten Teil des Dateisystems limitiert Auch uw imapd installieren Sie entweder das uw imapd oder besser wenn Ihre IMAP Clients es unterst tzen das uw imapd ss1 Paket kann konfiguriert wer den das Mailverzeichnis der Benutzer in ein Chroot Gef ngnis einzusperren dies ist jedoch nicht standardm ig aktiviert Die angebotene Dokumentation enth lt mehr Informationen wie man dies konfiguriert Es ist ebenso empfehlenswert einen IMAP Server laufen zu haben der keine neuen Benut zer im lokalen System erfordert dies w rde auch einen Shell Zugang erm glichen Sowohl courier imap f r IMAP und courier pop teapop f r POP3 und cyrus imapd f r POP3 und IMAP bieten Server mit Authentifizierungsmethoden neben den lokalen Benutzer konten cyrus kann alle Authentifizierungsmethoden die mittels PAM konfiguriert werden k nnen verwenden w hrenddessen teapop Datenbanken wie postgresql und mysql f r die Benutzerauthentifizierung nutzen kann Die Liste der in Debian verftigbaren Mail Daemons erhalten Sie wie folgt apt cache search mail transport agent Die Liste wird qmail nicht enthalten da dies nur im Quellcode im Paket qmail src vertrieben wird Eine Liste von Servern Daemonen die diese Protokolle in Debian anbieten kann wie folgt erhalten werden S apt cache search pop3 server apt cache search imap server
219. exec SDAEMON chroot SCHRDIR stop echo n Stopping web server NAME start stop daemon stop pidfile SCHRDIR SPIDFILE umount var chroot apache proc m reload echo n Reloading NAME configuration start stop daemon stop pidfile SCHRDIR SPIDFILE signal USR1 startas SDAEMON chroot SCHRDIR m reload modules echo n Reloading NAME modules oknodo Kapitel H Chroot Umgebung f r Apache 271 start stop daemon stop pidfile SCHRDIR SPIDFILE oknodo retry 30 start stop daemon start pidfile PIDFILE exec SDAEMON chroot SCHRDIR restart 0 reload modules exit rm force reload 0 reload modules exit rm x echo Usage etc init d SNAME start stop reload reload modules fo exit 1 ri esac if 0 then echo exit 0 else echo failed exit 1 fi FIXME should the first Apache process be run as another user than root i e add chuid chrapach chrapach Cons chrapach will need write access to the logs which is awk ward e Ersetzen Sie in etc logrotate d apache var log apache x log durch var chroot apache var log apache log e Starten Sie Apache etc init d apache start und berpr fen Sie was im Pro tokoll des Gef ngnisses gemeldet wird var chroot apache var log apache error 1og Wenn Ihre Einstellung komplexer sein sollte z B wenn Sie auch PHP und MySQL einsetzen werden wahrscheinl
220. f einem Vorfall auf Seite 195 e Fragen Sie nach Hilfe Sie k nnen die Mailingliste debian security benutzen und um Rat fragen wie Sie Ihr System wiederherstellen oder patchen e Benachrichtigen Sie Ihren lokalen CERT http www cert org wenn einer exis tiert ansonsten sollten Sie sich vielleicht direkt mit CERT in Verbindung setzen Das k nnte Ihnen helfen vielleicht aber auch nicht aber wenigstens wird CERT ber laufen de Angriffe informiert Diese Information ist sehr wertvoll um herauszufinden welche Werkzeuge und Angriffsarten von der Blackhat Community verwendet werden Da keine Datei Deskriptoren mehr vorhanden sind k nnte das System nicht mehr antworten bis das Zeitlimit der TCP Verbindungen berschritten wurde rool roo roo rool EF EE EI by Kapitel 12 H ufig gestellte Fragen Frequently asked Questions FAQ 218 12 2 8 Wie verfolge ich einen Angriff zur ck Sie k nnen einen Angriff zu seinem Ursprung zur ckverfolgen indem Sie die Logs wenn sie nicht ge ndert wurden mit Hilfe eines Systems zur Eindringlingserkennung siehe Aufsetzen einer Eindringlingserkennung auf Seite 187 traceroute whois oder hnlicher Werkzeuge einschlie lich forensischer Analyse durchsehen Wie Sie auf diese Informationen reagieren und was Sie als Angriff betrachten h ngt ausschlie lich von Ihren Sicherheitsrichtlinien ab Ist ein einfacher Scan ein Angriff Ist die Pr fung auf eine Verwund
221. fen Die aktuelle Fas sung verwendet PKI um die Checksummen der Binaries zu signieren Dies hat den Vorteil dass festgestellt werden kann ob das Binary ver ndert wurde und wer es erstellt hat bsign verwendet GPG elfsign benutzt PKI X 509 Zertifikate OpenSSL 4 16 4 Aufsetzen einer berpr fung von setuid Das Debian Paket checksecurity enth lt einen Cron Job der t glich in etc cron daily checksecurity ausgef hrt wird Dieser Cron Job f hrt das Skript usr sbin checksecurity aus das Informationen ber nderungen sichert Das Standard Verhalten sendet diese Informationen nicht an den Superuser Stattdessen er stellt es eine t gliche Kopie dieser Anderungen unter var log setuid changes Sie soll In lteren Ver ffentlichungen war checksecurity in cron integriert und die Datei hie etc cron daily standard Kapitel 4 Nach der Installation 86 ten die Variable MAILTO in etc checksecurity conf auf root setzen damit diese Informationen an ihn gemailt werden Sehen Sie sich auch checksecurity 8 f r weitere Konfigurations Informationen an 4 17 Absicherung des Netzwerkzugangs FIXME Mehr f r Debian spezifischer Inhalt ben tigt 4 17 1 Konfiguration der Netzwerkf higkeiten des Kernels Viele F higkeiten des Kernels k nnen w hrend des Betriebs ver ndert werden indem etwas an das proc Dateisystem geschickt wird oder indem sysctl benutzt wird Wenn Sie sbin sysctl A eingeben k nnen
222. gang durch das Archiv durch Dadurch k nnen die Pakete automa tisch f r alle Architekturen 30 Minuten oder eine Stunde oder so nach dem Hochladen erstellt werden Allerdings werden Sicherheitsaktualisierungen etwas anderes behandelt als normale Aktualisierungen die von den Paketbetreuern vorgenommen werden da in manchen F llen vor einer Ver ffentlichung die Aktualisierungen nochmals getestet werden m ssen eine Anweisung geschrieben werden muss oder eine Woche oder mehr gewartet werden muss um zu verhindern dass der Fehler ver ffentlicht wird bevor nicht alle Linux Anbieter eine vern nftige Chance hatten ihn zu beheben Folglich arbeitet das Archiv der Sicherheitsuploads nach dem folgenden Ablauf dieser wird Accepted Autobuilding genannt e Jemand findet ein Sicherheitsproblem e Jemand l st das Problem und l dt die L sung in den Eingang von security master debian org hoch dieser jemand ist normalerweise ein Mitglied des Sicherheits teams kann aber auch ein Paketbetreuer mit einer passenden Verbesserung sein der sich zuvor mit dem Sicherheitsteam in Verbindung gesetzt hat Die nderungs bersicht changelog beinhaltet ein testing security oder stable security als Zieldistribution e Die hochgeladenen Dateien werden von einem Debian System berpr ft verarbeitet und in die Warteschleife der angenommenen Dateien weitergeleitet Danach werden die Buildds benachrichtigt Auf die Dateien in der Warteschleife kann
223. gen Im ersten Fall m ssen Sie mit base passwd eine Benutzer oder Gruppen ID erstellen Wenn der Benutzer verf gbar ist muss das Paket das Sie anbieten m chten eine Abh ngigkeit vom Paket base passwd enthalten Im zweiten Fall m ssen Sie den Systembenutzer entweder entweder preinst oder postinst er stellen und daf r sorgen dass das Paket von adduser gt 3 11 abh ngt Im folgenden Programmbeispiel soll gezeigt werden wie der Benutzer oder Gruppe mit deren Rechten der Daemon laufen wird bei der Installation oder Aktualisierung des Pakets erstellt wird Les case 1 in install upgrade If the package has default file it could be sourced so that the local admin can overwrite the defaults f etc default packagename amp amp etc default packagename Sane defaults z SSERVER_HOME amp amp SERVER_HOME server_dir z SSERVER_USER amp amp SERVER_USER server_user z SSERVER_NAME amp amp SERVER_NAME Server description z SSERVER_GROUP amp amp SERVER_GROUP server_group Groups that the user will be added to if undefined then none ADDGROUP create user to avoid running server as root 1 create group if not existing if getent group grep q SSERVER_GROUP then echo n Adding group SERVER_GROUP addgroup quiet system SSERVER_GROUP 2 gt dev null true
224. gsw rdige Informati onsquelle die Mailingliste debian security announce DSAs die auf der Webseite ver ffentlicht wurden k nnen aktualisiert werden nachdem sie an ffentliche Mailinglisten verschickt wurden Eine typische Aktualisierung ist einen Querver weis auf Datenbanken mit Sicherheitsl cken hinzuzuf gen Auch bersetzungen der DSAs werden nicht an die Sicherheitsmailinglisten geschickt sondern sind direkt auf der Webseite enthalten bersetzungen sind in bis zu zehn verschiedenen Sprachen verf gbar Kapitel 7 Die Infrastruktur f r Sicherheit in Debian 139 7 2 1 Querverweise der Verwundbarkeiten Debian stellt eine vollst ndige Tabelle mit Querverweisen http www de debian org security crossreferences zur Verf gung die alle verf gbaren Verweise f r die An weisungen seit 1998 enth lt Diese Tabelle soll die Verweis bersicht von CVE http cve mitre org cve refs refmap source DEBIAN html erg nzen Sie werden bemerkt haben dass die Tabelle Verweise auf Sicherheitsdatenbanken wie Bugtraq http www securityfocus com bid CERT CC Anweisungen http www cert org advisories und US CERT Vulnerability Notes Database http www kb cert org vuls und auf die CVE Bezeichnungen siehe unten enth lt Diese Verweise werden zur Nutzerfreundlichkeit angeboten aber nur der CVE Verweise werden regelm ig berpr ft und eingef gt Dieses Feature wurde im Juni 2002 der Webseite hinzugef gt
225. haben k nnen weil das Installationsmedium nicht auf dem aktuellen Stand ist Dies ist f r gew hnlich dann der Fall wenn Sie von lteren Medien wie CD ROMs installieren In diesem Fall k nnte Ihr System bereits kompromittiert sein bevor Sie mit der Installation fertig sind Kapitel 3 Vor und w hrend der Installation 38 Da die Debian Installation und das Aktualisieren ber das Internet durchgef hrt werden k n nen denken Sie vielleicht es sei eine gute Idee dies gleich w hrend der Installation zu nut zen Wenn das System direkt mit dem Internet verbunden ist und nicht von einer Firewall oder NAT gesch tzt wird ist es besser das System ohne Internet Verbindung zu installieren Benutzen Sie sowohl f r die zu installierenden Pakete als auch f r die Sicherheits Updates eine lokale Quelle mirror Sie k nnen einen Paket Mirror aufsetzen indem Sie ein anderes System nutzen dass mit dem Internet verbunden ist und f r Debian spezifische Werkzeuge falls es sich um ein Debian System handelt wie apt move oder apt proxy oder andere gebr uchliche Werkzeuge zur Erstellung von Quellen verwendet Damit kann das Archiv f r das installierte System zur Verf gung gestellt werden Sollte dies nicht m glich sein sollten Sie Firewall Regeln aufsetzen die den Zugriff auf Ihr System beschr nken w hrend Sie das Update durchf hren siehe Schutz der Sicherheitsaktualisierung durch eine Firewall auf Sei te 245 3 4 Setzen Sie ei
226. hen they cannot be disabled also included patch provided by Aarre Laakso e Update aj s apt check sigs script e Apply patch Carlo Perassi fixing URLs e Apply patch from Davor Ocelic fixing many errors typos urls grammar and FIXMEs Also adds some additional information to some sections e Rewrote the section on user auditing highlight the usage of script which does not have some of the issues associated to shell history 1 6 12 Version 3 0 December 2004 Changes by Javier Fern ndez Sanguino Pefia Rewrote the user auditing information and include examples on how to use script 1 6 13 Version 2 99 March 2004 Changes by Javier Fern ndez Sanguino Pefia e Added information on references in DSAs and CVE Compatibility e Added information on apt 0 6 apt secure merge in experimental e Fixed location of Chroot daemons HOWTO as suggested by Shuying Wang Kapitel 1 Einleitung 13 e Changed APACHECTL line in the Apache chroot example even if its not used at all as suggested by Leonard Norrgard e Added a footnote regarding hardlink attacks if partitions are not setup properly e Added some missing steps in order to run bind as named as provided by Jeffrey Prosa e Added notes about Nessus and Snort out of dateness in woody and availability of back ported packages e Added a chapter regarding periodic integrity test checks e Clarified the status of testing regarding security updates Debian bug 233955 e Added mor
227. hentifizierung benutzt wird e welches Verfahren innerhalb einer Sitzung benutzt wird e wie Passw rter berpr ft werden Die folgende Beschreibung ist weit davon entfernt komplett zu sein F r weitere Informatio nen k nnen Sie The Linux PAM System Administrator s Guide http www kernel org pub linux libs pam Linux PAM html pam html auf der PAM Hauptseite http www kernel org pub linux libs pam lesen diese Dokumentation ist auch in dem Paket 1ibpam doc enthalten PAM bieten Ihnen die M glichkeit durch mehrere Authentifizierungsschritte auf einmal zu gehen ohne dass der Benutzer es wei Sie k nnen gegen eine Berkeley Datenbank und gegen die normale passwd Datei authentifizieren und der Benutzer kann sich nur einloggen wenn er beide Male korrekt authentifiziert wurde Sie k nnen viel einschr nken mit PAM genauso wie Sie Ihr System weit ffnen k nnen Seien Sie also vorsichtig Eine typische Konfigurati onszeile hat ein Kontrollfeld als zweites Element Generell sollte es auf requisite gesetzt werden so wird ein Loginfehler erzeugt wenn eines der Module versagt Die erste Sache die ich gerne mache ist MD5 Unterst tzung zu den PAM Anwendungen hinzuzuf gen da dies gegen lexikalische Attacken hilft da Passw rter l nger sein k nnen wenn sie MD5 benutzen Die folgenden zwei Zeilen sollten Sie in allen Dateien unterhalb von etc pam d hinzuf gen die Zugriff auf Ihre Maschine gew hren wie zum Beispiel login
228. hf hren Der ganz berwiegende An teil der Exploits nutzt bekannte Sicherheitsl cken aus die nicht rechtzeitig ausgebessert wur den Dies wird in der Ver ffentlichung von Bill Arbaugh http www cs umd edu waa vulnerability html dargestellt die 2001 auf dem IEEE Symposium on Security and Pri vacy vorgestellt wurde Das Durchf hren einer Aktualisierung wird unter Ausf hren von Sicherheitsupdates auf Seite 48 beschrieben Kapitel 10 Vor der Kompromittierung 181 berpr fung von Hand welche Sicherheitsaktualisierungen verf gbar sind Debian besitzt ein Werkzeug um zu berpr fen ob ein System aktualisiert werden muss siehe Tiger unten Viele Nutzer wollen aber einfach von Hand berpr fen ob Sicherheitsaktualisie rungen f r ihr System zur Verf gung stehen Wenn Sie Ihr System nach der Beschreibung unter Ausf hren von Sicherheitsupdates auf Seite 48 eingerichtet haben m ssen Sie nur Folgendes tun apt get update apt get upgrade s berpr fen der zu aktualisierenden Paket su apt get upgrade checkrestart Neustart der Dienste die neu gestartet werden m ssen m Ho Sk H Weiter miissen alle Dienste deren Bibliotheken aktualisiert wurden neu gestartet werden Be merkung Lesen Sie Ausfiihren von Sicherheitsupdates auf Seite 48 fiir weitere Informationen zu Bibliotheks und Kernel Aktualisierungen Die erste Zeile wird die Liste der verfiigba
229. ho PROBLEMS WITH component comp SX fi fi done Sokaycomps echo o Okay Sokaycomps echo done echo Results echo Narr j echo allokay true cd tmp apt release check diff lt cat BAD MISSING NOCHECK OK sort lt cd var lib apt lists amp amp find cd tmp apt release check if grep q UNVALIDATED then allokay false echo The following files in var lib apt lists have not been validated echo This could turn out to be a harmless indication that this script echo is buggy or out of date or it could let trojaned packages get onto Kapitel 7 Die Infrastruktur f r Sicherheit in Debian 159 EI echo your system fmt echo sed s lt UNVALIDATED echo if grep q BAD then fi allokay false echo The contents of the following files in var lib apt lists does not echo match what was expected This may mean these sources are out of dat echo that the archive is having problems or that someone is actively echo using your mirror to distribute trojans if am_root then echo The files have been renamed to have the extension FAILED and echo will be ignored by apt cat BAD while read a do mv var lib apt lists a var lib apt lists a FAIL Sal Oo done fi fmt echo sed s DAD echo if grep q MISSING then fi allokay false echo The following files from var lib apt lists
230. hon beendete Netzwerkverbindung ankn pfen und Befehle an die entfernte Shell schicken kann das ist ziemlich einfach wenn die entfernte Shell wie bei telnet nicht verschl sselt ist In einige entfernte System wurde sogar schon durch ein unt tiges und abgel stes screen eingedrungen Die automatische Trennung von unt tigen Benutzern ist gew hnlich ein Teil der lokalen Si cherheitsregeln die durchgesetzt werden m ssen Es gibt mehrere Wege dies zu tun e Wenn die Shell des Benutzers die Bash ist kann ein Systemadministrator TMOUT einen Standardwert zuweisen vergleich bash 1 Das hat zur Folge dass die Shell automa tisch entferne unt tige Nutzer ausloggt Beachten Sie dass der Wert mit der 0 Option gesetzt werden muss Ansonsten w re es den Nutzern m glich ihn zu ver ndern oder zu l schen Installieren Sie timeoutd und konfigurieren Sie etc timeouts passend zu Ihren lo kalen Sicherheitsrichtlinien Der Daemon achtet auch unt tige Nutzer und beendet ihre Shells gegebenenfalls e Installieren Sie autolog und richten Sie es so ein dass es unt tige Nutzer entfernt Vorzugsw rdige Methoden sind die Daemonen timeoutd und autolog da letzten Endes die Nutzer ihre Standardshell ndern k nnen oder zu einer anderen unbeschr nkten Shell wechseln k nnen nachdem sie ihre Standardshell gestartet haben Kapitel 4 Nach der Installation 73 4 11 Die Nutzung von tcpwrappers TCP Wrapper Schutzumschl ge f r
231. hrem ffentli chen Schl sselbund befinden Um beispielsweise gnupg so einzurichten dass es den oben genannten Key Server verwendet m ssen Sie die Datei gjnupg options bearbeiten und folgende Zeile hinzuf gen Tats chlich gibt es f r das Antivirus Programm F prot das Installationspaket f prot installer das zwar nicht frei aber f r Heimanwender kostenlos ist Allerdings l dt dieser Installer nur F prot s Software http www f prot com products home_use linux herunter und installiert sie Weitere Beispiele wie Sie gnupg konfigurieren k nnen finden Sie in usr share doc mutt examples gpg rc Kapitel 8 Sicherheitswerkzeuge in Debian 171 keyserver wwwkeys pgp net Die meisten Key Server sind miteinander verbunden Wenn Sie also Ihren ffentlichen Schl s sel einem hinzuf gen wird er an alle anderen Key Server weitergereicht Da w re auch noch das Debian GNU Linux Paket debian keyring das die ffentlichen Schl ssel aller Debian Entwickler enth lt Der Schl sselbund von gnupg wird in usr share keyrings instal liert Weitere Informationen e GnuPG FAQ http www gnupg org faq html e Das GNU Handbuch zum Schutze der Privatsph re http www gnupg org gph de manual index html e Gnu Privacy Guard GnuPG Mini Howto http www dewinter com gnupg_ howto german GPGMiniHowto html e comp security pgp FAQ http www uk pgp net pgpnet pgp faq e Keysigning Party HOWTO http www
232. http bugs debian org 206458 203759 http pugs debian org 203759 204424 http bugs debian org 204424 210762 http bugs debian org 210762 211213 http bugs debian org 211213 und die Diskussion auf debian devel http lists debian org debian devel1 2003 debian devel 200309 msg01133 html Kapitel 4 Nach der Installation 79 e kernel patch adamantix bietet die Patches an die f r die Debian Distribution Ada mantix http www adamantix org entwickelt wurden Dieser Patch f r den Kernel 2 4 x f hrt einige Sicherheitsf higkeiten wie nichtausf hrbaren Speicher durch den Einsatz von PaX http pageexec virtualave net und Mandatory Ac cess Control auf Grundlage von RSBAC http www rsbac org ein Andere Fea tures sind der Random PID Patch http www vanheusden com Linux sp ein mit AES verschl sseltes Loop Ger t Unterst tzung von MPPE und eine Zur ckportie rung von IPSEC v2 6 e cryptoloop source Dieser Patch erlaubt Ihnen die F higkeiten der Crypto API des Kernels zu verwenden um verschl sselte Dateisysteme mit dem Loopback Ger t zu er stellen Kernel Unterst tzung von IPSEC im Paket kernel patch openswan Wenn Sie das IPsec Protokoll mit Linux verwenden wollen ben tigen Sie diesen Patch Damit k nnen Sie ziemlich leicht VPNs erstellen sogar mit Windows Rechnern da IPsec ein verbreite ter Standard ist Psec Fahigkeiten wurden in den Entwicklungskernel 2 5 eingef gt so dass die
233. i Ri chard vorgeschlagen wurde e Erweiterte den Abschnitt ber Sicherheitsaktualisierungen die Aktualisierung von Bi bliotheken und des Kernels betreffen und wie man herausfindet ob Dienste neu gestar tet werden m ssen e Schrieb den Abschnitt ber die Firewall neu habe die Informationen die Woody betref fen nach unten verschoben und die brigen Abschnitte erweitert einschlie lich Hinwei sen dazu wie man von Hand eine Firewall einrichtet mit einem Beispielsskript und wie man die Konfiguration der Firewall testen kann e F gte einige Informationen hinzu bez glich der Ver ffentlichung von Debian 3 1 e F gte ausf hrlichere Hinweise zu Kernelupgrades hinzu die sich besonders an diejeni gen richten die das alte Installationssystem verwenden Kapitel 1 Einleitung 12 e F gte einen kurzen Abschnitt ber die experimentelle Ver ffentlichung von apt 0 6 die die berpr fung von Paketsignaturen enth lt Verschob den alten Inhalt in den Abschnitt und f gte auch einen Verweis auf die Ver nderungen die in aptitude vorgenommen wurden hinzu e Ausbesserungen von Tippfehlern die von Fr d ric Bothamy entdeckt wurden 1 6 11 Version 3 1 January 2005 Changes by Javier Fern ndez Sanguino Pefia e Added clarification to ro usr with patch from Joost van Baal e Apply patch from Jens Seidel fixing many typos e FreeSWAN is dead long live OpenSWAN e Added information on restricting access to RPC services w
234. ians IP spoofing protection echo 1 gt proc sys net ipv4 conf IFACE rp_filter Disable ICMP redirect acceptance echo 0 gt proc sys net ipv4 conf SIFACE accept_redirects echo 0 gt proc sys net ipv4 conf STIFACE send_redirects Disable source routed packets echo 0 gt proc sys net ipv4 conf SIFACE accept_source_route exit 0 Eine andere L sungsm glichkeit ist es ein init d Skript zu erstellen und es beim Booten auszuf hren verwenden Sie update rc d um die passenden rc d Links herzustellen 4 17 4 Konfiguration der Firewall Um die M glichkeiten einer Firewall zu haben damit entweder das lokale System oder andere dahinter besch tzt werden muss der Kernel mit Firewall Unterst tzung kompiliert worden sein Der Standardkernel von Debian 2 2 Linux 2 2 stellt die Paketfilter Firewall ipchains zur Verf gung Der Standardkernel von Debian 3 0 Linux 2 4 enth lt die stateful Paketfilter Firewall iptables netfilter In jedem Fall ist es recht einfach einen anderen als den mit Debian gelieferten Kernel zu benut zen Sie finden vorkompilierte Kernel als Pakete vor die Sie leicht auf Ihrem Debian System installieren k nnen Mit Hilfe des Pakets kernel source X k nnen Sie auch die Kernelquel len herunterladen und einen ma geschneiderten Kernel kompilieren indem Sie make kpkg aus dem Paket kernel package benutzen Auf das Aufsetzen einer Firewall unter Debian wird unter Hinzuf gen von F
235. ich Dateien fehlen Wenn einige Dateien nicht automatisch von make jail kopiert werden k nnen Sie diese in den Optionen forceCopy um Dateien direkt zu kopieren oder packages um ganze Pakete mit ihren Abh ngigkei ten zu kopieren in der Konfigurationsdatei etc makejail apache py auff hren e Geben Sieps aux grep apache ein um sicherzustellen dass Apache l uft Sie soll ten etwas in dieser Art sehen Kapitel H Chroot Umgebung f r Apache 272 root 180 0 0 1 1 2936 1436 S 04 03 0 00 usr sbin apache chrapach 189 0 0 2960 1456 S 04 03 0 00 usr sbin apache chrapach 190 0 0 1 1 2960 1456 S 04 03 0 00 usr sbin apache chrapach 191 0 0 1 1 2960 1456 S 04 03 0 00 usr sbin apache chrapach 192 0 0 1 1 2960 1456 S 04 03 0 00 usr sbin apache chrapach 193 0 0 2960 1456 S 04 03 0 00 usr sbin apache e Stellen Sie sicher dass die Apache Prozesse in einer chroot Umgebung laufen Betrach ten Sie dazu das proc Dateisystem 1s la proc process_number root wobei process_number einer der PID Nummern ist die oben aufgef hrt wurden z B 189 in der zweiten Reihe Die Eintr ge des eingeschr nkten Verzeichnisbaums sollten Sie sich auflisten lassen Arwxr sr x 10 root staff 240 Dec 2 16 06 drwxrwsr x 4 root staff 72 Dec 2 08 07 drwxr xr x 2 root root 144 Dec 2 16 05 kin drwxr xr x 2 root root 120 Dec 3 04 03 dev drwxr xr x 5 root root 408 Dec 3 04 03 etc drwxr xr x 2 root root 8
236. ich mit dem Hauptautor C Autoren auf Seite 1 in Verbindung Erweiterung der Informationen zur Reaktion auf einen Zwischenfall unter Umst nden auch mit einigen Vorschl gen von Red Hats Sicherheitsanleitung chapter on incident response http www redhat com docs manuals linux RHL 9 Manual security guide ch response html Vorstellen von entfernten berwachungswerkzeugen um die Erreichbarkeit des Sys tems zu berpr fen wie monit daemontools und mon Vergleiche http linux oreillynet com pub a linux 2002 05 09 sysadminguide html Uberpriifung ob http www giac org practical gsec Chris_Koutras_ GSEC pdf wichtige Informationen hat die hier noch nicht behandelt werden Informationen wie man einen Laptop mit Debian einrichtet http www giac org practical gcux Stephanie_Thomas_GCUX pdf Informationen wie man unter Debian GNU Linux eine Firewall aufsetzt Der Firewalls betreffende Abschnitt orientiert sich derzeit an Einzelplatz Systemen die keine anderen System sch tzen m ssen auch auf das Testen des Setups eingehen e Wie man eine Proxy Firewall unter Debian GNU Linux aufsetzt unter der Angabe wel che Pakete Proxy Dienste anbieten zum Beispiel xfwp ftp proxy redir smtpd dnrd jftpgw cops pdnsd perdition transproxy tsocks Sollte zu einer An leitung mit weiteren Informationen verweisen Erw hnenswert ist dass zorp jetzt Teil von Debian ist und eine Proxy Firewall ist und auch der Programmautor Debian
237. icherheitsproblemen Diese Anleitung geht normalerweise nicht im Detail darauf ein warum bestimmte Sachen als Sicherheitsrisiko betrachtet werden Es w re aber sicherlich von Vorteil wenn Sie mehr Hintergrundwissen von der Sicherheit in Unix im Allgemeinen und von der in Linux im Be sonderen haben Nehmen Sie sich die Zeit um sicherheitsrelevante Dokumente zu lesen um Kapitel 2 Bevor Sie beginnen 30 Entscheidungen informiert treffen zu k nnen wenn Sie eine Auswahl treffen m ssen Debi an GNU Linux basiert auf dem Linux Kernel so dass viele Informationen ber Linux und sogar ber andere Distributionen und allgemeine UNIX Sicherheit auch hierauf zutreffen so gar wenn sich die benutzten Werkzeuge oder die verf gbaren Programme unterscheiden Ein Paar n tzliche Dokumente sind e Das Linux Security HOWTO http www tldp org HOWTO Security HOWTO auch unterLinuxSecurity http www linuxsecurity com docs LDP Security HOWTO html verf gbar ist eine der besten Referenzen ber allgemei ne Linux Sicherheit e Das Security Quick Start HOWTO for Linux http www tldp org HOWTO Security Quickstart HOWTO ist ein sehr guter Anfang f r unerfahrene Nutzer sowohl ber Linux als auch zum Thema Sicherheit e Der Linux Security Administrator s Guide http seifried org lasg ist eine komplette Anleitung die alle Sicherheitsangelegenheiten von Linux behandelt von Si cherheit im Kernel bis hin zu VPNs Beacht
238. icy ACCEPT target prot opt source destination iptables A OUTPUT d security debian org dport 80 j ACCEPT iptables A INPUT p icmp j ACCEPT iptables A INPUT j LOG iptables A OUTPUT j LOG iptables P INPUT DROP iptables P FORWARD DROP iptables P OUTPUT DROP iptables L Chain INPUT policy DROP O Se S S S OH H HEHE target prot opt source destination ACCEPT all 0 0 0 0 0 0 0 0 0 0 state RELATED E ACCEPT icmp 0 0 0 0 0 0 0 0 0 0 LOG all anywhere anywhere LOG level warni Chain FORWARD policy DROP target prot opt source destination Chain OUTPUT policy DROP target prot opt source destination ACCEPT 80 anywhere security debian org LOG all anywhere anywhere LOG level warni Hinweis Es ist die vorzugsw rdige Verfahrensweise die Policy Regel DROP f r die Input Kette zu verwenden Seien Sie aber u erst vorsichtig wenn Sie dies bei einer entfernten Ver bindung unternehmen Wenn Sie das Regelwerk Ihrer Firewall aus der Ferne testen ist es am besten wenn Sie ein Skript mit dem Regelwerk laufen lassen anstatt jede Regel Zeile f r Zeile von der Befehlszeile aus einzugeben und sich vorsorglich eine Hintert r offen halten so dass Sie wieder Zugriff auf Ihr System bekommen wenn Sie einen Fehler gemacht haben Auf diese Weise m ssen Sie sich nicht auf den Weg zum entfernten Rechner machen um die Firewall Regel mit der
239. ie Benut zer mit Administratorenrecht in base passwd beinhaltet Folgender Befehl ist ein einfacher Weg alle Systemkonten zu etc ftpusers hinzuzuf gen awk F if 3 lt 1000 print 1 etc passwd gt etc ftpusers 4 10 5 Verwendung von su Wenn es wirklich ben tigt wird dass Nutzer der Super User also Root d U auf Ihrem System werden zum Beispiel um Pakete zu installieren oder neue Benutzer anzulegen k nnen Sie das Programm su benutzen um Ihre Identit t zu wechseln Sie sollten jeden Login als Nutzer Root vermeiden und stattdessen das Programm su benutzen Eigentlich ist die beste L sung su zu entfernen und zu sudo zu wechseln da es eine feinere Steuerung und mehr M glichkeiten bietet als su Wie auch immer su ist verbreiteter und wird auf vielen Unices benutzt Kapitel 4 Nach der Installation 65 4 10 6 Verwendung von sudo Das sudo erlaubt es dem Benutzer ein definiertes Kommando unter einer anderen Nutze ridentit t auszuf hren sogar als Root Wenn der Nutzer zu etc sudoers hinzugef gt ist und sich korrekt authentifiziert ist er in der Lage Kommandos die in etc sudoers de finiert wurden auszuf hren Sicherheitsverletzungen wie ein inkorrektes Passwort oder der Versuch ein Programm auszuf hren f r das Ihre Rechte nicht ausreichen werden protokolliert und an root gemailt 4 10 7 Administrativen Fernzugriff verweigern Sie sollten etc security access conf ebenfalls so ver ndern dass
240. ie Nicht Distributions Software installieren wollen sollte eine sepa rate Partition erhalten Nach dem File Hierarchy Standard w ren dies opt oder usr local Wenn dies separate Partitionen sind werden sie nicht gel scht falls Sie einmal Ihr Debian neu installieren m ssen e Rein sicherheitstechnisch ist es sinnvoll zu versuchen statische Daten auf eine eigene Partition zu legen und diese dann als nur lesbar einzuh ngen mounten Oder noch besser legen Sie diese Daten auf einem nicht beschreibbares Medium ab Lesen Sie dazu die Ausf hrungen weiter unten Im Falle eines Mailservers ist es wichtig eine separate Partition f r die Mail Warteschlange mail spool anzulegen Nicht Lokale Nutzer k nnen wissentlich oder unwissentlich diese Verzeichnisse var mail oder var spool mail berf llen Liegt dieses Verzeichnis auf einer separaten Partition w rde dies das System nicht sofort unbenutzbar machen Anderen falls wenn das Verzeichnis auch auf der var Partition liegt hat das System ein gro es Pro blem Protokoll Eintr ge logs k nnen nicht erstellt werden Pakete k nnen nicht installiert werden und es k nnten sogar ein paar Programme Probleme mit dem Starten haben wenn Sie var run benutzen Au erdem sollten Sie f r Partitionen deren Platzbedarf Sie noch nicht absch tzen k nnen den Logical Volume Manager 1vm common und die ben tigten ausf hrbaren Programme entwe der 1vm10 oder 1vm2 installieren Durch Benu
241. ie die Protokolle F r einen etwas breiteren Sicherheitsrahmen sollten Sie sich Prelude http www prelude ids org ansehen Debians Paket snort hat viele Sicherheitstests standardm ig eingeschaltet Jedoch sollten Sie die Konfiguration anpassen um die Dienste die auf Ihrem System laufen zu ber cksichtigen Sie k nnen auch zus tzliche Tests speziell f r diese Dienste nutzen Es gibt noch andere einfachere Werkzeuge die dazu benutzt werden k nnen Angriffe auf das Netzwerk zu erkennen portsentry ist ein interessantes Paket dass Sie warnen kann wenn jemand Ihre Rechner scannt Auch andere Programme wie ippl oder iplogger erkennen bestimmte IP TCP und ICMP Angriffe auch wenn sie nicht so fortgeschrittene Techniken zur Erkennung von Netzwerkangriffen wie snort bieten Sie k nnen jedes dieser Werkzeuge mit dem Paket idswakeup testen Das ist ein Shell Skript das falsche Alarme verursacht und Signaturen vieler gebr uchlicher Angriffe enth lt 10 3 2 Host basierende Eindringlingserkennung Eine Eindringlingserkennung die auf einem Host basiert beruht darauf Software auf dem zu berwachenden System zu laden die Log Dateien und die Auditing Programme des Sys Kapitel 10 Vor der Kompromittierung 189 tems als Datengrundlage verwendet Sie sucht nach verd chtigen Prozessen kontrolliert den Zugang zum Host und berwacht u U auch nderungen an kritischen Systemdateien tiger ist ein lteres Programm zur Eindringli
242. ie grep r tmp aus f hren Diese Verweise sollten berpr ft werden und fest einprogrammierte Dateinamen in tempor ren Verzeichnissen in Shell Skripten mit mkt emp oder tempfile in Perl Skripten mit File Temp 3perl und in C C mit tmpfile 3 ersetzt werden Es stehen Ihnen einige Werkzeuge zur Verf gung die Sie dabei unterst tzen den Quellco de auf Sicherheitsprobleme hin zu berpr fen Dazu z hlen rats flawfinder und pscan Weitere Informationen finden Sie in der Liste der Werkzeuge die vom Debian Security Audit Team verwendet werden http www de debian org security audit tools Beim Paketieren von Software sollten Entwickler darauf achten dass sie allgemein anerkannte Sicherheitsprinzipien einhalten Dazu geh ren e Die Software sollte mit so geringen Rechten wie m glich laufen Falls das Paket Binaries mit setuid oder setgid enth lt wird Lintian vor setuid http lintian debian org reports Tsetuid binary html set gid http lintian debian org reports Tsetgid binary html und setuid und setgid http lintian debian org reports Tsetuid gid binary html Binaries warnen Die Daemons die in einem Paket enthalten sind sollten mit den Rechten eines Be nutzers laufen der nur geringe Privilegien besitzt vergleichen Sie dazu Benutzer und Gruppen f r Daemons erstellen auf der n chsten Seite e Automatisierte Aufgaben also mit cron sollten NICHT mit Root Rechten laufen Zu mindest
243. ien UNAM CERT http www unam cert unam mx Mexiko CERT Funet http www cert funet fi Finn land DFN CERT http www dfn cert de Deutschland RUS CERT http cert uni stuttgart de Deutschland CERT IT http security dico unimi it Italien JPCERT CC http www jpcert or jp Japan UNINETT CERT http cert uninett no Norwegen HR CERT http www cert hr Kroatien CERT Polskay http www cert pl Polen RU CERT http www cert ru Russland SI CERT http www arnes si si cert Slowenien IRIS CERT http www rediris es cert Spanien SWITCH CERT http www switch ch cert Schweiz TWCERT CC http www cert org tw Taiwan und CERT CC http www cert org USA Kapitel 11 Nach einer Kompromittierung Reaktion auf einem Vorfall 198 Forensische Analysen sollten immer auf einer Sicherheitskopie der Daten angewendet werden niemals auf die Daten selbst da sie durch diese Analyse beeinflusst werden k nnten und so Beweismittel zerst rt werden w rden Weiterf hrende Informationen ber forensische Analyse k nnen Sie in Dan Farmers und Wietse Venemas Buch Forensic Discovery http www porcupine org forensics forensic discovery online verf gbar in ihrer Computer Forensics Column http www porcupine org forensics column html und in ihrem Computer Forensic Ana lysis Class Handouts http www porcupine org forensics handouts html fin den Eine weitere sehr gute
244. ig Passw rter welche als MD5 Hashwerte gespeichert werden Dies ist im Allgemeinen eine sehr gute Idee da es l ngere Passw rter und bessere Verschl sselung erlaubt Mit MD5 sind Passw rter m glich die l n ger als 8 Zeichen sind Auf diese Weise kann man es einem Angreifer schwieriger machen mit Kapitel 3 Vor und w hrend der Installation 39 Brute Force Methoden an die Passw rter heranzukommen Dies ist die Standardeinstellung in den neuesten Versionen des Pakets passwd Sie erkennen MD5 Passworter brigens in der etc shadow an dem Anfang 1 Dies ver ndert allerdings alle Dateien im Verzeichnis etc pam d und erg nzt in der password Zeile den Eintrag md5 password required pam_unix so md5 nullok obscure min 6 max 16 Wird f r max nicht ein Wert gr er als 8 gew hlt ist diese nderung ziemlich sinnlos Weitere Informationen dazu finden Sie unter Nutzerauthentifizierung PAM auf Seite 58 Beachten Sie Die Standardeinstellung in Debian ver ndert nicht den vorher gew hlten max Wert auch dann nicht wenn MD5 aktiviert wird 3 6 Lassen Sie so wenige Dienste wie m glich laufen Dienste sind Programme wie FTP und Web Server Da sie nach eingehenden Verbindungen die den Dienst anfordern horchen m ssen k nnen sich externe Computer mit Ihrem Computer verbinden Dienste sind manchmal verwundbar zum Beispiel durch einen bestimmten Angriff kompromittierbar und stellen dadurch ein Sicherheitsrisiko
245. igegeben Es ist nicht m glich drei Distributionen zu unterst tzen die gleichzeitige Unterst tzung f r zwei ist bereits schwierig genug Kapitel 12 H ufig gestellte Fragen Frequently asked Questions FAQ 226 12 3 23 Wie kann ich die Integrit t der Pakete pr fen Dieser Prozess umfasst das Pr fen der Release Datei Signatur gegen den ffentlichen Schl s sel erh ltlich unter http ftp master debian org ziyi_key_2006 asc der f r die Archive verwendet wird Die Release Datei enth lt die MD5 Pr fsummen der Packages und Sources Dateien die MD5 Pr fsummen der Bin r und Quellcodepakete enthalten Ausf hrlichere Anweisungen wie man die Paket Integrit t pr fen kann k nnen hier deb pack sign nachgelesen werden 12 3 24 Was soll ich tun wenn ein zuf lliges Paket nach einer Sicherheitsaktuali sierung nicht mehr funktioniert Zuerst sollten Sie herausfinden warum dieses Paket nicht mehr funktioniert und wie es mit der Sicherheitsaktualisierung zusammenh ngt Danach sollten Sie sich an das Sicherheits Team wenden wenn es ein schwerwiegendes Problem ist oder an den Stable Release Betreuer wenn es weniger schwerwiegend ist Es geht hier um zuf llige Pakete die nach der Aktualisierung eines anderen Paketes nicht mehr funktionieren Wenn Sie nicht herausfinden k nnen was schief geht aber eine L sung gefunden haben wenden Sie sich auch an das Sicherheits Team Es k nnte jedoch sein dass man Sie an den Stable Re
246. igen Programmen durch f hren die Sie von gehackten Systemen haben sollten Sie dies in einer sicheren Umgebung durchf hren z B in einem bochs oder xen Image oder in einer chroot Umgebung eines Benutzers mit geringen Rechten Andernfalls k nnte auch auf Ihrem eigenen System eine Hintert r eingerichtet oder Root Rechte erlangt werden 4Seien Sie u erst vorsichtig wenn sie Chroots einsetzen wollen da das Binary durch Ausnutzung eines Kernel Exploits seine Rechte erweitern und es ihm dar ber gelingen k nnte Ihr System zu infizieren Kapitel 11 Nach einer Kompromittierung Reaktion auf einem Vorfall 199 Falls Sie an der Analyse von Malware interessiert sind sollten Sie das Kapitel Malwa re Analysis Basics http www porcupine org forensics forensic discovery chapter6 html aus dem Forensik Buch vom Dan Farmer und Wietse Venema lesen Kapitel 11 Nach einer Kompromittierung Reaktion auf einem Vorfall 200 201 Kapitel 12 H ufig gestellte Fragen Frequently asked Questions FAQ Dieses Kapitel f hrt Sie in ein paar der am h ufigsten gestellten Fragen in der Security Mailingliste von Debian ein Sie sollten sie lesen bevor Sie dort etwas posten oder die Leute werden Ihnen RTFM sagen 12 1 Sicherheit im Debian Betriebssystem 12 1 1 Ist Debian sicherer als X Ein System ist so sicher wie der Administrator f hig ist es sicher zu machen Debians Stan dardinstallation von Diensten zielt dar
247. igstens indirekt aufgerufen wird Das Programm getty welches auf der Konsole l uft und die anf ngliche Loginaufforderung zu Verf gung stellt ruft login auf FAIL_DELAY 10 Diese Variable sollte auf einen h heren Wert gesetzt werden um es schwerer zu machen mit tels Brute Force roher Gewalt stures Durchprobieren Anm d bers auf einem Terminal einzuloggen Wenn ein falsches Passwort eingegeben wird muss der potenzielle Angreifer aber auch der normale Benutzer 10 Sekunden warten um einen neuen login Prompt zu be kommen was auf die Dauer viel Zeit kostet wenn sie Passw rter durch testen Beachten Sie jedoch die Tatsache dass diese Einstellung nutzlos ist wenn Sie ein anderes Programm als getty benutzen wie zum Beispiel mingetty FAILLOG_ENAB yes Wenn Sie diese Variable einschalten werden fehlgeschlagene Logins protokolliert Es ist wich tig hier auf dem Laufendem zu bleiben um jemanden zu fassen der eine Brute Force Attacke versucht LOG_UNKFAIL_ENAB no Wenn Sie diese Variable auf yes setzen werden auch unbekannte Benutzernamen protokol liert wenn eine Anmeldung scheitert Es ist zu empfehlen sie auf oo den Standard zu belas sen da anderenfalls das Passwort eines Benutzers aufgezeichnet werden k nnte falls er n m lich versehentlich anstatt seines Benutzernames sein Passwort eingibt Falls Sie sie dennoch auf yes setzen m ssen Sie sicher gehen dass die Protokolldateien
248. in Falls nicht werfen Sie einen Blick auf die Datei syslog conf und deren Dokumentation Wenn Sie ein sicheres System betreuen wollen sollten Ihnen be kannt sein wohin Log Meldungen geschickt werden so dass sie nicht unbeachtet bleiben Zum Beispiel ist es f r viele Produktiv Systeme sinnvoll Meldungen auch auf der Konsole auszugeben Aber bei vielen solcher Systeme ist es sehr wichtig auch eine neue Maschine zu haben die f r die anderen als ein Loghost fungiert d h sie empf ngt die Logs aller anderen Systeme Sie sollten auch an Mails f r Root denken da viele Sicherheits Kontrollen wie snort ihre Alarme an die Mailbox von root senden Diese Mailbox zeigt normalerweise auf den ersten Nutzer der auf dem System erstellt wurde pr fen Sie dazu etc aliases Sorgen Sie da f r dass roots Mails irgendwo hin geschickt werden wo sie auch gelesen werden lokal oder ferngesteuert Es gibt noch andere Accounts mit besonderer Funktion und andere Aliase auf Ihrem System Auf einem kleinen System ist es wohl am einfachsten sicherzustellen dass alle Aliase auf den Root Account zeigen und dass Mails an root in das pers nliche Postfach des System Administrator weiter geleitet werden FIXME It would be interesting to tell how a Debian system can send receive SNMP traps related to security problems jfs Check snmptrapfmt snmp and snmpd 4 12 3 Nutzen eines loghosts Ein Loghost ist ein Host der die syslog Daten ber ein Netzwer
249. in Einbrecher der das System durch einen Dienst kom promittierte oder ein au er Kontrolle geratener Daemon so viel CPU Speicher Stack etc benutzen wie das System zur Verf gung stellen kann Dieses Problem der berbeanspruchung von Ressourcen kann mit der Nutzung von PAM gel st werden Es gibt einen Weg Ressourcen Limits zu manchen Shells hinzuzuf gen zum Beispiel hatbash ulimit siehe bash 1 Aber da nicht alle die gleichen Limits zur Verf gung stellen und da der Nutzer seine Shell ndern kann siehe chsh 1 ist es besser die Limits in den PAM Modulen zu platzieren da diese unabh ngig von der verwendeten Shell Anwendung finden und auch PAM Module betreffen die nicht shellorientiert sind Ressourcen Limits werden vom Kernel verh ngt aber sie m ssen durch limits conf kon figuriert werden und die PAM Konfiguration der verschiedenen Dienste muss das passende PAM laden Sie k nnen herausfinden welche Dienste Limits durchsetzen indem Sie Folgendes ausf hren find etc pam d name x dpkg xargs grep limits grep F r gew hnlich nehmen login ssh und die grafischen Sitzungsmanager gdm kdm und xdm Nutzerlimits in Anspruch aber Sie sollte dies auch in anderen Konfigurationsdateien f r PAM wie f r cron tun um zu verhindern dass Systemdaemonen alle Systemressourcen aufbrau chen Die konkreten Begrenzungen die Sie festlegen wollen h ngt von den Ressourcen Ihres Sys tems ab Das ist einer der Hau
250. in k nftigen Ausgaben dieses Handbuchs ber cksichtigt werden Dieses Handbuch wurde als HOWTO von Alexander Reelsen mailto ar rhwd de ins Leben gerufen Nachdem es im Internet ver ffentlicht wurde gliederte es Javier Fern ndez Sanguino Pe a mailto jfs debian org in das Debian Dokumentations Projekt http www debian org doc ein Zahlreiche Menschen haben etwas zu diesem Handbuch bei gesteuert alle Beitrage sind im Changelog aufgefiihrt aber die folgenden haben gesonderte Erw hnung verdient da sie bedeutende Beitr ge geleistet haben ganze Abschnitte Kapitel oder Anh nge e Stefano Canepa e Era Eriksson e Carlo Perassi e Alexandre Ratti e Jaime Robles e Yotam Rubin e Frederic Schutz e Pedro Zorzenon Neto e Oohara Yuuma e Davor Ocelic Bei Fehlern in dieser bersetzung wenden Sie sich bitte an den aktuellen deutschen bersetzer Simon Brandmair mailto sbrandmair gmx net oder wenn dieser nicht erreichbar ist an die Mailingliste mailto debian 110n german lists debian org 1 2 Wo Sie diese Anleitung bekommen und verf gbare Formate Sie k nnen sich die neueste Version der Anleitung zum Absichern von Debian beim Debian Dokumentationsprojekt http www de debian org doc manuals securing debian howto herunterladen oder anschauen Wenn Sie eine Kopie von einer anderen Seite lesen berpr fen Sie bitte die Hauptversion ob sie neue Informationen enth lt Wenn Sie eine bersetzung lesen was Sie im
251. ine PCMCIA Karte in Ihr Notebook stecken Le sen Sie die Datei README Debian in Ihrer named Dokumentation usr share doc bind README Debian f r mehr Informationen hierzu Es gab in letzter Zeit viele Sicherheitspro bleme mit BIND so dass es n tzlich ist den Benutzer zu wechseln wenn es m glich ist Wir werden die Schritte die dazu n tig sind detailliert auff hren Wenn Sie dies automatisch ma chen lassen wollen k nnen Sie das Skript in Beispielskript um die Standard Installation von Bind zu ndern auf Seite 241 ausprobieren Beachten Sie dass dies nur auf die BIND Version 8 zutrifft In den Debian Paketen f r die BIND Version 9 wird der Benutzer bind erstellt seit Version 9 2 1 5 ist in Sarge enthalten und mit der Variable OPTIONS in etc default bind9 verwendet Wenn Sie BIND 9 einsetzen und Ihr Nameserver nicht als Benutzer bind l uft sollten Sie die Einstellungen in dieser Datei berpr fen Um BIND unter einem anderen Benutzer laufen zu lassen m ssen Sie zun chst einen zu s tzlichen Benutzer und eine zus tzlich Gruppe daf r erstellen es ist keine gute Idee f r alle Kapitel 5 Absichern von Diensten die auf Ihrem System laufen 113 Dienste die Sie nicht als Root laufen lassen den Benutzer nobody und die Gruppe nogroup zu benutzen In diesem Beispiel wird der Benutzer und die Gruppe named verwendet Sie k nnen diese anlegen indem Sie die folgenden Kommandos eingeben addgroup na
252. ion auf das Basis System reduzieren k nnten Sie auf Abwege geraten und mehr installieren als Sie wirklich ben ti gen Da Sie bereits wissen was Sie mit Ihrem System machen wollen oder etwa nicht sollten Sie nur Software installieren die Sie wirklich f r den Betrieb ben tigen Jedes unn tig installierte Programm k nnte von einem Nutzer der Ihr System kompromittieren will genutzt werden oder von einem externen Eindringling der Shell Zugriff bekommen hat oder der Code von au erhalb durch einen fehlerhaften Dienst ausf hren kann Zum Beispiel kann das Vorhandensein von Hilfsprogrammen f r Programmierer ein C Compiler oder Interpretern wie Perl s u Python tcl einem Angreifer helfen das System weiter zu kompromittieren Unter Debian Woody ist das Basis System etwa 400 500MB gro Probieren Sie Folgendes size 0 for i in grep A 1 B 1 Section base var lib dpkg available grep A 2 Priority requiredgrep Installed Sizecut d f 2 do size size i done echo size 47762 Kapitel 3 Vor und w hrend der Installation 43 e Der Angreifer kann seine Privilegien auf dem System erweitern Es ist beispielsweise leichter eine lokale Sicherheitsl cke des Systems auszunutzen wenn man einen Debug ger und Compiler zur Verf gung hat um den eigenen Exploit ein Programm das eine Sicherheitsl cke ausnutzt zu kompilieren und zu testen e Man k nnte dem Angreifer Werkzeuge
253. ipt INITD has been changed trying to test the changes echo Restarting the named daemon check for errors here SINITD restart if ne 0 then echo ERR Failed to restart the daemon restore exit 1 fi RUNNING ps eo fname grep named if z SRUNNING then echo ERR Named is not running probably due to a problem with the chan restore exit 1 E Check if it s running as expected RUNUSER ps eo user fname grep named cut f 1 qa N if RUNUSER SUSER then echo All has gone well named seems to be running now as USER else echo ERR The script failed to automatically change the system echo ERR Named is currently running as RUNUSER restore exit 1 fi exit 0 Dieses Skript wenn es auf Woodys Debian 3 0 angepassten bind Version 8 angewendet wird wird die initd Datei ver ndern nachdem der Benutzer und die Gruppe named erstellt wurde 245 Anhang F Schutz der Sicherheitsaktualisierung durch eine Firewall Nach einer Standard Installation k nnten immer noch Sicherheitsl cken auf dem System vor handen sein Falls Sie die Aktualisierungen f r die verwundbaren Paket nicht auf einem an deren System herunterladen k nnen oder security debian org zu lokalen Zwecken spiegeln k nnen m ssen Sie sich mit dem Internet verbinden um die Pakete herunterzuladen Wenn Sie sich jedoch mit dem Internet verbinden se
254. irewall F higkeiten auf Seite 122 ausf hrlich eingegangen 4 17 5 L sung des Problems der Weak End Hosts Auf Systemen mit mehr als einer Schnittstelle zu verschiedenen Netzwerken k nnen Dienste so eingerichtet werden dass sie Verbindungen nur zu einer bestimmte IP Adresse zulassen Normalerweise verhindert das Zugang zu diesen Diensten wenn an sie Anfragen ber andere Adressen gestellt werden Allerdings bedeutet das nicht dass der Dienst an eine bestimmte Hardware Adresse Netzwerkkarte gebunden ist ein verbreiteter Irrtum 7 Um das nachzuvollziehen folgendes Beispiel das von Felix von Leitner auf der Bugtraq Mailingliste vorge stellt wurde Kapitel 4 Nach der Installation 92 Das ist kein Problem von ARP und auch keine Verletzung eines RFCs es wird in RFC1122 ftp ftp isi edu in notes rfc1122 txt Abschnitt 3 3 4 2 als weak end host be zeichnet Vergessen Sie nicht dass IP Adressen nichts mit dem physischen Schnittstellen zu tun haben Im Kernel 2 2 und davor k nnte dieses Problem so gel st werden echo 1 gt proc sys net ipv4 conf all hidden echo 1 gt proc sys net ipv4 conf eth0 hidden echo 1 gt proc sys net ipv4 conf ethl hidden Bei sp teren Kernel kann das folgenderma en gel st werden e Regeln f r iptables e Richtig konfiguriertes Routing Oder e Patchen des Kernels In diesem Text finden sich viele Falle in denen gezeigt wird wie man einige Dienste s
255. iskussionen zu allen sicherheitsrelevanten Fragen teilnehmen k nnen Um wichtige Warnungen zu Sicherheitsaktualisierungen zu erhalten senden Sie eine E Mail an debian security announce request lists debian org mailto debian security announce request lists debian org mit dem Wort subscribe in der Betreffzeile Sie k nnen diese moderierte E Mail Liste unter http www de debian org MailingLists subscribe auch ber das Web abonnie ren Diese Mailingliste hat ein sehr geringes Aufkommen und indem Sie sie abonnieren werden Sie sofort ber Sicherheitsaktualisierungen der Debian Distribution informiert Dies erlaubt Ihnen sehr schnell neue Pakete mit Sicherheitsaktualisierungen herunterzuladen was sehr wichtig ist um ein sicheres System zu verwalten siehe Ausf hren von Sicherheitsupdates auf Seite 48 f r weitere Details wie Sie dies machen 47 Kapitel 4 Nach der Installation Wenn das System installiert ist k nnen Sie es noch weiter absichern indem Sie einige der in diesem Kapitel beschriebenen Schritte ausf hren Nat rlich h ngt dies vor allem von Ihrem Setup ab aber um physischen Zugriff zu verhindern sollten Sie nderungen im BIOS noch einmal auf Seite 51 Ein Passwort f r LILO oder GRUB einstellen auf Seite 52 Entfernen des Root Promptes aus dem Kernel auf Seite 53 Einschrankender Konsolen Zugang auf Seite 54 und System Neustart von der Konsole aus einschr nken auf Seite 5
256. k nnen da es M glichkeiten gibt diese zu berlisten wie in Ausgabe 58 http packetstorm linuxsecurity com mag phrack phrack58 tar gz des phrack Magazins oder in COREs Advisory Multiple vulnerabilities in stack smashing protec tion technologies http online securityfocus com archive 1 269246 beschrie ben 6Sie sind in der Tat so verbreitet dass sie die Grundlage fiir 20 aller gemeldeten Sicherheitsmangel pro Jahr darstellen wie von statistics from ICAT s vulnerability database http icat nist gov icat cfm function statistics herausgefunden wurde Kapitel 4 Nach der Installation 8 Wenn Sie Ihren Schutz gegen Puffer berl ufe unabh ngig von der gew hlten Methode testen wollen k nnen Sie paxtest installieren und die angebotenen Tests laufen lassen 4 14 1 Kernelpatch zum Schutz vor Puffer berl ufen Ein Kernelpatch der Schutz vor Puffer berl ufen bietet ist der Openwall Patch der diese im Linux Kernel 2 2 verhindern soll F r 2 4 oder neuere Kernel m ssen Sie die Umsetzung von Exec Shield oder die von PaX ist im Grsecurity Patch kernel patch 2 4 grsecurity und im Adamantix Patch kernel patch adamantix enthalten benutzen F r weitere In formationen zum Einsatz dieser Patches lesen Sie den Abschnitt Den Kernel patchen auf Sei te 78 4 14 2 Schutz durch libsafe Es ist ziemlich einfach ein Debian GNU Linux System mit libsafe zu sch tzen Sie m s sen nur das Paket installieren und Ja s
257. k sammelt Wenn eine Ihrer Maschinen geknackt wird kann der Eindringling seine Spuren nicht verwischen solange er den Loghost nicht ebenfalls geknackt hat Demzufolge muss der Loghost also besonders si cher sein Aus einer Maschinen einen Loghost zu machen ist relativ einfach Starten Sie den syslogd einfach mit syslogd r und ein neuer Loghost ist geboren Um dies unter Debian dauerhaft zu machen editieren Sie etc init d sysklogd und ndern Sie die Zeile SYSLOGD SYSLOGD r Kapitel 4 Nach der Installation 77 Als n chstes konfigurieren Sie die anderen Maschinen Ihre Daten an den Loghost zu senden F gen Sie einen Eintrag hnlich dem folgenden zu der etc syslog conf hinzu fac ility level Ihr_Logh ost Schauen Sie in die Dokumentation um zu erfahren wodurch Sie facility und level ersetzen k n nen Sie sollten nicht w rtlich bernommen werden Wenn Sie alles fern mit loggen wollen schreiben Sie einfach Ihr_Logh ost in Ihre syslog conf Sowohl lokal als auch entfernt mitzuloggen ist die beste L sung ein Angreifer k nnte davon ausgehen dass er seine Spuren verwischt hat nachdem er die lo kale Log Datei gel scht hat F r weitere Informationen sehen Sie sich die Handbuch Seiten syslog 3 syslogd 8 und syslog conf 5 an 4 12 4 Zugriffsrechte auf Log Dateien Es ist nicht nur wichtig zu entscheiden wie Warnungen genutzt werden sondern auch wer hierauf Zugriff hat d h wer Log Da
258. l Seite des Debian Wikis http wiki debian org Firewalls die auch einen Vergleich der verschiedenen Pakete enth lt abgerufen werden Seien Sie gewarnt dass manche der zuvor skizzierten Pakete Firewall Skripte einf hren die beim Systemstart ausgef hrt werden Testen Sie diese ausf hrlich bevor Sie neustarten oder Sie finden sich selbst ausgesperrt vor Ihrem Rechner wieder Wenn Sie verschiedene Firewall Pakete mischen kann dies zu unerw nschten Nebeneffekten f hren Gew hnlich wird das Firewall Skript das zuletzt ausgef hrt wird das System konfigurieren was Sie so vielleicht nicht vorhatten Sehen Sie hierzu in der Paketdokumentation nach und benutzen Sie nur eines dieser Setups Wie bereits zuvor erl utert sind einige Programme wie firestarter guarddog und knetfilter graphische Administrations Schnittstellen die entweder GNOME oder KDE die letzte beiden benutzen Diese sind viel benutzerorientierter z B f r Heimanwender als einige der anderen Pakete in der Liste die sich eher an Administratoren richten Einige der Programme die zuvor aufgef hrt wurden wie bastille fokussieren auf dem Erstellen von Firewall Regeln zum Sch tzen des Rechners auf dem sie laufen sind aber nicht notwendiger weise daf r geschaffen Firewall Regeln f r Rechner zu erstellen die ein Netzwerk sch tzen wie shorewall oder fwbuilder Es gibt einen weiteren Typ von Firewall Anwendungen Anwendungs Proxys Wenn Sie eine M glichkeit such
259. l f r den Virusscanner clamav des Scanner Daemons clamav daemon als auch f r die Daten die der Scanner ben tigt verf gbar Da es f r die richtig Arbeit eines Antivirus Programms entscheidend ist dass seine Daten auf dem neusten Stand sind gibt es zwei verschiedene Weg um diese Daten aktuell zu halten clamav freshclam er ffnet die M glichkeit die Datenbank automatisch ber das Internet zu aktualisieren und clamav data stellt die Daten un mittelbar zur Verf gung e mailscanner ist ein Gateway Scanner der in E Mails Viren und Spam entdeckt Er ar beitet auf der Grundlage von sendmail oder exim und kann mehr als 17 verschiedene Virensuch Engines einschlie lich clamav verwenden Wenn Sie das letztere Paket verwenden und ein offizielles Debian betreiben wird die Datenbank nicht im Zuge von Sicherheitsaktualisierung auf den neusten Stand gebracht Sie sollten entweder clamav freshclam clamav getfiles verwenden um neue clamav data Pakete zu erstellen oder die Datenbank ber die Seite der Betreuer aktuell halten deb http people debian org zugschlus clamav data deb src http people debian org zugschlu Kapitel 8 Sicherheitswerkzeuge in Debian 169 e libfile scan perl welches File Scan liefert Das ist eine Erweiterung von Perl mit der Dateien nach Viren durchsucht werden k nnen Mit diesem Modul k nnen plattfor munabh ngige Virenscanner realisiert werden e Amavis Next Generation http www
260. l vorhanden Andere empfohlene Linux B cher e Maximum Linux Security A Hacker s Guide to Protecting Your Linux Server and Net work Anonymous Paperback 829 pages Sams Publishing ISBN 0672313413 July 1999 e Linux Security By John S Flowers New Riders ISBN 0735700354 March 1999 e Hacking Linux Exposed http www linux org books ISBN_0072127732 html By Brian Hatch McGraw Hill Higher Education ISBN 0072127732 April 2001 Andere B cher auch ber allgemeine Aspekte von Sicherheit unter Unix nicht nur Linuxspe zifisch e Practical Unix and Internet Security 2nd Edition http www ora com catalog puis noframes html Garfinkel Simpson and Spafford Gene O Reilly Associates ISBN 0 56592 148 8 1004pp 1996 e Firewalls and Internet Security Cheswick William R and Bellovin Steven M Addison Wesley 1994 ISBN 0 201 63357 4 320pp Andere n tzliche Webseiten um sich bez glich Sicherheit auf dem Laufenden zu halten e NIST Security Guidelines http csrc nist gov fasp index html e Security Focus http www securityfocus com Dort wird die Bugtraq Schwachstellen Datenbank und Mailingliste bereitgestellt und es gibt allgemeine sicherheitsrelevante Informationen Neuigkeiten und Berichte Kapitel 2 Bevor Sie beginnen 32 e Linux Security http www linuxsecurity com Allgemeine Informationen zu Sicherheit von Linux Tools Neuigkeiten Die Seite main documentation http www
261. lease Betreuer weiterleitet 227 Anhang A Der Abh rtungsprozess Schritt f r Schritt Eine Anleitung die Schritt f r Schritt darstellt wie ein Debian 2 2 GNU Linux System nach der Installation abgeh rtet wird ist unten aufgef hrt Das ist nur eine denkbare Herangehens weise von einem solchen Vorgang Sie ist am Absichern von Netzwerkdiensten orientiert und stellt den gesamten Anlauf der Konfiguration vor Vergleichen Sie auch Checkliste der Konfi guration auf Seite 231 e Installieren Sie das System Beachten Sie dabei die Informationen dieses HOWTOs be z glich der Partitionierung Nach der Basis Installation nehmen Sie eine angepasste In stallation vor W hlen Sie keine Task Pakete aus Aktivieren Sie shadow passwords e Entfernen Sie mit dselect alle nicht ben tigten aber ausgew hlten Pakete bevor Sie Ilnstallation w hlen Behalten Sie nur die absolut notwendige Software auf dem System e Aktualisieren Sie die ganze Software mit den aktuellen Paketen von security debian org wie bereits unter Ausf hren von Sicherheitsupdates auf Seite 48 beschrieben e Implementieren Sie die in dieser Anleitung vorgeschlagenen Ma nahmen zu User Quotas Ausgestaltung des Logins und Lilo e Machen Sie sich eine Liste von allen Diensten die derzeit auf Ihrem System laufen Ver suchen Sie dazu Folgendes ps aux netstat pn 1 A inet usr sbin lsof i grep LISTEN Damit das dritte Kommando funktionie
262. len eines Honigtopfs in Lanze Spitzners exzellentem Artikel To Build a Honeypot http www net security org text articles spitzner honeypot shtml aus der Know your Enemy Serie Au erdem stellt das Honeynet Pro ject http project honeynet org wertvolle Informationen ber das Aufstellen von Honigt pfen und der Analyse von Angriffen auf sie zur Verf gung Sie sollten typischerweise eine Bridge Firewall einsetzen damit die Firewall selbst nicht entdeckt werden kann Lesen Sie mehr dazu unter Aufsetzen einer berbr ckenden Firewall bridge Firewall auf Seite 237 Kapitel 10 Vor der Kompromittierung 194 195 Kapitel 11 Nach einer Kompromittierung Reaktion auf einem Vorfall 11 1 Allgemeines Verhalten Wenn Sie w hrend eines Angriffs physisch anwesend sind sollte Ihre erste Reaktion sein den Rechner vom Netzwerk zu trennen indem Sie das Kabel aus der Netzwerkkarte ziehen wenn das keinen nachteiligen Einfluss auf Ihre Gesch fte hat Das Netzwerk auf Schicht 1 abzu schalten ist der einzig wirklich erfolgreiche Weg um den Angreifer aus dem gehackten Rech ner herauszuhalten weiser Ratschlag von Phillip Hofmeister Allerdings k nnen einige Werkzeuge die durch Rootkits Trojaner oder sogar unehrlichen Be nutzern ber eine Hintert r installiert wurden diesen Vorgang erkennen und auf ihn reagie ren Es ist nicht wirklich lustig wenn Sie sehen dass rm rf ausgef hrt wird wenn Sie das Netzwe
263. len kann die einzelne Prozesse oder Benutzer einschr nken Jedoch kann der Iptables Code so konfiguriert werden dass er dies kann siehe dazu das owner Modul in der Handbuchseite iptables 8 Kapitel 5 Absichern von Diensten die auf Ihrem System laufen 124 5 14 2 Sch tzen anderer Systeme durch eine Firewall Eine Debian Firewall kann auch so installiert werden dass sie mit Firewall Regeln Systeme hinter ihr besch tzt indem sie die Angriffsfl che zum Internet hin einschr nkt Eine Firewall kann so konfiguriert werden dass ein Zugriff von Systemen au erhalb des lokalen Netzwerks auf interne Dienste Ports unterbunden wird Zum Beispiel muss auf einem Mail Server ledig lich Port 25 auf dem der Mail Dienst aufsetzt von au en zug nglich sein Eine Firewall kann so konfiguriert werden dass sogar wenn es neben den ffentlich zug nglichen noch andere Netzwerkdienste gibt direkt an diese gesendete Pakete verworfen werden dies nennt man filtern Sie k nnen eine Debian GNU Linux Maschine sogar so konfigurieren dass sie als Bridge Firewall berbr ckender Schutzwall fungiert d h als eine filternde Firewall die kom plett transparent zum gesamten Netzwerk erscheint ohne IP Adresse auskommt und daher nicht direkt attackiert werden kann Abh ngig von dem installierten Kernel m ssen Sie viel leicht den Bridge Firewall Patch installieren und dann 802 1d Ethernet Bridging in der Kernel Konfiguration und die neue Optio
264. licht damit sie mit apt abgerufen werden k nnen siehe Ausf hren von Sicherheitsupdates auf Seite 48 Zur gleichen Zeit wird eine Debian Sicherheits Ank ndigung DSA auf der Web seite ver ffentlicht und an ffentliche Mailinglisten einschlie lich debian security announce http lists debian org debian security announce und Bugtraq geschickt Einige andere h ufige Fragen zum Sicherheitsteam von Debian k nnen unter Fragen zum Sicherheitsteam von Debian auf Seite 219 gefunden werden 7 2 Debian Sicherheits Ank ndigungen Debian Sicherheits Ank ndigungen DSA werden erstellt sobald eine Sicherheitsl cke ent deckt wird die ein Debian Paket ber hrt Diese Anweisungen die von einem Mitglied des Sicherheitsteams signiert sind enthalten Informationen zu den betroffenen Versionen und den Orten der Aktualisierungen und ihrer MD5 Summen Die Informationen sind e Versionsnummer der Ausbesserung e Art des Problems e Obes aus der Ferne oder lokal ausnutzbar ist e Kurze Beschreibung des Pakets e Beschreibung des Problems Beschreibung des Exploits e Beschreibung der Ausbesserung DSAs werden sowohl auf der Hauptseite von Debian http www de debian org als auch auf den Sicherheitsseiten von Debian http www debian org security ver f fentlicht Das passiert normalerweise nicht bis die Website neu erstellt wurde alle vier Stun den Daher k nnten sie nicht sofort vorhanden sein Somit ist die vorzu
265. lier client gtk Gtk Client fireflier client kde KDE Client oder fireflier client qt QT Client installieren e F r Server Systeme textbasiert fwbuilder eine objektorientierte graphische Oberfl che die Richtlinien Compiler f r verschiedene Firewall Plattformen inklusive Linux netfilter BSDs pf verwen det in OpenBSD NetBSD FreeBSD und MacOS X ebenso wie Zugriffslisten von Kapitel 5 Absichern von Diensten die auf Ihrem System laufen 126 Routern enth lt Es ist hnlich zu Enterprise Firewall Management Software Die vollst ndige Funktionalit t von fwbuilder ist auch von der Kommandozeile ver f gbar shorewall ein Firewall Konfigurationswerkzeug das Unterst tzung f r IPsec so wie beschr nkte Unterst tzung f r Traffic Shaping und die Definition der Firewall Regeln bietet Die Konfiguration geschieht durch eine einfache Menge von Dateien die verwendet werden um die iptables Regeln aufzustellen bastille diese H rtungsanwendung ist in Automatisches Abh rten von Debian Systemen auf Seite 133 beschrieben Einer der H rtungsschritte die der Adminis trator konfigurieren kann ist eine Definition des erlaubten und verbotenen Netz werkverkehrs der verwendet wird eine Anzahl von Firewall Regeln die das Sys tem am Start ausf hrt zu generieren Es gibt in Debian auch noch eine Menge anderer Frontends f r Iptables Eine vollst ndige Lis te kann auf der Firewal
266. linuxsecurity com resources documentation 1 html ist sehr n tz lich e Linux firewall and security site http www linux firewall tools com linux Allgemeine Informationen zu Linux Firewalls und Tools diese zu kontrollieren und zu administrieren 2 3 Wie geht Debian mit der Sicherheit um Um einen allgemeinen berblick ber die Sicherheit unter Debian GNU Linux zu bekommen sollten Sie sich ansehen was Debian tut um ein sicheres System zu gew hrleisten e Debians Probleme werden immer ffentlich behandelt sogar wenn sie die Sicherheit betreffen Sicherheitsfragen werden ffentlich auf der debian security Mailingliste dis kutiert Debian Sicherheits Ank ndigungen DSA werden an ffentliche Mailinglis ten sowohl intern als auch extern versendet und auf ffentlichen Servern bekannt gegeben Wie der Debian Gesellschaftsvertrag http www debian org social contract sagt Wir werden Probleme nicht verbergen Wir werden unsere Fehlerdatenbank immer ffentlich betreiben Fehlermeldungen die von Perso nen online abgeschickt werden sind augenblicklich f r andere sichtbar e Debian verfolgt Sicherheitsangelegenheiten sehr aufmerksam Das Sicherheits Team pr ft viele sicherheitsrelevante Quellen die wichtigste davon Bugtraq http www securityfocus com cgi bin vulns pl w hrend es Pakete mit Sicherheitspro blemen sucht die ein Teil von Debian sein k nnen e Sicherheits Aktualisierungen genie en h chste
267. llation 37 tion f r Linux Partitionen ext2 ausgew hlt Dennoch ist es ratsam ein journaling filesys tem ein Dateisystem das nderungen mitprotokolliert zu nehmen wie zum Beispiel ext3 reiserfs jfs oder xfs Dadurch verringern Sie Probleme nach einen Absturz des Systems in folgenden F llen e Auf Laptops auf allen Dateisystemen Auf diese Art reduzieren Sie die Wahrscheinlich keit eines Datenverlustes wenn beispielsweise unerwartet Ihr Akku leer wird oder das System aufgrund eines Hardware Problems etwa durch die X Konfiguration was rela tiv h ufig auftritt neu gestartet werden muss e Auf produktiven Systemen die gro e Mengen von Daten speichern zum Beispiel Mail Server FIP Server Netzwerk Fileserver ist es empfehlenswert ein Journaling Dateisystem auf diesen Partitionen einzusetzen Wenn das System abst rzt ben tigt der Server so weniger Zeit um das Dateisystem wieder herzustellen und zu pr fen und die Wahrscheinlichkeit eines Datenverlustes wird verringert Lassen wir mal die Betrachtung der Leistung von Journaling Dateisystemen beiseite da dies oftin quasi religi se Glaubenskriege ausartet In der Regel ist es besser das ext 3 Dateisystem zu benutzen Der Grund daf r ist die Abw rtskompatibilit t zu ext 2 So k nnen Sie wenn es Probleme mit dem Journal gibt dieses einfach abschalten und haben immer noch ein funk tionierendes Dateisystem Au erdem m ssen Sie wenn Sie das System mal mit
268. llten die relevanten Ver nderung zur ckportiert werden Gew hnlich werden die Programmautoren dabei gegebenenfalls behilflich sein wenn Debians Sicherheits team nicht helfen kann Kapitel 7 Die Infrastruktur f r Sicherheit in Debian 144 In einigen F llen ist es nicht m glich Sicherheitsverbesserungen zur ckzuportieren z B wenn gro e Mengen des Quellcodes ver ndert oder neu geschrieben werden m ssten Wenn das eintritt kann es notwendig werden eine neue Version des Originalprogramms zu verwenden Das sollte aber immer im Voraus mit dem Sicherheitsteam abgestimmt werden Damit h ngt ein anderer wichtiger Punkt zusammen Entwickler m ssen immer ihre nderun gen testen Wenn es einen Exploit gibt sollte der Entwickler versuchen ob er tats chlich mit dem ungepatchten Paket gelingt und im ausgebesserten Paket scheitert Der Entwickler sollte auch den gew hnlichen Gebrauch ausprobieren da manchmal eine Sicherheitsausbesserung fast unmerklich den normalen Gebrauch beeintr chtigt Zu guter Letzt ein paar technische Dinge die Entwickler bedenken sollten e Stellen Sie sicher dass Sie sich in Ihrer Debian nderungs bersicht auf die richtige Dis tribution beziehen F r Stable ist das stable security und f r Testing testing security Be ziehen Sie sich nicht auf lt codename gt proposed updates e Stellen Sie sicher dass die Versionsnummer korrekt ist Sie muss gr er als die des ak tuellen Pakets sein aber niedrig
269. locken aller MySOL Verbindungen nur um ganz sicher zu gehen ip ip ip ip ip ip tables A FORWARD p tcp s 0 0 d 62 3 3 0 24 dport 3306 j DROP Regeln f r den Linux Mail Server Erlaube FTP DATA 20 FTP 21 SSH 22 tables A FORWARD p tcp s 0 0 0 0 0 d 62 3 3 27 32 dport 20 22 ACCE Dem Mail Server erlauben sich mit der Au enwelt zu verbinden Beachten Sie Dies ist nichtx f r die vorherigen Verbindungen notwendig erinnern Sie sich stateful filtering und k nnte entfernt werden tables A FORWARD p tcp s 62 3 3 27 32 d 0 0 j ACCEPT Regeln f r den WWW Server Erlaube HTTP 80 Verbindungen mit dem WWW Server tables A FORWARD p tcp s 0 0 0 0 0 d 62 3 3 28 32 dport 80 J ACCEPT Erlaube HTTPS 443 Verbindungen mit dem WWW Server tables A FORWARD p tcp s 0 0 0 0 0 d 62 3 3 28 32 dport 443 j ACCEPT Dem WWW Server erlauben sich mit der Au enwelt zu verbinden Beachten Sie Dies ist nichtx f r die vorherigen Verbindungen notwendig erinnern Sie sich stateful filtering und k nnte entfernt werden tables A FORWARD p tcp s 62 3 3 28 32 d 0 0 j ACCEPT 241 Anhang E Beispielskript um die Standard Installation von Bind zu ndern Dieses Skript automatisiert den Vorgang die Standardinstallation des Name Servers bind in der Version 8 zu ndern so dass er ni
270. logcheck logcheck conf die vom Pro gramm eingelesen wird und die definiert an welchen Nutzer die Testergebnisse ge schickt werden sollen Es stellt au erdem einen Weg f r Pakete zur Verf gung um neue Regeln in folgenden Verzeichnisses zu erstellen etc logcheck cracking d _packagename_ etc logcheck violations d _packagename_ etc logcheck violations ignore d _packagename_ etc logcheck ignore d paranoid _packagename_ etc logcheck ignore d server _packagename_ und etc logcheck ignore d workstation _packagename_ Leider benutzen das noch nicht viele Pakete Wenn Sie ein Regelwerk entwickelt haben dass f r andere Nutzer n tz lich sein k nnte schicken Sie bitte einen Fehlerbericht f r das entsprechende Paket als ein wishlist Fehler Mehr Informationen finden Sie unter usr share doc logcheck README Debian logcheck konfiguriert man am besten indem man nach der Installation seine Hauptkonfigu rationsdatei etc logcheck logcheck conf bearbeitet Ver ndern Sie den Benutzer an den die Berichte geschickt werden standardm ig ist das Root Au erdem sollten Sie auch den Schwellenwert f r Berichte festlegen Logcheck database hat drei Schwellenwerte mit steigender Ausf hrlichkeit Workstation Arbeitsplatz Server und paranoid server ist der Standardwert paranoid wird nur f r Hochsicherheitsmaschinen empfohlen auf denen so wenig Dienste wie m glich laufen workstation eignet sich f r r
271. m chroot wird h ufig dazu benutzt einen Daemon in einen beschr nkten Ver zeichnisbaum einzusperren Sie k nnen es dazu verwenden um Dienste von anderen abzu schirmen so dass Sicherheitsprobleme mit einem Softwarepaket den ganzen Server gef hrden k nnen Durch die Verwendung des Skripts makejail wird es viel leichter einen Verzeich nisbaum in einer chroot Umgebung einzurichten und zu aktualisieren FIXME Apache can also be chrooted using http www modsecurity org which is availa ble in libapache mod security for Apache 1 x and libapache2 mod security for Apache 2 x H 1 1 Lizenz Dieses Dokument ist urheberrechtlich von Alexandre Ratti 2002 gesch tzt Es steht unter einer doppelten Lizenz n mlich der GPL Version 2 GNU General Public License und der GNU FDL 1 2 GNU Free Documentation Licence Es wurde in dieses Handbuch mit seiner ausdr cklichen Genehmigung aufgenommen Siehe auch das Originaldokument http www gabuzomeu net alex doc apache index en html H 2 Installation des Servers Diese Vorgehensweise wurde auf Debian GNU Linux 3 0 Woody mit make jail 0 0 4 1 in Debian Testing getestet e Melden Sie sich als Root an und erstellen Sie ein neues Verzeichnis f r das Gef ngnis mkdir p var chroot apache Kapitel H Chroot Umgebung f r Apache 268 Erstellen Sie einen neuen Nutzer und eine neue Gruppe Der Apache in der chroot Umgebung wird als dieser Nutzer und Gruppe laufen die f r nichts a
272. m so 0 72x lrwxrwxrwx 1 root root 19 Jun 4 12 12 libpam_misc so 0 gt libpam_misc so 0 72x rwxr xr x 1 root root 8125 Jun 3 13 46 libpam_misc so 0 72x lrwxrwxrwx 1 root root 15 Jun 4 12 12 libpamc so 0 gt libpamc so 0 72x rwxr xr x 1 root root 10499 Jun 3 13 46 libpamc so 0 72x rwxr xr x 1 root root 176427 Jun 3 13 46 libreadline so 4 0 rwxr xr x 1 root root 44729 Jun 3 13 46 libutil so 1x rwxr xr x 1 root root 70254 Jun 3 13 46 libz ax lrwxrwxrwx 1 root root 13 Jun 4 12 13 libz so gt libz so 1 1 3 lrwxrwxrwx 1 root root 13 Jun 4 12 13 libz so 1 gt libz so 1 1 3 rwxr xr x 1 root root 63312 Jun 3 13 46 libz so 1 1 3 drwxr xr x 2 root root 4096 Jun 4 12 00 security lib security total 668 drwxr xr x 2 root root 4096 Jun 4 12 00 drwxr xr x 3 root root 4096 Jun 4 12 13 rwxr xr x 1 root root 10067 Jun 3 13 46 pam_access so rwxr xr x 1 root root 8300 Jun 3 13 46 pam_chroot sox rwxr xr x 1 root root 14397 Jun 3 13 46 pam_cracklib sox rwxr xr x 1 root root 5082 Jun 3 13 46 pam_deny sox rwxr xr x 1 root root 13153 Jun 3 13 46 pam_env sox rwxr xr x 1 root root 13371 Jun 3 13 46 pam_filter sox rwxr xr x 1 root root 7957 Jun 3 13 46 pam_ftp sox un 3 13 46 pam_group Ssox un 3 13 46 pam_issue sox rwxr xr x 1 root root 9774 Jun 3 13 46 pam_lastlog sox rwxr xr x 1 root root 13591 Jun 3 13 46 pam_limits sox rwxr xr x root root 1277 rwxr xr x root root 10174
273. male Konfiguration mit dem Paket vertrieben sieht wie folgt aus acl all src 0 0 0 0 0 0 0 0 acl manager proto cache_object acl localhost src 127 0 0 1 255 255 255 255 acl SSL_ports port 443 563 acl Safe_ports port 80 http acl Safe_ports port 21 ftp acl Safe_ports port 443 563 https snews acl Safe_ports port 70 gopher acl Safe_ports port 210 wais acl Safe_ports port 1025 65535 unregistered ports acl Safe_ports port 280 http mgmt acl Safe_ports port 488 gss http acl Safe_ports port 591 filemaker acl Safe_ports port 777 multiling http acl Safe_ports port 901 SWAT acl purge method PURGE acl CONNECT method CONNECT ee Erlaube nur cachemgr Zugriff von localhost http_access allow manager localhost http_access deny manager Erlaube nur purge Anfragen von localhost http_access allow purge localhost http_access deny purge Verbiete Anfragen zu unbekannten Ports http_access deny Safe_ports Verbiete CONNECT zu anderen als SSL Ports http_access deny CONNECT SSL_ports Kapitel 5 Absichern von Diensten die auf Ihrem System laufen 102 INSERT YOUR OWN RULE S HERE TO ALLOW ACCESS FROM YOUR CLIENTS http_access allow localhost And finally deny all other access to this proxy http_access deny all Default icp_access deny all Allow ICP queries from everyone icp_access allow all
274. me die von den Pro grammautoren oder Organisationen wie CERT http www cert org behandelt werden und die mehrere Linux Anbieter betreffen k nnen Das gilt f r alle Probleme die nicht de bianspezifisch sind Es gibt zwei M glichkeiten um mit dem Sicherheitsteam in Verbindung zu treten e team security debian org nailto team security debian org die nur die Mit glieder des Sicherheitsteams lesen e security debian org mailto security debian org die von allen Debian Entwicklern gelesen wird einschlie lich des Sicherheitsteams E Mails die an diese Liste geschickt werden werden nicht im Internet ver ffentlicht es handelt sich also nicht um eine ffentliche Mailingliste Heikle Informationen sollten an die erste Adresse geschickt werden und unter Umst nden mit dem Schl ssel von Debian Security Contact Schliissel ID 363CCD95 verschl sselt werden Wenn das Sicherheitsteam ein m gliches Problem erh lt wird es untersuchen ob die Sta ble Ver ffentlichung davon betroffen ist Wenn dies der Fall ist wird eine Ausbesserungen des Quellcodes vorgenommen Diese Ausbesserung schlie t manchmal ein dass Patches der Programmautoren zur ckportiert werden da das Originalprogramm gew hnlich eine Ver sionen weiter ist als das in Debian Nachdem die Ausbesserung getestet wurde werden Kapitel 7 Die Infrastruktur f r Sicherheit in Debian 138 neue Pakete vorbereitet und auf der Seite security master debian org ver ffent
275. med adduser system home home named no create home ingroup named disabled password disabled login named Beachten Sie dass der Benutzer named sehr eingeschr nkt ist Wenn Sie aus welchen Gr n den auch immer ein weniger eingeschr nktes Setup haben m chten benutzen Sie adduser system ingroup named named Editieren Sie nun etc init d bind mit Ihrem Lieblingseditor und ndern Sie die Zeile die mit start stop daemon start anf ngt zu start stop daemon start quiet exec usr sbin named g named u named Alternativ dazu k nnen Sie auch die Standardkonfigurationsdatei bei BIND 8 etc default bind bearbeiten und erstellen falls sie nicht vorhanden ist und Folgendes ein f gen OPTIONS u named g named ndern Sie die Rechte der Dateien die von Bind verwendet werden inklusive etc bind rndc key rw r 1 root named 77 Jan 4 01 02 rndc key und wo bind seine PID Datei erzeugt z B indem Sie var run namedanstatt von var run verwenden Beachten Sie dass Sie abh ngig von Ihrer Bind Version die Option g nicht haben h chstwahrscheinlich wenn Sie bind9 von Sarge 9 2 4 installiert haben Kapitel 5 Absichern von Diensten die auf Ihrem System laufen 114 mkdir var run named chown named named var run named vi etc named conf ndern Sie die Konfigurationsdatei um diesen neuen Pfad zu verwenden options pid file var run
276. mit vielen propriet ren Betriebssystem geliefert wird Je mehr Pakete Ohne die Tatsache in Abrede zu stellen dass einige Distributionen wie Red Hat oder Mandrake auch die Sicherheit bei ihrer Standardinstallation ber cksichtigen indem der Nutzer Sicherheitsprofile ausw hlen kann oder Wizards verwendet werden um beim Einrichten einer Personal Firewall zu helfen Kapitel 12 H ufig gestellte Fragen Frequently asked Questions FAQ 203 installiert sind desto gr er ist die M glichkeit von Sicherheitsl cken in einem System Immer mehr Menschen untersuchen den Quellcode um Fehler zu entdecken Es gibt viele Anweisungen im Zusammenhang mit Audits des Quellcodes von gro en Softwarekomponen ten die in Debian enthalten sind Immer wenn ein solcher Audit Sicherheitsl cken aufdeckt werden sie ausgebessert und eine Anweisung wird an Listen wie Bugtraq geschickt Fehler die in der Debian Distribution vorhanden sind betreffen normalerweise auch andere Anbieter und Distributionen Pr fen Sie einfach den Debian specific yes no Abschnitt am Anfang jeder Anweisung DSA 12 1 3 Hat Debian irgendein Zertifikat f r Sicherheit Die kurze Antwort Nein Die lange Antwort Zertifikate kosten Geld besonders ein seri ses Sicherheitszertifikat Nie mand hat die Ressourcen aufgebracht um Debian GNU Linux beispielsweise mit irgendei nem Level des Common Criteria http niap nist gov cc scheme st zertifizieren zu lassen W
277. mon der auf einer Netzschnittstelle horcht Falls sie durch spezielle Dateien aus genutzt werden k nnen die ber das Netz bereit gestellt werden w hrend der verwundbare Dienst nicht permanent mit dem Netz verbunden ist schreiben wir in diesen F llen lokal aus der Ferne Diese Verwundbarkeiten liegen irgendwo zwischen lokalen und solchen aus der Ferne und decken oft Archive ab die ber das Netz bereitgestellt werden k nnten z B E Mail Anh nge oder von einer Download Seite 12 3 7 Die Versionsnummer f r ein Paket zeigt an dass ich immer noch eine ver wundbare Version verwende Siehe Sie sich dazu Laut der Versionsnummer eines Paketes l uft bei mir immer noch eine angreifbare Version auf Seite 218 an 12 3 8 Wie wird die Sicherheit f r Testing und Unstable gehandhabt Die kurze Antwort ist gar nicht Testing und Unstable sind starken nderungen unterworfen und das Sicherheitsteam hat nicht die Mittel die ben tigt w rden um diese entsprechend zu unterst tzen Wenn Sie einen sicheren und stabilen Server ben tigen wird Ihnen dringend empfohlen bei Stable zu bleiben Jedoch wird daran gearbeitet dies zu ndern Das Testing Security Team http secure testing master debian net wurde gegr ndet das Unterst tzung der Sicherheit f r Testing teilweise auch f r Unstable anbietet In einigen F llen bekommt allerdings der Unstable Zweig Sicherheitsreparaturen ziemlich schnell da diese Reparaturen im Origin
278. moved other fixed ones e Manually included Era s patches since they were not all included in the previous version Kapitel 1 Einleitung 25 1 6 45 Version 1 7 Changes by Era Eriksson e Typo fixes and wording changes Changes by Javier Fern ndez Sanguino Pefia e Minor changes to tags in order to keep on removing the tt tags and substitute them for prgn package tags 1 6 46 Version 1 6 Changes by Javier Fern ndez Sanguino Pe a e Added pointer to document as published in the DDP should supersede the original in the near future e Started a mini FAQ should be expanded with some questions recovered from my mail box e Added general information to consider while securing e Added a paragraph regarding local incoming mail delivery e Added some pointers to more information e Added information regarding the printing service e Added a security hardening checklist e Reorganized NIS and RPC information e Added some notes taken while reading this document on my new Visor e Fixed some badly formatted lines e Fixed some typos e Added a Genius Paranoia idea contributed by Gaby Schilders 1 6 47 Version 1 5 Changes by Josip Rodin and Javier Fern ndez Sanguino Pe a e Added paragraphs related to BIND and some FIXMEs Kapitel 1 Einleitung 26 1 6 48 Version 1 4 e Small setuid check paragraph e Various minor cleanups e Found out how to use sgml2txt f for the txt version 1 6 49 Version 1 3
279. n 29 zo Wie geht Debian mit der Sicherheit um eti 2 eae es wen ana rn a S 32 Vor und w hrend der Installation 35 3 1 Setzen Sie ein Passwort im BIOS EN seas Re Se OR NL AN a 35 32 Par tonieren des SYSTEMS o os oce i saa a de Reset 35 3 2 1 W hlen Sie eine sinnvolle Partitionierung EE 800 35 3 3 Gehen Sie nicht ins Internet bevor Sie nicht bereitsind 37 3 4 Setzen Sie ein Passwort f r root e ENEE AN Re ee E EN E 38 3 5 Aktivieren Sie Shadow Passw rter und MD5 Passw rter 38 3 6 Lassen Sie so wenige Dienste wie m glich laufen aaa 39 361 Daemonsabschalten o a o bk 4 a io e Zune na CER a 40 3 6 2 Abschalten von inetd oder seinen Diensten 41 37 Installieren Sie m glichst wenig Software s e e usw a aoea a ae nr 42 371 Entfemenvon Perl so sos petema ke ER ORR RES A er 44 38 Lesen Sie Debians Sicherheits Mailinglisten 24 0 2 04 2 0 2 82 3 46 Nach der Installation 47 4 1 Abonnement der Security Announce Mailingliste von Debian 47 42 Ausf hren von Sicherheitsupdates lt 2 644 2 Pea 4 NEEN EN e 48 4 2 1 Sicherheitsaktualisierungen von Bibliotheken 49 4 22 Sicherheitsaktualisierung des Kernels 22 22 2242 878 da 50 INHALTSVERZEICHNIS iv 4 3 4 4 4 5 4 6 4 7 4 8 4 9 4 10 4 11 4 12 nderungen im BIOS noch einmal 22 242 4000 Hr 51 Ein Passwort f r LILO oder GRUB einstellen 2 22 22 0r ern 52 Entfernen des Root Prompts vo
280. n bersetzen dieses Dokuments in andere Sprachen ist auch ein gro artiger Beitrag Anm d Fehler bereinigen in der bersetzung auch e Indem Sie Pakete von Programmen erstellen mit denen sich die Sicherheit eines Debian Systems erh hen oder pr fen l sst Wenn Sie kein Entwickler sind reichen Sie einen WNPP Fehler http www de debian org devel wnpp ein und fragen nach Software die Sie f r n tzlich halten die aber noch nicht zur Verf gung steht Testen Sie Anwendungen in Debian oder helfen Sie Sicherheitsl cken zu schlie en Teilen Sie Probleme security debian org mit Pr fen Sie bitte in jedem Fall ein Problem nach bevor Sie es an security debian org melden Wenn Sie Patches beif gen beschleunigt das den Prozess nat rlich Leiten Sie nicht einfach Mails von Bugtraq weiter da diese bereits empfangen wurden Es ist aber eine gute Idee zu s tzliche Informationen zu schicken 12 3 19 Aus wem setzt sich das Sicherheitsteam zusammen Das Debian Sicherheitsteam besteht aus mehreren Beauftragten und Unterst tzern http www debian org intro organization Das Sicherheitsteam bestimmt selbst wen es neu ins Team aufnehmen will 12 3 20 Pr ft das Debian Sicherheitsteam jedes Paket in Debian Nein weder pr ft das Sicherheitsteam jedes neue Paket noch gibt es einen automatischen lin tian Test um neue Pakete mit b sartigem Inhalt zu entdecken da solche Dinge praktisch unm glich automatisch durchgef hrt werde
281. n k nnen Sie etc X11 xinit xserverrc editieren damit Sie etwas erhalten wie bin sh exec usr bin X11 X dpi 100 nolisten tcp Wenn Sie XDM benutzen setzen Sie etc X11 xdm Xservers auf 0 local usr bin X11 X vt7 dpi 100 nolisten tcp Wenn Sie GDM benutzen stel len Sie sicher dass die Option DisallowTCP true in etc gdm gdm conf eingetragen ist was standardm ig unter Debian der Fall ist Dies wird grunds tzlich an jede X Befehlszeile nolisten tcpanh ngen k Sie k nnen au erdem die standardm ige Zeitgrenze f r die xscreensaver Bildschirmsperre setzen Auch wenn der Nutzer sie aufheben kann sollten Sie die Kon figurationsdatei etc X11 app defaults XScreenSaver editieren und die lock Zeile von xlock False das ist der Standardwert unter Debian auf xlock True ndern FIXME Add information on how to disable the screensavers which show the user desktop which might have sensitive information Lesen Sie mehr zur Sicherheit von X Window in XWindow User HOWTO http www tldp org HOWTO XWindow User HOWTO html usr share doc HOWTO en txt XWindow User HOWTO txt gz FIXME Add info on thread of debian security on how to change config files of XFree 3 3 6 to do this GDM wird nolisten tcp nicht anh ngen wenn es query oder indirect in der Befehlszeile findet da sonst die Anfrage nicht funktionieren w rde Kapitel 5 Absichern von Diensten die auf Ihrem System laufen 105 5 4 1
282. n chsten Seite dargestellt Typischer weise erfordert dieser Vorgang kein Mitwirken des Administrators Aber jedes Jahr m ssen Sie eingreifen um den neuen Schl ssel des Archivs hinzuzuf gen wenn dieser ausgewech Bis ein automatischer Mechanismus entwickelt wurde Kapitel 7 Die Infrastruktur f r Sicherheit in Debian 147 selt wurde Weitere Informationen zu den dazu notwendigen Schritten finden Sie unter Auf sichere Weise einen Schl ssel hinzuf gen auf Seite 151 Diese F higkeit befindet sich noch im Entwicklungsstadium Wenn Sie glauben dass Sie Fehler gefunden haben stellen Sie zuerst sicher dass Sie die neuste Version verwenden da dieses Paket vor seiner endg ltigen Ver ffentlichung noch ziemlich ver ndern werden kann Falls Sie die aktuelle Version benutzen schicken Sie einen Fehlerbericht f r das Paket apt Weiterf hrende Informationen finden Sie im Debian Wiki http wiki debian org SecureApt und in der offiziellen Dokumentation unter Migration to APT 0 6 http www enyo de fw software apt secure und APT Signature Checking http www syntaxpolice org apt secure 7 4 3 berpr fung der Distribution mit der Release Datei Dieser Abschnitt beschreibt wie die berpr fung der Distribution mit Hilfe der Release Datei funktioniert Dies wurde von Joey Hess geschrieben und ist auch im Debian Wiki http wiki debian org SecureApt abrufbar Grundlegende Konzepte Es gibt ein paar grun
283. n Initramfs 2 6 2265 0 2 un au a 53 Entfernen des Root Promptes aus dem Kernel nananana aaa a 53 Einschr nkender Konsolen Zugang EEN a 54 System Neustart von der Konsole aus einschr nken 55 Partitionen auf die richtige Art einbinden 22 53 aaa E E 55 491 Jemp EEN Ee oaa s ee A De NN eR EEE e 57 4 92 Setzenvon usr auf nur lesen 2 Hm onen 57 Den Benutzern einen sicheren Zugang bereitstellen 2 2 22 20 58 4 10 1 Mulzeraulbenti zierun PAM EE EE 40 ehr 58 4 10 2 Ressourcen Nutzung limitieren Die Datei limits conf 61 4 10 3 Aktionen bei der Benutzeranmeldung Editieren von etc login defs 63 4 10 4 ftp Einschr nken Editieren von etc ftpusers a s a assau 64 4 10 5 Verwendung VONGH 6266424 FA ed a a OE ee Es 64 4 10 6 Verwendung von EE 44 4 KA EP ci EDR eek 65 4 10 7 Administrativen Fernzugriff verweigern AN 24 405 a8 u 65 4 10 8 Den Nutzerzugang einschr nken zu 4 nace One aa ed Oe RN u 65 4 10 9 berpr fen der Nutzer 264 2 6 ONG SEER GE ae na bl 66 4 10 10 Nachpr fung der Nutzerprofile e e EN se ead EE EE rasai 68 4 10 11 umasks der Nutzer einstellen a 68 4 10 12 Nutzer Sicht Zugriff limiteren s s lt sc s GN aa ea es 69 4 10 13 Erstellen von Benutzerpassw rtern 2 i264 eins SEN Be aa CNN eS 71 4 10 14 Kontrolle der Benutzerpassw rter oaoa ee 71 4 10 15 Ausloggen von unt tigen Nutzern ee eee ee 72 Die Nutzung von tepwiappers lt socca matiera eek e a
284. n LKM Root Kits vermie den aber Sie verlieren eine leistungsf hige Eigenschaft des Linux Kernels Au erdem kann das Abschalten der nachladbaren Module den Kernel berladen so dass die Unterst tzung ladbarer Module notwendig wird Reaktive Verteidigung Der Vorteil reaktiver Verteidigung ist dass sie die Systemressourcen nicht berl dt Sie funk tioniert durch das Vergleichen von einer Tabelle der Systemaufrufe mit einer bekannterma en sauberen Kopie System map Eine reaktive Verteidigung kann den Systemadministrator na t rlich nur benachrichtigen wenn das System bereits kompromittiert wurde Es gibt ber 28 F higkeiten einschlie lich CAP_BSET CAP_CHOWN CAP_FOWNER CAP_FSETID CAP_FS_MASK CAP_FULL_SET CAP_INIT_EFF_SET CAP_INIT_INH_SET CAP_IPC_LOCK CAP_IPC_OWNER CAP_KILL CAP_LEASE CAP_LINUX_IMMUTABLE CAP_MKNOD CAP_NET_ADMI CAP_NET_BIND_SERVICE CAP_NET_RAW CAP_SETGID CAP_SETPCAP CAP_SETUID CAP_SYS_ADMIN CAP_SYS_BOOT CAP_SYS_CHROOT CAP_SYS_MODULE CAP_SYS_NICE CAP_SYS_PACCT CAP_SYS_PTRACE CAP_SYS_RAWIO CAP_SYS_RESOURCE CAP_SYS_TIME und CAP_SYS_TTY_CONFIG Alle k nnen deaktiviert werden um Ihren Kernel abzuh rten Um dies tun zu k nnen m ssen Sie nicht 1cap installieren aber damit ist es einfacher als von Hand proc sys kernel cap bound anzupassen H Kapitel 10 Vor der Kompromittierung 191
285. n Passwort f r root Die wichtigste Grundlage f r ein sicheres System ist ein gutes Root Passwort Siehe passwd 1 f r einige Tipps wie man gute Passw rter ausw hlt Sie k nnen auch automa tische Passwort Generatoren verwenden siehe Erstellen von Benutzerpassw rtern auf Sei te 71 Im Internet gibt es zahlreiche Hinweise dazu wie man gute Passw rter w hlt Zwei Seiten die eine angemessene bersicht und Ausf hrung bieten sind Eric Wolframs How to Pick a Safe Password http wolfram org writing howto password html und Walter Belgers Unix Password Security http www ja net CERT Belgers UNIX password security html 3 5 Aktivieren Sie Shadow Passw rter und MD5 Passw rter Gegen Ende der Installation werden Sie gefragt ob shadow passwords eingeschaltet werden sollen Beantworten Sie diese Frage mit yes dann werden Passw rter in der Datei etc shadow gespeichert Nur root und die Gruppe shadow haben Lesezugriff auf diese Datei So ist es keinem Nutzer m glich sich eine Kopie dieser Datei zu besorgen um einen Passwort Cracker auf sie loszulassen Sie k nnen mit dem Befehl shadowconfig jederzeit zwischen shadow passwords und normalen Passw rtern wechseln Mehr zum Thema Shadow Passw rter finden Sie unter Shadow Password http www tldp org HOWTO Shadow Password HOWTO html usr share doc HOWTO en txt Shadow Password txt gz Des Weiteren verwendet die Installation standardm
286. n Sie in etc init d sysklogd SYSLOGD mit SYSLOGD a var chroot apache dev log und starten Sie den Daemon neu etc init d sysklogd restart e Editieren Sie das Startskript von Apache etc init d apache Sie m ssen vielleicht ein paar nderung am Standardstartskript vornehmen damit des richtig in einem Ver zeichnisbaum in einer chroot Umgebung l uft Da w re Legen Sie die Variable CHRDIR am Anfang der Datei neu fest Bearbeiten Sie die Abschnitte start stop reload etc F gen Sie eine Zeile hinzu um das proc Dateisystem innerhalb des Gef ngnisses zu mounten und abzumounten bin bash apache Start the apache HTTP server CHRDIR var chroot apache Kapitel H Chroot Umgebung f r Apache 270 NAME apache PATH bin usr bin sbin usr sbin DAEMON usr sbin apache SUEXEC usr lib apache suexec PIDFILE var run NAME pid CONF etc apache httpd conf APACHECTL usr sbin apachectl trap 1 export LANG C export PATH test test SDAEMON exit 0 SAPACHECTL exit 0 FH Fh ensure we don t leak environment vars into apachectl APACHECTL env i LANG LANG PATH PATH chroot SCHI if egrep q i space xServerType space ine then exit 0 fi case 1 in start echo n Starting web server SNAME mount t proc proc var chroot apache proc RDIR SAPACHECTL SCONF start stop daemon start pidfile SPIDFILE
287. n Sie sich an Log Dateien nur anh ngen zu lassen append only und Kon figurationsdateien unver nderbar immutable zu machen indem Sie chattr benut zen nur ext2 3 Dateisystem Setzen Sie eine Integrit tspr fung des Dateisystems auf siehe Pr fung der Integri t t des Dateisystems auf Seite 84 Installieren Sie debsums Kapitel B Checkliste der Konfiguration 233 berlegen Sie locate durch slocate zu ersetzen Alles auf einem lokalen Drucker mitloggen Brennen Sie Ihre Konfiguration auf eine bootbare CD und booten Sie hiervon Abschalten von Kernel Modulen e Einschr nkung des Netzwerkzugriffs Installieren und konfigurieren Sie ssh Vorschlag PermitRootLogin No in etc ssh sshd_config PermitEmptyPasswords No beachten Sie auch die anderen Vorschl ge im Text Schalten Sie in telnetd ab oder entfernen Sie ihn falls er installiert ist Deaktivieren Sie ganz allgemein alle berfl ssigen Dienste in etc inetd conf Benutzen Sie dazu update inetd disable oder Sie schalten inetd ganz ab oder benutzen einen Ersatz wie xinetd oder rlinetd Schalten Sie andere berfl ssige Netzwerkdienste ab ftp DNS www usw sollten nicht laufen wenn Sie sie nicht brauchen und nicht regelm ig berwachen In den meisten F llen muss ein Mail Server betrieben werden sollte aber so konfiguriert sein dass er nur lokal Mails zustellt Installieren Sie von den Diensten die Sie brauchen
288. n der Schl ssel besuchen Nicht alle Schl ssel der Apt Depots sind berhaupt mit einem anderen Schl ssel unterschrieben Vielleicht hat derjenige der das Depot einrichtet keinen anderen Schl ssel zur Verf gung oder vielleicht ist es ihm unangenehm einen Schl ssel mit einer derartig wichtigen Funktion mit seinem Hauptschl ssel zu unterschreiben Hinweise wie man einen Schl ssel f r ein Depot einrichtet finden Sie unter Pr fung von Debian fremden Quellen auf Seite 160 Kapitel 7 Die Infrastruktur f r Sicherheit in Debian 152 Wenn Sie diese Sicherheitsbedenken nicht teilen k nnen unternehmen Sie was auch immer Sie passend finden wenn Sie eine neue Apt Quelle oder einen neuen Schl ssel verwenden Sie k nnten demjenigen der den Schl ssel anbietet eine Mail schreiben um den Schl ssel zu berpr fen Oder Sie vertrauen auf Ihr Gl ck und gehen davon aus dass Sie den richten heruntergeladen haben Das wichtige ist dass Secure Apt indem es das Problem darauf redu ziert welchen Archivschl sseln Sie vertrauen Sie so vorsichtig und sicher vorgehen l sst wie es Ihnen passend und notwendig erscheint Die Integrit t eines Schl ssels berpr fen Sie k nnen dazu sowohl den Fingerabdruck als auch die Unterschriften des Schl ssels berpr fen Den Fingerabdruck kann man aus verschiedenen Quellen erhalten Sie k n nen im Buch The Debian System http debiansystem info readers changes 547 ziyi key 2006
289. n des Zugangs zu diesen Diensten mittels TCP Wrappers da der Portmap per und einige RPC Dienste mit libwrap siehe Die Nutzung von tcpwrappers auf Seite 73 kompiliert worden Dies bedeutet dass Sie Zugang zu diesen durch die hosts allow und hosts deny TCP Wrapper Konfiguration blockieren e Seit Version 5 5 kann das Paket portmap so konfiguriert werden dass es nur noch an der lokalen Schleifenschnittstelle lauscht Um dies zu erreichen kommentieren Sie die fol gende Zeile in der Datei etc default portmap aus OPTIONS i 127 0 0 1 und starten Sie den Portmapper neu Dies ist ausreichend um lokale RPC Dienste lau fen zu lassen w hrend zur selben Zeit entfernte Systeme am Zugang gehindert werden lesen Sie dazu auch L sung des Problems der Weak End Hosts auf Seite 91 5 14 Hinzuf gen von Firewall F higkeiten Das Debian GNU Linux Betriebssystem hat die eingebauten F higkeiten des Linux Kernels Wenn Sie eine aktuelle Ver ffentlichung von Debian mit dem Standardkernel 2 6 installiert haben steht Ihnen als Firewall iptables netfilter zur Verf gung Ist seit Kernel 2 4 verf gbar was der Standardkernel f r Debian 3 0 war ltere Kernelversionen wie 2 2 der in lteren Debian Ver ffentlichungen enthalten war verwendeten ipchains Der Hauptunterschied zwischen Kapitel 5 Absichern von Diensten die auf Ihrem System laufen 123 5 14 1 Firewallen des lokalen Systems Sie k nnen eine Firewall d
290. n des ssh Servers A ee ro er EEN Bu 252 G 2 Einsperren des SSH Servers in einem Chroot Gefangnis 254 G 2 1 Einrichten eines minimalen Systems der wirklich leichte Weg 254 G 2 2 Automatisches Erstellen der Umgebung der leichte Weg 255 G 2 3 Die Chroot Umgebung von Hand erstellen der schwierige Weg 260 H Chroot Umgebung f r Apache 267 FLI Einleitung e sesa caue ee EE moe a ee Pe a eege EE E 267 FAT Lizenz 0 E en Ge OAS 267 H 2 Installation des Servers A Ae a ae hin 267 Hs Weiterf hrende Informationen 2 A A Re Ree ih 272 INHALTSVERZEICHNIS xii Kapitel 1 Einleitung Eines der schwierigsten Dinge beim Schreiben ber Sicherheit ist dass jeder Fall einzigartig ist Sie m ssen zwei Dinge beachten Die Gefahr aus der Umgebung und das Bed rfnis an Sicherheit Ihrer Seite Ihres Hosts oder Ihres Netzwerkes So unterscheiden sich zum Beispiel die Sicherheitsbed rfnisse eines Heimanwenders komplett von den Sicherheitsbed rfnissen des Netzwerkes einer Bank W hrend die Hauptgefahr eines Heimanwenders von Script Kiddies ausgeht muss sich das Netzwerk einer Bank um direkte Angriffe sorgen Zus tz lich muss eine Bank die Daten ihrer Kunden mit mathematischer Pr zision besch tzen Um es kurz zu machen Jeder Nutzer muss selbst zwischen Benutzerfreundlichkeit und Sicher heit Paranoia abw gen Beachten Sie bitte dass diese Anleitung nur Software Themen behandelt Die beste Softwa r
291. n k nnen Paket Verwalter sind jedoch voll und ganz verantwortlich f r die Software die sie in Debian einf hren Keine Software wird einge f hrt die nicht zuerst von einem autorisierten Entwickler signiert wurde Die Entwickler sind daf r verantwortlich die Sicherheit aller Pakete die sie betreuen zu analysieren Kapitel 12 H ufig gestellte Fragen Frequently asked Questions FAQ 225 12 3 21 Wie lange braucht Debian um die Angriffs M glichkeit XXXX zu reparie ren Das Sicherheitsteam von Debian arbeitet schnell um Anweisungen zu verschicken und korrigierte Pakete f r den Stable Zweig zu erstellen sobald eine Sicherheitsl cke entdeckt wurde Ein Bericht der auf der Mailingliste von debian security ver ffentlicht wurde http lists debian org debian security 2001 debian security 200112 msg00257 html zeigt dass das Debian Sicherheitsteam im Jahr 2001 durchschnittlich 35 Tage gebraucht hat um Sicherheitsl cken auszubessern Allerdings wurden ber 50 der Verwundbarkeiten innerhalb von zehn Tagen beseitigt und ber 15 wurden am gleichen Tag repariert an dem die Anweisung ver ffentlicht wurde Oft vergessen Leute die diese Frage stellen dass e DSAs nicht verschickt werden bis Pakete f r alle von Debian unterst tzten Architekturen verf gbar sind dies braucht etwas Zeit wenn es sich um Pakete handelt die Teil des Systemkerns sind beson ders wenn man die Anzahl der in der stabilen Ver ffentlichung un
292. n muss um das Sys tem wieder hoch zu bringen Nat rlich hilft es beim Debuggen von Reboot Problemen aus der Ferne wenn die serielle Konsole des Systems 7 mit einem Konsolen oder Terminalserver verbunden ist 4 3 nderungen im BIOS noch einmal Erinnern Sie sich an Setzen Sie ein Passwort im BIOS auf Seite 35 Nun jetzt sollten Sie nachdem Sie nicht mehr von austauschbaren Datentr gern booten m ssen die Standard BIOS Einstellung so um ndern dass es ausschlie lich von der Festplatte bootet Gehen Sie sicher dass Sie Ihr BIOS Passwort nicht verlieren oder Sie werden nicht mehr ins BIOS zur ckkehren Ein Beispielskript mit dem Namen testnet http www debian administration org articles 70 testnet ist im Artikel Remotely rebooting Debian GNU Linux machines http www debian administration org article 70 enthalten Ein ausgereifteres Testskript befindet sich im Artikel Testing network connectivity http www debian administration org article 128 Das Einrichten einer seriellen Konsole w rde den Rahmen dieses Dokuments sprengen Informationen dazu finden Sie im Serial HOWTO http www tldp org HOWTO Serial HOWTO html und im Remote Serial Console HOWTO http www tldp org HOWTO Remote Serial Console HOWTO index htm l Kapitel 4 Nach der Installation 52 k nnen um die Einstellung wieder zu ndern so dass Sie im Falle eines Festplattenfehlers Ihr System wiederherstellen k nnen indem Sie zum Beispiel
293. n netfilter firewalling Support ausw hlen Sehen Sie dazu Aufsetzen einer berbr ckenden Firewall bridge Firewall auf Seite 237 um zu erfahren wie man dies auf einem Debian GNU Linux System aufsetzt 5 14 3 Aufsetzen einer Firewall Die Debian Standardinstallation bietet im Gegensatz zu vielen anderen Linux Distributionen noch keine Methode fiir den Administrator eine Firewall Konfiguration mit der Standardin stallation einzurichten aber Sie k nnen eine Anzahl von Firewall Konfigurationspaketen sie he Nutzen von Firewall Paketen auf der n chsten Seite installieren Nat rlich ist die Konfiguration einer Firewall immer vom System und dem Netzwerk abh n gig Ein Administrator muss vorher das Netzwerklayout und die Systeme die er besch tzen will kennen die Dienste auf die zugegriffen werden k nnen muss und ob andere netzwerk spezifischen Erw gungen wie NAT oder Routing ber cksichtigt werden m ssen Seien Sie vorsichtig wenn Sie Ihre Firewall konfigurieren Wie Laurence J Lane im iptables Paket sagt Die Werkzeuge k nnen leicht falsch verwendet werden und eine Menge rger verursachen indem sie den gesamten Zugang zu einem Computernetzwerk stilllegen Es ist nicht v llig ungew hnlich dass sich ein Systemadministrator der ein System verwaltet das hunderte oder tausende von Kilometern entfernt ist irrtiimlicherweise selbst davon ausgeschlossen hat Man kann es sogar schaffen sich von dem Computer ausz
294. n the acidlab package thanks to Oohara Yuuma for noticing Fixed LinuxSecurity links thanks to Dave Wreski for telling Kapitel 1 Einleitung 21 1 6 33 Version 2 0 Changes by Javier Fern ndez Sanguino Pefia I wanted to change to 2 0 when all the FIXMEs were er fixed but Irun out of 1 9X numbers Converted the HOWTO into a Manual now I can properly say RTFM Added more information regarding tcp wrappers and Debian now many services are compiled with support for them so it s no longer an inetd issue Clarified the information on disabling services to make it more consistent rpc info still referred to update rc d Added small note on Iprng Added some more info on compromised servers still very rough Fixed typos reported by Mark Bucciarelli Added some more steps in password recovery to cover the cases when the admin has set paranoid mode on Added some information to set paranoid mode on when login in console New paragraph to introduce service configuration Reorganised the After installation section so it is more broken up into several issues and it s easier to read Written information on howto setup firewalls with the standard Debian 3 0 setup ipta bles package Small paragraph explaining why installing connected to the Internet is not a good idea and how to avoid this using Debian tools Small paragraph on timely patching referencing to IEEE paper Appendix on how to setup a Debian snort box
295. n vorliegen Falls diese Dateien au tomatisch vom Kernel erstellt werden m ssen Sie sie von Hand unter dev in der Chroot Umgebung erstellen e Das Home Verzeichnis des Benutzers muss in der Chroot Umgebung existieren Ansons ten wird der SSH Daemon nicht fortfahren Sie k nnen diese Probleme mit dem Schl sselwort debug in der PAM Konfiguration etc pam d ssh debuggen Falls Sie auf Probleme sto en kann es sich als n tzlich erweisen auch den Debugging Modus des SSH Clients zu aktivieren Hinweis Diese Informationen sind auch in usr share doc libpam chroot README Debian gz enthalten und vielleicht aktueller Bitte berpr fen Sie ob dort aktualisierte Informationen vorhanden sind bevor Sie die oben aufgezeigten Schritte ausf hren Wenn Sie einen Kernel verwenden der Mandatory Access Control RSBAC SElinux unterst tzt m ssen Sie die Konfiguration nicht ndern wenn Sie dem Sshd Benutzer die notwendigen Rechte einr umen um den System aufruf chroot ausf hren zu k nnen Kapitel G Chroot Umgebung f r SSH 252 G 1 2 Patchen des ssh Servers Debians sshd gestattet nicht die Bewegungen eines Benutzer durch den Server zu beschr n ken da er keine Chroot Funktionalit t besitzt Diese ist im Gegensatz dazu Bestandteil des kommerziellen Programms sshd2 es verwendet ChrootGroups oder ChrootUsers siehe sshd2_config 5 Allerdings gibt es einen Patch der sshd um diese Funktion erweitert
296. n zu unterschreiben und ihre Unterschriften zu ber pr fen Mit dem Programm apt key wird der Schl sselbund von GPG f r Secure Apt verwaltet Der Schl sselbund befindet sich in der Datei etc apt trusted gpg nicht zu verwechseln mit der verwandten aber nicht sehr interessanten Datei etc apt trustdb gpg apt key Kapitel 7 Die Infrastruktur f r Sicherheit in Debian 148 kann dazu verwendet werden die Schl ssel im Schl sselbund anzuzeigen oder um Schl ssel hinzuzuf gen oder zu entfernen Pr fsummen der Release Datei Jedes Archiv von Debian enth lt eine Release Datei die jedesmal aktualisiert wird wenn ein Paket im Archiv ge ndert wird Unter anderem enth lt die Release Datei MD5 Summen von anderen Dateien die sich im Archiv befinden Ein Auszug einer Release Datei MD5Sum 6b05b392 792ba5a436d590c129de21f 3453 Packages 1356479a23edda7a69f24eb8d6f4alAb 1131 Packages gz 2a516788ladc9ad1a8864F281b1eb959 1715 Sources 88de3533b f6e054d1799F8e4 9b6aed8b 658 Sources gz Die Release Datei enth lt auch SHA1 Priifsummen was n tzlich ist wenn MD5 Summen vollst ndig unbrauchbar sind Allerdings unterst tzt apt SHA1 noch nicht Werfen wir einen Blick in eine Paketdatei wir sehen weitere MD5 Summen eine f r jedes darin aufgef hrte Paket Beispiel Package uqm Priority optional Filename unstable uqm_0 4 0 1_1386 deb Size 580558 MD5sum 864ec6157cleea88acfef44dA0f34d219 Mit diesen beiden
297. n zul sst In einem Debian 3 0 System mit exim muss man den SMTP Daemon aus inetd wie folgt entfernen update inetd disable smtp und den Mail Daemon so konfigurieren dass er nur auf die lokale Schleife achtet In exim dem Standard Mail Transport Agent MTA unter Debian tun Sie dies indem Sie in der Datei etc exim conf die Zeile local_interfaces 127 0 0 1 hinzuf gen Starten Sie beide Daemonen neu inetd und exim und exim wird lediglich auf den Socket 127 0 0 1 25 lauschen Seien Sie vorsichtig und deaktivieren Sie erst inetd oder exim wird nicht neu starten da der inetd Daemon bereits eingehende Verbindungen behandelt Bei post fix editieren Sie etc postfix main conf inet_interfaces localhost Wenn Sie lediglich lokale Mails wollen ist dieses Herangehen besser als den Mailer Daemon in einen tcp Wrapper zu h llen oder Firewall Regeln einzuf gen die den Zugang f r alle limi tieren Wenn Sie jedoch auch auf andere Schnittstellen reagieren m ssen sollten Sie berlegen ihn vom inetd aufrufen zu lassen und einen tcp Wrapper einzusetzen so dass eingehende Ver bindungen gegen etc hosts allow und etc hosts deny gepr ft werden Au erdem werden Sie vor unautorisierten Zugriffsversuchen gegen Ihren Mail Daemon durch angemes senes Protokollieren gewarnt werden wollen In jedem Fall k nnen Sie Mail Zustellversuche auf dem SMTP Level ablehnen indem Sie die etc exim exim conf ab ndern damit Sie Folgendes enth
298. n zus tzliche Sicherheitspr fungen einf hren wollen aber nicht die neuste Version von apt einsetzen wollen oder k nnen k nnen Sie das folgende Skript von Anthony Towns benutzen Dieses Skript f hrt automatisch neue Sicherheits berpr fungen durch damit ein Nutzer sicher gehen kann dass die Software die er herunterl dt die gleiche ist wie die die von Debian bereitgestellt wird Das verhindert dass sich Debian Entwickler in ein fremdes System einhacken k nnen ohne dass eine Zurechnung und R ckverfolgung m glich w re die durch das Hochladen eines Pakets auf das Hauptarchiv gew hrleistet wer den Es kann auch verhindern dass ein Spiegel etwas fast genau abbildet das aber eben doch nicht ganz wie in Debian oder dass veraltete Versionen von instabilen Paketen mit bekannten Sicherheitsl cken zur Verf gung gestellt werden Dieser Beispielscode umbenannt nach apt check sigs sollte auf die folgende Art benutzt werden apt get update apt check sigs Ergebnisse apt get dist upgrade Zuerst m ssen Sie jedoch Folgendes tun e Holen Sie sich den Schl ssel den die Archiv Software verwendet um Release Dateien zu signieren http ftp master debian org ziyi_key_2006 asc und f gen Sie ihn gnupg trustedkeys gpg hinzu was standardm ig von gpgv benutzt wird gpg no default keyring keyring trustedkeys gpg import ziyi_key_ e Entfernen Sie alle Zeilen aus etc apt sources list die nicht die norm
299. named named pid Cas Au erdem m ssen Sie um zu verhindern dass irgendetwas als Root l uft im Init d Skript die reload Zeile von reload usr sbin ndc reload in Folgendes ndern reload 0 stop sleep 1 0 start Beachten Sie Abh ngig von Ihrer Debian Version m ssen Sie vielleicht auch die restart Zeile ndern Dies wurde in der Version 1 8 3 1 2 von Debians BIND Paket repariert Alles was Sie jetzt noch tun m ssen ist bind mittels etc init d bind restart neu zu starten und dann Ihr Syslog auf zwei Eintr ge wie die folgenden zu pr fen Sep 4 15 11 08 nexus named 13439 group named Sep 4 15 11 08 nexus named 13439 user named Voila Ihr named l uft nicht mehr als root Wenn Sie mehr Informationen dar ber lesen wol len warum BIND nicht als nicht root Benutzer auf Debian Systemen l uft sehen Sie bit te in der Fehlerdatenbank zu Bind nach insbesondere Bug 50013 bind should not run as root http bugs debian org 50013 und Bug 132582 Default install is potential ly insecure http bugs debian org 132582 Bug 53550 http bugs debian org 53550 Bug 52745 http bugs debian org 52745 und Bug 128129 http bugs debian org 128129 F hlen Sie sich ruhig dazu ermuntert etwas zu den Fehler beschreibungen beizutragen wenn Sie denken n tzliche Informationen hinzuf gen zu k n nen Kapitel 5 Absichern von Diensten die auf Ihrem System laufen 115
300. nc tcsh touch vdir zsh gt etc alternatives zsh zsh4 null ptmx pts ptya0 Cty tty0 urandom alternatives csh gt bin tcsh zsh gt bin zsh4 environment hosts hosts allow Kapitel G Chroot Umgebung f r SSH 257 x home x Tb motd hosts deny ld so conf localtime gt usr share zoneinfo Europe Madrid nsswitch conf pam conf pam d other ssh passwd resolv conf security access conf chroot conf group conf limits conf pam_env conf time conf shadow shells ssh moduli ssh_host_dsa_key ssh_host_dsa_key pub ssh_host_rsa_key ssh_host_rsa_key pub sshd_config userX 19 2 2 39 80 ld linux so 2 gt 1d 2 2 5 s0o Libe 2 2 5 s0 libc so 6 gt libc 2 2 5 s0 libcap so 1 gt libcap so 1 10 libcap so 1 10 liberypt 2 2 5 so liberypt so 1 gt liberypt 2 2 5 so labdl 2 2 3286 libdl so 2 gt libd1 2 2 5 s0 libm 2 2 5 so libm so 6 gt libm 2 2 5 so libncurses so 5 gt libncurses so 5 2 libncurses so 5 2 libns1 2 2 5 so libnsl so 1 gt libnsl 2 2 5 so Kapitel G Chroot Umgebung f r SSH 258 x libn libn libn libn libn LIN abn IBN Ibn abn libn libn libn libn libresol ss_compat 2 2 5 5s0 ss_compat so 2 gt libnss_compat
301. nd der Aktualisierung f rdern k nnen Debian stellt keine signierten Pakete zur Verf gung Es gibt aber seit Debian 4 0 Codename Etch eine Verfahrensweise mit der die Integrit t von heruntergeladenen Paketen berpr ft werden kann Weiterf hrende Hinweise k nnen Sie unter Secure Apt auf der n chsten Seite finden Dieses Problem wird besser im Strong Distribution Howto http www cryptnet net fdp crypto strong_distro html von V Alex Brennen beschrieben 7 4 1 Die aktuelle Methode zur Pr fung von Paketsignaturen Die aktuelle Methode zur Pr fung von Paketsignaturen mit apt ist e Die Release Datei enth lt die MD5 Summe von Packages gz die die MD5 Summen der Pakete enth lt und wird signiert Die Signatur stammt aus einer vertrauensw rdi gen Quelle e Diese signierte Release Datei wird beim apt get update herunter geladen und zu sammen mit Packages gz gespeichert e Wenn ein Paket installiert werden soll wird es zuerst herunter geladen und dann wird die MD5 Summe erstellt Einige Betriebssystem wurden schon von Problemen mit automatischen Aktualisierungen heimgesucht wie z B die Mac OS X Software Update Verwundbarkeit http www cunap com hardingr projects osx exploit htm1 FIXME probably the Internet Explorer vulnerability handling certificate chains has an impact on security updates on Microsoft Windows ltere Ver ffentlichungen wie Debian 3 1 Sarge k nnen mit zur ckportie
302. nd zu ndern 243 z SRUNNING amp amp echo ERR In fact the name server daemon is not even running is it i echo ERR No changes will be made to your system exit 1 fi Check if there are options already setup if e SDEFAULT then if grep q OPTIONS DEFAULT then echo ERR The SDEFAULT file already has options set echo ERR No changes will be made to your system fi fi Check if named group exists if z grep GROUP etc group then echo Creating group GROUP addgroup GROUP else echo WARN Group SGROUP already exists Will not create it fi Same for the user if z grep SUSER etc passwd then echo Creating user SUSER adduser system home home SUSER no create home ingroup GROUP disabled password disabled login SUSER else echo WARN The user USER already exists Will not create it fi Change the init d script First make a backup check that there is not already one there first if f SINITDBAK then cp SINITD SINITDBAK ES Then use it to change it cat SINITDBAK eval SAWKS gt SINITD Kapitel E Beispielskript um die Standard Installation von Bind zu ndern 244 Now put the options in the etc default bind file cat gt gt SDEFAULT lt lt EOF Make bind run with the user we defined OPTIONS u SUSER g GROUP EOF echo WARN The scr
303. nderes auf dem System verwendet wird In dem Beispiel hei en sowohl Nutzer als auch Gruppe chrapach adduser home var chroot apache shell bin false no create home system group chrapach FIXME is a new user needed Apache already runs as the apache user Installieren Sie ganz normal Apache auf Debian apt get install apache Richten Sie Apache ein z B definieren Sie Ihrer Subdomains usw Weisen Sie in der Konfigurationsdatei etc apache httpd conf den Optionen Group und User chrapach zu Starten Sie Apache neu und stellen Sie sicher dass der Server korrekt funktioniert Danach halten Sie den Server wieder an Installieren Sie make jail ist f rs Erste in Debian Testing vorhanden Sie sollten auch wget und lynx installieren da sie von make jail benutzt werden um den Server in der chroot Umgebung zu testen apt get install makejail wget lynx Kopieren Sie die Beispielkonfigurationsdatei f r Apache ins Verzeichnis etc makejail cp usr share doc makejail examples apache py etc makejail Bearbeiten Sie etc makejail apache py Sie m ssen die Optionen chroot users und groups ver ndern Um diese Version von makejail laufen zu lassen k nnen Sie auch die Option packages hinzuf gen Vergleichen Sie die Makejail DoKumentation http www floc net makejail current doc Die Konfigurationsdatei k nnte bei spielsweise so aussehen chroot var chroot apache testCommandsInsideJail usr sbin apachec
304. ne eigenen Dateien besitzen m ssen k nnen stattdessen als nobo dy nogroup laufen Komplexere oder sicherheitsbewusste Daemonen laufen als eigen st ndige Nutzer Der Nutzer daemon ist auch praktisch f r lokal installierte Daemons e bin aus historischen Gr nden beibehalten sys das gleiche wie bei bin Jedoch geh ren dev vcs und var spool cups der Gruppe sys e sync Die Shell des Nutzers sync ist bin sync Wenn das Passwort auf etwas leicht zu ratendes gesetzt wurde zum Beispiel kann jeder das System von der Konsole aus synchronisieren lassen auch wenn er kein Konto hat e games Viele Spiele sind SETGID games so dass sie ihre Highscore Dateien schreiben k nnen Dies wird in der Policy erkl rt e man Das Programm man l uft manchmal als Nutzer man damit es Cat Seiten nach var cache man schreiben kann e lp Wird von Druck Daemonen benutzt e mail Mailboxen unter var mail geh ren der Gruppe mail wie in der Policy erkl rt wird Der Nutzer und die Gruppe werden auch von verschiedene MTAs zu anderen Zwecken benutzt Bedenken Sie dass damit Ihr gesamtes System durchsucht wird Falls Sie viele Festplatten und Partitionen haben sollten Sie u U den Suchrahmen einschr nken Kapitel 12 H ufig gestellte Fragen Frequently asked Questions FAQ 208 e news Verschiedene News Server und hnliche Programme zum Beispiel suck benut zen den Nutzer und die Gruppe news auf unterschiedliche Weise
305. nen um ihn an die nderungen durch die Sicherheitsaktualisierung anzupassen 10 3 Aufsetzen einer Eindringlingserkennung Debian GNU Linux enth lt Programme zur Erkennung von Eindringlingen Das sind Pro gramme die unpassende oder b sartige Aktivit ten auf Ihrem lokalen System oder auf an deren System in Ihrem lokalen Netzwerk entdecken Diese Art von Verteidigung ist wichtig wenn das System sehr entscheidend ist oder Sie wirklich unter Verfolgungswahn leiden Die gebr uchlichsten Herangehensweisen sind die statistische Entdeckung von Unregelm igkei ten und die Entdeckung bestimmter Muster Beachten Sie immer dass Sie einen Alarm und Antwort Mechanismus brauchen um Ihre Sys temsicherheit mit einer dieser Werkzeuge wirklich zu verbessern Eindringlingserkennung ist Zeitverschwendung wenn Sie niemanden alarmieren werden Ein leichter Weg das ist tun ist die Verwendung einer Live CD wie Knoppix Std http www knoppix std org die sowohl die Programme zur Integrit tspr fung als auch die dazugeh rige Datenbank enth lt Kapitel 10 Vor der Kompromittierung 188 Wenn ein bestimmter Angriff entdeckt worden ist werden die meisten Programme zur Ein dringlingserkennung entweder den Vorfall mit syslog protokollieren oder E Mails an Root schicken der Empf nger der E Mails kann normalerweise eingestellt werden Ein Adminis trator muss die Programme passend konfigurieren so dass falsche Positivmeldungen keinen Alarm a
306. nen menschlichen Eingriff ben tigt was zu Problemen f hren kann wenn das System nicht leicht zug nglich ist Beachten Sie Viele BIOS Varianten haben bekannte Master Passw rter und es gibt sogar Pro gramme um Passw rter aus dem BIOS wieder auszulesen Folglich k nnen Sie sich nicht auf diese Ma nahme verlassen um den Zugriff auf das Systems zu beschr nken 3 2 Partitionieren des Systems 3 2 1 W hlen Sie eine sinnvolle Partitionierung Was eine sinnvolle Partitionierung ist h ngt davon ab wie die Maschine benutzt wird Eine gute Faustregel ist mit Ihren Partitionen eher gro z gig zu sein und die folgenden Faktoren zu ber cksichtigen e Jeder Verzeichnisbaum auf den ein Nutzer Schreibzugriff hat wie zum Beispiel home tmp und var tmp sollte auf einer separaten Partition liegen Dies reduziert das Risi ko eines DoS durch einen Nutzer indem er Ihren Mountpoint vollschreibt und so das Kapitel 3 Vor und w hrend der Installation 36 gesamte System unbenutzbar macht Au erdem verhindert dieses Vorgehen Hardlink Angriffe e Au erdem sollte jeder Verzeichnisbaum dessen Gr e schwanken kann zum Beispiel var insbesondere var 1log eine separate Partition bekommen Auf einem Debian System sollten Sie der var Partition etwas mehr Platz als auf anderen Systemen geben da heruntergeladene Pakete der Zwischenspeicher von apt unter var cache apt archives gespeichert werden e Jeder Teil in dem S
307. ngLists m chte und es gibt hier http lists debian org search html ein durchsuchbares Archiv 12 3 17 Ich glaube ich habe ein Sicherheitsproblem entdeckt was soll ich tun Wenn Sie von einem Sicherheitsproblem erfahren entweder in Ihren eigenen Paketen oder in denen eines anderen Entwicklers dann kontaktieren Sie bitte immer das Sicherheits Team Wenn das Debian Sicherheits Team die Verwundbarkeit best tigt und andere Distribu toren h chstwahrscheinlich ebenfalls davon betroffen sind kontaktiert es diese blicherwei se auch Wenn die Verwundbarkeit noch nicht ffentlich bekannt ist wird es versuchen die Allerdings wurden durch die GR 2005 002 http www debian org vote 2005 vote_002 diese Nachrichten neu eingestuft so dass in der Zukunft einige Nachrichten ver ffentlicht werden k nne Kapitel 12 H ufig gestellte Fragen Frequently asked Questions FAQ 224 Sicherheitsank ndigungen mit den anderen Distributoren zu koordinieren damit alle Haupt Distributionen synchron sind Falls die Verwundbarkeit bereits ffentlich bekannt ist schreiben Sie bitte unbedingt einen Fehlerbericht f r das Debian Fehlerverfolgungssystem und markieren Sie ihn mit dem Tag security 12 3 18 Wie kann ich das Debian Sicherheitsteam unterst tzen e Indem Sie etwas zu diesem Dokument beitragen FIXMEs bearbeiten oder neuen Inhalt beisteuern Dokumentation ist wichtig und reduziert die Last durch Beantworten allge meiner Frage
308. ngen sind 027 kein Zugriff der Gruppe other auf neue Dateien dazu z hlen andere Benutzer auf dem System oder 077 kein Zugriff der Mitglieder der Gruppe des Benutzers Debian erzeugt standardm ig f r jeden Benutzer eine eigene Gruppe so dass das einzige Gruppenmitglied der Benutzer selbst ist Daher ergibt sich zwischen 027 und 077 kein Unterschied da die Benutzergruppe nur den Benutzer selbst enth lt Dies ndern Sie indem Sie eine passende umask f r alle Benutzer einstellen Dazu m ssen Sie einen umask Aufruf in den Konfigurationsdateien aller Shells einf gen etc profile wird von allen Shells beachtet die kompatibel mit Bourne sind etc csh cshrc etc csh login etc zshrc und wahrscheinlich noch ein paar andere je nachdem welche Shells Sie auf Ihrem System installiert haben Sie k nnen auch die UMASK Einstellung in etc login defs ver ndern Von all diesen Dateien erlangt die letzte die von der Shell geladen wird Vorrang Die Reihenfolge lautet die Standard System Konfiguration f r die Shell des Benutzers d h etc profile und andere systemweite Konfigurationsdateien und dann die Shell des Benutzers seine profile und bash_profile etc Allerdings k nnen einige Shells mit dem nologin Wert ausgef hrt werden was verhindern kann dass eini ge dieser Dateien ausgewertet werden Sehen Sie in der Handbuchseite Ihrer Shell f r weitere Informationen nach Wird in etc adduser conf festgelegt USERGR
309. ngserkennung dass seit der Woody Distribution auf Debian portiert wurde tiger bietet Tests von verbreiteten Problemen in Zusammenhang mit Einbr chen wie der St rke von Passw rtern Problemen mit dem Dateisystem kommu nizierenden Prozessen und anderen M glichkeiten mit denen Root kompromittiert werden k nnte Dieses Paket umfasst neue debianspezifische Sicherheitstests einschlie lich der MD5 Summen von installierten Programmen des Orts von Dateien die zu keinem Paket geh ren und einer Analyse von lokalen lauschenden Prozessen Die Standardinstallation l sst tiger einmal am Tag laufen und einen Bericht erstellen der an den Superuser geschickt wird und Informationen zu m glichen Kompromittierungen enth lt Programme zur Protokollanalyse wie zum Beispiel logcheck k nnen zus tzliche benutzt werden um Einbruchsversuche zu erkennen Siehe Nutzung und Anpassung von logcheck auf Seite 75 Daneben k nnen Pakete die die Integrit t des Dateisystems berwachen siehe Pr fung der Integrit t des Dateisystems auf Seite 84 sehr n tzlich sein um Anomalien in einer abgesi cherten Umgebung zu erkennen Ein erfolgreicher Einbruch wird h chstwahrscheinlich Datei en auf dem lokalen Dateisystem ver ndern um die lokalen Sicherheitsregelungen zu umge hen Trojaner zu installieren oder Nutzer zu erstellen Solche Ereignisse k nnen mit Pr fwerk zeugen der Dateisystemintegrit t erkannt werden 10 4 Vermeiden von Root Kits
310. nicht einfach das weit verbrei tetste Programm sondern schauen Sie nach sichereren Versionen die Debian liefert oder aus anderen Quellen Was auch immer Sie schlie lich benutzen Stellen Sie sicher dass Sie die Risiken verstanden haben Setzen Sie Chroot Gef ngnisse f r ausw rtige Nutzer und Daemonen auf Konfigurieren Sie die Firewall und die tcp Wrapper d h hosts_access 5 be achten Sie den Trick f r etc hosts deny im Text Wenn Sie FTP laufen lassen setzen Sie den ftpd Server so auf dass er immer in einer chroot Umgebung im Home Verzeichnis des Nutzers l uft Wenn Sie X laufen lassen schalten Sie xhost Authentifizierung ab und benutzen Sie stattdessen ssh Oder noch besser Deaktivieren Sie die Weiterleitung von X komplett falls das m glich ist f gen Sie nolisten tcp zu der X Kommando Zeile hinzu und schalten Sie XDMCP in etc X11 xdm xdm configab indem Sie den requestPort auf 0 setzen Schalten Sie Zugriff von au erhalb auf den Drucker ab Tunneln Sie alle IMAP oder POP Sitzungen durch SSL oder ssh Installieren Sie stunnel wenn Sie diesen Dienst anderen Mail Nutzern anbieten wollen Setzen Sie einen Log Host auf und konfigurieren Sie andere Maschinen ihre Logs an diesen Host zu senden etc syslog conf Sichern Sie BIND Sendmail und andere komplexe Daemonen ab starten Sie sie in einer chroot Umgebung und als nicht Root Pseudonutzer Installieren Sie tiger oder ein hnliches
311. nks erzeugt werden beim Booten Fehlermeldungen erzeugt werden e Entfernen Sie das Ausf hrungsrecht von der Datei etc init d Dienst Auch das wird beim Booten Fehlermeldungen verursachen e Editieren der Datei etc init d Dienst so dass sich das Skript sofort beendet sobald es gestartet wird indem Sie die Zeile exit 0 am Anfang einf gen oder den start stop daemon Abschnitt auskommentieren Falls Sie dies tun k nnen Sie das Skript nicht sp ter dazu verwenden den Dienst von Hand zu starten Jedoch handelt es sich bei allen Dateien unter etc init d um Konfigurationsdateien und sollten daher bei einer Paketaktualisierung nicht berschrieben werden Sie k nnen im Gegensatz zu anderen UNIX Betriebssystemen Dienste unter Debian nicht abschalten indem Sie die Dateien unter etc default Dienst modifizieren FIXME Add more information on handling daemons using file rc 3 6 2 Abschalten von inetd oder seinen Diensten Sie sollten berpr fen ob Sie heutzutage den inetd Daemon berhaupt brauchen Inetd war fr her eine M glichkeit Unzul nglichkeiten des Kernels auszugleichen Diese sind aber in modernen Linux Kerneln nicht mehr vorhanden Gegen inetd gibt es die M glichkeit von Angriffen die zur Dienstverweigerung f hren Denial of Service welche die Last des Rech ners unglaublich erh hen Viele Leute ziehen es vor einzelne Daemonen zu benutzen anstatt Kapitel 3 Vor und w hrend der Installation 42 einen Dienst b
312. nnerhalb der Distribution zur Verf gung so dass Sie sie lokal installieren k nnen Sie befinden sich im Paket ca certificates Dieses Paket stellt eine zentrale Sammelstelle f r Zertifikate dar die an Debian bermittelt und vom Paketver walter gebilligt das hei t verifiziert wurden Sie k nnen f r alle OpenSSL Anwendungen die SSL Verbindungen verifizieren n tzlich sein FIXME read debian devel to see if there was something added to this 8 8 Antiviren Programme Es gibt nicht viele Antiviren Programme in Debian wahrscheinlich weil die Benutzer von GNU Linux nicht von Viren betroffen sind Das Sicherheitsmodell von Unix trifft eine Unter scheidung zwischen privilegierten Prozessen Root und den Prozessen der Benutzer Daher kann ein feindliches Programm das ein Benutzer empf ngt oder erstellt und dann ausf hrt nicht das System infizieren oder daran Ver nderungen vornehmen Es existieren dennoch W rmer und Viren f r GNU Linux auch wenn es bisher keinen Virus gab der sich im Freien weit ber eine Debian Distribution verbreitet hat Wie dem auch sei Administratoren sollten vielleicht Antiviren Gateways aufbauen um verwundbarere Systeme in ihrem Netzwerk vor Viren zu sch tzen Debian GNU Linux bietet derzeit die folgenden Werkzeuge zum Erstellen von Antiviren Umgebungen an e Clam Antivirus http www clamav net das in Debian seit Sarge der 3 1 Ver ffentlichung enthalten ist Es sind Pakete sowoh
313. nsprozess nicht schnell genug ist 12 3 11 Wie wird die Sicherheit f r contrib und non free gehandhabt Die kurze Antwort ist gar nicht Contrib und non free sind nicht offizieller Bestandteil der Debian Distribution und werden nicht freigegeben und daher nicht vom Sicherheits Team un terst tzt Einige non free Pakete werden ohne Quellcode oder ohne eine Lizenz vertrieben die die Verteilung von ge nderten Versionen erlaubt In diesen F llen ist es berhaupt nicht m glich Sicherheitsreparaturen durchzuf hren Falls es m glich ist das Problem zu beheben und der Paketbetreuer oder jemand anderes korrekte aktualisierte Pakete zur Verf gung stellt wird das Security Team diese normalerweise bearbeiten und eine Ank ndigung ver ffentli chen 12 3 12 Warum gibt es keinen offiziellen Mirror von security debian org Tats chlich gibt es dieses Es existieren mehrere offizielle Spiegel die ber DNS Aliase imple mentiert sind Der Zweck von security debian org ist es Sicherheitsaktualisierungen m glichst schnell und einfach zur Verf gung zu stellen Die Verwendung von inoffiziellen Spiegeln zu empfehlen w rde zus tzliche Komplexit t hin zuf gen die blicherweise nicht ben tigt wird und frustrierend sein kann wenn diese Spiegel nicht aktuell gehalten werden Offizielle Spiegel sind jedoch f r die Zukunft geplant 12 3 13 Ich habe DSA 100 und DSA 102 gesehen doch wo ist DSA 101 Verschiedene Distributoren zumeist von GNU
314. o dem gleichen Netzwerk wie der angegrif fene Host ist kann auf viele Probleme bei Zugang sto en nachdem die Anbindung der IP Adressen konfiguriert wurde Wenn der Angriff ber einen Router l uft kann es sich als ziemlich schwer herausstellen die Antworten zur ckzubekommen Kapitel 4 Nach der Installation 93 4 17 6 Schutz vor ARP Angriffen Wenn Sie den anderen Kisten in Ihrem LAN nicht trauen das sollte immer so sein da es die sicherste Einstellung ist sollten Sie sich vor den verschiedenen ARP Angriffen sch tzen Wie Sie wissen wird das ARP Protokoll dazu verwendet IP Adressen mit MAC Adressen zu verkn pfen f r alle Details siehe RFC826 ftp ftp isi edu in notes rfc826 txt Jedes Mal wenn Sie ein Paket an eine IP Adresse schicken wird eine ARP Aufl sung vorgenommen zuerst wird in den lokalen ARP Speicher geschaut und falls die IP nicht im Speicher ist wird ein Rundruf Broadcast mit der ARP Anfrage verschickt um die Hardware Adresse des Ziels zu finden Alle ARP Angriffe zielen darauf ab Ihrem Rechner vorzugaukeln dass die IP Adresse des Rechners B mit der MAC Adresse des Computers des Angreifers ver bunden ist Dadurch wird jedes Paket das Sie an den Rechner B der mit der IP Adresse ver bunden ist schicken wollen an den Computer des Eindringlings umgeleitet Diese Angriffe Verf lschung des ARP Speichers ARP Spoofing erm glichen dem An greifer auf Netzwerken den Verkehr abzuh ren selbs
315. o einen Schnappschuss immer dann erneuern wenn Sie das System aktua lisieren insbesondere wenn Sie auf eine neue Debian Release upgraden Kapitel 4 Nach der Installation 94 Hierf r k nnen Sie beschreibbare austauschbare Datentr ger benutzen die Sie schreibsch t zen k nnen Dies kann eine Diskette die nach der Benutzung schreibgesch tzt wird eine CD in einem CD ROM Laufwerk Sie k nnen auch wiederbeschreibbare CD ROMs benutzen so k nnen Sie sogar alte Sicherheitskopien Ihrer MD5 Summen behalten eine USB Platte oder eine MMC Karte wenn Ihr System auf diese zugreifen kann und sie schreibgesch tzt werden k nnen sein Das folgende Skript erstellt einen solchen Schnappschuss bin bash bin mount dev fd0 mnt floppy if f usr bin md5sum then echo Kann nicht md5sum finden Breche ab exit 1 fi bin cp usr bin md5sum mnt floppy echo Erstelle MD5 Datenbank gt mnt f floppy mdSchecksums txt for dir in bin sbin usr bin usr sbin lib usr lib do find dir type f xargs usr bin md5sum gt gt mnt floppy md5Schecksums lib t done echo MD5 Datenbank nach der Installation erstellt if f usr bin shalsum then echo Kann nicht shalsum finden else bin cp usr bin shalsum mnt floppy echo Erstelle SHA 1 Datenbank gt mnt floppy shalchecksums txt for dir in bin sbin usr bin usr sbin lib usr lib do find dir type f
316. og gespeichert werden Beachten Sie aber dass sie durch Log Rotations Skripte manchmal verschoben werden Kapitel 4 Nach der Installation 84 Diese Attribute k nnen auch f r Verzeichnisse vergeben werden In diesem Fall ist es jedem unm glich gemacht den Inhalt des Verzeichnisses zu ver ndern also beispielsweise eine Datei umzubenennen oder zu l schen Wenn das append Attribut einem Verzeichnis zugewiesen wird k nnen nur noch Dateien erstellt werden Es ist leicht einzusehen wie das a Attribut die Sicherheit verbessert indem es Programmen die nicht vom Superuser ausgef hrt werden die F higkeit einr umt Daten hinzuzuf gen aber verhindert dass lterer Inhalt ver ndert wird Dem gegen ber erscheint das i Attribut uninteressanter Schlie lich kann der Superuser ja schon die normalen Unix Rechte verwen den um den Zugang zu Dateien einzuschr nken Und ein Angreifer der Zugang zum Konto des Superusers hat k nnte immer das Programm chattr benutzen um die Attribute zu ent fernen Ein solcher Eindringlich ist vielleicht zun chst verwirrt wenn er feststellt dass er eine Datei nicht l schen kann Aber Sie sollten nicht davon ausgehen dass er blind ist immerhin hat er es geschafft in Ihr System einzudringen Einige Handb cher einschlie lich fr herer Versionen dieses Dokuments empfehlen einfach die Programme chattr und lsattr vom System zu entfernen um die Sicherheit zu erh hen Aber diese Strategie di
317. on usr bin dircolors du install link mkfifo shred touch gt bin touch unlink libcrypto so 0 9 6 libdb3 so 3 gt libdb3 so 3 0 2 gt libdb3 so 3 0 2 libz so 1 gt libz so 1 1 4 libz so 1 1 4 sbin sshd share locale es LC_MESSAGES fileutils mo libc mo sh utils mo LC TIME gt LC_MESSAGES zoneinfo x Europe Madrid sshd Kapitel G Chroot Umgebung f r SSH 260 sshd pid 27 directories 733 files Bei Debian 3 1 m ssen Sie sicherstellen dass das Gef ngnis auch die Dateien f r PAM enth lt Falls es nicht schon make jail f r Sie erledigt hat m ssen Sie folgende Dateien in die Chroot Umgebung kopiert ls etc pam d common x etc pam d common account etc pam d common password etc pam d common auth etc pam d common session G 2 3 Die Chroot Umgebung von Hand erstellen der schwierige Weg Es ist m glich eine Umgebung mit der Trial and Error Methode zu erstellen Dazu m ssen Sie die Traces und die Logdateien des sshd Servers berwachen um die notwendigen Dateien herauszufinden Die folgende Umgebung die von Jos Luis Ledesma zur Verf gung gestellt wurde ist eine beispielhafte Auflistung der Dateien in einer chroot Umgebung f r ssh unter Debian 3 0 total 36 drwxr
318. oot Umgebung f r SSH 251 Beachten Sie dass das die Sicherheit Ihres Systems verringern wird da dann der OpenSSH Server als Root laufen wird Das bedeutet dass wenn eine Angriffsm glich keit aus der Ferne gegen OpenSSH entdeckt wird ein Angreifer Root Rechte anstatt nur Sshd Rechte erlangen wird und somit das gesamte System kompromittiert Wenn Sie die Rechtetrennung nicht deaktivieren brauchen Sie im Chroot Gef ngnis etc passwd welches die Benutzer UID enth lt damit die Rechtetrennung funktioniert Wenn Sie die Option Rechtetrennung auf yes gesetzt haben und Ihre Version von OpenSSH nicht richtig l uft m ssen Sie sie abschalten Wenn Sie das unterlassen werden Benutzer die sich mit Ihrem Server verbinden wollen und von diesem Modul in eine Chroot Umgebung eingesperrt werden sollen Folgendes zu sehen bekommen ssh l user server user server s password Connection to server closed by remote host Connection to server closed Dies geschieht weil der SSH Daemon der als sshd l uft nicht den Systemaufruf chroot ausf hren kann Um die Rechtetrennung abzuschalten m ssen Sie die Konfigurationsdatei etc ssh sshd_config wie oben beschrieben ver ndern Beachten Sie dass wenn Folgendes fehlt sich die Benutzer nicht in der Chroot Umgebung anmelden k nnen e Das Dateisystem proc muss in der Chroot Umgebung des Benutzers gemountet sein e Die notwendigen Ger te unter dev pts m sse
319. otate grep 25 etc crontab 25 6 kok R root test e usr sbin anacron run parts report etc cron daily grep nobody etc cron daily find cd amp amp updatedb localuser nobody 2 gt dev null 12 2 5 Ich habe possible SYN flooding in meinen Logs entdeckt Werde ich ange griffen Sie sehen Eintr ge wie diese in Ihren Logs May 1 12 35 25 linux kernel possible SYN flooding on port X Sending cooki May 1 12 36 25 linux kernel possible SYN flooding on port X Sending cooki May 1 12 37 25 linux kernel possible SYN flooding on port X Sending cooki May 1 13 43 11 linux kernel possible SYN flooding on port X Sending cooki berpr fen Sie mit netstat ob es eine gro e Anzahl von Verbindungen zum Server gibt Zum Beispiel linux netstat ant grep SYN_RECV we 1 9000 Dies ist ein Anzeichen dass ein Denial of Service Angriff DoS auf den Port X Ihres Systems am wahrscheinlichsten gegen einen ffentlichen Dienst wie Ihr Web oder Mailserver Sie Kapitel 12 H ufig gestellte Fragen Frequently asked Questions FAQ 217 sollten TCP Syncookies in Ihrem Kernel einschalten siehe Konfiguration von Syncookies auf Seite 87 Beachten Sie dass ein DoS Angriff Ihr Netzwerk berfluten kann auch wenn Sie verhindern k nnen dass er Ihr System zum Absturz bringt 5 Der einzige effektive Weg diesen Angriff abzuwehren ist mit Ihrem Netzprovider in Verbindung zu treten 12 2 6
320. owohl die von den Nutzern ausf hrten Programme als auch deren Ergebnisse zu ber wachen k nnen Sie den Befehl script verwenden Sie k nnen script nicht als eine Shell einsetzen auch dann nicht wenn Sie es zu etc shells hinzuf gen Aber Sie k nnen in die Datei welche den Startvorgang der Shell steuert folgendes eintragen umask 077 exec script q a var log sessions SUSER Die History Datei der Shell benutzen Wenn Sie auswerten wollen was die Benutzer in die Shell eingeben aber nicht was das Er gebnis ist k nnen Sie eine systemweite et c profile so einrichten dass alle Befehle in der History Datei Verlaufsdatei gespeichert werden Die systemweite Einstellung muss so ein gerichtet werden dass Benutzer die Auditm glichkeit nicht aus ihrer Shell entfernen k nnen Ob dies m glich ist h ngt von der Art der Shell ab Sie m ssen also sicherstellen dass alle Benutzer eine Shell verwenden die das unterst tzt F r die Bash zum Beispiel k nnte etc profile folgenderma en aufgebaut werden 1 HISTFIL I HISTSIZ bash_history 10000 m G Ei m G Ei 16 ibpam chroot wurden noch nicht vollst ndig getestet Es funktioniert mit Login aber es d rfte nicht leicht sein diese Umgebung f r andere Programme einzurichten Wenn HISTSIZE eine sehr gro e Zahl zugewiesen wird kann dies bei einigen Shells zu Problemen f hren da der Verlauf f r jede Sitzung eines Nutzers im Speicher abgelegt wird Sie
321. pache 1 berpr fen m ssen Sie das Folgende der Konfigurationsdatei von Apache hinzuf gen Userdir disabled Ein Angreifer kann immer noch die Benutzer herausfinden da die Antwort des Web Servers 403 Permission Denied und nicht 404 Not available lautet Mit dem Rewrite Modul k nnen Sie das verhindern 5 8 2 Rechte von Log Datei Apache Log Dateien geh ren seit 1 3 22 1 dem Benutzer root und der Gruppe adm mit den Rechtebits 640 Diese Rechte ndern sich nach einer Rotation Ein Eindringling der das System ber den Web Server erreicht hat kann so alte Log Datei Eintr ge nicht ohne Rechteerweite rung entfernen 5 8 3 Ver ffentlichte Web Dateien Apache Dateien befinden sich unterhalb von var www Direkt nach der Installation bietet die Standardseite einige Informationen zu dem System haupts chlich dass es ein Debian System ist auf welchem Apache l uft Die Standard Webseiten geh ren standardm ig dem Benutzer root und der Gruppe root w hrenddessen der Apache Prozess als Benutzer www data und Gruppe www data l uft Dies sollte es Angreifern die in das System durch den Web Server eindringen schwerer machen die Site zu verunstalten Sie sollten nat rlich die Standard Webseiten die Informationen die Sie der Au enwelt vorenthalten wollen enthalten k nnen durch Ihre eigenen ersetzen 5 9 Absichern von Finger Wenn Sie den Finger Dienst laufen lassen wollen fragen Sie sich bitte zuerst ob Sie das
322. pr fung der Integrit t auf Seite 187 und Einen Schnappschuss des Systems erstellen auf Seite 93 Sie benutzen vielleicht locate um das gesamte Dateisystem zu indizieren Wenn das so ist sollten Sie die Auswirkungen davon ber cksichtigen Das Debianpaket findutils enth lt locate das als Nutzer nobody l uft Daher indiziert es nur Dateien die von jedermann einge sehen werden k nnen Wenn Sie dieses Verhalten ver ndern werden allerdings alle Orte von Dateien f r alle Nutzer sichtbar Wenn Sie das gesamte Dateisystem indizieren wollen und nicht nur die St ckchen die der Nutzer nobody sehen kann k nnen Sie locate durch das Paket slocate ersetzen slocate wird als eine um Sicherheit erweiterte Version von GNU loca te bezeichnet hat aber tats chlich weitere Funktionen zum Auffinden von Dateien Wenn Sie slocate benutzen sieht ein Benutzer nur Dateien auf die er auch Zugriff hat w hrend Sie Dateien und Verzeichnisse des gesamten Systems ausschlie en k nnen Das Paket slocate f hrt seinen Aktualisierungsprozess mit h heren Rechten aus als locate Au erdem indiziert es jede Datei Nutzern wird es dadurch erm glicht schnell nach jeder Datei zu suchen die sie sehen k nnen slocate zeigt ihnen keine neuen Dateien an es filtert die Ausgabe auf Grund lage der UID Sie sollten auch bsign oder elfsign einsetzen elfsign bietet die M glichkeit digitale Si gnaturen an ELF Binaries anzuf gen und diese Signaturen zu berpr
323. ptgr nde warum keine Limits in der Standardinstallation ent halten sind Zum Beispiel nimmt die Konfiguration im Beispiel unten eine Begrenzung von 100 Prozessen f r alle Nutzer vor um Fork Bomben zu vermeiden und eine Begrenzung auf 10MB Speicher pro Prozess und ein Limit von 10 gleichzeitigen Logins Benutzer in der Gruppe adm haben h here Begrenzungen und k nnen Dateien mit einem Speicherabbild schreiben wenn sie das wollen es gibt also nur eine weiche Begrenzung soft core 0 D hard core 0 hard rss 1000 D hard memlock 1000 hard nproc 100 15 Programme die immer mehr Prozesse erzeugen um so das System zum Absturz zu bringen dU CM Meegen Kapitel 4 Nach der Installation 62 D hard D hard adm hard adm hard adm soft adm hard adm hard adm maxlogins data fsize core rss nproc nproc fsize maxlogins 1 102400 2048 100000 100000 2000 3000 100000 10 Dies k nnten die Limits eines Standardnutzers einschlie lich der Systemdaemonen sein S ulimit a core file size data seg size file size max locked memory max memory size open files pipe size stack size cpu time max user processes virtual memory 512 bytes seconds blocks C kbytes d blocks f kbytes 1 kbytes m n p kbytes s t u kbytes v Und dies die Limits f r einen Administrator ulimit a core data file max locked memory ma
324. ptionen deutlicher herauszustellen Vielen Dank an Bruce Park der auf verschiedene Fehler in diesem Anhang hinwies e Verbesserte den Aufruf von Isof wie es von Christophe Sahut vorgeschlagen wurde e F gte einen Patch von Uwe Hermann zur Verbesserung von Tippfehlern ein e Verbesserte einen Tippfehler der von Moritz Naumann entdeckt wurde 1 6 5 Version 3 7 April 2006 Anderung von Javier Fern ndez Sanguino Pe a e F gte einen Abschnitt ber den besten Umgang der Entwickler von Debian mit Sicher heitsfragen hinzu e F gte eine Firewall Skript mit Kommentaren von WhiteGhost an 1 6 6 Version 3 6 M rz 2006 Anderung von Javier Fern ndez Sanguino Pefia e F gte einen Patch von Thomas Sj gren ein der beschreibt dass noexec wie erwartet mit neuen Kernel arbeitet der Informationen ber den Umgang mit tempor ren Dateien hinzuf gt und einige Verweise auf externe Dokumentationen Kapitel 1 Einleitung 10 F gte nach einem Vorschlag von Freek Dijkstra einen Verweis auf Dan Farmers und Wietse Venemas Webseite ber forensische Entdeckungen ein und erweiterte den Ab schnitt ber forensische Analyse etwas mit weiteren Verweisen Verbesserte dank Christoph Auer die URL des italienischen CERT Verwendete wieder Joey Hess Informationen aus dem Wiki ber Secure Apt und f gte sie in den Infrastrukturabschnitt ein 1 6 7 Version 3 5 November 2005 Anderung von Javier Fern ndez Sanguino Pe a Hinweis im
325. r berpr fung warten zugreifen Das ist notwendig da es Ausbesserungen f r Sicherheitsprobleme geben k nnte die noch nicht offengelegt werden d rfen Wenn ein Mitglied des Sicherheitsteams ein Paket akzeptiert wird es auf security debian org und als passendes lt codename gt proposed updates auf ftp master oder im Non US Archiv in stalliert Kapitel 7 Die Infrastruktur f r Sicherheit in Debian 145 Die Sicherheitsank ndigung Sicherheitsank ndigungen werden vom Sicherheitsteam geschrieben und ver ffentlicht Al lerdings macht es ihnen gewiss nichts aus wenn ein Paketbetreuer den Text teilweise f r sie erstellt Informationen die in einer Anweisung enthalten seien sollten werden in Debian Sicherheits Ank ndigungen auf Seite 138 beschrieben 7 4 Paketsignierung in Debian Dieser Abschnitt k nnte auch mit Wie man sein Debian GNU Linux System sicher upgra ded aktualisiert berschrieben werden Es verdient haupts chlich deshalb einen eigenen Ab schnitt weil es einen wichtigen Teil der Infrastruktur der Sicherheit darstellt Die Signierung von Paketen ist ein wichtiges Thema da es die Manipulation von Paketen in Spiegel und von heruntergeladenen Dateien durch Man in the Middle Angriffen verhindert Die automatische Aktualisierung von Software ist eine wichtige F higkeit aber es ist auch wichtig Gefahren f r die Sicherheit zu entfernen die die Verbreitung von Trojanern und den Einbruch ins System w hre
326. r nehmen wollen ndern Sie etc pam d passwd Erh hen Sie die minimale L nge von Pass w rtern vielleicht sechs Zeichen und schalten Sie MD5 ein Wenn Sie es w nschen f gen Sie etc group die Gruppe wheel hinzu f gen Sie etc pam d su pam_wheel so group wheel hinzu F r angepasste Kontrollen der einzelnen Nutzer nehmen Sie pam_listfile so Eintr ge an den passenden Stellen vor Erstellen Sie eine Datei etc pam d other und setzen Sie sie mit strenger Sicherheit auf Setzen Sie in etc security limits conf Schranken beachten Sie dass etc limits nicht benutzt wird wenn Sie PAM verwenden Nehmen Sie Einschr nkungen in etc login defs vor wenn Sie MD5 oder PAM einschalten machen Sie auch hier ebenfalls die gleichbedeutenden nderungen Schalten Sie FTP Zugriff von Root in etc ftpusers ab Schalten Sie Root Logins bers Netzwerk ab benutzen Sie su 1 oder sudo 1 denken Sie die Installation von sudo nach Benutzen Sie PAM um zus tzliche Auflagen auf Logins zu erm glichen e Andere lokale Sicherheitsangelegenheiten Kernel Tweaks siehe Konfiguration der Netzwerkf higkeiten des Kernels auf Sei te 86 Kernel Patches siehe Den Kernel patchen auf Seite 78 Schr nken Sie die Zugriffsrechte auf Log Dateien var log last fail log Apache Logs ein Stellen Sie sicher dass in etc checksecurity conf SETUID Checks einge schaltet sind berlege
327. r tet der die symbolischen Links in etc rc d x benutzt Mehr Informationen dazu finden Siein usr share doc sysvinit README runlevels gz 3Die Zahl war bei Debian 3 0 und davor nicht so niedrig da einige inet d Dienste standardm ig aktiviert wa ren Au erdem war in Debian 2 2 der NFS Server wie auch der Telnet Server Bestandteil der Standardinstallation Kapitel 3 Vor und w hrend der Installation 40 Wenn Sie trotzdem Dienste installieren m chten diese aber selten benutzen entfernen Sie sie mit den update Befehlen wie updat e inetd oder update rc daus dem Startvorgang Wei tere Informationen wie Sie Netzwerkdienste abschalten finden Sie unter Daemons abschal ten auf dieser Seite Wenn Sie das Standardverhalten des Startens von Diensten nach der In stallation von ihren Paketen ndern wollen lesen Sie bitte f r weiterf hrende Informationen usr share doc sysv rc README policy rc d gz Die Unterst tzung von invoke rc d ist bei Debian nun zwingend Dies bedeutet dass Sie bei Sid und Etch eine policy rc d Datei anlegen k nnen die das Starten von Dae mons verbietet bevor Sie sie konfiguriert haben Zwar sind derartige Skripte noch nicht in Paketen enthalten sie sind aber ziemlich leicht zu schreiben Sehen Sie sich auch policyrced script zg2an 3 6 1 Daemons abschalten Das Abschalten eines Daemons ist sehr einfach Entweder Sie entfernen das Paket das das Programm f r diesen Dienst anbie
328. r 15 16 53 drwxr xr x 2 root root 4096 Mar 15 15 55 bin drwxr xr x 2 root root 4096 Mar 15 15 37 lib usr bin total 340 drwxr xr x 2 root root 4096 Mar 15 15 55 drwxr xr x 4 root root 4096 Mar 15 13 00 rwWxr xr x 1 root root 10332 Mar 15 15 55 env LWXr xr X 1 root root 13052 Mar 15 13 13 id SEAXr Xr X 1 root root 25432 Mar 15 12 40 scp rwWXr xr x 1 root root 43768 Mar 15 15 15 sftp r sr xr x 1 root root 218456 Mar 15 12 40 ssh rwWXr xr x 1 root root 9692 Mar 15 13 17 tty usr lib total 852 drwxr xr x 2 root root 4096 Mar 15 15 37 drwxr xr x 4 root root 4096 Mar 15 13 00 rW r r 1 root root 771088 Mar 15 13 01 libcrypto so 0 9 6 rW r r 1 root root 54548 Mar 15 13 00 libz so 1l rwWXr xr x 1 root root 23096 Mar 15 15 37 sftp server Kapitel G Chroot Umgebung f r SSH 254 G 2 Einsperren des SSH Servers in einem Chroot Gef ngnis Wenn Sie eine Chroot Umgebung erstellen welche die Dateien des SSH Servers enth lt z B unter var chroot ssh sollten Sie den im chroot Gef ngnis eingesperrten ssh Server mit diesem Befehl starten chroot var chroot ssh sbin sshd f etc sshd_config Das f hrt dazu dass der sshd Daemon innerhalb des Chroot Gef ngnisses gestartet wird Dazu m ssen Sie zun chst daf r sorgen dass das Verzeichnis var chroot ssh den SSH Server und die Werkzeuge enth lt die Benutzer ben tigen die mit dem Server verbunden sind Wenn Sie das vorhaben sollten Sie sicherstellen dass OpenS
329. r durch die Konfigurationsdatei oder die PAM Konfiguration oder e den Benutzern nur eine eingeschr nkte Shell wie scponly oder rssh zuweisen Diese Shells schr nken die Befehle ein die den Benutzern zur Verf gung stehen so dass sie auf dem entfernten Rechner keine Befehle ausf hren k nnen Kapitel 5 Absichern von Diensten die auf Ihrem System laufen 101 5 2 Absichern von Squid Squid ist einer der verbreitetsten Proxy Cache Server und es gibt ein paar Sicherheitsaspek te die Sie beachten sollten Squids Standard Konfiguration lehnt alle Anfragen von Benutzern ab Dennoch erlaubt das Debian Paket Zugriff von localhost Sie m ssen nur Ihren Brow ser richtig konfigurieren Sie sollten Squid so konfigurieren dass er Zugriffe von vertrauens w rdigen Nutzern Computern oder Netzwerken erlaubt indem Sie eine Zugriffs Kontroll Liste ACL Access Control List in etc squid squid conf definieren Mehr Informatio nen wie Sie ACLs definieren finden Sie im Squid User s Guide http www deckle co za squid users guide Main_Page Ein gute deutsche Dokumentation ist das Squid Handbuch http www squid handbuch de Beachten Sie dass Debian eine minima le Konfiguration f r Squid bereitstellt die alles verhindert mit der Ausnahme dass localhost sich mit Ihrem Proxy Server der standardm ig mit dem Port 3128 l uft verbinden kann Sie m ssen Ihre etc squid squid conf Datei wie gew nscht anpassen Die empfohlene mini
330. r ein Netzwerk zu leiten so dass die Sounds eines X Clients ber die Hardware eines X Servers abgespielt werden e Absichern von Web Browsern e Aufsetzen von ftp ber ssh e Die Benutzung von verschl sselten Loopback Dateisystemen e Verschl sselung eines ganzen Dateisystems e Steganographie Tools e Aufsetzen eines PKA f r eine Organisation e LDAP benutzen zur Verwaltung der User Es gibt ein HOWTO zu Idap kerberos f r Debian auf http www bayour com von Turbo Fredrikson e Wie man Informationen mit begrenztem Nutzen wie z B usr share doc oder usr share man auf Produktivsystemen entfernt jawohl security by obscurity e Mehr Informationen ber Icap die sich auf die README Datei des Pakets st tzen gut die Datei ist noch nicht vorhaben vergleiche Bug 169465 http bugs debian org cgi bin bugreport cgi bug 169465 und diesen Artikel von LWN Kernel development http lwn net 1999 1202 kernel php3 e F ge Colins Artikel hinzu wie man eine Chroot Umgebung f r ein komplettes Sid System aufsetzt http people debian org walters chroot html e Informationen dar ber wie man mehrere snort Sensoren in einem System betreibt be achte die Fehlerberichte zu snort Kapitel 1 Einleitung 7 Informationen wie man einen Honigtopf honeypot einrichtet honeyd e Darstellung der Situation von FreeSwan verwaist und OpenSwan Der Abschnitt ber VPN muss tiberarbeitet werden e F ge einen gesonderten A
331. r f r diesen Zweck Lesen Sie dazu bitte xinetd conf 5 service nntp socket_type stream protocol tcp wait no user news group news server usr bin env Kapitel 5 Absichern von Diensten die auf Ihrem System laufen 98 server_args POSTING_OK 1 PATH usr sbin usr bin sbin bin usr sbin snntpd logger p news info bind 127 0 0 1 Die folgenden Abschnitte gehen detaillierter darauf ein wie bestimmte Dienste abh ngig von der beabsichtigten Benutzung passend konfiguriert werden 5 1 Absichern von ssh Wenn Sie immer noch telnet statt ssh benutzen sollten Sie dieses Handbuch kurz beiseite le gen und dies ndern Ssh sollte anstelle von telnet f r alle Fern Logins benutzt werden In einer Zeit in der es leicht ist Internet Verkehr mitzuschn ffeln und an Klartext Passw rter heranzukommen sollten Sie lediglich Protokolle verwenden die Kryptographie benutzen Al so f hren Sie sofort ein apt get install ssh auf Ihrem System aus Ermuntern Sie alle Nutzer Ihres Systems ssh anstelle von telnet zu benutzen oder noch bes ser Deinstallieren Sie telnet telnetd Zus tzlich sollten Sie es vermeiden sich mit ssh als root einzuloggen und lieber andere Methoden benutzen um root zu werden Wie zum Beispiel su oder sudo Schlie lich sollten Sie noch die Datei etc ssh sshd_config f r mehr Sicher heit modifizieren e ListenAddress 192 168 0 1 Lassen Sie ssh nur auf eine bestimmte Schnittstelle h
332. r hier nur ber die Standardeinstellung Benutzer k nnen grunds tzlich die Rechte f r ihre eigenen Dateien nach ihrem Gutd nken vergeben Oder Sie k nnen die Dinge die f r das Web bestimmt sind in einem getrennten Ort ablegen der kein Unterverzeichnis vom HOME Verzeichnis des Nutzers ist 4 10 13 Erstellen von Benutzerpassw rtern In vielen F llen muss ein Administrator viele Benutzerkonten erstellen und alle mit Passw r tern ausstatten Der Administrator k nnte nat rlich einfach als Passwort den Namen des Nut zerkontos vergeben Dies w re aber unter Sicherheitsgesichtspunkten nicht sehr klug Ein bes seres Vorgehen ist es ein Programm zur Erzeugung von Passw rtern zu verwenden Debian stellt die Pakete makepasswd apg und pwgen zur Verf gung die Programme liefern deren Name ist der gleiche wie der des Pakets die zu diesem Zweck verwendet werden k nnen Makepasswd erzeugt wirklich zuf llige Passw rter gibt also der Sicherheit gegen ber der Aussprechbarkeit den Vorzug Dagegen versucht pwgen bedeutungslose aber aussprechba re Passw rter herzustellen dies h ngt nat rlich auch von Ihrer Muttersprache ab Apg lie fert Algorithmen f r beide M glichkeiten Es gibt auch eine Client Server Version dieses Pro gramms Diese befindet sich aber nicht im Debian Paket Passwd erlaubt nur die interaktive Zuweisung von Passw rtern da es direkt den tty Zugang benutzt Wenn Sie Passw rter ndern wollen wenn Sie eine gro
333. r ist Exploits durch zgv wurden ver ffentlicht und es war einfach root zu werden Versuchen Sie die Nutzung von SVGAlib Programmen wann immer nur m glich zu verhindern Kapitel 4 Nach der Installation 96 97 Kapitel 5 Absichern von Diensten die auf Ihrem System laufen Dienste k nnen auf zwei Arten in einem laufenden System abgesichert werden e Sie so einstellen dass auf sie nur von Zugangspunkten Interfaces zugegriffen werden kann von denen es n tig ist e Sie so konfigurieren dass sie nur von legitimierten Nutzern auf autorisierte Art und Weise benutzt werden k nnen Dienste k nnen durch Zugriffsbeschr nkungen auf Kernel Ebene durch eine Firewall ein geschr nkt werden so dass auf sie nur von bestimmten Orten aus zugegriffen werden kann Konfigurieren Sie sie so dass sie nur auf eine bestimmte Schnittstelle horchen einige Dienste bieten diese F higkeiten vielleicht nicht Oder verwenden Sie eine andere Methode zum Bei spiel den Linux vserver Patch f r 2 4 16 mit dem Prozesse auf eine bestimmte Schnittstelle gebunden werden k nnen Was die Dienste angeht die von inetd aufgerufen werden telnet ftp finger pop3 SO ist es wert zu erw hnen dass inetd so konfiguriert werden kann dass er nur auf eine bestimmte Schnittstelle reagiert unter Verwendung der service ip Syntax Dies ist jedoch eine nicht dokumentierte Eigenschaft Ein Ersatz der Meta Daemon xinetd kennt eine bind Option nu
334. rch eine Firewall auf Seite 245 Anmerkung Seit Debian Woody 3 0 wird Ihnen nach der Installation die M glichkeit einge r umt Sicherheitsaktualisierungen Ihrem System hinzuzuf gen Wenn Sie hier ja sagen wird das Installationssystem die passenden Schritte unternehmen um die Quellen der Sicherheits aktualisierungen Ihren Paketquellen hinzuzuf gen Falls Sie nun eine Internetverbindung ha ben wird Ihr System alle Sicherheitsaktualisierungen herunterladen die seit Entstehung Ihres Installationsmediums erzeugt wurden Falls Sie ein Upgrade von einer lteren Version von De bian durchf hren oder Sie das Installationssystem anweisen dies nicht zu tun sollten Sie die hier vorgestellten Schritte unternehmen Um Ihr System manuell zu aktualisieren f gen Sie die folgende Zeile in Ihre etc apt sources list ein So werden Sie Sicherheitsaktualisierungen automatisch erhalten wann immer Sie Ihr System aktualisieren deb http security debian org debian security stable updates main contrib non free Hinweis Falls Sie den Testing Zweig einsetzen sollten Sie die Sicherheitsspiegel f r Testing verwenden Das wird unter Sicherheitsuntersttitzung f r den Testing Zweig auf Seite 184 beschrieben Wenn Sie dies erledigt haben stehen Ihnen zahlreiche Werkzeuge zur Verf gung mit denen Sie Ihr System aktualisieren k nnen Wenn Sie ein Desktop System einsetzen k nnen Sie eine Anwendung mit dem Namen update notifier verwenden
335. ren Computern laufen anzufordern Der portmap Dienst kontrolliert RPC Dienste durch Abbil den von RPC Programmnummern auf DARPA Protokoll Portnummern Er muss laufen um RPC Aufrufe ausf hren zu k nnen RPC basierte Dienste hatten eine unr hmliche Geschichte was Sicherheitsl cken betrifft ob wohl dies f r den Portmapper an sich nicht gilt dieser bietet aber nach wie vor entfernten Angreifern Informationen Es ist zu beachten dass einige DDoS distributed denial of service verteilte Dienstverweigerungen Angriffe RPC L cher benutzen um in das System einzudrin gen und als so genannter Agent Handler zu fungieren Sie ben tigen RPC nur dann wenn Sie einen RPC basierten Dienst verwenden Die bekann testen RPC basierten Dienste sind NFS Network File System und NIS Network Information System Vergleichen Sie mit dem vorherigen Abschnitt f r weitere Information ber NIS Der File Alteration Monitor FAM der vom Paket fam bereitgestellt wird ist ebenso ein RPC Dienst und h ngt deshalb von portmap ab NFS Dienste sind in einigen Netzwerken ziemlich wichtig Wenn dies f r Sie der Fall ist m ssen Sie einen Ausgleich finden zwischen Sicherheit und Nutzbarkeit f r Ihr Netzwerk Sie k nnen mehr ber NFS Sicherheit im NFS HOWTO http www tldp org HOWTO NFS HOWTO html usr share doc HOWTO en txt NFS HOWTO txt gz finden Kapitel 5 Absichern von Diensten die auf Ihrem System laufen 122 5 13 1 Vollst ndiges Deaktivie
336. ren Benutzer die zu root suen k nnen sollen zu dieser Gruppe F gen Sie anschlie end die folgende Zeile zu etc pam d su hinzu Diese Abh ngigkeit ist allerdings im Debian 3 0 Paket nicht gel st Lesen Sie dazu Bug 112965 http bugs debian org 112965 Kapitel 4 Nach der Installation 60 auth requisite pam_wheel so group wheel debug Dies stellt sicher dass nur Personen aus der Gruppe wheel su benutzen k nnen um root zu werden Andere Benutzer wird es nicht m glich sein root zu werden Tats chlich werden Sie eine ablehnende Nachricht bekommen wenn Sie versuchen root zu werden Wenn Sie es nur bestimmten Nutzern erlauben wollen sich bei einem PAM Dienst zu authen tifizieren ist dies sehr leicht zu erreichen indem Sie Dateien benutzen in denen die Nutzer denen es erlaubt ist sich einzuloggen oder nicht gespeichert sind Stellen Sie sich vor Sie m chten lediglich dem Nutzer ref erlauben sich mittels ssh einzuloggen Sie schreiben ihn also in eine Datei etc ssh users allowed und schreiben das Folgende in etc pam d ssh auth required pam_listfile so item user sense allow file etc ssh Da es eine Reihe von Sicherheitsl cken mit so genannten unsicheren tempor ren Datei en zum Beispiel in thttpd vgl DSA 883 1 http www debian org security 2005 dsa 883 gab lohnt es sich das Paket libpam tmpdir zu installieren Alles was Sie ma chen m ssen ist Folgendes zu etc pam d common
337. ren Pakete von den festgelegten Paketquellen herun terladen Die Option s wird eine Simulation durchf hren d h es werden keine Pakete herun tergeladen oder installiert Vielmehr teilt es Ihnen mit welche heruntergeladen und installiert werden sollen Durch dieses Ergebnis k nnten Sie erfahren welche Pakete von Debian ausge bessert wurden und als Sicherheitsaktualisierung verf gbar sind Zum Beispiel apt get upgrade s Reading Package Lists Done Building Dependency Tree Done 2 packages upgraded 0 newly installed 0 to remove and 0 not upgraded Inst cvs 1 11 1pldebian 8 1 Debian Security 3 0 stable Inst libcupsys2 1 1 14 4 4 Debian Security 3 0 stable Conf cvs 1 11 1pldebian 8 1 Debian Security 3 0 stable Conf libcupsys2 1 14 4 4 Debian Security 3 0 stable In diesem Beispiel k nnen Sie erkennen dass auf dem System cvs und cupsys mit neu en Versionen aus Woodys Sicherheitsarchiv aktualisiert werden m ssen Um herauszufinden warum eine Aktualisierung notwendig ist sollten Sie http security debian org be suchen und sich ansehen welche aktuellen Debian Sicherheits Ank ndigungen zu diesen Pa keten ver ffentlicht wurden In unserem Fall sind die zugeh rigen DSA DSA 233 http www debian org security 2003 dsa 233 f r cvs und DSA 232 http www debian org security 2003 dsa 232 f r cupsys Es ist zu beachten dass der Rechner neugestartet werden m
338. ren von RPC Diensten Das Abschalten von portmap ist relativ einfach Es gibt verschiedene Methoden Die einfachste in einem Debian 3 0 oder neueren System ist das Paket portmap zu deinstallieren Wenn Sie eine ltere Version von Debian laufen haben werden Sie den Dienst wie in Daemons abschal ten auf Seite 40 beschrieben abschalten m ssen weil das Programm Teil des Pakets netbase das nicht deinstalliert werden kann ohne das System kaputt zu machen ist Beachten Sie dass einige Desktop Umgebungen haupts chlich GNOME RPC Dienste ver wenden und den Portmapper f r einige der Dateimanager Eigenschaften ben tigen Wenn dies bei Ihnen der Fall ist k nnen Sie den Zugang zu RPC Diensten wie weiter unter be schrieben beschr nken 5 13 2 Einschr nken des Zugriffs auf RPC Dienste Ungl cklicherweise ist es in manchen F llen nicht m glich RPC Dienste vom System zu ent fernen Einige lokale Desktop Dienste haupts chlich SGIs fam sind RPC basiert und ben tigen deshalb einen lokalen Portmapper Dies bedeutet dass unter bestimmten Umst nden Benutzer die eine Desktop Umgebung wie GNOME installieren den Portmapper auch in stallieren werden Es gibt einige Wege den Zugriff auf den Portmapper und RPC Dienste zu beschr nken e Blockieren des Zugangs zu den Ports die von diesen Diensten verwendet werden mit einer lokalen Firewall vergleiche Hinzuf gen von Firewall F higkeiten auf dieser Sei te e Blockiere
339. rifizierung von Finger prints funktioniert Dies wurde im Abschnitt tiber Secure Apt verwendet All den Leuten die Verbesserungen vorschlugen die letzten Endes eingeflossen sind siehe Anderungsiibersicht Changelog Geschichte auf Seite 7 Francesco Poli sah dieses Dokument umfassend durch und stellte eine gro e Anzahl von Fehlerberichten und Tippfehlern zur Verf gung mit denen dieses Dokument verbessert und aktualisiert werden konnte Alexander All den Leuten die mich ermutigten dieses HOWTO zu schreiben die sp ter zu einer ganzen Anleitung wurde Dem ganzen Debian Projekt Danksagungen des bersetzers Auch der bersetzer Simon Brandmair lt sbrandmair gmx net gt hat einigen Leuten zu danken die mit Verbesserungen Korrekturen und Ratschl gen zum Gelingen der bersetzung beigetragen haben Christoph Haas Mirko Jahn Frank Loeffler Andreas Marc Klingler Elisabeth Bauer Jens Kubieziel Uli Martens Jens Schuessler Marcel Schaal Jens Seidel Kapitel 1 Einleitung 28 e Constantin Hagemeier Besonders m chte ich Alexander Schmehl danken der die erste deutsche bersetzung ange fertigt hat Insbesondere sei den Mitglieder der debian l10n german http lists debian org debian 110n german Mailingliste gedankt f r gute Ideen und fruchtbare Diskussionen VIELEN DANK Ohne euch h tte ich zwar nur halb so viel Arbeit gehabt aber viel mehr Leute k nnten sich jetzt ber meine mangelhaften
340. rkkabel ziehen Wenn Sie nicht bereit sind dieses Risiko einzugehen und Sie sich si cher sind dass in das System eingebrochen wurde sollten Sie das Stromkabel herausziehen alle wenn es mehr als eines gibt und Ihre Daumen dr cken Das h rt sich zwar extrem an ver hindert aber tats chlich eine Logikbombe die ein Eindringling programmiert haben k nnte Auf jeden Fall sollte ein kompromittiertes System nicht neugestartet werden Entweder sollten die Festplatten in einem anderen System analysiert werden oder Sie sollten ein anderen Medi um eine CD ROM benutzen um das System zu booten und analysieren Sie sollten nicht die Rettungsdisk von Debian verwenden um das System zu starten Sie k nnen aber die Shell auf der Installationsdisk benutzen wie Sie wissen erreichen Sie sie mit Alt F2 um das System zu analysieren Die beste Methode um ein gehacktes System wiederherzustellen ist ein Live Dateisystem auf einer CD ROM mit allen Programmen und Kernel Modulen verwenden die Sie brauchen um auf das eingebrochene System zugreifen zu k nnen Sie k nnen das Paket mkinitrd cd lWenn Sie abenteuerlustig sind sollten Sie sich am System anmelden und die Informationen aller laufenden Prozesse speichern Sie bekommen eine Menge aus proc nnn Es ist m glich den gesamten ausf hrbaren Code aus dem Arbeitsspeicher zu ziehen sogar dann wenn der Angreifer die ausf hrbaren Dateien von der Festplatte gel scht hat Ziehen Sie danach das
341. rstecken Allerdings wird das HOME Verzeichnis der Benutzer mit 0755 Rechten lesbar von der Grup pe lesbar von der Welt erstellt Die Rechte F r die Gruppe sind kein Thema da nur der Nutzer zu dieser Gruppe geh rt Allerdings k nnten die Rechte f r die Welt ein Problem darstellen wobei dies von Ihren lokalen Grunds tzen abh ngt Sie k nnen dieses Verhalten so ab ndern dass das Erstellen eines Nutzers andere Rechte f r HOME liefert Um dieses Verhalten f r neue Nutzer zu ndern wenn sie erstellt werden n dern Sie in der Konfigurationsdatei etc adduser conf DIR_MODE auf 0750 nicht lesbar f r die Welt ab Benutzer k nnen immer noch Informationen austauschen aber nicht mehr unmittelbar in ih rem HOME Verzeichnis es sei denn dass sie dessen Recht ver ndert haben Wenn Sie den Lesezugriff auf die Home Verzeichnisse f r die Welt verhindert sollten Sie beachten dass dann Nutzer ihre pers nlichen Webseiten nicht unter public_html er stellen k nnen da der Webserver einen Teil des Pfads nicht lesen kann und zwar das HOME Verzeichnis Wenn Sie es Nutzern erlauben wollen ihre HTML Seiten in ihrem public_html zu ver ffentlichen sollten Sie DIR_MODE auf 0751 setzen Das erm glicht Kapitel 4 Nach der Installation 71 dem Webserver Zugang zum public_html Verzeichnis welches selber die Rechte 0755 ha ben sollte So kann er den von den Nutzern ver ffentlichten Inhalt anbieten Nat rlich spre chen wi
342. rt werden Sie 1sof 2 2 installieren m ssen und es als Root laufen lassen Beachten Sie dass 1sof das Wort LISTEN passend zu Ihrer Lokalisation bersetzen kann Kapitel A Der Abh rtungsprozess Schritt f r Schritt 228 e Um einen unn tigen Dienst zu entfernen stellen Sie zun chst fest wie er gestartet wird und welches Paket ihn zur Verf gung stellt Sie k nnen dies ganz einfach machen indem Sie das Programm pr fen das auf dem Socket lauscht Das nachfolgende Shell Skript das die Programme 1sof und dpkg verwendet macht genau das bin sh FIXME this is quick and dirty replace with a more robust script sni for i in sudo lsof i grep LISTEN cut d f 1 sort u do pack dpkg S i grep bin cut f 1 d uniq echo Service i is installed by Spack init dpkg L Spack grep init d if 1 z Sinie J then echo and is run by init fi done e Wenn Sie einen unerw nschten Dienst finden entfernen Sie das Paket mit dpkg purge Oder benutzen Sie update rc d siehe Daemons abschalten auf Seite 40 um ihn aus dem Start Prozess zu entfernen e berpr fen Sie bei inetd Diensten werden durch den Superdaemon gestartet welche Dienste in etc inetd conf aktiviert sind Verwenden Sie dazu Folgendes grep v etc inetd conf sort u Deaktivieren Sie dann diejenigen Dienste die Sie nicht ben tigen indem Sie die Zeile in etc inetd conf auskommentieren
343. rt sein Hierf r hat die Freie Software Gemeinschaft eine gro e Zahl von Werkzeugen erstellt die zur einfachen Konfiguration einer lokalen Firewall benutzt wer den k nnen Seien Sie gewarnt dass einige dieser Werkzeuge sich mehr auf lokalen Schutz konzentrieren auch personal firewall genannt w hrend andere vielseitiger sind und dazu be nutzt werden k nnen komplexere Regelwerke zum Schutz ganzer Netzwerke zu erstellen Einige Programme die unter Debian zum Aufsetzen von Firewall Regeln benutzt werden k n nen sind e F r Desktop Systeme firestarter eine GNOME Anwendung die sich an Endanwender richtet die einen Wizard enth lt der n tzlich ist um schnell Firewall Regeln aufzustellen Die Anwendung enth lt eine graphische Oberfl che zum Beobachten ob eine Firewall Regel Daten blockiert guarddog ist ein auf KDE beruhendes Paket zur Erstellung von Firewall Regeln Es richtet sich sowohl an Neulinge wie auch an Fortgeschrittene knetfilter ist ein KDE Programm mit grafischer Oberfl che um Firewall und NAT Regeln f r iptables zu verwalten Es ist eine Alternative zu guarddog es ist jedoch etwas mehr auf fortgeschrittenere Benutzer ausgelegt fireflier ist ein interaktives Werkzeug um Firewall Regeln zu erstellen Dazu analysiert es den Netzwerkverkehr und Anwendungen Es basiert auf einem Client Server Modell daher m ssen Sie sowohl den Server fireflier server als auch einen der zahlreichen Clients firef
344. rten Versionen des Paketmanagers auf diese Methode zugreifen Kapitel 7 Die Infrastruktur f r Sicherheit in Debian 146 e Die signierte Release Datei wird berpr ft ob die Signatur in Ordnung ist und die MD5 Summe der Packages gz Datei extrahiert Die MD5 Summe der Packages gz Datei wird erstellt und gepr ft und wenn sie bereinstimmt wird die MD5 Summe des heruntergeladenen Paketes aus ihr extrahiert e Wenn die MD5 Summe des heruntergeladenen Paketes die gleiche ist wie in der Packages gz Datei wird das Paket installiert Andernfalls wird der Administrator alarmiert und das Paket wird im Zwischenspeicher gehalten so dass der Administra tor entscheiden kann ob es installiert werden soll oder nicht Wenn das Paket nicht in Packages gz enthalten ist und der Administrator das System so konfiguriert hat dass nur gepr fte Pakete installiert werden k nnen wird das Paket ebenfalls nicht installiert Durch diese Kette von MD5 Summen ist apt in der Lage zu verifizieren dass ein Paket aus einer bestimmten Ver ffentlichung stammt Dies ist zwar unflexibler als jedes Paket einzeln zu signieren kann aber auch mit den unten aufgef hrten Pl nen kombiniert werden Diese Vorgehensweise ist seit der Ver ffentlichung von Debian 4 0 verf gbar und vollst ndig in apt 0 6 enthalten http lists debian org debian devel 2003 debian devel 200312 msg01986 html weitere Informationen finden Sie unter Secu re Apt auf dieser
345. s Sie hier eintragen Es ist sicherer Zugriff nur Nutzern zu erlauben die ssh Schl ssel in der ssh authorized_keys Datei haben Wenn Sie dies wollen setzen Sie es auf no e Schalten Sie jedwede Art der Authentifizierung ab die Sie nicht wirklich be n tigen zum Beispiel RhostsRSAAuthentication HostbasedAuthentication KerberosAuthentication oder RhostsAuthentication Sie sollten sie abschal ten auch wenn sie es standardm ig bereits sind siehe dazu die Handbuch Seite sshd_config 5 e Protocol 2 Deaktivieren Sie die Protokollversion 1 da diese einige Designschw chen hat die es einfacher zu machen Passw rter zu knacken F r weitere Informationen lesen Sie a paper regarding ssh protocol problems http earthops net ssh timing pdf oder das Xforce advisory http xforce iss net static 6449 php e Banner etc eine_Datei F gen Sie einen Bannertext er wird aus der Datei bezogen f r Benutzer die sich mit dem ssh Server verbinden hinzu In einigen L ndern sollte das Senden einer Warnung ber unautorisierten Zugriff oder Benutzer berwachung vor dem Zugriff zu einem be stimmten System erfolgen um sich rechtlich abzusichern Sie k nnen den Zugriff auf den ssh Server auch mittels pam_list file oder pam_wheel in der PAM Kontrolldatei beschr nken Zum Beispiel k nnen Sie jeden abhalten der nicht in der Datei etc loginusers aufgelistet ist durch Hinzuf gen folgender Zeile zu etc pam d ssh auth r
346. s conf bearbeiten Dieses Vorgehen erlaubt eine allgemeinere und feiner abgestimmte Zugangskontrolle leider fehlen aber vern nftige Protokollmeldungen diese sind in PAM nicht standardisiert und sind ein besonders unbefriedigendes Problem Wir werden zu access conf in K rze zur ckkehren Zu guter Letzt sollte die folgende Zeile in etc pam d login aktiviert werden um den Benutzern Grenzen ihrer Systemressourcen zu setzen session required pam_limits so Dies schr nkt die Systemressourcen ein die ein Benutzer nutzen darf siehe Ressourcen Nutzung limitieren Die Datei limits conf auf Seite 61 Sie k nnen zum Beispiel die An zahl der Logins die man haben kann einschr nken f r eine Gruppe von Nutzern oder sys temweit die Anzahl der Prozesse den belegten Speicher etc Editieren Sie nun etc pam d passwd und ndern Sie die erste Zeile Sie sollten die Option md5 zuf gen um MD5 Passworter zu benutzen ndern Sie die minimale Passwort L nge von 4 auf 6 oder mehr und setzen Sie eine Maximall nge wenn Sie m chten Die resultieren de Zeile wird in etwa so aussehen password required pam_unix so nullok obscure min 6 max 11 md5 Wenn Sie su sch tzen m chten so dass nur manche Leute es benutzen k nnen um root auf Ihrem System zu werden m ssen Sie eine neue Gruppe wheel zu Ihrem System hinzuf gen das ist der sauberste Weg da keine Datei solche Gruppenrechte bisher benutzt F gen Sie root und die ande
347. s f r Sie einbinden Aber nach einem Neustart werden Sie es erneut einbinden m ssen mount t proc proc var chroot sshd proc Es kann auch automatisch eingebunden werden Dazu m ssen Sie etc fstab bear beiten und folgende Zeile eintragen proc ssh var chroot sshd proc proc none 0 0 e Syslog auf das Ger te dev log in der Chroot Umgebung horchen lassen Dazu m ssen Sie etc default syslogd andern und a var chroot sshd dev log zur Definition der Variablen SYSLOGD hinzuf gen Sehen Sie sich die Beispielsdatei an um herauszufinden welche nderungen an der Um gebung vorgenommen werden m ssen Einige diese nderungen k nnen nicht automatisch vorgenommen werden wie z B das Kopieren des Home Verzeichnisses eines Benutzers Au erdem sollten Sie die Gef hrdung von sensiblen Informationen begrenzen indem Sie nur die Daten bestimmter Benutzer aus den Dateien etc shadow und etc group kopieren Beachten Sie dass falls Sie Rechtetrennung verwenden der Benutzer sshd in diesen Dateien vorhanden sein muss Die folgende Beispielumgebung wurde ein wenig unter Debian 3 0 getestet Sie basiert auf der Konfigurationsdatei die mit dem Paket geliefert wird und beinhaltet das Paket fileutils Kapitel G Chroot Umgebung f r SSH 256 ash bash chgrp chmod chown cp csh gt etc alternatives csh dd df dir fdflush ksh ln ls mkdir mknod mv rbash gt bash rm rmdir sh gt bash sy
348. sel an Benutzer verteilt wird die bereits Secure Apt auf ihrem System laufen lassen Am Anfang wurde er auf die Webseite hochgeladen ohne An k ndigung und ohne eine echte M glichkeit ihn zu berpr fen und die Benutzer mussten ihn per Hand herunterladen Bekannte Probleme bei der Pr fung Ein nicht offensichtliches Problem ist dass Secure Apt nicht funktioniert wenn Ihre Uhr sehr verstellt ist Wenn sie auf ein Datum in der Vergangenheit wie 1999 eingestellt ist wird Apt mit einer nichts sagenden Ausgabe wie dieser abbrechen W GPG error http archive progeny com sid Release Unknown error executing Dagegen macht apt key das Problem deutlich gpg key 2D230C5F was created 192324901 seconds in the future time warp or c gpg key 2D230C5F was created 192324901 seconds in the future time warp or c pub 1024D 2D230C5F 2006 01 03 uid Debian Archive Automatic Signing Key 2006 lt ftpmaster d Falls die Uhr nicht zu weit vorgeht behandelt Apt die Schl ssel als abgelaufen Wenn Sie Testing oder Unstable verwenden gibt es ein Problem wenn Sie in letzter Zeit nicht apt get update ausgef hrt haben und mit apt get ein Paket installieren m chten Apt k nnte sich dar ber beschweren dass es nicht authentifiziert werden konnte Warum passiert das blo apt get update l st das Problem Kapitel 7 Die Infrastruktur f r Sicherheit in Debian 154 Pr fung von Hand F r den Fall dass Sie nu
349. ses Feature standardm ig im zuk nftigen Kernel 2 6 enthalten sein wird Ho mepage http www openswan org FIXME Der neuste Kernel 2 4 in Debian enth lt eine R ckeinbindung des IPSEC Codes aus 2 5 Kommentar dazu Die folgenden Sicherheitspatches f r den Kernel sind nur noch f r alte Kernelversionen in Woody verf gbar und werden nicht mehr weiterentwickelt e POSIX Access Control Lists http acl bestbits at ACLs Listen zur Zugangs kontrolle f r Linux im Paket kernel patch acl Dieser Kernelpatch stellt Listen zur Zugangskontrolle zur Verf gung Das ist eine fortgeschrittene Methode um den Zugang zu Dateien einzuschr nken Es erm glicht Ihnen den Zugang zu Dateien und Verzeich nisses fein abzustimmen e Der Patch f r den Linux Kernel Openwall http www openwall com linux von Solar Designer der im Paket kernel patch 2 2 18 openwall enthalten ist Er enth lt eine n tzliche Anzahl von Beschr nkungen des Kernels wie eingeschr nkte Ver weise FIFOs in tmp ein begrenztes proc Dateisystem besondere Handhabung von Dateideskriptoren einen nichtausf hrbaren Bereich des Stapelspeichers des Nutzers und andere F higkeiten Hinweis Dieser Patch ist nur auf die Kernelversion 2 2 anwendbar f r 2 4 werden von Solar keine Pakete angeboten e kernel patch int Auch dieser Patch f gt kryptographische F higkeiten zum Linux Kernel hinzu Er war bis zu den Debian Releases bis Potato n tzlich Er funktioniert nicht mehr
350. ses und andere sicherheitsrelevante Dokumente zur Verf gung e harden development Entwicklungswerkzeuge um sicherere Programme zu erstel len Seien Sie vorsichtig wenn Sie Software installiert haben die Sie brauchen und aus bestimmten Gr nden nicht deinstallieren wollen und die aufgrund eines Konflikts mit einem der oben aufgef hrten Pakete nicht installiert werden kann In diesem Fall k nnen Sie harden nicht vollst ndig nutzen Die harden Pakete machen eigentlich gar nichts Zumindest nicht unmittelbar Sie haben je doch absichtliche Paketkonflikte mit bekannten unsicheren Paketen Auf diese Art wird die Paketverwaltung von Debian die Installation dieser Paketen nicht erlauben Wenn Sie zum Beispiel bei installiertem harden servers Paket versuchen einen telnet Daemon zu instal lieren wird Ihnen apt Folgendes sagen apt get install telnetd Die folgenden Pakete werden ENTFERNT harden servers Die folgenden NEUEN Pakete werden installiert telnetd M chten Sie fortfahren J n Dies sollte im Kopf des Administrators eine Alarmglocke ausl sen der sein Vorgehen ber denken sollte Kapitel 6 Automatisches Abh rten von Debian Systemen 135 6 2 Bastille Linux Bastille Linux http www bastille unix org istein Werkzeug zur automatischen Ab h rtung das urspr nglich f r die Linux Distributionen Red Hat und Mandrake gedacht war Wie auch immer Das Paket bastille aus Debian
351. session hinzuzuf gen session optional pam_tmpdir so Es gab auch eine Diskussion dies standardm ig in Etch einzuf gen Sehen Sie sich http lists debian org debian devel 2005 11 msg00297 html f r weitere Informa tionen an Zuletzt aber nicht am unwichtigsten erstellen Sie etc pam d other mit den folgenden Zeilen auth required pam_securetty so auth required pam_unix_auth so auth required pam_warn so auth required pam_deny so account required pam_unix_acct so account required pam_warn so account required pam_deny so password required pam_unix_passwd so password required pam_warn so password required pam_deny so session required pam_unix_session so session required pam_warn so session required pam_deny so Diese Zeilen stellen f r alle Anwendungen die PAM unterst tzen eine gute Standard Konfiguration dar Zugriff wird standardm ig verweigert Kapitel 4 Nach der Installation 61 4 10 2 Ressourcen Nutzung limitieren Die Datei limits conf Sie sollten sich wirklich ernsthaft mit dieser Datei besch ftigen Hier k nnen Sie Ihren Benut zern Ressourcen Limits definieren In alten Ver ffentlichungen war die Konfigurationsdatei etc limits conf Aber in neueren Versionen mit PAM sollte stattdessen die Konfigura tionsdatei etc security limits conf benutzt werden Wenn Sie die Ressourcennutzung nicht einschr nken kann jeder Nutzer mit einer g ltigen Shell auf Ihrem System oder sogar e
352. shd Server apache Druckserver so konfiguriert dass sie nur auf einer bestimmten Adresse lauschen Der Leser sollte in Betracht ziehen dass das den Zugang aus dem gleichen lokalen Netzwerk nicht verhindern kann wenn nicht die in diesem Abschnitt vorgeschlagenen Schritte ergriffen werden 7 FIXME Comments on Bugtraq indicate there is a Linux specific method to bind to a given interface FIXME Submit a bug against netbase so that the routing fix is standard behavior in Debian host a ethO connected to eth0 of host b ifconfig ethO 10 0 0 1 ifconfig ethl 23 0 0 1 tcpserver RHl localhost 23 0 0 1 8000 echo fnord host b ifconfig eth0 10 0 0 2 route add 23 0 0 1 gw 10 0 0 1 telnet 23 0 0 1 8000 Das scheint allerdings nicht mit Diensten zu funktionieren die mit 127 0 0 1 verbunden sind Sie sollten vielleicht fiir die Tests raw sockets verwenden Dje Tatsache dass dieses Verhalten durch Routing ge ndert werden kann wurde von Matthew G Marsh in dem Bugtraq Thread beschrieben eth0 1 1 1 1 24 ethl 2 2 2 2 24 ip rule add from 1 1 1 1 32 dev lo table 1 prio 15000 ip rule add from 2 2 2 2 32 dev lo table 2 prio 16000 ip route add default dev ethO table 1 ip route add default dev ethl table 2 Wie im Bugtraq Thread beschrieben gibt es daf r einige Patches auf http www linuxvirtualserver org julian hidden und http www fefe de linux eth forwarding diff Bin Angreifer der nicht in der gleichen Broadcast Domain als
353. sind auf der sichereren Seite wenn Sie HISTSIZE auf einen ausreichend gro en Wert setzen und eine Kopie der History Datei des Benutzers anlegen falls Sie aus irgendwelchen Gr nden den ganzen Verlauf von einem Nutzer ben tigen Kapitel 4 Nach der Installation 67 HISTFILESIZE 999999 Don t let the users enter commands that are ignored in the history file HISTIGNORE HISTCONTROL readonly HISTFILE readonly HISTSIZE readonly HISTFILESIZE readonly HISTIGNORE Y H readon HISTCONTROL ISTFILE HISTSIZE HISTFILESIZE HISTIGNORE HISTCONTROL export Damit dies funktioniert d rfen die Nutzer nur Informationen zur bash_history Datei hin zuf gen Sie m ssen daher zus tzlich die append only Option nur anf gen mittels des Pro gramms chattr f r die bash_history aller Nutzer setzen 1 Beachten Sie dass Sie obige Konfiguration auch in profile des Benutzers eintragen k nnen Dann m ssten Sie aber die Rechte korrekt vergeben so dass der Benutzer daran gehindert ist diese Datei zu ver ndern Dies schlie t ein dass das Home Verzeichnis der Benutzers diesem nicht geh rt sonst k nnte er die Datei einfach l schen Gleichzeitig m sste ihm erm glicht werden die Konfigurationsdatei profile zu lesen und in bash_history zu schreiben Falls Sie diesen Weg gehen wollen w re es auch gut das immutable Flag unver nderbar f r profile zu setzen
354. sl cken die die Debian Distribution betreffen zu verfol gen bietet das Testing Security Team von Debian einen Sicherheitstracker http Kapitel 10 Vor der Kompromittierung 180 security tracker debian net an Dieser f hrt alle bekannten Sicherheitsl cken auf die in Paketen von Debian noch nicht ausgebessert wurden Die Informationen im Tracker stammen aus ffentlich zug nglichen Quellen Dazu z hlen Datenbanken ber Sicher heitsl cken und die Fehlerdatenbank von Debian http www debian org Bugs Administratoren k nnen nach bekannten Sicherheitsm ngeln f r Stable http security tracker debian net tracker status release stable Oldstable http security tracker debian net tracker status release oldstable Testing http security tracker debian net tracker status release testing oder Unstable http security tracker debian net tracker status release unstable suchen Der Tracker kann mittels einer Benutzerschnittstelle durchsucht werden nach CVE http cve mitre org Namen und dem Paketnamen Einige Werkzeuge wie zum Beispiel debsecan http packages debian org debsecan setzen diese Datenbank ein um auf Verwundbarkeiten des betreffenden Systems hinzuweisen die noch nicht ausgebessert wurden d h f r die eine Ausbesserung bevorsteht Sicherheitsbewusste Administratoren k nnen mit diesen Informationen feststellen welche Si cherheitsl cken das System das sie verwalten betreffen k nnten
355. slogd s MARK heartbeat from a question answered by No ah Meyerhans and Alain Tesio on December 2001 e Included information on buffer overflow protection as well as some information on ker nel patches e Added more information and reorganised the firewall section Updated the information regarding the iptables package and the firewall generators available Kapitel 1 Einleitung 19 e Reorganized the information regarding logchecking moved logcheck information from host intrusion detection to that section e Added some information on how to prepare a static package for bind for chrooting un tested e Added a FAQ item could be expanded with some of the recomendations from the debian security list regarding some specific servers services e Added some information on RPC services and when it s necessary e Added some more information on capabilities and what lcap does Is there any good documentation on this I haven t found any on my 2 4 kernel e Fixed some typos 1 6 28 Version 2 4 Changes by Javier Fern ndez Sanguino Pe a e Rewritten part of the BIOS section 1 6 29 Version 2 3 Changes by Javier Fern ndez Sanguino Pe a e Wrapped most file locations with the file tag e Fixed typo noticed by Edi Stojicevi e Slightly changed the remote audit tools section e Added some todo items e Added more information regarding printers and cups config file taken from a thread on debian security
356. sourceforge net projects amavis ist im Paket amavis ng enthalten und in Sarge verf gbar Es ist ein Virusscanner der in verschiedene MTAs Exim Sendmail Postfix oder Qmail integriert werden kann Er un terst tzt mehr als 15 Virensuch Engines einschlie lich clamav File Scan und openanti virus e sanitizer http packages debian org sanitizer ein Werkzeug das das Pa ket procmail verwendet Es kann den Anhang von E Mails nach Viren durchsuchen Anh nge aufgrund ihres Dateinamens abweisen und vieles mehr e amavis postfix http packages debian org amavis postfix ein Skript das eine Schnittstelle vom Mail Transport Agent zu einem oder mehreren kommerziellen Viren Scannern anbietet dieses Paket ist lediglich f r den MTA post fix bestimmt e exiscan ein Virusscanner f r E Mails der in Perl geschrieben wurde Er arbeitet mit Exim zusammen e blackhole qmail ist ein Spamfilter f r Qmail mit eingebauter Unterst tzung von Cla mav Einige Gateway Daemons bieten schon Programmerweiterungen an um Antiviren Umgebungen zu erstellen Dazu geh ren exim4 daemon heavy die heavy Version des Exim MTAs frox ein transparenter caching FIP Proxyserver messagewall ein SMTP Proxyserver und pop3vscan ein transparenter POP3 Proxy Zur Zeit ist als einziges Programm zum Auffinden von Viren clamav in der Hauptdistributi on enthalten Daneben bietet Debian verschiedene Schnittstellen an mit denen Gateways mit Antivirus
357. ss der Systemadministrator als Root sensible Dateien in von allen lesbaren Verzeichnissen wie z B tmp ablegt und sie so dem Durchschnittsbenutzer zug nglich macht 4 10 12 Nutzer Sicht Zugriff limitieren FIXME Inhalt ben tigt Aufzeigen der Folgen beim Upgraden wenn die Paketrechte ver n dert werden falls nicht dpkg statoverride verwendet wird brigens sollte ein derartig paranoider Administrator seine Nutzer in eine chroot Umgebung einsperren Wenn Sie einem Nutzer Zugriff auf das System mit einer Shell gew hren m ssen sollten Sie vorsichtig sein Ein Nutzer kann normalerweise wenn er sich nicht in einer streng abgeschirm ten Umgebung befindet z B in einem chroot Gef ngnis ziemlich viel Informationen ber Ihr System sammeln Darunter fallen e einige Konfigurationsdateien unter etc Jedoch werden Debians Standardrechte f r sensible Dateien die zum Beispiel Passw rter enthalten k nnten den Zugriff auf kri tische Informationen verhindern Um zu sehen auf welche Dateien nur der root Nut zer zugreifen kann f hren Sie zum Beispiel find etc type f a perm 600 a uid 0 als Superuser aus e Ihre installierten Pakete Indem man die Paket Datenbank und das usr share doc Verzeichnis ansieht oder indem man mit Hilfe der auf Ihrem System installierten Binari es und Bibliotheken versucht zu raten Kapitel 4 Nach der Installation 70 e einige Protokolle unter var log Beachten Sie dass auf einige Protokoll
358. ssl telnet ssl pop ssl https Die meisten der oben aufgelisteten Tipps gelten f r jedes Unix System Sie werden sie in jedem anderen sicherheitsrelevanten Dokument das Sie jemals lesen wiederfinden wenn es sich auf Linux und andere Unices bezieht Kapitel 5 Absichern von Diensten die auf Ihrem System laufen 121 5 12 NIS deaktivieren Sie sollten wenn m glich nicht NIS den Network Information Service benutzen da er das gemeinsame Nutzen von Passw rtern erlaubt Dies kann sehr unsicher sein wenn Ihr Setup fehlerhaft ist Wenn Sie Passw rter zwischen verschiedenen Maschinen teilen m ssen sollten Sie andere Alternativen in Erw gung ziehen Zum Beispiel k nnen Sie einen LDAP Server aufsetzen und PAM auf Ihrem System so konfigurieren dass es den LDAP Server zur Benutzer Authentifizierung kontaktiert Sie finden ein detailliertes Setup in dem LDAP HOWTO http www tldp org HOWTO LDAP HOWTO html usr share doc HOWTO en txt LDAP HOWTO txt gz Sie k nnen mehr ber NIS Sicherheit in dem NIS HOWTO http www tldp org HOWTO NIS HOWTO html usr share doc HOWTO en txt NIS HOWTO txt gz le sen FIXME jfs Add info on how to set this up in Debian 5 13 Sichern von RPC Diensten Sie sollten RPC abschalten wenn Sie es nicht ben tigen Remote Procedure Call RPC etwa Entfernter Funktionsaufruf ist ein Protokoll das von Programmen verwendet werden kann um Dienste von anderen Programmen die auf ande
359. ssystem er kennen und die Ports eines entfernten Rechners scannen Andererseits k nnen hping2 und icmpush f r ICMP Angriffstechniken benutzt werden Nbtscan das speziell f r SMB Netzwerke entworfen wurde kann benutzt werden um IP Netzwerke zu scannen und diverse Informationen von SMB Servern zu ermitteln einschliefs lich der Nutzernamen Netzwerknamen MAC Adressen Kapitel 8 Sicherheitswerkzeuge in Debian 165 Dagegen kann fragrouter dazu verwendet werden um Systeme zur Eindringlingserken nung zu testen und um zu sehen ob das NIDS mit fragmentierten Angriffen umgangen wer den kann FIXME Check Bug 153117 http bugs debian org 153117 ITP fragrouter to see if it s included FIXME add information based on Debian Linux Laptop for Road Warriors http www giac org practical gcux Stephanie_Thomas_GCUX pdf which describes how to use Debian and a laptop to scan for wireless 803 1 networks link not there any more 8 3 Interne Pr fungen Derzeit kann lediglich das Programm tiger benutzt werden um interne Pr fungen auch white box genannt eines Rechners vorzunehmen Dabei wird festgestellt ob das Dateisys tem richtig aufgesetzt ist welche Prozesse auf dem Rechner horchen usw 8 4 Testen des Quellcodes Debian bietet einige Pakete an die C C Quellcode pr fen und Programmierfehler finden die zu m glichen Sicherheitsm ngeln f hren k nnen e flawfinder e rats e splint e pscan 8
360. st als nicht privilegierter Benutzer l uft Durch Einschr nken seiner Umgebung schr nken Sie die Welt lesbaren ausf hrbaren Dateien auf die der Dienst zugreifen kann ein 7Es wird versucht diese mit minimalen Rechten laufen zu lassen was beinhaltet Daemonen unter ihren eigenen Benutzern anstatt unter root laufen zu lassen Kapitel 5 Absichern von Diensten die auf Ihrem System laufen 120 Auf diese Weise limitieren Sie die M glichkeiten einer Rechteerweiterung durch lokale Sicher heitsverwundbarkeiten des Systems Selbst in dieser Situation k nnen Sie nicht v llig sicher sein dass es f r einen cleveren Angreifer keinen Weg gibt irgendwie aus dem Gef ngnis aus zubrechen Verwenden von nur sicheren Server Programmen die einen guten Ruf bez glich Sicherheit haben ist eine zus tzliche gute Sicherheitsma nahme Selbst kleinste L cher wie offene Datei Handle k nnen von einem versierten Angreifer zum Einbruch in das System ver wendet werden Schlie lich war chroot nicht als Sicherheitstool gedacht sondern als ein Test werkzeug 5 10 1 Automatisches Erstellen von Chroot Umgebungen Es gibt verschiedene Programme um Server und Dienste automatisch in ein Chroot Gef ngnis einzusperren Debian bietet zurzeit akzeptiert im Mai 2002 Wietse Venemas chrootuid im Paket chrootuid ebenso wie compartment und makejail an Diese Programme k nnen verwendet werden um eine eingeschr nkte Umgebung zum Ausf hren beliebiger Programm
361. ste erstellt wird und dann die Pr fung durchgef hrt wird Die DSAs werden im Moment aus der lokalen CVS Aktualisierung der WML Quellen des Betreu ers aktualisiert die dazu verwendet werden http security debian org der Webser ver zu erstellen Ein Programm w re w nschenswert das die DSAs die per E Mail empfangen wurden oder auf security debian org verf gbar sind analysiert und dann die Datei erstellt die von Kapitel 10 Vor der Kompromittierung 183 deb_checkadvisories verwendet wird um Verwundbarkeiten zu best tigen Schicken Sie es als einen Fehlerbericht von tiger Die erw hnte berpr fung wird ber die Standardkonfiguration des Programms ausgef hrt wenn sie einmal eingerichtet wurde siehe etc tiger cronrc Check for Debian security measures every day at 1 AM deb_checkmd5sums deb_nopackfiles deb_checkadvisories Hr x Es gibt noch eine zus tzliche berpr fung die Sie vielleicht hinzuf gen sollten und wel che noch kein Bestandteil des Standard Cron Skripts ist Diese berpr fung ist das Skript check_patches das auf folgende Art und Weise funktioniert e f hrt apt get update aus e berpr ft ob neue Pakete verf gbar sind Wenn Sie ein Stable System betreiben und Sie die Apt Quellen security debian org in Ihre etc apt sources list eingetragen haben wie in Ausf hren von Sicherheitsupdates auf Sei te 48 beschrieben wird dieses Skript Ihnen mitteilen k nnen ob neue Pake
362. ste neu gestartet werden Dies ist aber keine M glichkeit wenn Sie die Sicherheitsaktualisierung ber eine entfernte Verbin dung z B mit ssh vornehmen da sie getrennt werden w rde Lassen Sie Vorsicht walten wenn Sie es mit Sicherheitsaktualisierungen ber eine entfernte Verbindung wie mit ssh zu tun haben Die empfohlene Vorgehensweise f r Sicherheitsaktuali sierungen die Dienste betreffen ist den SSH Daemon neu zu starten und sofort zu versuchen eine neue SSH Verbindung herzustellen ohne die alten zu beenden Falls der Verbindungs versuch scheitern sollte machen Sie die Aktualisierung r ckg ngig und untersuchen Sie das Problem 4 2 2 Sicherheitsaktualisierung des Kernels Stellen Sie zun chst sicher dass Ihr Kernel durch das Paketsystem verwaltet wird Wenn Sie die Installation mit dem Installationssystem von Debian 3 0 oder fr her durchgef hrt haben ist Ihr Kernel nicht in das Paketsystem integriert und k nnte veraltet sein Sie k nnen das leicht berpr fen indem Sie Folgendes ausf hren dpkg S readlink f vmlinuz kernel image 2 4 27 2 686 boot vmlinuz 2 4 27 2 686 Wenn Ihr Kernel nicht vom Paketsystem verwaltet wird werden Sie anstatt der obigen Nach richt die R ckmeldung bekommen dass das Paketverwaltungsprogramm kein Paket finden konnte das mit der Datei verbunden ist Die obige Meldung besagt dass die Datei die mit dem laufenden Kernel verbunden ist vom Paket kernel image 2 4 27 2 686
363. stem will offer to the network TCP_SERVICES 22 SSH only UDP_SERVICES Services the system will use from the network REMOTE_TCP_SERVICES 80 web browsing REMOTE_UDP_SERVICES 53 DNS Network that will be used for remote mgmt if undefined no rules will be setup NETWORK_MGMT 192 168 0 0 24 Port used for the SSH service define this is you have setup a management network but remove it from TCP_SERVICES SSH_PORT 22 if x sbin iptables then exit 0 fi fw_start Input traffic sbin iptables A INPUT m state state ESTABLISHED RELATED j ACC Services if n STCP_SERVICES then for PORT in STCP_SERVICES do sbin iptables A INPUT p tcp dport PORT j ACCEPT done fi if n UDP_SERVICES then for PORT in UDP_SERVICES do sbin iptables A INPUT p udp dport PORT j ACCEPT CI TO 4 done FL Remote management if n NETWORK_MGMT then sbin iptables A INPUT p tcp src NETWORK_MGMT dport SSH_PORT else sbin iptables A INPUT p tcp dport SSH_PORT j ACCEPT fi Remote testing sbin iptables A INPUT p icmp j ACCEPT sbin iptables A INPUT i lo j ACCEPT sbin iptables P INPUT DROP sbin iptables A INPUT j LOG Kapitel 5 Absichern von Diensten die auf Ihrem System laufen 129 Output sbin ip
364. stemen der BSD Familie blich ist Auf jeden Fall sind bedeutende Sicherheitsaspekte wie zum Beispiel setuid Programme Teil der De bian Policy http www debian org doc debian policy Dieses Dokument versucht eine bessere Installation von Computersystemen hinsichtlich der Sicherheit zu erzielen indem es Informationen ber Sicherheit ver ffentlicht die auf Debi an zugeschnitten sind und diese durch andere Dokumente erg nzt die sicherheitsspezifische Angelegenheiten im Zusammenhang mit Debian behandeln vergleiche Seien Sie wachsam gegen ber generellen Sicherheitsproblemen auf Seite 29 Kapitel 2 Bevor Sie beginnen 34 35 Kapitel 3 Vor und w hrend der Installation 3 1 Setzen Sie ein Passwort im BIOS Bevor Sie irgendein Betriebssystem auf Ihrem Computer installieren setzen Sie ein Passwort im BIOS Nach der Installation sobald Sie von der Festplatte booten k nnen sollten Sie zur ck ins BIOS gehen und die Boot Reihenfolge ndern so dass Sie nicht von Diskette CD ROM oder sonstigen Ger ten booten k nnen von denen dies nicht gehen sollte Andernfalls ben tigt ein Cracker nur physischen Zugang und eine Bootdiskette um Zugriff auf Ihr ganzes System zu bekommen Es ist noch besser wenn das System beim Booten immer ein Passwort verlangt Dies kann sehr effektiv sein wenn Sie einen Server laufen lassen der selten neu gestartet wird Der Nachteil dieser Vorgehensweise ist dass das Neustarten ei
365. steminformationen durch Firewalls sowohl auf Paket als auch auf Anwendungs ebene Eindringlingserkennung netzwerk und hostbasiert Einsch tzung der Verwundbar keit Antivirus private Netzwerke und vieles mehr ein Seit Debian 3 0 woody ist kryptographische Software in der Hauptdistribution integriert OpenSSH und GNU Privacy Guard sind in der Standardinstallation enthalten Au erdem be finden sich jetzt in Web Browsern und Web Servern Datenbanken usw starke Verschl sse lungsmechanismen Eine weitergehende Eingliederung von Kryptographie ist f r zuk nftige Ver ffentlichungen geplant Aufgrund von Exportbeschr nkungen in den USA wurde diese Software nicht mit der Hauptdistribution ausgeliefert sondern war nur auf Seiten au erhalb der USA erh ltlich 8 1 Programme zur Fernpr fung der Verwundbarkeit Die Werkzeuge um Fernpr fungen der Verwundbarkeit durchzuf hren sind unter Debian e nessus e raccess e nikto Ersatz f r whisker Das weitaus vollst ndigste und aktuellste Werkzeug ist nessus welches aus einem Client nessus mit graphischer Benutzungsschnittstelle und einem Server nessusd der die pro grammierten Attacken startet besteht Nessus kennt verschiedene entfernten Verwundbarkei ten f r einige Systeme einschlie lich Netzwerkanwendungen FTP Servern WWW Servern Manche von ihnen sind erh ltlich wenn Sie das Paket harden remoteaudit installieren Kapitel 8 Sicherheitswerkzeuge in Debian 164
366. stratoren die DSAs durchsehen und die Bedeutung einer bestimmten Sicher heitsaktualisierung verstehen sollten Wenn Sie Ihr System automatisch aktualisieren wollen sollten Sie Folgendes durchf hren e Konfigurieren Sie apt so dass Pakete die Sie nicht aktualisieren wollen ihrer momen tane Version beibehalten Das k nnen Sie entweder mit einer Eigenschaft von apt dem pinning festheften erreichen oder Sie kennzeichnen sie mit dpkg oder dselect als hold festgehalten Um Pakete einer bestimmten Ver ffentlichung mit pinning festzuheften m ssen Sie etc apt preferences bearbeiten siehe apt_preferences 5 und Folgendes hinzuf gen Package x Pin release a stable Pin Priority 100 Kapitel 10 Vor der Kompromittierung 186 FIXME verify if this configuration is OK e Entweder setzen Sie cron apt ein wie in Automatisches berpr fung von Aktualisie rungen mit cron apt auf Seite 182 beschrieben wird und erlauben ihm heruntergelade ne Pakete zu installieren Oder Sie f gen selbst einen Eintrag f r cron hinzu damit die Aktualisierung t glich ausgef hrt wird Ein Beispiel apt get update amp amp apt get y upgrade Die Option y veranlasst apt f r alle Fragen die w hrend der Aktualisierung auftreten k nnen yes anzunehmen In manchen F llen sollten Sie die Option trivial only nur Bagatellen der Option assume yes ist gleichbedeutend mit y vorziehen e Richten Sie debconf so ein d
367. swd README geliefert Dadurch wird die Installation einiger Kapitel 12 H ufig gestellte Fragen Frequently asked Questions FAQ 207 Dienste erleichtert f r die es notwendig ist unter einem passenden Nutzer UID zu laufen Wenn Sie nicht vorhaben neue Dienste zu installieren k nnen Sie die Nutzer entfernen de nen keine Dateien auf Ihrem System geh ren und die keine Dienste laufen lassen Unabh ngig davon ist das Standardverhalten in Debian dass UIDs von 0 bis 99 reserviert sind und UIDs von 100 bis 999 von Paketen bei der Installation erstellt werden und gel scht werden wenn das Pakete vollst ndig gel scht wird purge wird Benutzer denen keine Dateien geh ren finden Sie leicht mit dem folgenden Kommando f h ren Sie es als Root aus da ein normaler Benutzer nicht gen gend Zugriffsrechte haben k nnte um einige sensible Verzeichnisse zu durchsuchen cut f 1 d etc passwd while read i do find user Si grep q echo Si done Diese Nutzer kommen aus dem Paket base passwd Sie finden Informationen ber die Be handlung dieser Nutzer unter Debian in der Dokumentation des Pakets Es folgt nun eine Liste der Standardnutzer mit einer entsprechenden Gruppe e root Root ist typischerweise der Superuser e daemon Einige unprivilegierte Daemonen die Dateien auf die Festplatte schreiben m ssen laufen als daemon daemon z B portmap atd wahrscheinlich noch andere Daemonen die kei
368. t aber eine Ausbesserung wurde noch nicht getestet und hochgeladen e Eine Anweisung wurde ver ffentlicht bevor eine CVE Bezeichnung einer bestimmten Verwundbarkeit zugewiesen wurde sehen Sie auf der Webseite nach einer Aktualisie rung 7 3 Die Infrastruktur der Sicherheit bei der Paketerstellung in Debi an Da Debian im Moment eine gro e Anzahl von Architekturen unterst tzt fragen Administra toren manchmal ob es bei einer bestimmten Architektur bis zu einer Sicherheitsaktualisierung Kapitel 7 Die Infrastruktur f r Sicherheit in Debian 141 l nger dauert als bei einer anderen Tats chlich sind Aktualisierungen auf allen Architekturen zur selben Zeit verf gbar abgesehen von seltenen Umst nden W hrend fr her die Sicherheitsaktualisierungen von Hand erstellt wurden so gilt das heute nicht mehr wie Anthony Towns in einer Mail http lists debian org debian devel announce 2002 debian devel announce 200206 msg00002 html beschreibt die am 8 Juni 2002 an die Mailingliste debian devel announce geschickt wurde Pakete die vom Sicherheitsteaem mit einem passenden Patch auf ftp security master debian org org security debian org queue unchecked oder ftp security master debian org pub SecurityUploadQueue hochge laden werden werden innerhalb von 15 Minuten nach dem Hochladen auf Signaturen berpr ft Danach werden sie zu der Liste der Autobuilder hinzugef gt diese f hren nicht mehr einen t gliche Durch
369. t aussperren Es gibt mehrere M glichkeiten dies zu verhindern Eine ist das Starten eines Skriptes in ei nem separaten Terminal das Ihre Firewall Konfiguration entfernt wenn es keine Eingabe von Ihnen erh lt Ein Beispiel daf r ist while true do test read t 20 p OK test z Stest amp amp etc init d firewall clear done Eine andere M glichkeit ist das Einf hren einer Hintert r in Ihr System durch einen alterna tiven Mechanismus der es Ihnen erlaubt das Firewall System entweder zur ckzusetzen oder ein Loch in es schl gt wenn irgendetwas krumm l uft Daf r k nnen Sie knockd verwenden und es so konfigurieren dass eine spezielle Portverbindungsversuchssequenz die Firewall zu r cksetzt oder eine tempor re Regel hinzuf gt Selbst wenn die Pakete von der Firewall zu r ckgewiesen werden werden Sie Ihr Problem l sen k nnen da knockd auf der Schnittstelle lauscht und Sie sieht Kapitel 5 Absichern von Diensten die auf Ihrem System laufen 132 Das Testen einer Firewall die ein internen Netz sch tzt ist eine andere Aufgabe Schauen Sie sich daf r einige Werkzeuge an die es f r entfernte Ausnutzbarkeitsbewertungen gibt siehe Programme zur Fernpr fung der Verwundbarkeit auf Seite 163 um das Netzwerk von au erhalb nach innen oder aus einer beliebig anderen Richtung bez glich der Effektivit t der Firewall Konfiguration zu testen 133 Kapitel 6 Automatisches Abh
370. t bei Netzwerken die ber einen Switch laufen Er kann sich leicht in eine Verbindung einschleusen oder einen Host vom Netzwerk nehmen oder ARP Angriffe sind leistungsf hig und einfach durchzuf hren Es gibt da f r auch einige Werkzeuge wie arpspoof aus dem Paket dsniff oder arpoison http arpoison sourceforge net Allerdings gibt es immer eine L sung e Verwenden Sie einen statischen ARP Speicher So erstellen Sie statische Eintr ge in Ihrem ARP Speicher arp s host_name hdwr_addr Indem Sie statische Eintr ge f r jeden wichtigen Host in Ihrem Netzwerk vergeben stel len Sie sicher dass niemand einen falschen Eintrag f r diese Hosts erstellen oder ver n dern kann statische Eintr ge verfallen nicht und k nnen nicht ver ndert werden Auch gef lschte ARP Antworten werden ignoriert e Entdecken Sie verd chtigen ARP Verkehr Sie k nnen dazu arpwatch karpski oder allgemeinere IDS die auch verd chtigen ARP Verkehr entdecken k nnen wie snort oder prelude http www prelude ids org einsetzen e Verwirklichen Sie einen IP Filter der die MAC Adressen berpr ft 4 18 Einen Schnappschuss des Systems erstellen Bevor Sie das System in eine produktive Umgebung stellen k nnen Sie einen Schnappschuss des gesamten Systems machen Diesen Schnappschuss k nnen Sie im Falle einer Kompromit tierung siehe Nach einer Kompromittierung Reaktion auf einem Vorfall auf Seite 195 be nutzen Sie sollten s
371. t das Sicherheits Team kontaktiert hat Schlussendlich wird die Behebung des Problems getestet und neue Pakete vorbereitet die dann auf allen Stable Architekturen bersetzt und anschlie end hochgeladen wird Nachdem das alles geschehen ist wird eine Anweisung ver ffentlicht 12 3 4 Wieso spielen Sie mit einer alten Version des Pakets herum Die wichtigste Regel beim Erstellen eines neuen Pakets das ein Sicherheitsproblem behebt ist so wenig nderungen wie m glich vorzunehmen Unsere Benutzer und Entwickler vertrauen auf das genaue Verhalten einer Ver ffentlichung nach dessen Freigabe Daher kann jede n derung die wir durchf hren m glicherweise das System von jemandem zerst ren Dies gilt insbesondere f r Bibliotheken Es muss darauf geachtet werden dass sich das Anwendungs Programm Interface API oder Anwendungs Bin r Interface ABI niemals ndert egal wie klein die nderung ist Dies bedeutet dass das Umsteigen auf eine neue Version der Originalprogramms keine gute L sung ist und stattdessen die relevanten nderungen zur ckportiert werden sollten bli cherweise sind die Betreuer des Originalprogramms wenn notwendig bereit zu helfen falls das Debian Sicherheitsteam nicht helfen kann In einigen F llen ist es nicht m glich eine Sicherheitsreparatur zur ckzuportieren zum Bei spiel wenn ein gro er Teil des Quellcodes modifiziert oder neu geschrieben werden muss Wenn dies passiert kann es notwendig sein
372. t root 4096 Jun 4 12 35 drwxr xr x 9 root root 4096 Jun 5 10 05 rwxr xr x 1 root root 178256 Jun 3 13 46 choptest rwxr xr x 1 root root 184032 Jun 3 13 46 cqtestx rwxr xr x 1 root root 81096 Jun 3 13 46 dialtestx rwxr xr x 1 root root 1142128 Jun 4 11 28 ldconfig rwxr xr x 1 root root 2868 Jun 3 13 46 locknamex rwxr xr x 1 root root 3340 Jun 3 13 46 ondelayr rwxr xr x 1 root root 376796 Jun 3 13 46 pagesendk rwxr xr x 1 root root 13950 Jun 3 13 46 probemodemx rwxr xr x 1 root root 9234 Jun 3 13 46 recvstats rwxr xr x 1 root root 64480 Jun 3 13 46 sftp server rwxr xr x 1 root root 744412 Jun 3 13 46 sshdx rwxr xr x 1 root root 30750 Jun 4 11 46 sux rwxr xr x 1 root root 194632 Jun 3 13 46 tagtestx rwxr xr x 1 root root 69892 Jun 3 13 46 tsitestx rwxr xr x 1 root root 43792 Jun 3 13 46 typetestx tmp total 8 drwxr xr x 2 root root 4096 Jun 4 12 32 drwxr xr x 9 root root 4096 Jun 5 10 05 usr total 8 drwxr xr x 2 root root 4096 Jun 4 12 16 drwxr xr x 9 root root 4096 Jun 5 10 05 lrwxrwxrwx 1 root root 7 Jun 4 12 14 bin gt bin lrwxrwxrwx 1 root root 7 Jun 4 11 33 lib gt lib lrwxrwxrwx 1 root root 8 Jun 4 12 13 sbin gt sbin Kapitel G Chroot Umgebung f r SSH 266 267 Anhang H Chroot Umgebung f r Apache H 1 Einleitung Das Program
373. t ssh und telnet erzeugt Kapitel 4 Nach der Installation 68 snoopy vergleichen Sie auch the project page http sourceforge net projects snoopylogger Dies ist ein fiir den Nutzer transparentes Programm das sich als eine Bi bliothek einh ngt und eine H lle um execve Aufrufe bildet Jedes ausgef hrte Kommando wird im syslogd aufgezeichnet indem die authpriv M glichkeit benutzt wird blicher weise wird dies unter var log auth log gespeichert 4 10 10 Nachpr fung der Nutzerprofile Wenn Sie sehen wollen was Nutzer tats chlich tun wenn sie sich beim System anmelden k n nen Sie die wtmp Datenbank benutzen die alle Login Informationen enth lt Diese Datei kann mit verschiedenen Werkzeugen weiterverarbeitet werden unter ihnen sac das ein Profil f r jeden Nutzer ausgeben kann und zeigt in welchem Zeitfenster sie sich f r gew hnlich auf dem System einloggen F r den Fall dass Sie Accounting aktiviert haben k nnen Sie auch die mitgelieferten Werk zeuge verwenden um festzustellen wann Nutzer auf das System zugreifen und was sie aus f hren 4 10 11 umasks der Nutzer einstellen Abh ngig von Ihren Richtlinien m chten Sie vielleicht ndern wie Nutzer Informationen tei len k nnen Dabei geht es um die Standardrechte von neu erstellten Dateien Wenn die Standardwerte von Debian f r Ihr System zu gro z gig sind m ssen Sie die umask Einstellungen f r alle Shells ndern Strengere Umask Einstellu
374. t werden k nnen Sie sollten auch einen Blick in das Snort Statistics HOWTO http www faqs org docs Linux HOWTO Snort Statistics HOWTO html und in die Dokumentation auf der offi ziellen Seite von Snort http www snort org docs werfen 237 Anhang D Aufsetzen einer berbr ckenden Firewall bridge Firewall Diese Informationen trug Francois Bayart bei um Benutzern zu helfen eine Linux Bridge Firewall mit 2 4 x Kernel und iptables aufzusetzen Ein Kernelpatch wird nicht mehr ben tigt da der Code Standardinhalt der Linux Kernel Distribution wurde Um die notwendigen Einstellungen im Kernel vorzunehmen rufen Sie make menuconfig oder make xconfig auf Aktivieren Sie im Abschnitt Networking options folgende Optionen x Network packet filtering replaces ipchains id Network packet filtering debugging NEW lt gt 802 1d Ethernet Bridging EA netfilter firewalling support NEW Passen Sie auf dass Sie dieses hier deaktiviert haben wenn Sie Firewall Regeln anwenden wollen Anderenfalls wird iptables nicht funktioniert El Network packet filtering debugging NEW Anschlie end m ssen Sie die korrekten Optionen im Abschnitt IP Netfilter Configuration set zen Dann kompilieren und installieren Sie den Kernel Wenn Sie dies auf die Debian Art ma chen wollen installieren Sie kernel package und benutzen Sie make kpkg um ein ma geschneidertes Debian Kernelpaket zu erstellen das Sie mit
375. tables A OUTPUT j ACCEPT o lo sbin iptables A OUTPUT m state state ESTABLISHED RELATED j ACCEPT ICMP is permitted sbin iptables A OUTPUT p icmp j ACCEPT So are security package updates Note You can hardcode the IP address here to prevent DNS spoofing and to setup the rules even if DNS does not work but then you will not see IP changes for this service sbin iptables A OUTPUT p tcp d security debian org dport 80 j ACCEPT As well as the services we have defined if n SREMOTE_TCP_SERVICES then for PORT in SREMOTE_TCP_SERVICES do sbin iptables A OUTPUT p tcp dport PORT j ACCEPT done ET if n SREMOTE_UDP_SERVICES then for PORT in SREMOTE_UDP_SERVICES do sbin iptables A OUTPUT p udp dport PORT j ACCEPT done fi All other connections are registered in syslog sbin iptables A OUTPUT j LOG sbin iptables A OUTPUT j REJECT sbin iptables P OUTPUT DROP Other network protections some will only work with some kernel versions echo 1 gt proc sys net ipv4 tcp_syncookies echo 0 gt proc sys net ipv4 ip_forward echo gt proc sys net ipv4 icmp_echo_ignore_broadcasts echo gt proc sys net ipv4 conf all log_martians echo gt proc sys net ipv4 ip_always_defrag echo gt proc sys net ipv4 icmp_ignore_bogus_error_responses
376. tallationen eines Debian Systems eingerichtet da es keine M glichkeit gibt herauszubekommen wann ein Pro gramm eines Nutzers RPC gebrauchen k nnte um korrekt zu arbeiten Jedenfalls wird es meistens von NFS benutzt Wenn Sie kein NFS benutzen entfernen Sie es wie in Sichern von RPC Diensten auf Seite 121 erkl rt In Versionen des Pakets portmap sp ter als 5 5 k nnen Sie sogar den Portmapper installieren aber ihn nur auf dem Localhost lauschen lassen dazu m ssen Sie etc default portmap ver ndern Wozu ist der identd Port 113 da Der Dienst Identd ist ein Authentisierungdienst der den Besitzer einer bestimmten TCP IP Verbindung zu einem entfernten Server der die Verbindung annimmt identifiziert Wenn ein Benutzer sich mit einem entfernten Host verbindet schickt inetd auf dem entfernten Host blicherweise eine Anfrage an Port 113 zur ck um Informationen ber den Besitzer heraus zufinden Er wird h ufig von Mail FTP und IRC Servern eingesetzt Er kann auch dazu ver wendet werden um einen Nutzer Ihres lokalen Systems der ein entferntes System angreift aufzusp ren Es gab ausf hrliche Diskussionen ber die Sicherheit von identd siehe in den Ar chiven der Mailingliste http lists debian org debian security 2001 Kapitel 12 H ufig gestellte Fragen Frequently asked Questions FAQ 212 debian security 200108 msg00297 html Im Allgemeinen ist identd auf Multi User Systemen n tzlicher als auch
377. tdeckten Sicherheitsl cke auch eine andere ausgenutzt haben 12 2 3 Ich habe in meinen Logs merkw rdige MARK Eintrage gefunden Wurde ich gehackt Sie k nnen die folgenden Zeilen in Ihren System Logs finden Dec 30 07 33 36 debian MARK Dec 30 07 53 36 debian MARK Dec 30 08 13 36 debian MARK Dies stellt keinen Hinweis auf eine Kompromittierung dar obwohl Nutzer die von einer Debian Release wechseln es vielleicht merkw rdig finden Wenn Ihr System keine gro e Last oder nicht viele aktive Dienste hat k nnen diese Zeilen in alle Logs auftauchen Dies ist ein Hinweis dass Ihr syslogd Daemon richtig l uft Aus syslogd 8 Kapitel 12 H ufig gestellte Fragen Frequently asked Questions FAQ 216 m interval Der Syslogd protokolliert regelm ig einen Zeitstempel Der voreingestellte Abstand zwischen zwei MARK Zeilen ist 20 Minuten Er kann mit dieser Option ge ndert werden Setzen Sie den Abstand auf Null um die Zeitstempel komplett abzuschalten 12 2 4 Ich habe Nutzer gefunden die laut meinen Logfiles su benutzen Bin ich kompromittiert Sie k nnten in Ihren Logdateien Zeilen wie die folgenden finden Apr 1 09 25 01 server su 30315 root nobody Apr 1 09 25 01 server PAM_unix 30315 su session opened for user nobody Seien Sie nicht zu besorgt Pr fen Sie ob dies durch einen Cron Job hervorgerufen wird nor malerweise etc cron daily find oder logr
378. te Festplatte ist Sobald LILO nicht mehr eingeschr nkt ist versuchen Sie Folgendes e Dr cken Sie Alt Shift oder Steuerung Control kurz bevor das BIOS seine Arbeit been det hat und Sie sollten nun einen LILO Prompt erhalten e Geben Sie am Prompt linux single linux init bin sh oder linux 1 ein Kapitel 12 H ufig gestellte Fragen Frequently asked Questions FAQ 214 e Sie erhalten einen Shell Prompt im Single User Modus Sie werden nach dem Passwort gefragt aber das kennen Sie jetzt ja e Binden Sie die Root Partition im Schreib Lese Modus neu ein indem Sie den Befehl mount verwenden mount o remount rw e ndern Sie das Superuser Passwort mit passwd da Sie der Superuser sind werden Sie nicht nach dem alten Passwort gefragt 12 1 16 Wie muss ich vorgehen wenn ich meinen Nutzern einen Dienst anbieten m chte ihnen aber kein Shell Konto geben will Wenn Sie zum Beispiel einen POP Dienst anbieten wollen m ssen Sie nicht f r jeden zugreifenden Benutzer ein Konto anlegen Am besten setzen Sie hierzu eine Authenti fizierung die auf Verzeichnisses basiert durch einen externen Dienst wie Radius LD AP oder eine SQL Datenbank ein Installieren Sie einfach die gew nschte PAM Bibliothek libpam radius auth libpam ldap libpam pgsql oder libpam mysq 1 lesen Sie die Dokumentation Einsteiger sehen bitte unter Nutzerauthentifizierung PAM auf Seite 58 nach und konfigurieren Sie den PAM nutzend
379. te verf gbar sind die Sie installieren sollten Da die einzigen Pakete die sich bei dieser Einstellung ver ndern Sicherheitsaktualisierungen sind bekommen Sie genau das was Sie wollen Das funktioniert nat rlich nicht wenn Sie Testing oder Sid Unstable am Laufen haben da wahr scheinlich neue Pakete zahlreicher sind als Sicherheitsaktualisierungen Sie k nnen dieses Skript den berpr fungen hinzuf gen die vom Cron Job durchgef hrt werden in der obigen Konfigurationsdatei Dadurch w rde tigercron Mails mit neuen Pa keten verschicken an denjenigen der von Tiger_Mail_RCPTin etce tiger tigerrcbe zeichnet wurde Check for Debian security measures every day at 1 am deb_checkmd5sums deb_nopackfiles check_patches e x Andere Methoden fiir Sicherheitsaktualisierungen Sie sollten auch einen Blick auf secpack http clemens endorphin org secpack werfen Es ist ein inoffizielles Programm um Sicherheitsaktualisierungen von securi ty debian org mit Pr fung der Signatur durchzuf hren Es wurde von Fruhwirth Clemens ge schrieben Kapitel 10 Vor der Kompromittierung 184 10 1 3 Vermeiden Sie den Unstable Zweig Falls Sie nicht Zeit darauf verwenden wollen selbst Pakete zu patchen wenn Verwundbar keiten entdeckt werden sollten Sie auf produktiven Systemen nicht Debians Unstable Zweig verwenden Der Hauptgrund daf r ist dass es f r Unstable keine Sicherheitsaktualisierungen gibt siehe Wie wird die Si
380. teien falls Sie nicht einen Log Host verwenden lesen oder ver ndern kann Sicherheits Alarme die ein Angreifer ver ndern oder abschalten kann sind im Falle eines Eindringens nicht viel wert Au erdem sollten Sie ber cksichtigen dass Log Dateien einem Eindringling ziemlich viel Informationen ber Ihr System verraten wenn er auf sie Zugriff hat Einige Zugriffsrechte auf Log Dateien sind nach der Installation nicht gerade perfekt aber das h ngt nat rlich von Ihren lokalen Sicherheitsma st ben ab Zuerst einmal m ssen var log lastlog und var log faillog nicht f r normale Nutzer lesbar sein In der last log Datei k nnen Sie sehen wer sich zuletzt eingeloggt hat In faillog befindet sich eine Zusam menfassung fehlgeschlagener Logins Der Autor empfiehlt die Rechte von beiden auf 660 zu setzen mit chmod 660 Werfen Sie einen kurzen Blick auf Ihre Log Dateien und entscheiden Sie sehr vorsichtig welche Log Dateien Sie les oder schreibbar f r einen Nutzer mit einer an deren UID als 0 und einer anderen Gruppe als adm oder root machen Sie k nnen dies sehr leicht auf Ihrem System berpr fen un 0 find var Log to what users Fh H ind var oO Fi ata A Ha un o Log type f xec ls cut c 17 35 sort do files in var log belong cut c 26 34 sort type f xec ls to what groups do files in va find
381. teifreigabe wie Samba und NFS e suidmanager dpkg statoverrides e lpr und Iprng e Abschalten der GNOME IP Dinge e Erw hnen von pam_chroot siehe httpi lists dabian org debian security 2002 debian security 200205 msg00011 html und seine N tzlichkeit um Nutzer einzuschr nken Einf hrende Informationen in Verbin dung mit http online securityfocus com infocus 1575 pdmenu sind zum Beispiel bereits unter Debian verf gbar w hrend flash das nicht ist Kapitel 1 Einleitung 6 e Dar ber reden Dienste mit einer chroot Umgebung zu versehen mehr Informa tionen dazu unter http www linuxfocus org English January2002 article225 shtnl http www nuclearelephant com papers chroot html und http www linuxsecurity com feature_stories feature_ story 99 html e Programme erw hnen die Chroot Gef ngnisse chroot jails herstellen compartment und chrootuid warten noch in incoming Einige andere makejail jailer k nnten eben falls eingef hrt werden e Mehr Informationen ber Software zur Analyse von Protokoll Dateien log Dateien logs zum Beispiel Logcheck und logcolorise e Fortgeschrittenes Routing Traffic Regelungen sind sicherheitsrelevant e Zugang ber SSH so einschr nken dass man nur bestimmte Kommandos ausf hren kann e Die Benutzung von dpkg statoverride e Sichere Wege mehreren Nutzern den Zugriff auf CD Brenner zu erlauben e Sichere Wege um Sound zusammen mit einem Display be
382. terst tzten Ar chitekturen ber cksichtigt Neue Pakete gr ndlich getestet werden um sicher zu stellen dass sich keine neuen Fehler eingeschlichen haben e Pakete m glicherweise schon verf gbar sind bevor das DSA verschickt wird in der Incoming Warteschlange oder auf den Mirror Servern e Debian ein Projekt auf freiwilligen Basis ist e Es eine keine Garantie Klausel gibt die Teil der Lizenz ist der Debian unterliegt Wenn Sie eine tiefergehende Analyse w nschen wie lange das Sicherheitsteam an Si cherheitsl cken arbeitet sollten Sie wissen dass neue DSAs vergleichen Sie Debian Sicherheits Ank ndigungen auf Seite 138 auf der Sicherheits Webseite http security de debian org ver ffentlicht werden Daneben finden sich dort auch die Metadaten die verwendetet werden um die DSAs zu erstellen und Links zur Datenbank mit den Sicher heitsl cken Sie k nnen die Quellen vom Webserver herunterladen aus dem CVS http cvs debian org oder die HTML Seiten benutzen um zu bestimmen wie lange Debian braucht um Verwundbarkeiten auszubessern und um diese Daten mit ffentlichen Datenban ken zu vergleichen 12 3 22 Wie lange sind Sicherheitsaktualisierungen vorgesehen Das Sicherheits Team versucht eine stabile Distribution f r in etwa ein Jahr zu unterst tzen nachdem die n chste stabile Distribution freigegeben wurde au er eine weitere stabile Distri bution wird innerhalb dieser Zeitspanne fre
383. tet dass das Betriebssystem des berpr ften Systems nicht verwendet wird um den falschen Eindruck von Sicherheit also falsche Negative zu verhindern der z B durch instal lierte Rootkits entstehen k nnte Die Datenbank mit der das System verglichen wird sollte sich daher auf einem nur lesbaren Medium befinden Falls der Einsatz eines au enstehenden Systems keine M glichkeit ist sollten Sie in Betracht ziehen die Integrit tspr fung mit den verf gbaren Werkzeugen zur Pr fung der Integrit t des Dateisystem durchzuf hren Allerdings sollten Vorsichtsma nahmen getroffen werden Die Datenbank f r die Integrit tspr fung sollte nur lesbar sein und Sie sollten auch sicherstellen dass das Programm das die Integrit t berpr ft und der Kernel des Betriebssystems nicht manipuliert wurde Einige Werkzeuge die im Abschnitt ber Programme zur Integrit tspr fung beschrieben wur den wie z B aide integrit und samhain sind schon so eingerichtet dass sie regelm ige Nachpr fungen durchf hren mittels crontab in den ersten beiden F llen und mittels eines eigenst ndigen Daemons bei samhain Sie k nnen den Administrator auf verschiedenen We gen warnen normalerweise E Mail aber samhain kann auch Seiten SNMP Traps oder einen Alarm an syslog schicken wenn sich das Dateisystem ver ndert Wenn Sie eine Sicherheitsaktualisierung des System vorgenommen haben m ssen Sie nat r lich den Schnappschuss des Systems neu aufzeich
384. tet oder Sie entfernen oder benennen die Startlinks unter etc rc runlevel d um Wenn Sie sie umbenennen stellen Sie sicher dass sie nicht mehr mit einem S beginnen damit sie nicht von etc init d rc ausgef hrt werden Ent fernen Sie nicht alle verf gbaren Links denn sonst wird das Paketverwaltungssystem sie bei der n chsten Paketaktualisierung wieder herstellen Gehen Sie also sicher dass zumindest ein Link brig bleibt typischerweise ein K Link K steht f r kill Zus tzliche Informatio nen finden Sie im Abschnitt Anpassen des Bootvorgangs http www debian org doc manuals reference ch system s custombootscripts der Debian Referenz 2 Ka pitel Debian Grundlagen Sie k nnen diese Links manuell entfernen oder Sie benutzen update rc d siehe auch update rc d 8 So k nnen Sie zum Beispiel einen Dienst in den Multi User Runleveln abschalten update rc d stop X 2 3 4 5 Wobei XX eine Zahl ist die bestimmt wann die Stop Aktion fiir diesen Dienst ausgefiihrt wird Bitte beachten Sie dass update rc d f Dienst remove nicht korrekt arbeiten wird wenn Sie nicht file rc benutzen da alle Verkn pfungen entfernt werden Nach ei ner Neuinstallation oder einem Upgrade dieses Paketes werden diese Verkn pfungen neu an gelegt was Sie vermutlich nicht wollen Wenn Sie denken dass dies nicht sehr intuitiv ist haben Sie wahrscheinlich recht siehe Bug 67095 http bugs debian org 67095 Aus
385. tho iface ethO inet static address xxxX xXxX XXX XXX netmask 255 255 255 xxx broadcast XxXXX XXX XXX XXX gateway XXX XXX XXX XXX pre up etc network interface secure In diesem Beispiel wird das Skript aufgerufen um alle Netzwerkschnittstellen abzusichern wie unten gezeigt wird bevor die Schnittstelle ethO aktiviert wird bin sh e Skriptname etc network interface secur Ver ndert das Standardverhalten f r alle Schnittstellen in einigen Bereiche um vor TCP IP Spoofing und Angriffen zu sch tzen wurde von Dariusz Puchalak beigesteuert Broadcast echo protection enabled echo 1 gt proc sys net ipv4 icmp_echo_ignore_broadcasts IP forwarding disabled echo 0 gt proc sys net ipv4 conf all forwarding TCP syn cookies protection enabled echo 1 gt proc sys net ipv4 tcp_syncookies Log strange packets this includes spoofed packets source routed packets redirect packets but be careful with this on heavy loaded web servers echo 1 gt proc sys net ipv4 conf all log_martians Bad error message protection enabled echo 1 gt proc sys net ipv4 icmp_ignore_bogus_error_responses Kapitel 4 Nach der Installation 90 IP spoofing protection echo 1 gt proc sys net ipv4 conf all rp_filter Disable ICMP redirect acceptance echo 0 gt proc sys net ipv4 conf all accept_redirects echo 0 gt proc sys net ipv4 conf all send_redirects
386. tl start processNames apache testCommandsOutsideJail wget r spider http localhost lynx source https localhost preserve var www var log apache dev log users chrapach groups chrapach packages apache apache common userFiles etc password Kapitel H Chroot Umgebung f r Apache 269 etc shadow groupFiles etc group etc gshadow forceCopy etc hosts etc mime types FIXME some options do not seem to work properly For instance etc shadow and etc gshadow are not copied whereas etc password and etc group are fully copied instead of being filtered e Erstellen Sie den Verzeichnisbaum f r chroot makejail etc makejail apache py e Falls etc password und etc group vollst ndig kopiert wurden geben Sie Folgen des ein um sie mit gefilterten Fassungen zu ersetzen grep chrapach etc passwd gt var chroot apache etc passwd grep chrapach etc group gt var chroot apache etc group e Kopieren Sie die Webseiten und die Logs ins Gef ngnis Diese Dateien werden nicht au tomatisch mitkopiert sehen Sie sich dazu die Option preserve in der Konfigurationsdatei von make jail an cp Rp var www var chroot apache var cp Rp var log apache log var chroot apache var log apache e Editieren Sie das Startskript f r den Logging Daemon des Systems so dass er auch den Socket var chroot apache dev log beobachtet Ersetze
387. tzen Sie Ihr System einer Gefahr aus Wenn einer Ihrer lokalen Dienste angreifbar ist k nnten Sie kompromittiert sein noch bevor die Ak tualisierung beendet ist Sie m gen dies paranoid finden aber eine Analyse vom Honeynet Project http www honeynet org zeigt tats chlich dass ein System in weniger als drei Tagen kompromittiert werden kann sogar wenn das System gar nicht der ffentlichkeit be kannt ist d h nicht in DNS Eintr gen auftaucht Wenn Sie eine Aktualisierung Ihres Systems durchf hren das nicht von einem externen Sys tem z B einer Firewall gesch tzt ist k nnen Sie trotzdem eine lokale Firewall so konfigu rieren dass Sie nur die Sicherheitsaktualisierung selbst erlaubt Das Beispiel unten zeigt wie die lokalen Firewall F higkeiten aufgesetzt werden m ssen um ein eingeschr nktes Setup zu erreichen in dem nur Verbindungen zu security debian org erlaubt werden w hrend der Rest geloggt wird Im nachfolgenden Beispiel wird ein strenges Regelwerk f r eine Firewall dargestellt F hren Sie diese Befehle auf einer lokalen Konsole aus und nicht auf einer entfernten um das Risiko zu verringern sich aus Ihrem System auszusperren iptables F iptables L Chain INPUT policy ACCEPT target prot opt source destination Chain FORWARD policy ACCEPT target prot opt source destination Kapitel F Schutz der Sicherheitsaktualisierung durch eine Firewall 246 Chain OUTPUT pol
388. tzen von 1vm k nnen Sie Datentr ger Gruppen erstellen die ber mehrere Festplatten verteilt sind Auswahl eines passenden Dateisystems W hrend der Partitionierung des Systems m ssen Sie sich ebenfalls entscheiden welche Dateisysteme Sie benutzen m chten Als Standard Dateisystem wird w hrend der Installa Eigentlich ist das so nicht ganz richtig da immer etwas Platz f r Root reserviert wird den ein normaler Nutzer nicht belegen kann Ein sehr gutes Beispiel dieser Art von Angriff der das tmp Verzeichnis benutzt ist ausf hrlich auf The mysteriously persistently exploitable program contest http www hackinglinuxexposed com articles 20031111 html und auf The mysteriously persistently exploitable program explained http www hackinglinuxexposed com articles 20031214 htm1 beschrieben beachten Sie dass dieser Vorfall in einem Zusammenhang mit Debian steht Im Prinzip ist das ein Angriff bei dem ein lokaler Benutzer eine angreifbare Setuid Anwendung versteckt indem einer einen harten Link zu ihr einrichtet So kann er wirksam verhindern dass diese Anwendung vom Systemadministrator aktualisiert oder entfernt wird Dpkg wurde k rz lich verbessert um das zu verhindern vergleiche 225692 http bugs debian org 225692 Aber andere Setuid Anwendungen die nicht vom Paketverwaltungsprogramm kontrolliert werden bleiben ein Risiko wenn Partitionen nicht richtig eingerichtet werden Kapitel 3 Vor und w hrend der Insta
389. u erdem m ssen Sie auch das Paket Management System hereinlegen damit es weiterhin denkt dass per1 base installiert ist auch wenn es das nicht mehr ist 7 Welche Dienstprogramme benutzen Per1 Sie k nnen es selbst herausfinden for i in bin x sbin x usr bin usr sbin x do f Si amp amp type file i grep il perl n Stype amp amp echo Si done Diese Liste schlie t die folgenden Dienstprogramme mit der Priorit t required oder important ein e usr bin chkdupexe aus dem Paket util linux e usr bin replay aus dem Paket bsdutils e usr sbin cleanup info aus dem Paket dpkg e usr sbin dpkg divert aus dem Paket dpkg e usr sbin dpkg statoverride aus dem Paket dpkg e usr sbin install info aus dem Paket dpkg e usr sbin update alternatives aus dem Paket dpkg e usr sbin update rc daus dem Paket sysvinit e usr bin grog aus dem Paket groff base e usr sbin adduser aus dem Paket adduser e usr sbin debconf show aus dem Paket debconf 7Sie k nnen auf einem anderen System eine Paket Attrappe mit equivs erstellen Kapitel 3 Vor und w hrend der Installation 45 e usr sbin deluser aus dem Paket adduser e usr sbin dpkg preconfigure aus dem Paket debconf e usr sbin dpkg reconfigure aus dem Paket debconf e usr sbin exigrep aus dem Paket exim e usr sbin eximconfig aus dem Paket exim e usr sbin eximstats aus dem Paket exim e
390. uf diese Weise stunnel p etc ssl certs stunnel pem d pop3s 1 usr sbin popd Dieses Kommando umh llt den angegebenen Daemon I an den Port d und nutzt ein be stimmtes SSL Zertifikat p 5 7 Sichern von BIND Es gibt verschiedene Dinge mit denen Sie sich auseinander setzen sollten um einen Domain Server Daemon abzusichern die hnlich zu den berlegungen sind wie man einen anderen Dienst absichert Konfigurieren Sie den Daemon selbst so dass er von au en nicht missbraucht werden kann siehe auch Bind Konfiguration um Missbrauch zu verhindern auf der n chsten Seite Dies schlie t das Einschr nken von Abfragen durch Clients ein Zonen Transfers und rekursive Abfragen Kapitel 5 Absichern von Diensten die auf Ihrem System laufen 110 e Einschr nken des Zugriffs des Daemon auf den Server selbst so dass dem Schaden f r das System im Falle eines Einbruchs Grenzen gesetzt sind Hierzu geh rt auch den Daemon als nicht privilegierten Benutzer laufen zu lassen siehe ndern des BIND Benutzers auf Seite 112 und ihn in ein Chroot Gef ngnis einzusperren siehe Chroot Gef ngnis f r Name Server auf Seite 115 5 7 1 Bind Konfiguration um Missbrauch zu verhindern Sie sollten einige Informationen die von au en ber den DNS Server abgefragt werden k n nen zur ckhalten so dass man nicht wertvolle Informationen ber Ihre Organisation die Sie nicht herausgeben wollen abfragen kann Dies s
391. ufzubauen Viele E Mails bedeuten viel Dateiaktivit t die lediglich durch das Senden von ein paar Paketen erreicht wird 4 12 Die Wichtigkeit von Logs und Alarmen Es ist leicht einzusehen dass die Behandlung von Logs Protokolldateien und Alarmen eine wichtige Angelegenheit in einem sicheren System ist Stellen Sie sich vor ein System ist perfekt konfiguriert und zu 99 sicher Wenn ein Angriff unter dieses 1 f llt und es keine Sicher heitsma nahmen gibt dies erstens zu erkennen und zweitens einen Alarm auszul sen so ist das System berhaupt nicht sicher Debian GNU Linux stellt Werkzeuge zur Verf gung die die Analyse von Log Dateien ber nehmen Am beachtenswertesten sind swatch Logcheck oder loganalysis alle Pakete werden ein wenig Anpassung ben tigen um unn tige Dinge aus den Reports zu entfernen Wenn sich das System in Ihrer N he befindet k nnte es n tzlich sein das System Log auf ei ner virtuellen Konsole auszugeben Die ist n tzlich da Sie so auch von weiter weg oder im Vorbeigehen sehen k nnen ob sich das System richtig verh lt Debians etc syslog conf wird mit einer auskommentierten Standardkonfiguration ausgeliefert Um diese Ausgabe ein zuschalten entfernen Sie die Kommentarzeichen vor den entsprechenden Zeilen und starten syslog neu etc init d syslogd restart daemon mail x news crit news err news notice x debug info x notice x warn dev tty8 Um die Logs farbig
392. uino Pe a e Removed and then re added appendix on chrooting Apache The appendix is now dual licensed 1 6 17 Version 2 95 June 2003 Changes by Javier Fern ndez Sanguino Pe a e Fixed typos spotted by Leonard Norrgard e Added a section on how to contact CERT for incident handling tafter compromise e More information on setting up a Squid proxy e Added a pointer and removed a FIXME thanks to Helge H F e Fixed a typo save_inactive spotted by Philippe Faes e Fixed several typos spotted by Jaime Robles 1 6 18 Version 2 94 April 2003 Changes by Javier Fern ndez Sanguino Pefia Following Maciej Stachura s suggestions I ve expanded the section on limiting users e Fixed typo spotted by Wolfgang Nolte e Fixed links with patch contributed by Ruben Leote Mendes Added a link to David Wheeler s excellent document on the footnote about counting security vulnerabilities Kapitel 1 Einleitung 15 1 6 19 Version 2 93 march 2003 Changes made by Frederic Sch tz e rewrote entirely the section of ext2 attributes Isattr chattr 1 6 20 Version 2 92 February 2003 Changes by Javier Fern ndez Sanguino Pefia and Fr d ric Sch tz e Merge section 9 3 useful kernel patches into section 4 13 Adding kernel patches and added some content e Added a few more TODOs e Added information on how to manually check for updates and also about cron apt That way Tiger is not perceived as the
393. um Debian eine Keine Gew hr leistung Klausel in seiner Lizenz hat Allerdings k nnen Debian Benutzer insofern Vertrauen fassen dass der stabile Quellcode ei ne breite Pr fung hinter sich hat Die meisten Probleme w rden dabei durch Benutzung ent deckt Es ist zu empfehlen ungetestete Software auf kritischen Systemen zu installieren wenn Sie nicht die notwendige Code Pr fung vornehmen k nnen In jedem Fall gew hrleistet der Aufnahmeprozess in die Distribution mit digitalen Signaturen dass im Falle von in die Dis tribution eingeschleusten Sicherheitsproblemen das Problem letztendlich zum Entwickler zu r ckgef hrt werden kann Das Debian Projekt hat diese Angelegenheiten nie auf die leichte Schulter genommen 12 1 9 Warum sind einige Log und Konfigurationsdateien f r die Welt lesbar Ist das nicht unsicher Nat rlich k nnen Sie die Standardrecht von Debian auf Ihrem System ab ndern Der aktuelle Grundsatz in Bezug auf Log und Konfigurationsdateien besagt dass sie f r die Welt lesbar sind es sei denn sie enthalten sensible Informationen Seien Sie vorsichtig wenn Sie nderungen vornehmen e Prozesse k nnten nicht mehr in der Lage sein in Log Dateien zu schreiben wenn Sie ihre Rechte einschr nken e Einige Anwendungen k nnten nicht mehr funktionieren wenn sie ihre Konfigurations datei nicht mehr lesen k nnen Wenn Sie zum Beispiel das Recht f r die Welt lesbar zu sein von etc samba smb conf entfernen
394. ung 179 10 1 Halten Sie I System SINT rn A Oe bee rer meh EY 179 10 1 1 Beobachtung von Sicherheitsliicken ssi a wad 8 meee eeu 179 10 1 2 Fortlaufende Aktualisierung des Systems lt gt so co cocoa eee was 180 10 1 3 Vermeiden Sie den Unstable Zweig ea lt o 2420 ee 820 544 184 10 1 4 Sicherheitsunterst tzung f r den Testing Zweig 184 10 1 5 Automatische Aktualisierungen in einem Debian GNU Linux System 185 10 2 Periodische berpr fung der Integrit t 187 10 3 Aufsetzen einer Eindringlingserkennung 340 7 ran 187 10 3 1 Netzwerk basierende Eindringlingserkennung 188 10 3 2 Host basierende Eindringlingserkennung 188 10 4 Vermeiden von Root its ooo 2 40 AEN ae nn a eee KER BE KS 189 10 4 1 Ladbare Kernel Module LKM 2 sees esa ee eee EN E 189 10 4 2 Erkennen von Root Kits 189 10 5 Geniale paranoide Ideen was Sie tun k nnen 191 10 5 1 Aufstellen eines Honigtopfes honeypot 192 11 Nach einer Kompromittierung Reaktion auf einem Vorfall 195 111 Allgemeines Verhalten ei a E a a Re 195 11 2 Anlegen von Sicherheitsk pien Ihres Systems o oc a 64 5 2 ua var un 196 11 3 Setzen Sie sich mit dem lokal CERT in Verbindung lt tese 444844 197 112 Forensische Analyse re a a Er ORR BS ee 197 1141 Analyseder Malware kee 200 EE EE a Fe ee ee ox 198 12 H ufig gestellte Fragen Frequently asked Questions FAQ 201 12 1 Sicherheit im Deblan Betriebssystem
395. ung der Distribution ver n dern Wenn eine Ver ffentlichung unmittelbar bevorsteht werden auch das Sicherheitsteam oder die Paketbetreuer direkt Aktualisierungen f r Testing zur Verf gung stellen Zus tzlich kann auch das Debian Testing Sicherheitsteam htape7 secure testing master debian net Debian Testing Sicherheitsank ndigungen DTSA f r Pakete im Testing Zweig herausgeben wenn sofort eine L cke in diesem Zweig geschlossen werden muss und die normale Vorgehensweise nicht abgewartet werden kann oder die bliche Vorgehensweise durch andere Pakete blockiert ist Benutzer die von diesem Angebot Gebrauch machen wollen m ssen folgende Zeilen ihrer etc apt sources list anstatt der Zeilen die unter Ausf hren von Sicherheitsupdates auf Seite 48 dargestellt wurden hinzuf gen deb http secure testing debian net debian secure testing etch security u Diese Zeile macht es m glich auch Quellpakete herunterzuladen FIXME donwload deb src http secure testing debian net debian secure testing etch securi F r weitere Informationen zu diesem Angebot k nnen Sie die entsprechende Ank ndigung http lists debian org debian devel announce 2005 09 msg00006 html lesen Dieses Angebot startete offiziell im September 2005 10 1 5 Automatische Aktualisierungen in einem Debian GNU Linux System Es sei vorweggeschickt dass automatische Aktualisierungen nicht vollst ndig empfohlen wer den da Admini
396. uration und Syntax laufen lassen Wenn Sie Stand Alone Dienste alleinstehende Dienste also solche die direkt mit der Wrapper Bibliothek verbunden sind der host deny oder host allow Datei hinzuf gen wird tcpchk Sie warnen dass er sie nicht finden kann da er sie nur in etc inetd conf sucht die Handbuchseite ist an dieser Stelle nicht sehr genau Jetzt kommt ein kleiner Trick und vielleicht die kleinste Alarmanlage zur Erkennung von Ein dringlingen Im Allgemeinen sollten Sie eine anst ndige Firewall als erste und TCP Wrapper als zweite Verteidigungslinie haben Der Trick besteht nun darin ein SPAWN Kommando in etc hosts deny einzutragen das immer dann eine Mail an Root schickt wenn ein Dienst abgewiesen wurde Bei lteren Ver ffentlichungen von Debian sollte Sie Folgendes ausf hren apt cache showpkg libwrapO egrep space sort u sed s libwrap0 s space Beachten Sie hier die Schreibweise da spawn nicht funktionieren wird Kapitel 4 Nach der Installation 74 ALL ALL SPAWN echo e n TCP Wrappers Verbindungsaufbau abgelehnt n By uname n n Prozess d pid p n Nutzer u n Host c n Datum date n usr bin mail s Verbindung zu d blockiert root amp Achtung Das obige Beispiel kann sehr leicht zu DoS Denial of Service Verbindungsaufbau abgelehnt f hren indem man versucht sehr viele Verbindungen in kurzer Zeit a
397. urch die Konfiguration gef hrt werden 6 1 Harden Das Paket harden versucht es einfacher zu machen Rechner die gute Sicherheit ben tigen zu installieren und zu administrieren Dieses Paket sollte von Leuten benutzt werden die eine schnelle Hilfe bei der Erh hung der Systemsicherheit haben wollen Es installiert automatisch einige Werkzeuge die die Sicherheit auf unterschiedliche Art und Weise erh hen Werkzeuge zur Eindringlingserkennung Werkzeuge zur Sicherheitsanalyse und mehr harden installiert die folgenden virtuellen Pakete d h sie enthalten nichts h ngen aber von anderen Paketen ab oder empfehlen diese Kapitel 6 Automatisches Abh rten von Debian Systemen 134 e harden tools Werkzeuge die die Sicherheit des Systems erh hen Integrit tspr fung Eindringlingserkennung Kernel Patches e harden environment Hilft eine abgesicherte Umgebung zu konfigurieren derzeit leer e harden servers entfernt Server die aus irgendeinem Grund als unsicher gelten e harden clients entfernt Clients die aus irgendeinem Grund als unsicher gelten e harden remoteaudit Werkzeuge um Systeme aus der Ferne zu berpr fen e harden nids hilft bei der Installation eines Systems zur Entdeckung von Netzwerk eindringlingen e harden surveillance hilft bei der Installation von Werkzeugen zum Uberwachen von Netzwerken und Diensten N tzliche Pakete f r die keine Abh ngigkeit besteht e harden doc Stellt die
398. urity von David A Wheeler beschrieben Kapitel 12 H ufig gestellte Fragen Frequently asked Questions FAQ 202 Ist Debian sicherer als andere Linux Distributionen wie Red Hat SuSE Der Unterschied zwischen den Linux Distributionen ist nicht sehr gro mit Ausnahme der Ba sisinstallation und der Paketverwaltung Die meisten Distributionen beinhalten zum Gro teil die gleichen Anwendungen Der Hauptunterschied besteht in den Versionen dieser Program me die mit der stabilen Ver ffentlichung der Distribution ausgeliefert werden Zum Beispiel sind der Kernel Bind Apache OpenSSH Xorg gec zlib etc in allen Linux Distributionen vorhanden Ein Beispiel Red Hat hatte Pech und wurde ver ffentlicht als foo 1 2 3 aktuell war Sp ter wurde darin eine Sicherheitsl cke entdeckt Dagegen hatte Debian das Gl ck dass es mit foo 1 2 4 ausgeliefert wurde in dem der Fehler schon behoben war Das war der Fall beim gro en Problem mit rpc statd http www cert org advisories CA 2000 17 html vorein paar Jahren Es besteht eine weitgehende Zusammenarbeit zwischen den jeweiligen Sicherheitsteams der gro en Linux Distributionen Bekannte Sicherheitsaktualisierungen werden selten wenn nicht sogar nie von den Anbietern der Distribution nicht eingespielt Das Wissen um eine Sicher heitsl cke wird niemals vor anderen Anbietern von Distributionen geheim gehalten da die Ausbesserungen gew hnlich vom Programmautor oder von CERT http
399. usl sen Alarme k nnen auf einen laufenden Angriff hindeuten und w ren sp ter sagen wir mal am n chsten Tag nicht mehr n tzlich da der Angriff dann bereits erfolgreich beendet worden sein k nnte Stellen Sie also sicher dass es eine passende Regelung ber die Handhabung von Alarmen gibt und dass technische Ma nahmen zur Umsetzung dieser Re gelung vorhanden sind Eine interessante Quelle f r Information ist CERT s Intrusion Detection Checklist http www cert org tech_tips intruder_detection_checklist html 10 3 1 Netzwerk basierende Eindringlingserkennung Programme die der Netzwerk basierende Eindringlingserkennung dienen berwachen den Verkehr eines Netzwerkabschnitts und arbeiten auf Grundlage dieser Daten Genauer ausge dr ckt es werden die Pakete im Netzwerk untersucht um festzustellen ob sie mit bestimmten Merkmalen bereinstimmen snort ist ein vielseitiger Paketschn ffler oder logger der Angriffe mit Hilfe einer Bibliothek von Angriffssignaturen erkennt Es erkennt eine breite Palette von Angriffen und Tests wie zum Beispiel Puffer berl ufe verdecktes Abtasten von Ports stealth port scans CGI Angriffe SMB Tests und vieles mehr snort hat auch die F higkeit einen zeitnahen Alarm auszul sen Dies ist ein Werkzeug das auf jedem Router installiert werden sollte um ein Auge auf Ihr Netzwerk zu haben Installieren Sie es einfach mit apt get install snort beantworten Sie die Fragen und beobachten S
400. usperren dessen Tastatur unter seinen Fingern liegt Lassen Sie daher die gebotene Vorsicht walten Vergessen Sie nicht Das blo e Installieren von iptables oder dem lteren Firewallcode gibt Ihnen keine Sicherheit es stellt lediglich die Software zur Verf gung Um eine Firewall zu haben m ssen Sie sie konfigurieren Wenn Sie keine Ahnung haben wie Sie Ihre Firewall Regeln manuell aufsetzen sollen sehen Sie in dem Packet Filtering HOWTO und NAT HOWTO aus dem Paket iptables zu finden unter usr share doc iptables html nach Kapitel 5 Absichern von Diensten die auf Ihrem System laufen 125 Wenn Sie nicht viel ber Firewalls wissen sollten Sie beginnen indem Sie das Fire walling and Proxy Server HOWTO http www tldp org HOWTO Firewall HOWTO html lesen Installieren Sie das Paket doc linux text wenn Sie es offline lesen wol len Wenn Sie Fragen stellen wollen oder Hilfe beim Einrichten einer Firewall ben ti gen k nnen Sie sich an die debian firewall Mailingliste wenden siehe http lists debian org debian firewall Sehen Sie auch Seien Sie wachsam gegen ber generel len Sicherheitsproblemen auf Seite 29 f r weitere allgemeinere Verweise zu Firewalls Ein weiterer guter Leitfaden f r Iptables ist http iptables tutorial frozentux net iptables tutorial html Nutzen von Firewall Paketen Das manuelle Aufsetzen einer Firewall kann f r neue und manchmal auch f r erfahrene Ad ministratoren komplizie
401. uss wenn der Kernel aktualisiert wurde Kapitel 10 Vor der Kompromittierung 182 Automatisches berpr fung von Aktualisierungen mit cron apt Eine andere Methode f r automatische Sicherheitsaktualisierungen ist die Verwendung von cron apt Dieses Paket stellt ein Werkzeug zur Verf gung mit dem das System in regelm igen Abst nden mit einem Cronjob aktualisiert wird Standardm ig wird es die Paketliste aktualisieren und neue Pakete herunterladen Es kann auch so konfiguriert werden dass es Mails an den Systemadministrator schickt Hinweis Wenn Sie vorhaben Ihr System automatisch zu aktualisieren auch wenn Sie sich nur die Pakete herunterladen sollten Sie sich vielleicht die Distributionsversion ansehen wie in berpr fung der Distribution mit der Release Datei auf Seite 147 beschrieben wird Ande renfalls k nnen Sie sich nicht sicher sein dass die heruntergeladenen Pakete wirklich aus einer vertrauensw rdigen Quelle stammen Verwendung von Tiger um automatisch Sicherheitsaktualisierungen zu berpr fen Wenn Sie nach einem Programm suchen das schnell die Verwundbarkeit des Systems ber pr ft und gefundene Sicherheitsl cken meldet sollten Sie das Paket tiger ausprobieren Das Paket besteht aus einer Anzahl von Skripten f r die Bourne Shell C Programmen und Daten dateien die dazu verwendet werden um Sicherheitsaudits durchzuf hren Das Paket in De bian GNU Linux beinhaltet zus tzliche Erweiterungen
402. utzers vollst ndig vertraut Auf sichere Weise einen Schl ssel hinzuf gen Indem Sie einen Schl ssel zu Apts Schl sselbund hinzuf gen lassen Sie Apt wissen dass es allem vertrauen soll was mit diesem Schl ssel signiert wurde Dadurch stellen Sie sicher dass Apt nichts installiert was nicht vom Inhaber des privaten Schl ssels signiert wurde Mit ausreichender Paranoia erkennen Sie aber dass dies das Problem nur um eine Stufe verla gert Anstatt sich nun darum Sorgen zu machen ob ein Paket oder eine Release Datei kor rekt ist m ssen Sie berpr fen ob Sie tats chlich den richtigen Schl ssel haben Ist die Datei http ftp master debian org ziyi_key_2006 asc die oben erw hnt wird wirk lich der Signierungsschl ssel des Debian Archivs oder wurde sie ver ndert oder wird gar in diesem Dokument gelogen Es ist gut in Sicherheitsfragen Vorsicht walten zu lassen Aber ab hier wird es schwieriger Dinge zu berpr fen gpg arbeitet mit dem Konzept der Kette des Vertrauens chain of trust die bei jemandem beginnt dem Sie vertrauen und der einen anderen Schl ssel unterschreibt usw bis Sie beim Schl ssel des Archivs sind Wenn Sie vorsichtig sind wollen Sie nachpr fen dass Ihr Archivschl ssel von einem Schl ssel unterschrieben wurde dem Sie vertrauen k nnen weil seine Kette des Vertrauens zu jemandem zur ckgeht den Sie pers nlich ken nen Dazu sollten Sie eine Debian Konferenz oder eine lokale LUG zum Unterschreibe
403. uzugreifen aber ihre Bewegungen einschr nken wollen k nnen Sie bin rbash benutzen Dies hat das gleiche Ergebnis wie wenn Sie die r Option der Bash RESTRICTED SHELL siehe bash 1 verwendet h tten Beachten Sie bitte dass sogar mit einer beschr nkten Shell ein Nutzer der auf ein interaktives Programm zugreifen kann das ihm erlaubt eine Subshell auszuf hren diese Limitierung der Shell umgehen kann Debian bietet zurzeit in seiner Unstable Ver ffentlichung und wird es vielleicht der n chsten Stable Ver ffentlichung hinzuf gen das pam_chroot Modul in libpam chroot an Eine Kapitel 4 Nach der Installation 66 Alternative hierzu ist es die Dienste die eine Fernanmeldung erm glichen ssh und telnet in einer chroot Umgebung laufen zu lassen 16 Wenn Sie einschr nken wollen wann ein Nutzer auf das System zugreifen kann m ssen sie etc security access conf an Ihre Bed rfnisse anpassen Informationen wie man Benutzer die auf das System mittels dem ssh Dienst zugreifen in ei ne chroot Umgebung einsperrt wird in Chroot Umgebung f r SSH auf Seite 249 beschrie ben 4 10 9 berpr fen der Nutzer Wenn Sie wirklich paranoid sind sollten Sie vielleicht eine systemweite Einrichtung verwen den um zu berwachen was die Benutzer auf Ihrem System tun In diesem Abschnitt werden eine Tipps vorgestellt wie Sie verschiedene Werkzeuge verwenden berwachung von Ein und Ausgabe mittels eines Skripts Um s
404. var log perm 004 les which are readable by any us find var log group root les which belong to groups not root or adm r log belong er group adm exec ls ld Um anzupassen wie neue Log Dateien erstellt werden miissen Sie wahrscheinlich das Pro gramm anpassen das sie erstellt Wenn die Log Dateien rotiert werden k nnen Sie das Ver halten der Erstellung und Rotation anpassen Kapitel 4 Nach der Installation 78 4 13 Den Kernel patchen Debian GNU Linux stellt verschiedene Patches f r den Linux Kernel zur Verf gung die die Sicherheit erh hen Erkennung von Eindringlingen f r Linux Linux Intrusion Detection http www lids org enthalten im Paket 1ids 2 2 19 Dieser Kernelpatch erleichtert Ihnen Ihr Linuxsystem abzuh rten indem er Ihnen erm glicht Prozesse einzuschr nken zu verstecken und zu sch tzten sogar vor Root Er f hrt F higkeiten f r eine zwingende Zugangskontrolle ein Linux Trustees http trustees sourceforge net im Paket trustees Die ser Patch f gt ein ordentliches fortgeschrittenes Rechtemanagement Ihrem Linux Kernel hinzu Besondere Objekte die trustees Treuh nder genannt werden sind mit jeder Datei oder Verzeichnis verbunden Sie werden im Speicher des Kernels abgelegt und er lauben so eine schnelle Abfrage aller Rechte NSA Enhanced Linux im Paket selinux Backports von Paketen die SEli nux unterst tzen sind unter http selinux alioth debian
405. ver oder ein System zur Speicherung von Kreditkartennummern sein kann 10 5 1 Aufstellen eines Honigtopfes honeypot Ein Honigtopf ist ein System das darauf ausgelegt ist Systemadministratoren beizubringen wie Cracker ein System abtasten und darin einbrechen Es ist eine Systemeinstellung mit der Erwartung und dem Zweck dass das System abgetastet und angegriffen und m glicherweise darin eingebrochen wird Wenn Systemadministratoren erfahren welche Werkzeuge und Me Kapitel 10 Vor der Kompromittierung 193 thoden Cracker anwenden k nnen sie daraus lernen wie sie ihr System und Netzwerk besser sch tzen Debian GNU Linux Systeme k nnen leicht als Honigtopf eingerichtet werden wenn Sie Zeit opfern sie aufzusetzen und zu berwachen Sie k nnen leicht den gef lschten Server die Fi rewall die den Honigtopf berwacht und ein Programm das Eindringling ins Netzwerk entdecken kann einrichten Verbinden Sie den Honigtopf mit dem Internet und warten Sie ab Stellen Sie sicher dass Sie rechtzeitig alarmiert werden siehe Die Wichtigkeit von Logs und Alarmen auf Seite 74 wenn in das System eingedrungen wird damit Sie geeignete Schritte einleiten und den Angriff beenden k nnen wenn Sie genug gesehen haben Hier folgen einige Pakete und Probleme die Sie in Betracht ziehen sollten wenn Sie einen Honigtopf einrichten e Die Firewall Technologie die Sie verwenden verf gbar durch den Linux Kernel e syslog ng N tzli
406. verwalten e shadow etc shadow ist von dieser Gruppe lesbar Einige Programme die auf diese Datei zugreifen m ssen sind SETGID shadow e utmp Diese Gruppe kann nach var run utmp und hnlichen Dateien schreiben Pro gramme die darin schreiben k nnen m ssen sind SETGID utmp e video Diese Gruppe kann dazu benutzt werden einer bestimmen Menge von Nutzern Zugriff auf ein Videoger t zu geben Kapitel 12 H ufig gestellte Fragen Frequently asked Questions FAQ 210 e staff Erlaubt Nutzern lokale Modifikationen am System vorzunehmen usr local home ohne dass sie Root Privilegien br uchten Vergleichen Sie sie mit adm die sich mehr auf berwachung Sicherheit bezieht e users W hrend Debian Systeme standardm ig das System einer privaten Nutzergrup pe jeder Nutzer hat seine eigene Gruppe benutzen ziehen es manche vor ein tradi tionelleres Gruppen System zu verwenden In diesem System ist jeder Nutzer Mitglied dieser Gruppe Ich entfernte einen Systembenutzer Wie kann ich dies r ckg ngig machen Wenn Sie einen Systembenutzer entfernt und kein Backup Ihrer password und group Dateien haben k nnen Sie versuchen diesen mittels update passwd vergleichen Sie update passwd 8 wiederherzustellen Was ist der Unterschied zwischen den Gruppen adm und staff Die Gruppe adm besteht tiblicherweise aus Administratoren Die Rechte dieser Gruppe er lauben es ihnen Log Dateien zu lesen ohne su
407. von Spiegelservern bezogen e Korrigierte den Namen des Debian Testing Sicherheitsteams e Entfernte in einem Beispiel den Verweis auf Sarge e Aktualisierte die Abschnitt ber Antivirus clamav ist jetzt in der Ver ffentlichung ent halten Erw hne auch den Installer f r f prot Kapitel 1 Einleitung 8 e Entfernte alle Verweise auf freeswan da es veraltet ist e Beschrieb Probleme die beim Ver ndern der Firewall Regeln aus der Ferne auftreten k nnen und gab einige Tipps in Fu noten e Schrieb den Abschnitt Bind nicht als Root laufen lassen neu da dies nicht mehr auf Bind9 zutrifft Entfernte auch Verweise auf das init d Skript da die nderungen in etc default vorgenommen werden m ssen e Entfernte eine veraltete M glichkeit Regeln f r die Firewall einzurichten da Woody nicht l nger unterst tzt wird e Kehrte zu dem fr heren Hinweis bez glich LOG_UNKFAIL_ENAB zur ck n mlich dass es auf no wie es standardm ig ist gesetzt werden sollte e F gte Informationen hinzu wie das System mit Werkzeugen f r den Desktop ein schlie lich update notifier aktualisiert wird und beschrieb wie man mit aptitude das System aktualisiert e Aktualisierte das FAQ und entfernte berfl ssige Abschnitte e berarbeitete und aktualisierte den Abschnitt ber die forensische Analyse von Malwa re e Entfernte oder korrigierte einige tote Links e Verbesserte viele Tipp und Grammatikfehler die von Franc
408. w recursion internal allow transfer none hi Ab hier bis zur meineseite bogus Zone ist alles im Grunde die unver nderte Debian Standardeinstellung logging category lame servers null category cname null hi zone type hint file etc bind db root hi zone localhost type master file etc bind db local zone 127 in addr arpa type master Kapitel 5 Absichern von Diensten die auf Ihrem System laufen 112 file etc bind db 127 zone Q in addr arpa type master file etc bind db 0 zone 255 in addr arpa type master file etc bind db 255 Zone die ich selbst hinzugef gt habe zone meineseite bogus type master file etc bind named meineseite allow query any allow transfer friendly Bitte pr fen Sie erneut die Debian Fehler Datenbank BTS bez glich Bind insbesondere Bug 94760 regarding ACLs on zone transfers http bugs debian org 94760 F hlen Sie sich ruhig dazu ermutigt zu diesem Bugreport beizutragen wenn Sie glauben n tzliche In formationen hinzuf gen zu k nnen 5 7 2 ndern des BIND Benutzers Bez glich der Beschr nkung von BINDs Privilegien m ssen Sie beachten dass wenn Sie BIND als nicht root Benutzer laufen lassen BIND neue Netzwerk Schnittstellen nicht automatisch entdecken kann zum Beispiel wenn Sie e
409. waltungs LAN verbunden ist Normalerweise werden alle ben tigten Pakete installiert um Abh ngigkeiten aufzul sen Es kann auch von http www cert org kb acid http acidlab sourceforge net oder http www andrew cmu edu rdanyliw snort heruntergeladen werden Kapitel C Aufsetzen eines autonomen IDS 236 Sie sollten beide Schnittstellen in der Standardkonfigurationsdatei von Debian etc network interfaces einrichten Eine Adresse n mlich die des Verwaltungs LANs soll ten Sie wie gew hnlich einrichten Die andere Schnittstelle muss so konfiguriert werden dass sie aktiviert wird wenn das System startet ihr darf aber keine Interface Adresse zugewiesen sein Eine Konfiguration der Schnittstelle k nnte folgenderma en aussehen auto eth0 iface ethO inet manual up ifconfig SIFACE 0 0 0 0 up up ip link set SIFACE promisc on down ip link set SIFACE promisc off down ifconfig SIFACE down Diese Konfiguration f hrt dazu dass die Schnittstelle den gesamten Netzwerkverkehr heim lich mitliest Damit wird verhindert dass das NIDS in einem feindlichen Netzwerk direkt an gegriffen werden kann da die Sensoren im Netzwerk keine IP Adresse haben Beachten Sie aber dass es im Lauf der Zeit Fehler im Sensorenteil des NIDS gab z B DSA 297 http www debian org security 2003 dsa 297 im Zusammenhang mit Snort und dass Puffer berl ufe auch entfernt durch die Verarbeitung von Netzwerkpaketen ausgel s
410. ware Foundation either version 1 or at your option any later version This program is distributed in the hope that it will be useful D but WITHOUT ANY WARRANTY without even the implied warranty of MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE See the GNU General Public License for more details Please see the file COPYING for the complete copyright notice restore Just in case restore the system if the changes fail echo WARN Restoring to the previous setup since I m unable to properly echo WARN Please check the SINITDERR script mv SINITD SINITDERR cp SINITDBAK SINITD USER named GROUP named INITD etc init d bind DEFAULT etc default bind I I NITDBAK SINITD preuserchange NITDERR SINITD changeerror AWKS awk TI usr sbin ndc reload print stop sleep 2 start no id u ne 0 amp amp echo This program must be run by the root user exit 1 VUN RUNUSER ps eo user fname grep named cut f 1 d if SRUNUSER SUSER then echo WARN The name server running daemon is already running as USER echo ERR This script will not do any changes to your setup exit 1 E if E Sf SINIT then echo ERR This system does not have INITD which this script tries to RUNNING ps eo fname grep named Kapitel E Beispielskript um die Standard Installation von Bi
411. were missing This echo may cause you to miss out on updates to some vulnerable packages fmt echo sed s lt MISSING echo if grep q NOCHECK then allokay false echo The contents of the following files in var lib apt lists could no echo be validated due to the lack of a signed Release file or the lack echo of an appropriate entry in a signed Release file This probably echo means that the maintainers of these sources are slack but may mean echo these sources are being actively used to distribute trojans if am_root then echo The files have been renamed to have the extension FAILED and echo will be ignored by apt cat NOCHECK while read a do Kapitel 7 Die Infrastruktur f r Sicherheit in Debian 160 mv var lib apt lists a var lib apt lists a FAILED done fi fmt echo sed s lt NOCHECK echo if Sallokay then echo Everything seems okay echo rm rf tmp apt release check Sie m ssen vielleicht bei Sid diesen Patch verwenden da md5sum ein an die Summe anf gt wenn die Ausgabe auf stdin erfolgt 37 7 37 7 local LOOKUP 2 Y get_md5sumsize Release LOOKUP y echo SY sed s x s x g y echo SY sed s s s x g if e var lib apt lists FILE then if Y then 55 7 55 7 return Fa X md5sum lt v
412. www cert org koordiniert werden Das hat zur Folge dass notwendige Sicherheitsaktualisierungen blicher weise zur selben Zeit ver ffentlicht werden Damit ist die relative Sicherheit der verschiedenen Distributionen ziemlich hnlich Einer gro en Vorteile von Debian in Hinblick auf die Sicherheit ist die Leichtigkeit von Syste maktualisierungen mit apt Hier sind ein paar andere Aspekte ber die Sicherheit in Debian die Sie ber cksichtigen sollten e Debian bietet mehr Sicherheitswerkzeuge an als andere Distributionen Vergleichen Sie dazu Sicherheitswerkzeuge in Debian auf Seite 163 e Debians Standardinstallation ist kleiner weniger Funktionen und daher sicherer An dere Distributionen tendieren im Namen der Benutzerfreundlichkeit dazu standard m ig viele Dienst zu installieren und manchmal sind diese nicht ordentlich kon figuriert denken Sie an Lion http www sophos com security analyses linuxlion htm oder Ramen http www sophos com security analyses linuxramen htm Debians Installation ist nicht so streng wie OpenBSD dort laufen Daemonen standardm ig nicht aber es ist ein guter Kompromiss e Debian stellt die besten Verfahren zur Sicherheit in Dokumenten wie diesem vor 12 1 2 In Bugtraq gibt es viele Debian Fehler Hei t das dass es sehr gef hrdet ist Die Debian Distribution enth lt eine gro e und wachsende Zahl von Softwarepaketen wahr scheinlich sogar mehr als
413. x Scodel echo x WARNING asked for dist got suitline co fi lynx reload dump url dists dist Release gpg gt dev n wget q O Release gpg S url dists dist Release gpg gpgv status fd 3 Release gpg Release 3 gt amp 1 gt dev null 2 gt amp 1 if Sgpgcode GOODSIG J then if Serr I nn J then echo x Signed by S err key S resti else echo o Signed by rest okay 1 fi err Ww elif Sgpgcode BADSIG then echo x BAD SIGNATURE BY S rest x err Ww elif Sgpgcode ERRSIG then echo COULDN T CHECK SIGNATURE BY KEYID S re err Ww elif Sgpgcode SIGREVOKED then err Serr REVOKED elif Sgpgcode SIGEXPIRED then err Serr EXPIRED Kapitel 7 Die Infrastruktur f r Sicherheit in Debian 158 fi done if Sokay 1 then echo x NO VALID SIGNATURE gt Release fi ET okaycomps for comp in comps do if Sty deb then X checkit echo S baseurl dists S dist comp Y S checkit echo S baseurl dists S dist comp if X SY OK OK then okaycomps Sokaycomps Scomp else echo x PROBLEMS WITH Scomp SX Y fi elif Sty deb src then X checkit echo S baseurl dists S dist comp Y S checkit echo S baseurl dists S dist comp if X SY OK OK then okaycomps Sokaycomps Scomp else ec
414. x memory size open files pipe size stack size cpu time max user processes file size seg size size virtual memory 512 bytes seconds 102400 2048 10000 10000 1024 8192 unlimited 100 unlimited 102400 100000 100000 blocks c kbytes d blocks f kbytes kbytes m n D kbytes s t u kbytes v F r mehr Informationen hierzu lesen Sie 100000 1024 8192 unlimited 2000 unlimited e PAM reference guide for available modules http www kernel org pub linux libs pam Linux PAM html pam 6 html Kapitel 4 Nach der Installation 63 e PAM configuration article http www samag com documents s 1161 sam0009a 0009a htm e Seifried s Securing Linux Step by Step http seifried org security os l1inux 20020324 securing linux step by step html in dem Limiting users overview Abschnitt e LASG http seifried org lasg users in dem Limiting and monitoring users Abschnitt 4 10 3 Aktionen bei der Benutzeranmeldung Editieren von etc login defs Der n chste Schritt ist es die grundlegende Konfiguration und die Aktionen bei User Login zu editieren Beachten Sie dass diese Datei kein Bestandteil der PAM Konfiguration ist Sie ist eine Konfigurationsdatei die von den Programmen login und su ber cksichtigt wird Es ist also wenig sinnvoll sie auf F lle abzustimmen in denen keines der beiden Programme wen
415. y e Added some more information regarding harden X from Stephen van Egmond e Added some new items to the FAQ Kapitel 1 Einleitung 24 1 6 42 Version 1 91 Changes by Javier Fern ndez Sanguino Pe a e Added some forensics information sent by Yotam Rubin e Added information on how to build a honeynet using Debian GNU Linux e Added some more TODOS e Fixed more typos thanks Yotam 1 6 43 Version 1 9 Changes by Javier Fern ndez Sanguino Pefia e Added patch to fix misspellings and some new information contributed by Yotam Ru bin e Added references to other online and offline documentation both in a section see Sei en Sie wachsam gegen ber generellen Sicherheitsproblemen auf Seite 29 by itself and inline in some sections e Added some information on configuring Bind options to restrict access to the DNS server e Added information on how to automatically harden a Debian system regarding the har den package and bastille e Removed some done TODOs and added some new ones 1 6 44 Version 1 8 Changes by Javier Fern ndez Sanguino Pefia e Added the default user group list provided by Joey Hess to the debian security mailing list e Added information on LKM root kits Ladbare Kernel Module LKM auf Seite 189 contributed by Philipe Gaspar e Added information on Proftp contributed by Emmanuel Lacour e Recovered the checklist Appendix from Era Eriksson e Added some new TODO items and re
416. z Puchala see below Ignore ICMP broadcasts net ipv4 icmp_echo_ignore_broadcasts 1 Ignore bogus ICMP errors net ipv4 icmp_ignore_bogus_error_responses 1 Do not accept ICMP redirects prevent MITM attacks net ipv4 conf all accept_redirects 0 LOr Accept ICMP redirects only for gateways listed in our default gateway list enabled by default net ipv4 conf all secure_redirects 1 Do not send ICMP redirects we are not a router net ipv4 conf all send_redirects 0 Do not forward IP packets we are not a router Note Make sure that etc network options has ip_forward no net ipv4 conf all forwarding 0 Enable TCP Syn Cookies Note Make sure that etc network options has syncookies yes net ipv4 tcp_syncookies 1 Log Martian Packets net ipv4 conf all log_martians 1 Turn on Source Address Verification in all interfaces to Kapitel 4 Nach der Installation 89 prevent some spoofing attacks Note Make sure that etc network options has spoofprotect yes net ipv4 conf all rp_filter 1 Do not accept IP source route packets net ipv4 conf all accept_source_route 0 we are not a router Um dieses Skript verwenden zu k nnen m ssen Sie es zuerst unter z B etc network interface secure der Name ist nur ein Beispiel erstellen und es wie folgt aus etc network interfaces aufrufen auto e
417. zu Zum Beispiel sftp aus dem Paket ssh Es gibt auch freie Implementierungen von SSH f r andere Betriebssysteme zum Beispiel put ty http www chiark greenend org uk sgtatham putty oder cygwin http www cygwin com Wenn Sie dennoch einen FTP Server verwalten w hrend Sie den Nutzern Zugriff via SSH ge w hren k nnten Sie auf ein typisches Problem sto en Benutzer die innerhalb eines mit SSH abgesicherten Systems auf einen anonymen FTP Server zugreifen wollen k nnen versuchen sich auf dem FTP Server einzuloggen W hrend der Zugriff verweigert werden wird wird das Passwort trotzdem als Klartext ber das Netz gesendet Um dies zu verhindern hat der ProFTPd Entwickler TJ Saunders einen Patch erstellt der verhindert dass Nutzer den anony men FTP Server mit g ltigen SSH Zugangsdaten f ttern Mehr Informationen und den Patch finden Sie unter ProFTPD Patches http www castaglia org proftpd Patches Dieser Patch wurde auch an Debian gesandt vergleiche Fehler 145669 http bugs debian org 145669 5 4 Zugriff auf das X Window System absichern Heutzutage werden X Terminals in immer mehr Firmen benutzt wo ein Server f r viele Ar beitspl tze ben tigt wird Dies kann gef hrlich sein weil Sie dem Datei Server erlauben m s sen sich mit den X Clients zu verbinden X Server aus Sicht von X X vertauscht die Definition von Client und Server Wenn Sie dem sehr schlechten Vorschlag von vielen Dokumentatio nen folgen
418. zu bringen oder durch Speicher berlauf Attacken auszunutzen Sie k nnten ihn sogar dazu bringen lediglich auf 127 0 0 1 zu h ren wenn Sie den DNS Service nicht f r ein anderes System anbieten wollen Der version bind Eintrag in der chaos class enth lt die Version des derzeit laufenden Bind Prozesses Diese Information wird oft von automatischen Scannern und b sartigen Individu en dazu verwendet herauszufinden ob ein bind f r eine bestimmte Attacke verwundbar ist Indem Sie falsche oder gar keine Informationen im version bind Eintrag zur Verf gung stel len minimieren Sie die Wahrscheinlichkeit dass jemand Ihren Server aufgrund der publizier ten Version attackieren wird Um Ihre eigene Version anzugeben benutzen Sie die Version Direktive in der folgenden Art Kapitel 5 Absichern von Diensten die auf Ihrem System laufen 111 options verschiedene andere Optionen version Nicht verfuegbar Das ndern des version bind Eintrags sch tzt eigentlich nicht gegen Attacken aber Sie k n nen es als sinnvolle Schutzvorrichtung ansehen Eine beispielhafte named conf Konfigurationsdatei k nnte so aussehen acl internal 127 0 0 1 32 localhost 10 0 0 0 8 intern aa bb cc dd eth0 IP acl friendly ee ff gg hh slave DNS aa bb cc dd eth0 IP 127 0 0 1 732 localhost 10 0 0 0 8 intern options directory var cache bind allow query internal allo
419. zu koordinieren Das Sicher heitsteam hat Kontakte zu verschiedenen Organisationen und Individuen und kann das erledigen Wenn die Person die das Problem gemeldet hat darum bittet die Informationen nicht be kanntzugeben sollte das respektiert werden mit der offensichtlichen Ausnahme der Mittei lung an das Sicherheitsteam der Entwickler sollte sichergehen dass er dem Sicherheitsteam mitteilt dass die Informationen nicht bekanntgegeben werden sollen Beachten Sie dass in F llen der Geheimhaltung der Entwickler auch keine Ausbesserung nach Unstable oder sonst irgendwo hin hochladen darf da die nderungs bersicht f r Unstable ffentlich zug nglich ist Es gibt zwei Gr nde um Informationen zu ver ffentlichen selbst wenn um Geheimhalten gebeten wurde oder diese notwendig ist Das Problem ist schon zu lange bekannt oder es wurde ffentlich bekannt Erstellen eines Pakets Wenn ein neues Paket erstellt wird das ein Sicherheitsproblem l st ist die wichtigste Richt linie so wenige nderungen wie m glich vorzunehmen Menschen h ngen von demselben Verhalten einer Ver ffentlichung ab Jede Ver nderung k nnte also das System von jemanden unbenutzbar machen Dies gilt besonders f r Bibliotheken Der Entwickler muss sichergehen dass er niemals die API oder ABI ver ndert egal wie klein die nderungen sind Das bedeutet dass das Verwenden einer neuen Version des Originalprogramms keine gute L sung ist Stattdessen so
420. zur Verf gung gestellt wird Sie m ssen also zuerst ein Paket mit einem Kernel Image von Hand instal lieren Das genaue Kernel Image das Sie installieren sollten h ngt von Ihrer Architektur und Ihrer bevorzugten Kernelversion ab Wenn Sie das einmal erledigt haben k nnen Sie die Si cherheitsaktualisierungen des Kernels wie die jedes anderen Pakets durchf hren Beachten Sie allerdings dass Kernelaktualisierungen nur f r Aktualisierungen der gleichen Kernelversion wie der Ihrigen durchgef hrt werden D h apt wird nicht automatisch Ihren Kernel von 2 4 auf 2 6 aktualisieren oder von 2 4 26 auf 2 4 27 Das Installationssystem von Debian 3 1 wird den gew hlten Kernel 2 4 oder 2 6 als Teil des Paketsystems behandeln Sie k nnen berpr fen welche Kernel Sie installiert haben COLUMNS 150 dpkg 1 kernel imagex awk S1 ii print 0 Das passierte z B beim Upgrade von libc6 2 2 x zu 2 3 x wegen Problemen mit der NSS Authentifizierung siehe http lists debian org debian glibc 2003 debian glibc 200303 msg00276 html 5Es sei denn Sie haben ein Kernel Metapaket wie kernel image 2 4 686 installiert welches immer die neueste Minor Version des Kernels einer Architektur installieren wird Kapitel 4 Nach der Installation 51 Um festzustellen ob Ihr Kernel aktualisiert werden muss f hren Sie Folgendes aus kernfile readlink f vmlinuz kernel dpkg S S kernfile awk F print
Download Pdf Manuals
Related Search
securing debian securing debian securing debian 12 securing debian manual best practices for securing a debian vps