Anleitung zum Absichern von Debian
Contents
1. Kapitel G Chroot Umgebung f r SSH 265 rwxr xr x 1 root root 45386 Jun 3 13 46 pam_unix_passwd so rwxr xr x 1 root root 45386 Jun 3 13 46 pam_unix_session so rwxr xr x 1 root root 9726 Jun 3 13 46 pam_userdb so rwxr xr x 1 root root 6424 Jun 3 13 46 pam_warn so rwxr xr x 1 root root 7460 Jun 3 13 46 pam_wheel so sbin total 3132 drwxr xr x 2 root root 4096 Jun 4 12 35 drwxr xr x 9 root root 4096 Jun 5 10 05 rwxr xr x 1 root root 178256 Jun 3 13 46 choptest rwxr xr x 1 root root 184032 Jun 3 13 46 cqtest rwxr xr x 1 root root 81096 Jun 3 13 46 dialtest rwxr xr x 1 root root 1142128 Jun 4 11 28 ldconfig rwxr xr x 1 root root 2868 Jun 3 13 46 lockname rwxr xr x 1 root root 3340 Jun 3 13 46 ondelay rwxr xr x 1 root root 376796 Jun 3 13 46 pagesend rwxr xr x 1 root root 13950 Jun 3 13 46 probemodem rwxr xr x 1 root root 9234 Jun 3 13 46 recvstats rwxr xr x 1 root root 64480 Jun 3 13 46 sftp server rwxr xr x 1 root root 744412 Jun 3 13 46 sshd rwxr xr x 1 root root 30750 Jun 4 11 46 su rwxr xr x 1 root root 194632 Jun 3 13 46 tagtest rwxr xr x 1 root root 69892 Jun 3 13 46 tsitest rwxr xr x 1 root root 43792 Jun 3 13 46 typetest tmp total 8 drwxr xr x 2 root root 4096 Jun 4 12 32 drwxr xr x 9 root root 4096 Jun2. 14 Jun 4 12 12 libpam so 0 gt libpam so 0 72 31449 Jun 3 13 46 libpam so 0 72 19 Jun 4 12 12 libpam_misc so 0 gt 8125 Jun 3 13 46 libpam_misc so 0 72 15 Jun 4 12 12 libpamc so 0 gt libpamc so 0 72 10499 Jun 3 13 46 libpamc so 0 72 176427 Jun 3 13 46 libreadline so 4 0 44729 Jun 3 13 46 libutil so 1 70254 Jun 3 13 46 libz a 13 Jun 4 12 13 libz so gt libz so 1 1 3 13 Jun 4 IDAS AZ SOs LA AZ SO le 63312 Jun 3 13 46 libz so 1 1 3 4096 Jun 4 12 00 security 4096 Jun 4 12 00 4096 Jun 4 12 13 10067 Jun 3 13 46 pam_access so 8300 Jun 3 13 46 pam_chroot so 14397 Jun 3 13 46 pam_cracklib so 5082 Jun 3 13 46 pam_deny so 13153 Jun 3 13 46 pam_env so 13371 Jun 3 13 46 pam_filter so 7957 Jun 3 13 46 pam_ftp so 12771 Jun 3 13 46 pam_group so 10174 Jun 3 13 46 pam_issue so 9774 Jun 3 13 46 pam_lastlog so 13591 Jun 3 13 46 pam_limits so 11268 Jun 3 13 46 pam_listfile so 1182 Jun 3 13 46 pam_mail so 5923 Jun 3 13 46 pam_nologin so 5460 Jun 3 13 46 pam_permit so 18226 Jun 3 13 46 pam_pwcheck so 12590 Jun 3 13 46 pam_rhosts_auth so 5551 Jun 3 13 46 pam_rootok so 7239 Jun 3 13 46 pam_securetty so 6551 Jun 3 13 46 pam_shells so 55925 Jun 4 12 00 pam_smb_auth so 12678 Jun 3 13 46 pam_stress so 11170 Jun 3 13 46 pam_tally so 124 Jun 3 13 46 pam_time so 45703 Jun 3 13 46 pam_unix so 45703 Jun 3 13 46 pam_unix2 so 45386 Jun 3 13 46 pam_unix_acct so 45386 Jun 3 13 46 pam_unix_auth so
3. Was kann ein Nutzer von Ihrem System sehen Wahrscheinlich ziemlich viele Sachen versu chen Sie mal Folgendes und jetzt tief durchatmen find type f a perm 006 2 gt dev nul find type d a perm 007 2 gt dev nul Was Sie sehen ist eine Liste von allen Dateien die ein Nutzer einsehen kann und die Verzeich nisse auf die er Zugriff hat Begrenzung des Zugangs zu Informationen anderer Nutzer Wenn Sie immer noch Benutzern einen Shellzugang zur Verf gung stellen wollen sollten Sie vielleicht die Informationen begrenzen die man ber anderen Nutzern einholen kann Nut zer mit einer Shell haben die Neigung eine ziemlich gro e Anzahl von Dateien in ihrem Kapitel 4 Nach der Installation 71 HOME zu erstellen Mailboxen pers nliche Daten Konfigurationen f r X GNOME KDE Anwendungen In Debian wird jeder Nutzer mit einer zugeh rigen Gruppe erstellt Verschiedene Nutzer ge h ren dabei nie zur selben Gruppe Folgendes ist das Standardverhalten Wenn ein Benutzer konto angelegt wird wird auch eine Gruppe mit dem gleichen Namen erstellt Dieser Gruppe wird der Nutzer zugewiesen Damit wird die Idee einer allgemeinen users Gruppe berfl ssig die es Nutzern erschweren k nnte Informationen vor anderen Nutzern zu verstecken Allerdings wird das HOME Verzeichnis der Benutzer mit 0755 Rechten lesbar von der Grup pe lesbar von der Welt erstellt Die Rechte F r die Gruppe sind kein
4. Damit dies funktioniert d rfen die Nutzer nur Informationen zur bash_history Datei hin zuf gen Sie m ssen daher zus tzlich die append only Option nur anf gen mittels des Pro gramms chattr f r die bash_history aller Nutzer setzen Beachten Sie dass Sie obige Konfiguration auch in profile des Benutzers eintragen k nnen Dann m ssten Sie aber die Rechte korrekt vergeben so dass der Benutzer daran gehindert ist diese Datei zu ver ndern Dies schlie t ein dass das Home Verzeichnis der Benutzers diesem nicht geh rt sonst k nnte er die Datei einfach l schen Gleichzeitig m sste ihm erm glicht werden die Konfigurationsdatei profile zu lesen und in bash_history zu schreiben 16Wenn HISTSIZE eine sehr gro e Zahl zugewiesen wird kann dies bei einigen Shells zu Problemen f hren da der Verlauf f r jede Sitzung eines Nutzers im Speicher abgelegt wird Sie sind auf der sichereren Seite wenn Sie HISTSIZE auf einen ausreichend gro en Wert setzen und eine Kopie der History Datei des Benutzers anlegen falls Sie aus irgendwelchen Gr nden den ganzen Verlauf von einem Nutzer ben tigen Ohne das Append Only Flag w re es den Nutzern m glich den Inhalt des Verlaufs zu l schen indem sie gt bash_history ausf hren Kapitel 4 Nach der Installation 68 Falls Sie diesen Weg gehen wollen w re es auch gut das immutable Flag unver nderbar f r profile zu setzen auch dazu verwenden Sie chattr Verv
5. Der Angreifer m chte meist gar nicht an die vertraulichen Daten auf dem kompromittierten System herankommen Kapitel 3 Vor und w hrend der Installation 44 Das ist etwas was wahrscheinlich in Ver ffentlichungen nach Sarge verbessert werden wird Um den aktuellen Status dieser Sache zu verfolgen sehen Sie sich Fehler 301273 http bugs debian org cgi bin bugreport cgi bug 301273 und Fehler 301138 http bugs debian org cgi bin bugreport cgi bug 301138 an Wegen eines Fehlers im Installationssystem ist dies nicht geschehen wenn mit dem Installationssystem von Debian 3 0 Woody installiert wird 3 7 1 Entfernen von Perl Sie m ssen bedenken dass es nicht gerade einfach ist Perl von einem Debian System zu entfernen in der Tat kann es ziemlich schwierig werden da es von vielen Dienstprogram men benutzt wird perl base hat au erdem Priority required und das sagt eigentlich schon alles Es ist aber trotzdem machbar Allerdings k nnen Sie auf diesem System keine Perl Anwendung mehr laufen lassen Au erdem m ssen Sie auch das Paket Management System hereinlegen damit es weiterhin denkt dass per1 base installiert ist auch wenn es das nicht mehr ist 7 Welche Dienstprogramme benutzen Per 1 Sie k nnen es selbst herausfinden for i in bin sbin usr bin usr sbin do f Si amp amp type file i grep il perl n type amp amp echo Si done Diese Liste schlie t die fo
6. Do not accept ICMP redirects prevent MITM attacks net ipv4 conf all accept_redirects 0 OT Accept ICMP redirects only for gateways listed in our default gateway list enabled by default net ipv4 conf all secure_redirects 1 FF e e e H Do not send ICMP redirects we are not a router net ipv4 conf all send_redirects 0 Do not forward IP packets we are not a router Note Make sure that etc network options has ip_forward no net ipv4 conf all forwarding 0 Enable TCP Syn Cookies Note Make sure that etc network options has syncookies yes net ipv4 tcp_syncookies 1 Log Martian Packets net ipv4 conf all log_martians 1 Turn on Source Address Verification in all interfaces to prevent some spoofing attacks Note Make sure that etc network options has spoofprotect yes net ipv4 conf all rp_filter 1 Do not accept IP source route packets we are not a router net ipv4 conf all accept_source_route 0 Um dieses Skript verwenden zu k nnen m ssen Sie es zuerst unter z B etc network interface secure der Name ist nur ein Beispiel erstellen und es wie folgt aus etc network interfaces aufrufen auto eth0 iface eth0 inet static address XXX XXX XXX XXX Kapitel 4 Nach der Installation 90 netmask 255 255 255 xxx broadcast XXX XXX XXX XXX gateway XXX XXX XXX XXX pre up etc network interface secure In diesem Beis
7. Kapitel 12 H ufig gestellte Fragen Frequently asked Questions FAQ 213 12 2 Mein System ist angreifbar Sind Sie sich sicher 12 2 1 Der Scanner X zur Einsch tzung der Verwundbarkeit sagt dass mein Debian System verwundbar w re Viele Scanner zur Einsch tzung der Verwundbarkeit liefern falsche Positivmeldungen wenn sie auf Debian Systemen verwendet werden Das liegt daran dass sie nur die Version eines Softwarepakets berpr fen um herauszufinden ob es verwundbar ist Sie pr fen nicht ob tats chlich eine Sicherheitsl cke vorhanden ist Da Debian nicht die Version einer Software ndert wenn ein Paket repariert wird h ufig werden Ausbesserungen an neueren Ver ffent lichungen zur ckportiert neigen einige Werkzeuge dazu zu denken dass ein aktualisiertes Debian System verwundbar ist auch wenn das nicht der Fall ist Wenn Sie denken dass Ihr System auf dem aktuellen Stand der Sicherheitsaktualisierungen ist sollten Sie die Querverweise zu den Datenbanken mit Sicherheitsl cken in denen die DSAs ver ffentlicht sind vergleichen Sie dazu Debian Sicherheits Ank ndigungen auf Seite 138 verwenden um falsche Positive auszusondern wenn das Programm das Sie verwenden CVE Referenzen enth lt 12 2 2 Ich habe in meinen Logfiles einen Angriff gesehen Ist mein System kom promittiert Ein Hinweis auf einen Angriff hei t nicht notwendigerweise dass Ihr System gehackt wurde Leiten Sie die blichen Schr
8. ftp then baseurl url else continue fd echo Source ty url dist comps rm f Release Release gpg lynx reload dump S url dists dist Release gt dev null 2 gt amp 1 wget q O Release url dists dist Release if grep q Release then echo NO TOP LEVEL Release FILE gt Release else origline sed n s Origin p Release head 1 lablline sed n s Label p Release head 1 suitline sed n s Suite p Release head 1 codeline sed n s Codename p Release head 1 dateline grep Date Release head 1 dscrline grep Description Release head 1 echo o Origin origline lablline echo O Suite suitline S codeline echo O dateline echo O dscrline if S dist Ssuitline a S dist Scodel echo H WARNING asked for Sdist got suitline co fi lynx reload dump url dists dist Release gpg gt dev n wget q O Release gpg S url dists S dist Release gpg gpgv status fd 3 Release gpg Release 3 gt amp 1 gt dev null 2 gt amp 1 if Sgpgcode GOODSIG then if Serr then echo Signed by err key S rest Kapitel 7 Die Infrastruktur f r Sicherheit in Debian 158 else echo o Signed by S rest okay 1 fi err elif gpgcode BADSIG then
9. Kapitel 7 Die Infrastruktur f r Sicherheit in Debian 149 San BEGIN PGP SIGNATURE Version GnuPG v1 4 1 GNU Linux iD8DBOBCgKOlnukh8wJbxY8RAsfHAJIhu80GNRAL2MSmP 5 z2RZb6FU8kACEWVEX UBGPVc7 jbHHsg7 8EhMB1V U x609 Release gpg mit Apt berpr fen Wenn Secure Apt eine Release Datei herunterl dt l dt es auch immer die Release gpg Datei herunter Falls dies misslingen sollte oder die Signatur nicht stimmt wird es eine R ck meldung machen und hinweisen dass die Paketdateien auf die die Release Datei verweist und alle darin enthaltenen Pakete von einer nicht vertrauensw rdigen Quelle stammen So w rde dies w hrend apt get update aussehen W GPG error http ftp us debian org testing Release The following signatu couldn t be verified because the public key is not available NO_PUBKEY 0109 Beachten Sie dass die zweite H lfte der langen Nummer die Schl ssel ID des Schl ssels ist von dem Apt nichts wei Im Beispiel ist sie 2D230C5F Falls Sie diese Warnung ignorieren und sp ter versuchen ein Paket zu installieren wird Sie Apt nochmals warnen WARNUNG Die folgenden Pakete k nnen nicht authentifiziert werden libglib perl libgtk2 per Diese Pakete ohne berpr fung installieren 3 N Wenn Sie nun J dr cken haben Sie keine M glichkeit festzustellen ob die Datei die Sie be kommen wirklich diejenige ist die Sie auch installieren m chten oder
10. e Gew hnlich sind Sicherheitsaktualisierungen f r den Unstable Zweig verf gbar wenn der Paketbetreuer ein neues Paket baut und f r den Stable Zweig wenn das Security Team eine neue Version hochl dt und ein DSA ver ffentlicht Beachten Sie dass beides nicht des Testing Zweig ver ndert e Wenn keine neuen Fehler in der Unstable Version des Pakets entdeckt werden wandert es nach ein paar Tagen nach Testing Das dauert normalerweise zehn Tage Es h ngt al lerdings von der Priorit t des Hochladens der Ver nderung ab und davon ob das Paket Kapitel 10 Vor der Kompromittierung 185 von Testing zur ckgehalten wird da Abh ngigkeiten nicht aufgel st werden k nnen Be achten Sie dass wenn das Paket daran gehindert ist nach Testing zu wandern auch die Priorit t des Hochladens daran nichts ndern kann Dieses Verhalten k nnte sich je nach dem Status der Ver ffentlichung der Distribution ver n dern Wenn eine Ver ffentlichung unmittelbar bevorsteht werden auch das Sicherheitsteam oder die Paketbetreuer direkt Aktualisierungen f r Testing zur Verf gung stellen Zus tzlich kann auch das Debian Sicherheits Testing Team https secure testing master debian net Debian Sicherheits Testing Ankiindigungen DTSA f r Pakete im Testing Zweig herausgeben wenn sofort eine L cke in diesem Zweig geschlossen werden muss und die normale Vorgehensweise nicht abgewartet werden kann oder die bliche Vorgehensweise durch andere
11. 10 5 Geniale paranoide Ideen was Sie tun k nnen Dies ist wahrscheinlich der unsicherste und lustigste Abschnitt da ich hoffe dass manche der Wow das klingt verr ckt Ideen umgesetzt werden Im folgenden werden nur ein paar Ideen vorgestellt wie Sie Ihre Sicherheit erh hen k nnen abh ngig von Ihrem Standpunkt aus k nnen Sie sie f r genial paranoid verr ckt oder sicher halten e Mit Pluggable Authentication Modules PAM herum spielen Wie in einem phrack 56 Artikel geschrieben wurde ist das sch ne an PAM dass Ihrer Fantasie keine Grenzen gesetzt sind Das stimmt Stellen Sie sich vor Root kann sich nur mit einen Fingerab druck oder Abtastung des Auges oder einer Kryptokarte einloggen warum habe ich hier nur oder und nicht und gesagt e Faschistisches Logging Ich w rde sagen dass alles was wir bisher ber Logging bespro chen haben unter weiches Loggen f llt Wenn Sie echtes Logging betreiben wollen besorgen Sie sich einen Drucker mit Endlos Papier und schicken ihm alle Logs H rt sich lustig an ist aber zuverl ssig und kann nicht manipuliert oder entfernt werden e CD Distribution Diese Idee ist sehr leicht zu realisieren und bewirkt ganz gute Sicher heit Erstellen Sie eine abgesicherte Debian Distribution mit passenden Firewall Regeln Erstellen Sie davon ein bootbares ISO Image und brennen Sie es auf eine CD ROM Jetzt haben Sie eine nur lesbare Distribution mit etwa 600 MB
12. 222220200 238 D2 Eine Bridge mit Firewall F higkeiten AE cornrne en ae 238 D3 Grundlegende IptablesREEG A EE ocn rara ran 239 E Beispielskript um die Standard Installation von Bind zu ndern 241 INHALTSVERZEICHNIS xi F Schutz der Sicherheitsaktualisierung durch eine Firewall 247 G Chroot Umgebung f r SSH 249 G 1 SSH Benutzer in ein Chroot Gef ngnis einsperren 249 G11 Einsatz von libpam chtoot so gens a8 0 ds Br sa nn 250 al Patthendes ssh Eee nen are ne E 252 G 2 Einsperren des SSH Servers in einem Chroot Gefangnis 254 G 2 1 Einrichten eines minimalen Systems der wirklich leichte Weg 254 G 2 2 Automatisches Erstellen der Umgebung der leichte Weg 255 G 2 3 Die Chroot Umgebung von Hand erstellen der schwierige Weg 260 H Chroot Umgebung f r Apache 267 BL Eee ses Gare A Bir ga a a ne en en A A ERS See 267 Fila Lizenz 2 2 etal Pah a Ba a SG 267 H2 Installation des Servers ege iaa KEE EE A ee d 267 H 3 Weiterf hrende Informationen 272 INHALTSVERZEICHNIS xii Kapitel 1 Einleitung Eines der schwierigsten Dinge beim Schreiben ber Sicherheit ist dass jeder Fall einzigartig ist Sie m ssen zwei Dinge beachten Die Gefahr aus der Umgebung und das Bed rfnis an Sicherheit Ihrer Seite Ihres Hosts oder Ihres Netzwerkes So unterscheiden sich zum Beispiel die Sicherheitsbed rfnisse eines Heimanwenders komplett von den Sicherheitsbed r
13. u un sur WE EN Ee u 35 oe Parlifionieren des Systems A u 0 4 ww Ewa sn sa et ONES een 35 32 1 W hlen Sie emesinnvolle Partitionierung i so sae EE ces 35 3 3 Gehen Sie nicht ins Internet bevor Sie nicht bereit sind 37 34 Setzen Sie ein Passwort f rtonf o ccc ho rn an ee E 38 3 5 Aktivieren Sie Shadow Passworter und MD5 Passw rter 38 3 6 Lassen Sie so wenige Dienste wie m glich laufen ak a ur ed a a 39 361 Daemonsabschalten e a 6204 bose ee aa 40 3 6 2 Abschalten von inetd oder seinen Diensten 41 3 7 Installieren Sie m glichst wenig Software 2 2222 oo ee 42 SE Entiemenyvyon Perl ce dar AO BO 44 38 Lesen Sie Debians Sicherheis Mallinglisten 2 2 606s eae eke ee ee es 46 Nach der Installation 47 4 1 Abonnement der Security Announce Mailingliste von Debian 47 4 2 Ausf hren von Sicherheisupdals cia ew be Me eR RR taraka 48 4 2 1 Sicherheitsaktualisierungen von Bibliotheken 49 422 Sicherheitsaktualisierung des Kernels 22 us u EN NEEN es 50 4 3 nderungen im BIOS noch einmal 2 22 64 be ee ee HE es 51 INHALTSVERZEICHNIS iv 4 4 4 5 4 6 4 7 4 8 4 9 4 10 4 11 4 12 4 13 Ein Passwort f r LILO oder GRUB einstellen 51 Entfernen des Root Prompts von Initramfs a 1 u HR ee A e 52 Entfernen des Root Promptes aus dem Kernel 2 eevee 0 eee es 53 Booten von Diskette verbieten 2 eee h
14. AP oder eine SQL Datenbank ein Installieren Sie einfach die gew nschte PAM Bibliothek libpam radius auth libpam 1dap libpam pgsql oder libpam mysq1l lesen Sie die Dokumentation Einsteiger sehen bitte unter Nutzerauthentifizierung PAM auf Seite 58 nach und konfigurieren Sie den PAM nutzenden Dienst so dass er Ihren Backend benutzt Bearbeiten Sie dazu die dem Dienst entsprechenden Dateien unter etc pam d und ndern die folgenden Zeile von auth required pam_unix_auth so shadow nullok use_first_pass beispielsweise f r ldap zu auth required pam_ldap so Im Fall von LDAP Verzeichnissen liefern manche Dienste LDAP Schemata mit die Sie Ihrem Verzeichnis hinzuf gen k nnen um eine LDAP Authentifizierung zu benutzen Wenn Sie rela tionale Datenbanken benutzen gibt es einen n tzlichen Trick Benutzen Sie die Klausel where wenn Sie die PAM Module konfigurieren Wenn Sie beispielsweise eine Datenbank mit der folgenden Tabelle haben user_id user_name realname shell password uid gid homedir sys pop imap ftp Wenn Sie die Attribute der Dienste zu Boolean Feldern machen k nnen Sie sie verwenden um den Zugang zu den verschiedenen Diensten zu erlauben oder zu verbieten Sie m ssen dazu nur die geeigneten Zeilen in folgende Dateien einf gen e etc pam d imap where imap 1 e etc pam d qpopper where pop 1 e etc nss mysql conf users where_clause user sys Liz e etc proftpd conf SQLWhereClause ftp 1
15. Emmanuel Lacour bietet ssh Pakete als Debs mit diesen F higkeiten f r Sarge an Sie sind unter http debian home dn net sarge ssh verf gbar Beachten Sie aber dass sie nicht aktuell sein m ssen daher wird empfohlen den Weg der Kompilierung zu gehen Eine Beschreibung der notwendigen Schritte finden Sie unter http mail incredimail com howto openssh so ziemlich alles dort trifft auch auf Debian zu auch wenn von Red Hat 7 3 die Rede ist Nachdem Sie den Patch angewendet haben m ssen Sie etc passwd anpassen und darin das Home Verzeichnis der Benutzer ndern mit dem speziellen K r zel joeuser x 1099 1099 Joe Random User home joe bin bash Dies wird sowohl den Fernzugriff auf die Shell als auch Fernkopien ber den ssh Kanal ein schr nken Gehen Sie sicher dass Sie alle ben tigten Programme und Bibliotheken in den Chroot Pfaden der Benutzer haben Diese Dateien sollten Root als Eigent mer haben um Manipulationen durch den Benutzer zu verhindern zum Beispiel um das chroot Gef ngnis zu verlassen Ein Beispiel k nnte so aussehen kin total 660 drwxr xr x 2 root root 4096 Mar 18 13 36 drwxr xr x 8 guest guest 4096 Mar 15 16 53 r xr xr X 1 root root 531160 Feb 6 22 36 bash r xr xr X 1 root root 43916 Nov 29 13 19 1s r xr xr X 1 root root 16684 Nov 29 13 19 mkdir LWXr Xr X 1 root root 23960 Mar 18 13 36 more r xr xr xX 1 root root 9916 Jul 26
16. Hier ist eine beispielhafte fetchmailrc um dies zu zeigen poll mein imap mailserver org via localhost with proto IMAP port 1236 user ref there with password hackmich is alex here warnings 3600 folders Mail debian preconnect ssh f P C L 1236 my imap mailserver org 143 1 ref mein imap mailserver org sleep 15 lt dev null gt dev null Die wichtige Zeile ist die preconnect Zeile Sie startet eine SSH Verbindung und erstellt den notwendigen Tunnel durch den automatisch alle Verbindungen zum lokalen Port 1236 ver schl sselt an den IMAP Mail Server weitergeleitet werden Eine andere M glichkeit w re es fetchmail mit SSL Unterst tzung zu benutzen Wenn Sie verschl sselte Mail Dienste wie POP oder IMAP anbieten m chten apt get install stunnel und starten Sie Ihren Daemon auf diese Weise stunnel p etc ssl certs stunnel pem d pop3s 1 usr sbin popd Dieses Kommando umh llt den angegebenen Daemon CJ an den Port d und nutzt ein be stimmtes SSL Zertifikat p 5 7 Sichern von BIND Es gibt verschiedene Dinge mit denen Sie sich auseinander setzen sollten um einen Domain Server Daemon abzusichern die hnlich zu den berlegungen sind wie man einen anderen Dienst absichert Konfigurieren Sie den Daemon selbst so dass er von au en nicht missbraucht werden kann siehe auch Bind Konfiguration um Missbrauch zu verhindern auf der n chsten Seite Dies schlie t das Einschr nken
17. Oder noch besser legen Sie diese Daten auf einem nicht beschreibbares Medium ab Lesen Sie dazu die Ausf hrungen weiter unten Im Falle eines Mailservers ist es wichtig eine separate Partition f r die Mail Warteschlange mail spool anzulegen Nicht Lokale Nutzer k nnen wissentlich oder unwissentlich diese Verzeichnisse var mail oder var spool mail berf llen Liegt dieses Verzeichnis auf einer separaten Partition w rde dies das System nicht sofort unbenutzbar machen Anderen falls wenn das Verzeichnis auch auf der var Partition liegt hat das System ein gro es Pro blem Protokoll Eintr ge logs k nnen nicht erstellt werden Pakete k nnen nicht installiert werden und es k nnten sogar ein paar Programme Probleme mit dem Starten haben wenn Sie var run benutzen Au erdem sollten Sie f r Partitionen deren Platzbedarf Sie noch nicht absch tzen k nnen den Logical Volume Manager 1vm common und die ben tigten ausf hrbaren Programme entwe der 1vm10 oder 1vm2 installieren Durch Benutzen von 1vm k nnen Sie Datentr ger Gruppen erstellen die ber mehrere Festplatten verteilt sind Auswahl eines passenden Dateisystems W hrend der Partitionierung des Systems m ssen Sie sich ebenfalls entscheiden welche Dateisysteme Sie benutzen m chten Als Standard Dateisystem wird w hrend der Installa Eigentlich ist das so nicht ganz richtig da immer etwas Platz f r Root reserviert wird den ein normaler Nutzer nicht
18. Zone die ich selbst hinzugef gt habe zone meineseite bogus type master file etc bind named meineseite allow query any allow transfer friendly y Bitte pr fen Sie erneut die Debian Fehler Datenbank BTS bez glich Bind insbesondere Bug 94760 regarding ACLs on zone transfers http bugs debian org 94760 F hlen Sie sich ruhig dazu ermutigt zu diesem Bugreport beizutragen wenn Sie glauben n tzliche In formationen hinzuf gen zu k nnen 5 7 2 ndern des BIND Benutzers Bez glich der Beschr nkung von BINDs Privilegien m ssen Sie beachten dass wenn Sie BIND als nicht root Benutzer laufen lassen BIND neue Netzwerk Schnittstellen nicht automatisch entdecken kann zum Beispiel wenn Sie eine PCMCIA Karte in Ihr Notebook stecken Le sen Sie die Datei README Debian in Ihrer named Dokumentation usr share doc bind README Debian f r mehr Informationen hierzu Es gab in letzter Zeit viele Sicherheitspro bleme mit BIND so dass es n tzlich ist den Benutzer zu wechseln wenn es m glich ist Wir werden die Schritte die dazu n tig sind detailliert auff hren Wenn Sie dies automatisch ma chen lassen wollen k nnen Sie das Skript in Beispielskript um die Standard Installation von Bind zu ndern auf Seite 241 ausprobieren Um BIND unter einem anderen Benutzer laufen zu lassen m ssen Sie zun chst einen separa ten Benutzer und eine separate Gruppe daf r erstellen es ist keine
19. auf Seite 29 f r weitere allgemeinere Verweise zu Firewalls Ein weiterer guter Leitfaden f r Iptables ist http iptables tutorial frozentux net iptables tutorial html Nutzen von Firewall Paketen Das manuelle Aufsetzen einer Firewall kann f r neue und manchmal auch f r erfahrene Ad ministratoren kompliziert sein Hierf r hat die Freie Software Gemeinschaft eine gro e Zahl von Werkzeugen erstellt die zur einfachen Konfiguration einer lokalen Firewall benutzt wer den k nnen Seien Sie gewarnt dass einige dieser Werkzeuge sich mehr auf lokalen Schutz konzentrieren auch personal firewall genannt w hrend andere vielseitiger sind und dazu be nutzt werden k nnen komplexere Regelwerke zum Schutz ganzer Netzwerke zu erstellen Einige Programme die unter Debian zum Aufsetzen von Firewall Regeln benutzt werden k n nen sind e firestarter eine GNOME Anwendung die sich an Endanwender richtet die einen Wizard enth lt der n tzlich ist um schnell Firewall Regeln aufzustellen Die Anwen dung enth lt eine graphische Oberfl che zum Beobachten ob eine Firewall Regel Daten blockiert Kapitel 5 Absichern von Diensten die auf Ihrem System laufen 125 e fwbuilder eine objektorientierte graphische Oberfl che die Richtlinien Compiler f r verschiedene Firewall Plattformen inklusive Linux netfilter BSDs pf verwendet in OpenBSD NetBSD FreeBSD und MacOS X ebenso wie Zugriffslisten von Routern ent h lt Es ist
20. deren System herunterladen k nnen oder security debian org zu lokalen Zwecken spiegeln k nnen m ssen Sie sich mit dem Internet verbinden um die Pakete herunterzuladen Wenn Sie sich jedoch mit dem Internet verbinden setzen Sie Ihr System einer Gefahr aus Wenn einer Ihrer lokalen Dienste angreifbar ist k nnten Sie kompromittiert sein noch bevor die Ak tualisierung beendet ist Sie m gen dies paranoid finden aber eine Analyse vom Honeynet Project http www honeynet org zeigt tats chlich dass ein System in weniger als drei Tagen kompromittiert werden kann sogar wenn das System gar nicht der ffentlichkeit be kannt ist d h nicht in DNS Eintr gen auftaucht Wenn Sie eine Aktualisierung Ihres Systems durchf hren das nicht von einem externen Sys tem z B einer Firewall gesch tzt ist k nnen Sie trotzdem eine lokale Firewall so konfigu rieren dass Sie nur die Sicherheitsaktualisierung selbst erlaubt Das Beispiel unten zeigt wie die lokalen Firewall F higkeiten aufgesetzt werden m ssen um ein eingeschr nktes Setup zu erreichen in dem nur Verbindungen zu security debian org erlaubt werden w hrend der Rest geloggt wird FIXME add IP address for security debian org since otherwise you need DNS up to work on etc hosts FIXME test this setup to see if it works properly FIXME this will only work with HTTP URLs since ftp might need the ip_conntrack_ftp mo dule or use passive mode iptables F iptabl
21. dpkg S S kernfile awk F print 1 apt cache policy kernel rnel image 2 4 27 2 686 Installed 2 4 27 9 Candidate 2 4 27 9 Version Table 2 4 27 9 0 A wm nm Mm Wenn Sie eine Sicherheitsaktualisierung durchf hren die auch das Kernel Image umfasst miissen Sie das System neu starten damit die Sicherheitsaktualisierung Wirkung zeigen kann Anderenfalls lassen Sie immer noch das alte und verwundbare Kernel Image laufen Es sei denn Sie haben ein Kernel Metapaket wie kernel image 2 4 686 installiert welches immer die neueste Minor Version des Kernels einer Architektur installieren wird Kapitel 4 Nach der Installation 51 Wenn Sie das System neu starten m ssen wegen eines Kernel Upgrades sollten Sie si cherstellen dass der Kernel fehlerfrei booten wird und die Netzwerkverbindungen her gestellt werden besonders wenn die Sicherheitsaktualisierung ber eine entfernte Verbin dung wie mit ssh durchgef hrt wird F r den ersten Fall k nnen Sie Ihren Boot Loader so konfigurieren dass er den Originalkernel l dt wenn ein Fehler auftritt f r weiterf h rende Informationen sollten Sie Remotely rebooting Debian GNU Linux machines http www debian administration org article 70 lesen Im zweiten Fall m ssen Sie ein Skript verwenden das die Netzwerkverbindungen testen kann und berpr ft ob der Ker nel das Netzwerksystem korrekt gestartet hat und wenn das nicht geschehen
22. Computer and Emergency Response Team ist eine Organisation die Ihnen helfen kann Ihr System nach einem Einbruch wiederherzustellen Es gibt CERTs weltweit 3 Sie soll ten mit dem lokalen CERT Verbindung aufnehmen wenn sich ein sicherheitsrelevanter Vorfall ereignet hat der zu einem Einbruch in Ihr System gef hrt hat Die Menschen in der lokalen CERT k nnen Ihnen helfen Ihr System wiederherzustellen Selbst wenn Sie keine Hilfe ben tigen kann es anderen helfen wenn Sie dem lokalen CERT oder dem Koordinationszentrum des CERTs Informationen des Einbruchs zur Verf gung stellen Die gesammelten Informationen von gemeldeten Vorf llen werden verwendet um herauszufinden ob eine bestimmte Verwundbarkeit weit verbreitet ist ob sich ein neuer Wurm ausbreitet oder welche neuen Angriffswerkzeuge eingesetzt werden Diese Informa tionen werden benutzt um die Internet Gemeinschaft mit Informationen ber die aktuellen Sicherheitsvorkommnisse http www cert org current zu versorgen und um Hin weise zu Vorf llen http www cert org incident_notes und sogar Anweisungen http www cert org advisories zu ver ffentlichen Ausf hrliche Informationen wie und warum ein Vorfall gemeldet wird k nnen Sie auf CERT s Incident Reporting Gui delines http www cert org tech_tips incident_reporting html nachlesen Sie k nnen auch weniger formale Einrichtungen verwenden wenn Sie Hilfe brauchen um Ihr System wiederherzustellen oder wen
23. MYARG 2 perl ne f split st if S f 3 print Sf 1 f 2 n exit 0 checkit local FILE 1 local LOOKUP 2 get_md5sumsize Release SLOOKUP echo SY sed s s g if e var lib apt lists SFILE then if SY then No file but not needed anyway echo OK return ft echo SFILE gt gt MISSING echo MISSING y return fi Lf TSY u 7 then echo SFILE gt gt NOCHECK echo NOCHECK return fi md5sum lt var lib apt lists FILE cut qd apt lists FILE echo SX sed fad s Zorn if Sx ls SY then echo SFILE gt gt BAD echo BAD return ET echo SFILE gt gt OK echo OK echo echo Checking sources in etc apt sources list echo aaa a aiaia m m ARR NR RR ANNAN NNN AN nn echo eq SENV MYARG Ed 3 we c lt var l echo You should take care to ensure that the distributions you re downloadi echo are the ones you think you are downloading and that they are as up to echo date as you would expect testing and unstable should be no more than Kapitel 7 Die Infrastruktur f r Sicherheit in Debian 157 echo two or three days out of date stable updates no more than a few weeks echo or a month fmt echo cat etc apt sources list Sed keier Ei Jee AAE A while read ty url dist comps do if S url http o S urlS
24. berlegen seinen Einfluss auf die Stable Ver ffentlichung von Debian z B ob es verwundbar ist oder nicht Wenn unser System verwundbar ist arbeiten wir an ei ner Problembehebung Der Paketbetreuer wird ebenfalls kontaktiert wenn dieser nicht bereits Kapitel 12 H ufig gestellte Fragen Frequently asked Questions FAQ 218 selbst das Sicherheits Team kontaktiert hat Schlussendlich wird die Behebung des Problems getestet und neue Pakete vorbereitet die dann auf allen Stable Architekturen bersetzt und anschlie end hochgeladen wird Nachdem das alles geschehen ist wird eine Anweisung ver ffentlicht 12 3 4 Wieso spielen Sie mit einer alten Version des Pakets herum Die wichtigste Regel beim Erstellen eines neuen Pakets das ein Sicherheitsproblem behebt ist so wenig nderungen wie m glich vorzunehmen Unsere Benutzer und Entwickler vertrauen auf das genaue Verhalten einer Ver ffentlichung nach dessen Freigabe Daher kann jede n derung die wir durchf hren m glicherweise das System von jemandem zerst ren Dies gilt insbesondere f r Bibliotheken Es muss darauf geachtet werden dass sich das Anwendungs Programm Interface API oder Anwendungs Bin r Interface ABI niemals ndert egal wie klein die nderung ist Dies bedeutet dass das Umsteigen auf eine neue Version der Originalprogramms keine gute L sung ist und stattdessen die relevanten nderungen zur ckportiert werden sollten bli cherweise sind die Betre
25. der laufenden Dienste ziemlich gering Und die Anzahl der Dienste die im Netzwerk ange boten werden ist noch niedriger In einer Standardinstallation von Debian 3 1 werden Sie mit OpenSSH Exim abh ngig davon wie Sie ihn konfiguriert haben und dem RPC Portmapper als Netzwerkdienste auskommen Der RPC Portmapper ist standardm ig installiert da er f r viele Dienste wie zum Beispiel NFS ben tigt wird Er kann allerdings sehr leicht entfernt werden Weitere Informationen wie Sie RPC Dienste absichern oder abschalten finden Sie un ter Sichern von RPC Diensten auf Seite 120 Wenn Sie einen neuen Netzwerkdienst Daemon auf Ihrem Debian GNU Linux System in stallieren kann er auf zwei Arten gestartet werden durch den inet d Superdaemon d h eine Zeile wird zu der etc inetd conf hinzugef gt oder durch ein eigenst ndiges Programm dass sich selbst an die Netzwerkschnittstelle bindet Eigenst ndige Programme werden durch etc init d gesteuert Sie werden beim Hochfahren durch den Sys V Mechanismus gestar tet der die symbolischen Links in etc rc d benutzt Mehr Informationen dazu finden Siein usr share doc sysvinit README runlevels gz 3Die Zahl war bei Debian 3 0 und davor nicht so niedrig da einige inetd Dienste standardm ig aktiviert wa ren Au erdem war in Debian 2 2 der NFS Server wie auch der Telnet Server Bestandteil der Standardinstallation Kapitel 3 Vor und w hrend der Installation 40 Wenn S
26. echo H BAD SIGNATURE BY rest err elif gpgcode ERRSIG then echo H COULDN T CHECK SIGNATURE BY KEYID S re err elif Sgpgcode SIGREVOKED then err Serr REVOKED elif Sgpgcode SIGEXPIRED then err Serr EXPIRED fi done if Sokay 1 then echo NO VALID SIGNATURE gt Release fi fi okaycomps for comp in Scomps do if Sty deb then X checkit echo S baseurl dists S dist S comp Y checkit echo baseurl dists dist S comp if X Y OK OK then okaycomps Sokaycomps comp else echo PROBLEMS WITH Scomp SX SY fi elif Sty deb src then X checkit echo baseurl dists dist comp Y checkit echo baseurl dists dist comp if X Y OK OK then okaycomps okaycomps comp else echo PROBLEMS WITH component comp X fi EJ done Sokaycomps echo o Okay okaycomps echo done Kapitel 7 Die Infrastruktur f r Sicherheit in Debian 159 echo Results SENO Armeen echo allokay true cd tmp apt release check diff lt cat BAD MISSING NOCHECK OK sort lt cd var lib apt lists amp amp find cd tmp apt release check if grep q UNVALIDATED then fi allokay false echo The following files in var lib apt lists have not been validated echo This could turn out to be a harmless indication that this scri
27. eine Vorlage einer Anweisung erstellt die das Sicherheitsteam fertig stellen kann und wahlweise die Pakete zu den vorgeschlagenen Aktualisierungen weiterleitet so dass sie sobald wie m glich in die echten Archive eingef gt werden k nnen Dieser Ablauf der fr her per Hand durchgef hrt wurde wurde w hrend des Freezing Abschnitts von Debian 3 0 Woody Juli 2002 getestet und umgesetzt Dank dieser Infrastruk tur war es dem Sicherheitsteam m glich aktualisierte Pakete f r Apache und OpenSSH Probleme f r alle unterst tzen Architekturen fast 20 in weniger als einem Tag bereitzustellen 7 3 1 Leitfaden ber Sicherheitsaktualisierungen f r Entwickler Diese Mail wurde von Wichert Akkerman an die Mailingliste debian devel announce http lists debian org debian devel announce 2002 debian devel announce 200206 msg00004 html geschickt um zu beschreiben wie Entwickler von Debian Sicherheitsprobleme in ihren Paketen handhaben Sie wird hier ver ffentlicht sowohl um Entwicklern zu helfen als auch um Nutzern zu verdeutlichen wie mit Sicherheit in Debian umgegangen wird FIXME Beachten Sie dass die aktuelle Referenz f r diese Informationen die Debian Entwicklerreferenz http www debian org doc manuals developers reference ch pkgs s bug security ist und dieser Abschnitt dem n chst entfernt wird Zusammenarbeit mit dem Sicherheitsteam Wenn ein Entwickler von einem Sicherheitsproblem erf hrt egal ob i
28. etc pam d hinzuf gen die Zugriff auf Ihre Maschine gew hren wie zum Beispiel login und ssh Gehen Sie sicher dass Sie libpam cracklib zuerst installiert haben sonst werden Sie sich nicht einloggen k nnen password required pam_cracklib so retry 3 minlen 12 difok 3 password required pam_unix so use_authtok nullok md5 Also was macht diese Beschw rungsformel nun genau Die erste Zeile l dt das cracklib PAM Modul welches einen Passwort Sicherheitscheck bereitstellt Es fragt nach einem neuen Pass wort mit mindestens 12 Zeichen einer Differenz von mindestens 3 Zeichen zum alten Pass wort und erlaubt 3 Versuche Cracklib ben tigt ein Paket mit W rterlisten wie wngerman wenglish wspanish Stellen Sie also sicher dass Sie ein passendes Paket f r Ihre Spra che installiert haben Ansonsten ist cracklib nicht verwendbar 7 Die zweite Zeile f hrt das Standardauthentifizierungsmodul mit MD5 Passw rtern aus und erlaubt Passw rter mit ei ner L nge von Null Die use_authtok Anweisung ist notwendig um das Passwort von dem vorherigen Modul bergeben zu bekommen Um sicher zu stellen dass sich der Benutzer root nur von lokalen Terminals einloggen kann sollten Sie die folgende Zeile in etc pam d login eingef gt werden auth requisite pam_securetty so Danach sollten die Liste der Terminal in etc securetty ndern auf denen sich Root un mittelbar anmelden darf Alternativ dazu k nnen Sie auch das pam_access
29. ffentlicht werden k nnen und daher wird tempor r eine oder mehrere Anweisungen der Nummer nach ausgelassen Kapitel 12 H ufig gestellte Fragen Frequently asked Questions FAQ 220 12 3 11 Wie kann ich das Sicherheitsteam erreichen Sicherheitsinformationen k nnen an security debian org mailto security debian org geschickt werden damit sie von allen Debian Entwicklern gelesen werden Wenn Sie sensible Informationen haben benutzen Sie bitte team security debian org mailto team security debian org die nur vom Sicherheitsteam gelesen wird Wenn Sie es w nschen kann die E Mail auch mit dem Kontaktschl ssel von Debian Security Key ID 0x363CCD95 http pgpkeys pca dfn de 11371 pks lookup search 0x363CCD950p vindex verschl sselt werden 12 3 12 Was ist der Unterschied zwischen security debian org und debian security lists debian org Wenn Sie eine Nachricht an security debian org schicken wird diese an die Developer Mailingliste geschickt debian private die alle Entwickler von Debian abonniert haben Nach richten an diese Liste werden vertraulich behandelt d h sie werden nicht auf einer ffentlichen Webseite archiviert debian security lists debian org ist eine ffentliche Mail Liste offen f r jeden der Sie abonnieren http www de debian org MailingLists m chte und es gibt hier http lists debian org search html ein durchsuchbares Archiv 12 3 13 Wie kann ich das Debian Sicherheitsteam unterst
30. hnlich zu Enterprise Firewall Management Software Die vollst ndige Funk tionalit t von fwbuilder ist auch von der Kommandozeile verf gbar e shorewall ein Firewall Konfigurationswerkzeug das Unterst tzung f r IPsec sowie beschr nkte Unterst tzung f r Traffic Shaping und die Definition der Firewall Regeln bietet Die Konfiguration geschieht durch eine einfache Menge von Dateien die verwen det werden um die iptables Regeln aufzustellen e guarddog ein KDE basiertes Firewall Konfigurations Paket das sich an Anf nger wie auch an fortgeschrittene Benutzer richtet e knetfilter eine KDE Oberfl che zur Verwaltung von Firewall und NAT Regeln f r iptables Alternative Konkurrent zum guarddog Werkzeug obwohl es sich leicht an fortgeschrittene Benutzer richtet e bastille diese H rtungsanwendung ist in Automatisches Abh rten von Debian Systemen auf Seite 133 beschrieben Einer der H rtungsschritte die der Administrator konfigurieren kann ist eine Definition des erlaubten und verbotenen Netzwerkverkehrs der verwendet wird eine Anzahl von Firewall Regeln die das System am Start ausf hrt zu generieren Es gibt in Debian auch noch eine Menge anderer Frontends f r Iptables Eine vollst ndige Lis te kann auf der Firewall Seite des Debian Wikis http wiki debian org Firewalls die auch einen Vergleich der verschiedenen Pakete enth lt abgerufen werden Seien Sie gewarnt dass manche der zuvor skizzierten Pake
31. http www tldp org HOWTO Firewall HOWTO html und das IPCHAINS HOWTO http www tldp org HOWTO IPCHAINS HOWTO html bei Kerneln vor Version 2 4 lesen e Schlie lich ist die Linux Security ReferenceCard http www linuxsecurity com docs QuickRefCard pdf eine gute Kurz bersicht um in Sachen Sicherheit auf dem aktuellen Stand zu bleiben In jedem Fall gibt es mehr Informationen ber die hier behandelten Dienste NFS NIS SMB in den vielen HOWTOs die Sie beim Linux Dokumentations Projekt http www tldp org finden Manche dieser Dokumente gehen auf die Sicherheitsaspekte von be stimmten Diensten ein Gehen Sie sicher dass Sie auch hierauf einen Blick werfen Die HOWTO Dokumente des Linux Dokumentations Projektes sind unter Debian GNU Linux durch Installation der Pakete doc linux text englische Text Version oder doc 1inux de HTML Version verf gbar Nach der Installation sind diese Dokumente in den Verzeichnissen usr share doc HOWTO en txt beziehungsweise usr share doc HOWTO de html vorhanden Andere empfohlene Linux B cher e Maximum Linux Security A Hacker s Guide to Protecting Your Linux Server and Net work Anonymous Paperback 829 pages Sams Publishing ISBN 0672313413 July 1999 e Linux Security By John S Flowers New Riders ISBN 0735700354 March 1999 e Hacking Linux Exposed http www linux org books ISBN_0072127732 htm1 By Brian Hatch McGraw Hill Higher Education ISBN 0072127732 April
32. kers http www coker com au selinux SElinux Webseiten finden Der Exec Shield Patch http people redhat com mingo exec shield aus dem Paket kernel patch exec shield Dieser Patch sch tzt vor einigen Puffer berl ufen stack smashing attacks Der Grsecurity Patch http www grsecurity net aus den Paketen kernel patch 2 4 grsecurity und kernel patch grsecurity2 a verwirklicht Mandatory Access Control durch RBAC und stellt Schutz vor Puffer berl ufen durch PaX ACLs Zuf lligkeit im Netzwerk um die Er kennung von Spuren des OS zu erschweren und noch viele Features mehr http www grsecurity net features php zur Verf gung kernel patch adamantix bietet die Patches an die f r die Debian Distribution Ada mantix http www adamantix org entwickelt wurden Dieser Patch f r den Kernel 2 4 x f hrt einige Sicherheitsf higkeiten wie nichtausf hrbaren Speicher durch den Einsatz von Dax http pageexec virtualave net und Mandatory Ac cess Control auf Grundlage von RSBAC http www rsbac org ein Andere Fea tures sind der Random PID Patch http www vanheusden com Linux sp ein mit AES verschl sseltes Loop Ger t Unterst tzung von MPPE und eine Zur ckportie rung von IPSEC v2 6 cryptoloop source Dieser Patch erlaubt Ihnen die F higkeiten der Crypto API des Kernels zu verwenden um verschl sselte Dateisysteme mit dem Loopback Ger t zu er stellen Kernel Unterst tzung von IPSEC im Paket
33. nizierenden Prozessen und anderen M glichkeiten mit denen Root kompromittiert werden k nnte Dieses Paket umfasst neue debianspezifische Sicherheitstests einschlie lich der MD5 Summen von installierten Programmen des Orts von Dateien die zu keinem Paket geh ren und einer Analyse von lokalen lauschenden Prozessen Die Standardinstallation l sst tiger einmal am Tag laufen und einen Bericht erstellen der an den Superuser geschickt wird und Informationen zu m glichen Kompromittierungen enth lt Programme zur Protokollanalyse wie zum Beispiel logcheck k nnen zus tzliche benutzt werden um Einbruchsversuche zu erkennen Siehe Nutzung und Anpassung von logcheck auf Seite 75 Daneben k nnen Pakete die die Integrit t des Dateisystems berwachen siehe Pr fung der Integrit t des Dateisystems auf Seite 85 sehr n tzlich sein um Anomalien in einer abgesi cherten Umgebung zu erkennen Ein erfolgreicher Einbruch wird h chstwahrscheinlich Datei en auf dem lokalen Dateisystem ver ndern um die lokalen Sicherheitsregelungen zu umge hen Trojaner zu installieren oder Nutzer zu erstellen Solche Ereignisse k nnen mit Pr fwerk zeugen der Dateisystemintegrit t erkannt werden 10 4 Vermeiden von Root Kits 10 4 1 Ladbare Kernel Module LKM Ladbare Kernel Module sind Dateien die nachladbare Teile des Kernels enthalten Sie werden dazu verwendet die Funktionalit t des Kernel zu erweitern Der Hauptnutzen des Einsatzes
34. sort u sed s libwrap0 s space Beachten Sie hier die Schreibweise da spawn nicht funktionieren wird Kapitel 4 Nach der Installation 75 konfiguriert und zu 99 sicher Wenn ein Angriff unter dieses 1 f llt und es keine Sicher heitsma nahmen gibt dies erstens zu erkennen und zweitens einen Alarm auszul sen so ist das System berhaupt nicht sicher Debian GNU Linux stellt Werkzeuge zur Verf gung die die Analyse von Log Dateien ber nehmen Am beachtenswertesten sind swat ch Y Logcheck oder loganalysis alle Pakete werden ein wenig Anpassung ben tigen um unn tige Dinge aus den Reports zu entfernen Wenn sich das System in Ihrer N he befindet k nnte es n tzlich sein das System Log auf ei ner virtuellen Konsole auszugeben Die ist n tzlich da Sie so auch von weiter weg oder im Vorbeigehen sehen k nnen ob sich das System richtig verh lt Debians etc syslog conf wird mit einer auskommentierten Standardkonfiguration ausgeliefert Um diese Ausgabe ein zuschalten entfernen Sie die Kommentarzeichen vor den entsprechenden Zeilen und starten syslog neu etc init d syslogd restart daemon mail news crit news err news notice debug info notice warn dev tty8 Um die Logs farbig zu gestalten sollten einen Blick auf colorize ccze oder glark werfen Es gibt da noch eine Menge ber die Analyse von Logs zusagen das hier nicht behandelt werden kann Eine gute Quelle
35. system ingroup SSERVER_GROUP Y no create home disabled password SSERVER_USER 2 gt dev null true echo done El A adjust passwd entry usermod c SSERVER_NAME Y d SSERVER_HOME g SERVER_GROUP SSERVER_USER 5 adjust file and directory permissions if dpkg statoverride list SERVER_HOME gt dev null then chown R SSERVER_USER adm SSERVER_HOME chmod u rwx g rxs o SSERVER_HOME Ba 6 Add the user to the ADDGROUP group if test n SADDGROUP then if groups SERVER_USER cut d f2 grep qw SADDGROUP then adduser SSERVER_USER SADDGROUP fi D I configure Au erdem m ssen Sie f r das Init d Skript sicherstellen e dass der Daemon beim Starten seine Rechte ablegt Wenn die Software nicht selbst den setuid 2 oder seteuid 2 Aufruf absetzt sollten Sie die Option chuid f r start stop daemon verwenden e dass der Daemon nur angehalten wird wenn die Benutzer IDs bereinstimmen Daf r ist die Option user von start stop daemon hilfreich e dass der Daemon nicht gestartet wird wenn sein Benutzer oder Gruppe nicht existiert Kapitel 9 Der gute Umgang von Entwicklern mit der Sicherheit des OS 177 if getent passwd grep q server_user then echo Server user does not exist Aborting gt amp 2 exit 1 i if getent group grep q server_group Chen echo Server group does not exist Aborting gt amp 2 exit 1 fi Wenn das Paket einen Syste
36. verwendet werden um eine eingeschr nkte Umgebung zum Ausf hren beliebiger Programme aufzusetzen chrootuid erlaubt es Ihnen sogar es unter einem eingeschr nkten Benutzer laufen zu lassen Einige dieser Werkzeuge k nnen verwendet werden um das Chroot Gef ngnis leicht aufzu setzen Zum Beispiel kann das make jail Programm ein chroot Gef ngnis mit kurzen Kon figurationsdateien erzeugen und aktualisieren Es bietet Beispielskonfigurationsdateien f r bind apache postgresql und mysql Es versucht alle Dateien die vom Daemon ben tigt werden mittels strace stat und Debians Paketabh ngigkeiten zu bestimmen und in das Gef ngnis zu installieren Weitere Information gibt es unter http www floc net makejail Jailer ist ein hnliches Werkzeug und kann von http www balabit hu downloads jailer heruntergeladen werden und ist auch als Debian Paket verf gbar SEs wird versucht diese mit minimalen Rechten laufen zu lassen was beinhaltet Daemonen unter ihren eigenen Benutzern anstatt unter root laufen zu lassen Kapitel 5 Absichern von Diensten die auf Ihrem System laufen 120 5 11 Allgemeine Klartextpasswort Paranoia Sie sollten versuchen jeden Netzwerk Dienst der seine Passworte als Klartext ber das Netz sendet oder empf ngt wie zum Beispiel FIP Telnet NIS RPC vermeiden Der Autor emp fiehlt jedem ssh anstelle von telnet und ftp zu verwenden Vergessen Sie jedoch nicht dass die Migration von telnet zu ssh
37. 117 5 8 3 Ver ffentlichte Web Dateien cor roses da ee a 118 S9 DEV es er ne ARE RE Se Owe ach en 118 5 10 Allgemeine chroot und suid Paranoia 2 aooo osa 118 5 10 1 Automatisches Erstellen von Chroot Umgebungen 119 5 11 Allgemeine Klariextpasswort Paranola 6 66 ts be eed eee med ees 120 S12 See cies Gees EE EE e E EE E Ni A 120 5 13 Sichern von RPC Diensten ur ee RAR eda eo ae eds 120 5 13 1 Vollst ndiges Deaktivieren vonRPC Diensten 121 5 13 2 Einschranken des Zugriffs auf KPC Dienste coccion 44 121 5 14 Hinzuf gen von Firewall F higkeiten 4 228 eee Se 2 2000 a 122 5 14 1 Firewallen des lokalen Systems se so s scn 0 ee er neh a 122 5 14 2 Sch tzen anderer Systeme durch eine Firewall 123 5 14 3 Aufsetzen einer Firewall 6 vee 000 raras Ehe 123 6 Automatisches Abh rten von Debian Systemen 133 GL Harden ea Eu A AE oe RAE A Re Fe DE FE 133 6 2 Basti oa Ma oh ALS hh As EK a A ALS Ne Ne 135 INHALTSVERZEICHNIS vii 7 Die Infrastruktur f r Sicherheit in Debian 137 7 1 Das Sicherheitsteam von Debian e eh en eee de A 137 7 2 Debian Sicherheits Ank ndigungen cash Lea eG eee a 138 7 2 1 Querverweise der Verwundbarkeiten 139 Taa Kemmer A A hE Me PEER EERE ROG EERE 139 7 3 Die Infrastruktur der Sicherheit bei der Paketerstellung in Debian 140 73 1 Leitfaden ber Sicherheitsaktualisierungen f r Entwickler 142 ZA Paketsi
38. 12 3 14 Aus wem setzt sich das Sicherheitsteam zusammen Das Debian Sicherheitsteam besteht derzeit aus f nf Mitgliedern und zwei Sekret ren Das Sicherheitsteam bestimmt selbst wen es neu ins Team aufnehmen will 12 3 15 Pr ft das Debian Sicherheitsteam jedes Paket in Debian Nein weder pr ft das Sicherheitsteam jedes neue Paket noch gibt es einen automatischen lin tian Test um neue Pakete mit b sartigem Inhalt zu entdecken da solche Dinge praktisch unm glich automatisch zu erkennen sind Paket Verwalter sind jedoch voll und ganz verant wortlich f r die Software die sie in Debian einf hren Keine Software wird eingef hrt die nicht zuerst von einem autorisierten Entwickler signiert wurde Die Entwickler sind daf r ver antwortlich die Sicherheit aller Pakete die sie betreuen zu analysieren 12 3 16 Wie lange braucht Debian um die Angriffs M glichkeit XXXX zu reparie ren Das Sicherheitsteam von Debian arbeitet schnell um Anweisungen zu verschicken und korrigierte Pakete f r den Stable Zweig zu erstellen sobald eine Sicherheitsl cke entdeckt wurde Ein Bericht der auf der Mailingliste von debian security ver ffentlicht wurde http lists debian org debian security 2001 debian security 200112 msg00257 html zeigt dass das Debian Sicherheitsteam im Jahr 2001 durchschnittlich 35 Tage gebraucht hat um Sicherheitsl cken auszubessern Allerdings wurden ber 50 der Verwundbarkeiten innerhalb von zehn Tagen beseitigt
39. 17 1 Benutzung von Quotas Es ist wichtig eine gute Quota Regelung zu haben da es die Nutzer daran hindert die Fest platten zu f llen Sie k nnen zwei Arten von Quota Systemen benutzen Nutzer Quota und Gruppen Quota Wie Sie sicher denken k nnen limitiert User Quota den Plattenplatz den ein Nutzer belegen kann und Gruppen Quota macht dasselbe f r ganze Gruppen Beachten Sie dies wenn Sie die Gr e der Quotas festlegen Es gibt ein paar wichtige Punkte ber die Sie nachdenken sollten wenn Sie ein Quota System aufsetzen e Halten Sie die Quotas klein genug so dass die Nutzer Ihre Festplatte nicht aufzehren k nnen e Halten Sie die Quotas gro genug so dass Nutzer sich nicht beschweren oder dass Ihr Mail Quota Sie daran hindert nach einer Weile Mails anzunehmen e Nutzen Sie Quotas auf allen Bereichen die Nutzer beschreiben k nnen auf home eben so wie auf tmp F r jede Partition und jedes Verzeichnis auf das Nutzer Schreibzugriff haben sollte ein Quota eingerichtet werden Berechnen Sie eine sinnvolle Quota Gr e die Benutzerfreundlichkeit und Sicherheit kombiniert und weisen Sie diese zu So nun wollen Sie Quotas benutzen Zuerst m ssen Sie pr fen ob Ihr Kernel Quota unter st tzt Wenn nicht m ssen Sie ihn neu kompilieren Pr fen Sie anschlie end ob das Paket quota installiert ist Wenn nicht installieren Sie es Um Quota f r die entsprechenden Dateisysteme einzuschalten m ssen Sie nur die
40. 2001 Andere Biicher auch tiber allgemeine Aspekte von Sicherheit unter Unix nicht nur Linuxspe zifisch e Practical Unix and Internet Security 2nd Edition http www ora com catalog puis noframes html Garfinkel Simpson and Spafford Gene O Reilly Associates ISBN 0 56592 148 8 1004pp 1996 e Firewalls and Internet Security Cheswick William R and Bellovin Steven M Addison Wesley 1994 ISBN 0 201 63357 4 320pp Andere n tzliche Webseiten um sich bez glich Sicherheit auf dem Laufenden zu halten e NIST Security Guidelines http csrc nist gov fasp index html e Security Focus http www securityfocus com Dort wird die Bugtraq Schwachstellen Datenbank und Mailingliste bereitgestellt und es gibt allgemeine sicherheitsrelevante Informationen Neuigkeiten und Berichte Kapitel 2 Bevor Sie beginnen 32 e Linux Security http www linuxsecurity com Allgemeine Informationen zu Sicherheit von Linux Tools Neuigkeiten Die Seite main documentation http www linuxsecurity com resources documentation 1 html ist sehr n tz lich e Linux firewall and security site http www linux firewall tools com linux Allgemeine Informationen zu Linux Firewalls und Tools diese zu kontrollieren und zu administrieren 2 3 Wie geht Debian mit der Sicherheit um Um einen allgemeinen berblick ber die Sicherheit unter Debian GNU Linux zu bekommen sollten Sie sich ansehen was Debian tut um ein
41. 213 12 2 2 Ich habe in meinen Logfiles einen Angriff gesehen Ist mein System kom promite ua ses Be En Een EE EE 213 12 2 3 Ich habe in meinen Logs merkw rdige MARK Eintr ge gefunden Ware WN A eS er Kerken eg PR GS GE HAES 213 12 2 4 Ich habe Nutzer gefunden die laut meinen Logfiles su benutzen Bin ich kompromittert e so meae sa t a e a A ew ee OS 214 12 2 5 Ich habe possible SYN flooding in meinen Logs entdeckt Werde ich BEE TE coa eS a a Oe a e Bench 214 12 2 6 Ich habe seltsame Root Sessions in meinen Logs entdeckt Wurde ich ge Ee e ee E E ee e ae ee we eS 215 12 2 7 Ich bin Opfer eines Einbruchs was soll ich jetzt tun 215 12 2 8 Wie verfolge ich einen Angriff zur ck oaks u EIN NN nr a 216 12 2 9 Das Programm X in Debian ist angreifbar was sollichtun 216 12 2 10 Laut der Versionsnummer eines Paketes l uft bei mir immer noch eine REES VEIGA o ess u en A re nen a 216 122 1 Spezelle BONN o e ne er rn en nr Beh che a 216 12 3 Fragen zum Sicherhetisteam von Debian 2 322224 34 4484422 044 83 217 INHALTSVERZEICHNIS x 12 3 1 Was ist eine Debian Sicherheits Ank ndigung Debian Security Adviso De en Be eRe Oe ee ee ehe A 217 12 3 2 Die digitale Signatur eines Debian Anweisung wird nicht korrekt verifi EIER Sg nk Make tees ah ae dee ee Race Gate Be wea Aria 217 12 3 3 Wie wird die Sicherheit in Debian gehandhabt 217 12 3 4 Wieso spielen Sie mit ein
42. 33 libnss_nis so 2 rwxr xr x 1 root root 256465 Jun 4 11 33 libnss_nisplus so 2 Kapitel G Chroot Umgebung f r SSH 264 lrwxrwxrwx 1 root root rwxr xr x 1 root root lrwxrwxrwx 1 root root libpam_misc so 0 72 rwxr xr x 1 root root lrwxrwxrwx 1 root root rwxr xr x 1 root root rwxr xr x 1 root root rwxr xr x 1 root root rwxr xr x 1 root root lrwxrwxrwx 1 root root lrwxrwxrwx 1 root root rwxr xr x 1 root root drwxr xr x 2 root root lib security total 668 drwxr xr x 2 root root drwxr xr x 3 root root rwxr xr x 1 root root rwxr xr x 1 root root rwxr xr x 1 root root rwxr xr x 1 root root rwxr xr x 1 root root rwxr xr x 1 root root rwxr xr x 1 root root rwxr xr x 1 root root rwxr xr x 1 root root rwxr xr x 1 root root rwxr xr x 1 root root rwxr xr x 1 root root rwxr xr x 1 root root rwxr xr x 1 root root rwxr xr x 1 root root rwxr xr x 1 root root rwxr xr x 1 root root rwxr xr x 1 root root rwxr xr x 1 root root rwxr xr x 1 root root rwxr xr x 1 root root rwxr xr x 1 root root rwxr xr x 1 root root rwxr xr x 1 root root rwxr xr x 1 root root rwxr xr x 1 root root rwxr xr x 1 root root rwxr xr x 1 root root
43. 4 root root 4096 Mar 15 13 00 drwxr xr x 8 guest guest 4096 Mar 15 16 53 drwxr xr x 2 root root 4096 Mar 15 15 55 bin drwxr xr x 2 root root 4096 Mar 15 15 37 lib usr bin total 340 drwxr xr x 2 root root 4096 Mar 15 15 55 drwxr xr x 4 root root 4096 Mar 15 13 00 rwxr xr x 1 root root 10332 Mar 15 15 55 env rwxr xr x 1 root root 13052 Mar La Tos L37 1d Y XI XIX 1 root root 25432 Mar 15 12 40 scp rwxr xr x 1 root root 43768 Mar 15 15 15 sftp r sr xr xX 1 root root 218456 Mar 15 12 40 ssh LWXL Xr X 1 root root 9692 Mar 15 13 17 tty usr lib total 852 drwxr xr x 2 root root 4096 Mar 15 15 37 drwxr xr x 4 root root 4096 Mar 15 13 00 rw r r 1 root root 771088 Mar 15 13 01 Kapitel G Chroot Umgebung f r SSH 254 libcrypto so 0 9 6 rw r r 1 root root 54548 Mar 1 rwxr Xr X 1 root root 23096 Mar 1 Wu 13 00 libz so 1 15 37 sftp server Wu G 2 Einsperren des SSH Servers in einem Chroot Gef ngnis Wenn Sie eine Chroot Umgebung erstellen welche die Dateien des SSH Servers enth lt z B unter var chroot ssh sollten Sie den im chroot Gef ngnis eingesperrten ssh Server mit diesem Befehl starten chroot var chroot ssh sbin sshd f etc sshd_config Das f hrt dazu dass der sshd Daemon innerhalb des Chroot Gef ngnisses gestartet wird Dazu m ssen Sie zun chst daf r sorgen dass das Verzeichnis var chroot ssh den SSH Server und die Werkzeuge enth lt die Benutzer
44. 420 Andere Emprehlungen e 2224 22 a ae een Dea ads 96 4 20 1 Benutzen Sie keine Software die von svgalib abhangt 96 5 Absichern von Diensten die auf Ihrem System laufen 97 Sl Absichemi yom ssis ss ess bed anreisen 98 511 S5Hinein Chrooc Gel ngniseinsperten 444 so sesame ve eam s 100 AER ee nun ne we ee een se eee ee E 100 5 1 3 Verbieten von Dateitransfers o o e 100 Se ABSICNCO VON QUIN visa E A AA en nd 100 53 Absichem von FIP 23 2 0 Dra E E a EEE A Ae 102 54 Zugriff auf das X Window System absichern o oo 103 5 4 1 berpr fen Ihres Display Managers scsi stand EES a 104 INHALTSVERZEICHNIS vi 5 5 Absichern des Druckerzugriffs die lpd und lprng Problematik 105 5 6 Absichern des Mail Dienstes u 0 4 0 00 Re a ann ne 106 56 1 Konfiguration eines Mullmallers ss se co so E Bei ne a 106 5 6 2 Anbieten von sicherem Zugang zu Mailboxen be ee ea es 108 9 6 9 beet Empfang von Mails x sses odds Ener ha nn eee a 109 57 chem Von BIND 6 6 ee ra a zer ernennen eK 109 5 7 1 Bind Konfiguration um Missbrauch zu verhindern 110 572 ndern des BIND Benutzers sc 064 dees 112 5 7 3 Chroot Gef ngnis f r NameServer 604 6s ee ew RS ee cs 114 38 Als cheih VOU Apache 2 2 au REE A A A ES EERE RS 116 5 8 1 Verhindern dass Benutzer Web Inhalte ver ffentlichen 117 562 Rechtevonlop Datei 2 si ARA ee e
45. 5 10 05 usr total 8 drwxr xr x 2 root root 4096 Jun 4 12 16 drwxr xr x 9 root root 4096 Jun 5 10 05 lrwxrwxrwx 1 root root 7 Jun 4 12 14 bin gt bin lrwxrwxrwx 1 root root 7 Jun 4 11 33 lib gt lib lrwxrwxrwx 1 root root 8 Jun 4 12 13 sbin gt sbin Kapitel G Chroot Umgebung f r SSH 266 267 Anhang H Chroot Umgebung f r Apache H 1 Einleitung Das Programm chroot wird h ufig dazu benutzt einen Daemon in einen beschr nkten Ver zeichnisbaum einzusperren Sie k nnen es dazu verwenden um Dienste von anderen abzu schirmen so dass Sicherheitsprobleme mit einem Softwarepaket den ganzen Server gef hrden k nnen Durch die Verwendung des Skripts makejail wird es viel leichter einen Verzeich nisbaum in einer chroot Umgebung einzurichten und zu aktualisieren FIXME Apache can also be chrooted using http www modsecurity org which is availa ble in libapache mod securit y for Apache 1 x and libapache2 mod security for Apache 2 x H 1 1 Lizenz Dieses Dokument ist urheberrechtlich von Alexandre Ratti 2002 gesch tzt Es steht unter einer doppelten Lizenz n mlich der GPL Version 2 GNU General Public License und der GNU FDL 1 2 GNU Free Documentation Licence Es wurde in dieses Handbuch mit seiner ausdr cklichen Genehmigung aufgenommen Siehe auch das Originaldokument http www gabuzomeu net alex doc apache index en html H 2
46. 901 SWAT acl purge method PURGE acl CONNECT method CONNECT Tine nur cachemgr Zugriff von localhost http_access allow manager localhost http_access deny manager Erlaube nur purge Anfragen von localhost http_access allow purge localhost http_access deny purge Verbiete Anfragen zu unbekannten Ports http_access deny Safe_ports Verbiete CONNECT zu anderen als SSL Ports http_access deny CONNECT SSL_ports INSERT YOUR OWN RULE S HERE TO ALLOW ACCESS FROM YOUR CLIENTS http_access allow localhost And finally deny all other access to this proxy http_access deny all Default icp_access deny all Allow ICP queries from everyone icp_access allow all Kapitel 5 Absichern von Diensten die auf Ihrem System laufen 102 Sie sollten Squid auch entsprechend Ihren System Ressourcen konfigurieren inklusive Cache Speicher Option cache_mem Lage der gecachten Dateien und der verwendeten Speicher menge auf der Platte Option cache_dir Man beachte dass es bei ungeeigneter Konfiguration vorkommen kann dass jemand eine Mail ber Squid weiterleitet da die Protokolle HTTP und SMTP ein hnliches Design haben Squids Standardkonfiguration verweigert Zugriffe auf Port 25 Wenn Sie Verbindungen an Port 25 erlauben wollen f gen Sie ihn einfach zu der Safe_ports Liste hinzu Aber dies ist NICHT empfohlen Passendes Aufsetzen und Konfigurieren des Proxy Cache Servers ist nur ein Teil d
47. Ahnung haben werden sie in dieser Grube h ngen bleiben Mit anderen Worten Ein Benutzer kann nicht hereingelegt werden einen ausf hrba ren Trojaner in tmp laufen zu lassen zum Beispiel indem er zuf llig tmp in seinen Suchpfad aufnimmt Seien Sie sich auch bewusst dass manche Skripte darauf aufbauen dass tmp ausf hrbare Rechte hat Bemerkenswerterweise hatte oder hat Debconf Probleme bei dieser Sache wei tere Informationen enth lt Fehler 116448 http bugs debian org 116448 Nachfolgend ein gr ndlicheres Beispiel Eine Anmerkung dazu var k nnte auch noexec enthalten aber manche Software verwahrt ihre Programme unterhalb von var Dasselbe gilt f r die nosuid Option dev sda6 usr ext3 defaults ro nodev 0 2 dev sdal2 usr share ext3 defaults ro nodev nosuid 0 2 dev sda7 var ext3 defaults nodev usrquota grpquota 0 2 dev sda8 tmp ext3 defaults nodev nosuid noexec usrquota grpqu dev sda9 var tmp ext3 defaults nodev nosuid noexec usrquota grpqu dev sdal0 var log ext3 defaults nodev nosuid noexec 0 2 dev sdall var account ext3 defaults nodev nosuid noexec 0 2 dev sdal3 home ext3 rw nosuid nodev exec auto nouser async usrq dev d0 mnt d0 ext3 defaults users nodev nosuid noexec 0 dev d0 mnt floppy vfat defaults users nodev nosuid noexec 0 dev hda mnt cdrom iso9660 ro users nodev nosuid noexec 0 4 10 1 tmp noexec setzen Seien Sie vorsichtig
48. Anpassung von logcheck 2 ooo ooo ooo 75 4 13 2 Konfiguration wohin Alarmmeldungen geschickt werden 76 4 13 3 Nutzen eines loghosts cq tb RA ee vy 4 13 4 Zugriffsrechte auf Log Datelen cocos cosida 78 INHALTSVERZEICHNIS v 4 14 Den Kernel patchen A siia seri Seien a else 78 4 15 Schulz vor Puffer berl ufen cierres nu Sea eee hr eS 80 4 15 1 Kernelpatch zum Schutz vor Puffer berl ufen 81 4 15 2 Schutz durch Libsafe ea oer ee cis E e oe e 82 4 15 3 Priifprogrammie f r Puffer berl ufe gt s so e e roic oe ae aumens 82 4 16 Sichere bertragung von Dateien 82 4 17 Einschr nkung und Kontrolle des Dateisystems 83 4 17 1 Benutzung von Quslas lt ee ae sa sisa a AAA 83 4 17 2 Die f r das ext2 Dateisystem spezifischen Attribute chattr Isattr 84 4 17 3 Pr fung der Integrit t des Dateisystems aa aoo 85 4 17 4 Aufsetzen einer berpr fung von setuid a a ssaa 86 4 18 Absicherung des Netzwerkzugangs A eg ZER AEN NN 86 4 18 1 Konfiguration der Netzwerkf higkeiten des Kernels 87 418 2 Konfiguration von Syncookies 2 22 44 242 2 bbe ee ee eS 87 4 18 3 Absicherung des Netzwerks beim Hochfahren 88 4 18 4 Konfiguration der Firewall 2 4 2225 2985 pocos 48 82 eS 92 4 18 5 L sung des Problems der Weak End Hosts 92 4 18 6 Schutz vor ARP Angriffen aoao 93 4 19 Einen Schnappschuss des Systems erstellen ENEE 94
49. Anzahl von Anwen dungen zur Verf gung haben Kapitel G Chroot Umgebung f r SSH 250 G 1 1 Einsatz von libpam chroot Der wahrscheinlich leichteste Weg ist das Paket libpam chroot das in Debian vorhanden ist zu verwenden Wenn Sie es installiert haben m ssen Sie e etc pam d ssh ver ndern um dieses PAM Modul zu verwenden F gen Sie dazu als letzte Zeile Folgendes ein session required pam_chroot so e eine passende Chroot Umgebung f r die Benutzer einrichten Sie k nnen versu chen die Skripte unter usr share doc libpam chroot examples zu verwen den das Programm makejail benutzen oder eine minimale Debian Umgebung mit deboot st rap aufsetzen Stellen Sie sicher dass die Umgebung die notwendigen Ger te enth lt e etc security chroot conf bearbeiten damit die ausgew hlten Nutzer in das Ver zeichnis eingesperrt werden das Sie zuvor eingerichtet haben Sie sollten unabh ngige Verzeichnisse f r verschiedene Nutzer haben damit sie weder das ganze System noch sich gegenseitig sehen k nnen e SSH konfigurieren Je nach der eingesetzten OpenSSH Version funktioniert die Chroot Umgebung sofort Seit 3 6 1p2 wird die Funktion do_pam_session aufgerufen nachdem sshd seine Rechte abgelegt hat Da chroot Root Rechte ben tigt wird es mit Rechtetren nung nicht funktionieren Allerdings wurde in neueren OpenSSH Versionen der PAM Code ver ndert so dass do_pam_session vor dem Ablegen der Rechte aufgerufen wi
50. Datei wird beim apt get update herunter geladen und zu sammen mit Packages gz gespeichert e Wenn ein Paket installiert werden soll wird es zuerst herunter geladen und dann wird die MD5 Summe erstellt Einige Betriebssystem wurden schon von Problemen mit automatischen Aktualisierungen heimgesucht wie z B die Mac OS X Software Update Verwundbarkeit http www cunap com hardingr projects osx exploit htm1 FIXME probably the Internet Explorer vulnerability handling certificate chains has an impact on security updates on Microsoft Windows Kapitel 7 Die Infrastruktur f r Sicherheit in Debian 146 e Die signierte Release Datei wird berpr ft ob die Signatur in Ordnung ist und die MD5 Summe der Packages gz Datei extrahiert Die MD5 Summe der Packages gz Datei wird erstellt und gepr ft und wenn sie bereinstimmt wird die MD5 Summe des heruntergeladenen Paketes aus ihr extrahiert e Wenn die MD5 Summe des heruntergeladenen Paketes die gleiche ist wie in der Packages gz Datei wird das Paket installiert Andernfalls wird der Administrator alarmiert und das Paket wird im Zwischenspeicher gehalten so dass der Administra tor entscheiden kann ob es installiert werden soll oder nicht Wenn das Paket nicht in Packages gz enthalten ist und der Administrator das System so konfiguriert hat dass nur gepr fte Pakete installiert werden k nnen wird das Paket ebenfalls nicht installiert Durch diese Kette von MD5 Su
51. Einstel lung defaults in Ihrer etc fstab zu defaults usrquota ndern Wenn Sie Gruppen Quotas ben tigen ersetzen Sie usrquota durch grpquota Sie k nnen auch beides verwen den Erstellen Sie dann leere quota user und quota group in den Hauptverzeichnissen der Dateisysteme auf denen Sie Quotas einf hren m chten d h touch home quota user home qguota group f r das Dateisystem home Starten Sie quota neu indem Sie etc init d quota stop etc init d quota start ausf hren Nun sollte quota laufen und die Gr en k nnen festgelegt werden Kapitel 4 Nach der Installation 84 Bearbeiten der Quotas eines bestimmten Nutzer wird mit edquota u lt user gt gemacht Gruppen Quotas k nnen mit edquota g lt group gt ge ndert werden Setzen Sie dann die weiche und die harte Grenze und inode Quotas falls Sie es ben tigen Mehr Informationen ber Quotas finden Sie im Handbuch von quot und im Mini Howto von quota usr share doc HOWTO de html mini DE Quota HOWTO html Sie soll ten auch einen Blick auf pam_limits so werfen 4 17 2 Die f r das ext2 Dateisystem spezifischen Attribute chattr lsattr Zus tzlich zu den normalen Unix Rechten bieten die ext2 und ext3 Dateisysteme eine An zahl von besonderen Attributen die Ihnen mehr Kontrolle ber die Dateien auf Ihrem System erlauben Im Gegensatz zu den gew hnlichen Rechten werden diese Attribute nicht vom ge br uchlichen Befehl 1s 1 angezeigt und k nnen auch nicht
52. Ihr Root Dateisystem durchlaufen als h tten sie Shell Zugriff darauf Sie k nnen die folgende Zeile in Ihre proftpd conf Datei im globalen Abschnitt hinzuf gen um die chroot F higkeiten zu nutzen DefaultRoot Starten Sie ProFTPd neu indem Sie etc init d proftpd restart eingeben und pr fen Sie ob Sie noch aus Ihrem Home Verzeichnis heraus kommen k nnen Kapitel 5 Absichern von Diensten die auf Ihrem System laufen 103 Um ProFTPd DoS Angriffe durch zu verhindern f gen Sie die folgende Zeile Ihrer etc proftpd conf hinzu DenyFilter Vergessen Sie nicht dass FIP Login und Authentifizierungs Passwort als Klartext sendet dies ist kein Problem wenn Sie einen anonymen ffentlichen Dienst anbieten und es gibt bessere Alternativen in Debian hierzu Zum Beispiel sftp aus dem Paket ssh Es gibt auch freie Implementierungen von SSH f r andere Betriebssysteme zum Beispiel put ty http www chiark greenend org uk sgtatham putty oder cygwin http www cygwin com Wenn Sie dennoch einen FTP Server verwalten w hrend Sie den Nutzern Zugriff via SSH ge w hren k nnten Sie auf ein typisches Problem sto en Benutzer die innerhalb eines mit SSH abgesicherten Systems auf einen anonymen FTP Server zugreifen wollen k nnen versuchen sich auf dem FTP Server einzuloggen W hrend der Zugriff verweigert werden wird wird das Passwort trotzdem als Klartext ber das Netz gesendet Um dies zu
53. Installation des Servers Diese Vorgehensweise wurde auf Debian GNU Linux 3 0 Woody mit makejail 0 0 4 1 in Debian testing getestet e Melden Sie sich als Root an und erstellen Sie ein neues Verzeichnis f r das Gef ngnis mkdir p var chroot apache Kapitel H Chroot Umgebung f r Apache 268 Erstellen Sie einen neuen Nutzer und eine neue Gruppe Der Apache in der chroot Umgebung wird als dieser Nutzer und Gruppe laufen die f r nichts anderes auf dem System verwendet wird In dem Beispiel hei en sowohl Nutzer als auch Gruppe chrapach adduser home var chroot apache shell bin false no create home system group chrapach FIXME is anew user needed Apache already runs as the apache user Installieren Sie ganz normal Apache auf Debian apt get install apache Richten Sie Apache ein z B definieren Sie Ihrer Subdomains usw Weisen Sie in der Konfigurationsdatei etc apache httpd conf den Optionen Group und User chrapach zu Starten Sie Apache neu und stellen Sie sicher dass der Server korrekt funktioniert Danach halten Sie den Server wieder an Installieren Sie make jail ist f rs Erste in Debian testing vorhanden Sie sollten auch wget und lynx installieren da sie benutzt von make jail werden um den Server in der chroot Umgebung zu testen apt get install makejail wget lynx Kopieren Sie die Beispielkonfigurationsdatei f r Apache ins Verzeichnis etc makejail cp usr share doc makejail exam
54. Pakete aktualisieren k nnte Sicherheitsaktualisierungen wurden mit Ausnahmen nur in den Stable Zweig zur ckportiert Die Grundidee ist dass zwischen den Aktualisie rungen kein neuer Code hinzugef gt werden sollte sondern nur Beseitigungen von wichtigen Problemen Denken Sie daran dass Sie allerdings den Sicherheitstracker verwenden k nnen wie unter Beobachtung von Sicherheitsl cken auf Seite 179 beschrieben um bekannte Sicherheitspro bleme f r diesen Zweig nachzuvollziehen 10 1 4 Sicherheitsunterst tzung f r den Testing Zweig Wenn Sie den Testing Zweig verwenden m ssen Sie einige Problemkreise hinsichtlich der Ver f gbarkeit von Sicherheitsaktualisierungen in Betracht ziehen e Wenn eine Sicherheitsl cke geschlossen wurde portiert das Security Team den Patch nach Stable zur ck da Stable normalerweise einige Minor oder Majorversionen zur ck liegt Die Paketbetreuer sind daf r verantwortlich Pakete f r den Unstable Zweig vor zubereiten Grundlage daf r ist normalerweise eine neue Ver ffentlichung des Original programms Manchmal ereignen sich die nderungen fast zur selben Zeit und manch mal enth lt eine der Ver ffentlichungen eine Ausbesserung einer Sicherheitsl cke vor einer anderen Pakete in Stable werden gr ndlicher getestet als die in Unstable da letz tere in den meisten F llen die neueste Ver ffentlichung des Originalprogramms enth lt welches neue unbekannte Fehler enthalten k nnte
55. Si done Diese Nutzer kommen aus dem Paket base passwd Sie finden Informationen tiber die Be handlung dieser Nutzer unter Debian in der Dokumentation des Pakets Es folgt nun eine Liste der Standardnutzer mit einer entsprechenden Gruppe e root Root ist typischerweise der Superuser e daemon Einige unprivilegierte Daemonen die Dateien auf die Festplatte schreiben m ssen laufen als daemon daemon z B portmap atd wahrscheinlich noch andere Daemonen die keine eigenen Dateien besitzen m ssen k nnen stattdessen als nobo dy nogroup laufen Komplexere oder sicherheitsbewusste Daemonen laufen als eigen st ndige Nutzer Der Nutzer daemon ist auch praktisch f r lokal installierte Daemons e bin aus historischen Gr nden beibehalten sys das gleiche wie bei bin Jedoch geh ren dev vcs und var spool cups der Gruppe sys e sync Die Shell des Nutzers sync ist bin sync Wenn das Passwort auf etwas leicht zu ratendes gesetzt wurde zum Beispiel kann jeder das System von der Konsole aus synchronisieren lassen auch wenn er kein Konto hat e games Viele Spiele sind SETGID games so dass sie ihre Highscore Dateien schreiben k nnen Dies wird in der Policy erkl rt e man Das Programm man l uft manchmal als Nutzer man damit es Cat Seiten nach var cache man schreiben kann e lp Wird von Druck Daemonen benutzt e mail Mailboxen unter var mail geh ren der Gruppe mail wie in der Policy erkl rt wird De
56. Spiel Standardm ig befindet sich bei Debian Systemen der Schl ssel des Debian Archivs im Schl sselbund apt key list etc apt trusted gpg pub 1024D 4F368D5D 2005 01 31 expires 2006 01 31 uid Debian Archive Automatic Signing Key 2005 gt ftpmaster d an org lt Im Beispiel ist 4F368D5D die Schl ssel ID Beachten Sie dass dieser Schl ssel nur f r ein Jahr g ltig ist Debian tauscht die Schl ssel als letzte Verteidigungslinie gegen Sicherheitsrisiken die das Knacken eines Schl ssels umfassen regelm ig aus Mit dem Schl ssel des Archivs wird Apt dem offiziellen Archiv von Debian vertrauen Wenn Sie aber weitere Paketdepots zu etc apt sources list hinzuf gen wollen m ssen Sie Apt Ihre Schl ssel mitteilen wenn Sie wollen dass Apt ihnen vertraut Sobald Sie den Schl s sel haben und ihn berpr ft haben m ssen Sie nur apt key add Datei laufen lassen um den Schl ssel hinzuzuf gen Der schwierigste Teil dabei ist den Schl ssel zu bekommen und ihn zu berpr fen Den Schl ssel f r Paketdepots finden Es gibt noch keinen standardisierten Ort wo sich der Schl ssel f r ein Paketdepot befindet Es besteht die grobe bereinkunft dass der Schl ssel auf der Webseite des Paketdepots oder im Depot selbst zu finden sein sollte Wie gesagt ist dies kein echter Standard so dass Sie ihn unter Umst nden suchen m ssen Der Schl ssel des Debian Archivs ist unter http ftp master debian org ziyi_ key_20
57. System abtasten und darin einbrechen Es ist eine Systemeinstellung mit der Erwartung und dem Zweck dass das System abgetastet und angegriffen und m glicherweise Kapitel 10 Vor der Kompromittierung 193 darin eingebrochen wird Wenn Systemadministratoren erfahren welche Werkzeuge und Me thoden Cracker anwenden k nnen sie daraus lernen wie sie ihr System und Netzwerk besser sch tzen Debian GNU Linux Systeme k nnen leicht als Honigtopf eingerichtet werden wenn Sie Zeit opfern sie aufzusetzen und zu berwachen Sie k nnen leicht den gef lschten Server die Fi rewall die den Honigtopf berwacht und ein Programm das Eindringling ins Netzwerk entdecken kann einrichten Verbinden Sie den Honigtopf mit dem Internet und warten Sie ab Stellen Sie sicher dass Sie rechtzeitig alarmiert werden siehe Die Wichtigkeit von Logs und Alarmen auf Seite 74 wenn in das System eingedrungen wird damit Sie geeignete Schritte einleiten und den Angriff beenden k nnen wenn Sie genug gesehen haben Hier folgen einige Pakete und Probleme die Sie in Betracht ziehen sollten wenn Sie einen Honigtopf einrichten e Die Firewall Technologie die Sie verwenden verf gbar durch den Linux Kernel e syslog ng N tzlich um Logs des Honigtopfs zu einem entfernen Syslog Server zu schicken e snort um allen eingehenden Netzwerkverkehr auf den Honigtopf mitzuschneiden und die Angriffe zu erkennen e osh eine eingeschr nkte Shell mit Logg
58. Wenn Sie vorhaben Ihr System automatisch zu aktualisieren auch wenn Sie sich nur die Pakete herunterladen sollten Sie sich vielleicht die Distributionsversion ansehen wie in berpr fung der Distribution mit der Release Datei auf Seite 147 beschrieben wird Ande renfalls k nnen Sie sich nicht sicher sein dass die heruntergeladenen Pakete wirklich aus einer vertrauensw rdigen Quelle stammen Verwendung von Tiger um automatisch Sicherheitsaktualisierungen zu berpr fen Wenn Sie nach einem Programm suchen das schnell die Verwundbarkeit des Systems ber pr ft und gefundene Sicherheitsl cken meldet sollten Sie das Paket tiger ausprobieren Das Paket besteht aus einer Anzahl von Skripten f r die Bourne Shell C Programmen und Daten dateien die dazu verwendet werden um Sicherheitsaudits durchzuf hren Das Paket in De bian GNU Linux beinhaltet zus tzliche Erweiterungen die auf die Debian Distribution ab gestimmt sind Damit stehen mehr Funktionen zur Verf gung als in den Tigerskripten von TAMU oder sogar von TARA eine Tigerversion die von ARSC vertrieben wird Lesen Sie f r weitere Informationen die Datei README Debian und die Handbuchseite tiger 8 Eine dieser Verbesserungen ist das Skript deb_checkadvisories Diese Skript verwendet eine Liste von DSAs und gleicht sie mit den installierten Paketen ab Es meldete dann alle Pakete die laut dem Debian Security Team verwundbar sind Dies ist eine etwas andere all gemei
59. alle Informationen ber das Starten von Diensten durch eine gemeinsame Konfigurationsdatei verarbeitet und sogar nach der Deinstallation von Pa keten beibehalten Sie k nnen das TUI Iext User Interface textbasierte Benutzungsoberfl che des Paketes sysv rc conf benutzen um all diese nderungen einfach zu erledigen sysv rc conf arbeitet sowohl mit file rc als auch mit normalen System V Runleveln Es gibt auch ver gleichbare GUIs f r Desktop Systeme Sie k nnen auch die Befehlszeile von sysv rc conf verwenden sysv rc conf foobar off Der Vorteil dieses Werkzeugs ist dass die rc d Links wieder auf den Status zur ckgesetzt wer den die sie vor dem Aufruf von off hatten wenn Sie den Dienst wieder aktivieren mit sysv rc conf foobar on Andere nicht empfohlene Methoden zum Abschalten eines Dienstes sind e Benennen Sie die Skriptdatei etc init d Dienst um zum Beispiel in etc init d OFF Dienst Da das Verweise die auf kein Ziel verweisen dangling sym links erzeugt werden beim Booten Fehlermeldungen erzeugt werden e Entfernen Sie das Ausf hrungsrecht von der Datei etc init d Dienst Auch das wird beim Booten Fehlermeldungen verursachen e Editieren der Datei etc init d Dienst so dass sich das Skript sofort beendet sobald es gestartet wird indem Sie die Zeile exit 0 am Anfang einf gen oder den start stop daemon Abschnitt auskommentieren Falls Sie dies tun k nnen Sie das Skript nicht sp ter dazu ve
60. apt preferences bearbeiten siehe apt_preferences 5 und Folgendes hinzuf gen Package Pin release a stable Pin Priority 100 Kapitel 10 Vor der Kompromittierung 186 FIXME verify if this configuration is OK e Entweder setzen Sie cron apt ein wie in Automatisches berpr fung von Aktualisie rungen mit cron apt auf Seite 182 beschrieben wird und erlauben ihm heruntergelade ne Pakete zu installieren Oder Sie f gen selbst einen Eintrag f r cron hinzu damit die Aktualisierung t glich ausgef hrt wird Ein Beispiel apt get update amp amp apt get y upgrade Die Option y veranlasst apt f r alle Fragen die w hrend der Aktualisierung auftreten k nnen yes anzunehmen In manchen F llen sollten Sie die Option trivial only nur Bagatellen der Option assume yes ist gleichbedeutend mit y vorziehen e Richten Sie cron so ein dass debconf w hrend der Aktualisierung keine Eingabe ver langt Auf diese Weise k nnen Aktualisierungen nicht interaktiv durchgef hrt werden e berpr fen Sie die Ergebnisse der Ausf hrung von cron die an den Superuser gemailt werden sofern nicht die Umgebungsvariable MAILTO im Skript ge ndert wurde Eine sichere Alternative k nnte es sein die Option d oder download only zu verwen den Das hat zur Folge dass die ben tigten Pakete nur heruntergeladen aber nicht installiert werden Und wenn dann die Ausf hrung von cron zeigt dass das System
61. auf Ihrem System laufen Dienste k nnen auf zwei Arten in einem laufenden System abgesichert werden e Sie so einstellen dass auf sie nur von Zugangspunkten Interfaces zugegriffen werden kann von denen es n tig ist e Sie so konfigurieren dass sie nur von legitimierten Nutzern auf autorisierte Art und Weise benutzt werden k nnen Dienste k nnen durch Zugriffsbeschr nkungen auf Kernel Ebene durch eine Firewall ein geschr nkt werden so dass auf sie nur von bestimmten Orten aus zugegriffen werden kann Konfigurieren Sie sie so dass sie nur auf eine bestimmte Schnittstelle horchen einige Dienste bieten diese F higkeiten vielleicht nicht Oder verwenden Sie eine andere Methode zum Bei spiel den Linux vserver Patch f r 2 4 16 mit dem Prozesse auf eine bestimmte Schnittstelle gebunden werden k nnen Was die Dienste angeht die von inetd aufgerufen werden telnet ftp finger pop3 SO ist es wert zu erw hnen dass inetd so konfiguriert werden kann dass er nur auf eine bestimmte Schnittstelle reagiert unter Verwendung der service ip Syntax Dies ist jedoch eine nicht dokumentierte Eigenschaft Ein Ersatz der Meta Daemon xinetd kennt eine bind Option nur f r diesen Zweck Lesen Sie dazu bitte xinetd conf 5 service nntp socket_type stream protocol tcp wait no user news group news server usr bin env Kapitel 5 Absichern von Diensten die auf Ihrem System laufen 98 server_args
62. ba Nee 2040 0 180 10 1 3 Vermeiden Sie den Unstable Zweig o oa ee ioro 82a Stau EDs 184 10 1 4 Sicherheitsunterst tzung f r den Testing Zweig 184 10 1 5 Automatische Aktualisierungen in einem Debian GNU Linux System 185 10 2 Periodische berpr fung der Integrit t 187 10 3 Aufsetzen einer Eindringlingserkennung lt lt RR ann 187 10 3 1 Netzwerk basierende Eindringlingserkennung 188 10 3 2 Host basierende Eindringlingserkennung 189 10 4 Vermeiden von Root its EE NEEN EEN AE KAN ira 189 10 4 1 Ladbare Kernel Module LKM o o o 189 10 4 2 Erkennen von Root Kits o o e een 190 10 5 Geniale paranoide Ideen was Sie tun k nnen o o o oo ooo o 191 10 5 1 Aufstellen eines Honigtopfes honeypot 2 2 2 che eee ees 192 11 Nach einer Kompromittierung Reaktion auf einem Vorfall 195 11 Allpememnes Verhalen de e e AAA PS ana ee 195 11 2 Anlegen von Sicherheitekopien Ihres Systems 2 ak soe cn san a u a 196 11 3 Setzen Sie sich mit dem lokal CERT in Verbindung s oe ss caseras 197 LA Forensische Analyse lt a RARA AAA ATA RR rd 197 12 H ufig gestellte Fragen Frequently asked Questions FAQ 199 12 1 Sicherheit im Debian Betriebssystem u 0 0 E was oda wen we AC 199 12 1 1 Ist Debian sicherer als X 2 2 28 25 ee 838 ar sr year na 199 12 1 2 In Bugtraq gibt es viele Debian Fehler Hei t das dass es sehr gef
63. beide Programme stam men aus dem passwd Paket Sie haben sie also schon installiert Wenn Sie lieber eine Datei verwenden die alle Informationen zur Erstellung von Nutzern als Batch Prozess enth lt sind Sie vielleicht mit newusers besser dran 4 11 14 Kontrolle der Benutzerpassw rter Die Passw rter der Nutzer sind manchmal die schw chste Stelle der Sicherheit eines Systems Das liegt daran dass manche Nutzer schwache Passw rter f r ihr Konto w hlen und je mehr Nutzer Zugang zum System haben umso gr er die Chance dass das passiert Selbst wenn Sie berpr fungen mit dem PAM Module cracklib und Grenzen f r Passw rter einsetzen wie in Nutzerauthentifizierung PAM auf Seite 58 beschrieben wird ist es Nutzern immer noch m glich schwache Passw rter zu verwenden Da der Zugang der Nutzer auch den Zugang aus der Ferne hoffentlich ber ssh umfassen kann ist es wichtig dass das Erraten von Pass w rtern f r entfernte Angreifer so schwierig wie m glich ist Dies gilt insbesondere dann wenn es ihnen gelungen sein sollte Zugang zu wichtigen Informationen wie den Benutzerna men oder sogar den Dateien passwd und shadow selbst zu bekommen Ein Systemadministrator muss bei einer gro en Anzahl von Nutzern berpr fen ob deren Passw rter mit den lokalen Sicherheitsma st ben in Einklang stehen Und wie berpr ft man das Indem man versucht sie wie ein Angreifer zu knacken der Zugriff auf die gehashten Passw rter h
64. bekommen hat oder der Code von au erhalb durch einen fehlerhaften Dienst ausf hren kann Zum Beispiel kann das Vorhandensein von Hilfsprogrammen f r Programmierer ein C Compiler oder Interpretern wie Perl s u Python tcl einem Angreifer helfen das System weiter zu kompromittieren Unter Debian Woody ist das Basis System etwa 400 500MB gro Probieren Sie Folgendes size 0 for i in grep A 1 B 1 Section base var lib dpkg available grep A 2 Priority requiredgrep Installed Sizecut d f 2 do size size i done echo size 47762 Kapitel 3 Vor und w hrend der Installation 43 e Der Angreifer kann seine Privilegien auf dem System erweitern Es ist beispielsweise leichter eine lokale Sicherheitsl cke des Systems auszunutzen wenn man einen Debug ger und Compiler zur Verf gung hat um den eigenen Exploit ein Programm das eine Sicherheitsl cke ausnutzt zu kompilieren und zu testen e Man k nnte dem Angreifer Werkzeuge zur Verf gung stellen die ihm helfen k nnten das kompromittierte System als Basis f r Angriffe auf andere Systeme zu benutzen Nat rlich kann ein Eindringling mit lokalem Shell Zugriff seine eigenen Programme herun terladen und ausf hren Und sogar die Shell selbst kann benutzt werden um komplexere Programme zu schreiben Das Entfernen unn tiger Programme wird also nicht helfen das Problem zu verhindern Jedoch wird es f r den Angreifer wesentlich sc
65. ben tigen die mit dem Server verbunden sind Wenn Sie das vorhaben sollten Sie sicherstellen dass OpenSSH Rechtetrennung einsetzt was standardm ig so ist Dazu muss in der Konfigurationsdatei etc ssh sshd_config folgende Zeile enthalten sein UsePrivilegeSeparation yes Dadurch wird der entfernte Daemon so wenig Dinge wie m glich als Root ausf hren Wenn er also einen Fehler enthalten sollte kann damit nicht aus dem Chroot Gef ngnis ausgebrochen werden Beachten Sie dass anders als wenn Sie eine Chroot Umgebung f r jeden Benutzer einzeln einrichten in diesem Fall der SSH Daemon im selben Chroot Gef ngnis wie die Be nutzer l uft Es gibt also mindestens einen Prozess in der Chroot Umgebung der als Root l uft Mit ihm ist es m glich aus dem Chroot Gef ngnis auszubrechen Beachten Sie auch dass SSH nur funktioniert wenn die Partition auf der die Chroot Umgebung eingerichtet wurde nicht mit der Option nodev gemountet wurde Wenn Sie diese Option verwenden bekommen Sie folgende Fehlermeldung PRNG is not seeded weil dev urandom nicht in der Chroot Umgebung funktioniert G 2 1 Einrichten eines minimalen Systems der wirklich leichte Weg Sie k nnen mit debootstrap eine minimale Umgebung einrichten die ausschlie lich den SSH Server enth lt Daf r m ssen Sie nur eine Chroot Umgebung einrichten wie es im Chroot Abschnitt der Debian Referenz http www de debian org doc manuals reference ch tips s chroot beschri
66. benutzen k nnen um root auf Ihrem System zu werden m ssen Sie eine neue Gruppe wheel zu Ihrem System hinzuf gen das ist der sauberste Weg da keine Datei solche Gruppenrechte bisher benutzt F gen Sie root und die anderen Benutzer die zu root suen k nnen sollen zu dieser Gruppe F gen Sie anschlie end die folgende Zeile zu etc pam d su hinzu auth requisite pam_wheel so group wheel debug Dies stellt sicher dass nur Personen aus der Gruppe wheel su benutzen k nnen um root zu werden Andere Benutzer wird es nicht m glich sein root zu werden Tats chlich werden Sie eine ablehnende Nachricht bekommen wenn Sie versuchen root zu werden Wenn Sie es nur bestimmten Nutzern erlauben wollen sich bei einem PAM Dienst zu authen tifizieren ist dies sehr leicht zu erreichen indem Sie Dateien benutzen in denen die Nutzer denen es erlaubt ist sich einzuloggen oder nicht gespeichert sind Stellen Sie sich vor Sie m chten lediglich dem Nutzer ref erlauben sich mittels ssh einzuloggen Sie schreiben ihn also in eine Datei etc ssh users allowed und schreiben das Folgende in etc pam d ssh auth required pam_listfile so item user sense allow file etc ssh Da es eine Reihe von Sicherheitsl cken mit so genannten unsicheren tempor ren Datei en zum Beispiel in thttpd vgl DSA 883 1 http www debian org security 2005 dsa 883 gab lohnt es sich das Paket 1ibpam tmpdir zu installieren Alles was Sie ma c
67. chroot wurden noch nicht vollst ndig getestet Es funktioniert mit Login aber es d rfte nicht leicht sein diese Umgebung f r andere Programme einzurichten Kapitel 4 Nach der Installation 67 einsetzen auch dann nicht wenn Sie es zu etc shells hinzuf gen Aber Sie k nnen in die Datei welche den Startvorgang der Shell steuert folgendes eintragen umask 077 exec script q a var log sessions SUSER Die History Datei der Shell benutzen Wenn Sie auswerten wollen was die Benutzer in die Shell eingeben aber nicht was das Er gebnis ist k nnen Sie eine systemweite etc profile so einrichten dass alle Befehle in der History Datei Verlaufsdatei gespeichert werden Die systemweite Einstellung muss so ein gerichtet werden dass Benutzer die Auditm glichkeit nicht aus ihrer Shell entfernen k nnen Ob dies m glich ist h ngt von der Art der Shell ab Sie m ssen also sicherstellen dass alle Benutzer eine Shell verwenden die das unterst tzt F r die Bash zum Beispiel k nnte etc profile folgenderma en aufgebaut werden HISTFILE bash_history HISTSIZE 10000 HISTFILESIZE 999999 Don t let the users enter commands that are ignored in the history file HISTIGNORE HISTCONTROL readonly HISTFILE readonly HISTSIZE readonly HISTFILESIZE readonly HISTIGNORE readonly HISTCONTROL export HISTFILE HISTSIZE HISTFILESIZE HISTIGNORE HISTCONTROL
68. conditions define LOG_WARNING 4 warning conditions define LOG NOTICE 5 normal but significant condition define LOG_INFO 6 informational define LOG_DEBUG i debug level messages 12 1 12 Benutzer und Gruppen des Betriebssystems Sind alle Systemnutzer notwendig Ja und nein Debian wird mit einigen vordefinierten Nutzern User ID UID lt 99 beschrie ben in der Debian Policy http www de debian org doc debian policy oder in usr share doc base passwd README geliefert Dadurch wird die Installation einiger Kapitel 12 H ufig gestellte Fragen Frequently asked Questions FAQ 205 Dienste erleichtert f r die es notwendig ist unter einem passenden Nutzer UID zu laufen Wenn Sie nicht vorhaben neue Dienste zu installieren k nnen Sie die Nutzer entfernen de nen keine Dateien auf Ihrem System geh ren und die keine Dienste laufen lassen Unabh ngig davon ist das Standardverhalten in Debian dass UIDs von 0 bis 99 reserviert sind und UIDs von 100 bis 999 von Paketen bei der Installation erstellt werden und gel scht werden wenn das Pakete vollst ndig gel scht wird purge wird Nutzer denen keine Dateien geh ren finden Sie leicht mit dem folgenden Kommando f hren Sie es als Root aus da ein normaler Nutzer nicht gen gend Zugriffsrechte haben k nnte um einige sensible Verzeichnisse zu durchsuchen cut f 1 d etc passwd while read i do find user Si grep q amp amp echo
69. das das Ziel nicht verlassen kann normalerweise es gibt aber einige Bedingungen die einem einen Aus bruch aus solch einem Gef ngnis gestatten Wenn Sie einem Benutzer oder einem Dienst nicht trauen k nnen Sie eine modifizierte root Umgebung f r ihn erzeugen Dies kann einiges an Plattenplatz ben tigen da Sie alle ben tigten Programme ebenso wie Bibliotheken in das Ge f ngnis kopieren m ssen Aber danach ist die Wirkung des Schadens selbst wenn der Benutzer etwas b sartiges macht auf das Gef ngnis beschr nkt Kapitel 5 Absichern von Diensten die auf Ihrem System laufen 119 Viele Dienste die als Daemonen laufen k nnen von dieser Vorgehensweise profitieren Die Daemonen die Sie mit Ihrer Debian Distribution installieren laufen jedoch nicht standardm Big in einem chroot Gef ngnis Dies beinhaltet Name Server wie bind Web Server wie apache Mail Server wie sendmail und FTP Server wie wu ftpd Wahrscheinlich ist es nur fair zu sagen dass die Komplexit t von BIND der Grund daf r ist warum er in den letzten Jahren so oft f r Attacken verwundbar war vergleiche Sichern von BIND auf Seite 109 Jedoch bietet Debian einige Software an die helfen kann chroot Umgebungen aufzubauen Sehen Sie Automatisches Erstellen von Chroot Umgebungen auf dieser Seite Wenn Sie irgendwelche Dienste in Ihrem System laufen lassen sollten Sie dies so sicher wie nur m glich tun Dies beinhaltet Entziehen von r
70. dem Paket sysklogd update inetd aus dem Paket netbase Ohne Perl und solange Sie diese Dienstprogramme nicht in einem Shell Skript neu schreiben werden Sie also wahrscheinlich keine Pakete mehr verwalten k nnen und so das System nicht upgraden k nnen und das ist keine gute Idee Wenn Sie sich dazu entschlossen haben Perl aus dem Debian Basis System zu entfernen und ein wenig Freizeit haben schicken Sie uns doch Fehlerberichte zu den aufgez hlten Paketen die als ein Patch einen Ersatz dieser Dienstprogramme als Shell Skript enthalten Wenn Sie wissen wollen welche Debian Pakete von Perl abh ngen k nnen Sie Folgendes ver wenden grep available s Package Priority F Depends perl oder apt cach rdepends perl Kapitel 3 Vor und w hrend der Installation 46 3 8 Lesen Sie Debians Sicherheits Mailinglisten Es ist niemals falsch einen Blick in die debian security announce Mailingliste zu werfen wo Anleitungen und Probleml sungen durch das Debian Sicherheits Team bekannt gemacht wer den oder sich anmailto debian security lists debian org zu beteiligen wo Sie an Diskussionen zu allen sicherheitsrelevanten Fragen teilnehmen k nnen Um wichtige Warnungen zu Sicherheitsaktualisierungen zu erhalten senden Sie eine E Mail an debian security announce request lists debian org mailto debian security announce request lists debian org mit dem Wort subscribe in der Betreffzeile Sie k nnen diese moderier
71. der Au enwelt zu verbinden Beachten Sie Dies ist nicht f r die vorherigen Verbindungen notwendig erinnern Sie sich stateful filtering und k nnte entfernt werden iptables A FORWARD p tcp s 62 3 3 28 32 d 0 0 j ACCEPT se e 3 241 Anhang E Beispielskript um die Standard Installation von Bind zu ndern Dieses Skript automatisiert die Prozedur die Standard Installation des Name Servers bind zu ndern so dass er nicht als Superuser l uft Es wird auch den Nutzer und die Gruppe f r den Name Server erstellen Benutzen Sie es u erst vorsichtig da es nicht ausreichend getestet wurde bin sh Change the default Debian bind configuration to have it run with a non root user and group FF OSE de FF FF FF de e WARN veri c teH az ao H4 This script has not been tested thoroughly please fy the changes made to the INITD script 2002 Javier Fern ndez Sanguino Pe a his program is free software you can redistribute it and or modify t under the terms of the GNU General Public License as published by he Free Software Foundation either version 1 or at your option ny later version his program is distributed in the hope that it will be useful ut WITHOUT ANY WARRANTY without even the implied warranty of ERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE See the NU General Public License for more details Please s the file COPYING for the comple
72. der Bash RESTRICTED SHELL siehe bash 1 verwendet h tten Beachten Sie bitte dass sogar mit einer beschr nkten Shell ein Nutzer der auf ein interaktives Programm zugreifen kann das ihm erlaubt eine Subshell auszuf hren diese Limitierung der Shell umgehen kann Debian bietet zurzeit in seiner Unstable Ver ffentlichung und wird es vielleicht der n chsten Stable Ver ffentlichung hinzuf gen das pam_chroot Modul in libpam chroot an Eine Alternative hierzu ist es die Dienste die eine Fernanmeldung erm glichen ssh und telnet in einer chroot Umgebung laufen zu lassen Wenn Sie einschr nken wollen wann ein Nutzer auf das System zugreifen kann m ssen sie etc security access conf an Ihre Bed rfnisse anpassen Informationen wie man Benutzer die auf das System mittels dem ssh Dienst zugreifen in ei ne chroot Umgebung einsperrt wird in Chroot Umgebung f r SSH auf Seite 249 beschrie ben 4 11 9 berpr fen der Nutzer Wenn Sie wirklich paranoid sind sollten Sie vielleicht eine systemweite Einrichtung verwen den um zu berwachen was die Benutzer auf Ihrem System tun In diesem Abschnitt werden eine Tipps vorgestellt wie Sie verschiedene Werkzeuge verwenden berwachung von Ein und Ausgabe mittels eines Skripts Um sowohl die von den Nutzern ausf hrten Programme als auch deren Ergebnisse zu ber wachen k nnen Sie den Befehl script verwenden Sie k nnen script nicht als eine Shell 5 ibpam
73. des Schl ssel angek ndigt werden wird oder jede andere erdenkliche Methode verwenden um den Fingerabdruck zu berpr fen Zum Beispiel k nnen Sie auch Folgendes machen GET http ftp master debian org ziyi_key_2006 asc gpg import gpg key 2D230C5F public key Debian Archive Automatic Signing Key 2006 lt ftpmaster amp debian org gt imported gpg Anzahl insgesamt bearbeiteter Schl ssel gpg unver ndert gpg check sigs fingerprint 2D230C5F pub 1024D 2D230C5F 2006 01 03 expires 2007 02 07 Key fingerprint 0847 50FC 01A6 D388 A643 D869 0109 0831 2D23 0C5F uid Debian Archive Automatic Signing Key 2006 lt ftpmaster debian org gt sig 3 2D230C5F 2006 01 03 Debian Archive Automatic Signing Key 2006 lt ftpmaster debian org gt sig 2A4E3EAA 2006 01 03 Anthony Towns lt aj azure humbug org au gt sig 4F368D5D 2006 01 03 Debian Archive Automatic Signing Key 2005 lt ftpmaster debian org gt sig 29982E5A 2006 01 04 Steve Langasek lt vorlon dodds net gt sig FD6645AB 2006 01 04 Ryan Murray lt rmurray cyberhqz com gt sig AB2A91F5 2006 01 04 James Troup lt james nocrew org gt und dann von Ihrem Schltissel oder einem Schliissel dem Sie vertrauen den Pfad des Vertrauens http www de debian org doc manuals securing debian howto ch7 s deb pack sign zu wenigstens einem der Schl ssel der verwendet wurde um den Archivschl ssel zu unterschreiben berpr fen Wenn Sie vorsicht
74. die Sicherheit in keinster Weise erh ht wenn Sie weiterhin Klartext Protokolle verwenden Am besten w re es ftp telnet pop imap und http zu entfernen und durch ihre entsprechenden verschl sselten Dienste zu erset zen Sie sollten in Erw gung ziehen von diesen Diensten zu deren SSL Versionen zu wechseln ftp ssl telnet ssl pop ssl https Die meisten der oben aufgelisteten Tipps gelten f r jedes Unix System Sie werden sie in jedem anderen sicherheitsrelevanten Dokument das Sie jemals lesen wiederfinden wenn es sich auf Linux und andere Unices bezieht 5 12 NIS deaktivieren Sie sollten wenn m glich nicht NIS den Network Information Service benutzen da er das gemeinsame Nutzen von Passw rtern erlaubt Dies kann sehr unsicher sein wenn Ihr Setup fehlerhaft ist Wenn Sie Passw rter zwischen verschiedenen Maschinen teilen m ssen sollten Sie andere Alternativen in Erw gung ziehen Zum Beispiel k nnen Sie einen LDAP Server aufsetzen und PAM auf Ihrem System so konfigurieren dass es den LDAP Server zur Benutzer Authentifizierung kontaktiert Sie finden ein detailliertes Setup in dem LDAP HOWTO http www tldp org HOWTO LDAP HOWTO html usr share doc HOWTO en txt LDAP HOWTO txt gz Sie k nnen mehr ber NIS Sicherheit in dem NIS HOWTO http www tldp org HOWTO NIS HOWTO html usr share doc HOWTO en txt NIS HOWTO txt gz le sen FIXME jfs Add info on how to set this up in Debian 5 13 Sichern von R
75. die Standard Installation von Bind zu ndern 243 echo WARN Group SGROUP already exists Will not create it fi Same for the user if z grep SUSER etc passwd then echo Creating user USER adduser system home home SUSER no create home ingroup GROUP disabled password disabled login SUSER else echo WARN The user USER already exists Will not create it EA Change the init d script First make a backup check that there is not already one there first if f SINITDBAK then cp SINITD SINITDBAK fi Then use it to change it cat SINITDBAK eval SAWKS gt SINITD echo WARN The script SINITD has been changed trying to test the changes echo Restarting the named daemon check for errors here SINITD restart if S ne 0 then echo ERR Failed to restart the daemon restore exit 1 fi RUNNING ps eo fname grep named if z SRUNNING then echo ERR Named is not running probably due to a problem with the chan restore exit 1 fi Check if it s running as expected Kapitel E Beispielskript um die Standard Installation von Bind zu ndern 244 RUNUSER ps eo user fname grep named cut f 1 qa N if SRUNUSER SUSER then echo All has gone well named seems to be running now as SUSER else echo ERR The script failed to automatically change the system echo ERR Named is currently running as RU
76. disk Roh Zugriff auf Festplatten Gr tenteils quivalent zum Root Zugriff e kmem dev kmem und hnliche Dateien sind von dieser Gruppe lesbar Dies ist gr tenteils ein Relikt aus BSD Aber jedes Programm dass Lese Zugriff auf den Systemspei cher braucht kann so SETGID kmem gemacht werden e dialout Voller und direkter Zugriff auf serielle Schnittstellen Mitglieder dieser Gruppen k nnen Modems rekonfigurieren sich irgendwo einw hlen usw e dip Der Name der Gruppe steht f r Dial up IP Mitglied der Gruppe dip zu sein er laubt Ihnen Programme wie ppp dip wvdial usw zu benutzen um eine Verbindung herzustellen Die Nutzer in dieser Gruppe k nnen das Modem nicht konfigurieren Sie k nnen lediglich Programme aufrufen die es benutzen e fax Erlaubt es den Mitgliedern Fax Software zu benutzen um Faxe zu senden und zu empfangen e voice Voicemail n tzlich f r Systeme die Modems als Anrufbeantworter benutzen e cdrom Diese Gruppe kann dazu benutzt werden einer bestimmen Menge von Nutzern Zugriff auf CD ROM Laufwerke zu geben e floppy Diese Gruppe kann dazu benutzt werden einer bestimmen Menge von Nutzern Zugriff auf Diskettenlaufwerke zu geben e tape Diese Gruppe kann dazu benutzt werden einer bestimmen Menge von Nutzern Zugriff auf Bandlaufwerke zu geben e sudo Mitglieder dieser Gruppe m ssen ihr Passwort nicht eingeben wenn sie sudo be nutzen Siehe usr share doc sudo OPTIONS e au
77. e Das Dateisystem procfs in var chroot sshd proc eingebunden haben Makejail wird es f r Sie einbinden Aber nach einem Neustart werden Sie es erneut einbinden m ssen mount t proc proc var chroot sshd proc Es kann auch automatisch eingebunden werden Dazu m ssen Sie etc fstab bear beiten und folgende Zeile eintragen proc ssh var chroot sshd proc proc none 0 0 e Syslog auf das Ger te dev log in der Chroot Umgebung horchen lassen Dazu m ssen Sie etc default syslogd ndern und a var chroot sshd dev log zur Definition der Variablen SYSLOGD hinzuf gen Sehen Sie sich die Beispielsdatei an um herauszufinden welche nderungen an der Um gebung vorgenommen werden m ssen Einige diese nderungen k nnen nicht automatisch vorgenommen werden wie z B das Kopieren des Home Verzeichnisses eines Benutzers Au erdem sollten Sie die Gef hrdung von sensiblen Informationen begrenzen indem Sie nur die Daten bestimmter Benutzer aus den Dateien etc shadow und etc group kopieren Beachten Sie dass falls Sie Rechtetrennung verwenden der Benutzer sshd in diesen Dateien vorhanden sein muss Die folgende Beispielumgebung wurde ein wenig unter Debian 3 0 getestet Sie basiert auf der Konfigurationsdatei die mit dem Paket geliefert wird und beinhaltet das Paket fileutils Kapitel G Chroot Umgebung f r SSH 256 ash bash chgrp chmod chown cp csh gt etc alternatives csh dd df dir fdfl
78. e Richtig konfiguriertes Routing Oder e Patchen des Kernels 2 In diesem Text finden sich viele Falle in denen gezeigt wird wie man einige Dienste sshd Server apache Druckserver so konfiguriert dass sie nur auf einer bestimmten Adresse lauschen Der Leser sollte in Betracht ziehen dass das den Zugang aus dem gleichen lokalen Netzwerk nicht verhindern kann wenn nicht die in diesem Abschnitt vorgeschlagenen Schritte ergriffen werden FIXME Comments on Bugtraq indicate there is a Linux specific method to bind to a given interface FIXME Submit a bug against netbase so that the routing fix is standard behavior in Debian 4 18 6 Schutz vor ARP Angriffen Wenn Sie den anderen Kisten in Ihrem LAN nicht trauen das sollte immer so sein da es die sicherste Einstellung ist sollten Sie sich vor den verschiedenen ARP Angriffen sch tzen Wie Sie wissen wird das ARP Protokoll dazu verwendet IP Adressen mit MAC Adressen zu verkn pfen f r alle Details siehe RFC826 ftp ftp isi edu in notes rfc826 txt Jedes Mal wenn Sie ein Paket an eine IP Adresse schicken wird eine ARP Aufl sung vorgenommen zuerst wird in den lokalen ARP Speicher geschaut und falls die IP nicht im Speicher ist wird ein Rundruf Broadcast mit der ARP Anfrage verschickt um die Hardware Adresse des Ziels zu finden Alle ARP Angriffe zielen darauf ab Ihrem Rechner vorzugaukeln dass die IP Adresse des Rechners B mit der MAC Adresse des Comput
79. es f r viele Produktiv Systeme sinnvoll Meldungen auch auf der Konsole auszugeben Aber bei vielen solcher Systeme ist es sehr wichtig auch eine neue Maschine zu haben die f r die anderen als ein Loghost fungiert d h sie empf ngt die Logs aller anderen Systeme Sie sollten auch an Mails f r Root denken da viele Sicherheits Kontrollen wie snort ihre Alarme an die Mailbox von root senden Diese Mailbox zeigt normalerweise auf den ersten Kapitel 4 Nach der Installation 77 Nutzer der auf dem System erstellt wurde pr fen Sie dazu etc aliases Sorgen Sie da f r dass roots Mails irgendwo hin geschickt werden wo sie auch gelesen werden lokal oder ferngesteuert Es gibt noch andere Accounts mit besonderer Funktion und andere Aliase auf Ihrem System Auf einem kleinen System ist es wohl am einfachsten sicherzustellen dass alle Aliase auf den Root Account zeigen und dass Mails an root in das pers nliche Postfach des System Administrator weiter geleitet werden FIXME It would be interesting to tell how a Debian system can send receive SNMP traps related to security problems jfs Check snmpt rapfmt snmp and snmpd 4 13 3 Nutzen eines loghosts Ein Loghost ist ein Host der die syslog Daten ber ein Netzwerk sammelt Wenn eine Ihrer Maschinen geknackt wird kann der Eindringling seine Spuren nicht verwischen solange er den Loghost nicht ebenfalls geknackt hat Demzufolge muss der Loghost also besonders si cher sein
80. etc ftpusers hinzuzuf gen awk F if 3 lt 1000 print 1 etc passwd gt etc ftpusers 4 11 5 Verwendung von su Wenn es wirklich ben tigt wird dass Nutzer der Super User also Root d U auf Ihrem System werden zum Beispiel um Pakete zu installieren oder neue Benutzer anzulegen k nnen Sie das Programm su benutzen um Ihre Identit t zu wechseln Sie sollten jeden Login als Nutzer Root vermeiden und stattdessen das Programm su benutzen Eigentlich ist die beste L sung su zu entfernen und zu sudo zu wechseln da es eine feinere Steuerung und mehr M glichkeiten bietet als su Wie auch immer su ist verbreiteter und wird auf vielen Unices benutzt 4 11 6 Verwendung von sudo Das sudo erlaubt es dem Benutzer ein definiertes Kommando unter einer anderen Nutze ridentit t auszuf hren sogar als Root Wenn der Nutzer zu etc sudoers hinzugef gt ist und sich korrekt authentifiziert ist er in der Lage Kommandos die in etc sudoers de finiert wurden auszuf hren Sicherheitsverletzungen wie ein inkorrektes Passwort oder der Versuch ein Programm auszuf hren f r das Ihre Rechte nicht ausreichen werden protokolliert und an root gemailt 4 11 7 Administrativen Fernzugriff verweigern Sie sollten etc security access conf ebenfalls so ver ndern dass ein Login aus der Ferne in ein administratives Konto nicht erlaubt wird Auf diese Weise m ssen die Nutzer das Programm su oder sudo aufrufen um Administratorenrechte zu be
81. f r weiter Informationen ist die Webseite Log Analysis http www loganalysis org In jedem Fall sind selbst automatische Werkzeuge dem besten Analysewerkzeug nicht gewachsen Ihrem Gehirn 4 13 1 Nutzung und Anpassung von logcheck Das Paket logcheck ist in Debian auf drei Pakete verteilt logcheck das Hauptpro gramm logcheck database eine Datenbank regul rer Ausdr cke f r das Programm und logtail gibt Logzeilen aus die noch nicht gelesen wurden Der Standard unter Debian in etc cron d logcheck ist dass logcheck jede Stunde und nach jedem Neustart ausge f hrt wird Wenn dieses Werkzeug in geeigneter Weise angepasst wurde kann es sehr n tzlich sein um den Administrator zu alarmieren wenn etwas ungew hnliches auf dem Sys tem passiert Logcheck kann vollst ndig angepasst werden so dass es Mails ber Ereignisse aus den Logs sendet die Ihrer Aufmerksamkeit bed rfen Die Standard Installation umfasst Profile zum ignorieren von Ereignissen und Rechtswidrigkeiten f r drei unterschiedliche Setups Workstation Server und paranoid Das Debian Paket umfasst die Konfigurationsdatei etc logcheck logcheck conf die vom Pro gramm eingelesen wird und die definiert an welchen Nutzer die Testergebnisse ge schickt werden sollen Es stellt au erdem einen Weg f r Pakete zur Verf gung um neue Regeln in folgenden Verzeichnisses zu erstellen etc logcheck cracking d BEs gibt dar ber einen ziemlich guten Artikel von Lan
82. gute Idee f r alle Dienste die Sie nicht als root laufen lassen den Benutzer nobody und die Gruppe nogroup zu benut zen In diesem Beispiel wird der Benutzer und die Gruppe named benutzt Sie k nnen diese anlegen indem Sie die folgenden Kommandos eingeben addgroup named adduser system home home named no create hom ingroup named disabled password disabled login named Beachten Sie dass der Benutzer named sehr eingeschr nkt ist Wenn Sie aus welchen Gr n den auch immer ein weniger eingeschr nktes Setup haben m chten benutzen Sie Kapitel 5 Absichern von Diensten die auf Ihrem System laufen 113 adduser system ingroup named named Editieren Sie nun etc init d bind mit Ihrem Lieblingseditor und ndern Sie die Zeile die mit start stop daemon start anf ngt zu start stop daemon start quiet xec usr sbin named g named u named ndern Sie die Rechte der Dateien die von Bind verwendet werden inklusive etc bind rndc key LW L 1 root named 77 Jan 4 01 02 rndc key und wo bind seine PID Datei erzeugt z B indem Sie var run namedanstattvon var run verwenden S mkdir var run named chown named named var run named vi etc named conf ndern Sie die Konfigurationsdatei um diesen neuen Pfad zu verwenden options pid file var run named named pid y oan J Au erdem m ssen Sie um zu verhindern dass irgendetwas als root l uft die reloa
83. herstellen compartment und chrootuid warten noch in incoming Einige andere makejail jailer k nnten eben falls eingef hrt werden e Die Informationen von Pedro Zornenon ber das Einsperren per chroot von Bind 8 aber leider nur ftir Potato siehe http people debian org pzn howto chroot bind sh txt einf gen des ganzen Skriptes e Mehr Informationen ber Software zur Analyse von Protokoll Dateien log Dateien logs zum Beispiel Logcheck und logcolorise e Fortgeschrittenes Routing Traffic Regelungen sind sicherheitsrelevant e Zugang ber SSH so einschr nken dass man nur bestimmte Kommandos ausf hren kann e Die Benutzung von dpkg statoverride e Sichere Wege mehreren Nutzern den Zugriff auf CD Brenner zu erlauben e Sichere Wege um Sound zusammen mit einem Display ber ein Netzwerk zu leiten so dass die Sounds eines X Clients ber die Hardware eines X Servers abgespielt werden e Absichern von Web Browsern e Aufsetzen von ftp ber ssh e Die Benutzung von verschl sselten Loopback Dateisystemen e Verschl sselung eines ganzen Dateisystems e Steganographie Tools e Aufsetzen eines PKA f r eine Organisation e LDAP benutzen zur Verwaltung der User Es gibt ein HOWTO zu Idap kerberos f r Debian auf http www bayour com von Turbo Fredrikson e Wie man Informationen mit begrenztem Nutzen wie z B usr share doc oder usr share man auf Produktivsystemen entfernt jawohl security by obscurity Kap
84. http packages debian org amavis post fix ein Skript das eine Schnittstelle vom Mail Iransport Agent zu einem oder mehreren kommerziellen Viren Scannern anbietet dieses Paket ist lediglich f r den MTA post fix bestimmt e exiscan ein Virusscanner f r E Mails der in Perl geschrieben wurde Er arbeitet mit Exim zusammen e sanitizer ein E Mail Scanner der potenziell gef hrliche Anh nge entfernen kann e blackhole qmail ist ein Spamfilter f r Qmail mit eingebauter Unterst tzung von Cla mav Einige Gateway Daemons bieten schon Programmerweiterungen an um Antiviren Umgebungen zu erstellen Dazu geh ren exim4 daemon heavy die heavy Version des Exim MTAs frox ein transparenter caching FIP Proxyserver messagewall ein SMTP Proxyserver und pop3vscan ein transparenter POP3 Proxy Wie Sie sehen enth lt Debian selbst derzeit keine Antiviren Software in der offiziellen Haupt distribution 3 0 als dies geschrieben wurde Es enth lt aber verschiedene Schnittstellen um Wenn Sie das letztere Paket verwenden und ein offizielles Debian betreiben wird die Datenbank nicht im Zuge von Sicherheitsaktualisierung auf den neusten Stand gebracht Sie sollten entweder clamav freshclam clamav getfiles verwenden um neue clamav data Pakete zu erstellen oder die Datenbank ber die Seite der Betreuer aktuell halten deb http people debian org zugschlus clamav data deb src http people debian org zugschlu Kapit
85. information sent by Yotam Rubin e Added information on how to build a honeynet using Debian GNU Linux e Added some more TODOS e Fixed more typos thanks Yotam 1 6 42 Version 1 9 Changes by Javier Fern ndez Sanguino Pe a e Added patch to fix misspellings and some new information contributed by Yotam Ru bin e Added references to other online and offline documentation both in a section see Sei en Sie wachsam gegen ber generellen Sicherheitsproblemen auf Seite 29 by itself and inline in some sections e Added some information on configuring Bind options to restrict access to the DNS server e Added information on how to automatically harden a Debian system regarding the har den package and bastille e Removed some done TODOs and added some new ones 1 6 43 Version 1 8 Changes by Javier Fern ndez Sanguino Pe a e Added the default user group list provided by Joey Hess to the debian security mailing list e Added information on LKM root kits Ladbare Kernel Module LKM auf Seite 189 contributed by Philipe Gaspar e Added information on Proftp contributed by Emmanuel Lacour e Recovered the checklist Appendix from Era Eriksson e Added some new TODO items and removed other fixed ones e Manually included Era s patches since they were not all included in the previous version Kapitel 1 Einleitung 24 1 6 44 Version 1 7 Changes by Era Eriksson Typo fixes and wording changes Chan
86. installiert und nicht auf ein klei nes transportables Medium wie eine Diskette passt aber wohl auf einen tragbaren USB Speicher Kapitel 4 Nach der Installation 96 e nicht alle Debian Pakete stellen MD5 Summen der installierten Dateien zur Verf gung da es derzeit nicht in der Policy verlangt wird Sie k nnen allerdings nach der Installa tion die MD5 Summen aller Pakete mit debsums erstellen debsums generate missing keep Sobald der Schnappschuss erstellt wurde sollten Sie sicherstellen dass das entsprechende Medium schreibgesch tzt ist Sie k nnen es dann als Sicherheitskopie verwenden oder in ein Laufwerk stecken um jede Nacht mit cron die MD5 Summen des Systems mit Ihrem Schnappschuss zu vergleichen Wenn Sie keine berpr fung von Hand einrichten wollen k nnen Sie immer eines der Inte grit tssysteme verwenden die diese Aufgabe und noch vieles mehr f r Sie erledigen werden Weitere Informationen finden Sie unter Periodische berpr fung der Integrit t auf Seite 187 4 20 Andere Empfehlungen 4 20 1 Benutzen Sie keine Software die von svgalib abh ngt SVGAIib ist ganz nett f r Konsolen Liebhaber wie mich aber in der Vergangenheit wurde mehrfach gezeigt dass es ziemlich unsicher ist Exploits durch zgv wurden ver ffentlicht und es war einfach root zu werden Versuchen Sie die Nutzung von SVGAlib Programmen wann immer nur m glich zu verhindern 97 Kapitel 5 Absichern von Diensten die
87. k nnen Sie versuchen diesen mittels update passwd vergleichen Sie update passwd 8 wiederherzustellen Was ist der Unterschied zwischen den Gruppen adm und staff Die Gruppe adm besteht blicherweise aus Administratoren Die Rechte dieser Gruppe er lauben es ihnen Log Dateien zu lesen ohne su benutzen zu m ssen Die Gruppe staff ist gew hnlich f r Kundendienst und Junioradministratoren bestimmt und gibt ihnen die M g lichkeit Dinge in usr local zu erledigen und Verzeichnisse in home anzulegen 12 1 13 Warum gibt es eine neue Gruppe wenn ich einen neuen Nutzer anlege Oder warum gibt Debian jedem Nutzer eine eigene Gruppe Das Standardverhalten von Debian ist dass jeder Nutzer seine eigene pers nliche Gruppe hat Das traditionelle UN X Modell weist alle Benutzer der Gruppe users zu Zus tzliche Gruppe werden erstellt um den Zugang zu gemeinsam genutzten Dateien die mit verschiedenen Pro jektverzeichnissen verbunden sind einzuschr nken Die Dateiverwaltung wurde schwierig wenn ein einzelner Nutzer an verschiedenen Projekten arbeitete da wenn jemand eine Datei erstellte diese mit der prim ren Gruppe des Erstellers z B users verbunden war Das Modell von Debian l st dieses Problem indem es jedem Nutzer seine eigene Gruppe zu weist So wird mit einer korrekten Umask 0002 und mit dem SETGID Bit f r ein Projekt verzeichnis den Dateien die in diesem Verzeichnis erstellt werden automatisch die
88. k nnen leicht falsch verwendet werden und eine Menge rger verursachen indem sie den gesamten Zugang zu einem Computernetzwerk stilllegen Es ist nicht v llig ungew hnlich dass sich ein Systemadministrator der ein System verwaltet das hunderte oder tausende von Kilometern entfernt ist irrtiimlicherweise selbst davon ausgeschlossen hat Man kann es sogar schaffen sich von dem Computer auszusperren dessen Tastatur unter seinen Fingern liegt Lassen Sie daher die gebotene Vorsicht walten Vergessen Sie nicht Das blo e Installieren von iptables oder dem lteren Firewallcode gibt Ihnen keine Sicherheit es stellt lediglich die Software zur Verf gung Um eine Firewall zu haben m ssen Sie sie konfigurieren Wenn Sie keine Ahnung haben wie Sie Ihre Firewall Regeln manuell aufsetzen sollen sehen Sie in dem Packet Filtering HOWTO und NAT HOWTO aus dem Paket iptables zu finden unter usr share doc iptables html nach Wenn Sie nicht viel ber Firewalls wissen sollten Sie beginnen indem Sie das Fire walling and Proxy Server HOWTO http www tldp org HOWTO Firewall HOWTO html lesen Installieren Sie das Paket doc linux text wenn Sie es offline lesen wol len Wenn Sie Fragen stellen wollen oder Hilfe beim Einrichten einer Firewall ben ti gen k nnen Sie sich an die debian firewall Mailingliste wenden siehe http lists debian org debian firewall Sehen Sie auch Seien Sie wachsam gegen ber generel len Sicherheitsproblemen
89. keine M glichkeit wenn Sie die Sicherheitsaktualisierung ber eine entfernte Verbin dung z B mit ssh vornehmen da sie getrennt werden w rde Lassen Sie Vorsicht walten wenn Sie es mit Sicherheitsaktualisierungen ber eine entfernte Verbindung wie mit ssh zu tun haben Die empfohlene Vorgehensweise f r Sicherheitsaktuali sierungen die Dienste betreffen ist den SSH Daemon neu zu starten und sofort zu versuchen eine neue SSH Verbindung herzustellen ohne die alten zu beenden Falls der Verbindungs versuch scheitern sollte machen Sie die Aktualisierung r ckg ngig und untersuchen Sie das Problem 1Selbst wenn die Bibliotheken aus dem Dateisystem entfernt wurden werden die Inodes nicht beseitigt bis kein Programm mehr einen offenen Dateideskriptor mit Verweis auf sie hat Je nach der Version von lsof m ssen Sie 8 statt 9 verwenden 3Das passierte z B beim Upgrade von libc6 2 2 x zu 2 3 x wegen Problemen mit der NSS Authentifizierung siehe http lists debian org debian glibc 2003 debian glibc 200303 msg00276 html uniq sort Kapitel 4 Nach der Installation 50 4 2 2 Sicherheitsaktualisierung des Kernels Stellen Sie zun chst sicher dass Ihr Kernel durch das Paketsystem verwaltet wird Wenn Sie die Installation mit dem Installationssystem von Debian 3 0 oder fr her durchgef hrt haben ist Ihr Kernel nicht in das Paketsystem integriert und k nnte veraltet sein Sie k nnen das leicht berpr fen indem Sie Fol
90. mgmt if undefined no rules will be setup NETWORK_MGMT 192 168 0 0 24 Port used for the SSH service define this is you have setup a management network but remove it from TCP_SERVICES SSH_PORT 22 if x sbin iptables then exit 0 fi fw_start Input traffic sbin iptables A INPUT m state state ESTABLISHED RELATED j ACCEPT Services if n STCP_SERVICES then for PORT in TCP_SERVICES do sbin iptables A INPUT p tcp dport PORT j ACCEPT done fi if n SUDP_SERVICES then for PORT in UDP_SERVICES do sbin iptables A INPUT p udp dport PORT j ACCEPT done fi Remote management if n SNETWORK_MGMT then sbin iptables A INPUT p tcp src NETWORK_MGMT dport SSH_PORT Kapitel 5 Absichern von Diensten die auf Ihrem System laufen 128 else sbin iptables A INPUT p tcp dport SSH_PORT j ACCEPT saa Remote testing sbin iptables A INPUT p icmp j ACCEPT sbin iptables A INPUT i lo j ACCEPT sbin iptables P INPUT DROP sbin iptables A INPUT j LOG Output sbin iptables A OUTPUT j ACCEPT o lo sbin iptables A OUTPUT m state state ESTABLISHED RELATED j ACCEPT ICMP is permitted sbin iptables A OUTPUT p icmp j ACCEPT So are security package updates Note You can hardcode the IP address here to prevent DNS spoofing and to setup the rules even if DNS does not work but then you will not see
91. nen denken Sie vielleicht es sei eine gute Idee dies gleich w hrend der Installation zu nut zen Wenn das System direkt mit dem Internet verbunden ist und nicht von einer Firewall oder NAT gesch tzt wird ist es besser das System ohne Internet Verbindung zu installieren Benutzen Sie sowohl f r die zu installierenden Pakete als auch f r die Sicherheits Updates eine lokale Quelle mirror Sie k nnen einen Paket Mirror aufsetzen indem Sie ein anderes System nutzen dass mit dem Internet verbunden ist und f r Debian spezifische Werkzeuge falls es sich um ein Debian System handelt wie apt move oder apt proxy oder andere gebr uchliche Werkzeuge zur Erstellung von Quellen verwendet Damit kann das Archiv f r das installierte System zur Verf gung gestellt werden Sollte dies nicht m glich sein sollten Sie Firewall Regeln aufsetzen die den Zugriff auf Ihr System beschr nken w hrend Sie das Update durchf hren siehe Schutz der Sicherheitsaktualisierung durch eine Firewall auf Sei te 247 3 4 Setzen Sie ein Passwort f r root Die wichtigste Grundlage f r ein sicheres System ist ein gutes Root Passwort Siehe passwd 1 f r einige Tipps wie man gute Passw rter ausw hlt Sie k nnen auch automa tische Passwort Generatoren verwenden siehe Erstellen von Benutzerpassw rtern auf Sei te 71 Im Internet gibt es zahlreiche Hinweise dazu wie man gute Passw rter w hlt Zwei Seiten die eine angemessene bersicht und A
92. noch irgendwelchen Informationen die es an Sie liefert vertrauen k nnen Anwendungen k nnten von einem Trojaner befallen sein Kernel Module k nnten installiert worden sein usw Am besten ist es eine komplette Sicherheitskopie Ihres Dateisystems mittels dd zu erstel len nachdem Sie von einem sicheren Medium gebootet haben Debian GNU Linux CD ROMs k nnen dazu n tzlich sein da sie auf Konsole zwei eine Shell anbieten nachdem die Installati on gestartet wurde mit Alt 2 und Enter aktivieren Sie sie Von dieser Shell aus sollten Sie eine Sicherheitskopie m glichst auf einem anderen Host erstellen vielleicht auf einen Netzwerk File Server ber NFS FTP Dadurch kann eine Analyse des Einbruchs oder eine Neuinstalla tion durchgef hrt werden w hrend das betroffene System offline ist Wenn Sie sich sicher sind dass es sich lediglich um ein trojanisiertes Kernel Modul handelt k nnen Sie versuchen das Kernel Image von der Debian CD ROM im rescue Modus zu laden Stellen Sie sicher dass Sie im single Modus starten so dass nach dem Kernel keine weiteren Trojaner Prozesse gestartet werden Das ist auch das Werkzeug mit dem die CD ROMs f r das Projekt Gibraltar http www gibraltar at erstellt werden Das ist eine Firewall auf einer Live CD ROM die auf der Debian Distribution beruht Kapitel 11 Nach einer Kompromittierung Reaktion auf einem Vorfall 197 11 3 Setzen Sie sich mit dem lokal CERT in Verbindung Das CERT
93. post fix editieren Sie etc postfix main conf inet_interfaces localhost Wenn Sie lediglich lokale Mails wollen ist dieses Herangehen besser als den Mailer Daemon in einen tcp Wrapper zu h llen oder Firewall Regeln einzuf gen die den Zugang f r alle limi tieren Wenn Sie jedoch auch auf andere Schnittstellen reagieren m ssen sollten Sie berlegen ihn vom inetd aufrufen zu lassen und einen tcp Wrapper einzusetzen so dass eingehende Ver bindungen gegen etc hosts allow und etc hosts deny gepr ft werden Au erdem werden Sie vor unautorisierten Zugriffsversuchen gegen Ihren Mail Daemon durch angemes senes Protokollieren gewarnt werden wollen In jedem Fall k nnen Sie Mail Zustellversuche auf dem SMTP Level ablehnen indem Sie die etc exim exim conf ab ndern damit Sie Folgendes enth lt receiver_verify true Auch wenn Ihr Mail Server keine Mails zustellen wird ist diese Konfiguration f r den Relay Tester auf http www abuse net relay html n tig um festzustellen dass Ihr Server nicht relaisf hig ist Kapitel 5 Absichern von Diensten die auf Ihrem System laufen 108 Wenn Sie Mails nur weiterleiten m chten k nnen Sie in Erw gung ziehen den Mail Daemon durch Programme zu ersetzen die nur zum Weiterleiten der Mail zu einem entfernten Mail Server konfiguriert werden k nnen Debian stellt zurzeit ssmtp und nullmailer f r diese Zwecke zur Verf gung Auf jeden Fall k nnen Sie f r sich selbst alle vo
94. root root 331 Jun 3 13 46 ssh_host_key pub LW 1 root root 883 Jun 3 13 46 ssh_host_rsa_key rw r r 1 root root 222 Jun 3 13 46 ssh_host_rsa_key pub rw r r 1 root root 2471 Jun 4 12 15 sshd_config etc pam d total 24 drwxr xr x 2 root root 4096 Jun 4 12 02 Kapitel G Chroot Umgebung f r SSH 263 drwxr xr x 4 root root 4096 Jun 4 12 35 lrwxrwxrwx 1 root root 4 Jun 4 12 02 other gt sshd rw r r 1 root root 318 Jun 3 13 46 passwd rw r r 1 root root 546 Jun 4 11 36 ssh rw r r 1 root root 479 Jun 4 12 02 sshd rw r r 1 root root 370 Jun 3 13 46 su etc security total 32 drwxr xr x 2 root root 4096 Jun 3 13 43 drwxr xr x 4 root root 4096 Jun 4 12 35 rw r r 1 root root 1971 Jun 3 13 46 access conf rw r r 1 root root 184 Jun 3 13 46 chroot conf rw r r 1 root root 2145 Jun 3 13 46 group conf rw r r 1 root root 1356 Jun 3 13 46 limits conf rw r r 1 root root 2858 Jun 3 13 46 pam_env conf rw r r 1 root root 2154 Jun 3 13 46 time conf 716 total 8316 drwxr xr x 3 root root 4096 Jun 4 12 13 drwxr xr x 9 root root 4096 Jun 5 10 05 rw r r 1 root root 1024 Jun 4 11
95. security mailing list 1 6 35 Version 1 97 Changes by Javier Fern ndez Sanguino Pe a e Fixed link for Linux Trustees e Fixed typos patches from Oohara Yuuma and Pedro Zorzenon Kapitel 1 Einleitung 22 1 6 36 Version 1 96 Changes by Javier Fern ndez Sanguino Pe a e Reorganized service installation and removal and added some new notes e Added some notes regarding using integrity checkers as intrusion detection tools e Added a chapter regarding package signatures 1 6 37 Version 1 95 Changes by Javier Fern ndez Sanguino Pe a e Added notes regarding Squid security sent by Philipe Gaspar e Fixed rootkit links thanks to Philipe Gaspar 1 6 38 Version 1 94 Changes by Javier Fern ndez Sanguino Pe a e Added some notes regarding Apache and Lpr Ipng e Added some information regarding noexec and read only partitions Rewritten how can users help in Debian security issues FAQ item 1 6 39 Version 1 93 Changes by Javier Fern ndez Sanguino Pe a e Fixed location of mail program e Added some new items to the FAQ 1 6 40 Version 1 92 Changes by Javier Fern ndez Sanguino Pe a e Added a small section on how Debian handles security e Clarified MD5 passwords thanks to rocky e Added some more information regarding harden X from Stephen van Egmond e Added some new items to the FAQ Kapitel 1 Einleitung 23 1 6 41 Version 1 91 Changes by Javier Fern ndez Sanguino Pe a e Added some forensics
96. so angepasst werden dass zus tzliche F higkeiten einschlie lich SSL und TLS Zertifikate oder Verschl sselung m glich werden Die Handb cher finden Sie unter http localhost 631 oder cups org FIXME Add more content the article on Amateur Fortress Building http www rootprompt org provides some very interesting views FIXME Check if PDG is available in Debian and if so suggest this as the preferred printing system FIXME Check if Farmer Wietse has a replacement for printer daemon and if it s available in Debian 5 6 Absichern des Mail Dienstes Wenn Ihr Server kein Mail System ist m ssen Sie wirklich keinen Mail Daemon haben der auf eingehende Verbindungen reagiert Aber Sie wollen lokale Mails ausliefern um beispielsweise Mails an den Root User von irgendwelchen Alarmsystemen zu erhalten Wenn Sie exim haben m ssen Sie den Daemon nicht laufen lassen um dies zu erreichen da der Standard cron Job die Mails abarbeitet Sehen Sie in Daemons abschalten auf Seite 40 wie man dies erledigt 5 6 1 Konfiguration eines Nullmailers Sie m gen einen lokalen Mail Daemon wollen so dass er die Mails die vom lokalen Rechner zu einem anderen System geschickt wurden versenden kann Dies ist blich wenn Sie eine Anzahl von Systemen zu administrieren haben und nicht zu jedem von diesen eine Verbin dung aufbauen wollen um die dort lokal verschickten Mails zu lesen Genau wie all das Pro tokollieren eines jeden in
97. soe ed 4s ead ale Soe d Sk SN Ble re Bi 19 Verid comas ew ew pe an 19 Versi n dll a we En ee a Owe Ee a 19 Version2 0 y a 5 5 e244 63642 bw ke eh RSs Che aan 20 VETO LAS a ee ee ee Be A eee 21 Version gs gt canteen a En Gy Ba Sha SES eke ea e ad 21 Version LI pda Sk Be MA a Bee Boe awe BG 21 WEIEN dr ee ed ee ee eR A ek A a a 22 Version LID o p u 220 444 BS ARREARS a Bi we od es 22 Version G4 oe hd dad A OE AED Ee Ee E 22 Version 193 u al BO a OSA OPE Bo ew OR ee e 22 Version LIZ ima Sek ek E a 22 Versiaa LOT una we Bade BE ee A A A ee A 23 Werston 1 8 a Ee ee HE e ba ek a ed 23 PDAS o e HG as es Gerd A bee die Ae ae ee ee 23 Ke a S25 korea nn nn SSS Rare eee eS ae ew Be ed 24 VETSIO LO A Ai 5 eee aod eee as ae area en ee eee ga 24 Version 19 A we ale ee Se EE ee ne 24 Version 1A os opino BS RRR SEA ES ES EHS BARE EER he 25 INHALTSVERZEICHNIS iii 1648 Version E 22222 ee Bi See eb eR ii gran 25 1649 Verion les ss un nen ee ea en et 25 16 50 Version dd s 24 22222202 a da Shee eee Birnen nd 25 LESI Versi Misses SE Ars ale Er 25 Le Days y po RAE A AA AAA A recht 25 1 7 1 Danksagungen des bersetzers 22 22 oo eo 26 Bevor Sie beginnen 29 21 Wof r m chten Sie dieses System benutzen 2 is dies as 04 29 2 2 Seien Sie wachsam gegen ber generellen Sicherheitsproblemen 29 23 Wie geht Debian mit der Sicheheit um A cocos A eS 32 Vor und w hrend der Installation 35 3 1 Setzen Sie an Passwort im BIOS
98. the firewall section Updated the information regarding the iptables package and the firewall generators available Kapitel 1 Einleitung 18 e Reorganized the information regarding logchecking moved logcheck information from host intrusion detection to that section e Added some information on how to prepare a static package for bind for chrooting un tested e Added a FAQ item could be expanded with some of the recomendations from the debian security list regarding some specific servers services e Added some information on RPC services and when it s necessary e Added some more information on capabilities and what lcap does Is there any good documentation on this I haven t found any on my 2 4 kernel e Fixed some typos 1 6 27 Version 2 4 Changes by Javier Fern ndez Sanguino Pe a e Rewritten part of the BIOS section 1 6 28 Version 2 3 Changes by Javier Fern ndez Sanguino Pe a e Wrapped most file locations with the file tag e Fixed typo noticed by Edi Stojicevi e Slightly changed the remote audit tools section e Added some todo items e Added more information regarding printers and cups config file taken from a thread on debian security e Added a patch submitted by Jesus Climent regarding access of valid system users to Proftpd when configured as anonymous server e Small change on partition schemes for the special case of mail servers e Added Hacking Linux Exposed to the books sec
99. und ber 15 wurden am gleichen Tag repariert an dem die Anweisung ver ffentlicht wurde Oft vergessen Leute die diese Frage stellen dass e DSAs nicht verschickt werden bis Pakete f r alle von Debian unterst tzten Architekturen verf gbar sind dies braucht etwas Zeit wenn es sich um Pakete handelt die Teil des Systemkerns sind beson ders wenn man die Anzahl der in der stabilen Ver ffentlichung unterst tzten Ar chitekturen ber cksichtigt Neue Pakete gr ndlich getestet werden um sicher zu stellen dass sich keine neuen Fehler eingeschlichen haben e Pakete m glicherweise schon verf gbar sind bevor das DSA verschickt wird in der Incoming Warteschlange oder auf den Mirror Servern e Debian ein Projekt auf freiwilligen Basis ist e Es eine keine Garantie Klausel gibt die Teil der Lizenz ist der Debian unterliegt Kapitel 12 H ufig gestellte Fragen Frequently asked Questions FAQ 222 Wenn Sie eine tiefergehende Analyse w nschen wie lange das Sicherheitsteam an Si cherheitsl cken arbeitet sollten Sie wissen dass neue DSAs vergleichen Sie Debian Sicherheits Ank ndigungen auf Seite 138 auf der Sicherheits Webseite http security de debian org ver ffentlicht werden Daneben finden sich dort auch die Metadaten die verwendetet werden um die DSAs zu erstellen und Links zur Datenbank mit den Sicher heitsl cken Sie k nnen die Quellen vom Webserver herunterladen aus dem
100. von Abfragen durch Clients ein Zonen Transfers und rekursive Abfragen e Einschr nken des Zugriffs des Daemon auf den Server selbst so dass dem Schaden f r das System im Falle eines Einbruchs Grenzen gesetzt sind Hierzu geh rt auch den Daemon als nicht privilegierten Benutzer laufen zu lassen siehe ndern des BIND Benutzers auf Seite 112 und ihn in ein Chroot Gef ngnis einzusperren siehe Chroot Gef ngnis f r Name Server auf Seite 114 Kapitel 5 Absichern von Diensten die auf Ihrem System laufen 110 5 7 1 Bind Konfiguration um Missbrauch zu verhindern Sie sollten einige Informationen die von au en ber den DNS Server abgefragt werden k n nen zur ckhalten so dass man nicht wertvolle Informationen ber Ihre Organisation die Sie nicht herausgeben wollen abfragen kann Dies schlie t die folgenden Optionen mit ein allow transfer allow query allow recursion und version Sie k nnen dies in dem globalen Abschnitt tun so wird es auf alle Zonen angewandt oder jeweils pro Zone Dies ist im Paket bind doc dokumentiert Sobald das Paket installiert ist k nnen Sie hierzu mehr in usr share doc bind html index html lesen Stellen Sie sich vor Ihr Server ist mit dem Internet und Ihrem internen Netzwerk Ihre interne IP ist 192 168 1 2 verbunden ein einfacher Server im heimischen Netzwerk Sie m chten kei nen Dienst im Internet anbieten und lediglich DNS Abfragen von Ihren internen Rechnern er lauben
101. wenn Sie tmp noexec setzen und neue Software installieren wollen da manche Software es wahrend der Installation benutzt apt ist ein solches Programm siehe http bugs debian org 116448 wenn nicht APT ExtractTemplates TempDir siehe apt extracttemplates 1 passend konfiguriert wurde Sie k nnen diese Variable in etc apt apt conf auf ein anderes Verzeichnis als t mp mit exec Privilegien setzen 4 10 2 Setzen von usr auf nur lesen Wenn Sie auf usr nur lesenden Zugriff erlauben werden Sie nicht in der Lage sein neue Pakete auf Ihrem Debian GNU Linux System zu installieren Sie werden es erst mit Schreib zugriff erneut mounten m ssen die Pakete installieren und dann wieder nur mit lesendem Zugriff mounten apt kann so konfiguriert werden dass Befehle vor und nach dem Installie ren von Paketen ausgef hrt werden Vielleicht sollten Sie es passend konfigurieren Dazu ffnen Sie etc apt apt conf und f gen Sie Folgendes ein Einiges davon trifft auf den Paketverwalter dpkg zu da die Installations oder Deinstallationsanweisungen post pre unter var 1lib dpkg liegen und auch auf Smartlist Kapitel 4 Nach der Installation 58 DPkg Pre Invoke mount usr o remount rw Post Invoke mount usr o remount ro y Beachten Sie dass das Post Invoke mit einer usr busy Fehlermeldung scheitern wird Dies passiert vorwiegend wenn Sie eine Datei benutzen die aktualisiert wurde Sie k nnen di
102. werden installiert telnetd M chten Sie fortfahren J n Dies sollte im Kopf des Administrators eine Alarmglocke ausl sen der sein Vorgehen ber denken sollte Kapitel 6 Automatisches Abh rten von Debian Systemen 135 6 2 Bastille Linux Bastille Linux http www bastille linux org ist ein Werkzeug zur automatischen Abh rtung das urspr nglich f r die Linux Distributionen Red Hat und Mandrake gedacht war Wie auch immer Das Paket bastille aus Debian seit Woody ist durch Patches an gepasst um dieselbe Funktionalit t unter Debian GNU Linux Systemen zur Verf gung zu stellen Bastille kann mit verschiedenen Oberfl chen bedient werden alle sind in ihrem eigenen Hand buch dokumentiert die dem Administrator erlauben e Schritt f r Schritt Fragen zur erw nschten Sicherheit Ihres Systems zu beantworten sie he InteractiveBastille 8 e Standardeinstellungen zur Sicherheit zwischen locker moderat und paranoid f r ei ne bestimmte Einrichtung Server oder Arbeitsplatz Rechner zu benutzen und Bastil le entscheiden zu lassen welche Sicherheitsregelungen eingef hrt werden sollen siehe BastilleChooser 8 e eine vorgefertigte Konfigurationsdatei von Bastille oder vom Administra tor zu nehmen und eine vorgegebene Sicherheitsregelung zu benutzen siehe AutomatedBastille 8 Kapitel 6 Automatisches Abh rten von Debian Systemen 136 137 Kapitel 7 Die Infrastruktur f r Sicherheit in De
103. wurde werden neue Pakete unter http security debian org bereit gestellt Wenn Sie ein Debian Release installieren m ssen Sie ber cksichtigen dass es seit dem Release Sicherheitsupdates gegeben haben k nnte nachdem entdeckt wurde dass ein bestimmtes Pa ket verwundbar ist Ebenso k nnte es kleinere Releases gegeben haben es gab sieben kleinere Releases von Debian 2 2 Potato die diese Paketaktualisierungen enthalten Sie m ssen sich das Erstellungsdatum Ihres CD Sets wenn Sie ein solches benutzen notieren und auf der Sicherheitsseite nachpr fen ob es Sicherheitsaktualisierungen gegeben hat Wenn es solche gibt und Sie die Pakete nicht von der Sicherheitsseite mit einem anderen System her unterladen k nnen Ihr System ist doch nicht schon mit dem Internet verbunden oder k nn ten Sie es in Erw hnung ziehen falls Sie nicht beispielsweise durch eine Firewall gesch tzt sind Firewall Regeln zu aktivieren so dass Ihr System ausschlie lich mit security debian org Verbindung aufnehmen kann und dann ein Update ausf hren Eine Beispielkonfiguration fin den Sie unter Schutz der Sicherheitsaktualisierung durch eine Firewall auf Seite 247 Anmerkung Seit Debian Woody 3 0 wird Ihnen nach der Installation die M glichkeit einge r umt Sicherheitsaktualisierungen Ihrem System hinzuzuf gen Wenn Sie hier ja sagen wird das Installationssystem die passenden Schritte unternehmen um die Quellen der Sicherheits aktualisier
104. x 4 root root 4096 Jun 4 12 35 drwxr xr x 9 root root 4096 Jun 5 10 05 LW 1 root root 0 Jun 4 11 46 pwd lock rw r r 1 root root 653 Jun 3 13 46 group rw r r 1 root root 242 Jun 4 11 33 host conf rw r r 1 root root 857 Jun 4 12 04 hosts rw r r 1 root root 1050 Jun 4 11 29 Log so cache rw r r 1 root root 304 Jun 4 11 28 l1d so conf rw r r 1 root root 235 Jun 4 11 27 ld so conf rw r r 1 root root 88039 Jun 3 13 46 moduli rw r r 1 root root 1342 Jun 4 11 34 nsswitch conf drwxr xr x 2 root root 4096 Jun 4 12 02 pam d rw r r 1 root root 28 Jun 12 00 pam_smb conf rw r r 1 root root 2520 Jun 4 11 57 passwd rw r r 1 root root 7228 Jun 3 13 48 profile rw r r 1 root root 1339 Jun 4 11 33 protocols rw r r 1 root root 274 Jun 4 11 44 resolv conf drwxr xr x 2 root root 4096 Jun 3 13 43 security ba Een 1 root root 1178 Jun 4 11 51 shadow LW 1 root root 80 Jun 4 11 45 shadow 1W 1 1 root root 1178 Jun 4 11 48 shadow old rw r r 1 root root 161 Jun 3 13 46 shells rw r r 1 root root 1144 Jun 3 13 46 ssh_config EWS 3 1 root root 668 Jun 3 13 46 ssh_host_dsa_key rw r r 1 root root 602 Jun 3 13 46 ssh_host_dsa_key pub IW 1 root root 527 Jun 3 13 46 ssh_host_key rw r r 1
105. 04332 Kapitel C Aufsetzen eines autonomen IDS 233 ii base files 2 20 ii base passwd 31 10 ii bash 2 03 6 ii bsdutils 2 10 541 ii console data 1999 08 29 11 ii console tools 0 2 3 10 3 ii console tools 0 2 3 10 3 ii cron 3 0PL1 37 2 ii debconf 0 95 77 ii debianutils 1173523 ii dialog 0 9a 20010527 ii diff 27 21 ii dpkg dh 26 6145 ii e2fsprogs 183 0 ii elvis tiny 4 11 ii fbset Dis HO ii fdflush 0 15 ii fdutils 54353 ii fileutils 4 1 2 ii findutils 4 1 40 dds FEp 0 10 3 1 ii gettext base 0 10 35 13 ii grep 2 4 2 1 ii gzip Li 2439 ii hostname 2501 ii isapnptools 1 212 ii joe 2 8 15 2 ii klogd 1 4 1 2 ii 1ldso 1 95 AL 9 11 libbz2 1 0 de RECH ii libc6 2223 6 ii libdb2 2 7 7 8 ii libdbd mysgl p 1 2216 2 ii libdbi perl l 1 18 1 ii libexpatl 1 90 1 5 ii libgdbmgl Lil 327 ii libmm11 1 1 3 4 ii libmysqlclient 3 23 39 3 ii libncurses5 5 2 20010318 2 ii libnewt0 0 50 7 ii libpam modules 0 72 9 ii libpam runtime 0 72 9 ii libpam0g 0 72 9 ii libpcapO 0 62 ii libpcre3 34 1 ii libpoptod 1 4 1 Kapitel C Aufsetzen eines autonomen IDS 234 ii Fi ii ii ii 14 ii ii ii ii 1 4 LE ii ii 11 11 ii ii KS ii ii ii ii 14 dd ii ii Ae ded ii ii ii 11 11 ii ii ded it ii ii 4 ii Ke ii ii ii curses base curse
106. 06 asc ersetzen Sie 2006 mit dem aktuellen Jahr erh ltlich gpg besitzt mit den Schl sselservern eine standardisierte M glichkeit Schl ssel zu verbrei ten Damit kann GPG einen Schl ssel herunterladen und ihn zum Schl sselbund hinzuf gen Beispiel S gpg keyserver pgpkeys mit edu recv key 2D230C5F Ziyi ist offensichtlich der Name einer chinesischen Schauspielerin http de wikipedia org wiki Ziyi_Zhang Kapitel 7 Die Infrastruktur f r Sicherheit in Debian 151 gpg requesting key 2D230C5F from hkp server pgpkeys mit edu gpg key 2D230C5F public key Debian Archive Automatic Signing Key aster debian org gt imported gpg Anzahl insgesamt bearbeiteter Schl ssel gpg importiert Sie k nnen dann den Schl ssel aus Ihrem Schl sselbund exportieren und ihn an apt key weiterreichen gpg a export 2D230C5F sudo apt key add 2006 lt f gpg kein uneingeschr nkt vertrauensw rdiger Schl ssel 080F67F4 gefunden OK Die Warnung gpg kein uneingeschr nkt vertrauenswiirdiger Schl ssel 080F67F4 gefunden bedeutet dass GPG nicht so konfiguriert wurde um einem Schl ssel vollst ndig zu vertrauen Das Zuweisen von Vertrauensstufen ist Teil des Web of Irust von OpenPGP was hier nicht Gegenstand ist Daher ist die Warnung unproblematisch F r gew hnlich wird dem eignen Schl ssel eines Benutzers vollst ndig vertraut Auf sichere Weise einen Schl ssel hinzuf gen Indem Sie ei
107. 1 e Typo fixes miscellaneous additions 1 6 51 Version 1 0 e Initial release 1 7 Danksagungen e Alexander Reelsen schrieb die urspr ngliche Version e Javier Fern ndez Sanguino f gte der Originalversion einiges an Informationen hinzu Robert van der Meulen stellte den Abschnitt ber Quota und viele seiner guten Ideen zur Verf gung e Ethan Benson korrigierte den PAM Abschnitt und hatte einige gute Ideen e Dariusz Puchalak trug Information zu verschiedenen Kapiteln bei e Gaby Schilders trug eine nette Genius Paranoia Idee bei e Era Eriksson gab dem Ganzen an vielen Stellen den sprachlichen Feinschliff und trug zur Checkliste im Anhang bei Kapitel 1 Einleitung 26 1 7 1 Philipe Gaspar schrieb die LKM Informationen Yotam Rubin trug sowohl Korrekturen fiir viele Tippfehler bei als auch Informationen ber die Versionen von Bind und MD5 Passworter Francois Bayart stellte den Anhang zur Verf gung in dem beschrieben wird wie man eine Bridge Firewall aufsetzt Joey Hess schrieb im Debian Wiki wiki debian org den Abschnitt der erkl rt wie Secure Apt funktioniert Martin F Krafft schrieb in seinem Blog etwas dar ber wie die Verifizierung von Finger prints funktioniert Dies wurde im Abschnitt ber Secure Apt verwendet All den Leuten die Verbesserungen vorschlugen die letzten Endes eingeflossen sind siehe nderungs bersicht Changelog Geschichte auf Seite 7 Alexander All den Leut
108. 11 12 Nutzer Sicht Zugriff limitieren FIXME Inhalt ben tigt Aufzeigen der Folgen beim Upgraden wenn die Paketrechte ver n dert werden falls nicht dpkg statoverride verwendet wird brigens sollte ein derartig paranoider Administrator seine Nutzer in eine chroot Umgebung einsperren Wenn Sie einem Nutzer Zugriff auf das System mit einer Shell gew hren m ssen sollten Sie vorsichtig sein Ein Nutzer kann normalerweise wenn er sich nicht in einer streng abgeschirm ten Umgebung befindet z B in einem chroot Gef ngnis ziemlich viel Informationen ber Ihr System sammeln Darunter fallen e einige Konfigurationsdateien unter etc Jedoch werden Debians Standardrechte f r sensible Dateien die zum Beispiel Passw rter enthalten k nnten den Zugriff auf kri tische Informationen verhindern Um zu sehen auf welche Dateien nur der root Nut zer zugreifen kann f hren Sie zum Beispiel find etc type f a perm 600 a uid 0 als Superuser aus e Ihre installierten Pakete Indem man die Paket Datenbank und das usr share doc Verzeichnis ansieht oder indem man mit Hilfe der auf Ihrem System installierten Binari es und Bibliotheken versucht zu raten e einige Protokolle unter var log Beachten Sie dass auf einige Protokolle nur Root und die adm Gruppe zugreifen kann versuchen Sie find var log type f a perm 640 Manche sind sogar ausschlie lich f r Root verf gbar sehen Sie sich find var log type f a perm 600 a uid 0an
109. 2001 pwd fr Xr x 1 root root 24780 Nov 29 13 19 rm lrwxrwxrwx 1 root root 4 Mar 30 16 29 sh gt bash etc total 24 drwxr xr x 2 root root 4096 Mar 15 16 13 drwxr xr x 8 guest guest 4096 Mar 15 16 53 LW L r 1 root root 54 Mar 15 13 23 group Kapitel G Chroot Umgebung f r SSH 253 LW r r 1 root root 428 Mar 15 15 56 hosts LW r r 1 root root 44 Mar 15 15 53 passwd LW r r 1 root root 52 Mar 15 13 23 shells Lib total 1848 drwxr xr x 2 root root 4096 Mar 18 13 37 drwxr xr x 8 guest guest 4096 Mar 15 16 53 rwxr xr x 1 root root 92511 Mar 15 12 49 ld linux so 2 rwxr xr x 1 root root 1170812 Mar 15 12 49 libc so 6 LW L r 1 root root 20900 Mar 15 13 01 libcrypt so 1l rw r r 1 root root 9436 Mar 15 12 49 libdl so 2 LW L r 1 root root 248132 Mar 15 12 48 libncurses so 5 LW r r 1 root root 71332 Mar 15 13 00 libnsl so 1l rw r r 1 root root 34144 Mar 15 16 10 libnss_files so 2 LW r r 1 root root 29420 Mar 15 12 57 libpam so 0 LW r r 1 root root 105498 Mar 15 12 51 libpthread so 0 LW r r 1 root root 25596 Mar 15 12 51 librt so 1 rw r r 1 root root 7760 Mar 15 12 59 libutil so LW L r 1 root root 24328 Mar 15 12 57 libwrap so 0 usr total 16 drwxr xr x
110. 20532 Jun 3 13 45 rm rwxr xr x 1 root root 6720 Jun 4 10 15 rmdir rwxr xr x 1 root root 14705 Jun 3 13 45 s2p rwxr xr x 1 root root 28764 Jun 3 13 46 scp rwxr xr x 1 root root 385000 Jun 3 13 45 sendfax rwxr xr x 1 root root 67548 Jun 3 13 45 sendpage rwxr xr x 1 root root 88632 Jun 3 13 46 sftp rwxr xr x 1 root root 387764 Jun 3 13 45 sh rws x x 1 root root 744500 Jun 3 13 46 slogin rwxr xr x 1 root root 14523 Jun 3 13 46 splain rws x x 1 root root 744500 Jun 3 13 46 ssh rwxr xr x 1 root root 570960 Jun 3 13 46 ssh add rwxr xr x 1 root root 502952 Jun 3 13 46 ssh agent rwxr xr x 1 root root 575740 Jun 3 13 46 ssh keygen rwxr xr x 1 root root 383480 Jun 3 13 46 ssh keyscan rwxr xr x 1 root root 39 Jun 3 13 46 ssh_europa rwxr xr x 1 root root 107252 Jun 4 10 14 strace Kapitel G Chroot Umgebung f r SSH 262 rwxr xr x 1 root root 8323 Jun 4 10 14 strace graph rwxr xr x 1 root root 158088 Jun 3 13 46 thumbnail rwxr xr x 1 root root 6312 Jun 3 13 46 tty rwxr xr x 1 root root 55904 Jun 4 11 46 useradd rwxr xr x 1 root root 585656 Jun A 11 47 vi rwxr xr x 1 root root 6444 Jun A 11 45 whoami dev total 8 drwxr xr x 2 root root 4096 Jun 4 12 16 drwxr xr x 9 root root 4096 Jun 5 10 05 erw r r 1 root root 1 9 Jun 3 13 43 urandom etc total 208 drwxr xr
111. 51 cracklib_dict hwm rw r r 1 root root 214324 Jun 4 11 51 cracklib_dict pwd rw r r 1 root root 11360 Jun 4 11 51 cracklib_dict pwi rwxr xr x 1 root root 342427 Jun 3 13 46 ld linux so 2 rwxr xr x 1 root root 4061504 Jun 3 13 46 libc so 6 lrwxrwxrwx 1 root root 15 Jun 4 12 11 libcrack so gt libcrack so 2 7 lrwxrwxrwx 1 root root 15 Jun 4 12 libcrack so 2 gt libcrack so 2 7 rwxr xr x 1 root root 33291 Jun 4 11 39 libcrack so 2 7 rwxr xr x 1 root root 60988 Jun 3 13 46 libcrypt so 1 rwxr xr x 1 root root 71846 Jun 3 13 46 libdl so 2 rwxr xr x 1 root root 27762 Jun 3 13 46 libhistory so 4 0 lrwxrwxrwx 1 root root 17 Jun 4 12 12 libncurses so 4 gt libncurses so 4 2 rwxr xr x 1 root root 503903 Jun 3 13 46 libncurses so 4 2 lrwxrwxrwx 1 root root 17 Jun 4 12 12 libncurses so 5 gt libncurses so 5 0 rwxr xr x 1 root root 549429 Jun 3 13 46 libncurses so 5 0 rwxr xr x 1 root root 369801 Jun 3 13 46 libnsl so 1 rwxr xr x 1 root root 142563 Jun 4 11 49 libnss_compat so 1 rwxr xr x 1 root root 215569 Jun 4 1 49 libnss_compat so 2 rwxr xr x 1 root root 61648 Jun 4 11 34 libnss_dns so 1 rwxr xr x 1 root root 63453 Jun 4 11 34 libnss_dns so 2 rwxr xr x 1 root root 63782 Jun 4 11 34 libnss_dns6 so 2 rwxr xr x 1 root root 205715 Jun 3 13 46 libnss_files so 1 rwxr xr x 1 root root 235932 Jun 3 13 49 libnss_files so 2 rwxr xr x 1 root root 204383 Jun 4 11 33 libnss_nis so 1 rwxr xr x 1 root root 254023 Jun 4 11
112. 8 Nur in seltenen F llen m ssen Sie hier etwas bearbeiten Aber auch hier k nnen Sie die Sicherheit erh hen Zum Beispiel net ipv4 icmp_echo_ignore_broadcasts 1 Dies ist ein Windows Emulator weil es sich wie Windows bei Rundrufen Broadcast Ping ver halt wenn es auf 1 gesetzt wird Das bedeutet dass ICMP Echo Anfragen die an die Rundru fadresse geschickt werden ignoriert werden Anderenfalls macht es gar nichts Falls Sie verhindern wollen dass Ihr System auf ICMP Echo Anfragen antwortet miissen Sie nur diese Konfigurationsoption anschalten net ipv4 icmp_echo_ignore_all 1 Verwenden Sie Folgendes um Pakete mit unm glichen Adressen erzeugt durch falsche Rou ten in Ihrem Netzwerk zu protokollieren proc sys net ipv4 conf all log_martians 1 F r weiterf hrende Informationen dazu welche Sachen mit proc sys net ipv4 an gestellt werden k nnen sollten Sie usr src linux Documentation filesystems proc txt lesen Alle Optionen werden gr ndlich in usr src linux Documentation networking ip sysctl txt beschrieben 4 18 2 Konfiguration von Syncookies Diese Option ist ein zweischneidiges Schwert Auf der einen Seite sch tzt es Ihr System vor dem berfluten mit syn Paketen Auf der anderen Seite verletzt es definierte Standards RFCs net ipv4 tcp_syncookies 1 Wenn Sie das dauerhaft f r den Kernel festlegen wollen m ssen Sie in etc network options syncookies yes festlegen Jedes Mal we
113. Abschnitt oder Paragraphen besser pflegen k n nen dann schreiben Sie dem Dokumenten Betreuer und Sie d rfen es gerne erledigen Insbe sondere wenn Sie eine Stelle finden die mit FIXME markiert wurde was bedeutet dass die Autoren noch nicht die Zeit hatten oder sich noch Wissen ber das Thema aneignen m ssen schicken Sie ihnen sofort eine E Mail F r diese Anleitung ist es nat rlich u erst wichtig dass sie weiter gepflegt und auf dem neusten Stand gehalten wird Auch Sie k nnen Ihren Teil dazu beitragen Bitte unterst tzen Sie uns 1 4 Vorwissen Die Installation von Debian GNU Linux ist nicht wirklich schwer und Sie sollten in der La ge gewesen sein es zu installieren Wenn Ihnen andere Linux Distributionen Unixe oder die grunds tzliche Sicherheitskonzepte ein wenig vertraut sind wird es Ihnen leichter fallen die se Anleitung zu verstehen da nicht auf jedes winzige Detail eingegangen werden kann oder Kapitel 1 Einleitung 4 dies w re ein Buch geworden und keine Anleitung Wenn Sie jedoch mit diesen Dingen noch nicht so vertraut sind sollten Sie vielleicht einen Blick in die Seien Sie wachsam gegen ber generellen Sicherheitsproblemen auf Seite 29 f r tiefer gehende Informationen werfen 1 5 Dinge die noch geschrieben werden m ssen FIXME TODO Dieses Kapitel beschreibt die Dinge welche in diesem Handbuch noch verbessert werden m s sen Einige Abschnitte beinhalten FIXME oder TODO Markier
114. Anleitung zum Absichern von Debian Javier Fern ndez Sanguino Pe a lt jfs debian org gt Autoren auf dieser Seite Version 3 10 Fri 12 Jan 2007 15 36 37 0100 Zusammenfassung Dieses Dokument handelt von der Sicherheit im Debian Projekt und im Betriebssystem Debian Es beginnt mit dem Prozess eine Standardinstallation der Debian GNU Linux Distribution abzusichern und abzuh rten Es deckt die gew hnliche Arbeit ab eine sichere Netzwerkumgebung mit Debian GNU Linux zu schaffen und liefert zus tzliche Informatio nen ber die verf gbaren Sicherheitswerkzeuge Es befasst sich auch damit wie die Sicherheit in Debian vom Sicherheits und Auditteam gew hrleistet wird Copyright Hinweis Copyright 2002 2003 2004 2005 2006 Javier Fern ndez Sanguino Pefia Copyright 2001 Alexander Reelsen Javier Fern ndez Sanguino Pe a Copyright 2000 Alexander Reelsen An manchen Abschnitten besteht ein Copyright der jeweiligen Autoren Genaueres erfahren Sie unter Danksagungen auf Seite 25 Es ist erlaubt dieses Dokument unter den Bedingungen der GNU General Public License Ver sion 2 http www gnu org copyleft gpl html oder jeder sp teren Version die von der Free Software Foundation ver ffentlicht wird zu kopieren zu verbreiten und oder zu ver ndern Es wird in der Hoffnung ver ffentlicht dass es sich als n tzlich erweisen k nnte aber OHNE JEDE GEW HRLEISTUNG Es ist erlaubt unver nderte Kopien di
115. Aus einer Maschinen einen Loghost zu machen ist relativ einfach Starten Sie den syslogd einfach mit syslogd r und ein neuer Loghost ist geboren Um dies unter Debian dauerhaft zu machen editieren Sie etc init d sysklogd und ndern Sie die Zeile SYSLOGD SYSLOGD r Als n chstes konfigurieren Sie die anderen Maschinen Ihre Daten an den Loghost zu senden F gen Sie einen Eintrag hnlich dem folgenden zu der etc syslog conf hinzu facility level Ihr_Loghost Schauen Sie in die Dokumentation um zu erfahren wodurch Sie facility und level ersetzen k n nen Sie sollten nicht w rtlich bernommen werden Wenn Sie alles fern mit loggen wollen schreiben Sie einfach BR Ihr_Loghost in Ihre syslog conf Sowohl lokal als auch entfernt mitzuloggen ist die beste L sung ein Angreifer k nnte davon ausgehen dass er seine Spuren verwischt hat nachdem er die lo kale Log Datei gel scht hat F r weitere Informationen sehen Sie sich die Handbuch Seiten syslog 3 syslogd 8 und syslog conf 5 an Kapitel 4 Nach der Installation 78 4 13 4 Zugriffsrechte auf Log Dateien Es ist nicht nur wichtig zu entscheiden wie Warnungen genutzt werden sondern auch wer hierauf Zugriff hat d h wer Log Dateien falls Sie nicht einen Log Host verwenden lesen oder ver ndern kann Sicherheits Alarme die ein Angreifer ver ndern oder abschalten kann sind im Falle eines Eindringens nicht viel wert Au erdem sollten Sie ber cksichtig
116. CHECTL exit 0 ensure we don t leak environment vars into apachectl APACHECTL env i LANG S LANG PATH S PATH chroot SCHRDIR SAPACHECTL if egrep q i space ServerType space tinet SCONF then exit 0 fi case 1 in start echo n Starting web server SNAME mount t proc proc var chroot apache proc start stop daemon start pidfile PIDFILE exec DAEMON chroot SCHRDIR stop echo n Stopping web server NAME start stop daemon stop pidfile SCHRDIR SPIDFILE oknodo umount var chroot apache proc m reload echo n Reloading NAME configuration start stop daemon stop pidfile SCHRDIR SPIDFILE signal USR1 startas DAEMON chroot CHRDIR vy reload modules echo n Reloading NAME modules Kapitel H Chroot Umgebung f r Apache 271 start stop daemon stop pidfile SCHRDIR SPIDFILE oknodo retry 30 start stop daemon start pidfile PIDFILE exec SDAEMON chroot CHRDIR restart 0 reload modules exit vy force reload 0 reload modules exit m 7 echo Usage etc init d SNAME start stop reload reload modules fo exit 1 ee esac if 0 then echo exit 0 else echo failed exit 1 fi FIXME should the first Apache process be run as another user than root i e add chuid chrapach chrapach Cons chrapach will need write access to the logs which is awk ward e Ersetzen Sie in etc lo
117. CVS http cvs debian org oder die HTML Seiten benutzen um zu bestimmen wie lange Debian braucht um Verwundbarkeiten auszubessern und um diese Daten mit ffentlichen Datenban ken zu vergleichen 223 Anhang A Der Abh rtungsprozess Schritt f r Schritt Eine Anleitung die Schritt f r Schritt darstellt wie ein Debian 2 2 GNU Linux System nach der Installation abgeh rtet wird ist unten aufgef hrt Das ist nur eine denkbare Herangehens weise von einem solchen Vorgang Sie ist am Absichern von Netzwerkdiensten orientiert und stellt den gesamten Anlauf der Konfiguration vor Vergleichen Sie auch Checkliste der Konfi guration auf Seite 227 e Installieren Sie das System Beachten Sie dabei die Informationen dieses HOWTOs be z glich der Partitionierung Nach der Basis Installation nehmen Sie eine angepasste In stallation vor W hlen Sie keine Task Pakete aus Aktivieren Sie shadow passwords e Entfernen Sie mit dselect alle nicht ben tigten aber ausgew hlten Pakete bevor Sie Installation w hlen Behalten Sie nur die absolut notwendige Software auf dem System e Aktualisieren Sie die ganze Software mit den aktuellen Paketen von security debian org wie bereits unter Ausf hren von Sicherheitsupdates auf Seite 48 beschrieben e Implementieren Sie die in dieser Anleitung vorgeschlagenen Ma nahmen zu User Quotas Ausgestaltung des Logins und Lilo e Machen Sie sich eine Liste von allen Diensten die derzei
118. DNS Web Surfen POP E Mail e Die Forward Regel verbietet alles es sei denn andere Systeme werden gesch tzt siehe dazu unten e Alle anderen eingehenden und ausgehenden Verbindungen werden abgelehnt 5 14 2 Sch tzen anderer Systeme durch eine Firewall Eine Debian Firewall kann auch so installiert werden dass sie mit Firewall Regeln Systeme hinter ihr besch tzt indem sie die Angriffsfl che zum Internet hin einschr nkt Eine Firewall kann so konfiguriert werden dass ein Zugriff von Systemen au erhalb des lokalen Netzwerks auf interne Dienste Ports unterbunden wird Zum Beispiel muss auf einem Mail Server ledig lich Port 25 auf dem der Mail Dienst aufsetzt von au en zug nglich sein Eine Firewall kann so konfiguriert werden dass sogar wenn es neben den ffentlich zug nglichen noch andere Netzwerkdienste gibt direkt an diese gesendete Pakete verworfen werden dies nennt man filtern Sie k nnen eine Debian GNU Linux Maschine sogar so konfigurieren dass sie als Bridge Firewall berbr ckender Schutzwall fungiert d h als eine filternde Firewall die kom plett transparent zum gesamten Netzwerk erscheint ohne IP Adresse auskommt und daher nicht direkt attackiert werden kann Abh ngig von dem installierten Kernel m ssen Sie viel leicht den Bridge Firewall Patch installieren und dann 802 1d Ethernet Bridging in der Kernel Konfiguration und die neue Option netfilter firewalling Support ausw hlen Sehen Si
119. Debian GNU Linux System passen Unterschiedliche Distributionen erledigen manche Dinge auf unterschiedliche Art zum Beispiel den Aufruf von Daemons hier finden Sie Material das zu Debians Prozeduren und Werkzeugen passt 1 1 Autoren Der aktuelle Betreuer dieses Dokuments ist Javier Fern ndez Sanguino Pe a mailto jfs debian org Falls Sie Kommentare Erg nzungen oder Vorschl ge haben schicken Sie ihm Kapitel 1 Einleitung 2 diese bitte Sie werden dann in k nftigen Ausgaben dieses Handbuchs ber cksichtigt werden Dieses Handbuch wurde als HOWTO von Alexander Reelsen mailto ar rhwd de ins Leben gerufen Nachdem es im Internet ver ffentlicht wurde gliederte es Javier Fern ndez Sanguino Pe a mailto jfsfdebian org in das Debian Dokumentations Projekt http www debian org doc ein Zahlreiche Menschen haben etwas zu diesem Handbuch bei gesteuert alle Beitr ge sind im Changelog aufgef hrt aber die folgenden haben gesonderte Erw hnung verdient da sie bedeutende Beitr ge geleistet haben ganze Abschnitte Kapitel oder Anh nge e Stefano Canepa e Era Eriksson e Carlo Perassi e Alexandre Ratti e Jaime Robles e Yotam Rubin e Frederic Schutz e Pedro Zorzenon Neto e Oohara Yuuma e Davor Ocelic Bei Fehlern in dieser Ubersetzung wenden Sie sich bitte an den aktuellen deutschen Ubersetzer Simon Brandmair mailto sbrandmairfigmx net oder wenn dieser nicht erreichbar ist an die Mailingliste mailto debi
120. Disable source routed packets echo 0 gt proc sys net ipv4 conf SIFACE accept_source_route exit 0 Eine andere L sungsm glichkeit ist es ein init d Skript zu erstellen und es beim Booten Kapitel 4 Nach der Installation 92 auszuf hren verwenden Sie update rc d um die passenden rc d Links herzustellen 4 18 4 Konfiguration der Firewall Um die M glichkeiten einer Firewall zu haben damit entweder das lokale System oder andere dahinter besch tzt werden muss der Kernel mit Firewall Unterst tzung kompiliert worden sein Der Standardkernel von Debian 2 2 Linux 2 2 stellt die Paketfilter Firewall ipchains zur Verf gung Der Standardkernel von Debian 3 0 Linux 2 4 enth lt die stateful Paketfilter Firewall iptables netfilter In jedem Fall ist es recht einfach einen anderen als den mit Debian gelieferten Kernel zu benut zen Sie finden vorkompilierte Kernel als Pakete vor die Sie leicht auf Ihrem Debian System installieren k nnen Mit Hilfe des Pakets kernel source X k nnen Sie auch die Kernelquel len herunterladen und einen ma geschneiderten Kernel kompilieren indem Sie make kpkg aus dem Paket kernel package benutzen Auf das Aufsetzen einer Firewall unter Debian wird unter Hinzuf gen von Firewall F higkeiten auf Seite 122 ausf hrlich eingegangen 4 18 5 L sung des Problems der Weak End Hosts Auf Systemen mit mehr als einer Schnittstelle zu verschiedenen Netzwerken k nnen Dienste so eingerichtet w
121. Eindringlingserkennung auf Seite 187 traceroute whois oder hnlicher Werkzeuge einschlie lich forensischer Analyse durchsehen Wie Sie auf diese Informationen reagieren und was Sie als Angriff betrachten h ngt ausschlie lich von Ihren Sicherheitsrichtlinien ab Ist ein einfacher Scan ein Angriff Ist die Pr fung auf eine Verwundbarkeit ein Angriff 12 2 9 Das Programm X in Debian ist angreifbar was soll ich tun Nehmen Sie sich zuerst einen Augenblick Zeit um zu schauen ob die Sicherheitsl cke in 6f fentlichen Sicherheitsmailinglisten wie Bugtraq oder anderen Foren bekannt gemacht wurde Das Sicherheitsteam von Debian ist hinsichtlich dieser Listen auf dem Laufenden daher k nn te ihm dieses Problem bereits bekannt sein Leiten Sie keine weiteren Mafsnahmen ein wenn Sie schon eine Bekanntmachung auf http security debian org sehen Wenn anscheinend keine Informationen ver ffentlicht wurden schicken Sie bitte eine E Mail zu den betroffenen Paketen mit einer detaillierten Beschreibung der Verwundbarkeit Co de der dies best tigt ist auch in Ordnung an team security debian org mailto team security debian org Dort erreichen Sie das Sicherheitsteam von Debian 12 2 10 Laut der Versionsnummer eines Paketes l uft bei mir immer noch eine an greifbare Version Statt auf neue Ver ffentlichung zu aktualisieren portiert Debian sicherheitsrelevante Korrek turen zu der Version zur ck die in der Stable Ver ffentlichu
122. Emmanuel Chantreau for pointing this out e Removed jvirus from AV list 1 6 13 Version 2 98 December 2003 Changes by Javier Fern ndez Sanguino Pefia e Fixed URL as suggested by Frank Lichtenheld e Fixed PermitRootLogin typo as suggested by Stefan Lindenau 1 6 14 Version 2 97 September 2003 Changes by Javier Fern ndez Sanguino Pefia e Added those that have made the most significant contributions to this manual please mail me if you think you should be in the list and are not e Added some blurb about FIXME TODOs e Moved the information on security updates to the beginning of the section as suggested by Elliott Mitchell e Added grsecurity to the list of kernel patches for security but added a footnote on the current issues with it as suggested by Elliott Mitchell Kapitel 1 Einleitung 13 e Removed loops echo to all in the kernel s network security script as suggested by Elliott Mitchell e Added more up to date information in the antivirus section e Rewrote the buffer overflow protection section and added more information on patches to the compiler to enable this kind of protection 1 6 15 Version 2 96 august 2003 Changes by Javier Fern ndez Sanguino Pe a e Removed and then re added appendix on chrooting Apache The appendix is now dual licensed 1 6 16 Version 2 95 June 2003 Changes by Javier Fern ndez Sanguino Pe a e Fixed typos spotted by Leonard Norrgard e Added a se
123. Entdeckung und Korrektur von sicherheitsrelevanten Verwundbarkeiten in einem Paket von Debian GNU Linux hin Digi tal unterschriebene DSAs werden an ffentliche Mailinglisten gesendet und auf der Webseite von Debian ver ffentlicht sowohl auf der Hauptseite als auch unter Sicherheits Informationen http www de debian org securit y DSAs enthalten Informationen ber die beeintr chtigten Pakete den entdeckten Sicherheits mangel und wo man die aktualisierten Pakete bekommt und ihre MD5 Summen 12 3 2 Die digitale Signatur eines Debian Anweisung wird nicht korrekt verifi ziert Dies ist wahrscheinlich ein Problem auf Ihrer Seite Die Liste debian security announce http www de debian org security faq besitzt einen Filter der es nur erlaubt Nachrich ten mit einer korrekten Signatur eines Mitglieds des Sicherheitsteams zu versenden Die h ufigste Ursache daf r ist zumeist ein Mail Programm auf Ihrer Seite das die Nach richt leicht ver ndert und dadurch die Signatur ung ltig macht Versichern Sie sich dass Ih re Software keine MIME Entschl sselung oder Verschl sselung durchf hrt und auch keine Tabulator Leerzeichen Konvertierungen vornimmt Bekannte belt ter sind fetchmail mit der Option mimedecode formail nur von procmail 3 14 und evolution 12 3 3 Wie wird die Sicherheit in Debian gehandhabt Sobald das Sicherheitsteam auf einen Vorfall aufmerksam wird berpr fen ihn ein oder meh rere Mitglieder und
124. Folgendes grep v etc inetd conf sort u Deaktivieren Sie dann diejenigen Dienste die Sie nicht ben tigen indem Sie die Zeile in etc inetd conf auskommentieren das Paket entfernen oder indem Sie update inetd benutzen e Wenn Sie Dienste eingeh llt haben und usr sbin tcpd benutzen pr fen Sie ob die Dateien etc hosts allow und etc hosts deny passend zu Ihren Richtlinien f r die Dienste konfiguriert sind e Wenn der Server mehr als eine externe Schnittstelle benutzt sollten Sie vielleicht Diens te darauf beschr nken auf bestimmten Schnittstellen zu lauschen Ob das m glich ist h ngt aber von den Diensten ab Wenn Sie zum Beispiel internen FTP Zugriff erlauben wollen lassen Sie den FTP Daemon nur auf der internen Schnittstelle lauschen nicht auf allen d h 0 0 0 0 21 e Booten Sie die Maschine neu oder wechseln Sie in den Single User Modus und zur ck in den Multi User Modus mit S init 1 ans S init 2 Kapitel A Der Abh rtungsprozess Schritt f r Schritt 225 e Pr fen Sie die nun angebotenen Dienste und wiederholen Sie gegebenenfalls die letzten Schritte Installieren Sie jetzt die ben tigten Dienste falls es noch nicht geschehen ist und konfi gurieren Sie sie passend e Pr fen Sie mit folgendem Shell Befehl unter welchem Nutzer die verf gbaren Dienste laufen for i in usr sbin lsof i grep LISTEN cut da f 1 sort u gt do user ps ef grep i grep v grep c
125. IP changes for this service sbin iptables A OUTPUT p tcp d security debian org dport 80 j ACCEPT As well as the services we have defined if n SREMOTE_TCP_SERVICES then for PORT in SREMOTE_TCP_SERVICES do sbin iptables A OUTPUT p tcp dport PORT j ACCEPT done E if n SREMOTE_UDP_SERVICES then for PORT in SREMOTE_UDP_SERVICES do sbin iptables A OUTPUT p udp dport PORT j ACCEPT done ER All other connections are registered in syslog sbin iptables A OUTPUT j LOG sbin iptables A OUTPUT j REJECT sbin iptables P OUTPUT DROP Other network protections some will only work with some kernel versions echo 1 gt proc sys net ipv4 tcp_syncookies echo 0 gt proc sys net ipv4 ip_forward echo 1 gt proc sys net ipv4 icmp_echo_ignore_broadcasts echo 1 gt proc sys net ipv4 conf all log_martians echo 1 gt proc sys net ipv4 ip_always_defrag echo 1 gt proc sys net ipv4 icmp_ignore_bogus_error_responses echo 1 gt proc sys net ipv4 conf all rp_filter echo 0 gt proc sys net ipv4 conf all send_redirects echo 0 gt proc sys net ipv4 conf all accept_source_route Kapitel 5 Absichern von Diensten die auf Ihrem System laufen 129 fw_stop sbin ipt sbin ipt sbin iptabl sbin iptabl sbin iptabl sbin iptabl fw_clear sbin ipt sbin ipt sbin iptabl sbin iptabl sbin ipt sbin ipt tab tab ca
126. Manche behandelten Sachen sind nicht distributionsspezifisch passen also auch auf Debian e Ein anderes Red Hat bezogenes Dokument ist der EAL3 Evaluated Configu ration Guide for Red Hat Enterprise http ltp sourceforge net docs RHEL EAL3 Configuration Guide paf e IntersectAlliance hat einige Dokumente ver ffentlicht die als Referenz benutzt werden k nnen wie man einen Linux Server und seine Dienste abh rtet Diese Dokumen te sind auf ihrer Seite http www intersectalliance com projects index html verf gbar e F r Netzwerk Administratoren ist das Securing your Domain HOWTO http www linuxsecurity com docs LDP Securing Domain HOWTO ein gutes Hand buch wie man sein Netzwerk absichert e Wenn Sie die Programme die Sie benutzen m chten oder die Sie neu schreiben wol len bez glich Sicherheit auswerten wollen sollten Sie das Secure Programs HOWTO http www tldp org HOWTO Secure Programs HOWTO durchlesen die Vor lage ist unter http www dwheeler com secure programs verf gbar Es bein haltet Pr sentationen und Kommentare des Autors David Wheeler Irgendwann wurde er von der Linux Security Knowledge Base abgel st Dieses Dokument wird ebenfalls durch das Paket 1asg zur Verf gung gestellt Jetzt wird der Guide wieder unter dem Namen Lasg verbreitet Kapitel 2 Bevor Sie beginnen 31 e Wenn Sie es in Betracht ziehen eine Firewall zu installieren sollten Sie das Fire wall HOWTO
127. Marcos Roberto Greiner entdeckt wurde md5sum sollte shalsum im Code Schnipsel sein F gte Jens Seidels Patch ein der eine Anzahl von Paketnamen und Tippfehlern verbes serte Kleine Aktualisierung des Werkzeugabschnitts entfernte Werkzeuge die nicht l nger verf gbar sind und f gte einige neue hinzu Schrieb Teile des Abschnitts neu in dem es darum geht wo und in welchen Forma ten dieses Dokument erh ltlich ist die Webseite stellt eine PDF Version zur Verf gung Merkte auch an dass Kopien auf anderen Seiten und bersetzungen veraltet sein k nn ten viele der Ireffer auf Google f r dieses Handbuch auf anderen Seiten sind veraltet 1 6 7 Version 3 4 August September 2005 Anderung von Javier Fern ndez Sanguino Pe a Verbesserte die Erh hung der Sicherheit nach der Installation im Zusammenhang mit der Kernelkonfiguration f r den Schutz der Netzwerkebene mit der Datei sysctl conf Wurde von Will Moy zur Verf gung gestellt Verbesserte den Abschnitt ber gdm mit Hilfe von Simon Brandmair Ausbesserungen von Tippfehlern die von Frederic Bothamy und Simon Brandmair ent deckt wurden Verbesserungen im Abschnitt Nach der Installation im Zusammenhang wie MD5 Summen oder SHA 1 Summen f r periodische berpr fungen erstellt werden Aktualisierte den Abschnitt Nach der Installation in Hinblick auf die Konfiguration von checksecurity war veraltet Kapitel 1 Einleitung 10 1 6 8 Version 3 3 J
128. Modul aktivieren und etc security access conf bearbeiten Dieses Vorgehen erlaubt eine allgemeinere und feiner abgestimmte Zugangskontrolle leider fehlen aber vern nftige Protokollmeldungen diese sind in PAM nicht standardisiert und sind ein besonders unbefriedigendes Problem Wir werden zu access conf in K rze zur ckkehren Diese Abh ngigkeit ist allerdings im Debian 3 0 Paket nicht gel st Lesen Sie dazu Bug 112965 http bugs debian org 112965 Kapitel 4 Nach der Installation 60 Zu guter Letzt sollte die folgende Zeile in etc pam d login aktiviert werden um den Benutzern Grenzen ihrer Systemressourcen zu setzen session required pam_limits so Dies schr nkt die Systemressourcen ein die ein Benutzer nutzen darf siehe Ressourcen Nutzung limitieren Die Datei limits conf auf der n chsten Seite Sie k nnen zum Beispiel die Anzahl der Logins die man haben kann einschr nken f r eine Gruppe von Nutzern oder systemweit die Anzahl der Prozesse den belegten Speicher etc Editieren Sie nun etc pam d passwd und ndern Sie die erste Zeile Sie sollten die Option md5 zuf gen um MD5 Passworter zu benutzen ndern Sie die minimale Passwort L nge von 4 auf 6 oder mehr und setzen Sie eine Maximall nge wenn Sie m chten Die resultieren de Zeile wird in etwa so aussehen password required pam_unix so nullok obscure min 6 max 11 md5 Wenn Sie su sch tzen m chten so dass nur manche Leute es
129. NUSER restore exit 1 fii exit 0 Dieses Skript wenn es auf Woodys Debian 3 0 angepassten Bind angewendet wird wird die folgende initd Datei erstellen nachdem der Nutzer und die Gruppe named erstellt wurde bin sh PATH sbin bin usr sbin usr bin test x usr sbin named exit 0 start echo n Starting domain name service named start stop daemon start quiet pidfile var run named pid exec usr sbin named echo He stop echo n Stopping domain name service named exec doesn t catch daemons running deleted instances of named as in an upgrade Fortunately pidfile is only going to hit things from the pidfile start stop daemon stop quiet pidfile var run named pid name named echo case 1 in start start vy Kapitel E Beispielskript um die Standard Installation von Bind zu ndern 245 stop stop vy restart force reload stop sleep 2 start vy reload usr sbin ndc reload ii 2 echo Usage etc init d bind start stop reload restart force reload exit 1 ii esac exit 0 Kapitel E Beispielskript um die Standard Installation von Bind zu ndern 246 247 Anhang F Schutz der Sicherheitsaktualisierung durch eine Firewall Nach einer Standard Installation k nnten immer noch Sicherheitsl cken auf dem System vor handen sein Falls Sie die Aktualisierungen f r die verwundbaren Paket nicht auf einem an
130. PC Diensten Sie sollten RPC abschalten wenn Sie es nicht ben tigen Remote Procedure Call RPC etwa Entfernter Funktionsaufruf ist ein Protokoll das von Programmen verwendet werden kann um Dienste von anderen Programmen die auf anderen Computern laufen anzufordern Der portmap Dienst kontrolliert RPC Dienste durch Abbil den von RPC Programmnummern auf DARPA Protokoll Portnummern Er muss laufen um RPC Aufrufe ausf hren zu k nnen RPC basierte Dienste hatten eine unr hmliche Geschichte was Sicherheitsl cken betrifft ob wohl dies f r den Portmapper an sich nicht gilt dieser bietet aber nach wie vor entfernten Kapitel 5 Absichern von Diensten die auf Ihrem System laufen 121 Angreifern Informationen Es ist zu beachten dass einige DDoS distributed denial of service verteilte Dienstverweigerungen Angriffe RPC L cher benutzen um in das System einzudrin gen und als so genannter Agent Handler zu fungieren Sie ben tigen RPC nur dann wenn Sie einen RPC basierten Dienst verwenden Die bekann testen RPC basierten Dienste sind NFS Network File System und NIS Network Information System Vergleichen Sie mit dem vorherigen Abschnitt f r weitere Information ber NIS Der File Alteration Monitor FAM der vom Paket fam bereitgestellt wird ist ebenso ein RPC Dienst und h ngt deshalb von portmap ab NFS Dienste sind in einigen Netzwerken ziemlich wichtig Wenn dies f r Sie der Fall ist m ssen Sie einen Ausgleic
131. POSTING_OK 1 PATH usr sbin usr bin sbin bin usr sbin snntpd logger p news info bind 127 0 0 1 Die folgenden Abschnitte gehen detaillierter darauf ein wie bestimmte Dienste abh ngig von der beabsichtigten Benutzung passend konfiguriert werden 5 1 Absichern von ssh Wenn Sie immer noch telnet statt ssh benutzen sollten Sie dieses Handbuch kurz beiseite le gen und dies ndern Ssh sollte anstelle von telnet f r alle Fern Logins benutzt werden In einer Zeit in der es leicht ist Internet Verkehr mitzuschn ffeln und an Klartext Passw rter heranzukommen sollten Sie lediglich Protokolle verwenden die Kryptographie benutzen Al so f hren Sie sofort ein apt get install ssh auf Ihrem System aus Ermuntern Sie alle Nutzer Ihres Systems ssh anstelle von telnet zu benutzen oder noch bes ser Deinstallieren Sie telnet telnetd Zus tzlich sollten Sie es vermeiden sich mit ssh als root einzuloggen und lieber andere Methoden benutzen um root zu werden Wie zum Beispiel su oder sudo Schlie lich sollten Sie noch die Datei etc ssh sshd_config f r mehr Sicher heit modifizieren e ListenAddress 192 168 0 1 Lassen Sie ssh nur auf eine bestimmte Schnittstelle h ren falls Sie mehrere haben und ssh nicht auf allen verf gbar sein soll oder Sie in Zukunft eine neue Netzwerkkarte einbauen werden und keine ssh Verbindungen auf ihr erlauben wollen e PermitRootLogin no Versuchen Sie so wenige Logins als Root wie m glich zu erlaube
132. Paketdatei wir sehen weitere MD5 Summen eine f r jedes darin aufgef hrte Paket Beispiel Package ugm Priority optional Filename unstable uqm_0 4 0 1_i386 deb Size 580558 MD5sum 864ec6157cleea88acfef44d0f34d219 Mit diesen beiden Pr fsummen kann berpr ft werden ob Sie eine getreue Kopie der Paketdatei also mit einer MD5 Summe die mit der in der Release Datei bereinstimmt heruntergeladen haben Und wenn ein einzelnes Paket heruntergeladen wird kann auch die MD5 Summe mit dem Inhalt der Pak et datei verglichen werden Wenn bei einem dieser Schrit te ein Fehler auftauchen sollte bricht Apt den Vorgang ab Nichts davon ist neu in Secure Apt aber es bietet die Grundlage daf r Beachten Sie dass es bis jetzt eine Datei gibt die Apt nicht berpr fen kann die Release Datei Bei Secure Apt dreht sich alles darum dass Apt die Release Datei berpr ft bevor es irgendetwas anderes damit macht Wenn man das schafft besteht eine l ckenlose Authentifizierungskette von dem Paket das Sie installieren m chten bis zum Anbieter des Pakets berpr fung der Release Datei Damit die Release Datei berpr ft werden kann wird sie mit GPG signiert Diese Unter schrift kommt in die Datei Release gpg die mit der Release Datei abgerufen werden kann Sie sieht in etwa so aus obwohl sich f r gew hnlich nur GPG ihren Inhalt ansieht 5Genau genommen handelt es sich um eine ASCII armored abgetrennte GPG Signatur
133. Pakete blockiert ist Benutzer die von diesem Angebot Gebrauch machen wollen m ssen folgende Zeilen ihrer etc apt sources list anstatt der Zeilen die unter Ausf hren von Sicherheitsupdates auf Seite 48 dargestellt wurden hinzuf gen deb http secure testing debian net debian secure testing etch security u Diese Zeile macht es m glich auch Quellpakete herunterzuladen FIXME donwload deb src http secure testing debian net debian secure testing etch securi F r weitere Informationen zu diesem Angebot k nnen Sie die entsprechende Ank ndigung http lists debian org debian devel announce 2005 09 msg00006 html lesen Dieses Angebot startete offiziell im September 2005 10 1 5 Automatische Aktualisierungen in einem Debian GNU Linux System Es sei vorweggeschickt dass automatische Aktualisierungen nicht vollst ndig empfohlen wer den da Administratoren die DSAs durchsehen und die Bedeutung einer bestimmten Sicher heitsaktualisierung verstehen sollten Wenn Sie Ihr System automatisch aktualisieren wollen sollten Sie Folgendes durchf hren e Konfigurieren Sie apt so dass Pakete die Sie nicht aktualisieren wollen ihrer momen tane Version beibehalten Das k nnen Sie entweder mit einer Eigenschaft von apt dem pinning festheften erreichen oder Sie kennzeichnen sie mit dpkg oder dselect als hold festgehalten Um Pakete einer bestimmten Ver ffentlichung mit pinning festzuheften m ssen Sie etc
134. SSH Daemon nicht fortfahren Sie k nnen diese Probleme mit dem Schl sselwort debug in der PAM Konfiguration etc pam d ssh debuggen Falls Sie auf Probleme sto en kann es sich als n tzlich erweisen auch den Debugging Modus des SSH Clients zu aktivieren Hinweis Diese Informationen sind auch in usr share doc libpam chroot README Debian gz enthalten und vielleicht aktueller Bitte berpr fen Sie ob dort aktualisierte Informationen vorhanden sind bevor Sie die oben aufgezeigten Schritte ausf hren Wenn Sie einen Kernel verwenden der Mandatory Access Control RSBAC SElinux unterst tzt m ssen Sie die Konfiguration nicht ndern wenn Sie dem Sshd Benutzer die notwendigen Rechte einr umen um den System aufruf chroot ausf hren zu k nnen Kapitel G Chroot Umgebung f r SSH 252 G 1 2 Patchen des ssh Servers Debians sshd gestattet nicht die Bewegungen eines Benutzer durch den Server zu beschr n ken da er keine Chroot Funktionalit t besitzt Diese ist im Gegensatz dazu Bestandteil des kommerziellen Programms sshd2 es verwendet ChrootGroups oder ChrootUsers siehe sshd2_config 5 Allerdings gibt es einen Patch der sshd um diese Funktion erweitert Den Patch erhalten Sie unter ChrootSSH project http chrootssh sourceforge net wurde in Fehlerbericht 139047 http bugs debian org 139047 nachgefragt Der Patch k nnte Bestandteil von zuk nftigen Ver ffentlichungen des OpenSSH Pakets werden
135. Sie benutzen die instdir Option wenn Sie dpkg aufrufen aber dann k nnte das chroot Gef ngnis etwas komplizierter werden Kapitel 5 Absichern von Diensten die auf Ihrem System laufen 117 Web Server anwenden k nnen bereit die gleichen Informationen erhalten Sie unter Debian auch durch das Paket apache doc Mehr Informationen zu weiteren Restriktionen von Apache durch Einrichten chroot Gef ngnisses wird in Chroot Umgebung f r Apache auf Seite 267 bereitgestellt 5 8 1 Verhindern dass Benutzer Web Inhalte ver ffentlichen Die Standard Apache Installation in Debian erlaubt Benutzern Inhalt unter HOME public_html bereitzustellen Dieser Inhalt kann aus aus der Ferne mit einer URL wie http Ihr_Apache_Server benutzer abgegriffen werden Wenn Sie dies nicht erlauben wollen m ssen Sie in der Konfigurationsdatei etc apache http conf von Apache 1 3 folgendes Module auskommentieren LoadModule userdir_module usr lib apache 1 3 mod_userdir so Wenn Sie Apache 2 0 verwenden m ssen Sie die Datei etc apache2 mods enabled userdir load entfernen oder die Standardkonfiguration einschr nken indem Sie etc apache2 mods enabled userdir conf bearbeiten Falls allerdings das Modul statisch verlinkt wurde Sie k nnen die Module die einkompiliert wurden mittels apache 1 berpr fen m ssen Sie das Folgende der Konfigurationsdatei von Apache hinzuf gen Userdir disabled Beachten Sie dass disabled nur ab Ve
136. Sie k nnen dies einschr nken indem Sie Folgendes in Ihre etc bind named conf aufnehmen options allow query 192 168 1 24 allow transfer none allow recursion 192 168 1 24 listen on 192 168 1 2 forward only forwarders A B C D y Die Option listen on bewirkt dass sich DNS nur auf die Schnittstelle bindet die die interne Adresse hat Aber sogar wenn diese Schnittstelle Verbindung zum Internet hat zum Beispiel weil Sie NAT benutzen werden Abfragen nur akzeptiert wenn sie von internen Hosts kom men Wenn das System mehrere Schnittstellen hat und Sie kein listen on gesetzt haben k nn ten zwar nur interne Nutzer Abfragen starten aber da der Port f r Angreifer von au en an sprechbar ist k nnten sie versuchen den DNS zum Absturz zu bringen oder durch Speicher berlauf Attacken auszunutzen Sie k nnten ihn sogar dazu bringen lediglich auf 127 0 0 1 zu h ren wenn Sie den DNS Service nicht f r ein anderes System anbieten wollen Der version bind Eintrag in der chaos class enth lt die Version des derzeit laufenden Bind Prozesses Diese Information wird oft von automatischen Scannern und b sartigen Individu en dazu verwendet herauszufinden ob ein bind f r eine bestimmte Attacke verwundbar ist Indem Sie falsche oder gar keine Informationen im version bind Eintrag zur Verf gung stel len minimieren Sie die Wahrscheinlichkeit dass jemand Ihren Server
137. Speicherplatz f r Dienste Stel len Sie lediglich sicher dass alle Daten die geschrieben werden sollen bers Netz ge schrieben werden F r einem Eindringling ist es unm glich Schreibzugriff auf diesem System zu erhalten Alle nderungen die ein Eindringling vornimmt werden mit ei nem Reboot des Systems r ckg ngig gemacht e Schalten Sie die Modul F higkeiten des Kernels ab Wenn Sie die Nutzung von Kernel Modulen w hrend der Kernel Kompilierung abschalten werden viele Kernel basieren de Hintert ren nicht einsetzbar da die meisten von ihnen darauf basieren modifizierte Kernel Module zu installieren siehe oben e Loggen ber ein serielles Kabel von Gaby Schilders So lange Server immer noch se rielle Schnittstellen haben Stellen Sie sich vor Sie ein Log System f r eine Anzahl von Servern Es ist vom Netz abgeschnitten und mit den Servern ber einen Multiplexer f r serielle Schnittstellen Cyclades oder hnliches verbunden Jetzt sollen alle Ihre Server ber ihre serielle Schnittstelle loggen Einfach nur hinschreiben Die Log Maschine ak zeptiert nur einfachen Text als Eingabe auf ihrer seriellen Schnittstelle und schreibt ihn lediglich in eine Log Datei Schlie en Sie einen CD oder DVD Brenner an Brennen Sie Kapitel 10 Vor der Kompromittierung 192 die Log Datei wenn sie die Gr e des Mediums erreicht hat Wenn es jetzt nur noch CD Brenner mit automatischem Medien Wechsel g be Nicht so dauerhaft ge
138. Thema da nur der Nutzer zu dieser Gruppe geh rt Allerdings k nnten die Rechte f r die Welt ein Problem darstellen wobei dies von Ihren lokalen Grunds tzen abh ngt Sie k nnen dieses Verhalten so ab ndern dass das Erstellen eines Nutzers andere Rechte f r HOME liefert Um dieses Verhalten f r neue Nutzer zu ndern wenn sie erstellt werden n dern Sie in der Konfigurationsdatei etc adduser conf DIR_MODE auf 0750 nicht lesbar f r die Welt ab Benutzer k nnen immer noch Informationen austauschen aber nicht mehr unmittelbar in ih rem HOME Verzeichnis es sei denn dass sie dessen Recht ver ndert haben Wenn Sie den Lesezugriff auf die Home Verzeichnisse f r die Welt verhindert sollten Sie beachten dass dann Nutzer ihre pers nlichen Webseiten nicht unter public_html er stellen k nnen da der Webserver einen Teil des Pfads nicht lesen kann und zwar das HOME Verzeichnis Wenn Sie es Nutzern erlauben wollen ihre HTML Seiten in ihrem public_html zu ver ffentlichen sollten Sie DIR_MODE auf 0751 setzen Das erm glicht dem Webserver Zugang zum public_html Verzeichnis welches selber die Rechte 0755 ha ben sollte So kann er den von den Nutzern ver ffentlichten Inhalt anbieten Nat rlich spre chen wir hier nur ber die Standardeinstellung Benutzer k nnen grunds tzlich die Rechte f r ihre eigenen Dateien nach ihrem Gutd nken vergeben Oder Sie k nnen die Dinge die f r das Web bestimmt sind in einem getren
139. Wahrscheinlichkeit steigt weiter an wenn die Sicherheitsl cke schon eine Zeit lang bekannt ist da blicherweise mehr T tigkeit mit lteren Verwundbarkeiten besteht Hier ist ein Link zu SANS Top 20 Security Vulnerabilities http www sans org top20 e Lesen Sie dieses Dokument besonders den Abschnitt Nach einer Kompromittierung Reaktion auf einem Vorfall auf Seite 195 e Fragen Sie nach Hilfe Sie k nnen die Mailingliste debian security benutzen und um Rat fragen wie Sie Ihr System wiederherstellen oder patchen e Benachrichtigen Sie Ihren lokalen CERT http www cert org wenn einer exis tiert ansonsten sollten Sie sich vielleicht direkt mit CERT in Verbindung setzen Das k nnte Ihnen helfen vielleicht aber auch nicht aber wenigstens wird CERT ber laufen de Angriffe informiert Diese Information ist sehr wertvoll um herauszufinden welche Werkzeuge und Angriffsarten von der Blackhat Community verwendet werden Da keine Datei Deskriptoren mehr vorhanden sind k nnte das System nicht mehr antworten bis das Zeitlimit der TCP Verbindungen berschritten wurde root root root by root Kapitel 12 H ufig gestellte Fragen Frequently asked Questions FAQ 216 12 2 8 Wie verfolge ich einen Angriff zur ck Sie k nnen einen Angriff zu seinem Ursprung zur ckverfolgen indem Sie die Logs wenn sie nicht ge ndert wurden mit Hilfe eines Systems zur Eindringlingserkennung siehe Aufsetzen einer
140. aben ist es die Dateien jede n Stun de Tag Monat ich ziehe t glich vor zu pr fen indem man deren aktuelle und alte MD5 Summe vergleicht Zwei unterschiedliche Dateien k nnen keine gleichen MD5 Summen haben die MD5 Summe umfasst 128 Bits so ist die Wahrscheinlichkeit dass zwei unterschiedliche Dateien eine gleiche MD5 Summe haben etwa 1 zu 3 4e3803 So sind Sie sicher solange nie mand den Algorithmus gehackt hat der die MD5 Summen auf Ihrer Maschine erstellt Dies ist nun ja extrem schwer und sehr unwahrscheinlich Sie sollten diese berpr fung Ihrer Pro gramme als sehr wichtig ansehen Weit verbreitete Tools hierf r sind sxid aide Advanced Intrusion Detection Environment fortgeschrittene Umgebung zur Erkennung von Eindringlingen tripwire integrit und samhain Das Installieren von debsums wird Ihnen helfen die Integrit t des Dateisystems zu berpr fen indem Sie die MD5 Summen jeder Datei gegen die MD5 Summe aus dem Debian Archiv Paket vergleichen Seien Sie aber gewarnt dass diese Dateien sehr leicht von einem Angreifer ge ndert werden k nnen Au erdem stellen nicht alle Pakete MD5 Summen f r die Kapitel 4 Nach der Installation 86 in ihnen enthaltenen Programme zur Verf gung Weitere Informationen finden Sie unter Pe riodische berpr fung der Integrit t auf Seite 187 und Einen Schnappschuss des Systems erstellen auf Seite 94 Sie benutzen vielleicht locate um das gesamte Dateisystem zu indi
141. after installation 1 6 20 Version 2 91 January February 2003 Changes by Javier Fern ndez Sanguino Pefia me e Added a patch contributed by Fr d ric Sch tz e Added a few more references on capabilities thanks to Fr d ric e Slight changes in the bind section adding a reference to BIND s 9 online documentation and proper references in the first area Hi Pedro e Fixed the changelog date new year e Added a reference to Colin s articles for the TODOs e Removed reference to old ssh chroot patches More patches from Carlo Perassi e Typo fixes recursive in Bind is recursion pointed out by Maik Holtkamp Kapitel 1 Einleitung 15 1 6 21 Version 2 9 December 2002 Changes by Javier Fern ndez Sanguino Pefia me Reorganized the information on chroot merged two sections it didn t make much sense to have them separated e Added the notes on chrooting Apache provided by Alexandre Ratti e Applied patches contributed by Guillermo Jover 1 6 22 Version 2 8 November 2002 Changes by Javier Fern ndez Sanguino Pefia me e Applied patches from Carlo Perassi fixes include re wrapping the lines URL fixes and fixed some FIXMEs e Updated the contents of the Debian security team FAQ e Added a link to the Debian security team FAQ and the Debian Developer s reference the duplicated sections might just might be removed in the future e Fixed the hand made auditing section with commen
142. ahlen 1024 oder 2048 Ziffern oder sogar l n ger Damit sie leichter zu verwenden sind haben sie eine k rzere Schl ssel ID eine Zahl mit nur acht oder 16 Stellen mit der sie bezeichnet werden k nnen Secure Apt verwendet gpg um Dateien zu unterschreiben und ihre Unterschriften zu ber pr fen Mit dem Programm apt key wird der Schl sselbund von GPG f r Secure Apt verwaltet Der Schl sselbund befindet sich in der Datei etc apt trusted gpg nicht zu verwechseln mit der verwandten aber nicht sehr interessanten Datei etc apt trustdb gpg apt key kann dazu verwendet werden die Schl ssel im Schl sselbund anzuzeigen oder um Schl ssel hinzuzuf gen oder zu entfernen Kapitel 7 Die Infrastruktur f r Sicherheit in Debian 148 Pr fsummen der Release Datei Jedes Archiv von Debian enth lt eine Release Datei die jedesmal aktualisiert wird wenn ein Paket im Archiv ge ndert wird Unter anderem enth lt die Release Datei MD5 Summen von anderen Dateien die sich im Archiv befinden Ein Auszug einer Release Datei MD5Sum 6b05b392f792ba5a436d590c129de21f 3453 Packages 1356479 a23edda7a69f24eb8d6f4a14b 1131 Packages gz 2a516788ladc dla8864f281b1eb959 1715 Sources 88de3533bf6e054d1799f8e4 b6aed8b 658 Sources gz Die Release Datei enth lt auch SHA1 Pr fsummen was n tzlich ist wenn MD5 Summen vollst ndig unbrauchbar sind Allerdings unterst tzt apt SHA1 noch nicht Werfen wir einen Blick in eine
143. aktualisiert werden muss kann das von Hand vorgenommen werden Um diese Aufgaben zu erf llen muss das System korrekt konfiguriert sein um Sicherheits aktualisierungen herunterzuladen Dies wurde in Ausf hren von Sicherheitsupdates auf Sei te 48 diskutiert Allerdings wird dieses Vorgehen ohne eine genaue Analyse nicht f r Unstable empfohlen da Sie Ihr System in einen unbrauchbaren Zustand bringen k nnen wenn sich ein gravierender Fehler in ein wichtiges Paket eingeschlichen hat und auf Ihrem System installiert wird Tes ting ist vor diesem Problem etwas besser gesch tzt da gravierende Fehler eine bessere Chan ce haben entdeckt zu werden bevor das Paket in den Testing Zweig wandert obwohl Ihnen trotzdem keine Sicherheitsaktualisierungen zur Verf gung stehen Wenn Sie eine gemischte Distribution haben also eine Installation von Stable mit einige Pa kete aus Testing oder Unstable k nnen Sie mit den Pinning Eigenschaften oder der Option target release von apt get herumspielen um nur die Pakete zu aktualisieren die Sie fr her aktualisiert haben Sie k nnen auch die Option quiet q verwenden Sie verringert die Ausgabe von apt get und wird keine Ausgabe produzieren wenn keine Pakete installiert werden Beachten Sie dass einige Pakete nicht debconf verwenden k nnten Die Aktualisierung k nnte dann h ngen bleiben da Pakete w hrend ihrer Konfiguration Eingaben des Nutzers verlangen Dies ist ein verbr
144. al memory kbytes v unlimited Und dies die Limits f r einen Administrator S ulimit a core file size blocks c O data seg size kbytes d 102400 file size blocks f 100000 max locked memory kbytes 1 100000 max memory size kbytes m 100000 open files n 1024 pipe size 512 bytes p 8 stack size kbytes s 8192 cpu time seconds t unlimited max user processes u 2000 virtual memory kbytes v unlimited F r mehr Informationen hierzu lesen Sie e PAM reference guide for available modules http www kernel org pub linux libs pam Linux PAM html pam 6 html e PAM configuration article http www samag com documents s 1161 sam0009a 0009a htm e Seifried s Securing Linux Step by Step http seifried org security os linux 20020324 securing linux step by step html in dem Limiting users overview Abschnitt e LASG http seifried org lasg users in dem Limiting and monitoring users Abschnitt 4 11 3 Aktionen bei der Benutzeranmeldung Editieren von etc login defs Der n chste Schritt ist es die grundlegende Konfiguration und die Aktionen bei User Login zu editieren Beachten Sie dass diese Datei kein Bestandteil der PAM Konfiguration ist Sie ist eine Konfigurationsdatei die von den Programmen login und su ber cksichtigt wird Es ist also wenig sinnvoll sie auf F lle abzustimmen in denen keines der beiden Programme wenigstens indirekt aufgerufen wird Das Progr
145. allenge or David Dittrich s papers http staff washington edu dittrich 199 Kapitel 12 H ufig gestellte Fragen Frequently asked Questions FAQ Dieses Kapitel f hrt Sie in ein paar der am h ufigsten gestellten Fragen in der Security Mailingliste von Debian ein Sie sollten sie lesen bevor Sie dort etwas posten oder die Leute werden Ihnen RTFM sagen 12 1 Sicherheit im Debian Betriebssystem 12 1 1 Ist Debian sicherer als X Ein System ist so sicher wie der Administrator f hig ist es sicher zu machen Debians Stan dardinstallation von Diensten zielt darauf ab sicher zu sein Sie ist aber nicht so paranoid wie andere Betriebssysteme die Dienste standardm ig abgeschaltet In jedem Fall muss der Syste madministrator die Sicherheit des System den lokalen Sicherheitsma st ben anpassen F r eine bersicht der Sicherheitsl cken von vielen Betriebssystemen sollten Sie sich die US CERT Statistik http www cert org stats cert_stats html ansehen oder sich selber Statistiken mit der National Vulnerability Database http nvd nist gov statistics cfm fr her ICAT erstellen Sind diese Daten n tzlich Es m ssen verschie dene Faktoren ber cksichtigt werden wenn die Daten interpretiert werden sollen Man sollte beachten dass diese Daten nicht dazu verwendet werden k nnen um die Verwundbarkeit eines Betriebssystems mit der eines anderen zu vergleichen Bedenken Sie au erdem dass sich einige registr
146. alter rwxr xr x 1 root root 89340 Jun 3 13 45 faxcover rwxr xr x 1 root root 441584 Jun 3 13 45 faxmail rwxr xr x 1 root root 96036 Jun 3 13 45 faxrm rwxr xr x 1 root root 107000 Jun 3 13 45 faxstat rwxr xr x 1 root root 77832 Jun 4 11 46 grep rwxr xr x 1 root root 19597 Jun 3 13 45 h2ph rwxr xr x 1 root root 46979 Jun 3 13 45 h2xs rwxr xr x 1 root root 10420 Jun 3 13 46 id rwxr xr x 1 root root 4528 Jun 3 13 46 ldd rwxr xr x 1 root root 111386 Jun 4 11 46 less r xr xr x 1 root root 26168 Jun 3 13 45 login rwxr xr x 1 root root 49164 Jun 3 13 45 1s rwxr xr x 1 root root 11600 Jun 3 13 45 mkdir rwxr xr x 1 root root 24780 Jun 3 13 45 more rwxr xr x 1 root root 154980 Jun 3 13 45 pal2rgb rwxr xr x 1 root root 27920 Jun 3 13 46 passwd rwxr xr x 1 root root 4241 Jun 3 13 45 pl2pm rwxr xr x 1 root root 2350 Jun 3 13 45 pod2html rwxr xr x 1 root root 7875 Jun 3 13 45 pod2latex rwxr xr x 1 root root 17587 Jun 3 13 45 pod2man rwxr xr x 1 root root 6877 Jun 3 13 45 pod2text rwxr xr x 1 root root 3300 Jun 3 13 45 pod2usage rwxr xr x 1 root root 3341 Jun 3 13 45 podchecker rwxr xr x 1 root root 2483 Jun 3 13 45 podselect r xr xr x 1 root root 82412 Jun 4 11 46 ps rwxr xr x 1 root root 36365 Jun 3 13 45 pstruct rwxr xr x 1 root root 7120 Jun 3 13 45 pwd rwxr xr x 1 root root 179884 Jun 3 13 45 rgb2ycbcr rwxr xr x 1 root root
147. amm getty welches auf der Konsole l uft und die anf ngliche Loginaufforderung zu Verf gung stellt ruft login auf FAIL_DELAY 10 Kapitel 4 Nach der Installation 64 Diese Variable sollte auf einen h heren Wert gesetzt werden um es schwerer zu machen mit tels Brute Force roher Gewalt stures Durchprobieren Anm d bers auf einem Terminal einzuloggen Wenn ein falsches Passwort eingegeben wird muss der potenzielle Angreifer aber auch der normale Benutzer 10 Sekunden warten um einen neuen login Prompt zu be kommen was auf die Dauer viel Zeit kostet wenn sie Passw rter durch testen Beachten Sie jedoch die Tatsache dass diese Einstellung nutzlos ist wenn Sie ein anderes Programm als getty benutzen wie zum Beispiel mingetty FAILLOG_ENAB yes Wenn Sie diese Variable einschalten werden fehlgeschlagene Logins protokolliert Es ist wich tig hier auf dem Laufendem zu bleiben um jemanden zu fassen der eine Brute Force Attacke versucht LOG_UNKFAIL_ENAB yes Wenn Sie die Variable FAILLOG_ENAB auf yes gesetzt haben dann sollten Sie auch diese Va riable auf yes setzen Dies wird auch unbekannte Nutzernamen protokollieren Wenn Sie dies tun gehen Sie auch sicher dass die Protokolle sinnvolle Zugriffsrechte haben zum Beispiel 640 mit einer angemessenen Gruppen Zugeh rigkeit wie adm weil Nutzer oft versehentlich ihr Passwort als Usernamen eingeben und dies anderen nicht zug nglich machen wollen SYSLOG_SU_ENAB ye
148. an 110n german lists debian org 1 2 Wo Sie diese Anleitung bekommen und verf gbare Formate Sie k nnen sich die neueste Version der Anleitung zum Absichern von Debian beim Debian Dokumentationsprojekt http www de debian org doc manuals securing debian howto herunterladen oder anschauen Wenn Sie eine Kopie von einer anderen Seite lesen berpr fen Sie bitte die Hauptversion ob sie neue Informationen enth lt Wenn Sie eine bersetzung lesen was Sie im Moment tun d U vergleichen Sie bitte die Version der bersetzung mit der neuesten Version Falls Sie feststellen dass die bersetzung veraltet ist sollten Sie in Betracht ziehen die Originalversion zu verwenden oder zumindest Es w rde eine Menge Arbeit ersparen wenn die Verbesserungen in die SGML Dateien eingearbeitet werden Diese sind mittels CVS abrufbar und k nnen auch ber die Webschnittstelle http cvs debian org ddp manuals sgml securing howto cvsroot debian doc abgerufen werden d U Kapitel 1 Einleitung 3 die Anderungstibersicht Changelog Geschichte auf Seite 7 durchsehen um zu wissen was ge ndert wurde Wenn Sie eine vollst ndige Kopie des Handbuchs wollen k nnen Sie die Text Version http www de debian org doc manuals securing debian howto securing debian howto de txt oder die PDF Version http www de debian org doc manuals securing debian howto securing debian howto de pdf von der Seite des Debian Dokumentationsproj
149. an nicht sowohl die Stable Ver ffentlichung und inoffiziell auch Unstable als auch andere ltere Ver ffentlichungen handhaben Sie k nnen allerdings Sicherheitsaktualisierungen f r eine bestimmte Zeitspan ne normalerweise einige Monate nach der Ver ffentlichung einer neuen Debian Distribution erwarten 12 3 9 Warum gibt es keinen offiziellen Mirror von security debian org Der Zweck von security debian org ist es Sicherheitsaktualisierungen m glichst schnell und einfach zur Verf gung zu stellen Mirrors machen dies unn tig komplizierten und erzeugen nur Frustration wenn sie nicht aktuell gehalten werden 12 3 10 Ich habe DSA 100 und DSA 102 gesehen doch wo ist DSA 101 Verschiedene Distributoren zumeist von GNU Linux aber auch von BSD Derivaten koor dinieren Sicherheits Ank ndigung f r verschiedene Vorf lle und haben vereinbart einen be stimmten Zeitplan einzuhalten so dass alle Distributoren in der Lage sind eine Anweisung zur selben Zeit zu ver ffentlichen Dadurch soll verhindert werden dass ein Anbieter dis kriminiert wird der mehr Zeit ben tigt z B falls der Hersteller l ngere Qualit tssicherungs tests f r die Pakete durchf hrt oder mehrere Architekturen bzw Bin r Distributionen unter st tzt Unser eigenes Sicherheitsteam bereitet ebenfalls Anweisungen im Vorhinein vor Es passiert immer wieder mal dass andere Sicherheitsprobleme fr her abgearbeitet werden m s sen als vorbereitete Gutachten ver
150. ar ist e Kurze Beschreibung des Pakets Beschreibung des Problems Beschreibung des Exploits e Beschreibung der Ausbesserung DSAs werden sowohl auf der Hauptseite von Debian http www de debian org als auch auf den Sicherheitsseiten von Debian http www debian org security ver f fentlicht Das passiert normalerweise nicht bis die Website neu erstellt wurde alle vier Stun den Daher k nnten sie nicht sofort vorhanden sein Somit ist die vorzugsw rdige Informati onsquelle die Mailingliste debian security announce DSAs die auf der Webseite ver ffentlicht wurden k nnen aktualisiert werden nachdem sie an ffentliche Mailinglisten verschickt wurden Eine typische Aktualisierung ist einen Querver weis auf Datenbanken mit Sicherheitsl cken hinzuzuf gen Auch bersetzungen der DSAs werden nicht an die Sicherheitsmailinglisten geschickt sondern sind direkt auf der Webseite enthalten bersetzungen sind in bis zu zehn verschiedenen Sprachen verf gbar Kapitel 7 Die Infrastruktur f r Sicherheit in Debian 139 7 2 1 Querverweise der Verwundbarkeiten Debian stellt eine vollst ndige Tabelle mit Querverweisen http www de debian org security crossreferences zur Verf gung die alle verf gbaren Verweise f r die An weisungen seit 1998 enth lt Diese Tabelle soll die Verweis bersicht von CVE http cve mitre org cve refs refmap source DEBIAN html erg nzen Sie werden bemerkt haben dass d
151. as System bootet Es erscheint eine Meldung die dem Adminis trator erlaubt eine auszuf hrende Shell mit Root Privilegien zu ffnen Diese Shell kann dazu benutzt werden manuell Module zu laden falls die automatische Erkennung fehlschl gt Dies ist das Standard Verhalten bei initrd s linuxrc Die folgende Meldung wird erscheinen Press ENTER to obtain a shell waits 5 seconds Um dieses Verhalten zu entfernen m ssen Sie etc mkinitrd mkinitrd conf editieren und den Eintrag DELAY Anzahl Sekunden die das linuxrc Skript warten soll um den Nutzer Eingriffe zu erlauben bevor das System hochgefahren wird DELAY 0 setzen Erstellen Sie anschlie end Ihr Ramdisk Image neu Dies k nnen Sie zum Beispiel so tun cd boot mkinitrd o initrd img 2 4 18 k7 lib modules 2 4 18 k7 oder vorzugsweise so Kapitel 4 Nach der Installation 54 dpkg reconfigure kernel image 2 4 x yz Beachten Sie dass Debian 3 0 Woody den Benutzern erlaubt 2 4er Kernel zu installieren indem Sie flavors wahlen aber der Standard Kernel ist 2 2 von einigen Architekturen abgesehen auf die der Kernel 2 2 nicht portiert wurde 4 7 Booten von Diskette verbieten Der Standard MBR von Debian vor Version 2 2 verhielt sich nicht wie ein normaler Master Boot Record und lie eine Methode offen einfach in ein System einzubrechen e Dr cken Sie w hrend des Starts Shift und der MBR Prompt erscheint e Dr cken Sie dann F
152. as Werkzeug apt key um neue Schl ssel zum Schl sselbund von apt hinzuzuf gen welcher standardm ig nur den aktuel len Signierungsschl ssel des Debian Archivs enth lt Diese Ver nderungen basieren auf dem Patch f r apt verf gbar in Fehler 203741 http bugs debian org cgi bin bugreport cgi bug 203741 der diese Erweiterung zur Verf gung stellt Secure Apt berpr ft die Distribution mit der Release Datei Dies wurde schon unter Uber pr fung der Distribution mit der Release Datei auf der n chsten Seite dargestellt Typischer weise erfordert dieser Vorgang kein Mitwirken des Administrators Aber jedes Jahr m ssen Sie eingreifen um den neuen Schl ssel des Archivs hinzuzuf gen wenn dieser ausgewech Bis ein automatischer Mechanismus entwickelt wurde Kapitel 7 Die Infrastruktur f r Sicherheit in Debian 147 selt wurde Weitere Informationen zu den dazu notwendigen Schritten finden Sie unter Auf sichere Weise einen Schl ssel hinzuf gen auf Seite 151 Diese F higkeit befindet sich noch im Entwicklungsstadium Wenn Sie glauben dass Sie Fehler gefunden haben stellen Sie zuerst sicher dass Sie die neuste Version verwenden da dieses Paket vor seiner endg ltigen Ver ffentlichung noch ziemlich ver ndern werden kann Falls Sie die aktuelle Version benutzen schicken Sie einen Fehlerbericht f r das Paket apt 7 4 3 berpr fung der Distribution mit der Release Datei Dieser Abschnitt beschr
153. at also auf die Datei etc shadow Ein Administrator kann john oder crack beide benutzen Brute Force Rohe Gewalt zum Knacken von Passw rtern zusammen mit einer passenden W rterliste verwenden um die Passw rter der Nutzer zu berpr fen und falls ein schlechtes Passwort entdeckt wird geeignete Schritte unternehmen Sie k nnen mit apt cache search wordlist nach Debian GNU Paketen suchen die W rterlisten enthalten oder Sie besuchen die klassischen Internetseiten mit W rterlisten wie ftp ftp ox ac uk pub wordlists oder ftp ftp cerias purdue edu pub dict 4 11 15 Ausloggen von unt tigen Nutzern Unt tige idle Nutzer stellen f r gew hnlich ein Sicherheitsproblem dar Ein Nutzer kann unt tig sein da er Mittagessen ist oder weil eine entfernte Verbindung h ngen blieb und nicht wieder hergestellt wurde Unabh ngig von den Gr nden k nnen unt tige Benutzer zu einer Kompromittierung f hren e weil die Konsole des Benutzers vielleicht nicht verriegelt ist und damit ein Eindringling darauf zugreifen kann chpasswd kann keine MD5 Passw rter erzeugen Daher muss ihm das Passwort in verschl sselter Form bergeben werden bevor es mit der e Option verwendet werden kann Kapitel 4 Nach der Installation 73 e weil ein Angreifer an eine schon beendete Netzwerkverbindung ankn pfen und Befehle an die entfernte Shell schicken kann das ist ziemlich einfach wenn die entfernte Shell wie bei telnet nicht verschl s
154. auch immer einige Patches werden von Debian noch nicht zur Verf gung gestellt Wenn Sie denken dass manche von ihnen hinzugef gt werden sollten fragen Sie danach auf Arbeit bed rfende und voraussichtliche Pakete http www de debian org devel wnpp 4 15 Schutz vor Puffer berl ufen Puffer berlauf buffer overflow wird eine verbreitete Art von Angriffen auf Software ge nannt die die unzureichende berpr fung von Eingabegrenzen ausnutzen ein Programmier fehler der h ufig bei der Programmiersprache C auftritt um durch Programmeingaben Befeh le auf der Maschine auszuf hren Diese Attacken ber Server die auf Verbindungen warten oder ber lokal installierte Software die einem Nutzer gr ere Privilegien gew hrt setuid oder setgid kann zu einem kompromittierten System f hren Es gibt haupts chlich vier Methoden um sich gegen Puffer berl ufe zu sch tzen Sie sind in der Tat so verbreitet dass sie die Grundlage f r 20 aller gemeldeten Sicherheitsm ngel pro Jahr darstellen wie von statistics from ICAT s vulnerability database nttp icat nist gov icat c fm function statistics herausgefunden wurde Kapitel 4 Nach der Installation 8 e Patchen Sie den Kernel um das Ausf hren des Stapelspeichers zu verhindern Sie k n nen entweder Exec Shield OpenWall oder PaX ist in den Grsecurity und Adamantix patches enthalten verwenden e Benutzen Sie eine Bibliothek wie libsafe http www research
155. auf Seite 78 Schr nken Sie die Zugriffsrechte auf Log Dateien var log last fail log Apache Logs ein Stellen Sie sicher dass in etc checksecurity conf SETUID Checks einge schaltet sind berlegen Sie sich an Log Dateien nur anh ngen zu lassen append only und Kon figurationsdateien unver nderbar immutable zu machen indem Sie chattr benut zen nur ext2 Dateisystem Setzen Sie eine Integrit tspr fung des Dateisystems auf siehe Pr fung der Integri tat des Dateisystems auf Seite 85 Installieren Sie debsums Kapitel B Checkliste der Konfiguration 229 berlegen Sie locate durch slocate zu ersetzen Alles auf einem lokalen Drucker mitloggen Brennen Sie Ihre Konfiguration auf eine bootbare CD und booten Sie hiervon Abschalten von Kernel Modulen e Einschr nkung des Netzwerkzugriffs Installieren und konfigurieren Sie ssh Vorschlag PermitRootLogin No in etc ssh sshd_config PermitEmptyPasswords No beachten Sie auch die anderen Vorschl ge im Text Uberlegen Sie ob Sie in telnetd abschalten oder entfernen Deaktivieren Sie ganz allgemein alle berfl ssigen Dienste in etc inetd conf Benutzen Sie dazu update inetd disable oder Sie schalten inetd ganz ab oder benutzen einen Ersatz wie xinetd oder rlinetd Schalten Sie andere berfl ssige Netzwerkdienste ab mail ftp DNS www usw sollten nicht laufen wenn Sie sie nicht brauchen und nicht regelm ig berwachen I
156. aufgrund der publizier ten Version attackieren wird Um Ihre eigene Version anzugeben benutzen Sie die Version Direktive in der folgenden Art options verschiedene andere Optionen version Nicht verfuegbar Das ndern des version bind Eintrags sch tzt eigentlich nicht gegen Attacken aber Sie k n nen es als sinnvolle Schutzvorrichtung ansehen Kapitel 5 Absichern von Diensten die auf Ihrem System laufen 111 Eine beispielhafte named conf Konfigurationsdatei k nnte so aussehen acl internal EROS E localhost 10 0 0 0 8 intern aa bb cc dd eth0 IP y acl friendly ee ff gg hh slave DNS aa bb cc dd eth0 IP 127 0 0 1 32 localhost 10 0 0 0 8 intern y options directory var cache bind allow query internal allow recursion internal allow transfer none i Ab hier bis zur meineseite bogus Zone ist alles im Grunde die unver nderte Debian Standardeinstellung logging category lame servers null category cname null y zone type hint file etc bind db root zone localhost type master file etc bind db local zone 127 in addr arpa type master file etc bind db 127 zone 0 in addr arpa type master file etc bind db 0 Kapitel 5 Absichern von Diensten die auf Ihrem System laufen 112 IL zone 255 in addr arpa type master file etc bind db 255 y
157. avayalabs com project libsafe um verwundbare Funktionen zu berschreiben und ordentli che Pr fungen einzuf hren Informationen wie man libsafe installiert finden Sie hier http www Linux Sec net harden libsafe uhow2 txt e Verbessern Sie den Quellcode indem Sie Werkzeuge einsetzen die Teile finden die zu dieser Verwundbarkeit f hren k nnten e bersetzen Sie den Quellcode neu um vern nftige Pr fungen einzuf hren um ber l ufe zu verhindern Benutzen Sie dazu den Stack Smashing Protector SSP http www research ibm com trl projects security ssp Patch f r GCC der von Adamantix http www adamant ix org verwendet wird Debian GNU Linux liefert bis einschlie lich der Release 3 0 Software um alle dieser Metho den bis auf den Schutz bei der bersetzung des Quellcodes das wurde aber schon in Fehler 213994 http bugs debian org 213994 nachgefragt zu implementieren Beachten Sie dass selbst wenn Debian einen Compiler zur Verf gung stellen w rde der Schutz vor Stapel und Puffer berl ufen bieten w rde so doch alle Pakete neu bersetzt wer den m ssten um diese Eigenschaft einzuf hren Tats chlich ist das die Aufgabe der Distri bution Adamantix unter anderen F higkeiten Die Auswirkungen dieses neuen Features auf die Stabilit t der Software muss aber noch ermittelt werden einige Programme und einige Prozessoren werden vielleicht deswegen nicht mehr funktionieren Seien Sie auf
158. belegen kann Ein sehr gutes Beispiel dieser Art von Angriff der das tmp Verzeichnis benutzt ist ausf hrlich auf The mysteriously persistently exploitable program contest http www hackinglinuxexposed com articles 20031111 html und auf The mysteriously persistently exploitable program explained http www hackinglinuxexposed com articles 20031214 htm1 beschrieben beachten Sie dass dieser Vorfall in einem Zusammenhang mit Debian steht Im Prinzip ist das ein Angriff bei dem ein lokaler Benutzer eine angreifbare Setuid Anwendung versteckt indem einer einen harten Link zu ihr einrichtet So kann er wirksam verhindern dass diese Anwendung vom Systemadministrator aktualisiert oder entfernt wird Dpkg wurde ktirz lich verbessert um das zu verhindern vergleiche 225692 http bugs debian org 225692 Aber andere Setuid Anwendungen die nicht vom Paketverwaltungsprogramm kontrolliert werden bleiben ein Risiko wenn Partitionen nicht richtig eingerichtet werden Kapitel 3 Vor und w hrend der Installation 37 tion f r Linux Partitionen ext2 ausgew hlt Dennoch ist es ratsam ein journaling filesys tem ein Dateisystem das nderungen mitprotokolliert zu nehmen wie zum Beispiel ext 3 reiserfs jfs oder xfs Dadurch verringern Sie Probleme nach einen Absturz des Systems in folgenden F llen e Auf Laptops auf allen Dateisystemen Auf diese Art reduzieren Sie die Wahrscheinlich keit eines Datenverlustes wenn b
159. ber die Sicherheit von identd siehe in den Ar chiven der Mailingliste http lists debian org debian security 2001 Kapitel 12 H ufig gestellte Fragen Frequently asked Questions FAQ 210 debian security 200108 msg00297 html Im Allgemeinen ist identd auf Multi User Systemen n tzlicher als auch einer Workstation mit nur einem Benutzer Wenn Sie keine Verwendung von ihn haben sollten Sie ihn abschalten damit Sie keinen Dienst f r die Au en welt offen lassen Wenn Sie sich entscheiden den identd Port mit einer Firewall zu blockieren benutzen Sie bitte die Regel reject und nicht die Regel deny da andernfalls eine Verbindung zu einem Server die identd verwendet bis zu einer Zeit berschreitung h ngen bleiben wird lesen Sie dazu reject or deny issues http logi cc linux reject_or_deny php3 Ich habe Dienste die die Ports 1 und 6 verwenden Welche sind das und wie kann ich sie entfernen Sie f hren den Befehlnetstat an aus und erhalten Folgendes Active Internet connections servers and established Proto Recv Q Send Q Local Address Foreign Address PID Program name raw 0 0 0 0 0 0 1 0 0 0 0 raw 0 00 00 EE 0 0 0 0 Sie sehen nicht Prozesse die auf dem TCP UDP Port 1 und 6 lauschen Tats chlich sehen Sie einen Prozess der auf einem Raw Socket f r Protokoll 1 ICMP und 6 TCP lauscht Ein sol ches Verhalten ist f r Trojaner und einige Systeme zur Eindringlingserkennung wie iplogger und portsen
160. bessern bei spielsweise durch automatische Paket Signierungs und Verifikations Mechanismen e Debian stellt eine brauchbare Anzahl von sicherheitsrelevanten Werkzeugen f r System Administratoren und zur berwachung zur Verf gung Entwickler versuchen diese Werkzeuge fest mit der Distribution zu verbinden um Sie anpassbarer zur Durchsetzung lokaler Sicherheits Regelungen zu machen Diese Werkzeuge schlie en Folgendes mit ein integrit tspr fende Programme allgemeine Pr fwerkzeuge Werkzeuge zum Ab h rten Werkzeuge f r Firewalls Eindringlings Erkennungs Tools und vieles andere Kapitel 2 Bevor Sie beginnen 33 e Paketbetreuer sind sich der Sicherheits Probleme bewusst Dies f hrt oft zu vorein gestellt sicheren Installationen von Diensten die sie manchmal in ihrer normalen Be nutzung etwas einschr nken k nnen Dennoch versucht Debian Sicherheitsaspekte und Einfachheit der Administration abzuw gen zum Beispiel werden Dienste nicht inaktiv installiert wie es bei den Betriebssystemen der BSD Familie blich ist Auf jeden Fall sind bedeutende Sicherheitsaspekte wie zum Beispiel setuid Programme Teil der De bian Policy http www debian org doc debian policy Dieses Dokument versucht eine bessere Installation von Computersystemen hinsichtlich der Sicherheit zu erzielen indem es Informationen ber Sicherheit ver ffentlicht die auf Debi an zugeschnitten sind und diese durch andere Dokumente erg nzt d
161. bian 7 1 Das Sicherheitsteam von Debian Debian hat ein Sicherheitsteam das aus f nf Mitgliedern und zwei Sekret ren besteht Es ist f r die Sicherheit in der Stable Ver ffentlichung verantwortlich Das bedeutet dass es Sicher heitsl cken nachgeht die in Software auftauchen indem es Foren wie Bugtraq oder vuln dev beobachtet und ermittelt ob davon die Stable Ver ffentlichung betroffen ist Das Sicherheitsteam von Debian ist auch der Ansprechpartner f r Probleme die von den Pro grammautoren oder Organisationen wie CERT http www cert org behandelt werden und die mehrere Linux Anbieter betreffen k nnen Das gilt f r alle Probleme die nicht de bianspezifisch sind Es gibt zwei M glichkeiten um mit dem Sicherheitsteam in Verbindung zu treten e team security debian org mailto team security debian org die nur die Mit glieder des Sicherheitsteams lesen e security debian org mailto security debian org die von allen Debian Entwicklern gelesen wird einschlie lich des Sicherheitsteams E Mails die an diese Liste geschickt werden werden nicht im Internet ver ffentlicht es handelt sich also nicht um eine ffentliche Mailingliste Heikle Informationen sollten an die erste Adresse geschickt werden und unter Umst nden mit dem Schl ssel von Debian Security Contact Schl ssel ID 363CCD95 verschl sselt werden Wenn das Sicherheitsteam ein m gliches Problem erh lt wird es untersuchen ob die Stable Ver ffent
162. bian dpkg 200103 msg00024 html der diese Funktionen zur Verf gung stellt sobald debsig veri f y installiert ist HINWEIS Derzeit wird etc dpkg dpkg cfg standardm ig mit der Option no debsig ausgeliefert HINWEIS 2 Unterschriften von Entwicklern werden im Moment entfernt wenn sie in das Pa ketarchiv gelangen da die derzeit vorzugsw rdige Methode die berpr fung der Release Datei ist wie es oben beschrieben wurde Kapitel 7 Die Infrastruktur f r Sicherheit in Debian 162 163 Kapitel 8 Sicherheitswerkzeuge in Debian FIXME More content needed Debian stellt au erdem einige Sicherheitswerkzeuge zur Verf gung die eine Debian Maschine zum Zweck der Sicherheit passend einrichten k nnen Diese Zielsetzung schlie t die Siche rung von Systeminformationen durch Firewalls sowohl auf Paket als auch auf Anwendungs ebene Eindringlingserkennung netzwerk und hostbasiert Einsch tzung der Verwundbar keit Antivirus private Netzwerke und vieles mehr ein Seit Debian 3 0 woody ist kryptographische Software in der Hauptdistribution integriert OpenSSH und GNU Privacy Guard sind in der Standardinstallation enthalten Au erdem be finden sich jetzt in Web Browsern und Web Servern Datenbanken usw starke Verschl sse lungsmechanismen Eine weitergehende Eingliederung von Kryptographie ist f r zuk nftige Ver ffentlichungen geplant Aufgrund von Exportbeschr nkungen in den USA wurde diese Software nic
163. bschnitt ber die Firewall neu habe die Informationen die Woody betref fen nach unten verschoben und die brigen Abschnitte erweitert einschlie lich Hinwei sen dazu wie man von Hand eine Firewall einrichtet mit einem Beispielsskript und wie man die Konfiguration der Firewall testen kann e F gte einige Informationen hinzu bez glich der Ver ffentlichung von Debian 3 1 e F gte ausf hrlichere Hinweise zu Kernelupgrades hinzu die sich besonders an diejeni gen richten die das alte Installationssystem verwenden Kapitel 1 Einleitung 11 e F gte einen kurzen Abschnitt ber die experimentelle Ver ffentlichung von apt 0 6 die die berpr fung von Paketsignaturen enth lt Verschob den alten Inhalt in den Abschnitt und f gte auch einen Verweis auf die Ver nderungen die in aptitude vorgenommen wurden hinzu e Ausbesserungen von Tippfehlern die von Fr d ric Bothamy entdeckt wurden 1 6 10 Version 3 1 January 2005 Changes by Javier Fern ndez Sanguino Pefia e Added clarification to ro usr with patch from Joost van Baal e Apply patch from Jens Seidel fixing many typos e FreeSWAN is dead long live OpenSWAN e Added information on restricting access to RPC services when they cannot be disabled also included patch provided by Aarre Laakso e Update aj s apt check sigs script e Apply patch Carlo Perassi fixing URLs e Apply patch from Davor Ocelic fixing many errors typos urls grammar and FIXMEs Also a
164. bt es zwei unterschiedliche Pakete die zur Erh hung der Sicher heit n tzlich sind Das Paket harden versucht auf Basis der Paket Abh ngigkeiten schnell wertvolle Sicherheitspakete zu installieren und Pakete mit M ngeln zu entfernen Die Kon figuration der Pakete muss der Administrator erledigen Das Paket bastille implementiert gegebene Sicherheitsregeln f r das lokale System die auf einer vorhergehenden Konfiguration durch den Administrator basieren Sie k nnen auch mit einfachen Ja Nein Fragen durch die Konfiguration gef hrt werden 6 1 Harden Das Paket harden versucht es einfacher zu machen Rechner die gute Sicherheit ben tigen zu installieren und zu administrieren Dieses Paket sollte von Leuten benutzt werden die eine schnelle Hilfe bei der Erh hung der Systemsicherheit haben wollen Es installiert automatisch einige Werkzeuge die die Sicherheit auf unterschiedliche Art und Weise erh hen Werkzeuge zur Eindringlingserkennung Werkzeuge zur Sicherheitsanalyse und mehr harden installiert die folgenden virtuellen Pakete d h sie enthalten nichts h ngen aber von anderen Paketen ab oder empfehlen diese Kapitel 6 Automatisches Abh rten von Debian Systemen 134 e harden tools Werkzeuge die die Sicherheit des Systems erh hen Integrit tspr fung Eindringlingserkennung Kernel Patches e harden environment Hilft eine abgesicherte Umgebung zu konfigurieren derzeit leer e harden servers entfernt Server di
165. c5 verkn pft sind Sie sollten also zuerst die gemeldeten Fehlerberich te http bugs debian org libsafe lesen und die kritischsten Programme auf Ihrem System mit dem Programm zum Einh llen von 1ibsafe testen Wichtiger Hinweis Der Schutz durch 1ibsafe k nnte im Moment nicht wirkungsvoll sein wie es in 173227 http bugs debian org 173227 beschrieben wird Testen Sie es gr nd lich bevor Sie es in einer produktiven Umgebung einsetzen und verlassen Sie sich nicht aus schlie lich darauf um Ihr System zu sch tzen 4 15 3 Pr fprogramme f r Puffer berl ufe Zur Nutzung von Werkzeugen zum Aufsp ren von Puffer berl ufen ben tigen Sie in je dem Fall Programmiererfahrung um den Quellcode zu reparieren und neu zu kompilie ren Debian stellt beispielsweise bfbt ester einen Uberlauftester der Programme per Brute Force durch Testen aller M glichkeiten nach berl ufen der Kommandozeile und von Um gebungsvariablen durchtestet bereit Andere interessante Pakete sind auch rats pscan flawfinder und splint 4 16 Sichere bertragung von Dateien W hrend der normalen Systemadministration m ssen Sie immer mal wieder Dateien auf Ihr System spielen oder von diesem holen Auf sichere Art und Weise Dateien von einem Host zu einem anderen zu kopieren wird durch die Benutzung des Paketes ssh erreicht Eine andere M glichkeit ist die Nutzung von ftpd ss1 einem ftp Server der Secure Socket Layer benutzt um bertragungen zu ver
166. ce Spitzner http www spitzner net swatch html Kapitel 4 Nach der Installation 76 _packagename_ etc logcheck violations d _packagename_ etc logcheck violations ignore d _packagename_ etc logcheck ignore d paranoid _packagename_ etc logcheck ignore d server _packagename_ und etc logcheck ignore d workstation _packagename_ Leider benutzen das noch nicht viele Pakete Wenn Sie ein Regelwerk entwickelt haben dass f r andere Nutzer n tz lich sein k nnte schicken Sie bitte einen Fehlerbericht f r das entsprechende Paket als ein wishlist Fehler Mehr Informationen finden Sie unter usr share doc logcheck README Debian logcheck konfiguriert man am besten indem man nach der Installation seine Hauptkonfigu rationsdatei etc logcheck logcheck conf bearbeitet Ver ndern Sie den Benutzer an den die Berichte geschickt werden standardm ig ist das Root Au erdem sollten Sie auch den Schwellenwert f r Berichte festlegen logcheck dat abase hat drei Schwellenwerte mit steigender Ausf hrlichkeit Workstation Arbeitsplatz Server und paranoid server ist der Standardwert paranoid wird nur f r Hochsicherheitsmaschinen empfohlen auf denen so wenig Dienste wie m glich laufen workstation eignet sich f r relativ gesch tzte nicht kri tische Maschinen Wenn Sie neue Log Dateien hinzuf gen wollen m ssen Sie diese nur zu etc logcheck logcheck logfiles hinzuf gen Es ist f r die standardm ige Sysl
167. ch sicheres System zu bekommen Sie werden feststellen dass diese Anleitung von der Pike auf geschrieben ist Sie werden die Informationen zu einer Aufgabe die Sie vor w hrend und nach der Debian Installation aus f hren sollten in der entsprechenden Reihenfolge vorgestellt bekommen Die einzelnen Auf gaben k nnen wie folgt beschrieben werden Entscheiden Sie welche Dienste Sie ben tigen und beschr nken Sie Ihr System auf sel bige Dies schlie t das Deaktivieren Deinstallieren von nicht ben tigten Diensten und das Installieren von Firewall hnlichen Filtern oder TCP Wrappern ein Einschr nken der Nutzer und Zugriffsrechte auf Ihrem System Abh rten der angebotenen Dienste damit der Einfluss auf Ihr System im Falle einer Kompromittierung m glichst gering ist Benutzen Sie die passenden Tools um sicherzustellen dass ein unautorisierter Zugriff auf Ihrem System entdeckt wird so dass Sie geeignete Gegenma nahmen ergreifen k n nen 2 2 Seien Sie wachsam gegen ber generellen Sicherheitsproblemen Diese Anleitung geht normalerweise nicht im Detail darauf ein warum bestimmte Sachen als Sicherheitsrisiko betrachtet werden Es w re aber sicherlich von Vorteil wenn Sie mehr Hintergrundwissen von der Sicherheit in Unix im Allgemeinen und von der in Linux im Be sonderen haben Nehmen Sie sich die Zeit um sicherheitsrelevante Dokumente zu lesen um Kapitel 2 Bevor Sie beginnen 30 Entscheidungen informiert tr
168. chdem Chroot aufgesetzt wurde sbin named xfer wenn Sie Namen transferieren var run Sorgen Sie auch daf r dass syslogd auf SCHROOT dev log achtet so dass der Name Server seine syslog Eintr ge in das lokale System Protokoll schreiben lassen kann Wenn Sie Probleme mit dynamischen Bibliotheken vermeiden wollen k nnen Sie Bind statisch kompilieren Sie k nnen hierzu apt get mit der source Option benutzen Es kann sogar die Pakete herunterladen die Sie zum Kompilieren ben tigen Sie m ssten etwas hnliches wie das Folgende tun apt get source bind apt get build dep bind cd bind 8 2 5 2 editieren Sie src port linux Makefile so dass CFLAGS die Option static beinhaltet dpkg buildpackage rfakeroot uc us cd dpkg i bind 8 2 5 2 deb Diese Einstellungen wurden f r Bind 8 4 3 von Debian 2 2 Potato getestet Kapitel 5 Absichern von Diensten die auf Ihrem System laufen 116 Nach der Installation werden Sie die Dateien in das Chroot Gef ngnis verschieben m ssen Sie k nnen die init d Skripte in etc init dlassen so dass das System automatisch den Name Server starten wird aber editieren Sie sie indem Sie bei den start stop daemon Aufrufen in diesen Skripten chroot location_of_chroot hinzuf gen F r weitere Informationen wie man Chroot Gef ngnisse aufsetzt siehe Allgemeine chroot und suid Paranoia auf Seite 118 FIXME F ge Informationen aus folgenden Quellen
169. ction on how to contact CERT for incident handling tafter compromise More information on setting up a Squid proxy e Added a pointer and removed a FIXME thanks to Helge H F e Fixed a typo save_inactive spotted by Philippe Faes e Fixed several typos spotted by Jaime Robles 1 6 17 Version 2 94 April 2003 Changes by Javier Fern ndez Sanguino Pefia e Following Maciej Stachura s suggestions I ve expanded the section on limiting users e Fixed typo spotted by Wolfgang Nolte e Fixed links with patch contributed by Ruben Leote Mendes Added a link to David Wheeler s excellent document on the footnote about counting security vulnerabilities Kapitel 1 Einleitung 14 1 6 18 Version 2 93 march 2003 Changes made by Fr d ric Sch tz e rewrote entirely the section of ext2 attributes Isattr chattr 1 6 19 Version 2 92 February 2003 Changes by Javier Fern ndez Sanguino Pefia and Fr d ric Sch tz e Merge section 9 3 useful kernel patches into section 4 13 Adding kernel patches and added some content e Added a few more TODOs e Added information on how to manually check for updates and also about cron apt That way Tiger is not perceived as the only way to do automatic update checks e Slightly rewrite of the section on executing a security updates due to Jean Marc Ranger comments e Added a note on Debian s installation which will suggest the user to execute a security update right
170. d Zeile auskommentieren reload usr sbin ndce reload und in Folgendes ndern reload 0 stop sleep 1 0 start Beachten Sie dass Sie abh ngig von Ihrer Bind Version die Option g nicht haben h chstwahrscheinlich wenn Sie bind9 von Woody 9 2 1 2 woody oder Sarge 9 2 4 installiert haben Kapitel 5 Absichern von Diensten die auf Ihrem System laufen 114 Beachten Sie Abh ngig von Ihrer Debian Version m ssen Sie vielleicht auch die restart Zeile ndern Dies wurde in der Version 1 8 3 1 2 von Debians BIND Paket repariert Alles was Sie jetzt noch tun m ssen ist bind mittels etc init d bind restart neu zu starten und dann Ihr Syslog auf zwei Eintr ge wie die folgenden zu pr fen Sep 4 15 11 08 nexus named 13439 group named Sep 4 15 11 08 nexus named 13439 user named Voila Ihr named l uft nicht mehr als root Wenn Sie mehr Informationen dar ber lesen wol len warum BIND nicht als nicht root Benutzer auf Debian Systemen l uft sehen Sie bit te in der Fehlerdatenbank zu Bind nach insbesondere Bug 50013 bind should not run as root http bugs debian org 50013 und Bug 132582 Default install is potential ly insecure http bugs debian org 132582 Bug 53550 http bugs debian org 53550 Bug 52745 http bugs debian org 52745 und Bug 128129 http bugs debian org 128129 F hlen Sie sich ruhig dazu ermuntert etwas zu den Fehler beschreibungen beizutrag
171. dass eine Ver ffentlichung so wenig wie m glich ndert damit sich als Resultat des Sicherheitskorrekturen nichts ndert oder unerwartet Probleme verursacht werden Sie k nnen berpr fen ob Sie eine sichere Version eines Paketes verwenden indem Kapitel 12 H ufig gestellte Fragen Frequently asked Questions FAQ 219 Sie die changelog Datei des Paketes ansehen oder seine exakte Versionsnummer mit der an gezeigten Version in der Debian Sicherheits Ank ndigung vergleichen 12 3 7 Wie wird die Sicherheit f r Testing und Unstable gehandhabt Die kurze Antwort ist gar nicht Testing und Unstable sind starken nderungen unterwor fen und das Sicherheitsteam hat nicht die Mittel die ben tigt w rden um diese entsprechend zu unterst tzen Wenn Sie einen sicheren und stabilen Server ben tigen wird Ihnen drin gend empfohlen bei Stable zu bleiben Jedoch werden die Sicherheitssekret re versuchen die Probleme in Testing und Unstable zu beheben nachdem sie in der Stable Ver ffentlichung be hoben sind In einigen F llen bekommt allerdings der Unstable Zweig Sicherheitsreparaturen ziemlich schnell da diese Reparaturen im Originalprogramm schneller verf gbar sind dagegen m s sen andere Versionen wie die im Stable Zweig normalerweise zur ckportiert werden 12 3 8 Ich verwende eine ltere Version von Debian Wird sie vom Debian Sicherheitsteam unterst tzt Nein Ungl cklicherweise kann das Sicherheitsteam von Debi
172. dds some additional information to some sections e Rewrote the section on user auditing highlight the usage of script which does not have some of the issues associated to shell history 1 6 11 Version 3 0 December 2004 Changes by Javier Fern ndez Sanguino Pe a Rewrote the user auditing information and include examples on how to use script 1 6 12 Version 2 99 March 2004 Changes by Javier Fern ndez Sanguino Pe a e Added information on references in DSAs and CVE Compatibility e Added information on apt 0 6 apt secure merge in experimental e Fixed location of Chroot daemons HOWTO as suggested by Shuying Wang Kapitel 1 Einleitung 12 e Changed APACHECTL line in the Apache chroot example even if its not used at all as suggested by Leonard Norrgard e Added a footnote regarding hardlink attacks if partitions are not setup properly e Added some missing steps in order to run bind as named as provided by Jeffrey Prosa e Added notes about Nessus and Snort out of dateness in woody and availability of back ported packages e Added a chapter regarding periodic integrity test checks e Clarified the status of testing regarding security updates Debian bug 233955 e Added more information regarding expected contents in securetty since it s kernel spe cific e Added pointer to snoopylogger Debian bug 179409 e Added reference to guarddog Debian bug 170710 e Apt ftparchive is in apt utils not in apt thanks to
173. de Eindringlingserkennung Programme die der Netzwerk basierende Eindringlingserkennung dienen berwachen den Verkehr eines Netzwerkabschnitts und arbeiten auf Grundlage dieser Daten Genauer ausge dr ckt es werden die Pakete im Netzwerk untersucht um festzustellen ob sie mit bestimmten Merkmalen bereinstimmen snort ist ein vielseitiger Paketschn ffler oder logger der Angriffe mit einer Bibliothek von Angriffssignaturen erkennt Es erkennt eine breite Palette von Angriffen und Tests wie zum Beispiel Puffer berl ufe verdecktes Abtasten von Ports stealth port scans CGI Angriffe SMB Tests und vieles mehr snort hat auch die F higkeit einen zeitnahen Alarm auszul sen Dies ist in Werkzeug das auf jedem Router installiert werden sollte um ein Auge auf Ihr Netzwerk zu haben Installieren Sie es einfach mit apt get install snort beantworten Sie den Fra gen und beobachten Sie die logs F r einen etwas breiteren Sicherheitsrahmen sollten Sie sich Prelude http www prelude ids org ansehen Debians Paket Snort hat viele Sicherheitstests standardm ig eingeschaltet Jedoch sollten Sie die Konfiguration anpassen um die Dienste die auf Ihrem System laufen zu ber cksichtigen Sie m chten vielleicht auch zus tzliche Tests speziell f r diese Dienste nutzen Achtung Die Snort Pakete aus Woody sind ziemlich veraltet und k nnten sogar feh lerhaft http lists debian org debian devel 2003 debian devel 200308 msg02105 html
174. deinstellung in den neuesten Versionen des Pakets passwd Sie erkennen MD5 Passw rter brigens in der etc shadow an dem Anfang 1 Dies ver ndert allerdings alle Dateien im Verzeichnis etc pam d und erg nzt in der password Zeile den Eintrag md5 password required pam_unix so md5 nullok obscure min 6 max 16 Wird f r max nicht ein Wert gr er als 8 gew hlt ist diese nderung ziemlich sinnlos Weitere Informationen dazu finden Sie unter Nutzerauthentifizierung PAM auf Seite 58 Beachten Sie Die Standardeinstellung in Debian ver ndert nicht den vorher gew hlten max Wert auch dann nicht wenn MD5 aktiviert wird 3 6 Lassen Sie so wenige Dienste wie m glich laufen Dienste sind Programme wie FTP und Web Server Da sie nach eingehenden Verbindungen die den Dienst anfordern horchen m ssen k nnen sich externe Computer mit Ihrem Computer verbinden Dienste sind manchmal verwundbar zum Beispiel durch einen bestimmten Angriff kompromittierbar und stellen dadurch ein Sicherheitsrisiko dar Sie sollten keine Dienste installieren die Sie nicht unbedingt auf dem System brauchen Jeder installierte Dienst k nnte neue vielleicht nicht gerade offensichtliche oder bekannte Sicher heitsl cher auf Ihrem Computer ffnen Wie Sie vielleicht schon wissen wird ein Dienst sobald er installiert wird auch gleich automa tisch aktiviert Bei einer Standardinstallation ohne weitere installierte Dienste ist die Anzahl
175. dem Sie die pre up Zeile ver ndern Kapitel 4 Nach der Installation 91 pre up etc network interface secure SIFACE Zus tzlich m ssen Sie ein Skript verwenden das nderungen nur auf eine bestimmte Schnitt stelle anwendet und nicht auf alle Schnittstellen Beachten Sie aber dass einige Netzwerkop tionen nur global gesetzt werden k nnen Dies ist ein Beispielsskript bin sh e Skriptname etc network interface secure Ver ndert das Standardverhalten f r alle Schnittstellen in einigen Bereiche um vor TCP IP Spoofing und Angriffen zu sch tzen Se de e e e H Wurde von Dariusz Puchalak beigesteuert IFACE 1 if z SIFACE then echo 0 Must give an interface name as argument echo Usage 0 lt interface gt exit 1 if e proc sys net ipv4 conf SIFACE then echo 0 Interface SIFACE does not exit cannot find proc sys net ipv4 c exit 1 fi IP forwarding disabled echo 0 gt proc sys net ipv4 conf IFACE forwarding Log strange packets this includes spoofed packets source routed packets redirect packets but be careful with this on heavy loaded web servers echo 1 gt proc sys net ipv4 conf SIFACE log_martians IP spoofing protection echo 1 gt proc sys net ipv4 conf SIFACE rp_filter Disable ICMP redirect acceptance echo 0 gt proc sys net ipv4 conf SIFACE accept_redirects echo 0 gt proc sys net ipv4 conf SIFACE send_redirects
176. den Portmapper und RPC Dienste zu beschr nken e Blockieren des Zugangs zu den Ports die von diesen Diensten verwendet werden mit ei ner lokalen Firewall vergleiche Hinzuf gen von Firewall F higkeiten auf der n chsten Seite e Blockieren des Zugangs zu diesen Diensten mittels TCP Wrappers da der Portmap per und einige RPC Dienste mit libwrap siehe Die Nutzung von tcpwrappers auf Seite 73 kompiliert worden Dies bedeutet dass Sie Zugang zu diesen durch die hosts allow und hosts deny TCP Wrapper Konfiguration blockieren Kapitel 5 Absichern von Diensten die auf Ihrem System laufen 122 e Seit Version 5 5 kann das Paket portmap so konfiguriert werden dass es nur noch an der lokalen Schleifenschnittstelle lauscht Um dies zu erreichen kommentieren Sie die fol gende Zeile in der Datei etc default portmap aus OPTIONS i 127 0 0 1 und starten Sie den Portmapper neu Dies ist ausreichend um lokale RPC Dienste lau fen zu lassen w hrend zur selben Zeit entfernte Systeme am Zugang gehindert werden lesen Sie dazu auch L sung des Problems der Weak End Hosts auf Seite 92 5 14 Hinzuf gen von Firewall F higkeiten Das Debian GNU Linux Betriebssystem hat die eingebauten F higkeiten des Linux Kernels Dies hei t dass Sie wenn Sie ein Potato System Debian 2 2 mit dem standardm igen Ker nel 2 2 installiert haben ipchains Firewall Unterst tzung im Kernel haben Das Paket ipchains sollte bere
177. den Verbesserung sein der sich zuvor mit dem Sicher heitsteam in Verbindung gesetzt hat Die nderungs bersicht changelog beinhaltet ein testing security oder stable security als Zieldistribution e Die hochgeladenen Dateien werden von einem Debian System berpr ft verarbeitet und in die Warteschleife der angenommenen Dateien weitergeleitet Danach werden die Buildds benachrichtigt Auf die Dateien in der Warteschleife kann das Sicherheitsteam und auf indirektem Wege die Buildds zugreifen e Buildds die Sicherheit unterst tzen holen sich das Quellpaket mit einer h heren Prio rit t als normale Paketerstellungen erstellen Pakete und schicken die Logs ans Sicher heitsteam e Das Sicherheitsteam antwortet auf die Logs und die neu erstellten Pakete werden in die Warteschleife der ungepr ften Dateien hochgeladen wo sie von einem Debian System verarbeitet und in die Warteschleife der angenommenen Dateien verschoben werden e Wenn das Sicherheitsteam ein Quellpaket akzeptiert d h dass es f r alle Architekturen korrekt Pakete erstellt und dass es die Sicherheitsl cke schlie t und keine neuen Proble me hervorruft f hren sie ein Skript aus das Kapitel 7 Die Infrastruktur f r Sicherheit in Debian 142 das Paket im Sicherheitsarchiv installiert die Paket Quell und Verdffentlichungsdateien von securi ty debian org auf dem gew hnlichen Weg aktualisiert dpkg scanpackages dpkg scansources
178. der Debian Distribution zur Verf gung zu stellen Dies erm glicht es den Benutzern mit den Risiken durch neue Sicherheitsl cken umzugehen CVE versetzt uns in die Lage standardisierte Verweise anzubieten die es Nutzern erm glicht einen Prozess zur Verwaltung der Sicherheit auf Grundlage von CVE http www cve mitre org compatible enterprise html zu entwickeln Das Projekt Common Vulnerabilities and Exposures CVE http cve mitre org wird von der MITRE Corporation betreut und stellt eine Liste von standardisierten Bezeichnungen f r Verwundbarkeiten und Sicherheitsl cken zur Verf gung Debian ist berzeugt dass es au erordentlich wichtig ist die Nutzer mit zus tzlichen Infor mationen im Zusammenhang mit Sicherheitsproblemen die die Debian Distribution betreffen Der vollst ndige Fragebogen zur Kompatibilit t nttp cve mitre org compatible phase2 SPI_ Debian html ist bei CVE erh ltlich Kapitel 7 Die Infrastruktur f r Sicherheit in Debian 140 zu versorgen Indem CVE Bezeichnungen in den Anweisungen enthalten sind k nnen Nut zer leichter allgemeine Verwundbarkeiten mit bestimmten Aktualisierungen von Debian in Verbindung bringen Dies verringert die Zeit die ben tigt wird um Verwundbarkeiten die unsere Nutzer betreffen abzuarbeiten Au erdem vereinfacht es die Organisation der Sicher heit in einer Umgebung in der schon Sicherheitswerkzeuge die CVE verwenden wie Erken nungssysteme von Eindringlin
179. der Scanner ben tigt verf gbar Da es f r die richtig Arbeit eines Antivirus Programms entscheidend ist dass seine Daten auf dem neusten Stand sind gibt es zwei verschiedene Weg um diese Daten Kapitel 8 Sicherheitswerkzeuge in Debian 169 aktuell zu halten clamav freshclam er ffnet die M glichkeit die Datenbank automa tisch ber das Internet zu aktualisieren und clamav data stellt die Daten unmittelbar zur Verf gung e mailscanner ist ein Gateway Scanner der in E Mails Viren und Spam entdeckt Er ar beitet auf der Grundlage von sendmail oder exim und kann mehr als 17 verschiedene Virensuch Engines einschlie lich clamav verwenden e libfile scan perl welches File Scan liefert Das ist eine Erweiterung von Perl mit der Dateien nach Viren durchsucht werden k nnen Mit diesem Modul k nnen plattfor munabh ngige Virenscanner realisiert werden e Amavis Next Generation http www sourceforge net projects amavis ist im Paket amavis ng enthalten und in Sarge verf gbar Es ist ein Virusscanner der in verschiedene MTAs Exim Sendmail Postfix oder Qmail integriert werden kann Er un terst tzt mehr als 15 Virensuch Engines einschlie lich clamav File Scan und openanti virus e sanitizer http packages debian org sanitizer ein Werkzeug das das Pa ket procmail verwendet Es kann den Anhang von E Mails nach Viren durchsuchen Anh nge aufgrund ihres Dateinamens abweisen und vieles mehr e amavis postfix
180. dere Methoden als beschr nkte Benutzerrechte weiter einschr nken k nnen Weitere Informationen finden Sie im Abschnitt Minimize Pri vileges http www dwheeler com secure programs Secure Programs HOWTO minimize privileges html des Buchs Secure Programming for Linux and Unix HOWTO 3Sie k nnen sogar eine SELinux Richtlinie erst ellen 179 Kapitel 10 Vor der Kompromittierung 10 1 Halten Sie Ihr System sicher Sie sollten bestrebt sein Ihr System sicher zu halten indem Sie seine Verwendung und die es betreffenden Verwundbarkeiten im Auge behalten Sobald Patches verf gbar sind sollte Sie diese auch einspielen Denn auch wenn Sie zu Beginn ein sehr sicheres System eingerich tet haben sollten Sie sich erinnern dass die Sicherheit eines Systems mit der Zeit nachl sst Das liegt daran dass Sicherheitsl cken in Systemdiensten entdeckt werden k nnen Au er dem k nnen Benutzer die Sicherheit untergraben wenn ihnen das notwendige Verst ndnis fehlt z B wenn sie entfernt auf ein System mit einem Klartextpasswort oder einem einfach zu erratenden Passwort zugreifen oder gar weil sie aktiv versuchen die Sicherheit des Systems auszuschalten indem Sie z B zus tzliche Dienste lokal in ihren Konten installieren 10 1 1 Beobachtung von Sicherheitsl cken Die meisten Administratoren werden sich Sicherheitsl cken die ihr System betreffen bewusst wenn sie den dazugeh rigen Patch sehen Sie k nnen aber Angriffen sch
181. dieser Vorgehensweise macht sich bemerkbar wenn Sie verschie dene Systemprogramme bauen und installieren Auf der anderen Seite verhindert dies auch dass make install die Dateien berschreibt Wenn Sie vergessen das Makefile zu lesen und die Dateien die berschrieben werden sollen mit chattr i behandelt haben und die Verzeichnisse in denen Sie neue Dateien erstellen wollen schl gt der make Befehl fehl Sie m ssen nur das Kommando chattr ausf hren und make neu aufrufen Sie k nnen diese Gelegenheit gleich dazu benutzen Ihre alten bin s und libs auszumisten und sie z B in ein old Verzeichnis oder Tar Archiv zu verschieben Beachten Sie dass dies Sie auch daran hindert die Pakete Ihres Systems zu aktualisieren da die Dateien aus den Paketen nicht berschrieben werden k nnen Also sollten Sie vielleicht ein Skript oder einen anderen Mechanismus haben der das immutable Flag auf allen Dateien deaktiviert bevor Sie ein apt get update ausf hren Spielen Sie mit der UTP Verkabelung herum Schneiden Sie dazu zwei oder vier Kabel durch und stellen ein Kabel her das nur Verkehr in eine Richtung zul sst Verwenden Sie dann UDP Pakete um Informationen an die Zielmaschine zu schicken die ein sicherer Log Server oder ein System zur Speicherung von Kreditkartennummern sein kann 10 5 1 Aufstellen eines Honigtopfes honeypot Ein Honigtopf ist ein System das darauf ausgelegt ist Systemadministratoren beizubringen wie Cracker ein
182. dio Diese Gruppe kann dazu benutzt werden einer bestimmen Menge von Nutzern Zugriff auf jedes Audioger t zu geben e src Dieser Gruppe geh ren die Quellcodes einschlie lich der Dateien in usr src Sie kann benutzt werden um einem bestimmten Nutzern die M glichkeit zu bieten Quell code des Systems zu verwalten e shadow etc shadow ist von dieser Gruppe lesbar Einige Programme die auf diese Datei zugreifen m ssen sind SETGID shadow e utmp Diese Gruppe kann nach var run utmp und hnlichen Dateien schreiben Pro gramme die darin schreiben k nnen m ssen sind SETGID utmp e video Diese Gruppe kann dazu benutzt werden einer bestimmen Menge von Nutzern Zugriff auf ein Videoger t zu geben Kapitel 12 H ufig gestellte Fragen Frequently asked Questions FAQ 208 e staff Erlaubt Nutzern lokale Modifikationen am System vorzunehmen usr local home ohne dass sie Root Privilegien br uchten Vergleichen Sie sie mit adm die sich mehr auf berwachung Sicherheit bezieht e users W hrend Debian Systeme standardm ig das System einer privaten Nutzergrup pe jeder Nutzer hat seine eigene Gruppe benutzen ziehen es manche vor ein tradi tionelleres Gruppen System zu verwenden In diesem System ist jeder Nutzer Mitglied dieser Gruppe Ich entfernte einen Systembenutzer Wie kann ich dies r ckg ngig machen Wenn Sie einen Systembenutzer entfernt und kein Backup Ihrer password und group Dateien haben
183. dividuellen Systems durch einen zentralen syslog Server zentralisiert werden kann so kann auch Mail zu einem zentralen Mail Server gesandt werden Kapitel 5 Absichern von Diensten die auf Ihrem System laufen 107 Solch ein nur sendendes System sollte sorgf ltig daf r eingerichtet werden Der Daemon kann ebenso konfiguriert werden nur an der Loopback Adresse zu lauschen Die folgenden Konfigurationsschritte m ssen nur zur Konfiguration des exim Pakets in der Debian 3 0 Version vorgenommen werden Wenn Sie eine neuere Version verwenden wie z B 3 1 das exim4 verwendet so wurde das Installationssystem verbessert so dass wenn der Mail Transport Agent konfiguriert wurde nur lokale Mails zu versenden es automatisch nur Verbindungen vom lokalen Rechner und keine entfernten Verbindungen zul sst In einem Debian 3 0 System mit exim muss man den SMTP Daemon aus inetd wie folgt entfernen update inetd disable smtp und den Mail Daemon so konfigurieren dass er nur auf die lokale Schleife achtet In exim dem Standard Mail Transport Agent MTA unter Debian tun Sie dies indem Sie in der Datei etc exim conf die Zeile local_interfaces 127 0 0 1 hinzuf gen Starten Sie beide Daemonen neu inetd und exim und exim wird lediglich auf den Socket 127 0 0 1 25 lauschen Seien Sie vorsichtig und deaktivieren Sie erst inetd oder exim wird nicht neu starten da der inetd Daemon bereits eingehende Verbindungen behandelt Bei
184. e auch einen Shell Zugang erm glichen Sowohl courier imap f r IMAP und courier pop teapop f r POP3 und cyrus imapd f r POP3 und IMAP bieten Server mit Authentifizierungsmethoden neben den lokalen Benutzer konten cyrus kann alle Authentifizierungsmethoden die mittels PAM konfiguriert werden k nnen verwenden w hrenddessen teapop Datenbanken wie postgresql und mysql f r die Benutzerauthentifizierung nutzen kann FIXME Check uw imapd might be configured with user authentication through PAM too Die Liste der in Debian verftigbaren Mail Daemons erhalten Sie wie folgt apt cache search mail transport agent Die Liste wird qmail nicht enthalten da dies nur im Quellcode im Paket gqmail src vertrieben wird Eine Liste von Servern Daemonen die diese Protokolle in Debian anbieten kann wie folgt erhalten werden S apt cache search pop3 server apt cache search imap server Kapitel 5 Absichern von Diensten die auf Ihrem System laufen 109 5 6 3 Sicherer Empfang von Mails Das Lesen und Empfangen von Mails ist das gebr uchlichste Klartext Protokoll Wenn Sie POP3 oder IMAP benutzen um Ihre Mails zu erhalten senden Sie ein Klartext Passwort ber das gesamte Netz so dass ziemlich jeder Ihre Mails von nun an lesen kann Benutzen Sie statt dessen SSL Secure Sockets Layer um Ihre Mails zu empfangen Wenn Sie einen Shell Account auf dem Rechner der als POP oder IMAP Server agiert haben ist die andere Alternative SSH
185. e aus irgendeinem Grund als unsicher gelten e harden clients entfernt Clients die aus irgendeinem Grund als unsicher gelten e harden remoteaudit Werkzeuge um Systeme aus der Ferne zu berpr fen e harden nids hilft bei der Installation eines Systems zur Entdeckung von Netzwerk eindringlingen e harden surveillance hilft bei der Installation von Werkzeugen zum berwachen von Netzwerken und Diensten N tzliche Pakete f r die keine Abh ngigkeit besteht e harden doc Stellt dieses und andere sicherheitsrelevante Dokumente zur Verf gung e harden development Entwicklungswerkzeuge um sicherere Programme zu erstel len Seien Sie vorsichtig wenn Sie Software installiert haben die Sie brauchen und aus bestimmten Gr nden nicht deinstallieren wollen und die aufgrund eines Konflikts mit einem der oben aufgef hrten Pakete nicht installiert werden kann In diesem Fall k nnen Sie harden nicht vollst ndig nutzen Die harden Pakete machen eigentlich gar nichts Zumindest nicht unmittelbar Sie haben je doch absichtliche Paketkonflikte mit bekannten unsicheren Paketen Auf diese Art wird die Paketverwaltung von Debian die Installation dieser Paketen nicht erlauben Wenn Sie zum Beispiel bei installiertem harden servers Paket versuchen einen telnet Daemon zu instal lieren wird Ihnen apt Folgendes sagen apt get install telnetd Die folgenden Pakete werden ENTFERNT harden servers Die folgenden NEUEN Pakete
186. e dazu Aufsetzen einer berbr ckenden Firewall bridge Firewall auf Seite 237 um zu erfahren wie man dies auf einem Debian GNU Linux System aufsetzt 5 14 3 Aufsetzen einer Firewall Die Debian Standardinstallation bietet im Gegensatz zu vielen anderen Linux Distributionen noch keine Methode f r den Administrator eine Firewall Konfiguration mit der Standardin stallation einzurichten aber Sie k nnen eine Anzahl von Firewall Konfigurationspaketen sie he Nutzen von Firewall Paketen auf der n chsten Seite installieren Nat rlich ist die Konfiguration einer Firewall immer vom System und dem Netzwerk abh n gig Ein Administrator muss vorher das Netzwerklayout und die Systeme die er besch tzen Im Gegensatz zu pers nlichen Firewalls f r andere Betriebssysteme stellt Debian GNU Linux noch keine Firewall Erstellungs Schnittstelle zur Verf gung die Regeln erstellen kann die einzelne Prozesse oder Benutzer einschr nken Jedoch kann der Iptables Code so konfiguriert werden dass er dies kann siehe dazu das owner Modul in der Handbuchseite iptables 8 Kapitel 5 Absichern von Diensten die auf Ihrem System laufen 124 will kennen die Dienste auf die zugegriffen werden k nnen muss und ob andere netzwerk spezifischen Erw gungen wie NAT oder Routing ber cksichtigt werden m ssen Seien Sie vorsichtig wenn Sie Ihre Firewall konfigurieren Wie Laurence J Lane im iptables Paket sagt Die Werkzeuge
187. e f r Debian erstellen Wenn Sie sehr an sicherheitsbewusster Programmierung interes siert sind sollten Sie David Wheelers Secure Programming for Linux and Unix HOWTO http www dwheeler com secure programs und Secure Coding Principles and Practices http www securecoding org von Mark G Graff und Kenneth R van Wyk O Reilly 2003 lesen 9 1 Das richtige Vorgehen f r die Nachpr fung der Sicherheit und Gestaltung Entwickler die Software in Pakete packen sollten gr te Anstrengung darauf verwenden si cherzustellen dass die Installation der Software und ihre Verwendung keine Sicherheitsrisiken f r das System oder seine Benutzer er ffnet Dazu sollten sie vor der Ver ffentlichung der Software oder einer neuen Version den Quell code des Pakets nachpr fen um Fehler zu finden die zu Sicherheitsl cken f hren k nnen Bekannterma en ist der Aufwand f r die Fehlerbehebung in verschiedenen Stadien der Ent wicklung unterschiedlich So ist es leichter und billiger Fehler w hrend der Entwicklung auszubessern als sp ter wenn die Software schon herausgegeben wurde und nur noch gewar tet wird einige Studien behaupten dass die Kosten in dieser Phase 60 Mal h her sind Es gibt Hilfsmittel die versuchen Fehler automatisch zu entdecken Entwickler sollten dennoch die verschiedenen Sicherheitsfehler kennen damit sie sie verstehen und sie so in eigenen oder fremden Programmcode entdecken k nnen Programmierfehler die typ
188. e festlegen wollen h ngt von den Ressourcen Ihres Sys tems ab Das ist einer der Hauptgr nde warum keine Limits in der Standardinstallation ent halten sind Zum Beispiel nimmt die Konfiguration im Beispiel unten eine Begrenzung von 100 Prozessen f r alle Nutzer vor um Fork Bomben zu vermeiden und eine Begrenzung auf 10MB Speicher pro Prozess und ein Limit von 10 gleichzeitigen Logins Benutzer in der Gruppe adm haben h here Begrenzungen und k nnen Dateien mit einem Speicherabbild schreiben wenn sie das wollen es gibt also nur eine weiche Begrenzung vV Wegen soft core 0 hard core 0 hard rss 1000 hard memlock 1000 hard nproc 100 A maxlogins 1 Ki hard data 102400 e hard fsize 2048 adm hard core 100000 adm hard rss 100000 adm soft nproc 2000 adm hard nproc 3000 adm hard fsize 100000 adm 8 maxlogins 10 Dies k nnten die Limits eines Standardnutzers einschlie lich der Systemdaemonen sein ulimit a core file size blocks c 0 data seg size kbytes d 102400 file size blocks f 2048 max locked memory kbytes 1 10000 max memory size kbytes m 10000 open files n 1024 pipe size 512 bytes p 8 stack size kbytes s 8192 cpu time seconds t unlimited Programme die immer mehr Prozesse erzeugen um so das System zum Absturz zu bringen dU Kapitel 4 Nach der Installation 63 max user processes u 100 virtu
189. e schwere Sicherheitsprobleme bekannt F r weitere Informationen ber IPsec und PPTP lesen Sie bitte das VPN Masquerade HOWTO http www tldp org HOWTO VPN Masquerade HOWTO html ber PPP ber SSH das VPN HOWTO http www tldp org HOWTO VPN HOWTO html das Cipe Mini HOWTO http www tldp org HOWTO mini Cipe Masq html und das PPP und SSH Mini HOWTO http ww tldp org HOWTO mini ppp ssh index html Es kann sich auch lohnen sich Yavipin http yavipin sourceforge net anzusehen Allerdings scheinen noch keine Pakete f r Debian verf gbar zu sein 8 5 1 Point to Point Tunneling Wenn Sie einen tunnelnden Server f r eine gemischte Umgebung sowohl Microsofts Betriebs system als auch Linux Clients zur Verf gung stellen wollen und IPsec keine M glichkeit ist Kapitel 8 Sicherheitswerkzeuge in Debian 167 da es nur in Windows 2000 und Windows XP enthalten ist k nnen Sie PoPToP Point to Point Tunneling Server verwenden Er wird vom Paket pptpd bereitgestellt Wenn Sie Microsofts Authentifikation und Verschl sselung mit dem Server verwenden wollen die im Paket ppp enthalten sind sollten Sie Folgendes aus der FAQ beachten Sie m ssen nur dann PPP 2 3 8 einsetzen wenn Sie zu Microsoft kompatible MSCHAPv2 MPPE Authentifikation und Verschl sselung haben wollen Der Grund daf r ist dass der aktuelle MSCHAPv2 MPPE Patch 19990813 gegen PPP 2 3 8 erstellt wurde Wenn Sie keine zu Microsoft kompatible Authe
190. eb PREM ERR a eae aa 54 Einschr nkender Konsolen Zugang 2243 2524 u au Der ua 54 System Neustart von der Konsole aus einschr nken 55 Partitionen auf die richtige Art einbinden e EN AER a 56 410 1 EMP NOERECEEIZER gt u ans a Ber ne Ba i a 57 4 10 2 Setzen von usr auf nur lesen 57 Den Benutzern einen sicheren Zugang bereitstellen 58 4 11 1 Nutzerauthentifizierung PAM EE Ee EEN KS 58 4 11 2 Ressourcen Nutzung limitieren Die Datei limits conf 61 4 11 3 Aktionen bei der Benutzeranmeldung Editieren von etc login defs 63 4 11 4 ftp Einschr nken Editieren von etc ftpusers 65 411 5 Verwendung Von e e fs 64 ore s a RAE 65 4 11 6 Verwendung von sudo lt 22443 s ei ar air er che 65 4 11 7 Administrativen Fernzugriff verweigern A EE ne 65 411 8 Den Nutzerz gang einschtanken o coso sacra we u ani aa ar Er 66 SEL Uberpr fen der Nules coo dar u ee tobas piai oda 66 4 11 10 Nachpr fung der Nutzerprofile o s 64 sa uo 68 4 11 11 umasks der Nutzer einstellen 69 4 11 12 Nutzer Sicht Zugriff imiteren s rra cd we at 70 4 11 13 Erstellen von Benutzerpassw rtern 2 0 0 eee au aa are a 71 4 11 14 Kontrolle der Benutzerpassw rter aoao 72 4 11 15 Ausloggen von unt tigen Nutzern ocn be hee ee EN es 72 Die Nutzung Von topwiappers cion A ai 73 Die Wichtigkeit von Logs und Alarmen lt 5 6 5 66 eS Re ne 74 4 13 1 Nutzung und
191. eben werden In diesem Fall ist es jedem unm glich gemacht den Inhalt des Verzeichnisses zu ver ndern also beispielsweise eine Datei umzubenennen oder zu l schen Wenn das append Attribut einem Verzeichnis zugewiesen wird k nnen nur noch Dateien erstellt werden Es ist leicht einzusehen wie das al Attribut die Sicherheit verbessert indem es Programmen die nicht vom Superuser ausgef hrt werden die F higkeit einr umt Daten hinzuzuf gen aber verhindert dass lterer Inhalt ver ndert wird Dem gegen ber erscheint das i Attribut uninteressanter Schlie lich kann der Superuser ja schon die normalen Unix Rechte verwen den um den Zugang zu Dateien einzuschr nken Und ein Angreifer der Zugang zum Konto des Superusers hat k nnte immer das Programm chattr benutzen um die Attribute zu ent fernen Ein solcher Eindringlich ist vielleicht zun chst verwirrt wenn er feststellt dass er eine Kapitel 4 Nach der Installation 85 Datei nicht l schen kann Aber Sie sollten nicht davon ausgehen dass er blind ist immerhin hat er es geschafft in Ihr System einzudringen Einige Handb cher einschlie lich fr herer Versionen dieses Dokuments empfehlen einfach die Programme chattr und lsattr vom System zu entfernen um die Sicherheit zu erh hen Aber diese Strategie die auch als secu rity by obscurity Sicherheit durch Verschleierung bekannt ist sollte unter allen Umst nden vermieden werden da sie ein falsches Gef hl
192. eben wird Diese Vorgehensweise ist idiotensicher Sie werden alle f r die Chroot Umgebung notwendigen Bestandteile erhalten aber dies geht auf Kosten von Plattenspeicher Eine minimale Installation von Debian ben tigt einige hun dert Megabyte Dieses minimale System k nnte auch Setuid Dateien enthalten mit denen ein Benutzer aus dem Chroot Gef ngnis ausbrechen k nnte wenn sie eine Rechteerweiterung zu lassen Kapitel G Chroot Umgebung f r SSH 255 G 2 2 Automatisches Erstellen der Umgebung der leichte Weg Mit dem Paket make jail k nnen Sie leicht eine eingeschr nkte Umgebung erstellen da es automatisch den Trace des Server Daemons verfolgt mit strace und daf r sorgt dass er in der eingeschr nkten Umgebung l uft Der Vorteil von Programmen die automatisch die chroot Umgebung einrichten liegt darin dass sie im Stande sind Pakete in die chroot Umgebung zu kopieren und verfolgen sogar die Abh ngigkeiten der Pakete um sicherzustellen dass sie vollst ndig sind Dadurch wird das Bereitstellen von Anwendungen f r Benutzer leichter Um ein Chroot Gef ngnis aus den von makejail zur Verf gung gestellten Beispielen einzu richten m ssen Sie var chroot sshd erstellen und folgenden Befehl ausf hren makejail usr share doc makejail examples sshd py Dies wird eine Chroot Umgebung im Verzeichnis var chroot sshd erstellen Beachten Sie dass diese Chroot Umgebung nicht voll funktionst chtig ist bis Sie
193. ed Questions FAQ 204 12 1 11 Nach der Installation von grsec oder einer Firewall bekomme ich viele Nachrichten auf der Konsole Wie entferne ich sie Wenn Sie Nachrichten auf der Konsole empfangen und etc syslog conf so eingerichtet haben dass sie in Dateien oder auf ein spezielles TTY umgeleitet werden sehen Sie vielleicht Nachrichten die direkt an die Konsole geschickt werden Der Standardloglevel der Konsole ist bei jeden Kernel sieben was bedeutet dass alle Nach richten mit einer niedrigeren Priorit t auf der Konsole erscheinen werden F r gew hnlich haben Firewalls die LOG Regel und einige andere Sicherheitswerkzeuge eine niedrigere Log Priorit t Daher werden ihre Logs direkt an die Konsole geschickt Um die Nachrichten die an die Konsole geschickt werden nicht verringern k nnen Sie dmesg Option n vergleichen Sie dmesg 8 verwenden das den Ringspeicher des Kernel unter sucht und steuert Damit das nach dem n chsten Neustart in Ordnung ist ndern Sie in etc init d klogd KLOGD zu KLOGD c 4 ab Verwenden Sie eine niedrigere Nummer f r c wenn Sie immer noch unerw nschte Nach richten sehen Eine Beschreibung der verschiedenen Loglevels befindet sich in usr include sys syslog h define LOG_EMERG 0 system is unusable define LOG_ALERT al action must be taken immediately define LOG CRIT 2 critical conditions define LOG_ERR 3 error
194. eder preinst oder postinst er stellen und daf r sorgen dass das Paket von adduser gt 3 11 abh ngt Im folgenden Programmbeispiel soll gezeigt werden wie der Benutzer oder Gruppe mit deren Rechten der Daemon laufen wird bei der Installation oder Aktualisierung des Pakets erstellt wird Dios case 1 in install upgrade If the package has default file it could be sourced so that the local admin can overwrite the defaults etc default packagename amp amp etc default packagename Sane defaults z SERVER_HOME amp amp SERVER_HOME server_dir z SERVER_USER amp amp SERVER_USER server_user z SSERVER_NAME amp amp SERVER_NAME Server description z SSERVER_GROUP amp amp SERVER_GROUP server_group Groups that the user will be added to if undefined then none ADDGROUP create user to avoid running server as root 1 create group if not existing if getent group grep q SSERVER_GROUP then echo n Adding group SERVER_GROUP addgroup quiet system SSERVER_GROUP 2 gt dev null true echo done fi 2 create homedir if not existing test d SERVER_HOME mkdir SSERVER_HOME Kapitel 9 Der gute Umgang von Entwicklern mit der Sicherheit des OS 176 3 create user if not existing if getent passwd grep q SSERVER_USER then echo n Adding system user SERVER_USER adduser quiet
195. ederholen Sie den Netzwerk Scan und pr fen Sie ob das System zur Erkennung von Eindringlingen funktioniert Die richtig Paranoiden berlegen sich auch das Folgende e F gen Sie dem System Firewall F higkeiten hinzu die eingehende Verbindungen nur zu angebotenen Diensten erlauben und ungenehmigte ausgehende Verbindungen verhin dern e berpr fen Sie erneut die Installation auf Angriffspunkte mit einem Netzwerk Scanner Kapitel A Der Abh rtungsprozess Schritt f r Schritt 226 e Pr fen Sie ausgehende Verbindungen vom System zu Hosts au erhalb mit einem Netzwerk Scanner um sicherzustellen dass ungewollte Verbindungen keinen Weg nach drau en finden FIXME this procedure considers service hardening but not system hardening at the user level include information regarding checking user permissions SETUID files and freezing changes in the system using the ext2 file system 227 Anhang B Checkliste der Konfiguration Dieser Anhang wiederholt kurz Punkte aus anderen Abschnitten dieser Anleitung in einem verdichteten Checklisten Format Er ist als schnelle Zusammenfassung f r Leute gedacht die bereits diese Anleitung gelesen haben Es gibt auch andere gute Checklisten zum Bei spiel Kurt Seifrieds Securing Linux Step by Step http seifried org security os linux 20020324 securing linux step by step html und CERT s Unix Security Checklist http www cert org tech_tips usc20_full html FIXME This
196. effen zu k nnen wenn Sie eine Auswahl treffen m ssen Debi an GNU Linux basiert auf dem Linux Kernel so dass viele Informationen ber Linux und sogar ber andere Distributionen und allgemeine UNIX Sicherheit auch hierauf zutreffen so gar wenn sich die benutzten Werkzeuge oder die verf gbaren Programme unterscheiden Ein Paar n tzliche Dokumente sind e Das Linux Security HOWTO http www tldp org HOWTO Security HOWTO auch unterLinuxSecurity http www linuxsecurity com docs LDP Security HOWTO html verf gbar ist eine der besten Referenzen ber allgemei ne Linux Sicherheit e Das Security Quick Start HOWTO for Linux http www tldp org HOWTO Security Quickstart HOWTO ist ein sehr guter Anfang f r unerfahrene Nutzer sowohl ber Linux als auch zum Thema Sicherheit e Der Linux Security Administrator s Guide http seifried org lasg ist eine komplette Anleitung die alle Sicherheitsangelegenheiten von Linux behandelt von Si cherheit im Kernel bis hin zu VPNs Beachten Sie bitte dass er seit 2001 nicht mehr ak tualisiert wurde trotzdem sind einige Informationen immer noch sachdienlich 1 e Kurt Seifried s Securing Linux Step by Step http seifried org security os linux 20020324 securing linux step by step html e In Securing and Optimizing Linux RedHat Edition http www tldp org links p_books html securing_linux finden Sie eine Dokumentation hnlich zu dieser bezogen auf Red Hat
197. egen Beachten Sie dass er lediglich Lesezugriff ben tigt es sei denn es han delt sich um einen sekund ren oder zwischenspeichernden Cache Name Server Wenn dies Kapitel 5 Absichern von Diensten die auf Ihrem System laufen 115 der Fall ist m ssen Sie ihm Lese und Schreibzugriff auf die notwendigen Zonen gew hren damit Zonen Transfers vom prim ren Server funktionieren Mehr Informationen ber das Chrooten von Bind finden Sie unter Chroot BIND HOWTO http www tldp org HOWTO Chroot BIND HOWTO html betrifft Bind 9 und Chroot BIND8 HOWTO http www tldp org HOWTO Chroot BIND8 HOWTO html betrifft Bind 8 Diese Dokumente sollten auch nach der Installation des Paketes doc linux text Text Version oder doc linux html HTML Version verf gbar sein Ein anderes n tzliches Dokument ist http web archive org web 20011024064030 http www psionic com papers dns dns linux Wenn Sie f r Bind ein komplettes Chroot Gef ngnis aufsetzen d h Sie benutzen nicht nur t stellen Sie sicher dass Sie die folgenden Dateien darin haben dev log syslogd sollte hierauf h ren dev null etc bind named conf etc localtime etc group mit einer einzigen Zeile named x GID etc ld so cache mit ldconfig erstellt lib 1d 2 1 3 so lib libc 2 1 3 so0 lib ld linux so 2 symbolischer Link auf 1ld 2 1 3 so lib libc so 6 symbolischer Link auf libc 2 1 3 so sbin ldconfig kann gel scht werden na
198. eibt wie die berpr fung der Distribution mit Hilfe der Release Datei funktioniert Dies wurde von Joey Hess geschrieben und ist auch im Debian Wiki http wiki debian org SecureApt abrufbar Grundlegende Konzepte Es gibt ein paar grundlegende Konzepte die Sie brauchen um den Rest dieses Abschnitts verstehen zu k nnen Eine Pr fsumme ist eine Methode bei der eine Datei auf eine relativ kurze Zahl herunterge kocht wird mit der der Inhalt der Datei eindeutig identifiziert werden kann Dies ist wesentlich schwieriger als es zun chst erscheinen mag Der am weitesten verbreitetste Typ von Pr fsum men MD5 ist gerade dabei unbrauchbar zu werden Verschl sselung mit ffentlichen Schl sseln fu t auf einem Schl sselpaar einem ffentlichen Schl ssel und einem privaten Schl ssel Der ffentliche Schl ssel wird an die Allgemeinheit verteilt Der private muss ein Geheimnis bleiben Jeder der den ffentlichen Schl ssel hat kann eine Nachricht verschl sseln so dass sie nur noch der Besitzer des privaten Schl ssels lesen kann Es besteht deneben die M glichkeit mit einem privaten Schl ssel eine Datei zu signie ren Wenn eine Datei mit einer digitalen Unterschrift versehen wurde kann jeder der den 6f fentlichen Schl ssel hat berpr fen ob die Datei mit diesem Schl ssel unterschrieben wurde Ohne den privaten Schl ssel l sst sich eine solche Signatur nicht nachmachen Diese Schl ssel bestehen aus ziemlich langen Z
199. ein http people debian org pzn howto chroot bind sh txt http www cryptio net ferlatte config Debian spezifisch http web archive org web 20021216104548 http www psionic com papers whitep0l html und http csrc nist gov fasp FASPDocs NISTSecuringDNS htm 5 8 Absichern von Apache FIXME Add content modules provided with the normal Apache installation under usr lib apache X X mod_ and modules that can be installed separately in libapache mod XXX packages Sie k nnen den Zugriff auf Ihren Apache Server einschr nken wenn Sie ihn nur intern be nutzen wollen zum Beispiel zu Testzwecken oder um auf die doc central Archive zuzu greifen etc und nicht wollen dass von au en auf ihn zugegriffen werden kann Um dies zu tun benutzen Sie die Listen oder BindAddress Direktiven in der Datei etc apache http conf Benutzen von Listen Listen 127 0 0 1 80 Benutzen von Bind Address BindAddress 127 0 0 1 Starten Sie anschlie end Apache mit etc init d apache restart neu und Sie werden sehen dass er nur auf die lokale Schleife achtet In jedem Fall sollten Sie wenn Sie nicht die ganze Funktionalit t die Apache zur Verf gung stellt benutzen wollen mal einen Blick auf die anderen Web Server aus Debian werfen zum Beispiel dhttpd Die Apache Documentation http httpd apache org docs misc security_ tips html stellt viele Informationen zu Sicherheitsma nahmen die Sie auf einem Apache 6Es sei denn
200. eine anderen System sch tzen m ssen auch auf das Testen des Setups eingehen e Wie man eine Proxy Firewall unter Debian GNU Linux aufsetzt unter der Angabe wel che Pakete Proxy Dienste anbieten zum Beispiel xfwp ftp proxy redir smtpd dnrd jftpgw cops pdnsd perdition transproxy tsocks Sollte zu einer An leitung mit weiteren Informationen verweisen Erw hnenswert ist dass zorp jetzt Teil von Debian ist und eine Proxy Firewall ist und auch der Programmautor Debian Pakete zur Verf gung stellt Informationen ber die Service Konfiguration mit file rc e Alle Referenzen und URLs pr fen und die nicht mehr verf gbaren aktualisieren oder entfernen Kapitel 1 Einleitung 5 Informationen ber m glichen Ersatz unter Debian f r h ufig eingesetzte Server die bei eingeschr nktem Funktionsumfang n tzlich sind Beispiele lokaler lpr mit cups Paket remote Irp mit lpr bind mit dnrd maradns apache mit dhttpd thttpd wn tux exim sendmail mit ssmtpd smtpd postfix squid mit tinyproxy ftpd mit oftpd vsftp e Mehr Informationen ber die sicherheitsrelevanten Patches des Kernels unter Debian einschlie lich der oben aufgef hrten und insbesondere wie man diese Patches unter ei nem Debian System benutzt Erkennung von Eindringlingen Linux Intrusion Detection kernel patch 2 4 lids Linux Trustees im Paket trustees NSA Enhanced Linux http wiki debian org SELinux kerne
201. eispielsweise unerwartet Ihr Akku leer wird oder das System aufgrund eines Hardware Problems etwa durch die X Konfiguration was rela tiv h ufig auftritt neu gestartet werden muss e Auf produktiven Systemen die gro e Mengen von Daten speichern zum Beispiel Mail Server FIP Server Netzwerk Fileserver ist es empfehlenswert ein Journaling Dateisystem auf diesen Partitionen einzusetzen Wenn das System abst rzt ben tigt der Server so weniger Zeit um das Dateisystem wieder herzustellen und zu pr fen und die Wahrscheinlichkeit eines Datenverlustes wird verringert Lassen wir mal die Betrachtung der Leistung von Journaling Dateisystemen beiseite da dies oft in quasi religi se Glaubenskriege ausartet In der Regel ist es besser das ext 3 Dateisystem zu benutzen Der Grund daf r ist die Abw rtskompatibilit t zu ext 2 So k nnen Sie wenn es Probleme mit dem Journal gibt dieses einfach abschalten und haben immer noch ein funk tionierendes Dateisystem Au erdem m ssen Sie wenn Sie das System mal mit einer Boot Diskette oder CD ROM wiederherstellen m ssen keinen speziellen Kernel benutzen Wenn es sich um einen 2 4er oder 2 6er Kernel handelt ist Unterst tzung f r ext 3 bereits vorhan den Wenn es sich um einen 2 2er Kernel handelt k nnen Sie trotzdem Ihr Dateisystem boo ten auch wenn Sie die Journaling F higkeiten einb en Wenn Sie ein anderes Journaling Dateisystem benutzen werden Sie feststellen dass eine W
202. eitetes Problem da viele Nutzer ein stabiles System betreiben wollen aber einige Pakete aus Unstable einsetzen um die neusten Funktionen zu haben Das kommt daher dass sich manche Projekte schneller entwickeln als die Ver ffentlichungen von Debians Stable Kapitel 10 Vor der Kompromittierung 187 10 2 Periodische berpr fung der Integrit t Mit Hilfe der Basisinformationen die Sie nach der Installation erstellt haben also mit dem Schnappschuss der in Einen Schnappschuss des Systems erstellen auf Seite 94 beschrieben wird sollte es Ihnen m glich sein von Zeit zu Zeit die Integrit t des Systems zu berpr fen Eine Integrit tspr fung kann Ver nderungen am Dateisystem entdecken die durch einen Eindringling oder einen Fehler des Systemadministrators entstanden sind berpr fungen der Integrit t sollen wenn m glich von au erhalb durchgef hrt werden Das bedeutet dass das Betriebssystem des berpr ften Systems nicht verwendet wird um den falschen Eindruck von Sicherheit also falsche Negative zu verhindern der z B durch instal lierte Rootkits entstehen k nnte Die Datenbank mit der das System verglichen wird sollte sich daher auf einem nur lesbaren Medium befinden Falls der Einsatz eines au enstehenden Systems keine M glichkeit ist sollten Sie in Betracht ziehen die Integrit tspr fung mit den verf gbaren Werkzeugen zur Pr fung der Integrit t des Dateisystem durchzuf hren Allerdings sollten Vo
203. ektes herunterladen Diese Versionen k nnen sinnvoller sein wenn Sie das Dokument auf ein tragbares Medium kopieren oder ausdrucken wollen Seien Sie aber gewarnt das Dokument ist ber 200 Seiten lang und einige Abschnitte von Code ist in der PDF Version wegen den eingesetzten Formatierungswerkzeugen nicht richtig umgebrochen und k nnte daher nur unvollst ndig ausgedruckt werden Das Dokument ist auch in den Formaten HTML txt und PDF im Paket harden doc http packages debian org harden doc enthalten Beachten Sie allerdings dass das Paket nicht genauso aktuell sein muss wie das Dokument das Sie auf der Debian Seite finden Sie k nnen sich aber immer eine aktuelle Version aus dem Quellpaket bauen Sie k nnen auch die Ver nderungen durchforsten die am Dokument vorgenommen wurden indem Sie die Protokolle der Versionskontrolle mit dem CVS Server http cvs debian org ddp manuals sgml securing howto cvsroot debian doc durchsehen 1 3 Organisatorisches Feedback Nun kommt der offizielle Teil Derzeit sind die meisten Teile dieser Anleitung noch von mir Alexander Reelsen geschrieben aber meiner Meinung nach sollte dies nicht so bleiben Ich wuchs mit freier Software auf und lebe mit ihr sie ist ein Teil meiner allt glichen Arbeit und ich denke auch von Ihrer Ich ermutige jedermann mir Feedback Tipps f r Erg nzungen oder andere Vorschl ge die Sie haben k nnten zuzuschicken Wenn Sie denken dass Sie einen bestimmten
204. el 8 Sicherheitswerkzeuge in Debian 170 Gateways mit Antivirenfunktionen zu erstellen Der Scanner clamav wird in der n chsten offiziellen Ver ffentlichung enthalten sein Im Folgenden einige andere freie Antiviren Projekte die in der Zukunft in Debian enthalten sein k nnten e Open Antivirus http sourceforge net projects openantivirus siehe Fehler 150698 ITP oav scannerdaemon http bugs debian org 150698 und Fehler 150695 ITP oav update http bugs debian org 150695 FIXME Is there a package that provides a script to download the latest virus signatures from http www openantivirus org latest php FIXME Check if scannerdaemon is the same as the open antivirus scanner daemon read ITPs Allerdings wird Debian niemals kommerzielle Antiviren Software anbieten Dazu z hlen Panda Antivirus NAI Netshield Sophos Sweep http www sophos com TrendMi cro Interscan http www antivirus com oder RAV http www ravantivirus com Weitere Hinweise finden Sie im Mini FAQ Antiviren Software f r Linux Unix http www computer networking de link security av linux txt Das be deutet nicht dass diese Software auf einem Debian System richtig installiert werden kann Zusatzliche Informationen tiber das Aufsetzen eines Systems zur Virenerkennung erhalten Sie im Artikel Building an E mail Virus Detection System for Your Network http www linuxjournal com article php sid 4882 von Dave Jones 8 9 GPG A
205. ellen k nnen e welches Verfahren zur Authentifizierung benutzt wird e welches Verfahren innerhalb einer Sitzung benutzt wird e wie Passw rter berpr ft werden Die folgende Beschreibung ist weit davon entfernt komplett zu sein F r weitere Informatio nen k nnen Sie The Linux PAM System Administrator s Guide http www kernel org Kapitel 4 Nach der Installation 59 pub linux libs pam Linux PAM html pam html auf der PAM Hauptseite http www kernel org pub linux libs pam lesen diese Dokumentation ist auch in dem Paket 1ibpam doc enthalten PAM bieten Ihnen die M glichkeit durch mehrere Authentifizierungsschritte auf einmal zu gehen ohne dass der Benutzer es wei Sie k nnen gegen eine Berkeley Datenbank und gegen die normale passwd Datei authentifizieren und der Benutzer kann sich nur einloggen wenn er beide Male korrekt authentifiziert wurde Sie k nnen viel einschr nken mit PAM genauso wie Sie Ihr System weit ffnen k nnen Seien Sie also vorsichtig Eine typische Konfigurati onszeile hat ein Kontrollfeld als zweites Element Generell sollte es auf requisite gesetzt werden so wird ein Loginfehler erzeugt wenn eines der Module versagt Die erste Sache die ich gerne mache ist MD5 Unterst tzung zu den PAM Anwendungen hinzuzuf gen da dies gegen lexikalische Attacken hilft da Passw rter l nger sein k nnen wenn sie MD5 benutzen Die folgenden zwei Zeilen sollten Sie in allen Dateien unterhalb von
206. en dass Log Dateien einem Eindringling ziemlich viel Informationen ber Ihr System verraten wenn er auf sie Zugriff hat Einige Zugriffsrechte auf Log Dateien sind nach der Installation nicht gerade perfekt aber das h ngt nat rlich von Ihren lokalen Sicherheitsma st ben ab Zuerst einmal m ssen var log lastlog und var log faillog nicht f r normale Nutzer lesbar sein In der last log Datei k nnen Sie sehen wer sich zuletzt eingeloggt hat In faillog befindet sich eine Zusam menfassung fehlgeschlagener Logins Der Autor empfiehlt die Rechte von beiden auf 660 zu setzen mit chmod 660 Werfen Sie einen kurzen Blick auf Ihre Log Dateien und entscheiden Sie sehr vorsichtig welche Log Dateien Sie les oder schreibbar f r einen Nutzer mit einer an deren UID als 0 und einer anderen Gruppe als adm oder root machen Sie k nnen dies sehr leicht auf Ihrem System berpr fen find var find var find var log Log typ see to what users do Log typ xec ls 1 cut c 17 35 sort u files in var log belong f xec ls 1 cut c 26 34 sort u see to what groups do files in var log belong find var log perm 004 files which are readable by any user group root group adm exec ls ld Y files which belong to groups not root or adm Um anzupassen wie neue Log Dateien erstellt werden m ssen Sie
207. en die Sie schreibsch t zen k nnen Dies kann eine Diskette die nach der Benutzung schreibgesch tzt wird eine CD in einem CD ROM Laufwerk Sie k nnen auch wiederbeschreibbare CD ROMs benutzen so k nnen Sie sogar alte Sicherheitskopien Ihrer MD5 Summen behalten eine USB Platte oder eine MMC Karte wenn Ihr System auf diese zugreifen kann und sie schreibgesch tzt werden k nnen sein Das folgende Skript erstellt einen solchen Schnappschuss bin bash bin mount dev fd0 mnt floppy if usr bin md5sum then echo Kann nicht md5sum finden Breche ab exit 1 fi Kapitel 4 Nach der Installation 95 bin cp usr bin md5sum mnt floppy echo Erstelle MD5 Datenbank gt mnt floppy md5checksums t xt for dir in bin sbin usr bin usr sbin lib usr lib do find dir type f xargs usr bin md5sum gt gt mnt floppy md5checksums 1lib t done echo MD5 Datenbank nach der Installation erstellt if usr bin shalsum then echo Kann nicht shalsum finden else bin cp usr bin shalsum mnt floppy echo Erstelle SHA 1 Datenbank gt mnt floppy shalchecksums txt for dir in bin sbin usr bin usr sbin lib usr lib do find dir type f xargs usr bin shalsum gt gt mnt floppy shalchecksums 1i done echo SHA 1 Datenbank nach der Installation erstellt fi bin umount dev fd0 exit 0 Beachten Sie dass das Programm md5sum und shalsum fa
208. en die mich ermutigten dieses HOWTO zu schreiben die sp ter zu einer ganzen Anleitung wurde Dem ganzen Debian Projekt Danksagungen des bersetzers Auch der bersetzer Simon Brandmair lt sbrandmair gmx net gt hat einigen Leuten zu danken die mit Verbesserungen Korrekturen und Ratschl gen zum Gelingen der bersetzung beigetragen haben Christoph Haas Mirko Jahn Frank Loeffler Andreas Marc Klingler Elisabeth Bauer Jens Kubieziel Uli Martens Jens Schuessler Marcel Schaal Jens Seidel Constantin Hagemeier Kapitel 1 Einleitung 27 Besonders m chte ich Alexander Schmehl danken der die erste deutsche bersetzung ange fertigt hat Insbesondere sei den Mitglieder der debian 110n german http lists debian org debian 110n german Mailingliste gedankt f r gute Ideen und fruchtbare Diskussionen VIELEN DANK Ohne euch h tte ich zwar nur halb so viel Arbeit gehabt aber viel mehr Leute k nnten sich jetzt ber meine mangelhaften Orthographiekenntnisse am sieren Kapitel 1 Einleitung 28 29 Kapitel 2 Bevor Sie beginnen 2 1 Wof r m chten Sie dieses System benutzen Das Absichern von Debian ist nicht viel anders als das Absichern von irgendeinem anderen System Um es richtig zu machen m ssen Sie zun chst entscheiden was Sie damit machen m chten Anschlie end m ssen Sie sich klarmachen dass Sie die folgenden Schritte sorgf ltig ausgef hrt werden m ssen um ein wirkli
209. en tigen Sie console ttyX 8 und vc X falls Sie die devfs Schnittstelle verwenden Sie sollten auch ttySX hin zuf gen wenn Sie eine serielle Konsole f r den lokalen Zugang verwenden Wenn X eine ganze Zahl Integer ist sollten Sie mehrere Instanzen haben abh ngig von der Anzahl der virtuellen Konsolen die Sie in etc inittab aktiviert haben Weiter f hrende Informationen zu Terminal Schnittstellen finden Sie im Text Terminal HOWTO http tldp org HOWTO Text Terminal HOWTO 6 html Wenn Sie PAM benutzen k nnen Sie auch andere nderungen am Login Prozess die auch Einschr nkungen f r einzelne Benutzer oder Gruppen zu bestimmten Zeiten enthalten k n nen durch Konfiguration der Datei etc pam d login vornehmen Eine interessante Ei genschaft die man auch abschalten kann ist die M glichkeit sich mit einem leeren Passwort Null Passwort einzuloggen Diese Eigenschaft kann eingeschr nkt werden indem sie nullok aus der Zeile auth required pam_unix so nullok entfernen 4 9 System Neustart von der Konsole aus einschr nken Wenn an Ihr System eine Tastatur angeschlossen ist kann jeder ja wirklich jeder Ihr System neu starten ohne sich in Ihr System einloggen zu m ssen Dies k nnte gegen Ihre Sicher heitsrichtlinien versto en oder auch nicht Wenn Sie dies einschr nken wollen m ssen Sie in etc inittab pr fen ob die Zeile die enth lt dass ctrlaltdel shutdown aufruft den a Schalter enth lt verge
210. en wenn Sie denken n tzliche Informationen hinzuf gen zu k n nen 5 7 3 Chroot Gefangnis f r Name Server Um die gr tm gliche BIND Sicherheit zu erreichen m ssen Sie nun ein Chroot Gef ngnis siehe Allgemeine chroot und suid Paranoia auf Seite 118 um Ihren Daemon herum bau en Es gibt einen einfachen Weg dies zu erreichen Die Option t siehe die Handbuchseite named 8 oder Seite 100 von Bind s 9 Dokumentation PDF http www nominum com content documents bind9arm pdf Dies wird Bind selbst in ein bestimmtes Verzeich nis chrooten lassen ohne dass Sie ein eigenes Chroot Gef ngnis aufsetzen und sich Sorgen um dynamische Bibliotheken machen m ssen Die einzigen Dateien die in diesem Chroot Gef ngnis ben tigt werden sind dev null etc bind sollte die named conf und alle Server Zonen enthalten sbin named xfer wenn Sie Namen transferieren var run named sollte die PID und den Cache des Name Servers falls es ihn gibt enthalten Dieses Verzeichnis muss f r den named User schreibbar sein var log named Wenn Sie in eine Datei protokollieren muss dies f r den named User schreibbar sein dev log syslogd sollte hierauf h ren wenn named so konfiguriert ist dass er dar ber protokolliert Damit Ihr Bind Daemon vern nftig l uft braucht er bestimmte Zugriffsrechte auf die named Dateien Dies ist eine einfache Angelegenheit da die Konfigurationsdateien immer in etc named li
211. en Sie sicherstellen dass er die selben Protokolle die vom Server erzwungen werden unterst tzt Wenn Sie beispielsweise das Paket mindterm verwenden unterst tzt dies nur Protokollversion 1 Jedoch ist der sshd Server standardm ig so konfiguriert nur Version 2 aus Sicherheitsgr nden zu akzeptieren 5 1 3 Verbieten von Dateitransfers Wenn Sie nicht m chten das Benutzer Dateien zum und vom ssh Server bertragen m s sen Sie den Zugang zu sftp server und zu scp einschr nken Sie k nnen dies f r sftp server tun indem Sie den korrekten Subsystem Wert in etc ssh sshd_config eintragen Um jedoch den Zugang zu scp einzuschr nken m ssen Sie entweder e den Benutzern verbieten sich auf dem ssh Server einzuloggen wie oben beschrieben entweder durch die Konfigurationsdatei oder die PAM Konfiguration oder e Benutzern denen sichere bertragungen verwehrt sind richtige Shells vorenthalten Die angebotenen Shells sollten dennoch Programme sein die Verbindungen zum ssh Server sinnvoll gestalten wie z B Men Programme a la BBS Andernfalls ist die vorherige M glichkeit bevorzugt 5 2 Absichern von Squid Squid ist einer der verbreitetsten Proxy Cache Server und es gibt ein paar Sicherheitsaspek te die Sie beachten sollten Squids Standard Konfiguration lehnt alle Anfragen von Benutzern ab Dennoch erlaubt das Debian Paket Zugriff von localhost Sie m ssen nur Ihren Brow ser richtig konfigurieren Sie sollten Sq
212. en all the FIXMEs were er fixed but Irun out of 1 9X numbers Converted the HOWTO into a Manual now I can properly say RTFM Added more information regarding tcp wrappers and Debian now many services are compiled with support for them so it s no longer an inetd issue Clarified the information on disabling services to make it more consistent rpc info still referred to update rc d Added small note on Iprng Added some more info on compromised servers still very rough Fixed typos reported by Mark Bucciarelli Added some more steps in password recovery to cover the cases when the admin has set paranoid mode on Added some information to set paranoid mode on when login in console New paragraph to introduce service configuration Reorganised the After installation section so it is more broken up into several issues and it s easier to read Written information on howto setup firewalls with the standard Debian 3 0 setup ipta bles package Small paragraph explaining why installing connected to the Internet is not a good idea and how to avoid this using Debian tools Small paragraph on timely patching referencing to IEEE paper Appendix on how to setup a Debian snort box based on what Vladimir sent to the debian security mailing list September 3rd 2001 Information on how logcheck is setup in Debian and how it can be used to setup HIDS Information on user accounting and profile analysis Included apt conf configu
213. ene Passwort ist die MD5 verschl sselte Version von hackmich MD5 Passworter sind Klartext Passw rtern vorzuziehen Weitere Informationen ber grub Passw rter k nnen Sie im grub doc Paket finden 4 5 Entfernen des Root Prompts von Initramfs Hinweis Dies betrifft alle Standard Kernel die nach Debian 3 1 ver ffentlicht wurden Kapitel 4 Nach der Installation 53 Die Linux Kernel 2 6 enthalten die M glichkeit w hrend des Bootvorgangs eine Root Shell zu erhalten Dies geschieht wenn beim Laden von initramfs ein Fehler auftritt Dadurch kann der Administrator auf eine Rettungsshell mit Root Rechten zugreifen Mit dieser Shell k nnen von Hand Module geladen werden falls eine automatische Erkennung scheitern sollte Diese Verhalten ist Standard f r ein von initramfs tools erzeugtes Initramfs Folgende Fehler meldung wird auftreten ALERT dev sdal does not exist Dropping to a shell Um dieses Verhalten abzuschalten m ssen Sie folgenden Boot Parameter setzen panic 0 Sie k nnen ihn entweder in den Abschnitt kopt in boot grub menu lst eintragen und update grub ausf hren oder ihn dem Abschnitt append von etc lilo conf hinzuf gen 4 6 Entfernen des Root Promptes aus dem Kernel Hinweis Dies trifft nicht auf Kernel zu die in Debian 3 1 enthalten sind da die Wartezeit auf Null ver ndert wurde Linux 2 4 Kernel bieten kurz nach dem Laden des cramfs einen Weg Zugriff auf eine Root Shell zu bekommen also w hrend d
214. enkfehler entfernt Dieses System w re weit ge ffnet f r Angriffe wenn es keine anderen Schutzma nahmen auf dem System gibt Andererseits k nnen Firewall Regeln auf dem lokalen System daf r sorgen dass b se Dinge nicht passieren Sogar wenn die bereitgestellten Dienste sicher konfiguriert sind kann eine Fi rewall vor Misskonfigurationen oder frisch installierten Diensten die noch nicht passend kon figuriert sind sch tzen Au erdem wird eine strenge Konfiguration nach Hause telefonierende Trojaner am Funktionieren hindern es sei denn der Firewall Code wird entfernt Beachten Sie dass ein Eindringling keinen Superuser Zugriff ben tigt um ferngesteuerte Trojaner zu instal lieren da es erlaubt ist sich an Ports zu binden wenn es sich nicht um einen privilegierten Port handelt und die F higkeiten Capabilities noch vorhanden sind ltere Debian Distributionen ben tigen einen passenden Kernelpatch Zum Beispiel verwendete Debian 2 1 den Kernel 2 0 34 der diese Funktionen nicht enthielt Kapitel 5 Absichern von Diensten die auf Ihrem System laufen 123 Demzufolge w re ein passendes Firewall Setup eines mit einer standardm igen Deny Policy was also alles ablehnt was nicht ausdr cklich erlaubt ist und weiterhin e Eingehende Verbindungen werden nur zu lokalen Diensten von erlaubten Maschinen gestattet e Ausgehende Verbindungen werden nur von Diensten erlaubt die auf Ihrem System be nutzt werden
215. ensten die auf Ihrem System laufen 126 zorp genauer betrachten Dies bietet alles in einem einzelnen Programm Sie k nnen diese Art von Firewall Rechner auch manuell aufsetzen indem Sie die Proxys die in Debian vor handen sind f r verschiedene Dienste verwenden Zum Beispiel f r DNS bind richtig konfi guriert dnsmasq pdnsd oder totd f r FIP frox oder ftp proxy f r X11 x fwp f r IMAP imapproxy f r Mail smtpd oder f r POP3 p3scan F r andere Protokolle k nnen Sie entwe der einen allgemeinen TCP Proxy wie simpleproxy oder einen allgemeinen SOCKS Proxy wie dante server tsocks oder socks4 server verwenden Typischerweise werden Sie auch ein Web Cache System wie squid und ein Web Filtersystem wie squidguard oder dansguardian nutzen Manuelle init d Konfiguration Eine andere M glichkeit ist die manuelle Konfiguration Ihrer Firewall Regeln durch ein init d Skript das die iptables Befehle ausf hrt Befolgen Sie diese Schritte e Sehen Sie das unten aufgef hrte Skript durch und passen Sie es Ihren Anforderungen an e Testen Sie das Skript und berpr fen Sie die Syslog Meldungen nach unterdr ckten Netzverkehr Wenn Sie vom Netzwerk aus testen werden Sie entweder den Beispiels hellcode starten wollen um die Firewall zu entfernen wenn Sie nichts innerhalb von 20 Sekunden eingeben oder Sie sollten die default deny Richtliniendefinition auskommen tieren P INPUT DROP und P OUTPUT DROP und berpr fen dass das Sys
216. er Absiche rung Ihrer Seite Eine andere notwendige Aufgabe ist es Squids Log Dateien zu analysieren um sicher zu gehen dass alles so arbeitet wie es sollte Es gibt ein paar Pakete in Debian GNU Linux die einem Administrator hierbei helfen k nnen Die folgenden Pakete sind in Debian 3 0 Woody und Debian 3 1 Sarge verf gbar e calamaris Log Datei Analysator f r Squid oder Oops Proxy Log Dateien e modlogan Ein modularer Log Datei Analysator e sarg Squid Analysis Report Generator e squidtaild Squid Log Beobachtungsprogramm Wenn Squid im Accelerator Mode betrieben wird agiert er auch als Web Server Akti vieren dieser Option erh ht die Komplexit t des Codes was ihn weniger vertrauensw r dig macht Standardm ig ist Squid nicht dazu konfiguriert als Web Server zu arbeiten Sie m ssen sich dar ber also keine Gedanken machen Sie m ssen sicher stellen dass es wirk lich n tig ist wenn Sie diese Eigenschaft nutzen wollen Weitere Informationen ber den Accelerator Mode in Squid finden Sie im Squid User s Guide Accelerator Mode http www deckle co za squid users guide Accelerator_Mode 5 3 Absichern von FTP Wenn Sie wirklich FTP benutzen m ssen ohne ihn mit sslwrap zu umh llen oder innerhalb eines SSL oder SSH Tunnels sollten Sie ftp in das Home Verzeichnis der FIP Nutzer mit chroot einsperren so dass sie nichts anderes sehen k nnen als ihr eigenes Verzeichnis An dernfalls k nnen sie
217. er Hilfe ben tigen sollten Sie sich mit dem Sicherheits Audit Team von Debian http www de debian org security audit in Verbindung set zen Wenn Binaries setuid setgid verwenden sollten Sie die Richtlinie von Debian zu Rechten und Besitzern http www debian org doc debian policy ch files s10 9 be achten F r weitere Informationen insbesondere hinsichtlich Sicherheitsfragen sollten Sie das Secure Programming for Linux and Unix HOWTO http www dwheeler com secure programs und das Build Security In https buildsecurityin us cert gov portal Portal lesen oder den Programmautor darauf hinweisen Kapitel 9 Der gute Umgang von Entwicklern mit der Sicherheit des OS 175 9 2 Benutzer und Gruppen f r Daemons erstellen Wenn Ihre Software als Daemon l uft der keine Root Rechte ben tigt m ssen Sie f r ihn einen Benutzer erstellen Es gibt zwei Arten von Benutzern in Debian die f r Pakete verwendet werden k nnen statische UIDs werden von base passwd vergeben eine Liste der statischen Benutzern in Debian finden Sie bei Benutzer und Gruppen des Betriebssystems auf Seite 204 und dynamisches UIDs die in einem zugewiesenen Bereich liegen Im ersten Fall m ssen Sie mit base passwd eine Benutzer oder Gruppen ID erstellen Wenn der Benutzer verf gbar ist muss das Paket das Sie anbieten m chten eine Abh ngigkeit vom Paket base passwd enthalten Im zweiten Fall m ssen Sie den Systembenutzer entweder entw
218. er Tasas e dosse Dot 9 1 6 7 Version 3 4 August September 2005 ik aoaaa 9 LES Version SCL A Ne a A AAA A 10 1 6 9 Version 3 2 M rz 2005 0 22 e een 10 1510 Version 3 1 January 2005 as rare een ira era eh 11 1 6 11 Version 3 0 December 2004 2 22 o eee 11 1012 Version 2 99 March 2004 oo se rn ER Be ah ir 11 1 6 13 Version 2 98 December 2003 ce e cacera een 12 16 14 Version 27 September 008 nr ee er 12 1615 Version 2 76 august 2005 s s AN Ee un er OMe AA BM 13 16 16 Version 2 95 June 2008 rar 13 INHALTSVERZEICHNIS ii L617 1 6 18 1 6 19 1 6 20 16 21 16 22 1 6 23 1 6 24 1 6 25 1 6 26 16 27 1 6 28 1 6 29 1 6 30 1 6 31 1 6 32 1 6 33 1 6 34 1 6 35 1 6 36 1 6 37 1 6 38 1 6 39 1 6 40 1 6 41 1 6 42 1 6 43 1 6 44 1 6 45 1 6 46 1 6 47 Version 294 April 2005 oe eier 13 Version 2 93 march 2003 o eer uere OS SASS SBOE EH Bra 14 Version 2 92 Feproary 2003 os eave s aote OR a A Ae a 14 Version 2 91 January February 2003 EELER a 14 Version 2 9 December 2002 ee ee 15 Version 28 November 2002 2 2 485548 deb E a ee 84 15 Version 2 7 October 2002 ca cid oe ee ROH OS rn ERR ERS 15 Version 2 5 September 002 lt ei A sots s ee a ee e 16 Versi n 2 5 September 2002 cs s i ee kd we Ra ee PER RA 16 Version 25 Aupust 2002 ara er SEES EOE RED ERS BEA 16 NETSION LA a ana Boe BERKEL a Raed ee eS 18 NI E Ge es Oe ea hee Ge Bee eae Soe 18 EEN ae 4
219. er alten Version des Pakets herum 218 12 3 5 Was sind die Richtlinien f r ein repariertes Paket um auf securi denia or zu erscheinen ses 2H ESLER DE RARE rein 218 12 3 6 Die Versionsnummer f r ein Paket zeigt an dass ich immer noch eine verwundbare Version verwende 218 12 3 7 Wie wird die Sicherheit f r Testing und Unstable gehandhabt 219 12 3 8 Ich verwende eine ltere Version von Debian Wird sie vom Debian Sicherheitsteam unterst tzt o o 219 12 3 9 Warum gibt es keinen offiziellen Mirror von security debian org 219 12 3 10 Ich habe DSA 100 und DSA 102 gesehen doch wo ist DSA 101 219 12 3 11 Wie kann ich das Sicherheitsteam erreichen 220 12 3 12 Was ist der Unterschied zwischen security debian org und debian security lists debian Org oi sos Sacs en ee ew eA ew ek a 220 12 3 13 Wie kann ich das Debian Sicherheitsteam unterst tzen 220 12 3 14 Aus wem setzt sich das Sicherheitsteam zusammen 221 12 3 15 Pr ft das Debian Sicherheitsteam jedes Paket in Debian 221 12 3 16 Wie lange braucht Debian um die Angriffs M glichkeit XXXX zu repa TITO usos dien ewe ee as a ee eh eee es 221 A Der Abh rtungsprozess Schritt f r Schritt 223 B Checkliste der Konfiguration 227 C Aufsetzen eines autonomen IDS 231 D Aufsetzen einer berbr ckenden Firewall bridge Firewall 237 DI Eine Bridge mit NAT und Firewall F higkeiten
220. er eindringen schwerer machen die Site zu verunstalten Sie sollten nat rlich die Standard Webseiten die Informationen die Sie der Au enwelt vorenthalten wollen enthalten k nnen durch Ihre eigenen ersetzen 5 9 Absichern von Finger Wenn Sie den Finger Dienst laufen lassen wollen fragen Sie sich bitte zuerst ob Sie das auch wirklich tun m ssen Wenn Sie es m ssen werden Sie feststellen dass Debian viele Finger Daemonen zur Verf gung stellt hier die Ausgabe von apt cache search fingerd e cfingerd Konfigurierbarer finger Daemon e efingerd Ein weiterer Unix finger Daemon mit anpassbarer Ausgabe e ffingerd Ein sicherer finger Daemon e fingerd Remote User Informationsserver e xfingerd BSD hnlicher finger Daemon mit qmail Unterstiitzung ffingerd ist der empfohlene finger Daemon wenn Sie vorhaben einen ffentlichen Dienst anzubieten In jedem Fall sind Sie dazu angespornt wenn Sie ihn ber inetd xinetd oder tcp server laufend aufzusetzen Schr nken Sie die Anzahl der Prozesse die gleichzeitig laufen d r fen ein Schr nken Sie den Zugriff auf den Finger Daemon von bestimmten Hosts ein indem Sie tcp wrapper benutzen und lassen Sie ihn nur auf die Schnittstellen lauschen auf die er achten muss 5 10 Allgemeine chroot und suid Paranoia chroot isteine der m chtigsten M glichkeiten einen Daemon oder einen Benutzer oder einen anderen Dienst zu beschr nken Denken Sie einfach an ein Gef ngnis um Ihr Ziel
221. er von Tiger_Mail_RCPT in etc tiger tigerrcbe zeichnet wurde Check for Debian security measures every day at 1 am deb_checkmd5sums deb_nopackfiles check_patches ki 2 Andere Methoden f r Sicherheitsaktualisierungen Sie sollten auch einen Blick auf secpack http clemens endorphin org secpack werfen Es ist ein inoffizielles Programm um Sicherheitsaktualisierungen von securi ty debian org mit Pr fung der Signatur durchzuf hren Es wurde von Fruhwirth Clemens ge schrieben Kapitel 10 Vor der Kompromittierung 184 10 1 3 Vermeiden Sie den Unstable Zweig Falls Sie nicht Zeit darauf verwenden wollen selbst Pakete zu patchen wenn Verwundbar keiten entdeckt werden sollten Sie auf produktiven Systemen nicht Debians Unstable Zweig verwenden Der Hauptgrund daf r ist dass es f r Unstable keine Sicherheitsaktualisierungen gibt siehe Wie wird die Sicherheit f r Testing und Unstable gehandhabt auf Seite 219 Es ist eine Tatsache dass manche Sicherheitsprobleme nur in Unstable auftreten und nicht in Stable Das r hrt daher dass dort st ndig neue Funktionen zu den Anwendungen hinzuge f gt werden und auch neue Anwendungen aufgenommen werden die unter Umst nden noch nicht vollst ndig getestet wurden Um im Unstable Zweig Sicherheitsaktualisierungen durchzuf hren m ssen Sie vielleicht eine vollst ndige Aktualisierung mit einer neuen Version durchf hren was viel mehr als nur das betroffene
222. erden dass sie Verbindungen nur zu einer bestimmte IP Adresse zulassen Normalerweise verhindert das Zugang zu diesen Diensten wenn an sie Anfragen ber andere Adressen gestellt werden Allerdings bedeutet das nicht dass der Dienst an eine bestimmte Hardware Adresse Netzwerkkarte gebunden ist ein verbreiteter Irrtum Das ist kein Problem von ARP und auch keine Verletzung eines RFCs es wird in RFC1122 ftp ftp isi edu in notes rfc1122 txt Abschnitt 3 3 4 2 als weak end host be zeichnet Vergessen Sie nicht dass IP Adressen nichts mit dem physischen Schnittstellen zu tun haben Im Kernel 2 2 und davor k nnte dieses Problem so gel st werden echo 1 gt proc sys net ipv4 conf all hidden echo 1 gt proc sys net ipv4 conf eth0 hidden echo 1 gt proc sys net ipv4 conf ethl hidden Um das nachzuvollziehen folgendes Beispiel das von Felix von Leitner auf der Bugtraq Mailingliste vorge stellt wurde host a eth0 connected to eth0 of host b ifconfig eth0 10 0 0 1 ifconfig ethl 23 0 0 1 tcpserver RHl localhost 23 0 0 1 8000 echo fnord host b ifconfig eth0 10 0 0 2 route add 23 0 0 1 gw 10 0 0 1 telnet 23 0 0 1 8000 Das scheint allerdings nicht mit Diensten zu funktionieren die mit 127 0 0 1 verbunden sind Sie sollten vielleicht f r die Tests raw sockets verwenden Kapitel 4 Nach der Installation 93 Bei sp teren Kernel kann das folgenderma en gel st werden e Regeln f r iptables
223. erhalten h ngen davon ab ob Sie die vorgeschlagene Prozedur zum Absichern von lilo und BIOS durchgef hrt haben oder nicht Wenn Sie beides eingeschr nkt haben m ssen Sie im BIOS erlauben von anderen Medien als der Festplatte zu booten bevor Sie weitermachen k nnen Wenn Sie auch Ihr BIOS Passwort vergessen haben m ssen Sie Ihr BIOS zur cksetzen Dazu ffnen Sie das PC Geh use und entfernen die BIOS Batterie Sobald Sie das Booten von CD ROM oder Diskette eingeschaltet haben sollten Sie Folgendes ausprobieren e Booten Sie von eine Rettungsdiskette und starten den Kernel e Wechseln Sie mit Alt F2 auf eine virtuelle Konsole e Mounten Sie die Partition auf der sich Ihr root befindet e Editieren Sie auf der Rettungsdiskette von Debian 2 2 befindet sich ae Debian 3 0 ent h lt nano tiny der vi hnelt die Datei etc shadow und ndern Sie die Zeile root asdfj1290341274075 XXXX X XXXX X X irgendeine Ziffer in root XXXX X XXXX Xir Dies entfernt das vergessene Root Passwort das sich im ersten durch Doppelpunkte abge trennten Feld nach dem Nutzernamen befand Speichern Sie die Datei ab starten Sie das Sys tem neu und melden Sie sich als Root mit einem leeren Passwort an Dies wird funktionieren au er wenn Sie Ihr System etwas sicherer eingestellt haben d h wenn Sie nicht erlauben dass Nutzer leere Passw rter haben oder dass Root sich auf einer Konsole einloggen kann Falls Sie derartige Ma nahmen getr
224. ericht von tiger Die erw hnte berpr fung wird ber die Standardkonfiguration des Programms ausgef hrt wenn sie einmal eingerichtet wurde siehe etc tiger cronrc Check for Debian security measures every day at 1 AM deb_checkmd5sums deb_nopackfiles deb_checkadvisories ki 2 Es gibt noch eine zus tzliche berpr fung die Sie vielleicht hinzuf gen sollten und wel che noch kein Bestandteil des Standard Cron Skripts ist Diese berpr fung ist das Skript check_patches das auf folgende Art und Weise funktioniert e f hrt apt get update aus e berpr ft ob neue Pakete verf gbar sind Wenn Sie ein Stable System betreiben und Sie die Apt Quellen security debian org in Ihre etc apt sources list eingetragen haben wie in Ausf hren von Sicherheitsupdates auf Sei te 48 beschrieben wird dieses Skript Ihnen mitteilen k nnen ob neue Pakete verf gbar sind die Sie installieren sollten Da die einzigen Pakete die sich bei dieser Einstellung ver ndern Sicherheitsaktualisierungen sind bekommen Sie genau das was Sie wollen Das funktioniert nat rlich nicht wenn Sie Testing oder Sid Unstable am Laufen haben da wahr scheinlich neue Pakete zahlreicher sind als Sicherheitsaktualisierungen Sie k nnen dieses Skript den berpr fungen hinzuf gen die vom Cron Job durchgef hrt werden in der obigen Konfigurationsdatei Dadurch w rde tigercron Mails mit neuen Pa keten verschicken an denjenigen d
225. ers des Angreifers ver bunden ist Dadurch wird jedes Paket das Sie an den Rechner B der mit der IP Adresse ver bunden ist schicken wollen an den Computer des Eindringlings umgeleitet Diese Angriffe Verf lschung des ARP Speichers ARP Spoofing erm glichen dem An greifer auf Netzwerken den Verkehr abzuh ren selbst bei Netzwerken die ber einen Switch Die Tatsache dass dieses Verhalten durch Routing ge ndert werden kann wurde von Matthew G Marsh in dem Bugtrag Thread beschrieben eth0 1 1 1 1 24 ethl 2 2 2 2 24 ip rule add from 1 1 1 1 32 dev lo table 1 prio 15000 ip rule add from 2 2 2 2 32 dev lo table 2 prio 16000 ip route add default dev eth0 table 1 ip route add default dev ethl table 2 Wie im Bugtraq Thread beschrieben gibt es daf r einige Patches auf http www linuxvirtualserver org julian hidden und http www fefe de linux eth forwarding diff Bin Angreifer der nicht in der gleichen Broadcast Domain also dem gleichen Netzwerk wie der angegrif fene Host ist kann auf viele Probleme bei Zugang sto en nachdem die Anbindung der IP Adressen konfiguriert wurde Wenn der Angriff ber einen Router l uft kann es sich als ziemlich schwer herausstellen die Antworten zur ckzubekommen Kapitel 4 Nach der Installation 94 laufen Er kann sich leicht in eine Verbindung einschleusen oder einen Host vom Netzwerk nehmen oder ARP Angriffe sind leistungsf hig und einfach durchzuf hren Es gib
226. erungen wie m glich vorzunehmen Menschen h ngen von demselben Verhalten einer Ver ffentlichung ab Jede Ver nderung k nnte also das System von jemanden unbenutzbar machen Dies gilt besonders f r Bibliotheken Der Entwickler muss sichergehen dass er niemals die API oder ABI ver ndert egal wie klein die nderungen sind Das bedeutet dass das Verwenden einer neuen Version des Originalprogramms keine gute L sung ist Stattdessen sollten die relevanten Ver nderung zur ckportiert werden Gew hnlich werden die Programmautoren dabei gegebenenfalls behilflich sein wenn Debians Sicherheits team nicht helfen kann Kapitel 7 Die Infrastruktur f r Sicherheit in Debian 144 In einigen F llen ist es nicht m glich Sicherheitsverbesserungen zur ckzuportieren z B wenn gro e Mengen des Quellcodes ver ndert oder neu geschrieben werden m ssten Wenn das eintritt kann es notwendig werden eine neue Version des Originalprogramms zu verwenden Das sollte aber immer im Voraus mit dem Sicherheitsteam abgestimmt werden Damit h ngt ein anderer wichtiger Punkt zusammen Entwickler m ssen immer ihre nderun gen testen Wenn es einen Exploit gibt sollte der Entwickler versuchen ob er tats chlich mit dem ungepatchten Paket gelingt und im ausgebesserten Paket scheitert Der Entwickler sollte auch den gew hnlichen Gebrauch ausprobieren da manchmal eine Sicherheitsausbesserung fast unmerklich den normalen Gebrauch beeintr chtigt Zu gute
227. erweise ein K Link KI steht f r kill Zus tzliche Informatio nen finden Sie im Abschnitt Anpassen des Bootvorgangs http www debian org doc manuals reference ch system s custombootscripts der Debian Referenz 2 Ka pitel Debian Grundlagen Sie k nnen diese Links manuell entfernen oder Sie benutzen update rc d siehe auch update rc d 8 So k nnen Sie zum Beispiel einen Dienst in den Multi User Runleveln abschalten update rc d stop X 2 3 4 5 Wobei XX eine Zahl ist die bestimmt wann die Stop Aktion f r diesen Dienst ausgef hrt wird Bitte beachten Sie dass update rc d f Dienst remove nicht korrekt arbeiten wird wenn Sie nicht ile rc benutzen da alle Verkn pfungen entfernt werden Nach ei ner Neuinstallation oder einem Upgrade dieses Paketes werden diese Verkn pfungen neu an gelegt was Sie vermutlich nicht wollen Wenn Sie denken dass dies nicht sehr intuitiv ist haben Sie wahrscheinlich recht siehe Bug 67095 http bugs debian org 67095 Aus der Manpage If any files etc rcrunlevel d SK name already exist then update rc d does nothing This is so that the system administrator can rearrange the links provided that they leave at least one link remaining without having their configuration overwritten Dies ist z B w nschenswert wenn Sie eine Chroot Umgebung zur Entwicklung einrichten Kapitel 3 Vor und w hrend der Installation 41 Wenn Sie file rc benutzen werden
228. es L Chain INPUT policy ACCEPT target prot opt source destination Kapitel F Schutz der Sicherheitsaktualisierung durch eine Firewall 248 Chain FORWARD policy ACCEPT target prot opt source destination Chain OUTPUT policy ACCEPT target prot opt source destination iptables P INPUT DROP iptables P FORWARD DROP iptables P OUTPUT DROP iptables A OUTPUT d security debian org dport 80 j ACCEPT iptables A INPUT m state state ESTABLISHED RELATED j ACCEPT iptables A INPUT p icmp j ACCEPT iptables A INPUT j LOG iptables A OUTPUT j LOG iptables L Chain INPUT policy DROP target prot opt source destination ACCEPT all 0 0 0 0 0 0 0 0 0 0 state RELATED E ACCEPT icmp 0 0 0 0 0 0 0 0 0 0 LOG all anywhere anywhere LOG level warni Chain FORWARD policy DROP target prot opt source destination Chain OUTPUT policy DROP target prot opt source destination ACCEPT 80 anywhere security debian org LOG all anywhere anywhere LOG level warni 249 Anhang G Chroot Umgebung f r SSH Es ist eine schwere Aufgabe eine eingeschr nkte Umgebung f r SSH zu erstellen Das liegt zum einen an seinen Abh ngigkeiten und zum anderen daran dass SSH im Gegensatz zu anderen Servern den Benutzern eine entfernte Shell zur Verf gung stellt Daher m ssen Sie sich berlegen welche Programme Benutzer in der Umgebung verwenden sollen Sie haben zwei M glic
229. ese Programme finden indem Sie lsof L1 ausfiihren Halten Sie diese Programme an oder starten Sie sie erneut und rufen dann Post Invoke manu ell auf Achtung Das bedeutet dass Sie wahrscheinlich jedes Mal Ihre Sitzung von X falls Sie eine laufen haben neu starten m ssen wenn Sie ein gr eres Upgrade Ihres Systems durch f hren Sie m ssen entscheiden ob ein nur lesbares usr zu Ihrem System passt Vergleichen Sie auch diese Diskussion auf debian devel ber nur lesbares usr http lists debian org debian devel 2001 11 threads htm1 00212 4 11 Den Benutzern einen sicheren Zugang bereitstellen 4 11 1 Nutzerauthentifizierung PAM PAM Pluggable Authentication Modules erlauben dem Systemadministrator auszuw hlen wie eine Anwendung Benutzer authentifiziert Beachten Sie dass PAM nichts machen kann solange die Anwendung nicht mit Unterst tzung f r PAM kompiliert wurde Die meisten Anwendungen die mit Debian geliefert werden haben diese Unterst tzung eingebaut Vor Version 2 2 hatte Debian keine Unterst tzung f r PAM Die derzeitige Standardkonfigurati on f r jeden Dienst der PAM benutzt ist es UNIX Authentifizierung zu emulieren lesen Sie usr share doc libpam0g Debian PAM MiniPolicy gz um mehr dar ber zu erfah ren wie PAM Dienste unter Debian arbeiten sollten Jede Anwendung mit PAM Unterst tzung stellt eine Konfigurationsdatei unter etc pam d zur Verf gung in welcher Sie ihr Verhalten einst
230. eses Dokuments zu erstellen und zu vertreiben voraus gesetzt der Copyright Hinweis und diese Genehmigung bleiben auf allen Kopien erhalten Es ist erlaubt ver nderte Kopien dieses Dokuments unter den Voraussetzungen f r unver n dertes Kopieren zu erstellen und zu vertreiben sofern die gesamte resultierende Arbeit unter den Bedingungen einer Genehmigung identisch zu dieser vertrieben wird Es ist erlaubt bersetzungen dieses Dokuments in eine andere Sprache unter den obigen Bedingungen f r ver nderte Versionen zu kopieren und zu verteilen mit der Ausnahme dass diese Genehmigung bersetzt statt im urspr nglichem Englisch eingebunden werden kann sofern diese bersetzung des Copyrights von der Free Software Foundation genehmigt ist Inhaltsverzeichnis 1 Einleitung Li 1 2 1 3 1 4 15 1 6 1 AUOT E e sie A 1 Wo Sie diese Anleitung bekommen und verf gbare Formate 2 Organisatorisches Feedback 2 2 2 24 er tetea ERR E DR A A 3 VOTWISSEIR e s oe HBS a Bork ee ead ne ea ed 3 Dinge die noch geschrieben werden m ssen FIXME TODO 4 nderungs bersicht Changelog Geschichte 7 1 6 1 Version 3 10 November 2006 os Ss iow ee tee eg ae ee ara 7 1 6 2 Version 3 9 Oktober 2006 a ooa a 7 163 Version 38 Jall 2006 ecse eea ee rau ay 8 164 Versions APTI 2000 ea 2 a BH RR ap BS 8 165 Version 3 6 Marz 2006 nee AA CN ER ES 8 1 6 6 Version 3 5 November 2005 o se sa sem a
231. esma zur Verf gung gestellt wurde ist eine beispielhafte Auflistung der Dateien in einer chroot Umgebung f r ssh unter Debian 3 0 total 36 drwxr xr x 9 root root 4096 Jun 5 10 05 drwxr xr x 11 root root 4096 Jun 3 13 43 drwxr xr x 2 root root 4096 Jun 4 12 13 bin drwxr xr x 2 root root 4096 Jun 4 12 16 dev drwxr xr x 4 root root 4096 Jun 4 12 35 etc drwxr xr x 3 root root 4096 Jun 4 12 13 lib drwxr xr x 2 root root 4096 Jun 4 12 35 sbin drwxr xr x 2 root root 4096 Jun 4 12 32 tmp drwxr xr x 2 root root 4096 Jun 4 12 16 usr bin total 8368 drwxr xr x 2 root root 4096 Jun 4 12 13 drwxr xr x 9 root root 4096 Jun 5 10 05 rwxr xr x 1 root root 109855 Jun 3 13 45 a2p rwxr xr x 1 root root 387764 Jun 3 13 45 bash rwxr xr x 1 root root 36365 Jun 3 13 45 c2ph rwxr xr x 1 root root 20629 Jun 3 13 45 dprofpp rwxr xr x 1 root root 6956 Jun 3 13 46 env rwxr xr x 1 root root 158116 Jun 3 13 45 fax2ps Beachten Sie dass keine SETUID Dateien vorhanden sind Das erschwert es entfernten Benutzern aus der chroot Umgebung auszubrechen Es verhindert allerdings auch dass Nutzer ihr Passwort ndern da passwd nicht die Dateien etc passwd und etc shadow ver ndern kann Kapitel G Chroot Umgebung f r SSH 261 rwxr xr x 1 root root 104008 Jun 3 13 45 fax
232. esserung von Tippfehlern ein e Verbesserte einen Tippfehler der von Moritz Naumann entdeckt wurde 1 6 4 Version 3 7 April 2006 Anderung von Javier Fern ndez Sanguino Pe a e F gte einen Abschnitt ber den besten Umgang der Entwickler von Debian mit Sicher heitsfragen hinzu e F gte eine Firewall Skript mit Kommentaren von WhiteGhost an 1 6 5 Version 3 6 M rz 2006 Anderung von Javier Fern ndez Sanguino Pefia e F gte einen Patch von Thomas Sj gren ein der beschreibt dass noexec wie erwartet mit neuen Kernel arbeitet der Informationen ber den Umgang mit tempor ren Dateien hinzuf gt und einige Verweise auf externe Dokumentationen Kapitel 1 Einleitung 9 F gte nach einem Vorschlag von Freek Dijkstra einen Verweis auf Dan Farmers und Wietse Venemas Webseite ber forensische Entdeckungen ein und erweiterte den Ab schnitt ber forensische Analyse etwas mit weiteren Verweisen Verbesserte dank Christoph Auer die URL des italienischen CERT Verwendete wieder Joey Hess Informationen aus dem Wiki ber Secure Apt und f gte sie in den Infrastrukturabschnitt ein 1 6 6 Version 3 5 November 2005 Anderung von Javier Fern ndez Sanguino Pe a Hinweis im SSH Abschnitt dass chroot nicht funktioniert wenn die Option nodev mit der Partition verwendet wird und auf das aktuelle ssh Paket mit dem chroot Patch Vie len Dank an Lutz Broedel f r diese Hinweise Ausbesserung eines Tippfehlers der von
233. et router 62 3 3 25 bridge 62 3 3 26 WWW Server 62 3 3 28 gw 62 3 3 Mail Server 62 3 3 27 gw 62 3 Die folgenden Kommandos zeigen wie diese Bridge konfiguriert werden kann So wird die Schnittstelle br0 erstellt usr sbin brctl addbr bro Hinzuf gen der Ethernet Schnittstelle die die Bridge benutzen soll usr sbin brctl addif br0 etho0 usr sbin brctl addif br0 ethl Starten der Schnittstelle sbin ifconfig eth0 0 0 0 0 sbin ifconfig ethl 0 0 0 0 Konfigurieren der Ethernet Bridge Die Bridge wird korrekt und unsichtbar transparente Firewall sein In einem traceroute ist sie versteckt und Sie behalten Ihr echtes Gateway auf Ihren anderen Computern Jetzt k nnen Sie ein Gateway auf Ihrer Bridge konfigurieren und es auf Ihren anderen Computern als neues Gateway einsetzen e e e H sbin ifconfig br0 62 3 3 26 netmask 255 255 255 248 broadcast 62 3 3 32 Wenn Sie mit traceroute die Route des Linux Mail Servers verfolgen sehen Sie die Bridge nicht Wenn Sie mit ssh auf die Bridge zugreifen wollen m ssen Sie ein Gateway haben oder erst auf einen anderen Server wie den Mail Server zugreifen um dann tiber die interne Netzwerkkarte auf die Bridge zuzugreifen D 3 Grundlegende Iptables Regeln Dies ist ein Beispiel f r grundlegende Regeln die f r beide Einstellungen benutzt werden k nnen iptables F FORWARD iptables P FORWARD DROP Kapitel D Aufset
234. fault iptables Konfigurationsdatei f r weitere Informationen zu den dieses Paket betreffenden Dingen Testen Ihrer Firewall Konfiguration Testen Ihrer Firewall Konfiguration ist so einfach und so schwierig wie das Starten Ih res Firewall Skripts oder die Aktivierung der Konfiguration die Sie in Ihrer Firewall Konfigurationsanwendung definierten Wenn Sie jedoch nicht sorgf ltig genug sind und Sie Ihre Firewall aus der Ferne konfigurieren z B durch eine SSH Verbindung k nnten Sie sich selbst aussperren Es gibt mehrere M glichkeiten dies zu verhindern Eine ist das Starten eines Skriptes in ei nem separaten Terminal das Ihre Firewall Konfiguration entfernt wenn es keine Eingabe von Ihnen erh lt Ein Beispiel daf r ist while true do test read t 20 p OK test z Stest amp amp etc init d firewall clear done Eine andere M glichkeit ist das Einf hren einer Hintert r in Ihr System durch einen alterna tiven Mechanismus der es Ihnen erlaubt das Firewall System entweder zur ckzusetzen oder ein Loch in es schl gt wenn irgendetwas krumm l uft Daf r k nnen Sie knockd verwenden und es so konfigurieren dass eine spezielle Portverbindungsversuchssequenz die Firewall zu r cksetzt oder eine tempor re Regel hinzuf gt Selbst wenn die Pakete von der Firewall zu r ckgewiesen werden werden Sie Ihr Problem l sen k nnen da knockd auf der Schnittstelle lauscht und Sie sieht Kapitel 5 Abs
235. finden Sie unter apt 8 Anmerkung Sie brauchen folgende Zeile nicht hinzuf gen deb http security debian org debian non US stable non US main contrib non free Das liegt daran dass sich der Server der security debian org hostet au erhalb der USA befin det und somit kein getrenntes Archiv f r Non US hat 4 2 1 Sicherheitsaktualisierungen von Bibliotheken Wenn Sie eine Sicherheitsaktualisierung durchgef hrt haben m ssen Sie gegebenenfalls eini ge Dienste des Systems neu starten Wenn Sie das nicht tun k nnten Dienste auch nach der Sicherheitsaktualisierung immer noch verwundbar sein Das liegt daran dass Daemonen die schon vor einem Upgrade liefen immer noch die alten Bibliotheken vor dem Upgrade verwen den k nnten Um herauszufinden welche Daemonen neu gestartet werden m ssen k nnen Sie das Programm checkrestart ist im Paket debian goodies enthalten oder diesen Einzeiler als Root verwenden lsof grep lt aktualisierte_Bibliothek gt awk print 1 9 Einige Pakete wie 1 ibc6 werden diesen Test in der Postinst Phase f r eine begrenzte Anzahl von Diensten durchf hren da ein Upgrade von notwendigen Bibliotheken einige Anwendun gen unbrauchbar machen kann wenn sie nicht neu gestartet werden 3 Indem das System auf Runlevel 1 Single User und dann zur ck auf Runlevel 3 Multi User gebracht wird sollten die meisten wenn nicht alle Systemdienste neu gestartet werden Dies ist aber
236. fnissen des Netzwerkes einer Bank W hrend die Hauptgefahr eines Heimanwenders von Script Kiddies ausgeht muss sich das Netzwerk einer Bank um direkte Angriffe sorgen Zus tz lich muss eine Bank die Daten ihrer Kunden mit mathematischer Pr zision besch tzen Um es kurz zu machen Jeder Nutzer muss selbst zwischen Benutzerfreundlichkeit und Sicher heit Paranoia abw gen Beachten Sie bitte dass diese Anleitung nur Software Themen behandelt Die beste Softwa re der Welt kann Sie nicht sch tzen wenn jemand direkten Zugang zu Ihrem Rechner hat Sie k nnen ihn unter Ihren Schreibtisch stellen oder Sie k nnen ihn in einen starken Bunker mit einer ganzen Armee davor stellen Trotzdem kann der Rechner unter Ihrem Schreibtisch weitaus sicherer sein von der Software Seite aus gesehen als der eingebunkerte wenn Ihr Schreibtisch Rechner richtig konfiguriert und die Software des eingebunkerten Rechners voller Sicherheitsl cher ist Sie m ssen beide M glichkeiten betrachten Dieses Dokument gibt Ihnen lediglich einen kleinen berblick was Sie tun k nnen um die Sicherheit Ihres Debian GNU Linux Systems zu erh hen Wenn Sie bereits andere Dokumente ber Sicherheit unter Linux gelesen haben werden Sie feststellen dass es einige berschnei dungen geben wird Wie auch immer Dieses Dokument versucht nicht die ultimative In formationsquelle zu sein es versucht nur die gleichen Informationen so zu adaptieren dass sie gut auf ein
237. g m glich w re die durch das Hochladen eines Pakets auf das Hauptarchiv gew hrleistet werden Es kann auch verhindern dass ein Spiegel etwas fast genau abbildet das aber eben doch nicht ganz wie in Debian oder dass veraltete Versionen von instabilen Paketen mit bekannten Si cherheitsl cken zur Verf gung gestellt werden Dieser Beispielscode umbenannt nach apt check sigs sollte auf die folgende Art benutzt werden apt get update apt check sigs Ergebnisse apt get dist upgrade Zuerst m ssen Sie jedoch Folgendes tun e Holen Sie sich den Schl ssel den die Archiv Software verwendet um Release Dateien zu signieren http ftp master debian org ziyi_key_2006 asc und f gen Sie ihn gnupg trustedkeys gpg hinzu was standardm ig von gpgv benutzt wird gpg no default keyring keyring trustedkeys gpg import ziyi_key_ Entweder weil Sie Stable Sarge oder eine ltere Ver ffentlichung verwenden oder weil Sie nicht die neuste Version von Apt einsetzen wollen obwohl wir das Testen wirklich sch tzen w rden Kapitel 7 Die Infrastruktur f r Sicherheit in Debian 155 e Entfernen Sie alle Zeilen aus etc apt sources list die nicht die normale dists Struktur benutzen oder ndern Sie das Skript so dass es auch mit denen funktioniert e Ignorieren Sie die Tatsache dass Sicherheitsaktualisierungen von Debian keine signierten Release Dateien haben und das Quelldateien noch keine rich
238. gen Teil der Infrastruktur der Sicherheit darstellt Die Signierung von Paketen ist ein wichtiges Thema da es die Manipulation von Paketen in Spiegel und von heruntergeladenen Dateien durch Man in the Middle Angriffen verhindert Die automatische Aktualisierung von Software ist eine wichtige F higkeit aber es ist auch wichtig Gefahren f r die Sicherheit zu entfernen die die Verbreitung von Trojanern und den Einbruch ins System w hrend der Aktualisierung f rdern k nnen Derzeit Stand Februar 2006 stellt Debian keine signierten Pakete f r die Distribution zur Ver f gung und die Woody und Sarge Ver ffentlichung 3 0 und 3 1 werden diese F higkeit nicht integrieren Es gibt eine L sung f r signierte Pakete die hoffentlich in der n chsten Ver f fentlichung Codename Etch enthalten sein wird Diese neue F higkeit ist in apt 0 6 enthalten ist im Moment Bestandteil der Unstable Distribution vergleiche Secure Apt auf der n chsten Seite Dieses Problem wird besser im Strong Distribution Howto http www cryptnet net fdp crypto strong_distro html von V Alex Brennen beschrieben 7 4 1 Der vorgeschlagene Plan zur Pr fung von Paketsignaturen Der derzeitige Plan zur Pr fung von Paketsignaturen mit apt ist e Die Release Datei enth lt die MD5 Summe von Packages gz die die MD5 Summen der Pakete enth lt und wird signiert Die Signatur stammt aus einer vertrauensw rdi gen Quelle e Diese signierte Release
239. gen in Netzwerk oder Host oder Werkzeuge zur Bewertung der Sicherheit eingesetzt werden unabh ngig davon ob sie auf der Debian Distribution beruhen Debian begann im Juni 2002 CVE Bezeichnung zu den DSAs hinzuzuf gen Jetzt sind CVE Bezeichnungen in allen DSAs seit September 1998 enthalten nachdem die Nachpr fungspha se im August 2002 begonnen wurde Alle Anweisungen k nnen auf der Webseite von Debi an abgerufen werden Auch Ank ndigungen von neuen Verwundbarkeiten enthalten CVE Bezeichnungen wenn sie zum Zeitpunkt ihrer Ver ffentlichung verf gbar waren Anweisun gen die mit einer bestimmten CVE Bezeichnung verbunden sind k nnen direkt ber die Suchmaschine http search debian org gesucht werden Benutzer die nach einer bestimmten CVE Bezeichnung suchen wollen k nnen auch die Suchmaschine verwenden die auf debian org verf gbar ist um die verf gbaren An weisungen auf Englisch und bersetzungen in andere Sprachen die mit den CVE Bezeichnungen verbunden sind abzurufen Eine Suche kann nach einem bestimmten Begriff z B nach der Anweisung CAN 2002 0001 http search debian org g advisory 22CAN 2002 0001 22ps 500 1m all oder nach einem Teilbegriff z B alle Kandidaten von 2002 die in Anweisungen enthalten sind finden Sie mit der Suche nach CAN 2002 http search debian org q advisory 22CAN 2002 22ps 500 1m a11 durchgef hrt werden Beachten Sie dass Sie das Wort advisory zu sammen mit der CVE Be
240. gendes ausf hren dpkg S readlink f vmlinuz kernel image 2 4 27 2 686 boot vmlinuz 2 4 27 2 686 Wenn Ihr Kernel nicht vom Paketsystem verwaltet wird werden Sie anstatt der obigen Nach richt die R ckmeldung bekommen dass das Paketverwaltungsprogramm kein Paket finden konnte das mit der Datei verbunden ist Die obige Meldung besagt dass die Datei die mit dem laufenden Kernel verbunden ist vom Paket kernel image 2 4 27 2 686 zur Verf gung gestellt wird Sie m ssen also zuerst ein Paket mit einem Kernel Image von Hand instal lieren Das genaue Kernel Image das Sie installieren sollten h ngt von Ihrer Architektur und Ihrer bevorzugten Kernelversion ab Wenn Sie das einmal erledigt haben k nnen Sie die Si cherheitsaktualisierungen des Kernels wie die jedes anderen Pakets durchf hren Beachten Sie allerdings dass Kernelaktualisierungen nur f r Aktualisierungen der gleichen Kernelversion wie der Ihrigen durchgef hrt werden D h apt wird nicht automatisch Ihren Kernel von 2 4 auf 2 6 aktualisieren oder von 2 4 26 auf 2 4 27 Das Installationssystem von Debian 3 1 wird den gew hlten Kernel 2 4 oder 2 6 als Teil des Paketsystems behandeln Sie k nnen berpr fen welche Kernel Sie installiert haben COLUMNS 150 dpkg 1 kernel image awk 1 ii print 0 Um festzustellen ob Ihr Kernel aktualisiert werden muss f hren Sie Folgendes aus kernfile readlink f vmlinuz kernel
241. gent Es ist heutzutage weit verbreitet E Mails digital zu unterschreiben manchmal auch zu ver schltisseln Sie k nnen z B feststellen dass viele Menschen auf Mailinglisten ihre E Mails signieren Signaturen von ffentlichen Schl sseln ist im Moment die einzige M glichkeit um festzustellen ob eine E Mail vom Absender geschickt wurden und nicht von jemand anderem Debian GNU Linux enth lt eine Anzahl von E Mail Clients mit der eingebauten F higkeit E Mails zu signieren Sie arbeiten entweder mit gnupg oder pgp zusammen e evolution e mutt e kmail e mozilla oder Thunderbird im Paket mozilla thunderbird enthalten falls das Enigmail http enigmail mozdev org Plugin installiert ist was durch das Pa ket mozilla enigmail und mozilla thunderbird enigmail bereitgestellt wird e sylpheed Abh ngig davon wie sich die stabile Version dieses Pakets entwickelt m s sen Sie die bleeding edge Version sylpheed claws verwenden Kapitel 8 Sicherheitswerkzeuge in Debian 171 e gnus wird mit dem Paket mailcrypt installiert und ist eine Schnittstelle f r emacs zu gnupg e kuvert stellt diese Funktion unabh ngig von Ihrem Mail User Agent MUA zur Verf gung indem es mit dem Mail Transport Agent MTA arbeitet Key Server erm glichen es Ihnen ver ffentlichte ffentliche Schl ssel herunterzuladen damit Sie Signaturen berpr fen k nnen Einer diese Key Server ist http wwwkeys pgp net gnupg kann automat
242. ges by Javier Fern ndez Sanguino Pe a Minor changes to tags in order to keep on removing the tt tags and substitute them for prgn package tags 1 6 45 Version 1 6 Changes by Javier Fern ndez Sanguino Pe a Added pointer to document as published in the DDP should supersede the original in the near future Started a mini FAQ should be expanded with some questions recovered from my mail box Added general information to consider while securing Added a paragraph regarding local incoming mail delivery Added some pointers to more information Added information regarding the printing service Added a security hardening checklist Reorganized NIS and RPC information Added some notes taken while reading this document on my new Visor Fixed some badly formatted lines Fixed some typos Added a Genius Paranoia idea contributed by Gaby Schilders 1 6 46 Version 1 5 Changes by Josip Rodin and Javier Fern ndez Sanguino Pe a Added paragraphs related to BIND and some FIXMEs Kapitel 1 Einleitung 25 1 6 47 Version 1 4 e Small setuid check paragraph e Various minor cleanups e Found out how to use sgm12txt f for the txt version 1 6 48 Version 1 3 e Added a security update after installation paragraph e Added a proftpd paragraph e This time really wrote something about XDM sorry for last time 1 6 49 Version 1 2 e Lots of grammar corrections by James Treacy new XDM paragraph 1 6 50 Version 1
243. gin verwenden wie z B solche die durch su cron oder ssh ausgef hrt werden Vergessen Sie nicht die Dateien unter etc skel zu berpr fen und gegebenenfalls anzu passen da dort die Standards f r Benutzer festgelegt werden die mit dem Befehl adduser erstellt werden Standardm ig enthalten die Dateien in Debian keinen Aufruf von umask Wenn sich aber ein solcher in Konfigurationsdateien befindet sind neue Benutzer eher geneigt ihn ihren Bed rfnissen anzupassen Beachten Sie allerdings dass ein Nutzer seine umask Einstellung ab ndern kann wenn er es m chte um sie gro z giger oder einschr nkender zu machen indem er seine Konfigurations dateien ver ndert Das Paket libpam umask passt die Standard umask eines Benutzers mit Hilfe von PAM an Nachdem Sie das Paket installiert haben tragen Sie Folgendes in etc pam d common session ein session optional pam_umask so umask 077 Wird in etc adduser conf festgelegt USERGROUPS yes Sie ndern dieses Verhalten wenn Sie den Wert auf no setzen Dies wird aber nicht empfohlen Kapitel 4 Nach der Installation 70 Zu guter Letzt sollte Sie in Betracht ziehen die Standard Umask von Root 022 wird in root bashrc festgelegt auf einen strengeren Wert zu ver ndern Damit kann verhindert werden dass der Systemadministrator als Root sensible Dateien in von allen lesbaren Verzeichnissen wie z B tmp ablegt und sie so dem Durchschnittsbenutzer zug nglich macht 4
244. gkei ten und die Entdeckung bestimmter Muster Beachten Sie immer dass Sie einen Alarm und Antwort Mechanismus brauchen um Ihre Sys temsicherheit mit einer dieser Werkzeuge wirklich zu verbessern Eindringlingserkennung ist Zeitverschwendung wenn Sie niemanden alarmieren werden Ein leichter Weg das ist tun ist die Verwendung einer Live CD wie Knoppix Std http www knoppix std org die sowohl die Programme zur Integrit tspr fung als auch die dazugeh rige Datenbank enth lt Kapitel 10 Vor der Kompromittierung 188 Wenn ein bestimmter Angriff entdeckt worden ist werden die meisten Programme zur Ein dringlingserkennung entweder den Vorfall mit syslog protokollieren oder E Mails an Root schicken der Empf nger der E Mails kann normalerweise eingestellt werden Ein Adminis trator muss die Programme passend konfigurieren so dass falsche Positivmeldungen keinen Alarm ausl sen Alarme k nnen auf einen laufenden Angriff hindeuten und w ren sp ter sagen wir mal am n chsten Tag nicht mehr n tzlich da der Angriff dann bereits erfolgreich beendet worden sein k nnte Stellen Sie also sicher dass es eine passende Regelung ber die Handhabung von Alarmen gibt und dass technische Ma nahmen zur Umsetzung dieser Re gelung vorhanden sind Eine interessante Quelle f r Information ist CERT s Intrusion Detection Checklist http www cert org tech_tips intruder_detection_checklist html 10 3 1 Netzwerk basieren
245. gmierung W Debliai e A NN ne ARA el 145 7 4 1 Der vorgeschlagene Plan zur Pr fung von Paketsignaturen 145 ee A eu a EE a ee rd KE 146 7 4 3 berpr fung der Distribution mit der Release Datei 147 744 Pr fung von Debian fremden Quellen 161 7 4 5 Alternativer Entwurf zur Einzelsignierung von Paketen 161 Sicherheitswerkzeuge in Debian 163 8 1 Programme zur Fernpr fung der Verwundbarkeit 163 8 2 Werkzeuge zum Scannen von Netzwerken 2 23 u 22 eee ee a 164 Bo DES ef re AA Be aa A al 165 84 Testen des Quellcodes 165 8 5 Virtual Private Networks virtuelle private Netzwerke 165 851 Pointto Point Tunneling o o ce EE eee re BS 166 8 6 Infrastruktur f r ffentliche Schl ssel Public Key Infrastructure PKI 167 8 7 SSLI nfrastr ukt lt 5 1 cea het are A A E a e aa 168 Oo ApPUVNen ProT o eena eed a es na re wee et 168 On AE cios eae Daa eds Er E el A el 170 Der gute Umgang von Entwicklern mit der Sicherheit des OS 173 9 1 Das richtige Vorgehen f r die Nachpr fung der Sicherheit und Gestaltung 173 92 Benutzer und Gruppen f r Daemons erstellen 22 2s eae bi eed een be 175 INHALTSVERZEICHNIS vili 10 Vor der Kompromittierung 179 101 Halten Sie INE Systemi SEDES u ws ee ale a eae eee weht 179 10 1 1 Beobachtung von Sicherheitsl cken i 60 sii ee eee eee en EE 179 10 1 2 Fortlaufende Aktualisierung des Systems i AN
246. grotate d apache var log apache log durch var chroot apache var log apache log e Starten Sie Apache etc init d apache start und berpr fen Sie was im Pro tokoll des Gef ngnisses gemeldet wird var chroot apache var log apache error 1og Wenn Ihre Einstellung komplexer sein sollte z B wenn Sie auch PHP und MySQL einsetzen werden wahrscheinlich Dateien fehlen Wenn einige Dateien nicht automatisch von make jail kopiert werden k nnen Sie diese in den Optionen forceCopy um Dateien direkt zu kopieren oder packages um ganze Pakete mit ihren Abh ngigkei ten zu kopieren in der Konfigurationsdatei etc makejail apache py auff hren e GebenSieps aux grep apache ein um sicherzustellen dass Apache l uft Sie soll ten etwas in dieser Art sehen Kapitel H Chroot Umgebung f r Apache 272 root 180 0 0 1 1 2936 1436 S 04 03 0 00 usr sbin apache chrapach 189 0 0 1 1 2960 1456 S 04 03 0 00 usr sbin apache chrapach 190 0 0 1 1 2960 1456 S 04 03 0 00 usr sbin apache chrapach 191 0 0 1 1 2960 1456 S 04 03 0 00 usr sbin apache chrapach 192 0 0 1 1 2960 1456 S 04 03 0 00 usr sbin apache chrapach 193 0 0 2960 1456 S 04 03 0 00 usr sbin apache e Stellen Sie sicher dass die Apache Prozesse in einer chroot Umgebung laufen Betrach ten Sie dazu das proc Dateisystem 1s la proc process_number root wobei process_number einer der PID Nummern ist die oben aufgef hrt wurden
247. h finden zwischen Sicherheit und Nutzbarkeit f r Ihr Netzwerk Sie k nnen mehr ber NFS Sicherheit im NFS HOWTO http www tldp org HOWTO NFS HOWTO html usr share doc HOWTO en txt NFS HOWTO txt gz finden 5 13 1 Vollst ndiges Deaktivieren von RPC Diensten Das Abschalten von portmap ist relativ einfach Es gibt verschiedene Methoden Die einfachste in einem Debian 3 0 oder neueren System ist das Paket portmap zu deinstallieren Wenn Sie eine ltere Version von Debian laufen haben werden Sie den Dienst wie in Daemons abschal ten auf Seite 40 beschrieben abschalten m ssen weil das Programm Teil des Pakets netbase das nicht deinstalliert werden kann ohne das System kaputt zu machen ist Beachten Sie dass einige Desktop Umgebungen haupts chlich GNOME RPC Dienste ver wenden und den Portmapper f r einige der Dateimanager Eigenschaften ben tigen Wenn dies bei Ihnen der Fall ist k nnen Sie den Zugang zu RPC Diensten wie weiter unter be schrieben beschr nken 5 13 2 Einschr nken des Zugriffs auf RPC Dienste Ungl cklicherweise ist es in manchen F llen nicht m glich RPC Dienste vom System zu ent fernen Einige lokale Desktop Dienste haupts chlich SGIs fam sind RPC basiert und ben tigen deshalb einen lokalen Portmapper Dies bedeutet dass unter bestimmten Umst nden Benutzer die eine Desktop Umgebung wie GNOME installieren den Portmapper auch in stallieren werden Es gibt einige Wege den Zugriff auf
248. hen Ihnen einige Werkzeuge zur Verf gung die Sie dabei unterst tzen den Quellco de auf Sicherheitsprobleme hin zu berpr fen Dazu z hlen rats flawfinder und pscan Weitere Informationen finden Sie in der Liste der Werkzeuge die vom Debian Security Audit Team verwendet werden http www de debian org security audit tools Beim Paketieren von Software sollten Entwickler darauf achten dass sie allgemein anerkannte Sicherheitsprinzipien einhalten Dazu geh ren e Die Software sollte mit so geringen Rechten wie m glich laufen Falls das Paket Binaries mit setuid oder setgid enth lt wird Lintian vor setuid http lintian debian org reports Tsetuid binary html set gid http lintian debian org reports Tsetgid binary html und setuid und setgid http lintian debian org reports Tsetuid gid binary html Binaries warnen Die Daemons die in einem Paket enthalten sind sollten mit den Rechten eines Be nutzers laufen der nur geringe Privilegien besitzt vergleichen Sie dazu Benutzer und Gruppen f r Daemons erstellen auf der n chsten Seite e Automatisierte Aufgaben also mit cron sollten NICHT mit Root Rechten laufen Zu mindest sollten mit Root Rechten keine komplizierten Aufgaben erledigt werden Falls Sie diese Prinzipien nicht einhalten k nnen sollten Sie sichergehen dass das Programm das mit umfangreicheren Rechten l uft auf Sicherheitsprobleme berpr ft wurde Wenn Sie sich nicht sicher sind od
249. hen m ssen ist Folgendes zu etc pam d common session hinzuzuf gen session optional pam_tmpdir so Kapitel 4 Nach der Installation 61 Es gab auch eine Diskussion dies standardm ig in Etch einzuf gen Sehen Sie sich http lists debian org debian devel 2005 11 msg00297 html f r weitere Informa tionen an Zuletzt aber nicht am unwichtigsten erstellen Sie etc pam d other mit den folgenden Zeilen auth required pam_securetty so auth required pam_unix_auth so auth required pam_warn so auth required pam_deny so account required pam_unix_acct so account required pam_warn so account required pam_deny so password required pam_unix_passwd so password required pam_warn so password required pam_deny so session required pam_unix_session so session required pam_warn so session required pam_deny so Diese Zeilen stellen fiir alle Anwendungen die PAM unterstiitzen eine gute Standard Konfiguration dar Zugriff wird standardm ig verweigert 4 11 2 Ressourcen Nutzung limitieren Die Datei limits conf Sie sollten sich wirklich ernsthaft mit dieser Datei besch ftigen Hier k nnen Sie Ihren Benut zern Ressourcen Limits definieren In alten Ver ffentlichungen war die Konfigurationsdatei etc limits conf Aber in neueren Versionen mit PAM sollte stattdessen die Konfigura tionsdatei etc security limits conf benutzt werden Wenn Sie die Ressourcennutzung nicht einschr nken kann jeder Nutzer mit einer g ltige
250. hkeiten eine beschr nkte entfernte Shell einzurichten e die SSH Benutzer in ein Chroot Gef ngnis einsperren Dazu m ssen Sie den SSH Daemon so konfigurieren dass er Benutzer nach der Authentifizierung in ein Chroot Gef ngnis einsperrt bevor sie eine Shell bekommen Jeder Benutzer kann seine eigene Umgebung haben e den SSH Server in ein Chroot Gef ngnis einsperren Wenn die SSH Anwendung sich selbst in einer Chroot Umgebung befindet sind auch alle Benutzer in diese Umgebung eingesperrt Die erste M glichkeit hat den Vorteil dass es m glich ist sowohl unbeschr nkte als auch be schr nkte Benutzer zu haben Falls Sie keine Setuid Anwendungen in der Chroot Umgebung zur Verf gung stellen wird es schwieriger aus dem Gef ngnis auszubrechen Allerdings m s sen Sie gegebenenfalls Chroot Umgebungen f r jeden Benutzer einzeln einrichten Au erdem ist die Konfiguration schwieriger da es Zusammenarbeit mit dem SSH Server erfordert Die zweite M glichkeit ist leichter zu verwirklichen und sch tzt vor dem Ausnutzen eines Ex ploits des SSH Servers da auch dieser im Chroot Gef ngnis ist Jedoch m ssen alle Benutzer die gleiche Chroot Umgebung verwenden Verschiedene Umgebungen f r verschiedene Be nutzer sind nicht m glich G 1 SSH Benutzer in ein Chroot Gef ngnis einsperren Sie k nnen den SSH Server so einrichten dass er bestimmte Benutzer in eine Chroot Umgebung einsperrt so dass sie eine Shell mit nur einer beschr nkten
251. hrdet EU ina a See EE OS OE A FO oe ee ah here 200 12 1 3 Hat Debian irgendein Zertifikat f r Sicherheit 201 12 1 4 Gibt es irgendein Abh rtungsprogramm f r Debian 201 12 1 5 Ich m chte einen XYZ Dienst laufen lassen Welchen sollte ich benutzen 201 12 1 6 Wie mache ich den Dienst XYZ unter Debian sicherer 202 INHALTSVERZEICHNIS ix 12 1 7 Wie kann ich die Banner der Dienste entfernen 202 12 1 8 Sind alle Debian Pakete sicher 2 2 2 cm m mn 202 12 1 9 Warum sind einige Log und Konfigurationsdateien f r die Welt lesbar Ist dasnicht unsicher cocida RS ea RA Reo wk Sed ns 203 12 1 10 Warum hat root oder NutzerX die Rechte 755 203 12 1 11 Nach der Installation von grsec oder einer Firewall bekomme ich viele Nachrichten auf der Konsole Wie entferne ich sie 204 12 1 12 Benutzer und Gruppen des Betriebssystems 266s ee lt lt 204 12 1 13 Warum gibt es eine neue Gruppe wenn ich einen neuen Nutzer anlege Oder warum gibt Debian jedem Nutzer eine eigene Gruppe 208 12 1 14 Fragen ber Dienste und offene Ports x bw yk ana nen 209 12 1 32 Allgemeine S cherheitsfrage ENEE GS ORE CHG eh a 211 12 1 16 Wie muss ich vorgehen wenn ich meinen Nutzern einen Dienst anbieten m chte ihnen aber kein Shell Konto geben will 212 12 2 Mein System ist angreifbar Sind Sie sich sicher
252. ht mit der Hauptdistribution ausgeliefert sondern war nur auf Seiten au erhalb der USA erh ltlich 8 1 Programme zur Fernpr fung der Verwundbarkeit Die Werkzeuge um Fernpr fungen der Verwundbarkeit durchzuf hren sind unter Debian e nessus e raccess e nikto Ersatz f r whisker Das weitaus vollst ndigste und aktuellste Werkzeug ist nessus welches aus einem Client nessus mit graphischer Benutzungsschnittstelle und einem Server nessusd der die pro grammierten Attacken startet besteht Nessus kennt verschiedene entfernten Verwundbarkei ten f r einige Systeme einschlie lich Netzwerkanwendungen FIP Servern WWW Servern Manche von ihnen sind erh ltlich wenn Sie das Paket harden remoteaudit installieren Kapitel 8 Sicherheitswerkzeuge in Debian 164 usw Die neusten Sicherheitsplugins sind sogar in der Lage eine Web Seite zu analysieren und zu versuchen interaktive Inhalte zu entdecken die zu einem Angriff genutzt werden k n nen Es existieren auch Java und Win32 Clients die benutzt werden k nnen um sich mit dem Nessus Server zu verbinden Diese sind jedoch in Debian nicht enthalten Beachten Sie wenn Sie Woody einsetzen dass das Nessus Paket ziemlich veraltet ist siehe Fehler 183524 http bugs debian org 183524 Es ist nicht schwierig die Pakete aus Unstable nach Woody zur ckzuportieren Falls es Ihnen dennoch Schwierigkeiten berei ten sollte k nnen Sie auch die zur ckportierten Pakete vo
253. hwieriger werden das System zu kompromittieren und manchmal wird er in dieser Situation aufgeben und sich ein leichteres Ziel suchen Wenn Sie also auf einem produktivem System Werkzeuge lassen die benutzt werden k nnen um andere Systeme anzugreifen siehe Programme zur Fernpr fung der Verwundbarkeit auf Seite 163 m ssen Sie auch davon ausgehen dass ein Angreifer sie auch benutzen wird Beachten Sie bitte dass eine Standardinstallation von Debian Sarge d h eine Installation bei der nicht individuell Pakete ausgew hlt werden einige Pakete zur Softwareentwicklung in stallieren wird die normalerweise nicht ben tigt werden Das liegt daran dass einige Pakete zur Softwareentwicklung die Priorit t Standard haben Wenn Sie keine Software entwickeln k nnen Sie ohne Bedenken die folgenden Pakete von Ihrem System entfernen was nebenbei auch etwas Platz schafft Paket Gr e gdb 2 766 822 gec 3 3 1 570 284 dpkg dev 166 800 libc dev 2 531 564 cpp 3 3 1 391 346 manpages dev 1 081 408 flex 257 678 g 1 384 Hinweis virtuelles Paket linux kernel headers 1 377 022 bin86 82 090 cpp 29 446 gcc 4 896 Hinweis virtuelles Paket g 3 3 1 778 880 bison 702 830 make 366 138 libstdc 5 3 3 dev 774 982 H ufig werden fremde Systeme nur deshalb gehackt weil Sie zu weiteren illegitimen Aktivit ten benutzt werden sollen DoS Attacken Spam geheime FTP Server DNS Schweinereien
254. iben Daten die der Web Server schreibt einschlie lich Log Dateien geh ren www data e backup So k nnen Backup Wiederherstellungszust ndigkeiten lokal an irgendjeman den ohne volle Root Zugriff delegiert werden e operator operator ist historisch und praktisch das einzige Nutzer Konto in das man sich entfernt einloggen kann und das nicht von NIS NFS abh ngt e list Mailinglisten Archive und Daten geh ren diesem Nutzer und dieser Gruppe Man che Mailinglisten Programme laufen auch unter diesem Nutzer e irc Wird von irc Daemonen benutzt Ein statisch zugewiesener Nutzer wird nur wegen eines Fehlers in ircd ben tigt das beim Start SETUID auf sich selbst f r eine bestimmte UID ausf hrt e gnats e nobody nogroup Daemonen die keine eigenen Dateien haben laufen als Nutzer nobo dy und Gruppe nogroup Demzufolge sollten keine Dateien auf dem gesamten System diesem Nutzer oder dieser Gruppe geh ren Andere Gruppe die keinen dazugeh rigen Benutzer haben e adm Die Gruppe adm wird zu Zwecken der berwachung benutzt Mitglieder dieser Gruppe k nnen viele Dateien in var log lesen und die xconsole benutzen var log war fr her einmal usr adm und sp ter var adm daher der Name dieser Gruppe Kapitel 12 H ufig gestellte Fragen Frequently asked Questions FAQ 207 e tty TIY Ger te geh ren dieser Gruppe Die Befehle write und wall benutzen dies um auf die TTYs anderer Leute zu schreiben e
255. ichern von Diensten die auf Ihrem System laufen 132 Das Testen einer Firewall die ein internen Netz sch tzt ist eine andere Aufgabe Schauen Sie sich daf r einige Werkzeuge an die es f r entfernte Ausnutzbarkeitsbewertungen gibt siehe Programme zur Fernpr fung der Verwundbarkeit auf Seite 163 um das Netzwerk von au erhalb nach innen oder aus einer beliebig anderen Richtung bez glich der Effektivit t der Firewall Konfiguration zu testen 133 Kapitel 6 Automatisches Abh rten von Debian Systemen Nachdem Sie nun all die Informationen aus den vorherigen Kapiteln gelesen haben fragen Sie sich vielleicht Ich habe sehr viele Dinge zu erledigen um mein System abzusichern K nnte man das nicht automatisieren Die Antwort lautet Ja aber seien Sie vorsichtig mit automa tischen Werkzeugen Manche Leute denken dass ein Absicherungswerkzeug nicht die Not wendigkeit einer guten Systemadministration abschafft T uschen Sie sich also nicht selbst indem Sie denken dass Sie all die Prozesse automatisieren k nnten und sich alle betreffen den Angelegenheiten von selbst erledigen w rden Sicherheit ist ein andauernder Prozess an dem der Administrator teilnehmen muss Er kann nicht einfach wegbleiben und irgendwel che Werkzeuge die Arbeit erledigen lassen weil kein einzelnes Werkzeug die Umsetzung aller Sicherheitsrichtlinien aller Angriffe oder aller Umgebungen bew ltigen kann Seit Woody Debian 3 0 gi
256. ie Mailingliste debian devel announce geschickt wurde Pakete die vom Sicherheitsteam mit einem passenden Patch auf security debian org org security debian org queue unchecked oder ftp security debian org pub SecurityUploadQueue hochgeladen werden werden innerhalb von 15 Mi nuten nach dem Hochladen auf Signaturen berpr ft Danach werden sie zu der Liste der Autobuilder hinzugef gt diese f hren nicht mehr einen t gliche Durchgang durch das Archiv durch Dadurch k nnen die Pakete automatisch f r alle Architekturen 30 Minuten oder eine Stunde oder so nach dem Hochladen erstellt werden Allerdings werden Sicherheitsaktualisie rungen etwas anderes behandelt als normale Aktualisierungen die von den Paketbetreuern vorgenommen werden da in manchen F llen vor einer Ver ffentlichung die Aktualisierungen nochmals getestet werden m ssen eine Anweisung geschrieben werden muss oder eine Woche oder mehr gewartet werden muss um zu verhindern dass der Fehler ver ffentlicht wird bevor nicht alle Linux Anbieter eine vern nftige Chance hatten ihn zu beheben Folglich arbeitet das Archiv der Sicherheitsuploads nach dem folgenden Ablauf dieser wird Accepted Autobuilding genannt e Jemand findet ein Sicherheitsproblem e Jemand l st das Problem und l dt die L sung in den Eingang von security debian org hoch dieser jemand ist normalerweise ein Mitglied des Sicherheitsteams kann aber auch ein Paketbetreuer mit einer passen
257. ie Tabelle Verweise auf Sicherheitsdatenbanken wie Bugtraq http www securityfocus com bid CERT CC Anweisungen http www cert org advisories und US CERT Vulnerability Notes Database http www kb cert org vuls und auf die CVE Bezeichnungen siehe unten enth lt Diese Verweise werden zur Nutzerfreundlichkeit angeboten aber nur der CVE Verweise werden regelm ig berpr ft und eingef gt Dieses Feature wurde im Juni 2002 der Webseite hinzugef gt Das Hinzuf gen von Querverweisen auf diese Sicherheitsdatenbanken hat folgende Vorteile e Es erleichtert Benutzern von Debian zu erkennen und nachzuvollziehen welche allge meinen ver ffentlichten Anweisungen schon von Debian abgedeckt wurden e Systemadministratoren k nnen mehr ber die Verwundbarkeit und ihre Auswirkungen lernen wenn sie den Querverweisen folgen e Diese Informationen k nnen benutzt werden um Ausgaben von Verwundbarkeitsscan nern die Verweise auf CVE enthalten zu berpr fen um falsche Positivmeldungen aus zusortieren vergleichen Sie Der Scanner X zur Einsch tzung der Verwundbarkeit sagt dass mein Debian System verwundbar w re auf Seite 213 7 2 2 CVE Kompatibilit t Debians Sicherheitsank ndigungen wurden am 24 Februar 2004 CVE kompatibel erkl rt http www de debian org security CVE certificate jpg Die Entwickler von Debian verstehen die Notwendigkeit genaue und aktuelle Informatio nen ber den Lage der Sicherheit in
258. ie k nnten in Ihren Logdateien Zeilen wie die folgenden finden Apr 1 09 25 01 server su 30315 root nobody Apr 1 09 25 01 server PAM_unix 30315 su session opened for user nobody Seien Sie nicht zu besorgt Priifen Sie ob dies durch einen Cron Job hervorgerufen wird nor malerweise etc cron daily find oder logrotate grep 25 etc crontab 25 6 Ree le root test e usr sbin anacron run parts report etc cron daily grep nobody etc cron daily find cd amp amp updatedb localuser nobody 2 gt dev null 12 2 5 Ich habe possible SYN flooding in meinen Logs entdeckt Werde ich ange griffen Sie sehen Eintr ge wie diese in Ihren Logs May 1 12 35 25 linux kernel possible SYN flooding on port X Sending cooki May 1 12 36 25 linux kernel possible SYN flooding on port X Sending cooki May 1 12 37 25 linux kernel possible SYN flooding on port X Sending cooki May 1 13 43 11 linux kernel possible SYN flooding on port X Sending cooki berpr fen Sie mit netstat ob es eine gro e Anzahl von Verbindungen zum Server gibt Zum Beispiel linux netstat ant grep SYN_RECV wc 1 9000 Dies ist ein Anzeichen dass ein Denial of Service Angriff DoS auf den Port X Ihres Systems am wahrscheinlichsten gegen einen ffentlichen Dienst wie Ihr Web oder Mailserver Sie Kapitel 12 H ufig gestellte Fragen Frequently asked Questions FAQ 215 sollten TCP S
259. ie sicherheitsspezifische Angelegenheiten im Zusammenhang mit Debian behandeln vergleiche Seien Sie wachsam gegen ber generellen Sicherheitsproblemen auf Seite 29 Kapitel 2 Bevor Sie beginnen 34 35 Kapitel 3 Vor und w hrend der Installation 3 1 Setzen Sie ein Passwort im BIOS Bevor Sie irgendein Betriebssystem auf Ihrem Computer installieren setzen Sie ein Passwort im BIOS Nach der Installation sobald Sie von der Festplatte booten k nnen sollten Sie zur ck ins BIOS gehen und die Boot Reihenfolge ndern so dass Sie nicht von Diskette CD ROM oder sonstigen Ger ten booten k nnen von denen dies nicht gehen sollte Andernfalls ben tigt ein Cracker nur physischen Zugang und eine Bootdiskette um Zugriff auf Ihr ganzes System zu bekommen Es ist noch besser wenn das System beim Booten immer ein Passwort verlangt Dies kann sehr effektiv sein wenn Sie einen Server laufen lassen der selten neu gestartet wird Der Nachteil dieser Vorgehensweise ist dass das Neustarten einen menschlichen Eingriff ben tigt was zu Problemen f hren kann wenn das System nicht leicht zug nglich ist Beachten Sie Viele BIOS Varianten haben bekannte Master Passw rter und es gibt sogar Pro gramme um Passw rter aus dem BIOS wieder auszulesen Folglich k nnen Sie sich nicht auf diese Ma nahme verlassen um den Zugriff auf das Systems zu beschr nken 3 2 Partitionieren des Systems 3 2 1 W hlen Sie eine sinnvolle Part
260. ie snort oder ein hnliches berwachungswerkzeug Verzichten Sie falls m glich auf NIS und RPC Abschalten von portmap e Angelegenheiten mit Richtlinien Kapitel B Checkliste der Konfiguration 230 Kl ren Sie die Nutzer ber das Wie und Warum Ihrer Richtlinien auf Wenn Sie etwas verboten haben das auf anderen Systemen normalerweise verf gbar ist stel len Sie Dokumentation bereit die erkl rt wie man die gleichen Resultate erreicht indem man andere sichere Mittel anwendet Verbieten Sie die Nutzung von Protokollen die Klartext Passw rter benutzen telnet rsh und Freunde ftp imap pop http Verbieten Sie Programme die SVGAlib benutzen Benutzen Sie Disk Quotas e Bleiben Sie ber Sicherheitsangelegenheiten informiert Abonnieren Sie sicherheitsrelevante Mailinglisten Richten Sie Sicherheitsaktualisierungen f r apt ein f gen Sie etc apt sources list einen Eintrag oder Eintr ge f r http security debian org debian security hinzu Vergessen Sie auch nicht regelm ig apt get update apt get upgrade vielleicht als Cron Job laufen zu lassen wie unter Ausf hren von Sicherheits updates auf Seite 48 beschrieben 231 Anhang C Aufsetzen eines autonomen IDS Sie k nnen sehr leicht eine Debian Box als eigenst ndiges Eindringlings Erkennungs System Intrusion Detection System IDS aufsetzen indem Sie snort benutzen Ein kleiner Leitfaden e Insta
261. ie trotzdem Dienste installieren m chten diese aber selten benutzen entfernen Sie sie mit den update Befehlen wie update inetd oder update rc d aus dem Startvorgang Wei tere Informationen wie Sie Netzwerkdienste abschalten finden Sie unter Daemons abschal ten auf dieser Seite Wenn Sie das Standardverhalten des Startens von Diensten nach der In stallation von ihren Paketen ndern wollen lesen Sie bitte f r weiterf hrende Informationen usr share doc sysv rc README policy rc d gz Die Unterst tzung von invoke rc d ist bei Debian nun zwingend Dies bedeutet dass Sie bei Sid und Etch eine policy rc d Datei anlegen k nnen die das Starten von Dae mons verbietet bevor Sie sie konfiguriert haben Zwar sind derartige Skripte noch nicht in Paketen enthalten sie sind aber ziemlich leicht zu schreiben Sehen Sie sich auch policyrcd script zg2an 3 6 1 Daemons abschalten Das Abschalten eines Daemons ist sehr einfach Entweder Sie entfernen das Paket das das Programm f r diesen Dienst anbietet oder Sie entfernen oder benennen die Startlinks unter etc rc runlevel d um Wenn Sie sie umbenennen stellen Sie sicher dass sie nicht mehr mit einem S beginnen damit sie nicht von etc init d rc ausgef hrt werden Ent fernen Sie nicht alle verf gbaren Links denn sonst wird das Paketverwaltungssystem sie bei der n chsten Paketaktualisierung wieder herstellen Gehen Sie also sicher dass zumindest ein Link brig bleibt typisch
262. iederherstellung nicht m glich ist bis Sie einen 2 4er oder 2 6er Kernel mit den ben tigten Modulen haben Wenn Sie einen 2 2er Kernel auf der Rettungsdiskette verwenden m ssen kann es sich als noch schwerer erweisen auf reiserfs oder xfs zuzugreifen Auf jeden Fall ist die Datenintegrit t unter ext 3 besser da es auch Datei Daten protokolliert w hrend andere Dateisysteme lediglich Meta Daten protokollieren siehe auch http 1wn net 2001 0802 a ext3 modes php3 3 3 Gehen Sie nicht ins Internet bevor Sie nicht bereit sind W hrend der Installation sollten Sie das System nicht sofort mit dem Internet verbinden Dies h rt sich vielleicht komisch an aber die Installation ber das Netzwerk ist eine g ngige Metho de Da das System einige Dienste installiert und diese sofort aktiviert werden k nnten Sie Ihr System f r Angriffe ffnen wenn das System mit dem Internet verbunden ist und die Dienste nicht geeignet konfiguriert sind Au erdem sollten Sie beachten dass manche Pakete noch Sicherheitsprobleme haben k nnen weil das Installationsmedium nicht auf dem aktuellen Stand ist Dies ist f r gew hnlich dann der Fall wenn Sie von lteren Medien wie CD ROMs installieren In diesem Fall k nnte Ihr System bereits kompromittiert sein bevor Sie mit der Installation fertig sind Kapitel 3 Vor und w hrend der Installation 38 Da die Debian Installation und das Aktualisieren ber das Internet durchgef hrt werden k n
263. iefert wurde in dem der Fehler schon behoben war Das war der Fall beim gro en Problem mit rpc statd http www cert org advisories CA 2000 17 html vor ein paar Jahren Es besteht eine weitgehende Zusammenarbeit zwischen den jeweiligen Sicherheitsteams der gro en Linux Distributionen Bekannte Sicherheitsaktualisierungen werden selten wenn nicht sogar nie von den Anbietern der Distribution nicht eingespielt Das Wissen um eine Sicher heitsl cke wird niemals vor anderen Anbietern von Distributionen geheim gehalten da die Ausbesserungen gew hnlich vom Programmautor oder von CERT http www cert org koordiniert werden Das hat zur Folge dass notwendige Sicherheitsaktualisierungen blicher weise zur selben Zeit ver ffentlicht werden Damit ist die relative Sicherheit der verschiedenen Distributionen ziemlich hnlich Einer gro en Vorteile von Debian in Hinblick auf die Sicherheit ist die Leichtigkeit von Syste maktualisierungen mit apt Hier sind ein paar andere Aspekte ber die Sicherheit in Debian die Sie ber cksichtigen sollten e Debian bietet mehr Sicherheitswerkzeuge an als andere Distributionen Vergleichen Sie dazu Sicherheitswerkzeuge in Debian auf Seite 163 e Debians Standardinstallation ist kleiner weniger Funktionen und daher sicherer Ande re Distributionen tendieren im Namen der Benutzerfreundlichkeit dazu standardm ig viele Dienst zu installieren und manchmal sind diese nicht ordentlich konfigurie
264. ierte Sicherheitsl cken im Zusammenhang mit Debian nur auf den Unstable Zweig also den nicht offiziell ver ffentlichten Zweig beziehen Zum Beispiel k nnte es auf Grundlage einiger Daten scheinen dass Windows NT sicherer ist als Linux Dies w re eine fragw rdige Annahme Das liegt daran dass Linux Distributionen normalerweise viel mehr An wendungen zur Verf gung stellen als Microsofts Windows NT Dieses Problem des Abz hlens von Sicherheits l cken wird besser in Why Open Source Software Free Software OSS FS Look at the Numbers http www dwheeler com oss_fs_why html security von David A Wheeler beschrieben Kapitel 12 H ufig gestellte Fragen Frequently asked Questions FAQ 200 Ist Debian sicherer als andere Linux Distributionen wie Red Hat SuSE Der Unterschied zwischen den Linux Distributionen ist nicht sehr gro mit Ausnahme der Ba sisinstallation und der Paketverwaltung Die meisten Distributionen beinhalten zum Gro teil die gleichen Anwendungen Der Hauptunterschied besteht in den Versionen dieser Program me die mit der stabilen Ver ffentlichung der Distribution ausgeliefert werden Zum Beispiel sind der Kernel Bind Apache OpenSSH XFree gcc zlib etc in allen Linux Distributionen vorhanden Ein Beispiel Red Hat hatte Pech und wurde ver ffentlicht als foo 1 2 3 aktuell war Sp ter wurde darin eine Sicherheitsl cke entdeckt Dagegen hatte Debian das Gl ck dass es mit foo 1 2 4 ausgel
265. if am_root then echo The files have been renamed to have the extension FAILED and echo will be ignored by apt cat NOCHECK while read a do mv var lib apt lists a var lib apt lists a FAILED done fi fmt echo sed sit Ji lt NOCHECK echo fi if allokay then echo Everything seems okay echo rm rf tmp apt release check Sie m ssen vielleicht bei Sid diesen Patch verwenden da md5sum ein an die Summe anf gt wenn die Ausgabe auf stdin erfolgt 37 7 37 7 QQ local LOOKUP 2 get_md5sumsize Release SLOOKUP Y recho SY sed Esla ES gr Tel Y sed tel ej ES ge if e var lib apt lists SFILE then FE E ISR E chen 55 7 55 7 QQ return fi Kapitel 7 Die Infrastruktur f r Sicherheit in Debian 161 X md5sum lt var lib apt lists SFILE we c lt var lib apt lists F X echo SX sed s s g x echo X sed s 8s Blei II if X Sy then echo FILE gt gt BAD echo BAD 7 4 4 Pr fung von Debian fremden Quellen Beachten Sie dass wenn Sie die neuste Version von Apt mit Secure Apt einsetzen kein zus tz licher Aufwand auf Ihrer Seite notwendig sein sollte wenn Sie keine Debian fremden Quellen verwenden In diesen F llen erfordert apt get eine zus tzliche Best tigung Dies wird ver hindert wenn Release und Release gpg Dateien in den Debian fremden Que
266. ig sein wollen sollten Sie Apt mitteilen dass es dem Schl ssel nur vertrauen darf wenn es einen passenden Pfad gefun den hat S gpg export a 2D230C5F sudo apt key add ok Der aktuelle Schl ssel ist mit dem vorhergehenden Archivschl ssel unterschrieben so dass Sie theoretisch auf Ihrem alten Vertrauen aufbauen k nnen Kapitel 7 Die Infrastruktur f r Sicherheit in Debian 153 Der j hrliche Austausch des Archivschl ssels von Debian Wie schon oben erw hnt wird der Schl ssel mit dem das Debian Archiv signiert wird jedes Jahr im Januar ausgetauscht Da Secure Apt noch jung ist haben wir noch nicht sehr viel Er fahrung damit und es gibt noch ein paar haarige Stellen Im Januar 2006 wurde ein neuer Schl ssel f r 2006 erstellt und die Release Datei wurde da mit unterschrieben Um aber zu vermeiden dass Systeme die noch den alten Schl ssel von 2005 verwenden nicht mehr korrekt arbeiten wurde die Release Datei auch mit dem alten Schl ssel unterschrieben Es war geplant dass Apt je nach dem verf gbaren Schl ssel eine der beiden Unterschriften akzeptieren w rde Aber es zeigte sich ein Fehler in Apt da es sich weigerte der Datei zu vertrauen wenn es nicht beide Schl ssel hatte und somit beide Un terschriften berpr fen konnte Dies wurde in der Version 0 6 43 1 ausgebessert Es gab auch Verwirrung dar ber wie der Schl ssel an Benutzer verteilt wird die bereits Secure Apt auf ihrem System laufen lassen Am A
267. im Paket ca certificates Dieses Paket stellt eine zentrale Sammelstelle f r Zertifikate dar die an Debian bermittelt und vom Paketver walter gebilligt das hei t verifiziert wurden Sie k nnen f r alle OpenSSL Anwendungen die SSL Verbindungen verifizieren n tzlich sein FIXME read debian devel to see if there was something added to this 8 8 Antiviren Programme Es gibt nicht viele Antiviren Programme in Debian wahrscheinlich weil die Benutzer von GNU Linux nicht von Viren betroffen sind Das Sicherheitsmodell von Unix trifft eine Unter scheidung zwischen privilegierten Prozessen Root und den Prozessen der Benutzer Daher kann ein feindliches Programm das ein Benutzer empf ngt oder erstellt und dann ausf hrt nicht das System infizieren oder daran Ver nderungen vornehmen Es existieren dennoch W rmer und Viren f r GNU Linux auch wenn es bisher keinen Virus gab der sich im Freien weit ber eine Debian Distribution verbreitet hat Wie dem auch sei Administratoren sollten vielleicht Antiviren Gateways aufbauen um verwundbarere Systeme in ihrem Netzwerk vor Viren zu sch tzen Debian GNU Linux bietet derzeit die folgenden Werkzeuge zum Erstellen von Antiviren Umgebungen an e Clam Antivirus http www clamav net das in Debian Sarge der aktuellen 3 1 Ver offentlichung enthalten ist Es sind Pakete sowohl fiir den Virusscanner clamav des Scanner Daemons clamav daemon als auch f r die Daten die
268. in the system Including a no te regarding Perl and why it cannot be easily removed in Debian The idea came after reading Intersect s documents regarding Linux hardening e Added information on lvm and journaling filesystems ext3 recommended The informa tion there might be too generic however e Added a link to the online text version check e Added some more stuff to the information on firewalling the local system triggered by a comment made by Hubert Chan in the mailing list e Added more information on PAM limits and pointers to Kurt Seifried s documents re lated to a post by him to Bugtrag on April 4th 2002 answering a person that had disco vered a vulnerability in Debian GNU Linux related to resource starvation e As suggested by Juli n Mu oz provided more information on the default Debian umask and what a user can access if he has been given a shell in the system scary huh Kapitel 1 Einleitung 17 e Included a note in the BIOS password section due to a comment from from Andreas Wohlfeld Included patches provided by Alfred E Heggestad fixing many of the typos still present in the document e Added a pointer to the changelog in the Credits section since most people who contribute are listed here and not there e Added a few more notes to the chattr section and a new section after installation talking about system snapshots Both ideas were contributed by Kurt Pomeroy e Added a new section af
269. ine R ckeinbindung des IPSEC Codes aus 2 5 Kommentar dazu Die folgenden Sicherheitspatches f r den Kernel sind nur noch f r alte Kernelversionen in Woody verf gbar und werden nicht mehr weiterentwickelt e POSIX Access Control Lists http acl bestbits at ACLs Listen zur Zugangs kontrolle f r Linux im Paket kernel patch acl Dieser Kernelpatch stellt Listen zur Zugangskontrolle zur Verf gung Das ist eine fortgeschrittene Methode um den Zugang zu Dateien einzuschr nken Es erm glicht Ihnen den Zugang zu Dateien und Verzeich nisses fein abzustimmen e Der Patch f r den Linux Kernel Openwall http www openwall com linux von Solar Designer der im Paket kernel patch 2 2 18 openwall enthalten ist Er enth lt eine n tzliche Anzahl von Beschr nkungen des Kernels wie eingeschr nkte Ver weise FIFOs in tmp ein begrenztes proc Dateisystem besondere Handhabung von Dateideskriptoren einen nichtausf hrbaren Bereich des Stapelspeichers des Nutzers und andere F higkeiten Hinweis Dieser Patch ist nur auf die Kernelversion 2 2 anwendbar f r 2 4 werden von Solar keine Pakete angeboten e kernel patch int Auch dieser Patch f gt kryptographische F higkeiten zum Linux Kernel hinzu Er war bis zu den Debian Releases bis Potato n tzlich Er funktioniert nicht mehr mit Woody Falls Sie Sarge oder eine neuere Version verwenden sollten Sie einen aktuelleren Kernel einsetzen in dem diese Features bereits enthalten sind Wie
270. ing die unter SETUID Root l uft und verbesser te Sicherheit hat siehe den Artikel von Lance Spitzner weiter unten e Nat rlich alle Daemons die Sie auf dem falschen Honigtopfserver verwenden wollen Je nachdem welche Art von Angreifer Sie analysieren wollen k nnen Sie den Honigtopf abh rten und die Sicherheitsaktualisierungen einspielen oder eben nicht e Integrit tspr fer siehe Pr fung der Integrit t des Dateisystems auf Seite 85 und das Coroner s Toolkit t ct um nach dem Angriff eine Analyse durchzuf hren e honeyd und farpd um einen Honigtopf einzurichten der auf Verbindungen zu unge nutzten IP Adressen lauscht und diese an Skripte weiterleitet die echte Dienste simulie ren Sehen Sie sich auch iisemulator an e tinyhoneypot um einen einfachen Honigtopf Server mit gef lschten Diensten einzu richten Falls Sie kein System brig haben um die Honigt pfe und Systeme die das Netzwerk sch tzen und kontrollieren zu bauen k nnen Sie die Technologie zur Virtualisierung einsetzen die in xen oder uml User Mode Linux enthalten ist Wenn Sie diesen Weg w hlen m ssen Sie Ihren Kernel entweder mit kernel patch xen oder kernel patch uml patchen Sie k nnen mehr ber das Aufstellen eines Honigtopfs in Lanze Spitzners exzellentem Artikel To Build a Honeypot http www net security org text articles spitzner honeypot shtml aus der Know your Enemy Serie Au erdem stellt das Honeynet Pro ject htt
271. inux Informationen Die meisten Sicher heitshinweise f r Unix Systeme sind auch auf Debian anwendbar So wird Dienst X unter Debian in den meisten F llen wie in einer anderen Linux Distribution oder Un x was das betrifft abgesichert 12 1 7 Wie kann ich die Banner der Dienste entfernen Wenn Sie z B nicht wollen dass Nutzer sich mit Ihrem POP3 Daemon verbinden und dadurch Informationen ber Ihr System erlangen sollten Sie das Banner das der Dienst den Nutzern zeigt entfernen oder ver ndern Wie Sie das anstellen k nnen h ngt von der Software ab mit der Sie einen bestimmten Dienst betreiben F r post fix stellen Sie beispielsweise das SMTP Banner in etc postfix main cf ein smtpd_banner Smyhostname ESMIP mail_name Debian GNU Andere Software kann nicht so leicht ver ndert werden ssh muss neu kompiliert werden um die angezeigte Version zu ndern Stellen Sie sicher dass sie nicht den ersten Teil des Ban ners SSH 2 0 entfernen da Clients ihn verwenden um die von Ihrem Paket unterst tzten Protokolle zu identifizieren 12 1 8 Sind alle Debian Pakete sicher Das Sicherheitsteam von Debian kann nicht alle Pakete aus Debian auf potenzielle Sicher heitsl cken hin analysieren da es einfach nicht genug Ressourcen gibt um f r das gesamte Projekt ein Quellcodeaudit durchzuf hren Allerdings profitiert Debian von den Quellcode Pr fungen durch die Originalautoren Beachten Sie dass das security by obscur
272. is based on v1 4 of the manual and might need to be updated e Schr nken Sie physischen Zugriff und Boot F higkeiten ein Setzen Sie ein BIOS Passwort Schalten Sie das Booten von Diskette CD ROM ab Setzen Sie ein LILO bzw GRUB Passwort etc lilo conf bzw boot grub menu 1st stellen Sie sicher dass die LILO oder GRUB Konfigurationen nicht einsehbar sind Verhindern Sie die Hintert r des Bootens von Diskette durch den MBR indem Sie den MBR berschreiben vielleicht nicht e Partitionierung Legen Sie Daten die von Nutzern geschrieben wurden Daten die nicht zum System geh ren und sich st ndig ndernde Laufzeitdaten auf eigenen getrennten Partitio nen ab Setzen Sie die Mount Optionen nosuid noexec nodev in etc fstab bei ext2 Partitionen wie zum Beispiel tmp e Passwort Hygiene und Login Sicherheit Wahlen Sie ein gutes Root Passwort Benutzen Sie Shadow und MD5 Passworter Kapitel B Checkliste der Konfiguration 228 Installieren und benutzen Sie PAM x F gen Sie die Unterst tzung von PAM MD5 hinzu und stellen Sie sicher allgemein gesprochen dass die Eintr ge in den etc pam d Dateien die Zugriff auf die Maschine gew hren das zweite Feld in der pam d Datei auf requisite oder required gesetzt haben ndern Sie etc pam d login so dass nur lokale Root Logins erlaubt wer den Markieren Sie au erdem au
273. isch ffentliche Schl ssel holen die sich nicht schon in Ihrem ffentli chen Schl sselbund befinden Um beispielsweise gnupg so einzurichten dass es den oben genannten Key Server verwendet m ssen Sie die Datei gnupg options bearbeiten und folgende Zeile hinzuf gen id keyserver wwwkeys pgp net Die meisten Key Server sind miteinander verbunden Wenn Sie also Ihren ffentlichen Schl s sel einem hinzuf gen wird er an alle anderen Key Server weitergereicht Da w re auch noch das Debian GNU Linux Paket debian keyring das die ffentlichen Schl ssel aller Debian Entwickler enth lt Der Schl sselbund von gnupg wird in usr share keyrings instal liert Weitere Informationen e GnuPG FAQ http www gnupg org faq html e Das GNU Handbuch zum Schutze der Privatsph re http www gnupg org gph de manual index html e Gnu Privacy Guard GnuPG Mini Howto http www dewinter com gnupg_ howto german GPGMiniHowto html e comp security pgp FAQ http www uk pgp net pgpnet pgp faq e Keysigning Party HOWTO http www cryptnet net fdp crypto gpg party gpg party de html Weitere Beispiele wie Sie gnupg konfigurieren k nnen finden Sie in usr share doc mutt examples gpg rc Kapitel 8 Sicherheitswerkzeuge in Debian 172 173 Kapitel 9 Der gute Umgang von Entwicklern mit der Sicherheit des OS Dieses Kapitel handelt von einigen der anerkannten Vorgehensweisen wenn Entwickler Pa ket
274. ischerweise zu Sicherheitsproblemen f hren sind insbeson dere Puffer berl ufe http de wikipedia org wiki Puffer C3 BCberlauf Format String berl ufe Heap berl ufe und Integer berl ufe in C C Programmen vor bergehende Symlink Schwachstellen http de wikipedia org wiki Kapitel 9 Der gute Umgang von Entwicklern mit der Sicherheit des OS 174 Symlink Schwachstelle in Skripten Directory Traversal http de wikipedia org wiki Directory_Traversal die Einschleusung von Befehlen auf Servern und Cross Site Scripting http de wikipedia org wiki Cross Site_Scripting sowie SOL Injektionen http de wikipedia org wiki SQL Injektion bei web orientierten Anwendungen Eine ausf hrliche Liste von Sicherheitsfehlern finden Sie in For tifys Taxonomy of Software Security Errors http vulncat fortifysoftware com Einige dieser Probleme k nnen Sie nur erkennen wenn Sie ein Experte in der verwendeten Programmiersprache sind Aber andere k nnen leicht entdeckt und behoben werden Zum Beispiel kann eine Symlink Schwachstelle auf Grund einer falschen Verwendung von tempo r ren Verzeichnissen ohne Weiteres entdeckt werden indem Sie grep r tmp aus f hren Diese Verweise sollten berpr ft werden und fest einprogrammierte Dateinamen in tempor ren Verzeichnissen in Shell Skripten mit mktemp oder tempfile in Perl Skripten mit File Temp 3per1 und in C C mit tmpfile 3 ersetzt werden Es ste
275. ist das System neu startet Dies sollte b se berraschungen verhindern wie wenn man den Kernel aktua lisiert und dann nach einem Reboot merkt dass die Netzwerkhardware nicht richtig erkannt oder konfiguriert wurde und man daher eine weite Strecke zur cklegen muss um das Sys tem wieder hoch zu bringen Nat rlich hilft es beim Debuggen von Reboot Problemen aus der Ferne wenn die serielle Konsole des Systems 6 mit einem Konsolen oder Terminalserver verbunden ist 4 3 nderungen im BIOS noch einmal Erinnern Sie sich an Setzen Sie ein Passwort im BIOS auf Seite 35 Nun jetzt sollten Sie nachdem Sie nicht mehr von austauschbaren Datentr gern booten m ssen die Standard BIOS Einstellung so um ndern dass es ausschlie lich von der Festplatte bootet Gehen Sie sicher dass Sie Ihr BIOS Passwort nicht verlieren oder Sie werden nicht mehr ins BIOS zur ckkehren k nnen um die Einstellung wieder zu ndern so dass Sie im Falle eines Festplattenfehlers Ihr System wiederherstellen k nnen indem Sie zum Beispiel eine CD ROM benutzen Eine andere weniger sichere aber bequemere M glichkeit ist es das BIOS so einzustellen dass es von der Festplatte bootet und nur falls dies fehlschl gt versucht von austauschbaren Datentr gern zu booten brigens wird dies oft so gemacht weil viele Leute ihr BIOS Passwort nur selten benutzen so dass sie es zu leicht vergessen 4 4 Ein Passwort f r LILO oder GRUB einstellen Jeder kann
276. ists debian org debian devel 2004 05 msg01156 html Unter Umst nden wird er als dh_adduser in debhelper enthalten sein Sehen Sie sich dazu 81967 http bugs debian org 81697 291177 http bugs debian org 291177 und 118787 http bugs debian org 118787 an Kapitel 9 Der gute Umgang von Entwicklern mit der Sicherheit des OS 178 if USERID getent passwd if n SUSERID t if SFIST_SYSTEM_U SUSERID le SCREATEDUSER cut f 3 d hen ID le SUSERID amp amp SLAST_SYSTEM_UID then echo n Remov deluser quie echo done fi fi fi Remove system group if n CREATEDGROUP server_group if n SFIST_USER_GID then if GROUPGID getent group CREATEDGROUP cut f 3 d if n SGROUPGID then if SFIST_USER_GID gt SGROUPGID then echo n Removing SCREATEDGROUP group delgroup only if empty CREATEDGROUP true echo done fi fi ET ing CREATEDUSER system user t SCREATEDUSER true ecessary FIRST_USER_GID grep USERS_GID etc adduser conf cut f A e r then Wenn ein Programm unter einem Benutzer mit beschr nkten Rechten l uft wird sicherge stellt dass Sicherheitsprobleme nicht das gesamte System besch digen k nnen Dieses Vorge hen beachtet auch das Prinzip der geringst m glichen Privilegien Denken Sie daran dass Sie die Rechte eines Programms auch noch durch an
277. itel 1 Einleitung 7 e Mehr Informationen ber Icap die sich auf die README Datei des Pakets st tzen gut die Datei ist noch nicht vorhaben vergleiche Bug 169465 http bugs debian org cgi bin bugreport cgi bug 169465 und diesen Artikel von LWN Kernel development http lwn net 1999 1202 kernel php3 e F ge Colins Artikel hinzu wie man eine Chroot Umgebung f r ein komplettes Sid System aufsetzt http people debian org walters chroot html e Informationen dar ber wie man mehrere snort Sensoren in einem System betreibt be achte die Fehlerberichte zu snort Informationen wie man einen Honigtopf honeypot einrichtet honeyd e Darstellung der Situation von FreeSwan verwaist und OpenSwan Der Abschnitt ber VPN muss tiberarbeitet werden e F ge einen gesonderten Abschnitt ber Datenbanken hinzu ihre Standardwerte und wie man den Zugriff absichert e F ge einen Abschnitt ber den Nutzen von virtuellen Servern wie Xen u a hinzu e Erkl re wie Programme zur berpr fung der Integrit t verwendet werden AIDE inte grit oder samhain Die Grundlagen sind einfach und k nnten auch einige Verbesserun gen der Konfiguration enthalten 1 6 nderungs bersicht Changelog Geschichte 1 6 1 Version 3 10 November 2006 nderung von Javier Fern ndez Sanguino Pefia e Gab Beispiele wie rdepends von apt cache verwendet wird Wurde von Ozer Sarilar vorgeschlagen e Korrigierte den Verweis auf da
278. itionierung Was eine sinnvolle Partitionierung ist h ngt davon ab wie die Maschine benutzt wird Eine gute Faustregel ist mit Ihren Partitionen eher gro z gig zu sein und die folgenden Faktoren zu ber cksichtigen e Jeder Verzeichnisbaum auf den ein Nutzer Schreibzugriff hat wie zum Beispiel home tmp und var tmp sollte auf einer separaten Partition liegen Dies reduziert das Risi ko eines DoS durch einen Nutzer indem er Ihren Mountpoint vollschreibt und so das Kapitel 3 Vor und w hrend der Installation 36 gesamte System unbenutzbar macht Au erdem verhindert dieses Vorgehen Hardlink Angriffe e Au erdem sollte jeder Verzeichnisbaum dessen Gr e schwanken kann zum Beispiel var insbesondere var 1og eine separate Partition bekommen Auf einem Debian System sollten Sie der var Partition etwas mehr Platz als auf anderen Systemen geben da heruntergeladene Pakete der Zwischenspeicher von apt unter var cache apt archives gespeichert werden e Jeder Teil in dem Sie Nicht Distributions Software installieren wollen sollte eine sepa rate Partition erhalten Nach dem File Hierarchy Standard w ren dies opt oder usr local Wenn dies separate Partitionen sind werden sie nicht gel scht falls Sie einmal Ihr Debian neu installieren m ssen e Rein sicherheitstechnisch ist es sinnvoll zu versuchen statische Daten auf eine eigene Partition zu legen und diese dann als nur lesbar einzuh ngen mounten
279. its aufgrund seiner Priorit t installiert sein Wenn Sie ein Debian 3 0 oder 3 1 System installiert haben der Standard Kernel ist 2 4 so verf gen Sie auch ber die iptables netfilter Firewall Der Hauptunterschied zwischen ipchains und iptables ist dass letzteres auf stateful packet inspection zustandsbehaftete Paketuntersuchung beruht so dass Ihnen sicherere und einfacher zu erstellende Filterkonfigurationen zur Verf gung ste hen 5 14 1 Firewallen des lokalen Systems Sie k nnen eine Firewall dazu benutzen den Zugriff auf Ihr lokales System abzusichern und sogar um die Kommunikation von ihm nach Au en zu beschr nken Firewall Regeln k nnen auch dazu benutzt werden Prozesse zu sichern die nicht vern nftig konfiguriert werden k n nen um Dienste nicht einigen Netzwerken IP Adressen etc zur Verf gung zu stellen Dieser Schritt ist aber haupts chlich deshalb als letzter in dieser Anleitung weil es viel besser ist sich nicht alleine auf die F higkeiten der Firewall zu verlassen um ein System zu sch tzen Die Sicherheit eines Systems setzt sich aus mehreren Ebenen zusammen eine Firewall sollte die letzte sein wenn bereits alle Dienste abgeh rtet worden sind Sie k nnen sich sicherlich leicht eine Konfiguration vorstellen bei der ein System lediglich von einer eingebauten Fire wall gesch tzt wird und der Administrator gl ckselig die Firewall Regeln aus irgendwelchen Gr nden Probleme mit dem Setup Verdruss D
280. itte ein um festzustellen ob das System kompromittiert wurde siehe Nach einer Kompromittierung Reaktion auf einem Vorfall auf Seite 195 Beachten Sie auch dass Spuren des Angriffs in den Logs mitunter bedeuten dass Ihr System hierf r bereits angreifbar sind ein entschlossener Angreifer k nnte brigens auch andere Angriffe als die von Ihnen beobachteten durchgef hrt haben 12 2 3 Ich habe in meinen Logs merkw rdige MARK Eintr ige gefunden Wurde ich gehackt Sie k nnen die folgenden Zeilen in Ihren System Logs finden Dec 30 07 33 36 debian MARK Dec 30 07 53 36 debian MARK Dec 30 08 13 36 debian MARK Dies stellt keinen Hinweis auf eine Kompromittierung dar obwohl Nutzer die von einer Debian Release wechseln es vielleicht merkw rdig finden Wenn Ihr System keine gro e Last oder nicht viele aktive Dienste hat k nnen diese Zeilen in alle Logs auftauchen Dies ist ein Hinweis dass Ihr syslogd Daemon richtig l uft Aus syslogd 8 Kapitel 12 H ufig gestellte Fragen Frequently asked Questions FAQ 214 m interval Der Syslogd protokolliert regelm ig einen Zeitstempel Der voreingestellte Abstand zwischen zwei MARK Zeilen ist 20 Minuten Er kann mit dieser Option ge ndert werden Setzen Sie den Abstand auf Null um die Zeitstempel komplett abzuschalten 12 2 4 Ich habe Nutzer gefunden die laut meinen Logfiles su benutzen Bin ich kompromittiert S
281. ity ist und daher auf lange Sicht gesehen wahrscheinlich nicht der M he wert ist Kapitel 12 H ufig gestellte Fragen Frequently asked Questions FAQ 203 Tats chlich k nnte ein Debian Entwickler in einem Paket einen Trojaner verbreiten und es gibt keine M glichkeit das nachzupr fen Sogar wenn es in einen Zweig von Debian einge f hrt werden w rde w re es unm glich alle m glichen Situationen abzudecken in denen der Trojaner ausgef hrt werden w rde Das ist der Grund warum Debian eine Keine Gew hr leistung Klausel in seiner Lizenz hat Allerdings k nnen Debian Benutzer insofern Vertrauen fassen dass der stabile Quellcode ei ne breite Pr fung hinter sich hat Die meisten Probleme w rden dabei durch Benutzung ent deckt Es ist zu empfehlen ungetestete Software auf kritischen Systemen zu installieren wenn Sie nicht die notwendige Code Pr fung vornehmen k nnen In jedem Fall gew hrleistet der Aufnahmeprozess in die Distribution mit digitalen Signaturen dass im Falle von in die Dis tribution eingeschleusten Sicherheitsproblemen das Problem letztendlich zum Entwickler zu r ckgef hrt werden kann Das Debian Projekt hat diese Angelegenheiten nie auf die leichte Schulter genommen 12 1 9 Warum sind einige Log und Konfigurationsdateien f r die Welt lesbar Ist das nicht unsicher Nat rlich k nnen Sie die Standardrecht von Debian auf Ihrem System ab ndern Der aktuelle Grundsatz in Bezug auf Log und K
282. jeden Fall gewarnt dass selbst diese Umgehungen des Problems nicht vor Puf fer berl ufen sch tzen k nnen da es M glichkeiten gibt diese zu berlisten wie in Ausgabe 58 http packetstorm linuxsecurity com mag phrack phrack58 tar gz des phrack Magazins oder in COREs Advisory Multiple vulnerabilities in stack smashing protec tion technologies http online securityfocus com archive 1 269246 beschrie ben Wenn Sie Ihren Schutz gegen Puffer berl ufe unabh ngig von der gew hlten Methode testen wollen k nnen Sie paxtest installieren und die angebotenen Tests laufen lassen 4 15 1 Kernelpatch zum Schutz vor Puffer berl ufen Ein Kernelpatch der Schutz vor Puffer berl ufen bietet ist der Openwall Patch der diese im Linux Kernel 2 2 verhindern soll F r 2 4 oder neuere Kernel m ssen Sie die Umsetzung von Exec Shield oder die von PaX ist im Grsecurity Patch kernel patch 2 4 grsecurity und im Adamantix Patch kernel patch adamantix enthalten benutzen F r weitere In formationen zum Einsatz dieser Patches lesen Sie den Abschnitt Den Kernel patchen auf Sei te 78 Kapitel 4 Nach der Installation 82 4 15 2 Schutz durch libsafe Es ist ziemlich einfach ein Debian GNU Linux System mit libsafe zu sch tzen Sie m s sen nur das Paket installieren und Ja sagen damit die Bibliothek global geladen wird Seien Sie dennoch vorsichtig da das Software unbrauchbar machen kann besonders Programme die mit der alten 1ib
283. kernel patch freeswan Wenn Sie das IPsec Protokoll mit Linux verwenden wollen brauchen Sie diesen Patch Damit k nnen Beachten Sie dass ein Konflikt zwischen diesem Patch und den Patches besteht die schon im Quellpaket des Kernels 2 4 von Debian enthalten sind Sie werden den Vanilla Kernel verwenden m ssen Dazu f hren Sie folgende Schritte durch apt get install kernel source 2 4 22 kernel patch debian 2 4 22 tar xj usr src kernel source 2 4 22 tar bz2 cd kernel source 2 4 22 usr src kernel patches al1 2 4 22 unpatch debian Fiir weitere Informationen siehe 194225 http bugs debian org 194225 199519 http pugs debian org 199519 206458 http bugs debian org 206458 203759 http pugs debian org 203759 204424 http bugs debian org 204424 210762 http bugs debian org 210762 211213 http bugs debian org 211213 und die Diskussion auf debian devel nttp lists debian org debian devel 2003 debian devel 200309 msg01133 html Kapitel 4 Nach der Installation 80 Sie ziemlich leicht VPNs erstellen sogar mit Windows Rechnern da IPsec ein verbreite ter Standard ist IPsec F higkeiten wurden in den Entwicklungskernel 2 5 eingef gt so dass dieses Feature standardm ig im zuk nftigen Kernel 2 6 enthalten sein wird Ho mepage http www freeswan org Hinweis Die Verwendung von FreeSwan wur de zugunsten von OpenSwan aufgegeben FIXME Der neuste Kernel 2 4 in Debian ent h lt e
284. kommen so dass es immer eine nachpr fbare Spur gibt Sie m ssen die folgende Zeile zu Ihrer etc security access conf hinzuf gen die De bians Standardkonfigurationsdatei hat ein Beispiel auskommentiert wheel ALL EXCEPT LOCAL Kapitel 4 Nach der Installation 66 Vergessen Sie nicht in etc pam d das pam_access Module f r jeden Dienst oder je de Standardkonfiguration anzuschalten wenn Sie wollen dass Ihre Anderungen an etc security access conf ber cksichtigt werden 4 11 8 Den Nutzerzugang einschr nken Manchmal werden Sie vielleicht denken dass Sie einen Nutzer auf Ihrem System erstellen m ssen um einen bestimmten Dienst pop3 E Mail Server oder ftp anzubieten Bevor Sie dies tun erinnern Sie sich zuerst daran dass die PAM Implementierung in Debian GNU Linux Ihnen erlaubt Nutzer mit einer breiten Auswahl von externen Verzeichnisdiensten radius ldap etc zu best tigen Dies wird vom libpam Paket bewerkstelligt Wenn Sie einen Nutzer anlegen m ssen und auf Ihr System aus der Ferne zugegriffen wer den kann beachten Sie dass es Nutzern m glich sein wird sich einzuloggen Sie k nnen dies beheben indem Sie diesen Nutzern eine Null dev null als Shell sie m sste in etc shells aufgelistet sein zuweisen Wenn Sie den Nutzern erlauben wollen auf das System zuzugreifen aber ihre Bewegungen einschr nken wollen k nnen Sie bin rbash benutzen Dies hat das gleiche Ergebnis wie wenn Sie die r Option
285. l F higkeiten zu entziehen Zum Beispiel k nnen Sie aus dem Kernel vollst ndig die F higkeit von ladbaren Kernel Modulen entfernen Beachten Sie allerdings dass es Root Kits gibt die selbst in diesen F llen funktionieren Es gibt auch welche die direkt dev kmem Kernelspeicher manipulieren um sich zu verstecken Debian GNU Linux hat ein paar Pakete die dazu verwendet werden k nnen eine aktive Ver teidigung aufzusetzen e lcap eine benutzerfreundliche Schnittstelle um dem Kernel F higkeiten zu entziehen kernelbasierte Zugriffskontrolle um das System sicherer zu machen Beispielsweise wird das Ausf hren von lcap CAP_SYS_MODULE die F higkeit der ladbaren Modu le entfernen sogar f r Root Weitere etwas ltere Informationen zu Kernelf higkei ten finden Sie in Jon Corbets Abschnitt Kernel development http 1wn net 1999 1202 kernel php3 auf LWN vom Dezember 1999 Wenn Sie diese vielen M glichkeiten auf Ihrem GNU Linux System nicht wirklich brauchen sollten Sie die Unterst tzung f r ladbare Module w hrend der Konfiguration des Kernels ab schalten Das erreichen Sie indem Sie einfach CONFIG_MODULES n w hrend des Konfigu ration Ihres Kernels oder in der Datei config festsetzen So werden LKM Root Kits vermie den aber Sie verlieren eine leistungsf hige Eigenschaft des Linux Kernels Au erdem kann das Abschalten der nachladbaren Module den Kernel berladen so dass die Unterst tzung ladbarer Module notwe
286. l patch 2 2 18 openwall http packages debian org kernel patch 2 2 18 openwall kernel patch freeswan kernel patch int e Details wie man unn tige Netzwerkdienste deaktiviert abgesehen von inetd dies ist teilweise Teil des Abh rtungsprozesses k nnte aber etwas ausgeweitet werden Informationen ber Passwort Rotation was sehr nah an grunds tzliche Regeln Policies herankommt e Policies und die Aufkl rung der Nutzer ber die Policy e Mehr ber tcpwrapper und wrapper im Allgemeinen e hosts equiv und andere wichtige Sicherheitsl cher e m gliche Probleme bei der Dateifreigabe wie Samba und NFS e suidmanager dpkg statoverrides e lpr und Iprng e Abschalten der GNOME IP Dinge Kapitel 1 Einleitung 6 e Erw hnen von pam_chroot siehe http liste debi n org debian security 2002 debian security 200205 msg00011 html und seine N tzlichkeit um Nutzer einzuschr nken Einf hrende Informationen in Verbin dung mit http online securityfocus com infocus 1575 pdmenu sind zum Beispiel bereits unter Debian verf gbar w hrend flash das nicht ist e Dar ber reden Dienste mit einer chroot Umgebung zu versehen mehr Informa tionen dazu unter http www linuxfocus org English January2002 article225 shtml http www nuclearelephant com papers chroot html und http www linuxsecurity com feature_stories feature_ story 909 Html e Programme erw hnen die Chroot Gef ngnisse chroot jails
287. laubt es Ihnen die Konfiguration f r jede Schnittstelle separat zu w hlen Ein Beispiel einer Konfiguration von etc sysctl conf die einige Netzwerkoptionen auf der Kernelebene absichert wird unten gezeigt Beachten Sie darin den Kommentar dass etc network options beim Ausf hren von etc init d networking dies ist in der Start sequenz nach procps einige Werte berschreiben k nnte wenn sich Werte in dieser Datei widersprechen etc sysctl conf Configuration file for setting system variables See sysctl conf 5 for information Also see the files under Documentation sysctl Documentation filesystems proc txt and Documentation networking ip sysctl txt in the kernel sources usr src kernel version if you have a kernel package installed for more information of the values that can be defined her S e e e OHH Be warned that etc init d procps is executed to set the following variables However after that etc init d networking sets some network options with builtin values These values may be overridden using etc network options e e e e H kernel domainname example com Kapitel 4 Nach der Installation 89 Additional settings adapted from the script contributed by Dariusz Puchala see below Ignore ICMP broadcasts net ipv4 icmp_echo_ignore_broadcasts 1 Ignore bogus ICMP errors net ipv4 icmp_ignore_bogus_error_responses 1
288. lgenden Dienstprogramme mit der Priorit t required oder important ein O e usr bin chkdupexe aus dem Paket util linux e e usr bin replay aus dem Paket bsdutils e e usr sbin cleanup info aus dem Paket dpkg e e usr sbin dpkg divert aus dem Paket dpkg e NS usr sbin dpkg statoverride aus dem Paket dpkg e e usr sbin install info aus dem Paket dpkg O e usr sbin update alternatives aus dem Paket dpkg o e usr sbin update rc daus dem Paket sysvinit o e usr bin grog aus dem Paket groff base usr sbin adduser aus dem Paket adduser e e e usr sbin debconf show aus dem Paket debconf Sie k nnen auf einem anderen System eine Paket Attrappe mit equivs erstellen Kapitel 3 Vor und w hrend der Installation 45 usr sbin usr sbin usr sbin usr sbin usr sbin usr sbin usr sbin usr sbin usr sbin usr sbin deluser aus dem Paket adduser dpkg preconfigure aus dem Paket debconf dpkg reconfigure aus dem Paket debconf exigrep aus dem Paket exim eximconfig aus dem Paket exim eximstats aus dem Paket exim exim upgrade to r3 aus dem Paket exim exiqsumm aus dem Paket exim keytab lilo aus dem Paket lilo loconfig aus dem Paket lilo Ju 1 usr sbin e H lo_find_mbr aus dem Paket lilo usr sbin usr sbin usr sbin syslogd listfiles aus dem Paket sysklogd syslog facility aus
289. lichung davon betroffen ist Wenn dies der Fall ist wird eine Ausbesserungen des Quellcodes vorgenommen Diese Ausbesserung schlie t manchmal ein dass Patches der Pro grammautoren zur ckportiert werden da das Originalprogramm gew hnlich eine Versionen weiter ist als das in Debian Nachdem die Ausbesserung getestet wurde werden neue Pakete Kapitel 7 Die Infrastruktur f r Sicherheit in Debian 138 vorbereitet und auf der Seite security debian org ver ffentlicht damit sie mit apt ab gerufen werden k nnen siehe Ausf hren von Sicherheitsupdates auf Seite 48 Zur gleichen Zeit wird eine Debian Sicherheits Ank ndigung DSA auf der Webseite ver ffentlicht und an ffentliche Mailinglisten einschlie lich debian security announce http lists debian org debian security announce und Bugtraq geschickt Einige andere h ufige Fragen zum Sicherheitsteam von Debian k nnen unter Fragen zum Sicherheitsteam von Debian auf Seite 217 gefunden werden 7 2 Debian Sicherheits Ank ndigungen Debian Sicherheits Ank ndigungen DSA werden erstellt sobald eine Sicherheitsl cke ent deckt wird die ein Debian Paket ber hrt Diese Anweisungen die von einem Mitglied des Sicherheitsteams signiert sind enthalten Informationen zu den betroffenen Versionen und den Orten der Aktualisierungen und ihrer MD5 Summen Die Informationen sind e Versionsnummer der Ausbesserung e Art des Problems Obes aus der Ferne oder lokal ausnutzb
290. llen zur Ver f gung stehen Die Release Datei kann mit apt ftparchive ist in apt utils 0 5 0 und sp ter enthalten erstellt werden die Release gpg ist nur die abgetrennte Signatur Beide k nnen mit folgender einfacher Prozedur erstellt werden rm f dists unstable Release apt ftparchive release dists unstable gt dists unstable Release gpg sign ba o dists unstable Release gpg dists unstable Release 7 4 5 Alternativer Entwurf zur Einzelsignierung von Paketen Dieser zus tzliche Entwurf jedes Paket einzeln zu signieren erlaubt es Pakete zu pr fen selbst wenn sie nicht mehr in irgendeiner Packages Datei erw hnt werden Und so k nnen auch Pakete von Dritten f r die es nie eine Packages Datei gab unter Debian installiert wer den Dies wird aber kein Standard werden Dieser Entwurf zur Paketsignierung kann mit debsig verify und debsigs umgesetzt wer den Diese beiden Pakete k nnen in einer deb Datei eingebettete Unterschriften erstellen und pr fen Debian hat bereits jetzt die M glichkeiten dies zu tun Aber es gibt keine Planung dieses Regelwerk oder hnliche Werkzeuge umzusetzen da nunmehr das Schema mit der Signierung des Archivs bevorzugt wird Die Werkzeuge werden dennoch f r Benutzer und Administratoren von Archiven zur Verf gung gestellt wenn sie diese Vorgehensweise bevor zugen Die aktuellen Versionen von dpkg seit 1 9 21 beinhalten einen Patch http lists debian org debian dpkg 2001 de
291. llieren Sie ein Debian Basis System ohne zus tzliche Pakete e Laden Sie notwendige Pakete siehe die Liste der installierten Pakete weiter unten ma nuell herunter und installieren Sie sie mit dpkg e Laden Sie ACID Analysis Console for Intrusion Databases Konsole zur Analyse f r Eindringling Datenbanken herunter und installieren Sie es ACID wird derzeit f r Debian im Paket acidlab geliefert Es stellt eine graphische WWW Schnittstelle zur Ausgabe von Snort zur Verf gung Es kann von http www cert org kb acid http acidlab sourceforge net oder http www andrew cmu edu rdanyliw snort heruntergeladen werden Sie sollten vielleicht auch das Snort Sta tistics HOWTO http www tldp org HOWTO Snort Statistics HOWTO index html lesen Dieses System sollte mit wenigstens zwei Netzwerk Schnittstellen ausgestattet sein Eine ver bunden mit einem Verwaltungs LAN um die Resultate abzufragen und das System zu verwal ten und eine ohne IP Adresse das an mit dem zu beobachtenden Abschnitt des Netzwerks verbunden ist Sie k nnen nicht die Standard Debian Datei etc network interfaces benutzen die nor malerweise dazu verwendet wird Netzwerkkarten zu konfigurieren da ifup und ifdown eine IP Adresse erwarten Benutzen stattdessen Sie einfach ifconfig eth0 up Abgesehen von der Standard Installation ben tigt acidlab unter anderem php4 und apache Laden Sie die folgenden Pakete herunter beachten Sie Die Versionen k nne
292. lls so stress so time so unix so unix_acct so gt pam_unix so unix_auth so gt pam_unix so unix_passwd so gt pam_unix so unix_session so gt pam_unix so userdb so _warn so n_wheel so start stop daemon dircolors install link mkfifo shred touch gt bin touch unlink libcrypto so 0 9 6 libdb3 so 3 gt libdb3 s0 3 0 2 libdb3 s0 3 0 2 x sbin share x x libz so 1 gt libz so 1 1 4 libz so 1 1 4 sshd locale es LC_MESSAGES fileutils mo libc mo sh utils mo LC TIME gt LC_MESSAGES zoneinfo Europe Madrid sshd Kapitel G Chroot Umgebung f r SSH 260 sshd pid 27 directories 733 files Bei Debian 3 1 m ssen Sie sicherstellen dass das Gef ngnis auch die Dateien f r PAM enth lt Falls es nicht schon make jail f r Sie erledigt hat m ssen Sie folgende Dateien in die Chroot Umgebung kopiert ls etc pam d common etc pam d common account etc pam d common password etc pam d common auth etc pam d common session G 2 3 Die Chroot Umgebung von Hand erstellen der schwierige Weg Es ist m glich eine Umgebung mit der Trial and Error Methode zu erstellen Dazu m ssen Sie die Traces und die Logdateien des sshd Servers berwachen um die notwendigen Dateien herauszufinden Die folgende Umgebung die von Jos Luis Led
293. lls verf gbar auch auf der Disket te gesichert werden muss so dass Sie es sp ter benutzen k nnen um die anderen Programme Ihres Systems zu pr fen f r den Fall dass md5sum oder shalsum einen Trojaner enthalten Wenn Sie aber sicher sein wollen dass Sie eine g ltige Kopie von md5sum verwenden sollten Sie eine statische Kopie von md5sum erstellen und diese verwenden damit wird verhindert dass eine manipulierte libc Bibliothek das Programm beeintr chtigt oder md5sum nur in einer sauberen Umgebung einsetzen die Sie etwa mit einer Rettungs CD ROM oder einer Live CD erzeugen k nnen damit wird verhindert dass ein manipulierter Kernel das Programm be einflusst Ich kann es nicht genug betonen Wenn Sie ein System haben in das eingebrochen wurde k nnen Sie den Ausgaben nicht vertrauen Sehen Sie sich auch Nach einer Kompro mittierung Reaktion auf einem Vorfall auf Seite 195 an Dieser Schnappschuss enth lt nicht die Dateien unterhalb von var lib dpkg info wo MD5 Summen installierter Pakete enthalten sind die Dateien enden mit md5sums Sie k n nen diese Informationen zus tzlich kopieren aber Sie sollten Folgendes beachten e die Dateien mit den MD5 Summen enthalten die MD5 Summen aller Dateien die ein Debian Paket enth lt nicht nur die der Systemprogramme Das hat zur Folge dass die se Datenbank viel gr er ist 5 MB statt 600 KB auf einem Debian GNU Linux System mit graphischen Subsystem und etwa 2 5 GB Software
294. llte X11Forwarding in etc ssh sshd_config auf yes gesetzt sein und das Paket xbase clients sollte installiert sein Letzteres liegt dar an dass der SSH Server usr X11R6 bin xauth bei Debian Unstable usr bin xauth verwendet wenn er das Pseudo X Display aufsetzt In den Zeiten von SSH sollten Sie die xhost basierte Zugriffskontrolle komplett ber Bord werfen Wenn Sie keinen X Zugriff von anderen Maschinen ben tigen ist es f r die Sicherheit am bes ten die Bindung auf dem TCP Port 6000 abzuschalten indem Sie einfach Folgendes eingeben startx nolisten tcp Kapitel 5 Absichern von Diensten die auf Ihrem System laufen 104 Dies ist das Standard Verhalten unter XFree 4 1 0 der Xserver aus Debian 3 0 und 3 1 Wenn Sie XFree 3 3 6 laufen lassen d h wenn Sie Debian 2 2 benutzen k nnen Sie etc X11 xinit xserverrc editieren damit Sie etwas erhalten wie bin sh exec usr bin X11 X dpi 100 nolisten tcp Wenn Sie XDM benutzen setzen Sie etc X11 xdm Xservers auf 0 local usr bin X11 X vt7 dpi 100 nolisten tcp Wenn Sie GDM benutzen stel len Sie sicher dass die Option DisallowTCP true in etc gdm gdm conf eingetragen ist was standardm ig unter Debian der Fall ist Dies wird grunds tzlich an jede X Befehlszeile nolisten tcp anh ngen r Sie k nnen au erdem die standardm ige Zeitgrenze f r die xscreensaver Bildschirmsperre setzen Auch wenn der Nutzer sie aufheben kann sollten Sie die Kon figura
295. ltering replaces ipchains fy Network packet filtering debugging NEW lt gt 802 1d Ethernet Bridging netfilter firewalling support NEW Passen Sie auf dass Sie dieses hier deaktiviert haben wenn Sie Firewall Regeln anwenden wollen Anderenfalls wird iptables nicht funktioniert Network packet filtering debugging NEW Anschlie end m ssen Sie die korrekten Optionen im Abschnitt IP Netfilter Configuration set zen Dann kompilieren und installieren Sie den Kernel Wenn Sie dies auf die Debian Art ma chen wollen installieren Sie kernel package und benutzen Sie make kpkg um ein ma geschneidertes Debian Kernelpaket zu erstellen das Sie mit dpkg auf Ihrem Server instal lieren k nnen Sobald der neue Kernel kompiliert und installiert ist m ssen Sie das Paket bridge utils installieren Wenn Sie diesen Schritt abgeschlossen haben k nnen Sie die Konfiguration Ihrer Bridge fer tigstellen Im n chsten Abschnitt werden Ihnen zwei verschiedene m gliche Konfigurationen einer Bridge vorgestellt Beide sind mit einer bersicht eines hypothetischen Netzwerks und den notwendigen Befehlen versehen Kapitel D Aufsetzen einer berbr ckenden Firewall bridge Firewall 238 D 1 Eine Bridge mit NAT und Firewall F higkeiten Die erste Konfigurationsm glichkeit benutzt die Bridge als Firewall mit Network Address Translation NAT bersetzung der Netzwerkadressen die einen Server und interne LAN Clienten sch tzt U
296. m Sie direkt etc inetd conf editieren aber Debian stellt Ihnen einen besseren Weg zur Verf gung update inetd was die Dienste auf eine Art herauskommentiert so dass sie leicht wieder eingeschaltet werden k nnen Sie k nnen den Telnet Daemon sehr leicht mit dem folgenden Kommando abschalten so dass die Konfigu rationsdateien angepasst und der Daemon neu gestartet wird usr sbin update inetd disable telnet Wenn Sie Dienste starten wollen aber nur auf bestimmten IP Adressen Ihres Systems m ssen Sie eventuell auf eine undokumentierte Funktion des inetd zur ckgreifen Austausch des Namens des Dienstes durch dienst ip Alternativ k nnen Sie einen Daemon wie xinetd benutzen 3 7 Installieren Sie m glichst wenig Software Debian bietet sehr viel Software an Debian 3 0 Woody enth lt sechs oder sieben je nach Archi tektur CDs mit Software und tausenden Paketen Debian 3 1 Sarge wird mit etwa 13 CD ROMs ausgeliefert werden Bei so viel Software selbst wenn Sie die Installation auf das Basis System reduzieren k nnten Sie auf Abwege geraten und mehr installieren als Sie wirklich ben ti gen Da Sie bereits wissen was Sie mit Ihrem System machen wollen oder etwa nicht sollten Sie nur Software installieren die Sie wirklich f r den Betrieb ben tigen Jedes unn tig installierte Programm k nnte von einem Nutzer der Ihr System kompromittieren will genutzt werden oder von einem externen Eindringling der Shell Zugriff
297. m umzugehen ist e Wenn es ein triviales Problem ist wie unsichere tempor re Dateien gibt es keine Not wendigkeit das Problem geheim zu halten und eine Ausbesserung sollte erstellt und ver ffentlicht werden e Wenn es sich um ein ernst zunehmendes Problem handelt aus der Ferne ausnutzbar M glichkeit Root Rechte zu bekommen ist es vorzugw rdig die Information mit an deren Linux Anbietern zu teilen und eine Ver ffentlichung zu koordinieren Das Sicher heitsteam hat Kontakte zu verschiedenen Organisationen und Individuen und kann das erledigen Wenn die Person die das Problem gemeldet hat darum bittet die Informationen nicht be kanntzugeben sollte das respektiert werden mit der offensichtlichen Ausnahme der Mittei lung an das Sicherheitsteam der Entwickler sollte sichergehen dass er dem Sicherheitsteam mitteilt dass die Informationen nicht bekanntgegeben werden sollen Beachten Sie dass in F llen der Geheimhaltung der Entwickler auch keine Ausbesserung nach Unstable oder sonst irgendwo hin hochladen darf da die nderungs bersicht f r Unstable ffentlich zug nglich ist Es gibt zwei Gr nde um Informationen zu ver ffentlichen selbst wenn um Geheimhalten gebeten wurde oder diese notwendig ist Das Problem ist schon zu lange bekannt oder es wurde ffentlich bekannt Erstellen eines Pakets Wenn ein neues Paket erstellt wird das ein Sicherheitsproblem l st ist die wichtigste Richt linie so wenige nd
298. mage boot 2 2 14 vmlinuz label Linux read only password hackmich restricted Gehen Sie danach sicher dass die Konfigurationsdatei nicht f r alle lesbar ist um zu ver hindern dass lokale Nutzer das Passwort lesen k nnen Haben Sie dies getan rufen Sie lilo auf Wenn Sie die restricted Zeile weglassen wird lilo immer nach dem Passwort fragen egal ob LILO Parameter bergeben wurden oder nicht Die Standard Zugriffsrechte auf etc 1ilo conf erlauben root das Lesen und Schreiben und der Gruppe von lilo conf ebenfalls root das Lesen Wenn Sie GRUB anstelle von LILO verwenden editieren Sie boot grub menu lst und f gen die folgenden zwei Zeilen am Anfang an dabei ersetzen Sie nat rlich hackmich mit dem vorgesehenen Passwort Dies verhindert dass Benutzer die Booteintr ge ver ndern k n nen timeout 3 legt eine Wartedauer von 3 Sekunden fest bevor grub den Standard Eintrag bootet timeout 3 password hackmich Um die Integrit t Ihres Passwortes zus tzlich abzusichern sollten Sie Ihr Passwort verschl s selt ablegen Das Dienstprogramm grub md5 crypt erzeugt ein gehashtes Passwort das kompatibel mit GRUBs Verschl sselungsalgorithmus MD5 ist Um grub mitzuteilen dass ein Passwort im MD5 Format verwendet wird benutzen Sie die folgende Anweisung timeout 3 password md5 1SarPydhOMSbIgEK jMWSkxeEuvElRah4 Der Parameter md5 wurde hinzugef gt um bei grub einen MD5 Authentifizierungsprozess zu erzwingen Das angegeb
299. malerweise auch andere Anbieter und Distributionen Pr fen Sie einfach den Debian specific yes no Abschnitt am Anfang jeder Anweisung DSA 12 1 3 Hat Debian irgendein Zertifikat f r Sicherheit Die kurze Antwort Nein Die lange Antwort Zertifikate kosten Geld besonders ein seri ses Sicherheitszertifikat Nie mand hat die Ressourcen aufgebracht um Debian GNU Linux beispielsweise mit irgendei nem Level des Common Criteria http niap nist gov cc scheme st zertifizieren zu lassen Wenn Sie daran interessiert sind eine GNU Linux Distribution mit Sicherheitszer tifikaten zu haben stellen Sie uns die Ressourcen zur Verf gung um dies m glich zu machen Es gibt im Moment mindestens zwei Linux Distributionen die mit verschiedenen EAL http en wikipedia org wiki Evaluation_Assurance_Level Levels zertifiziert sind Beachten Sie dass einige CC Tests im Linux Testing Project http 1tp sourceforge net vorhanden sind welche in Debian durch 1tp angeboten wird 12 14 Gibt es irgendein Abh rtungsprogramm f r Debian Ja Bastille Linux http www bastille linux org das sich urspr nglich an anderen Linux Distributionen Red Hat und Mandrake orientierte funktioniert derzeit auch mit De bian Es sind Ma nahmen eingeleitet um nderungen am Originalprogramm auch in das Debianpaket bastille einflie en zu lassen Manche Leute glauben jedoch dass ein Absicherungsprogramm nicht die Notwendigkeit einer guten Admini
300. mbenutzer erstellt kann er wieder in postrm entfernt werden wenn das Paket vollst ndig gel scht wird purge Dabei gibt es allerdings einen Nachteil Zum Bei spiel werden Dateien die von dem Benutzer des Daemons erstellt wurden benutzerlos und k nnen sp ter einem neuen Benutzer geh ren dem die gleiche UID zugewiesen wurde Da her ist nicht zwingend notwendig dass Benutzer beim vollst ndigen L schen eines Pakets entfernt werden Dies h ngt vielmehr vom jeweiligen Paket ab Im Zweifelsfall sollte der Ad ministrator gefragt werden mit debconf was passieren soll wenn ein Paket gel scht wird Sehen Sie sich folgenden Code an der zuvor erstellte Benutzer und Gruppen entfernt Dies geschieht aber nur dann wenn die UID im Bereich der dynamisch zugewiesenen System UIDs liegt und die GID einer Systemgruppe angeh rt case S1 in purge EE find first and last SYSTEM_UID numbers for LINE in grep SYSTEM_UID etc adduser conf grep v do case LINE in FIRST_SYSTEM_UID FIST_SYSTEM_UID echo SLINE cut f2 d fi vi LAST_SYSTEM_UID LAST_SYSTEM_UID echo LINE cut f2 d ri D I esac done Remove system account if necessary CREATEDUSER server_user if n SFIST_SYSTEM_UID amp amp n SLAST_SYSTEM_UID then interessante Diskussionen zu diesem Thema finden sich in http lists debian org debian mentors 2004 10 msg00338 html und http l
301. mit chmod ge ndert werden Um sie zu verwalten brauchen Sie zwei weitere Programme n mlich lsattr und chattr im Paket e2fsprogs Beachten Sie dass das bedeutet dass diese Attribute normalerweise bei einem Backup des Systems nicht gespeichert werden Wenn Sie also eines ver ndern k nnte es sich lohnen die aufeinander folgenden chatt r Befehle in einem Skript zu speichern damit Sie sie sp ter wieder zuweisen k nnen falls Sie ein Backup zur ckspielen m ssen Unter allen Attributen werden die zwei die f r die Erh hung der Sicherheit am bedeutendsten sind mit den Buchstaben i und a bezeichnet Sie k nnen nur vom Superuser vergeben oder entfernt werden e Das Attribut 1 immutable unver nderlich Eine Datei mit diesem Attribut kann we der ver ndert noch gel scht oder umbenannt werden nicht einmal vom Superuser Auch ein Link auf sie kann nicht angelegt werden e Das Attribut a append anf gen Dieses Attribut hat den gleichen Effekt f r das Attribut immutable allerdings mit der Ausnahme dass Sie immer noch die Datei im Anf gen Modus ffnen k nnen Das bedeutet dass Sie ihr immer noch Inhalt hinzuf gen aber den vorhanden Inhalt nicht ver ndern k nnen Dieses Attribut ist besonders f r die Protokolldateien n tzlich die unter var log gespeichert werden Beachten Sie aber dass sie durch Log Rotations Skripte manchmal verschoben werden Diese Attribute k nnen auch f r Verzeichnisse verg
302. mmen ist apt in der Lage zu verifizieren dass ein Paket aus einer bestimmten Ver ffentlichung stammt Dies ist zwar unflexibler als jedes Paket einzeln zu signieren kann aber auch mit den unten aufgef hrten Pl nen kombiniert werden Im Moment ist diese Vorgehensweise vollst ndig in apt 0 6 enthalten http lists debian org debian devel 2003 debian devel 200312 msg01986 html das nun im Testing und Unstable Zweig verf gbar ist weitere Informationen finden Sie unter Secure Apt auf dieser Seite Pakete die ein Frontend f r apt anbieten m ssen ver ndert werden um an diese neue F higkeit angepasst zu werden Das gilt f r aptitude das ver ndert http lists debian org debian devel 2005 03 msg02641 htm1 wurde um zu dieser Vorgehensweise zu passen Frontends die bekannterma en zurzeit mit dieser F higkeit umgehen k nnen sind aptitude und synaptic Die Signierung von Paketen wurde innerhalb des Debian Projekts ausf hrlich diskutiert Mehr Informationen hierzu finden Sie unter http www debian org News weekly 2001 8 und http www debian org News week1y 2000 11 7 4 2 Secure Apt Die Ver ffentlichung von apt 0 6 die in Testing im Moment Etch und in Unstable verf gbar ist enth lt apt secure auch als Secure Apt bekannt das ein Werkzeug ist mit dem ein Sys temadministrator die Integrit t von heruntergeladenen Paketen mit dem oben dargestellten Verfahren berpr fen kann Diese Ver ffentlichung enth lt d
303. n Shell auf Ihrem System oder sogar ein Einbrecher der das System durch einen Dienst kom promittierte oder ein au er Kontrolle geratener Daemon so viel CPU Speicher Stack etc benutzen wie das System zur Verf gung stellen kann Dieses Problem der berbeanspruchung von Ressourcen kann mit der Nutzung von PAM gel st werden Es gibt einen Weg Ressourcen Limits zu manchen Shells hinzuzuf gen zum Beispiel hatbash ulimit siehe bash 1 Aber da nicht alle die gleichen Limits zur Verf gung stellen und da der Nutzer seine Shell ndern kann siehe chsh 1 ist es besser die Limits in den PAM Modulen zu platzieren da diese unabh ngig von der verwendeten Shell Anwendung finden und auch PAM Module betreffen die nicht shellorientiert sind Ressourcen Limits werden vom Kernel verh ngt aber sie m ssen durch limits conf kon figuriert werden und die PAM Konfiguration der verschiedenen Dienste muss das passende PAM laden Sie k nnen herausfinden welche Dienste Limits durchsetzen indem Sie Folgendes ausf hren Kapitel 4 Nach der Installation 62 find etc pam d name dpkg xargs grep limits grep F r gew hnlich nehmen login ssh und die grafischen Sitzungsmanager gdm kdm und xdm Nutzerlimits in Anspruch aber Sie sollte dies auch in anderen Konfigurationsdateien f r PAM wie f r cron tun um zu verhindern dass Systemdaemonen alle Systemressourcen aufbrau chen Die konkreten Begrenzungen die Si
304. n Wenn nun jemand Root werden will ben tigt er zwei Logins So kann das Root Passwort nicht so leicht ausgetestet werden e Port 666 oder ListenAddress 192 168 0 1 666 Ver ndern Sie den Listen Port so dass ein Eindringling nicht wirklich sicher sein kann ob ein sshd Daemon l uft aber beachten Sie dass dies lediglich Sicherheit durch Ver schleierung ist e PermitEmptyPasswords no Nicht gesetzte Passw rter verspotten jegliche System Sicherheit e AllowUsers alex ref ich irgendwo Erlauben Sie nur bestimmten Nutzern sich via ssh auf der Maschine einzuloggen user host kann auch verwendet werden um einen bestimmten Benutzer user dazu zu zwingen nur von einem bestimmten Rechner host aus zuzugreifen Kapitel 5 Absichern von Diensten die auf Ihrem System laufen 99 e AllowGroups wheel admin Erlauben Sie nur bestimmten Gruppenmitgliedern sich via ssh auf der Maschine ein zuloggen AllowGroups und AllowUsers haben quivalente Verfahrensweisen um den Zugang zu der Maschine zu verwehren Es wird nicht berraschen dass es sich hierbei um DenyUsers und DenyGroups handelt e PasswordAuthentication yes Es ist allein Ihre Wahl was Sie hier eintragen Es ist sicherer Zugriff nur Nutzern zu erlauben die ssh Schl ssel in der ssh authorized_keys Datei haben Wenn Sie dies wollen setzen Sie es auf no e Schalten Sie jedwede Art der Authentifizierung ab die Sie nicht wirklich be n tigen zum Beis
305. n damit es in den Archiven installiert werden kann Sicherheitsrelevante Dateien werden nach ftp security debian org pub SecurityUploadQueue hochgeladen Wenn eine in die Sicherheitswarteschleife hochgeladene Datei akzeptiert wurde wird das Pa ket automatisch f r alle Architekturen neu erstellt und zur berpr fung durch das Sicherheits team abgelegt Nur das Sicherheitsteam kann auf hochgeladene Dateien die auf Annahme oder berpr fung warten zugreifen Das ist notwendig da es Ausbesserungen f r Sicherheitsprobleme geben k nnte die noch nicht offengelegt werden d rfen Wenn ein Mitglied des Sicherheitsteams ein Paket akzeptiert wird es auf security debian org und als passendes lt codename gt proposed updates auf ftp master oder im Non US Archiv in stalliert Kapitel 7 Die Infrastruktur f r Sicherheit in Debian 145 Die Sicherheitsank ndigung Sicherheitsank ndigungen werden vom Sicherheitsteam geschrieben und ver ffentlicht Al lerdings macht es ihnen gewiss nichts aus wenn ein Paketbetreuer den Text teilweise f r sie erstellt Informationen die in einer Anweisung enthalten seien sollten werden in Debian Sicherheits Ank ndigungen auf Seite 138 beschrieben 7 4 Paketsignierung in Debian Dieser Abschnitt k nnte auch mit Wie man sein Debian GNU Linux System sicher upgra ded aktualisiert berschrieben werden Es verdient haupts chlich deshalb einen eigenen Ab schnitt weil es einen wichti
306. n Debian angebotenen Mail Transport Agents testen und sehen welcher davon am besten auf Ihr System zuge schnitten ist 5 6 2 Anbieten von sicherem Zugang zu Mailboxen Wenn Sie entfernten Zugriff auf Mailboxen erlauben wollen gibt es eine Anzahl von m glichen POP3 und IMAP Daemonen Wenn Sie IMAP Zugriff anbieten beachten Sie jedoch dass es ein allgemeines Dateizugriffsprotokoll ist Es kann das quivalent zu einem Shell Zugang werden da Benutzer in der Lage sein k nnten Zugang zu beliebigen Dateien zu erhalten auf die sie durch ihn zugreifen k nnen Versuchen Sie beispielsweise server com etc passwd als Ihren Eingabepfad zu konfi gurieren Wenn dies gelingt ist Ihr IMAP Daemon nicht richtig konfiguriert um diese Art von Zugriff zu verhindern Unter den IMAP Servern in Debian vermeidet der cyrus Server im Paket cyrus imapd dies indem er den gesamten Zugriff zu einer Datenbasis in einem beschr nkten Teil des Dateisystems limitiert Auch uw imapd installieren Sie entweder das uw imapd oder besser wenn Ihre IMAP Clients es unterst tzen das uw imapd ss1 Paket kann konfiguriert wer den das Mailverzeichnis der Benutzer in ein Chroot Gef ngnis einzusperren dies ist jedoch nicht standardm ig aktiviert Die angebotene Dokumentation enth lt mehr Informationen wie man dies konfiguriert Es ist ebenso empfehlenswert einen IMAP Server laufen zu haben der keine neuen Benut zer im lokalen System erfordert dies w rd
307. n Sie Informationen des Vorfalls diskutieren wol len Dazu z hlen die Mailingliste f r Vorf lle http marc theaimsgroup com 1 incidents und die Mailingliste f r Einbr che http marc theaimsgroup com 1 intrusions 11 4 Forensische Analyse Wenn Sie mehr Informationen sammeln wollen enth lt das Paket tct The Coroner s Tool kit von Dan Farmer und Wietse Venema Werkzeuge f r eine post mortem Analyse des Sys tems tct erlaubt es dem Benutzer Informationen ber gel schte Dateien laufende Pro zesse und mehr zu sammeln Sehen Sie bitte f r weitere Informationen in die mitgeliefer te Dokumentation Diese und andere Werkzeuge k nnen auch auf Sleuthkit and Autopsy http www sleuthkit org von Brian Carrier welches ein Web Frontend zur foren sischen Analyse von Disk Images zur Verf gung stellt gefunden werden In Debian befindet sich sowohl sleuthkit die Werkzeuge und autopsy die grafische Oberfl che Dies ist eine Liste einiger CERTs Ein vollst ndige Liste erhalten Sie unter FIRST Member Team infor mation http www first org about organization teams index html FIRST ist das Forum von Incident Response and Security Teams AusCERT http www auscert org au Australien UNAM CERT http www unam cert unam mx Mexiko CERT Funet http www cert funet fi Finn land DFN CERT http www df n cert de Deutschland RUS CERT http cert uni stuttgart de Deutschland CERT IT http securi
308. n abh n gig von der verwendeten Debian Distribution variieren Diese sind aus Debian Woody vom September 2001 Kapitel C Aufsetzen eines autonomen IDS 232 ACID 0 9 5b9 tar gz adduser_3 39_all deb apache common_1 3 20 1_i386 deb apache_1 3 20 1_1386 deb debconf_0 9 77_all deb dialog_0 9a 20010527 1_i386 deb fileutils_4 1 2_i386 deb klogd_1 4 1 2_i386 deb libbz2 1 0_1 0 1 10_i386 deb libc6_2 2 3 6_i386 deb libdb2_2 7 7 8_i386 deb libdbd mysql per1_1 2216 2_1386 deb libdbi per1_1 18 1_1386 deb libexpat1_1 95 1 5_i386 deb libgdbmg1_1 7 3 27_1386 deb 1ibmm11_1 1 3 4_1386 deb libmysqlclient10_3 23 39 3_1386 deb libncurses5_5 2 20010318 2_1386 deb libpcap0_0 6 2 1_i386 deb libpcre3_3 4 1_i386 deb libreadline4_4 2 3_i386 deb libstdc 2 10 glibc2 2_2 95 4 0 010703_i386 deb logrotate_3 5 4 2_i386 deb nime support_3 11 1_all deb nysql common_3 23 39 3 1_all deb n mysql client_3 23 39 3_i386 deb n mysql server_3 23 39 3_i386 deb perl base_5 6 1 5_i386 deb perl modules_5 6 1 5_all deb per1_5 6 1 5_i1386 deb php4 mysql_4 0 6 4_i386 deb php4_4 0 6 1_i386 deb php4_4 0 6 4_i1386 deb snort_1 7 9_1386 deb sysklogd_1 4 1 2_i386 deb zliblg 1 1 3 15 1386 deb Installierte Pakete dpkg Ju ii ii ii ii ii ii adduser 3 39 ae 962 26 apache LB 220S apache common 1 3 20 apt 03 19 base config
309. n einem Mitentwickler verwenden Sie sind unter http people debian org jfs nessus verf gbar diese Versionen k nnen aber nicht so aktuelle sein wie die Versionen aus Unstable nikto ist ein Scanner zur Aufdeckung von Schwachstellen bei Webservern und kennt auch ei nige Anti IDS Taktiken die meisten davon sind keine Anti IDS Taktiken mehr Er ist einer der besten verf gbaren CGI Scanner zur Erkennung von WWW Servern und kann nur bestimmte Angriffe gegen ihn starten Die Datenbank die zum Scannen benutzt wird kann sehr leicht ge ndert werden um neue Informationen einzuf gen 8 2 Werkzeuge zum Scannen von Netzwerken Debian bietet Ihnen einige Werkzeuge zum Scannen von Hosts aber nicht zur Gefahrenab sch tzung Diese Programme werden in manchen F llen von Scannern zur Gefahrenabsch t zung zu einem ersten Angriff gegen entfernte Rechner genutzt um festzustellen welche Dienste angeboten werden Unter Debian sind im Moment verf gbar e nmap e xprobe e pOf e knocker e isic e hping2 e icmpush e nbtscan f r die Pr fung von NetBIOS e fragrouter e strobe aus dem Paket netdiag e irpas Kapitel 8 Sicherheitswerkzeuge in Debian 165 W hrend xprobe lediglich aus der Ferne das Betriebssystem erkennen kann indem es TCP IP Fingerabdr cke benutzt machen nmap und knocker beides das Betriebssystem er kennen und die Ports eines entfernten Rechners scannen Andererseits k nnen hping2 und icmpush f
310. n seinem Pa ket oder in einem anderen sollte er das immer dem Sicherheitsteam melden unter team security debian org Sie gehen ungel sten Sicherheitsproblemen nach k nnen Paket betreuern mit Sicherheitsproblemen helfen oder sie selber l sen sind f r den Versand von Sicherheitsank ndigungen verantwortlich und betreuen security debian org Beachten Sie bitte dass Sicherheitsank ndigungen nur f r ver ffentlichte Distributionen er teilt werden nicht f r Testing Unstable siehe Wie wird die Sicherheit f r Testing und Un stable gehandhabt auf Seite 219 und ltere Distributionen siehe Ich verwende eine ltere Version von Debian Wird sie vom Debian Sicherheitsteam unterst tzt auf Seite 219 Erkennen von Sicherheitsproblemen Es gibt einige M glichkeiten wie ein Entwickler von Sicherheitsproblemen erfahren kann Kapitel 7 Die Infrastruktur f r Sicherheit in Debian 143 e Er bemerkt sie in einem ffentlichem Forum Mailingliste Webseite etc e Jemand reicht einen Fehlerbericht ein Es sollte dann das Security Tag verwendet oder vom Entwickler hinzugef gt werden e Jemand informiert ihn in einer privaten E Mail In den ersten beiden F llen ist die Information ffentlich verf gbar und es ist daher wichtig dass eine Ausbesserung so schnell wie m glich vorhanden ist Im letzten Fall k nnte keine ffentliche Information vorliegen In diesem Fall gibt es ein paar M glichkeiten wie mit dem Proble
311. nappschuss Ihres Systems machen siehe Einen Schnappschuss des Systems erstel len auf Seite 94 4 1 Abonnement der Security Announce Mailingliste von Debian Um Informationen zu verf gbaren Sicherheitsaktualisierungen und die Debian Sicherheits Ank ndigungen DSA zu erhalten sollten Sie Debians Security Announce Mailingliste abon nieren Lesen Sie Das Sicherheitsteam von Debian auf Seite 137 f r weitere Informationen wie das Sicherheitsteam von Debian arbeitet Hinweise wie man die Mailinglisten von Debian abonniert finden Sie unter http lists debian org DSAs werden mit der Signatur des Sicherheitsteams von Debian unterschrieben die unter http security debian org erh ltlich ist Sie sollten in Betracht ziehen auch die debian security Mailingliste http lists debian org debian security zu abonnieren Dort finden allgemeine Diskussionen zu Sicherheitsthemen im Betriebssystem Debian statt Sie k nnen auf der Liste sowohl mit gleich gesinnten Systemadministratoren als auch mit Entwicklern von Debian und Programmautoren in Kontakt treten Diese werden Ihre Fragen beantworten und Ihnen Ratschl ge geben FIXME Add the key here too Kapitel 4 Nach der Installation 48 4 2 Ausf hren von Sicherheitsupdates Sobald neue Sicherheitsl cher in einem Paket entdeckt wurden reparieren sie Debians Paket betreuer und Originalautoren im Allgemeinen innerhalb von Tagen oder sogar Stunden Nach dem das Loch gestopft
312. nd Debian besitzt ein Werkzeug um zu berpr fen ob ein System aktualisiert werden muss siehe Tiger unten Viele Nutzer wollen aber einfach von Hand berpr fen ob Sicherheitsaktualisie rungen f r ihr System zur Verf gung stehen Wenn Sie Ihr System nach der Beschreibung unter Ausf hren von Sicherheitsupdates auf Seite 48 eingerichtet haben m ssen Sie nur Folgendes tun apt get update apt get upgrade s berpr fen der zu aktualisierenden Pakete apt get upgrade checkrestart Neustart der Dienste die neu gestartet werden m ssen Se SE Se e Weiter m ssen alle Dienste deren Bibliotheken aktualisiert wurden neu gestartet werden Be merkung Lesen Sie Ausf hren von Sicherheitsupdates auf Seite 48 f r weitere Informationen zu Bibliotheks und Kernel Aktualisierungen Die erste Zeile wird die Liste der verf gbaren Pakete von den festgelegten Paketquellen herun terladen Die Option s wird eine Simulation durchf hren d h es werden keine Pakete herun tergeladen oder installiert Vielmehr teilt es Ihnen mit welche heruntergeladen und installiert werden sollen Durch dieses Ergebnis k nnten Sie erfahren welche Pakete von Debian ausge bessert wurden und als Sicherheitsaktualisierung verf gbar sind Zum Beispiel apt get upgrade s Reading Package Lists Done Building Dependency Tree Done 2 packages upgraded 0 newly installed 0 to remove a
313. nd 0 not upgraded Inst cvs 1 11 1pldebian 8 1 Debian Security 3 0 stable Inst libcupsys2 1 1 14 4 4 Debian Security 3 0 stable Conf cvs 1 11 1pldebian 8 1 Debian Security 3 0 stable Conf libcupsys2 1 1 14 4 4 Debian Security 3 0 stable In diesem Beispiel k nnen Sie erkennen dass auf dem System cvs und cupsys mit neuen Ver sionen aus Woodys oder Sarges Sicherheitsarchiv aktualisiert werden m ssen Um herauszufin den warum eine Aktualisierung notwendig ist sollten Sie http security debian org besuchen und sich ansehen welche aktuellen Debian Sicherheits Ank ndigungen zu die sen Paketen ver ffentlicht wurden In unserem Fall sind die zugeh rigen DSA DSA 233 http www debian org security 2003 dsa 233 f r cvs und DSA 232 http www debian org security 2003 dsa 232 f r cupsys Es ist zu beachten dass der Rechner neugestartet werden muss wenn der Kernel aktualisiert wurde Kapitel 10 Vor der Kompromittierung 182 Automatisches berpr fung von Aktualisierungen mit cron apt Eine andere Methode f r automatische Sicherheitsaktualisierungen ist die Verwendung von cron apt Dieses Paket stellt ein Werkzeug zur Verf gung mit dem das System in regelm igen Abst nden mit einem Cronjob aktualisiert wird Standardm ig wird es die Paketliste aktualisieren und neue Pakete herunterladen Es kann auch so konfiguriert werden dass es Mails an den Systemadministrator schickt Hinweis
314. nd wer es erstellt hat bsign verwendet GPG elf sign benutzt PKI X 509 Zertifikate OpenSSL 4 17 4 Aufsetzen einer berpr fung von setuid Das Debian Paket checksecurity enth lt einen Cron Job der t glich in etc cron daily checksecurity ausgef hrt wird 7 Dieser Cron Job f hrt das Skript usr sbin checksecurity aus das Informationen ber nderungen sichert Das Standard Verhalten sendet diese Informationen nicht an den Superuser Stattdessen er stellt es eine t gliche Kopie dieser nderungen unter var log setuid changes Sie soll ten die Variable MAILTO in etc checksecurity conf auf root setzen damit diese Informationen an ihn gemailt werden Sehen Sie sich auch checksecurity 8 f r weitere Konfigurations Informationen an 4 18 Absicherung des Netzwerkzugangs FIXME Mehr f r Debian spezifischer Inhalt ben tigt In lteren Ver ffentlichungen war checksecurity in cron integriert und die Datei hie etc cron daily standard Kapitel 4 Nach der Installation 87 4 18 1 Konfiguration der Netzwerkf higkeiten des Kernels Viele F higkeiten des Kernels k nnen w hrend des Betriebs ver ndert werden indem etwas an das proc Dateisystem geschickt wird oder indem sysctl benutzt wird Wenn Sie sbin sysctl A eingeben k nnen Sie sehen was Sie einstellen k nnen und was die Optionen sind Ver nderungen werden vorgenommen indem sbin sysctl w variable value ausgef hrt wird vergleiche sysct1
315. ndig wird Reaktive Verteidigung Der Vorteil reaktiver Verteidigung ist dass sie die Systemressourcen nicht berl dt Sie funk tioniert durch das Vergleichen von einer Tabelle der Systemaufrufe mit einer bekannterma en 5Es gibt ber 28 F higkeiten einschlie lich CAP_BSET CAP_CHOWN CAP_FOWNER CAP_FSETID CAP_FS_MASK CAP_FULL_SET CAP_INIT_EFF_SET CAP_INIT_INH_SET CAP_IPC_LOCK CAP_IPC_OWNER CAP_KILL CAP_LEASE CAP_LINUX_IMMUTABLE CAP_MKNOD CAP_NET_ADMI CAP_NET_BIND_SERVICE CAP_NET_RAW CAP_SETGID CAP_SETPCAP CAP_SETUID CAP_SYS_ADMIN CAP_SYS_BOOT CAP_SYS_CHROOT CAP_SYS_MODULE CAP_SYS_NICE CAP_SYS_PACCT CAP_SYS_PTRACE CAP_SYS_RAWIO CAP_SYS_RESOURCE CAP_SYS_TIME und CAP_SYS_TTY_CONFIG Alle k nnen deaktiviert werden um Ihren Kernel abzuh rten Um dies tun zu k nnen m ssen Sie nicht 1cap installieren aber damit ist es einfacher als von Hand proc sys kernel cap bound anzupassen H Kapitel 10 Vor der Kompromittierung 191 sauberen Kopie System map Eine reaktive Verteidigung kann den Systemadministrator na t rlich nur benachrichtigen wenn das System bereits kompromittiert wurde Die Entdeckung von Root Kits vollbringt unter Debian chkrootkit Das Programm Chkroot kit http www chkrootkit org pr ft Anzeichen von bekannten Root Kits auf dem Zielsystem Es ist aber kein v llig sicherer Test
316. ne Optionen mit dem mount Befehl oder in etc fstab verwenden Dies ist zum Beispiel mein fstab Eintrag f r meine tmp Partition dev hda7 tmp ext2 defaults nosuid noexec nodev 0 Sie sehen den Unterschied in der Spalte mit den Optionen Die Option nosuid ignoriert kom plett alle setuid und setgid Bits w hrend noexec das Ausf hren von Programmen unterhalb des Einh ngepunkts verbietet und nodev Ger tedateien ignoriert Das h rt sich toll an aber e dies ist nur auf ext2 Dateisysteme anwendbar e kann leicht umgangen werden Die noexec Option die verhindert dass Binarys ausgef hrt werden k nnen lie e sich in fr heren Kernelversionen leicht umgehen alex joker tmp mount grep tmp dev hda7 on tmp type ext2 rw noexec nosuid nodev alex joker tmp date bash date Permission denied alex joker tmp lib ld linux so 2 date Sun Dec 3 17 49 23 CET 2000 Neuere Versionen des Kernels verarbeiten aber die Option noexec richtig angrist tmp mount grep tmp dev hda3 on tmp type ext3 rw noexec nosuid nodev angrist tmp date bash tmp Keine Berechtigung angrist tmp lib ld linux so 2 date date error while loading shared libraries date failed to map segment from shared object Operation not permitted Kapitel 4 Nach der Installation 57 Wie auch immer viele Skript Kiddies haben Exploits die versuchen eine Datei in tmp zu er stellen und auszuf hren Wenn sie keine
317. nen Schl ssel zu Apts Schl sselbund hinzuf gen lassen Sie Apt wissen dass es allem vertrauen soll was mit diesem Schl ssel signiert wurde Dadurch stellen Sie sicher dass Apt nichts installiert was nicht vom Inhaber des privaten Schl ssels signiert wurde Mit ausreichender Paranoia erkennen Sie aber dass dies das Problem nur um eine Stufe verla gert Anstatt sich nun darum Sorgen zu machen ob ein Paket oder eine Release Datei kor rekt ist m ssen Sie berpr fen ob Sie tats chlich den richtigen Schl ssel haben Ist die Datei http ftp master debian org ziyi_key_2006 asc die oben erw hnt wird wirk lich der Signierungsschl ssel des Debian Archivs oder wurde sie ver ndert oder wird gar in diesem Dokument gelogen Es ist gut in Sicherheitsfragen Vorsicht walten zu lassen Aber ab hier wird es schwieriger Dinge zu berpr fen gpg arbeitet mit dem Konzept der Kette des Vertrauens chain of trust die bei jemandem beginnt dem Sie vertrauen und der einen anderen Schl ssel unterschreibt usw bis Sie beim Schl ssel des Archivs sind Wenn Sie vorsichtig sind wollen Sie nachpr fen dass Ihr Archivschl ssel von einem Schl ssel unterschrieben wurde dem Sie vertrauen k nnen weil seine Kette des Vertrauens zu jemandem zur ckgeht den Sie pers nlich ken nen Dazu sollten Sie eine Debian Konferenz oder eine lokale LUG zum Unterschreiben der Schl ssel besuchen Wenn Sie diese Sicherheitsbedenken nicht teilen k nnen unte
318. nen nach bekannten Sicherheitsm ngeln f r Stable http security tracker debian net tracker status release stable Oldstable http security tracker debian net tracker status release oldstable Testing http security tracker debian net tracker status release testing oder Unstable http security tracker debian net tracker status release unstable suchen Der Tracker kann mittels einer Benutzerschnittstelle durchsucht werden nach CVE http cve mitre org Namen und dem Paketnamen Einige Werkzeuge wie zum Beispiel debsecan http packages debian org debsecan setzen diese Datenbank ein um auf Verwundbarkeiten des betreffenden Systems hinzuweisen die noch nicht ausgebessert wurden d h f r die eine Ausbesserung bevorsteht Sicherheitsbewusste Administratoren k nnen mit diesen Informationen feststellen welche Si cherheitsl cken das System das sie verwalten betreffen k nnten wie schwer das Risiko der L cke wiegt und ob vor bergehend Gegenma nahmen zu treffen sind falls m glich bis ein Patch verf gbar ist der das Problem l st Sicherheitsprobleme in Ver ffentlichungen die vom Sicherheitsteam von Debian unterst tzt werden sollten irgendwann in Debian Sicherheits Ank ndigungen DSA behandelt werden die allen Benutzern zur Verf gung gestellt werden vergleiche Fortlaufende Aktualisierung des Systems auf dieser Seite Sobald ein Sicherheitsproblem ausgebessert wurde und die L sung in einer Ank ndig
319. ner Domain einen Dienst anzubieten oder zu verweigern und standardm ig Zugriff zu erlauben oder zu ver weigern das alles wird auf der Anwendungsebene durchgef hrt Wenn Sie mehr Informatio nen haben m chten sehen Sie sich hosts_access 5 an Viele der unter Debian installierten Dienste e werden entweder durch den TCP Wrapper Service t cpd aufgerufen e oder wurden mit libwrapper Bibliothek fiir TCP Wrapper Unterst tzung kompiliert Einerseits werden Sie bei manchen Diensten einschlie lich telnet ftp netbios swat und finger die in etc inetd conf konfiguriert werden sehen dass die Konfigurati onsdatei zuerst usr sbin tcpd aufruft Andererseits selbst wenn ein Dienst nicht ber den inetd Superdaemon ausgef hrt wird kann die Unterst tzung von Tcp Wrapper ein kompiliert werden Dienste die unter Debian mit TCP Wrappern kompiliert wurden sind Kapitel 4 Nach der Installation 74 ssh portmap in talk rpc statd rpc mountd gdm oaf der GNOME Aktivierungs Daemon nessus und viele andere Um herauszufinden welche Pakete TCP Wrapper benutzen versuchen Sie Folgendes apt cache rdepends libwrap0 Beachten Sie bitte Folgendes wenn Sie tcpchk ein sehr n tzliches Programm zur ber pr fung der TCP Wrapper Konfiguration und Syntax laufen lassen Wenn Sie Stand Alone Dienste alleinstehende Dienste also solche die direkt mit der Wrapper Bibliothek verbunden sind der host deny oder ho
320. nere Herangehensweise als im Tigerskript check_signatures das die MD5 Summen von Programmen mit bekannten L cken testet Da Debian im Moment keine Liste der MD5 Summen von Programmen mit bekannten L cken liefert wie sie von anderen Betriebssystemen wie Sun Solaris verwendet wird wird die berpr fung der DSAs Herangehensweise verwendet Das Problem sowohl der Herangehens weise mit DSAs als auch der mit MD5 Summen ist dass die Signaturen regelm ig aktualisiert werden m ssen Im Moment wird das dadurch gel st indem einen neue Version des Tigerpakets erstellt wird Aber es steht nicht fest dass der Paketbetreuer jedes Mal eine neue Version erstellt wenn ein DSA bekannt gegeben wird Eine nette Erweiterung die aber noch nicht implementiert ist w re es wenn das eigenst ndig durchgef hrt wird Das umfasst dass die DSAs aus dem Netz heruntergeladen werden eine Liste erstellt wird und dann die Pr fung durchgef hrt wird Die DSAs werden im Moment aus der lokalen CVS Aktualisierung der WML Quellen des Betreu ers aktualisiert die dazu verwendet werden http security debian org der Webser ver zu erstellen Ein Programm w re w nschenswert das die DSAs die per E Mail empfangen wurden oder auf security debian org verf gbar sind analysiert und dann die Datei erstellt die von Kapitel 10 Vor der Kompromittierung 183 deb_checkadvisories verwendet wird um Verwundbarkeiten zu best tigen Schicken Sie es als einen Fehlerb
321. nfang wurde er auf die Webseite hochgeladen ohne An k ndigung und ohne eine echte M glichkeit ihn zu berpr fen und die Benutzer mussten ihn per Hand herunterladen Aufgrund dieser Erfahrung werden die Dinge in 2007 wie folgt ablaufen e Anfang Januar wird ein neuer Schl ssel f r 2007 erstellt Vielleicht gibt es dieses Mal auch eine Ank ndigung und eine gute Kette des Vertrauens e Die Release Datei wird mit diesem Schl ssel unterschrieben werden w hrend sie auch mit dem Schl ssel von 2006 unterschrieben ist Apt und andere Werkzeuge werden beide Unterschriften akzeptieren e Zuvor wird ein neues Paket debian server keyring auf jedem System installiert werden Es wird aktualisiert damit es den Schl ssel von 2007 enth lt Wenn Benutzer zur neuen Version wechseln wird mit apt key ihr Schl sselbund aktualisiert werden Der Schl ssel von 2006 wird entfernt und der von 2007 hinzugef gt e Der Schl ssel von 2006 verliert am 31 Januar 2007 seine G ltigkeit Noch nicht ganz sicher ist was mit denen passiert die im Januar gar keine Aktualisierung durchf hren und wie diese Aktualisierung f r Personen abl uft die Stable laufen lassen wenn Secure Apt auch dort verf gbar ist Bekannte Probleme bei der Pr fung Ein nicht offensichtliches Problem ist dass Secure Apt nicht funktioniert wenn Ihre Uhr sehr verstellt ist Wenn sie auf ein Datum in der Vergangenheit wie 1999 eingestellt ist wird Apt mit einer nichts
322. ng enthalten ist Der Grund daf r ist dass sicher gegangen werden soll dass die Stable Ver ffentlichung so wenig wie m glich ver ndert wird Damit wird verhindert dass sich Dinge als Folge einer Sicherheitskorrektur unerwartet ndern oder kaputt gehen Ob Sie eine sichere Version eines Paketes benutzen stellen Sie fest indem Sie das Changelog des Paketes durchsehen oder indem Sie die exak te Versionsnummer urspr ngliche Version slash Debian Release mit der Nummer aus der Debian Sicherheits Ank ndigung DSA vergleichen 12 2 11 Spezielle Software Proftpd ist f r einen Denial of Service Angriff anf llig F gen Sie Ihrer KonfigurationsdateiDenyFilter hinzu Mehr Informationen entneh men Sie http www proftpd org critbugs html Kapitel 12 H ufig gestellte Fragen Frequently asked Questions FAQ 217 Nach der Installation von portsentry sind viele Ports offen Dies ist nur die Art und Weise wie portsentry arbeitet Es ffnet etwas zwanzig ungenutzte Ports und versucht so Port Scans zu entdecken 12 3 Fragen zum Sicherheitsteam von Debian Diese Informationen stammen aus dem Debian Sicherheits FAQ http www de debian org security faq Es umfasst Informationen zum 19 November und beantwortet auch andere h ufige Fragen aus der Mailingliste debian security 12 3 1 Was ist eine Debian Sicherheits Ank ndigung Debian Security Advisory DSA Das Debian Sicherheitsteam siehe unten weist darin auf die
323. nn etc init d networking ausgef hrt wird was typischerweise beim Booten geschieht wird diese Option wirksam Dagegen wird folgendes nur eine einmalige Wirkung bis zum n chsten Neustart haben In Debian kopiert das Paket kernel source version die Kernelquellen nach usr src kernel source version tar bz2 Ersetzen Sie einfach version mit der installierten Kernelversion Kapitel 4 Nach der Installation 88 echo 1 gt proc sys net ipv4 tcp_syncookies Diese Option ist nur verf gbar wenn der Kernel mit CONFIG_SYNCOOKIES bersetzt wurde Alle Kernel von Debian wurden mit dieser Option kompiliert Sie k nnen das folgenderma en berpr fen sysctl A grep syncookies net ipv4 tcp_syncookies 1 Weitere Informationen zu TCP Syncookies finden Sie unter http cr yp to syncookies html 4 18 3 Absicherung des Netzwerks beim Hochfahren Wenn Sie die Netzwerkoptionen des Kernels konfigurieren m ssen Sie daf r sorgen dass sie bei jedem Neustart des Systems geladen werden Das nachfolgende Beispiel aktiviert neben vielen der oben vorgestellten Optionen auch noch ein paar andere n tzliche Optionen Tats chlich gibt es zwei M glichkeiten Ihr Netzwerk beim Booten einzurichten Sie k nnen entweder etc sysctl conf konfigurieren siehe sysct1 conf 5 oder ein Skript ein setzen das beim Aktivieren der Netzwerkschnittstellen aufgerufen wird Die erste M glichkeit wird auf alle Schnittstellen angewendet die zweite er
324. nstallieren Sie von den Diensten die Sie brauchen nicht einfach das weit verbrei tetste Programm sondern schauen Sie nach sichereren Versionen die Debian liefert oder aus anderen Quellen Was auch immer Sie schlie lich benutzen Stellen Sie sicher dass Sie die Risiken verstanden haben Setzen Sie Chroot Gef ngnisse f r ausw rtige Nutzer und Daemonen auf Konfigurieren Sie die Firewall und die tcp Wrapper d h hosts_access 5 be achten Sie den Trick f r etc hosts deny im Text Wenn Sie FTP laufen lassen setzen Sie den ftpd Server so auf dass er immer in einer chroot Umgebung im Home Verzeichnis des Nutzers l uft Wenn Sie X laufen lassen schalten Sie xhost Authentifizierung ab und benutzen Sie stattdessen ssh Oder noch besser Deaktivieren Sie die Weiterleitung von X komplett falls das m glich ist f gen Sie nolisten tcp zu der X Kommando Zeile hinzu und schalten Sie XDMCP in etc X11 xdm xdm configab indem Sie den requestPort auf 0 setzen Schalten Sie Zugriff von au erhalb auf den Drucker ab Tunneln Sie alle IMAP oder POP Sitzungen durch SSL oder ssh Installieren Sie stunnel wenn Sie diesen Dienst anderen Mail Nutzern anbieten wollen Setzen Sie einen Log Host auf und konfigurieren Sie andere Maschinen ihre Logs an diesen Host zu senden etc syslog conf Sichern Sie BIND Sendmail und andere komplexe Daemonen ab starten Sie sie in einer chroot Umgebung und als nicht Root Pseudonutzer Installieren S
325. nte hilfreich sein da diese Live CD ROM forensische Werkzeuge enth lt die in solchen Situationen n tzlich sind Es gibt noch kein Programm wie dieses das auf Debian basiert Es gibt auch keinen leichten Weg eine CD ROM mit Ihrer Auswahl von Debian Paketen und mkinitrd cd zu erstellen Daher werden Sie die Dokumentation lesen m ssen wie Sie Ihre eigenen CD ROMs machen Wenn Sie eine Kompromittierung wirklich schnell reparieren wollen sollten Sie den kom promittierten Rechner aus dem Netzwerk entfernen und das Betriebssystem von Grund auf neu installieren Dies k nnte nat rlich nicht sehr wirkungsvoll sein da Sie nicht erfahren wie der Eindringling zuvor Root Rechte bekommen hat Um das herauszufinden m ssen Sie alles pr fen Firewall Integrit t der Dateien Log Host Log Dateien und so weiter Weitere Infor mationen was Sie nach einem Einbruch unternehmen sollten finden Sie unter Sans Incident Handling Guide http www sans org y2k DDoS htm oder CERT s Steps for Recover ing from a UNIX or NT System Compromise http www cert org tech_tips root_ compromise html Einige h ufige Fragen wie mit einem gehackten Debian GNU Linux System umzugehen ist sind unter Mein System ist angreifbar Sind Sie sich sicher auf Seite 213 zu finden 11 2 Anlegen von Sicherheitskopien Ihres Systems wenn Sie sich sicher sind dass das System kompromittiert wurde vergessen Sie nicht dass Sie weder der installierten Software
326. nten Ort ablegen der kein Unterverzeichnis vom HOME Verzeichnis des Nutzers ist 4 11 13 Erstellen von Benutzerpassw rtern In vielen F llen muss ein Administrator viele Benutzerkonten erstellen und alle mit Passw r tern ausstatten Der Administrator k nnte nat rlich einfach als Passwort den Namen des Nut zerkontos vergeben Dies w re aber unter Sicherheitsgesichtspunkten nicht sehr klug Ein bes seres Vorgehen ist es ein Programm zur Erzeugung von Passw rtern zu verwenden Debian stellt die Pakete makepasswd apg und pwgen zur Verf gung die Programme liefern deren Name ist der gleiche wie der des Pakets die zu diesem Zweck verwendet werden k nnen Makepasswd erzeugt wirklich zuf llige Passw rter gibt also der Sicherheit gegen ber der Aussprechbarkeit den Vorzug Dagegen versucht pwgen bedeutungslose aber aussprechba re Passw rter herzustellen dies h ngt nat rlich auch von Ihrer Muttersprache ab Apg lie fert Algorithmen f r beide M glichkeiten Es gibt auch eine Client Server Version dieses Pro gramms Diese befindet sich aber nicht im Debian Paket Kapitel 4 Nach der Installation 72 Passwd erlaubt nur die interaktive Zuweisung von Passw rtern da es direkt den tty Zugang benutzt Wenn Sie Passw rter ndern wollen wenn Sie eine gro e Anzahl von Benutzern er stellen k nnen Sie diese unter der Verwendung von adduser mit der disabled login Option erstellen und danach usermod oder chpasswd 20 benutzen
327. nten wird eine Darstellung der Anordnung des Netzwerks gezeigt Internet router 62 3 3 25 bridge 62 3 3 26 gw 62 3 3 25 192 WWW Server 62 3 3 27 gw 62 3 LAN Zipowz 192 168 0 2 gw 192 1 Die folgenden Befehle zeigen wie diese Bridge konfiguriert werden kann So wird die Schnittstelle br0 erstellt usr sbin brctl addbr bro Hinzuf gen der Ethernet Schnittstelle die die Bridge benutzen soll usr sbin brctl addif br0 etho usr sbin brctl addif br0 eth1 Starten der Ethernet Schnittstelle sbin ifconfig eth0 0 0 0 0 sbin ifconfig ethl 0 0 0 0 Konfigurieren der Ethernet Bridge Die Bridge wird korrekt und unsichtbar transparente Firewall sein In einem traceroute ist sie versteckt und Sie behalten Ihr echtes Gateway auf Ihren anderen Computern Jetzt k nnen Sie ein Gateway auf Ihrer Bridge konfigurieren und es auf Ihren anderen Computern als neues Gateway einsetzen FF OSE e e 2 sbin ifconfig br0 62 3 3 26 netmask 255 255 255 248 broadcast 62 3 3 32 Ich habe diese internen IPs f r mein NAT benutzt ip addr add 192 168 0 1 24 dev bro sbin route add default gw 62 3 3 25 D 2 Eine Bridge mit Firewall Fahigkeiten Eine zweite denkbare Konfiguration ist ein System das als transparente Firewall fiir ein LAN mit einer ffentlichen IP Adresse aufgesetzt ist Kapitel D Aufsetzen einer berbr ckenden Firewall bridge Firewall 239 Intern
328. ntifikation und Verschl sselung brauchen k nnen Sie jede PPP Quelle mit der Version 2 3 x verwenden Allerdings m ssen Sie auf den Kernel einen Patch anwenden der im Paket kernel patch mppe enthalten ist Er stellt das Module pp_mppe f r den pppd zur Verf gung Beachten Sie dass Verschl sselung in ppptp erfordert dass Sie die Nutzerpassw rter in Klartext speichern Au erdem sind f r das MS CHAPv2 Protokoll Sicherheitsl cken bekannt http mopo informatik uni freiburg de pptp_mschapv2 8 6 Infrastruktur f r ffentliche Schl ssel Public Key Infrastruc ture PKI Mit der Infrastruktur f r ffentliche Schl ssel PKI wurde eine Sicherheitsarchitektur einge fiihrt um den Grad der Vertrauenswiirdigkeit von Informationen die tiber unsichere Netz werke ausgetauscht werden zu erh hen Sie beruht auf dem Konzept von ffentlichen und privaten kryptographischen Schl sseln um die Identit t des Absenders Signierung zu ber pr fen und die Geheimhaltung zu sichern Verschl sselung Wenn Sie ber die Einrichtung einer PKI nachdenken sehen Sie sich mit einer breiten Palette von Problemen konfrontiert e eine Zertifizierungsstelle Certification Authority CA die Zertifikate ausgeben und be st tigen und unter einer bestimmten Hierarchie arbeiten kann e ein Verzeichnis das die ffentlichen Zertifikate der Benutzer enth lt e eine Datenbank um eine List von Widerrufen von Zertifikaten Certificate Re
329. ob sie eine ganz andere ist die Ihnen jemand der die Verbindung mit dem Server abgefangen hat mit einer gemeinen berraschung unterschieben will Sie k nnen diese Abfragen abschalten indem Sie apt mit allow unauthenticated lau fen lassen Es lohnt sich auch noch darauf hinzuweisen dass der Installer von Debian w hrend des De bootstraps des Basissystems solange Apt noch nicht verf gbar ist denselben Mechanismus mit signierten Release Dateien verwendet Der Installer benutzt sogar dieses Verfahren um Teile von sich selbst zu berpr fen die er aus dem Netz gezogen hat Debian signiert im Mo ment nicht die Release Dateien auf den CDs Apt kann aber so eingerichtet werden dass es immer den Paketen von CDs vertraut so dass dies nicht ein so gro es Problem darstellt Oder Ihren DNS vergiftet hat oder den Server spooft oder die Datei auf einem Spiegel platziert hat den Sie verwenden oder Kapitel 7 Die Infrastruktur f r Sicherheit in Debian 150 Wie man Apt sagt wem es vertrauen soll Die ganze Sicherheit des Verfahrens beruht also darauf dass es eine Release gpg Datei gibt die eine Release Datei signiert und dass diese Signatur von apt mit Hilfe von GPG berpr ft wird Dazu muss es den ffentlichen Schl ssel der Person kennen die die Da tei unterschrieben hat Diese Schl ssel werden in Apts eigenem Schl sselbund etc apt trusted gpg gespeichert Bei der Verwaltung dieser Schl ssel kommt Secure Apt ins
330. offen haben m ssen Sie im Single User Modus starten Wenn Sie LILO eingeschr nkt haben m ssen 1i10 erneut ausf hren nachdem Sie das Root Passwort zur ckgesetzt haben Das ist ziemlich verzwickt da Ihre etc lilo conf ver n dert werden muss da das Root Dateisystem eine RAM Disk und keine echte Festplatte ist Sobald LILO nicht mehr eingeschr nkt ist versuchen Sie Folgendes e Dr cken Sie Alt Shift oder Steuerung Control kurz bevor das BIOS seine Arbeit been det hat und Sie sollten nun einen LILO Prompt erhalten e Geben Sie am Prompt linux single linux init bin sh oder linux 1 ein Kapitel 12 H ufig gestellte Fragen Frequently asked Questions FAQ 212 e Sie erhalten einen Shell Prompt im Single User Modus Sie werden nach dem Passwort gefragt aber das kennen Sie jetzt ja e Binden Sie die Root Partition im Schreib Lese Modus neu ein indem Sie den Befehl mount verwenden mount o remount rw e ndern Sie das Superuser Passwort mit passwd da Sie der Superuser sind werden Sie nicht nach dem alten Passwort gefragt 12 1 16 Wie muss ich vorgehen wenn ich meinen Nutzern einen Dienst anbieten m chte ihnen aber kein Shell Konto geben will Wenn Sie zum Beispiel einen POP Dienst anbieten wollen m ssen Sie nicht f r jeden zugreifenden Benutzer ein Konto anlegen Am besten setzen Sie hierzu eine Authenti fizierung die auf Verzeichnisses basiert durch einen externen Dienst wie Radius LD
331. og installation eingerichtet Wenn Sie dies geschafft haben sollten Sie die n chsten Tage Wochen Monate die verschick ten Mails berpr fen Falls Sie Nachrichten finden die Sie nicht erhalten wollen f gen Sie die regul ren Ausdr cke regular expressions vergleiche regex 7 und egrep 1 die zu diesen Nachrichten passen in etc logcheck ignore d reportlevel local ein Versuchen Sie dass der regul re Ausdruck mit der gesamten Logzeile bereinstimmt Details wie man Regeln schreibt finden Sie in usr share doc logcheck database README logcheck database gz Das ist ein andauernder Prozess der Abstimmung Wenn nur noch relevante Meldungen verschickt werden k nnen Sie davon ausgehen dass dieser Prozess beendet ist Beachten Sie dass logcheck selbst wenn er l uft Ihnen keine Mail schickt wenn er nichts Relevantes auf Ihrem System findet so bekommen Sie h chstens eine Mail pro Woche wenn Sie Gl ck haben 4 13 2 Konfiguration wohin Alarmmeldungen geschickt werden Debian wird mit einer Standardkonfiguration f r Syslog in etc syslog conf ausgelie fert so dass Meldungen je nach System in die passenden Dateien geschrieben werden Das soll te Ihnen bereits bekannt sein Falls nicht werfen Sie einen Blick auf die Datei syslog conf und deren Dokumentation Wenn Sie ein sicheres System betreuen wollen sollten Ihnen be kannt sein wohin Log Meldungen geschickt werden so dass sie nicht unbeachtet bleiben Zum Beispiel ist
332. ollst ndigung der Nutzer berwachung durch Accounting Werkzeuge Die vorherigen Beispiele sind ein einfacher Weg um die berwachung von Nutzern einzu richten Sie eignen sich aber nicht unbedingt f r komplexe Systeme oder f r solche auf denen die Nutzer berhaupt keine oder ausschlie lich Shells am Laufen haben Sollte dies der Fall sein schauen Sie sich das Paket acct an das Werkzeuge zur Bilanzierung accounting utili ties enth lt Diese werden alle Kommandos die ein Nutzer oder ein Prozess auf dem System ausf hrt auf die Kosten von Plattenplatz aufzeichnen Wenn Sie diese Bilanzierung aktivieren werden alle Informationen ber Prozesse und Nutzer unter var account gespeichert genauer gesagt in pacct Das Accounting Paket schlie t einige Werkzeuge sa ac und last comm zur Analyse dieser Daten ein Andere Methoden zur Benutzer berwachung Wenn Sie wirklich paranoid sind und jedes Kommando des Nutzers protokollieren wollen k nnten Sie den Quellcode der Bash so ndern dass sie alles das der Nutzer eingibt in ei ner anderen Datei ablegt Oder Sie lassen ttysnoop ununterbrochen jedes neue tty 18 ber wachen und die Ausgaben in einer Datei speichern Ein anderes n tzliches Programm ist snoopy vergleichen Sie auch the project page http sourceforge net projects snoopylogger Dies ist ein f r den Nutzer transparentes Programm das sich als eine Bi bliothek einh ngt und eine H lle um execve Aufrufe bildet Jede
333. on im Vorfeld begeg nen und vor bergehende Abwehrmafsnahmen einleiten sobald Sie festgestellt haben dass Ihr System verwundbar ist Dies gilt besonders f r exponierte Systeme sind z B mit dem Inter net verbunden die Dienste anbieten In diesem Fall sollte der Systemadministrator einen Blick auf die bekannten Informationsquellen werfen um als erster zu wissen wenn eine Sicherheits l cke f r einen kritischen Dienst entdeckt wird Typischerweise abonniert man eine Mailingliste f r Ank ndigungen und beobachtet Websei ten oder Fehlerverfolgungssysteme der Software Entwickler eines bestimmten Programms So sollten beispielsweise Apache Benutzer regelm ig Apaches Auflistung von Sicherheitsl cken http httpd apache org security_report html durchsehen und die Mailinglis te Ank ndigungen f r den Apache Server http httpd apache org lists html http announce abonnieren Um bekannte Sicherheitsl cken die die Debian Distribution betreffen zu verfol gen bietet das Security Testing Team von Debian einen Sicherheitstracker http Kapitel 10 Vor der Kompromittierung 180 security tracker debian net an Dieser f hrt alle bekannten Sicherheitsl cken auf die in Paketen von Debian noch nicht ausgebessert wurden Die Informationen im Tracker stammen aus ffentlich zug nglichen Quellen Dazu z hlen Datenbanken ber Sicher heitsl cken und die Fehlerdatenbank von Debian http www debian org Bugs Administratoren k n
334. onfigurationsdateien besagt dass sie f r die Welt lesbar sind es sei denn sie enthalten sensible Informationen Seien Sie vorsichtig wenn Sie nderungen vornehmen e Prozesse k nnten nicht mehr in der Lage sein in Log Dateien zu schreiben wenn Sie ihre Rechte einschr nken e Einige Anwendungen k nnten nicht mehr funktionieren wenn sie ihre Konfigurations datei nicht mehr lesen k nnen Wenn Sie zum Beispiel das Recht f r die Welt lesbar zu sein von etc samba smb conf entfernen kann das Programm smbclient nicht funktionieren wenn es von einem normalen Nutzer ausgef hrt wird FIXME Check if this is written in the Policy Some packages i e ftp daemons seem to enforce different permissions 12 1 10 Warum hat root oder NutzerX die Rechte 755 Tats chlich kann die gleiche Frage auch f r jeden anderen Nutzer gestellt werden Da Debians Standardinstallation keine Dateien unter diesem Verzeichnis abgelegt sind keine sensiblen In formationen vorhanden die gesch tzt werden m ssten Wenn Sie denken dass diese Rechte f r Ihr System zu locker sind k nnen Sie sie auf 750 einschr nken F r Nutzer sollten Sie Begrenzung des Zugangs zu Informationen anderer Nutzer auf Seite 70 lesen Dieser Thread http lists debian org debian devel 2000 debian devel 200011 msg00783 html der Sicherheitsmailingliste von Debian hat weitere Ausf hrungen zu diesem Thema Kapitel 12 H ufig gestellte Fragen Frequently ask
335. oot Privilegien Starten in beschr nkten Um gebungen wie ein chroot Gef ngnis oder Ersetzen durch ein sichereres Aquivalent Seien Sie jedoch gewarnt dass aus einem chroot Gef ngnis ausgebrochen werden kann wenn der Benutzer der im Inneren l uft der Superuser ist Sie m ssen also sicherstellen dass der Dienst als nicht privilegierter Benutzer l uft Durch Einschr nken seiner Umgebung schr nken Sie die Welt lesbaren ausf hrbaren Dateien auf die der Dienst zugreifen kann ein Auf diese Weise limitieren Sie die M glichkeiten einer Rechteerweiterung durch lokale Sicher heitsverwundbarkeiten des Systems Selbst in dieser Situation k nnen Sie nicht v llig sicher sein dass es f r einen cleveren Angreifer keinen Weg gibt irgendwie aus dem Gef ngnis aus zubrechen Verwenden von nur sicheren Server Programmen die einen guten Ruf bez glich Sicherheit haben ist eine zus tzliche gute Sicherheitsma nahme Selbst kleinste L cher wie offene Datei Handle k nnen von einem versierten Angreifer zum Einbruch in das System ver wendet werden Schlie lich war chroot nicht als Sicherheitstool gedacht sondern als ein Test werkzeug 5 10 1 Automatisches Erstellen von Chroot Umgebungen Es gibt verschiedene Programme um Server und Dienste automatisch in ein Chroot Gef ngnis einzusperren Debian bietet zurzeit akzeptiert im Mai 2002 Wietse Venemas chrootuid im Paket chrootuid ebenso wie compartment und makejail an Diese Programme k nnen
336. p project honeynet org wertvolle Informationen ber das Aufstellen von Honigt pfen und der Analyse von Angriffen auf sie zur Verf gung Sie sollten typischerweise eine Bridge Firewall einsetzen damit die Firewall selbst nicht entdeckt werden kann Lesen Sie mehr dazu unter Aufsetzen einer berbr ckenden Firewall bridge Firewall auf Seite 237 Kapitel 10 Vor der Kompromittierung 194 195 Kapitel 11 Nach einer Kompromittierung Reaktion auf einem Vorfall 11 1 Allgemeines Verhalten Wenn Sie w hrend eines Angriffs physisch anwesend sind sollte Ihre erste Reaktion sein den Rechner vom Netzwerk zu trennen indem Sie das Kabel aus der Netzwerkkarte ziehen wenn das keinen nachteiligen Einfluss auf Ihre Gesch fte hat Das Netzwerk auf Schicht 1 abzu schalten ist der einzig wirklich erfolgreiche Weg um den Angreifer aus dem gehackten Rech ner herauszuhalten weiser Ratschlag von Phillip Hofmeister Allerdings k nnen einige Werkzeuge die durch Rootkits Trojaner oder sogar unehrlichen Be nutzern ber eine Hintert r installiert wurden diesen Vorgang erkennen und auf ihn reagie ren Es ist nicht wirklich lustig wenn Sie sehen dass rm rf ausgef hrt wird wenn Sie das Netzwerkkabel ziehen Wenn Sie nicht bereit sind dieses Risiko einzugehen und Sie sich si cher sind dass in das System eingebrochen wurde sollten Sie das Stromkabel herausziehen alle wenn es mehr als eines gibt und Ihre Daumen d
337. piel RhostsRSAAuthentication HostbasedAuthentication KerberosAuthentication oder RhostsAuthentication Sie sollten sie abschal ten auch wenn sie es standardm ig bereits sind siehe dazu die Handbuch Seite sshd_config 5 e Protocol 2 Deaktivieren Sie die Protokollversion 1 da diese einige Designschw chen hat die es einfacher zu machen Passw rter zu knacken F r weitere Informationen lesen Sie a paper regarding ssh protocol problems http earthops net ssh timing pdf oder das Xforce advisory http xforce iss net static 6449 php e Banner etc eine_Datei F gen Sie einen Bannertext er wird aus der Datei bezogen f r Benutzer die sich mit dem ssh Server verbinden hinzu In einigen L ndern sollte das Senden einer Warnung ber unautorisierten Zugriff oder Benutzer berwachung vor dem Zugriff zu einem be stimmten System erfolgen um sich rechtlich abzusichern Sie k nnen den Zugriff auf den ssh Server auch mittels pam_listfile oder pam_wheel in der PAM Kontrolldatei beschr nken Zum Beispiel k nnen Sie jeden abhalten der nicht in der Datei etc loginusers aufgelistet ist durch Hinzuf gen folgender Zeile zu etc pam d ssh auth required pam_listfile so sense allow onerr fail item user Abschlie end beachten Sie bitte dass diese Direktiven von einer OpenSSH Konfigurationsdatei stammen Derzeit gibt es drei weit verbreitete ssh Daemonen sshl ssh2 und OpenSSH von den OpenBSD Leuten Ssh1 war der erste ve
338. piel wird das Skript aufgerufen um alle Netzwerkschnittstellen abzusichern wie unten gezeigt wird bevor die Schnittstelle ethO aktiviert wird bin sh e Skriptname etc network interface secure Ver ndert das Standardverhalten f r alle Schnittstellen in einigen Bereiche um vor TCP IP Spoofing und Angriffen zu sch tzen Wurde von Dariusz Puchalak beigesteuert Broadcast echo protection enabled echo 1 gt proc sys net ipv4 icmp_echo_ignore_broadcasts IP forwarding disabled echo 0 gt proc sys net ipv4 conf all forwarding TCP syn cookies protection enabled echo 1 gt proc sys net ipv4 tcp_syncookies Log strange packets this includes spoofed packets source routed packets redirect packets but be careful with this on heavy loaded web servers echo 1 gt proc sys net ipv4 conf all log_martians Bad error message protection enabled echo 1 gt proc sys net ipv4 icmp_ignore_bogus_error_responses IP spoofing protection echo 1 gt proc sys net ipv4 conf all rp_filter Disable ICMP redirect acceptance echo 0 gt proc sys net ipv4 conf all accept_redirects echo 0 gt proc sys net ipv4 conf all send_redirects Disable source routed packets echo 0 gt proc sys net ipv4 conf all accept_source_route exit 0 Beachten Sie dass Sie auch verschiedene Netzwerkoptionen fiir verschiedene Schnittstellen falls Sie mehr als eine haben haben k nnen in
339. ples apache py etc makejail Bearbeiten Sie etc makejail apache py Sie m ssen die Optionen chroot users und groups ver ndern Um diese Version von makejail laufen zu lassen k nnen Sie auch die Option packages hinzuf gen Vergleichen Sie die Makejail DoKumentation http www floc net makejail current doc Die Konfigurationsdatei k nnte bei spielsweise so aussehen chroot var chroot apache testCommandsInsideJail usr sbin apachectl start processNames apache testCommandsOutsideJail wget r spider http localhost lynx source https localhost preserve var www var log apache dev log users chrapach groups chrapach packages apache apache common userFiles etc password Kapitel H Chroot Umgebung f r Apache 269 etc shadow groupFiles etc group etc gshadow forceCopy etc hosts etc mime types FIXME some options do not seem to work properly For instance et c shadow and etc gshadow are not copied whereas etc password and etc group are fully copied instead of being filtered e Erstellen Sie den Verzeichnisbaum f r chroot makejail etc makejail apache py e Falls etc password und etc group vollst ndig kopiert wurden geben Sie Folgen des ein um sie mit gefilterten Fassungen zu ersetzen grep chrapach etc passwd gt var chroot apache etc passwd grep chrapach etc group gt var chroot apache etc group e Kopie
340. pt echo is buggy or out of date or it could let trojaned packages get onto echo your system fmt echo sed s lt UNVALIDATED echo if grep q BAD then fi allokay false echo The contents of the following files in var lib apt lists does not echo match what was expected This may mean these sources are out of dat echo that the archive is having problems or that someone is actively echo using your mirror to distribute trojans if am_root then echo The files have been renamed to have the extension FAILED and echo will be ignored by apt cat BAD while read a do mv var lib apt lists a var lib apt lists a FAILED done fi fmt echo sed s lt BAD echo if grep q MISSING then allokay false echo The following files from var lib apt lists were missing This echo may cause you to miss out on updates to some vulnerable packages fmt echo Kapitel 7 Die Infrastruktur f r Sicherheit in Debian 160 sed s lt MISSING echo fi if grep q NOCHECK then allokay false echo The contents of the following files in var lib apt lists could no echo be validated due to the lack of a signed Release file or the lack echo of an appropriate entry in a signed Release file This probably echo means that the maintainers of these sources are slack but may mean echo these sources are being actively used to distribute trojans
341. r cken Das h rt sich zwar extrem an ver hindert aber tats chlich eine Logikbombe die ein Eindringling programmiert haben k nnte Auf jeden Fall sollte ein kompromittiertes System nicht neugestartet werden Entweder sollten die Festplatten in einem anderen System analysiert werden oder Sie sollten ein anderen Medi um eine CD ROM benutzen um das System zu booten und analysieren Sie sollten nicht die Rettungsdisk von Debian verwenden um das System zu starten Sie k nnen aber die Shell auf der Installationsdisk benutzen wie Sie wissen erreichen Sie sie mit Alt F2 um das System zu analysieren Die beste Methode um ein gehacktes System wiederherzustellen ist ein Live Dateisystem auf einer CD ROM mit allen Programmen und Kernel Modulen verwenden die Sie brauchen um auf das eingebrochene System zugreifen zu k nnen Sie k nnen das Paket mkinitrd cd Wenn Sie abenteuerlustig sind sollten Sie sich am System anmelden und die Informationen aller laufenden Prozesse speichern Sie bekommen eine Menge aus proc nnn Es ist m glich den gesamten ausf hrbaren Code aus dem Arbeitsspeicher zu ziehen sogar dann wenn der Angreifer die ausf hrbaren Dateien von der Festplatte gel scht hat Ziehen Sie danach das Stromkabel Kapitel 11 Nach einer Kompromittierung Reaktion auf einem Vorfall 196 benutzen um eine solche CD ROM zu erstellen Auch die CD ROM von FIRE http biatchux dmzs com fr her als Biatchux bekannt k n
342. r ICMP Angriffstechniken benutzt werden Nbtscan das speziell f r SMB Netzwerke entworfen wurde kann benutzt werden um IP Netzwerke zu scannen und diverse Informationen von SMB Servern zu ermitteln einschlie lich der Nutzernamen Netzwerknamen MAC Adressen Dagegen kann fragrouter dazu verwendet werden um Systeme zur Eindringlingserken nung zu testen und um zu sehen ob das NIDS mit fragmentierten Angriffen umgangen wer den kann FIXME Check Bug 153117 http bugs debian org 153117 ITP fragrouter to see if it s included FIXME add information based on Debian Linux Laptop for Road Warriors http www giac org practical gcux Stephanie_Thomas_GCUX pdf which describes how to use Debian and a laptop to scan for wireless 803 1 networks link not there any more 8 3 Interne Pr fungen Derzeit kann lediglich das Programm tiger benutzt werden um interne Pr fungen auch white box genannt eines Rechners vorzunehmen Dabei wird festgestellt ob das Dateisys tem richtig aufgesetzt ist welche Prozesse auf dem Rechner horchen usw 8 4 Testen des Quellcodes Debian bietet einige Pakete an die C C Quellcode pr fen und Programmierfehler finden die zu m glichen Sicherheitsm ngeln f hren k nnen e flawfinder e rats e splint e pscan 8 5 Virtual Private Networks virtuelle private Netzwerke Ein virtuelles privates Netzwerk VPN ist eine Gruppe von zwei oder mehreren Computern die typischerwei
343. r Letzt ein paar technische Dinge die Entwickler bedenken sollten e Stellen Sie sicher dass Sie sich in Ihrer Debian nderungs bersicht auf die richtige Dis tribution beziehen F r Stable ist das stable security und f r Testing testing security Be ziehen Sie sich nicht auf lt codename gt proposed updates e Stellen Sie sicher dass die Versionsnummer korrekt ist Sie muss gr er als die des ak tuellen Pakets sein aber niedriger als die Paketversionen in sp teren Distributionen F r Testing bedeutet das dass es eine h here Version als in Unstable sein muss Falls es dort keine gibt Testing und Unstable haben z B die gleichen Versionen laden Sie zuerst die neue Version nach Unstable hoch e Laden Sie nicht nur die Quellen hoch source only upload wenn Ihr Paket nur bin re Pakete enth lt binary all Die Buildd Infrastruktur wird diese nicht erstellen e Wenn Sie ein Paket kompilieren stellen Sie sicher dass Sie es auf einem reinen System kompilieren auf dem nur Pakete aus der Distribution installiert sind f r die Sie das Pa ket erstellen Wenn Sie selbst ein solches System nicht haben k nnen Sie es mit einer Ma schine von debian org versuchen siehe http db debian org machines cgi oder setzen Sie chroot ein die Pakete pbuilder und debootstrap k nnen daf r hilfreich sein Hochladen von Sicherheitsausbesserungen Nachdem der Entwickler ein neues Paket erstellt und getestet hat muss es hochgeladen wer de
344. r Nutzer und die Gruppe werden auch von verschiedene MTAs zu anderen Zwecken benutzt Kapitel 12 H ufig gestellte Fragen Frequently asked Questions FAQ 206 e news Verschiedene News Server und hnliche Programme zum Beispiel suck benut zen den Nutzer und die Gruppe news auf unterschiedliche Weise Dateien im news Spool geh ren h ufig dem Nutzer und der Gruppe news Programme wie inews die man be nutzen kann um News zu posten sind normalerweise SETGID news e uucp Der Nutzer uucp und die Gruppe uucp werden vom UUCP Subsystem benutzt Ihnen geh ren Spool und Konfigurationsdateien Nutzer in der Gruppe uucp k nnen uucico aufrufen e proxy Wie Daemon wird dieser Nutzer und diese Gruppe von manchen Daemonen ins besondere Proxy Daemonen verwendet die keine spezielle User ID haben aber eigene Dateien besitzen m ssen Zum Beispiel wird die Gruppe proxy von pdnsd benutzt und squid l uft als Nutzer proxy e majordom Majordomo hat auf Debian Systemen aus historischen Gr nden eine statisch zugewiesene UID Auf neuen Systemen wird sie nicht installiert e postgres Postgresql Datenbanken geh ren diesem Nutzer und dieser Gruppe Alle Dateien in var lib postgresql geh ren diesem Nutzer um anst ndige Sicherheit zu gew hrleisten e www data Einige Web Server laufen als www data Web Inhalte sollten nicht diesem Nutzer geh ren andernfalls w re ein kompromittierter Web Server in der Lage eine Web Seite zu berschre
345. r Sicherheitskopie der Daten angewendet werden niemals auf die Daten selbst da sie durch diese Analyse beeinflusst werden k nnten und so Beweismittel zerst rt werden w rden Weiterf hrende Informationen ber forensische Analyse k nnen Sie in Dan Farmers und Wietse Venemas Buch Forensic Discovery http www porcupine org forensics forensic discovery online verf gbar in ihrer Computer Forensics Column http www porcupine org forensics column html und in ihrem Computer Forensic Ana lysis Class Handouts http www porcupine org forensics handouts html fin den Eine weitere sehr gute Quelle fiir Tipps zur forensischen Analyse ist Brian Carriers Newsletter The Sleuth Kit Informer http www sleuthkit org informer index php Auch die Honeynet Challenges http www honeynet org misc chall html sind eine ausgezeichnete M glichkeit Ihre forensischen F higkeiten zu verbessern da sie ech te Angriffe auf Honigtopfsysteme umfassen und Herausforderungen bieten die von der fo rensischen Analyse von Festplatten bis zu Protokollen der Firewall und Paketerfassung alles beinhalten FIXME This paragraph will hopefully provide more information about forensics in a Debian system in the coming future FIXME Talk on how to do a debsums on a stable system with the MD5sums on CD and with the recovered file system restored on a separate partition FIXME Add pointers to forensic analysis papers like the Honeynet s reverse ch
346. ration for read only usr copied from Olaf Meeuwissen s post to the debian security mailing list New section on VPN with some pointers and the packages available in Debian needs content on how to setup the VPNs and Debian specific issues based on Jaroslaw Tabor s and Samuli Suonpaa s post to debian security Small note regarding some programs to automatically build chroot jails Kapitel 1 Einleitung 21 e New FAQ item regarding identd based on a discussion in the debian security mailing list February 2002 started by Johannes Weiss e New FAQ item regarding inetd based on a discussion in the debian security mailing list February 2002 e Introduced note on rcconf in the disabling services section e Varied the approach regarding LKM thanks to Philipe Gaspar e Added pointers to CERT documents and Counterpane resources 1 6 33 Version 1 99 Changes by Javier Fern ndez Sanguino Pe a e Added a new FAQ item regarding time to fix security vulnerabilities e Reorganised FAQ sections e Started writing a section regarding firewalling in Debian GNU Linux could be broade ned a bit e Fixed typos sent by Matt Kraai e Fixed DNS information e Added information on whisker and nbtscan to the auditing section e Fixed some wrong URLs 1 6 34 Version 1 98 Changes by Javier Fern ndez Sanguino Pe a e Added a new section regarding auditing using Debian GNU Linux e Added info regarding finger daemon taken from the
347. rd Daher funktioniert es auch mit aktivierter Rechtetrennung Falls Sie sie abschalten m s sen m ssen Sie etc ssh sshd_config so ver ndern UsePrivilegeSeparation no Sie k nnen die Option debug verwenden Damit wird der Fortschritt des Moduls unter authpriv notice proto kolliert 2Mit folgendem Python Aufruf k nnen Sie eine sehr eingeschr nkte Bash Umgebung f r makejail erstellen Er stellen Sie das Verzeichnis var chroots users foo und eine Datei mit dem Namen bash py und folgendem Inhalt chroot var chroots user foo cleanJailFirst 1 testCommandsInsideJail bash 1s F hren Sie dann makejail bash py aus um eine Benutzer Umgebung unter var chroots user foo zu erstellen So testen Sie die Umgebung chroot var chroots user foo ls bin dev etc lib proc sbin usr Unter Umst nden ben tigen Sie die Ger te dev ptmx und dev pty und das Unterverzeichnis dev pts Es sollte ausreichen MAKEDEV im dev Verzeichnis der Chroot Umgebung auszuf hren um sie zu er stellen falls sie nicht existieren Wenn Sie einen Kernel einsetzen der die Ger tedateien dynamisch erstellt Version 2 6 m ssen Sie die Dateien dev pts selbst erstellen und mit den passenden Rechten ausstatten Kapitel G Chroot Umgebung f r SSH 251 Beachten Sie dass das die Sicherheit Ihres Systems verringern wird da dann der OpenSSH Server als Root laufen wird Das bedeutet dass wenn eine Angriffsm glich keit aus der Ferne gegen OpenSSH en
348. rem System benutzen werden Sie diesen Dienst nicht ber ein Netzwerk teilen wollen Sie sollten dann berlegen ein anderes Druck System wie zum Beispiel das aus dem Paket cups oder PDQ http pdq sourceforge net das auf den Zugriffsrechten des Ger tes dev 1p0 beruht einzusetzen Bei cups werden die Druckauftr ge mit dem HTTP Protokoll zum Server bertragen Da durch muss der Client nicht ber spezielle Privilegien verf gen aber dies erfordert dass der Server auf irgendeinem Port lauscht Wie auch immer Wenn Sie cups nur lokal benutzen m chten k nnen Sie ihn so konfigurieren dass er nur auf die lokale Schleife loopback interface h rt indem Sie Folgendes in Ihrer etc cups cupsd conf ndern Kapitel 5 Absichern von Diensten die auf Ihrem System laufen 106 Listen 127 0 0 1 631 Es gibt noch andere Sicherheitsoptionen in dieser Konfigurationsdatei wie zum Beispiel das Erlauben oder Verweigern von Netzwerken oder Rechnern Wenn Sie sie allerdings nicht be n tigen belassen Sie es am besten dabei einfach nur den Port auf dem geh rt wird einzu schr nken Cups liefert auch Dokumentation ber den HTTP Port Wenn Sie diese potenziell n tzlichen Informationen einem Angreifer von au erhalb nicht enth llen wollen und der Port offen ist f gen Sie au erdem Folgendes hinzu A Location gt Order Deny Allow Deny From Al Allow From 127 0 0 1 lt Location gt Die Konfigurationsdatei kann
349. ren Sie die Webseiten und die Logs ins Gef ngnis Diese Dateien werden nicht au tomatisch mitkopiert sehen Sie sich dazu die Option preserve in der Konfigurationsdatei von make jail an cp Rp var www var chroot apache var cp Rp var log apache log var chroot apache var log apache e Editieren Sie das Startskript f r den Logging Daemon des Systems so dass er auch den Socket var chroot apache dev log beobachtet Ersetzen Sie in etc init d sysklogd SYSLOGD mit SYSLOGD a var chroot apache dev log und starten Sie den Daemon neu etc init d sysklogd restart e Editieren Sie das Startskript von Apache etc init d apache Sie m ssen vielleicht ein paar nderung am Standardstartskript vornehmen damit des richtig in einem Ver zeichnisbaum in einer chroot Umgebung l uft Da w re Legen Sie die Variable CHRDIR am Anfang der Datei neu fest Bearbeiten Sie die Abschnitte start stop reload etc F gen Sie eine Zeile hinzu um das proc Dateisystem innerhalb des Gef ngnisses zu mounten und abzumounten bin bash apache Start the apache HTTP server CHRDIR var chroot apache Kapitel H Chroot Umgebung f r Apache 270 NAME apache PATH bin usr bin sbin usr sbin DAEMON usr sbin apache SUEXEC usr lib apache suexec PIDFILE var run SNAME pid CONF etc apache httpd conf APACHECTL usr sbin apachectl trap mu 1 export LANG C export PATH test f SDAEMON exit 0 test f SAPA
350. rf gbare ssh Daemon und er ist noch der weit verbreitetste Ger chten zufolge gibt es sogar eine Windows Version Ssh2 hat gegen ber ssh1 viele Vorteile abgesehen davon dass es unter einer unfreien Lizenz ver ffentlicht wurde OpenSSH ist ein v llig freier ssh Daemon der sowohl ssh als auch ssh2 unterst tzt OpenSSH ist die Version die installiert wird wenn Sie auf Debian das Paket ssh ausw hlen Mehr Informationen wie Sie SSH mit Unterst tzung f r PAM aufsetzen finden Sie hier security mailing list archives http lists debian org debian security 2001 debian security 200111 msg00395 html file Kapitel 5 Absichern von Diensten die auf Ihrem System laufen 100 5 1 1 SSHin ein Chroot Gef ngnis einsperren Zurzeit bietet OpenSSH keine M glichkeit automatisch Benutzer bei der Verbindung in ein Chroot Gef ngnis einzusperren die kommerzielle Version bietet diese Funktionalit t Wie dem auch sei es gibt auch ein Projekt das diese Funktionalit t f r OpenSSH anbietet ver gleiche http chrootssh sourceforge net Es ist aber aktuell noch nicht f r Debian paketiert Sie sollten stattdessen das pam_chroot Modul wie in in Den Nutzerzugang ein schr nken auf Seite 66 beschrieben verwenden In Chroot Umgebung f r SSH auf Seite 249 k nnen Sie verschiedene Optionen finden um Chroot Umgebungen f r SSH zu erstellen 5 1 2 Ssh Clients Wenn Sie einen SSH Client mit einem SSH Server verwenden m ss
351. richtige Gruppe zugewiesen Das erleichtert die Arbeit von Menschen die an verschiedenen Projek ten arbeiten da sie nicht die Gruppe oder Umasks ndern m ssen wenn sie mit gemeinsam genutzten Dateien arbeiten Sie k nnen allerdings dieses Verhalten ver ndern indem Sie etc adduser conf modifi zieren ndern Sie die Variable USERGROUPS auf no ab Dadurch wird keine neue Gruppe erstellt wenn ein neuer Nutzer angelegt wird Sie sollten auch USERS_GID die GID der Grup pe zuweisen der alle Nutzer angeh ren Kapitel 12 H ufig gestellte Fragen Frequently asked Questions FAQ 209 12 1 14 Fragen ber Dienste und offene Ports Warum werden Dienste w hrend der Installation aktiviert Das ist der Ann herung an das Problem auf der einen Seite sicherheitsbewusst und auf der anderen Seite benutzerfreundlich zu sein Anders als OpenBSD das alle Dienste abschaltet bis sie vom Administrator aktiviert werden aktiviert Debian GNU Linux alle installierten Dienste bis sie abgeschaltet werden siehe dazu Daemons abschalten auf Seite 40 Immerhin haben Sie den Dienst installiert oder Es gab viele Diskussionen auf Debian Mailinglisten sowohl auf debian devel als auch auf debian security dar ber welches die bessere Vorgehensweise f r eine Standardinstallation ist Jedoch gab es bisher 10 M rz 2002 keinen Konsens Kann ich inetd entfernen Inetd ist nicht leicht zu entfernen da netbase von dem Paket abh ngt das e
352. rnehmen Sie was auch immer Sie passend finden wenn Sie eine neue Apt Quelle oder einen neuen Schl ssel verwenden Nicht alle Schl ssel der Apt Depots sind berhaupt mit einem anderen Schl ssel unterschrieben Vielleicht hat derjenige der das Depot einrichtet keinen anderen Schl ssel zur Verf gung oder vielleicht ist es ihm unangenehm einen Schl ssel mit einer derartig wichtigen Funktion mit seinem Hauptschl ssel zu unterschreiben Hinweise wie man einen Schl ssel f r ein Depot einrichtet finden Sie unter Pr fung von Debian fremden Quellen auf Seite 161 Kapitel 7 Die Infrastruktur f r Sicherheit in Debian 152 Sie k nnten demjenigen der den Schl ssel anbietet eine Mail schreiben um den Schl ssel zu berpr fen Oder Sie vertrauen auf Ihr Gl ck und gehen davon aus dass Sie den richten heruntergeladen haben Das wichtige ist dass Secure Apt indem es das Problem darauf redu ziert welchen Archivschl sseln Sie vertrauen Sie so vorsichtig und sicher vorgehen l sst wie es Ihnen passend und notwendig erscheint Die Integrit t eines Schl ssels berpr fen Sie k nnen dazu sowohl den Fingerabdruck als auch die Unterschriften des Schl ssels berpr fen Den Fingerabdruck kann man aus verschiedenen Quellen erhalten Sie k n nen im Buch The Debian System http debiansystem info readers changes 547 ziyi key 2006 nachsehen im IRC mit Debian Entwicklern reden oder Mailinglisten lesen wo ein Wechsel
353. rsichtsma nahmen getroffen werden Die Datenbank f r die Integrit tspr fung sollte nur lesbar sein und Sie sollten auch sicherstellen dass das Programm das die Integrit t berpr ft und der Kernel des Betriebssystems nicht manipuliert wurde Einige Werkzeuge die im Abschnitt ber Programme zur Integrit tspr fung beschrieben wur den wie z B aide integrit und samhain sind schon so eingerichtet dass sie regelm ige Nachpr fungen durchf hren mittels crontab in den ersten beiden F llen und mittels eines eigenst ndigen Daemons bei samhain Sie k nnen den Administrator auf verschiedenen We gen warnen normalerweise E Mail aber samhain kann auch Seiten SNMP Traps oder einen Alarm an syslog schicken wenn sich das Dateisystem ver ndert Wenn Sie eine Sicherheitsaktualisierung des System vorgenommen haben m ssen Sie nat r lich den Schnappschuss des Systems neu aufzeichnen um ihn an die nderungen durch die Sicherheitsaktualisierung anzupassen 10 3 Aufsetzen einer Eindringlingserkennung Debian GNU Linux enth lt Programme zur Erkennung von Eindringlingen Das sind Pro gramme die unpassende oder b sartige Aktivit ten auf Ihrem lokalen System oder auf an deren System in Ihrem lokalen Netzwerk entdecken Diese Art von Verteidigung ist wichtig wenn das System sehr entscheidend ist oder Sie wirklich unter Verfolgungswahn leiden Die gebr uchlichsten Herangehensweisen sind die statistische Entdeckung von Unregelm i
354. rsion 1 3 von Apache verf gbar ist Ein Angreifer kann immer noch die Benutzer herausfinden da die Antwort des Web Servers 403 Permission Denied und nicht 404 Not available lautet Mit dem Rewrite Modul k nnen Sie das verhindern 5 8 2 Rechte von Log Datei Apache Log Dateien geh ren seit 1 3 22 1 dem Benutzer root und der Gruppe adm mit den Rechtebits 640 Diese Rechte andern sich nach einer Rotation Ein Eindringling der das System ber den Web Server erreicht hat kann so alte Log Datei Eintr ge nicht ohne Rechteerweite rung entfernen Falls Sie eine ltere Version von Apache einsetzen wovon abgeraten wird da sie seit der Ver ffentlichung von Apache 1 3 in Woody nicht mehr unterst tzt wird m ssen Sie der Konfigurationsdatei Folgendes hinzuf gen lt Directory home public_html gt AllowOverride None Order deny allow Deny from all lt Directory gt Kapitel 5 Absichern von Diensten die auf Ihrem System laufen 118 5 8 3 Ver ffentlichte Web Dateien Apache Dateien befinden sich unterhalb von var www Direkt nach der Installation bietet die Standardseite einige Informationen zu dem System haupts chlich dass es ein Debian System ist auf welchem Apache l uft Die Standard Webseiten geh ren standardm ig dem Benutzer root und der Gruppe root w hrenddessen der Apache Prozess als Benutzer www data und Gruppe www data l uft Dies sollte es Angreifern die in das System durch den Web Serv
355. rt er innern Sie sich an die W rmer Ramen und Lion http www sans org y2k lion htm Debians Installation ist nicht so streng wie OpenBSD Daemonen laufen standard m ig nicht aber es ist ein guter Kompromiss e Debian stellt die besten Verfahren zur Sicherheit in Dokumenten wie diesem vor 12 1 2 In Bugtraq gibt es viele Debian Fehler Hei t das dass es sehr gef hrdet ist Die Debian Distribution enth lt eine gro e und wachsende Zahl von Softwarepaketen wahr scheinlich sogar mehr als mit vielen propriet ren Betriebssystem geliefert wird Je mehr Pakete installiert sind desto gr er ist die M glichkeit von Sicherheitsl cken in einem System Ohne die Tatsache in Abrede zu stellen dass einige Distributionen wie Red Hat oder Mandrake auch die Sicherheit bei ihrer Standardinstallation ber cksichtigen indem der Nutzer Sicherheitsprofile ausw hlen kann oder Wizards verwendet werden um beim Einrichten einer Personal Firewall zu helfen Kapitel 12 H ufig gestellte Fragen Frequently asked Questions FAQ 201 Immer mehr Menschen untersuchen den Quellcode um Fehler zu entdecken Es gibt viele Anweisungen im Zusammenhang mit Audits des Quellcodes von gro en Softwarekomponen ten die in Debian enthalten sind Immer wenn ein solcher Audit Sicherheitsl cken aufdeckt werden sie ausgebessert und eine Anweisung wird an Listen wie Bugtraq geschickt Fehler die in der Debian Distribution vorhanden sind betreffen nor
356. rwenden den Dienst von Hand zu starten Jedoch handelt es sich bei allen Dateien unter etc init d um Konfigurationsdateien und sollten daher bei einer Paketaktualisierung nicht berschrieben werden Sie k nnen im Gegensatz zu anderen UNIX Betriebssystemen Dienste unter Debian nicht abschalten indem Sie die Dateien unter etc default Dienst modifizieren FIXME Add more information on handling daemons using file rc 3 6 2 Abschalten von inetd oder seinen Diensten Sie sollten berpr fen ob Sie heutzutage den inet d Daemon berhaupt brauchen Inetd war fr her eine M glichkeit Unzul nglichkeiten des Kernels auszugleichen Diese sind aber in modernen Linux Kerneln nicht mehr vorhanden Gegen inetd gibt es die M glichkeit von Angriffen die zur Dienstverweigerung f hren Denial of Service welche die Last des Rech ners unglaublich erh hen Viele Leute ziehen es vor einzelne Daemonen zu benutzen anstatt Kapitel 3 Vor und w hrend der Installation 42 einen Dienst ber inetd zu starten Wenn Sie immer noch einen inetd Dienst laufen lassen wollen wechseln Sie wenigstens zu einem besser zu konfigurierenden Inet Daemonen wie xinetd oder rlinetd Sie sollten alle nicht ben tigten Inetd Dienste auf Ihrem System abschalten wie zum Beispiel echo chargen discard daytime time talk ntalk und die r Dienste rsh rlogin und rcp die als SEHR unsicher gelten benutzen Sie stattdessen ssh Sie k nnen Dienste abschalten inde
357. s Dies schaltet das Mitprotokollieren von su Versuchen im Syslog ein Sehr wichtig auf ernst haften Maschinen aber beachten Sie dass dies auch die Privatsph re verletzen kann SYSLOG_SG_ENAB yes Das gleiche wie bei SYSLOG_SU_ENAB jedoch f r das Programm sg MD5_CRYPT_ENAB yes Wie bereits erkl rt reduzieren MD5 Summen Passw rter gro artig das Problem lexikalischer Attacken da Sie l ngere Passw rter benutzen k nnen Wenn Sie slink benutzen lesen Sie die Dokumentation zu MD5 bevor Sie diese Option einschalten Ansonsten wird dies in PAM gesetzt PASS_MAX_LEN 50 Wenn Sie MD5 Passworter in Ihrer PAM Konfiguration aktiviert haben dann sollten Sie diese Variable auf denselben Wert setzen den Sie dort benutzt haben Kapitel 4 Nach der Installation 65 4 11 4 ftp Einschr nken Editieren von etc ftpusers Die Datei etc ftpusers enth lt eine Liste von allen Nutzern denen es nicht erlaubt ist sich auf dem Rechner mit ftp einzuloggen Benutzen Sie diese Datei nur wenn Sie wirklich ftp er lauben wollen wozu im Allgemeinen nicht geraten wird da es Klartext Passw rter benutzt Wenn Ihr ftp Daemon PAM unterst tzt k nnen Sie dies ebenfalls benutzen um Nutzern be stimmte Dienste zu erlauben oder zu verbieten FIXME FEHLER Ist es ein Fehler dass ftpusers in Debian standardm ig nicht die Benut zer mit Administratorenrecht in base passwd beinhaltet Folgender Befehl ist ein einfacher Weg alle Systemkonten zu
358. s Benutzerhandbuch von Squid auf Grund seines Umzugs Wurde von Oskar Pearson dem Herausgeber mitgeteilt e Korrigierte Informationen ber umask seine logins defs nicht limits conf wo dies f r einen Anmeldungen konfiguriert werden kann Stellte den Standard von Debian und strengere Werte f r Benutzer und Root dar Vielen Dank an Reinhard Tartler f r das Auf finden des Fehlers 1 6 2 Version 3 9 Oktober 2006 nderung von Javier Fern ndez Sanguino Pefia Kapitel 1 Einleitung 8 e F gte Informationen hinzu wie man Sicherheitsl cken verfolgt Hinweis auf den Debian Testing Sicherheits Tracker e F gte weitere Informationen ber die Sicherheitsunterst tzung f r Testing hinzu e Korrigierte eine gro e Anzahl von Tippfehlern mit einem Patch von Simon Brandmair e F gte einen Abschnitt hinzu wie das Root Prompt bei initram s abgestellt wird Wurde von Max Attems beigesteuert e Entfernte Verweise auf queso e Hinweis in der Einleitung dass nun auch Testing vom Sicherheitsteam unterst tzt wird 1 6 3 Version 3 8 Juli 2006 Anderung von Javier Fern ndez Sanguino Pe a e Schrieb die Hinweise neu wie man SSH in einer Chroot Umgebung einsperrt um die verschiedenen Optionen deutlicher herauszustellen Vielen Dank an Bruce Park der auf verschiedene Fehler in diesem Anhang hinwies e Verbesserte den Aufruf von Isof wie es von Christophe Sahut vorgeschlagen wurde e F gte einen Patch von Uwe Hermann zur Verb
359. s ausgef hrte Kommando wird im syslogd aufgezeichnet indem die authpriv M glichkeit benutzt wird blicher weise wird dies unter var log auth log gespeichert 4 11 10 Nachpr fung der Nutzerprofile Wenn Sie sehen wollen was Nutzer tats chlich tun wenn sie sich beim System anmelden k n nen Sie die wtmp Datenbank benutzen die alle Login Informationen enth lt Diese Datei kann mit verschiedenen Werkzeugen weiterverarbeitet werden unter ihnen sac das ein Profil f r jeden Nutzer ausgeben kann und zeigt in welchem Zeitfenster sie sich f r gew hnlich auf dem System einloggen F r den Fall dass Sie Accounting aktiviert haben k nnen Sie auch die mitgelieferten Werk zeuge verwenden um festzustellen wann Nutzer auf das System zugreifen und was sie aus f hren Ttys werden fiir lokal Logins und entfernte Logins mit ssh und telnet erzeugt Kapitel 4 Nach der Installation 69 4 11 11 umasks der Nutzer einstellen Abh ngig von Ihren Richtlinien m chten Sie vielleicht ndern wie Nutzer Informationen tei len k nnen Dabei geht es um die Standardrechte von neu erstellten Dateien Wenn die Standardwerte von Debian f r Ihr System zu gro z gig sind m ssen Sie die umask Einstellungen f r alle Shells ndern Strengere Umask Einstellungen sind 027 kein Zugriff der Gruppe other auf neue Dateien dazu z hlen andere Benutzer auf dem System oder 077 kein Zugriff der Mitglieder der Gruppe des Benutzers Debian er
360. s bin etbase passwd pciutils perl perl base perl modules php4 php4 mysql PPP pppconfig procps psmisc Pump sed setserial shellutils slangl snort ssh sysklogd syslinux sysvinit tar tasksel tcpd telnet textutils 0 6 0potatol 0 6 0potatol 18 4 9990827 20 1 2 2 libreadline4 4 2 3 libss109 0 9 4 5 libstdc 2 10 2 95 2 13 libstdc t 2 10 2 95 4 0 01070 libwrap0 7 6 4 Tilo 21 4 3 2 locales ER login 19990827 20 makedev 2 3 1 46 2 mawk Li mbr 246 2 mime support 11 modutils LAS s1 mount 10 5 1 mysql client 2339 3 mysql common 233 9315 de mysql server 2343973 n n n ANN WBORNNN BP BOO ON HH WOO WWW MN N Y CO OO GA OO OO On On On 0 16 4potato 1 2 0 2 Kapitel C Aufsetzen eines autonomen IDS 235 ii update 20 11 1 ii util linux Ulf 1 Il 2 labile E 3 25 N Kapitel C Aufsetzen eines autonomen IDS 236 237 Anhang D Aufsetzen einer berbr ckenden Firewall bridge Firewall Diese Informationen trug Francois Bayart bei um Benutzern zu helfen eine Linux Bridge Firewall mit 2 4 x Kernel und iptables aufzusetzen Ein Kernelpatch wird nicht mehr ben tigt da der Code Standardinhalt der Linux Kernel Distribution wurde Um die notwendigen Einstellungen im Kernel vorzunehmen rufen Sie make menuconfig oder make xconfig auf Aktivieren Sie im Abschnitt Networking options folgende Optionen Network packet fi
361. s enth lt netkit inetd Wenn Sie es entfernen wollen k nnen Sie es entweder abschalten siehe Daemons abschalten auf Seite 40 oder das Paket entfernen indem Sie das Paket equivs benutzen Warum muss ich Port 111 offen haben Port 111 ist sunrpcs Portmapper und wird standardm ig bei der Grundinstallationen eines Debian Systems eingerichtet da es keine M glichkeit gibt herauszubekommen wann ein Pro gramm eines Nutzers RPC gebrauchen k nnte um korrekt zu arbeiten Jedenfalls wird es meistens von NFS benutzt Wenn Sie kein NFS benutzen entfernen Sie es wie in Sichern von RPC Diensten auf Seite 120 erkl rt In Versionen des Pakets portmap sp ter als 5 5 k nnen Sie sogar den Portmapper installieren aber ihn nur auf dem Localhost lauschen lassen dazu m ssen Sie etc default portmap ver ndern Wozu ist der identd Port 113 da Der Dienst Identd ist ein Authentisierungdienst der den Besitzer einer bestimmten TCP IP Verbindung zu einem entfernten Server der die Verbindung annimmt identifiziert Wenn ein Benutzer sich mit einem entfernten Host verbindet schickt inetd auf dem entfernten Host blicherweise eine Anfrage an Port 113 zur ck um Informationen ber den Besitzer heraus zufinden Er wird h ufig von Mail FIP und IRC Servern eingesetzt Er kann auch dazu ver wendet werden um einen Nutzer Ihres lokalen Systems der ein entferntes System angreift aufzusp ren Es gab ausf hrliche Diskussionen
362. sagenden Ausgabe wie dieser abbrechen W GPG error http archive progeny com sid Release Unknown error executing Kapitel 7 Die Infrastruktur f r Sicherheit in Debian 154 Dagegen macht apt key das Problem deutlich gpg key 2D230C5F was created 192324901 seconds in the future time warp or c gpg key 2D230C5F was created 192324901 seconds in the future time warp or c pub 1024D 2D230C5F 2006 01 03 uid Debian Archive Automatic Signing Key 2006 lt ftpmaster d Falls die Uhr nicht zu weit vorgeht behandelt Apt die Schl ssel als abgelaufen Wenn Sie Testing oder Unstable verwenden gibt es ein Problem wenn Sie in letzter Zeit nicht apt get update ausgef hrt haben und mit apt get ein Paket installieren m chten Apt k nnte sich dar ber beschweren dass es nicht authentifiziert werden konnte Warum passiert das blo apt get update l st das Problem Pr fung von Hand F r den Fall dass Sie nun zus tzliche Sicherheitspr fungen einf hren wollen aber nicht die neuste Version von apt einsetzen wollen oder k nnen k nnen Sie das folgende Skript von An thony Towns benutzen Dieses Skript f hrt automatisch neue Sicherheits berpr fungen durch damit ein Nutzer sicher gehen kann dass die Software die er herunterl dt die gleiche ist wie die die von Debian bereitgestellt wird Das verhindert dass sich Debian Entwickler in ein fremdes System einhacken k nnen ohne dass eine Zurechnung und R ckverfolgun
363. schl sseln Jede dieser Methoden ben tigt nat rlich einen speziellen Client Debian stellt Ihnen solche zur Verf gung zum Beispiel enth lt das Paket ssh das Programm scp Es arbeitet wie rcp aber ist komplett verschl sselt so dass die b sen Jungs noch nicht einmal herausbekommen k n nen WAS Sie kopieren Wie es den Server gibt so gibt es nat rlich auch ein ftp ss1 Client Paket Sie k nnen Clients f r diese Software sogar f r andere nicht UNIXoide Betriebssys teme finden putty und winscp stellen eine secure copy Implementierung f r jede Version von Microsoft Betriebssystemen zur Verf gung Beachten Sie dass die Verwendung von scp den Nutzern Zugang zum gesamten Dateisystem erm glicht es sei denn dass es in eine chroot Umgebung eingesperrt ist wie es in SSH in ein Chroot Gef ngnis einsperren auf Seite 100 beschrieben wird Wahrscheinlich sogar leich ter abh ngig vom verwendeten Daemon kann auch der FTP in eine chroot Umgebung ein gesperrt werden Das wird in Absichern von FTP auf Seite 102 beschrieben Falls Sie sich sorgen dass Nutzer Ihre lokalen Dateien durchsehen und Sie verschl sselte Kommunikation Kapitel 4 Nach der Installation 83 w nschen k nnen Sie einen FTP Daemon mit Unterst tzung f r SSL einrichten oder FTP mit Klartext und VPN verbinden siehe Virtual Private Networks virtuelle private Netzwerke auf Seite 165 4 17 Einschr nkung und Kontrolle des Dateisystems 4
364. se S1 in start restart echo n fw_stop fw_start echo done rm stop echo n fw_stop tables tables Les Les Les Les tables tables Les Les Les Les echo done rm clear echo n fw_clear Fr D PO ber Er nat F mangle F INPUT DROP FORWARD DROP OUTPUT ACCEPT nat F mangle F INPUT ACCEPT FORWARD ACCEPT OUTPUT ACCEPT Starting firewall Stopping firewall echo done ii echo Usage exit 1 rT esac exit 0 0 Clearing firewall rules start stop restart clear Kapitel 5 Absichern von Diensten die auf Ihrem System laufen 130 Konfiguration von Firewall Regeln mittels ifup Sie k nnen auch die Netzwerkkonfiguration in etc network interfaces verwenden um Ihre Firewall Regeln einzurichten Daf r m ssen Sie Folgendes tun e Erstellen Sie Ihre Firewall Regeln f r die aktivierte Schnittstelle e Sichern Sie Ihre Regeln mit iptables save in eine Datei in etc zum Beispiel etc iptables up rules e Konfigurieren Sie etc network interfaces diese Regeln zu verwenden iface eth0 inet static address X X X X interface configuration pre up iptables restore lt etc iptables up rules Wahlweise k nnen Sie auch Regeln erstellen die beim Herunterfahren der Netz werkschnittstelle ausgef hrt werden Dazu erzeugen Sie diese speichern sie in etc iptables down rules und f gen diese Anweisung z
365. se zu einem privaten Netzwerk mit begrenztem 6ffentlichen Netzwerkzugang verbunden sind und gesichert ber ein ffentliches Netzwerk kommunizieren VPNs k nnen Kapitel 8 Sicherheitswerkzeuge in Debian 166 einen einzelnen Rechner mit einem privaten Netzwerk verbinden Client Server oder ein ent ferntes LAN mit einem privaten Netzwerk Server Server VPNs verwenden Verschl sselung starke Authentifikation von entfernten Nutzern oder Hosts und Methoden um Struktur des privaten Netzwerks zu verstecken Debian enth lt einige Pakete die zum Aufsetzen von verschl sselten virtuellen privaten Netz werken verwendet werden k nnen e vtun e tunnelv Abschnitt non US e cipe source cipe common e tinc e secvpn pptpd e openvpn e freeswan welches jetzt berholt ist Sein Ersatz ist e openswan http www openswan org FIXME Update the information here since it was written with FreeSWAN in mind Check Bug 237764 and Message Id lt 200412101215 04040 rmayr debian org gt Das OpenSWAN Paket ist wahrscheinlich die beste Wahl da es nahezu mit allem zusammen arbeiten kann das das IP Security Protokoll IPsec RFC 2411 benutzt Aber auch die anderen oben aufgef hrten Pakete k nnen Ihnen helfen m glichst schnell einen sicheren Tunnel auf zusetzen Das Point to Point Tunneling Protocol PPTP ist ein urheberrechtlich gesch tztes Protokoll von Microsoft f r VPN Es wird unter Linux unterst tzt aber es sind einig
366. sehr einfach eine root Shell auf Ihrem System bekommen indem er einfach lt Name Ihres Bootimages gt init bin sh am Bootprompt eingibt Nachdem die Pass w rter ge ndert und das System neu gestartet wurde hat die Person uneingeschr nkten Root Zugang und kann nach Belieben alles auf Ihrem System machen Nach dieser Prozedur haben Sie keinen Root Zugang mehr zu Ihrem System weil Sie das Root Passwort nicht kennen Ein Beispielskript mit dem Namen testnet http www debian administration org articles 70 testnet ist im Artikel Remotely rebooting Debian GNU Linux machines http www debian administration org article 70 enthalten Ein ausgereifteres Testskript befindet sich im Artikel Testing network connectivity http www debian administration org article 128 6Das Einrichten einer seriellen Konsole w rde den Rahmen dieses Dokuments sprengen Informationen dazu finden Sie im Serial HOWTO http www tldp org HOWTO Serial HOWTO html und im Remote Serial Console HOWTO http www tldp org HOWTO Remote Serial Console HOWTO index html Kapitel 4 Nach der Installation 52 Um sicher zu stellen dass dies nicht passieren kann sollten Sie den Boot Loader mit einem Passwort sch tzen Sie k nnen zwischen einem globalen Passwort und Passw rtern f r be stimmte Images w hlen F r LILO m ssen Sie die Konfigurationsdatei etc lilo conf editieren und eine password und restricted Zeile wie im folgenden Beispiel einf gen i
367. sein Sie erhalten zur ckportierte und signierte Snort Pakete die vom Paketbetreuer angeboten werden unter http people debian org ssmeenk snort stable 1388 Es gibt noch andere einfachere Werkzeuge die dazu benutzt werden k nnen Angriffe auf das Netzwerk zu erkennen Port sent ry ist ein interessantes Paket dass Sie warnen kann wenn jemand Ihre Rechner scannt Auch andere Programme wie ippl oder iplogger erkennen bestimmte IP TCP und ICMP Angriffe auch wenn sie nicht so fortgeschrittenen Techniken zur Erkennung von Netzwerkangriffen wie snort haben Sie k nnen jedes dieser Werkzeuge mit dem Paket idswakeup testen Das ist ein Shell Skript das falsche Alarme verursacht und Signaturen vieler gebr uchlicher Angriffe enth lt Kapitel 10 Vor der Kompromittierung 189 10 3 2 Host basierende Eindringlingserkennung Eine Eindringlingserkennung die auf einem Host basiert beruht darauf Software auf dem zu berwachenden System zu laden die Log Dateien und die Auditing Programme des Sys tems als Datengrundlage verwendet Sie sucht nach verd chtigen Prozessen kontrolliert den Zugang zum Host und berwacht u U auch nderungen an kritischen Systemdateien tiger istein lteres Programm zur Eindringlingserkennung dass seit der Woody Distribution auf Debian portiert wurde tiger bietet Tests von verbreiteten Problemen in Zusammenhang mit Einbr chen wie der St rke von Passw rtern Problemen mit dem Dateisystem kommu
368. selt ist In einige entfernte System wurde sogar schon durch ein unt tiges und abgel stes screen eingedrungen Die automatische Trennung von unt tigen Benutzern ist gew hnlich ein Teil der lokalen Si cherheitsregeln die durchgesetzt werden m ssen Es gibt mehrere Wege dies zu tun e Wenn die Shell des Benutzers die Bash ist kann ein Systemadministrator TMOUT einen Standardwert zuweisen vergleich bash 1 Das hat zur Folge dass die Shell automa tisch entferne unt tige Nutzer ausloggt Beachten Sie dass der Wert mit der 0 Option gesetzt werden muss Ansonsten w re es den Nutzern m glich ihn zu ver ndern oder zu l schen Installieren Sie timeoutd und konfigurieren Sie etc timeouts passend zu Ihren lo kalen Sicherheitsrichtlinien Der Daemon achtet auch unt tige Nutzer und beendet ihre Shells gegebenenfalls e Installieren Sie autolog und richten Sie es so ein dass es unt tige Nutzer entfernt Vorzugsw rdige Methoden sind die Daemonen timeoutd und autolog da letzten Endes die Nutzer ihre Standardshell ndern k nnen oder zu einer anderen unbeschr nkten Shell wechseln k nnen nachdem sie ihre Standardshell gestartet haben 4 12 Die Nutzung von tcpwrappers TCP Wrapper Schutzumschlage fiir TCP wurden entwickelt als es noch keine echten Paket filter gab aber Zugangskontrollen notwendig waren Trotzdem sind sie immer noch hoch in teressant und ntitzlich Ein TCP Wrapper erlaubt Ihnen einem Host oder ei
369. sicheres System zu gew hrleisten e Debians Probleme werden immer ffentlich behandelt sogar wenn sie die Sicherheit betreffen Sicherheitsfragen werden ffentlich auf der debian security Mailingliste dis kutiert Debian Sicherheits Ank ndigungen DSA werden an ffentliche Mailinglis ten sowohl intern als auch extern versendet und auf ffentlichen Servern bekannt gegeben Wie der Debian Gesellschaftsvertrag http www debian org social contract sagt Wir werden Probleme nicht verbergen Wir werden unsere Fehlerdatenbank immer ffentlich betreiben Fehlermeldungen die von Perso nen online abgeschickt werden sind augenblicklich f r andere sichtbar e Debian verfolgt Sicherheitsangelegenheiten sehr aufmerksam Das Sicherheits Team pr ft viele sicherheitsrelevante Quellen die wichtigste davon Bugtraq http www securityfocus com cgi bin vulns pl w hrend es Pakete mit Sicherheitspro blemen sucht die ein Teil von Debian sein k nnen e Sicherheits Aktualisierungen genie en h chste Priorit t Wenn ein Sicherheitsproblem in einem Debian Paket entdeckt wird wird eine Sicherheits Aktualisierung so schnell wie m glich vorbereitet und f r den Stabile Testing und Unstabile Zweig einschlie lich aller Architekturen ver ffentlicht e Alle Informationen ber Sicherheit sind an einer zentralen Stelle zu finden http security debian org e Debian versucht immer die gesamte Sicherheit seiner Distribution zu ver
370. so 2 gt libnss_compat 2 2 5 s0 libnss_db 2 2 so libnss_db so 2 gt libnss_dns 2 2 5 s0 libnss_dns so 2 libnss_files 2 2 5 so libnss_files so 2 gt libnss_files 2 2 5 s0 libnss_hesiod 2 2 5 s0 libnss_hesiod so 2 gt libnss_hesiod 2 2 5 s0 libnss_nis 2 2 5 s0 libnss_nis so 2 libnss_nisplus 2 libnss_nisplus so libnss_db 2 2 so gt libnss_dns 2 2 5 s0 gt libnss_nis 2 2 5 s0 2 9 80 2 gt libnss_nisplus 2 2 5 so libpam so 0 gt libpam so 0 72 libpam libpthread 0 9 so libpthread so 0 gt libpthread 0 9 so libresolv 2 2 5 s libresolv so 2 gt LIbrE 272 3 80 librt so 1 gt lib o libresolv 2 2 5 so rt 2 2 5 so V3bUE11 25229585 gt Cart een gt libutil 2 2 5 so libwrap so 0 gt 1 libwrap so 0 7 6 ibwrap so 0 7 6 SECURELY pam_access so pam_chroot so pam_deny so pam_env so pam_filter so pam_ftp so pam_group so pam_issue so pam_lastlog so pam_limits so pam_listfile so pam_mail so pam_mkhomedir so pam_motd so pam_nologin so pam_permit so pam_rhosts_auth so pam_rootok so pam_securetty so Kapitel G Chroot Umgebung f r SSH 259 pan pam pam n_tally so pam pam_ pam_ pam_ pam_ pam_ pam_ pam pan sbin x zeen SE bin du x ee a she
371. speichert wie ein Ausdruck aber mit dieser Methode kann man gr ere Mengen handhaben und die CD ROMs nehmen nicht so viel Platz weg e ndern Sie die Dateiattribute mit chatt r dem Tipps HOWTO von Jim Dennis entnom men Nachdem Sie Ihr System sauber installiert und konfiguriert haben verwenden Sie das Programm chattr mit dem Attribut i um Dateien unver nderbar zu machen die Datei kann nicht gel scht umbenannt verlinkt oder beschrieben werden Sie sollten die ses Attribut f r alle Dateien in bin sbin usr bin usr sbin usr lib und den Kerneldateien in root Sie k nnen auch eine Kopie aller Dateien in etc mittar oder dergleichen erstellen und das Archiv als unver nderbar kennzeichnen Mit dieser Vorgehensweise k nnen Sie den Schaden zu begrenzen den Sie anrichten k n nen wenn Sie als Root eingeloggt sind Sie k nnen keine Dateien mit einer fehlgeleite ten Umleitung berschreiben und Sie werden Ihr System nicht durch ein fehlplatziertes Leerzeichen im Kommando rm fr unbenutzbar machen Sie k nnen aber Ihren Daten immer noch einigen Schaden zuf gen aber Ihre Bibliotheken und Programme sind sicherer Dies macht auch verschiedene Sicherheits und Denial of Service DoS Exploits entwe der unm glich oder weitaus schwieriger da viele von ihnen darauf beruhen Dateien durch Aktionen eines SETUID Programms zu berschreiben das keinen frei w hlbaren Shellbefehl zur Verf gung stellt Eine Unbequemlichkeit
372. ss es mit dem System gestartet wird Bei neueren Ver sionen seit 1 2 6a 1 werden Sie w hrend der Installation hiernach gefragt Sie k nnen es hinterher wieder mit dpkg reconfigure plow iptables ndern Wichtig Bei l teren Versionen geschah dies noch durch Editieren von etc default iptables so dass die Variable enable_iptables_initd auf true gesetzt wurde e Erstellen Sie ein Firewall Setup mit iptables benutzen Sie dazu die Kommandozeile sie he iptables 8 oder andere Werkzeuge aus Debians Firewall Paketen siehe Nutzen von Firewall Paketen auf Seite 124 Sie m ssen einen Satz von Firewall Regeln erstel len die benutzt werden sollen wenn die Firewall aktiv ist und einen anderen wenn die Firewall inaktiv dies k nnen auch nur leere Regeln sein ist e Sichern Sie die erstellten Regeln mit den Skripten etc init d iptables save active und etc init d iptables save inactive Sobald dies geschehen ist ist Ihr Firewall Setup im Verzeichnis var lib iptables ge speichert und wird beim System Boot ausgef hrt oder wenn das initd Skript mit start oder stop Argument gestartet wird Beachten Sie dass die standardm igen Einstellungen unter Debian vorsehen den Firewall Code in den Multiuser Runleveln 2 bis 5 sehr fr h 10 zu starten Au erdem wird er im singleuser Runlevel 1 gestoppt ndern Sie dies wenn es nicht Ihren lokalen Richtlinien entspricht Bitte lesen Sie die Kommentare in der etc de
373. ssen Sie nicht init q auszuf hren nachdem Sie diese Datei irgendwie ver ndert haben Standardm ig enth lt Debian diesen Schalter ca 12345 ctrlaltdel sbin shutdown tl a r now Jetzt m ssen Sie um es manchen Benutzern zu erlauben Ihr System neu zu starten eine Datei etc shutdown allow erstellen wie es die Handbuchseite shutdown 8 beschreibt Dort Die Datei etc securetty ist eine Konfigurationsdatei die zum Paket Login geh rt Oder ttyoX in GNU FreeBSD und ttyE0 in GNU KNetBSD Oder comX in GNU Hurd cuaaX in GNU FreeBSD und ttyXX in GNU KNetBSD Die Standardeinstellung in Woody beinhaltet zw lf lokale tty und vc Konsolen und die console Schnittstelle Anmeldungen von entfernten Orten sind nicht erlaubt In Sarge stellt die Standardeinstellung 64 Konsolen f r tty und vc Konsolen zu Verf gung Sie k nnen das ohne Probleme entfernen wenn Sie nicht derartige viele Konsolen benutzen Achten Sie auf die getty Eintr ge Kapitel 4 Nach der Installation 56 m ssen die Namen der Benutzer die das System neu booten d rfen aufgef hrt sein Wenn der drei Finger Salut auch bekannt als Strg Alt Entf und Affengriff ausgef hrt wird wird gepr ft ob irgendeiner der Benutzer die in der Datei aufgelistet sind eingeloggt sind Wenn es keiner von ihnen ist wird shutdown das System nicht neu starten 4 10 Partitionen auf die richtige Art einbinden Wenn Sie eine ext2 Partition einbinden k nnen Sie verschiede
374. st allow Datei hinzuf gen wird tcpchk Sie warnen dass er sie nicht finden kann da er sie nur in etc inetd conf sucht die Handbuchseite ist an dieser Stelle nicht sehr genau Jetzt kommt ein kleiner Trick und vielleicht die kleinste Alarmanlage zur Erkennung von Ein dringlingen Im Allgemeinen sollten Sie eine anst ndige Firewall als erste und TCP Wrapper als zweite Verteidigungslinie haben Der Trick besteht nun darin ein SPAWN Kommando 22 in etc hosts deny einzutragen das immer dann eine Mail an Root schickt wenn ein Dienst abgewiesen wurde ALL ALL SPAWN A echo e n TCP Wrappers Verbindungsaufbau abgelehnt n By uname n n Prozess d pid p n Nutzer u n Host c n Datum date n usr bin mail s Verbindung zu d blockiert root amp Achtung Das obige Beispiel kann sehr leicht zu DoS Denial of Service Verbindungsaufbau abgelehnt f hren indem man versucht sehr viele Verbindungen in kurzer Zeit aufzubauen Viele E Mails bedeuten viel Dateiaktivit t die lediglich durch das Senden von ein paar Paketen erreicht wird 4 13 Die Wichtigkeit von Logs und Alarmen Es ist leicht einzusehen dass die Behandlung von Logs Protokolldateien und Alarmen eine wichtige Angelegenheit in einem sicheren System ist Stellen Sie sich vor ein System ist perfekt Bei lteren Ver ffentlichungen von Debian sollte Sie Folgendes ausf hren apt cache showpkg libwrap0 egrep space
375. stration ersetzt 12 1 5 Ich m chte einen XYZ Dienst laufen lassen Welchen sollte ich benutzen Einer der gr ten St rken von Debian ist die gro e Vielfalt von Paketen die die gleichen Funk tionen erf llen DNS Server Mail Server FTP Server Web Server etc Das kann einen uner fahrenen Administrator verwirren wenn er herausfinden will welches Paket das richtige f r ihn ist Die beste Wahl h ngt in der Balance zwischen Ihrem Bed rfnis nach Funktionalit t und dem nach Sicherheit in der jeweiligen Situation ab Im folgenden einige Fragen die Sie sich stellen sollten wenn Sie zwischen hnlichen Paketen entscheiden m ssen e Wird es noch vom Originalautor betreut Wann war die letzte Ver ffentlichung Kapitel 12 H ufig gestellte Fragen Frequently asked Questions FAQ 202 e Ist das Paket ausgereift Die Versionsnummer sagt nichts dar ber aus wie ausgereift es ist Versuchen Sie seine Geschichte nachzuvollziehen e Ist es von Fehlern durchsetzt Gab es Sicherheits Ank ndigungen im Zusammenhang mit ihm e Stellt die Software die ganze Funktionalit t zur Verf gung die Sie ben tigen Bietet es mehr als Sie wirklich brauchen 12 1 6 Wie mache ich den Dienst XYZ unter Debian sicherer Sie werden in diesem Dokument Informationen ber das Absichern von einigen Diensten FTP Bind unter Debian GNU Linux finden F r Dienste die hier nicht abgedeckt werden pr fen Sie die Programm Dokumentation oder allgemeine L
376. t auf Ihrem System laufen Ver suchen Sie dazu Folgendes ps aux netstat pn l A inet usr sbin lsof i grep LISTEN Damit das dritte Kommando funktioniert werden Sie 1sof 2 2 installieren m ssen und es als Root laufen lassen Beachten Sie dass 1sof das Wort LISTEN passend zu Ihrer Lokalisation bersetzen kann Kapitel A Der Abh rtungsprozess Schritt f r Schritt 224 Um einen unn tigen Dienst zu entfernen stellen Sie zun chst fest wie er gestartet wird und welches Paket ihn zur Verf gung stellt Sie k nnen dies ganz einfach machen indem Sie das Programm pr fen das auf dem Socket lauscht Das nachfolgende Shell Skript das die Programme 1sof und dpkg verwendet macht genau das bin sh FIXME this is quick and dirty replace with a more robust script sni for i in sudo lsof i grep LISTEN cut d f I sort a do pack dpkg S i grep bin cut f d uniq echo Service i is installed by pack init dpkg L pack grep init d if z Sinit J then echo and is run by init ET done e Wenn Sie einen unerw nschten Dienst finden entfernen Sie das Paket mit dpkg purge Oder benutzen Sie update rc d siehe Daemons abschalten auf Seite 40 um ihn aus dem Start Prozess zu entfernen berpr fen Sie bei inetd Diensten werden durch den Superdaemon gestartet welche Dienste in etc inetd conf aktiviert sind Verwenden Sie dazu
377. t da f r auch einige Werkzeuge wie arpspoof aus dem Paket dsniff oder arpoison http arpoison sourceforge net Allerdings gibt es immer eine L sung e Verwenden Sie einen statischen ARP Speicher So erstellen Sie statische Eintr ge in Ihrem ARP Speicher arp s host_name hdwr_addr Indem Sie statische Eintrage fiir jeden wichtigen Host in Ihrem Netzwerk vergeben stel len Sie sicher dass niemand einen falschen Eintrag fiir diese Hosts erstellen oder veran dern kann statische Eintr ge verfallen nicht und k nnen nicht ver ndert werden Auch gef lschte ARP Antworten werden ignoriert e Entdecken Sie verd chtigen ARP Verkehr Sie k nnen dazu arpwatch karpski oder allgemeinere IDS die auch verd chtigen ARP Verkehr entdecken k nnen wie snort oder prelude http www prelude ids org einsetzen e Verwirklichen Sie einen IP Filter der die MAC Adressen berpr ft 4 19 Einen Schnappschuss des Systems erstellen Bevor Sie das System in eine produktive Umgebung stellen k nnen Sie einen Schnappschuss des gesamten Systems machen Diesen Schnappschuss k nnen Sie im Falle einer Kompromit tierung siehe Nach einer Kompromittierung Reaktion auf einem Vorfall auf Seite 195 be nutzen Sie sollten so einen Schnappschuss immer dann erneuern wenn Sie das System aktua lisieren insbesondere wenn Sie auf eine neue Debian Release upgraden Hierf r k nnen Sie beschreibbare austauschbare Datentr ger benutz
378. tdeckt wird ein Angreifer Root Rechte anstatt nur Sshd Rechte erlangen wird und somit das gesamte System kompromittiert Wenn Sie die Rechtetrennung nicht deaktivieren brauchen Sie im Chroot Gef ngnis etc passwd welches die Benutzer UID enth lt damit die Rechtetrennung funktioniert Wenn Sie die Option Rechtetrennung auf yes gesetzt haben und Ihre Version von OpenSSH nicht richtig l uft m ssen Sie sie abschalten Wenn Sie das unterlassen werden Benutzer die sich mit Ihrem Server verbinden wollen und von diesem Modul in eine Chroot Umgebung eingesperrt werden sollen Folgendes zu sehen bekommen ssh l user server user server s password Connection to server closed by remote host Connection to server closed Dies geschieht weil der SSH Daemon der als sshd l uft nicht den Systemaufruf chroot ausf hren kann Um die Rechtetrennung abzuschalten m ssen Sie die Konfigurationsdatei etc ssh sshd_config wie oben beschrieben ver ndern Beachten Sie dass wenn Folgendes fehlt sich die Benutzer nicht in der Chroot Umgebung anmelden k nnen e Das Dateisystem proc muss in der Chroot Umgebung des Benutzers gemountet sein e Die notwendigen Ger te unter dev pts m ssen vorliegen Falls diese Dateien au tomatisch vom Kernel erstellt werden m ssen Sie sie von Hand unter dev in der Chroot Umgebung erstellen e Das Home Verzeichnis des Benutzers muss in der Chroot Umgebung existieren Ansons ten wird der
379. te E Mail Liste unter http www de debian org MailingLists subscribe auch ber das Web abonnie ren Diese Mailingliste hat ein sehr geringes Aufkommen und indem Sie sie abonnieren werden Sie sofort ber Sicherheitsaktualisierungen der Debian Distribution informiert Dies erlaubt Ihnen sehr schnell neue Pakete mit Sicherheitsaktualisierungen herunterzuladen was sehr wichtig ist um ein sicheres System zu verwalten siehe Ausf hren von Sicherheitsupdates auf Seite 48 f r weitere Details wie Sie dies machen 47 Kapitel 4 Nach der Installation Wenn das System installiert ist k nnen Sie es noch weiter absichern indem Sie einige der in diesem Kapitel beschriebenen Schritte ausf hren Nat rlich h ngt dies vor allem von Ihrem Setup ab aber um physischen Zugriff zu verhindern sollten Sie nderungen im BIOS noch einmal auf Seite 51 Ein Passwort f r LILO oder GRUB einstellen auf Seite 51 Entfernen des Root Promptes aus dem Kernel auf Seite 53 Booten von Diskette verbieten auf Seite 54 Einschrankender Konsolen Zugang auf Seite 54 und System Neustart von der Konsole aus einschr nken auf Seite 55 lesen Bevor Sie sich mit einem Netzwerk verbinden insbesondere wenn es sich um ein ffentli ches Netzwerk handelt sollten Sie wenigstens eine Sicherheitsaktualisierung siehe Ausfih ren von Sicherheitsupdates auf der n chsten Seite durchf hren Optional k nnen Sie auch einen Sch
380. te Firewall Skripte einf hren die beim Systemstart ausgef hrt werden Testen Sie diese ausf hrlich bevor Sie neustarten oder Sie finden sich selbst ausgesperrt vor Ihrem Rechner wieder Wenn Sie verschiedene Firewall Pakete mischen kann dies zu unerw nschten Nebeneffekten f hren Gew hnlich wird das Firewall Skript das zuletzt ausgef hrt wird das System konfigurieren was Sie so vielleicht nicht vorhatten Sehen Sie hierzu in der Paketdokumentation nach und benutzen Sie nur eines dieser Setups Wie bereits zuvor erl utert sind einige Programme wie firestarter guarddog und knetfilter graphische Administrations Schnittstellen die entweder GNOME oder KDE die letzte beiden benutzen Diese sind viel benutzerorientierter z B f r Heimanwender als einige der anderen Pakete in der Liste die sich eher an Administratoren richten Einige der Programme die zuvor aufgef hrt wurden wie bastille fokussieren auf dem Erstellen von Firewall Regeln zum Sch tzen des Rechners auf dem sie laufen sind aber nicht notwendiger weise daf r geschaffen Firewall Regeln f r Rechner zu erstellen die ein Netzwerk sch tzen wie shorewall oder fwbuilder Es gibt einen weiteren Typ von Firewall Anwendungen Anwendungs Proxys Wenn Sie eine M glichkeit suchen eine Unternehmensl sung aufzusetzen die Pakete filtert und eine Anzahl von transparenten Proxys bietet die feinabgestimmte Verkehrsanalysen bieten so sollten Sie Kapitel 5 Absichern von Di
381. te copyright notice Kapitel E Beispielskript um die Standard Installation von Bind zu ndern 242 restore Just in case restore the system if the changes fail echo WARN Restoring to the previous setup since I m unable to properly echo WARN Please check the SINITDERR script mv SINITD SINITDERR cp SINITDBAK SINITD USER named GROUP named INITD etc init d bind INITDBAK SINITD preuserchange INITDERR SINITD changeerror START start stop daemon start quiet exec usr sbin named g GROU AWKS awk TI start stop daemon start print SSTART noprint 1 id u ne 0 amp amp echo This program must be run by the root user exit 1 RUNUSER ps eo user fname grep named cut f 1 qa N if SRUNUSER SUSER then echo WARN The name server running daemon is already running as SUSER echo ERR This script will not many any changes to your setup exit 1 fi if SINITD then echo ERR This system does not have SINITD which this script tries to RUNNING ps eo fname grep named z SRUNNING amp amp echo ERR In fact the name server daemon is not even running is it 1 echo ERR No changes will be made to your system exit 1 fi Check if named group exists if z grep GROUP etc group then echo Creating group GROUP addgroup SGROUP else Kapitel E Beispielskript um
382. tellen Sie sich vor Sie kommen zur Arbeit und der Drucker spuckt endlose Mengen von Papier aus weil jemand eine DoS Attacke gegen Ihren Drucker Daemon durchf hrt Unange nehm oder In jeder UNIX Druck Architektur muss es einen Weg geben um die Daten des Clients auf den Druck Server zu bekommen Traditionell machen dies lpr und 1p so dass das Client Kommando die Daten in das Spool Verzeichnis kopiert oder symbolisch verlinkt weshalb diese Programme normalerweise SUID oder SGID sind Um jede Gefahr zu vermeiden sollen Sie Ihren Druck Server besonders sicher halten Dies hei t dass Sie Ihren Druck Dienst so konfigurieren m ssen dass er nur Auftr ge von vertrau ensw rdigen Rechnern annimmt Hierzu m ssen Sie die Rechner von denen Sie Druckauftr ge entgegennehmen m chten in die Datei etc hosts 1pd eintragen Allerdings akzeptiert der 1pr Daemon auch wenn Sie dies getan haben Verbindungen auf Port 515 auf jeder Schnittstelle Sie sollten sich berlegen ob Sie Verbindungen von Netzwer ken Rechnern die nicht drucken d rfen mittels Firewall abblocken wollen der 1pr Daemon kann nicht so konfiguriert werden dass er nur auf eine bestimmte IP Adresse h rt Sie sollten Lprng gegen ber 1pr vorziehen da er so konfiguriert werden kann dass er Zu gangskontrolle ber IP beherrscht Und Sie k nnen spezifizieren auf welche Schnittstelle er sich binden soll wenn auch etwas sonderbar Wenn Sie Ihren Drucker nur lokal auf Ih
383. tem keine g ltigen Daten verworfen hat e Verschieben Sie das Skript nach etc init d meineFirewall e Konfigurieren Sie das System das Skript zu starten bevor irgendein Netzwerk konfigu riert wird update rc d meineFirewall start 40 S stop 89 0 6 Dies ist das Beispiel Firewallskript bin sh Simpl xample firewall configuration Caveats This configuration applies to all network interfaces if you want to restrict this to only a given interface use i INTERFACE in the iptables calls Remote access for TCP UDP services is granted to any host G you probably want to restrict this using source chkconfig 2345 9 91 description Activates Deactivates the firewall at boot time Kapitel 5 Absichern von Diensten die auf Ihrem System laufen 127 You can test this script before applying with the following shell snippet if you do not type anything in 10 seconds the firewall rules will be cleared while true do test read t 20 p OK test z Stest amp amp etc init d meineFirewall clear done FF OSE de e e e H PATH bin sbin usr bin usr sbin Services that the system will offer to the network TCP_SERVICES 22 SSH only UDP_SERVICES Services the system will use from the network REMOTE_TCP_SERVICES 80 web browsing REMOTE_UDP_SERVICES 53 DNS Network that will be used for remote
384. ter installation just to remember users to change the boot up sequence e Added some more TODO items provided by Korn Andras e Added a pointer to the NIST s guidelines on how to secure DNS provided by Daniel Quinlan e Added a small paragraph regarding Debian s SSL certificates infrastructure e Added Daniel Quinlan s suggestions regarding ssh authentication and exim s relay con figuration e Added more information regarding securing bind including changes suggested by Da niel Quinlan and an appendix with a script to make some of the changes commented on that section e Added a pointer to another item regarding Bind chrooting needs to be merged e Added a one liner contributed by Cristian Ionescu Idbohrn to retrieve packages with tcpwrappers support e Added a little bit more info on Debian s default PAM setup e Included a FAQ question about using PAM to give services w o shell accounts e Moved two FAQ items to another section and added a new FAQ regarding attack detec tion and compromised systems e Included information on how to setup a bridge firewall including a sample Appendix Thanks to Francois Bayart who sent me this on march e Added a FAQ regarding the syslogd s MARK heartbeat from a question answered by No ah Meyerhans and Alain Tesio on December 2001 e Included information on buffer overflow protection as well as some information on ker nel patches e Added more information and reorganised
385. tigen Pr fsummen in der Release Datei haben e Bereiten Sie sich darauf vor zu pr fen dass die richtigen Quellen durch den richtigen Schl ssel signiert wurden Dies ist der Beispielscode f r apt check sigs Die neuste Fassung ist unter http people debian org ajt apt check sigs erh ltlich Dieser Code befindet sich im Moment noch im Beta Stadium F r weitere Informationen sollten Sie http lists debian org debian devel 2002 debian devel 200207 msg00421 html lesen bin bash Copyright c 2001 Anthony Towns lt ajt debian org gt This program is free software you can redistribute it and or modify it under the terms of the GNU General Public License as published by the Free Software Foundation either version 2 of the License or at your option any later version This program is distributed in the hope that it will be useful but WITHOUT ANY WARRANTY without even the implied warranty of MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE See the GNU General Public License for more details FF de de e e e e e e H rm rf tmp apt release check mkdir tmp apt release check exit 1 cd tmp apt release check gt OK gt MISSING gt NOCHECK gt BAD arch dpkg print installation architecture am_root id u eq 0 get_mdSsumsize cat 1 awk MD5Sum SHA1 Kapitel 7 Die Infrastruktur f r Sicherheit in Debian 156
386. tion e Fixed directory typo noticed by Eduardo P rez Ureta e Fixed etc ssh typo in checklist noticed by Edi Stojicevi Kapitel 1 Einleitung 19 1 6 29 Version 2 3 Changes by Javier Fern ndez Sanguino Pe a Fixed location of dpkg conffile Remove Alexander from contact information Added alternate mail address Fixed Alexander mail address even if commented out Fixed location of release keys thanks to Pedro Zorzenon for pointing this out 1 6 30 Version 2 2 Changes by Javier Fern ndez Sanguino Pe a Fixed typos thanks to Jamin W Collins Added a reference to apt extracttemplate manpage documents the APT Extractlemplate config Added section about restricted SSH Information based on that posted by Mark Janssen Christian G Warden and Emmanuel Lacour on the debian security mailing list Added information on anti virus software Added a FAQ su logs due to the cron running as root 1 6 31 Version 2 1 Changes by Javier Fern ndez Sanguino Pe a Changed FIXME from Ishell thanks to Oohara Yuuma Added package to sXid and removed comment since it is available Fixed a number of typos discovered by Oohara Yuuma ACID is now available in Debian in the acidlab package thanks to Oohara Yuuma for noticing Fixed LinuxSecurity links thanks to Dave Wreski for telling Kapitel 1 Einleitung 20 1 6 32 Version 2 0 Changes by Javier Fern ndez Sanguino Pefia I wanted to change to 2 0 wh
387. tionsdatei etc X11 app defaults XScreenSaver editieren und die lock Zeile von lock False das ist der Standardwert unter Debian auf lock True ndern FIXME Add information on how to disable the screensavers which show the user desktop which might have sensitive information Lesen Sie mehr zur Sicherheit von X Window in XWindow User HOWTO http www tldp org HOWTO XWindow User HOWTO html usr share doc HOWTO en txt XWindow User HOWTO txt gz FIXME Add info on thread of debian security on how to change config files of XFree 3 3 6 to do this 5 4 1 berpr fen Ihres Display Managers Wenn Sie einen Display Manager lediglich zur lokalen Nutzung um einen sch nen graphi schen Login zu haben haben wollen gehen Sie sicher dass der XDMCP X Display Manager Control Protocol Krempel abgeschaltet ist Unter XDM k nnen Sie dies mit der folgenden Zeile in etc X11 xdm xdm config erreichen GDM wird nolisten tcp nicht anh ngen wenn es query oder indirect in der Befehlszeile findet da sonst die Anfrage nicht funktionieren w rde Kapitel 5 Absichern von Diensten die auf Ihrem System laufen 105 DisplayManager requestPort 0 F r GDM m ssen Sie in Ihre gdm conf Folgendes eintragen xdmcp Enable false Normalerweise sind unter Debian alle Display Manager so konfiguriert dass sie standardm ig keine XDMCP Dienste starten 5 5 Absichern des Druckerzugriffs die lpd und Iprng Problematik S
388. torisierte ttys in etc security access conf und richten Sie diese Datei berhaupt so ein dass Root Logins so weit wie m g lich eingeschr nkt werden F gen Sie pam_limits so hinzu wenn Sie Einschr nkungen pro Benutzer vor nehmen wollen ndern Sie etc pam d passwd Erh hen Sie die minimale L nge von Pass w rtern vielleicht sechs Zeichen und schalten Sie MD5 ein Wenn Sie es w nschen f gen Sie etc group die Gruppe wheel hinzu f gen Sie etc pam d su pam_wheel so group wheel hinzu F r angepasste Kontrollen der einzelnen Nutzer nehmen Sie pam_listfile so Eintr ge an den passenden Stellen vor Erstellen Sie eine Datei etc pam d other und setzen Sie sie mit strenger Sicherheit auf Setzen Sie in etc security limits conf Schranken beachten Sie dass etc limits nicht benutzt wird wenn Sie PAM verwenden Nehmen Sie Einschr nkungen in etc login defs vor wenn Sie MD5 oder PAM einschalten machen Sie auch hier ebenfalls die gleichbedeutenden nderungen Schalten Sie FTP Zugriff von Root in etc ftpusers ab Schalten Sie Root Logins bers Netzwerk ab benutzen Sie su 1 oder sudo 1 denken Sie die Installation von sudo nach Benutzen Sie PAM um zus tzliche Auflagen auf Logins zu erm glichen e Andere lokale Sicherheitsangelegenheiten Kernel Tweaks siehe Konfiguration der Netzwerkf higkeiten des Kernels auf Sei te 87 Kernel Patches siehe Den Kernel patchen
389. try blich Wenn Sie diese Pakete besitzen l schen Sie sie einfach Falls nicht versuchen Sie mit netcats Option p Prozess herauszufinden welcher Prozess diese Lauscher betreibt Ich habe festgestellt dass ich den folgenden Port XYZ offen habe Kann ich ihn schlie en Ja nat rlich Die Ports die Sie offen lassen h ngen von Ihrem individuellen Regelwerk be z glich ffentlich zug nglicher Dienste ab Pr fen Sie ob sie von inetd siehe Abschalten von inetd oder seinen Diensten auf Seite 41 oder von anderen installierten Paketen ge ffnet werden und leiten Sie passende Ma nahmen ein d h konfigurieren Sie inetd entfernen Sie das Paket verhindern Sie dass der Dienst beim Booten gestartet wird Hilft das L schen von Diensten aus etc services um meinen Rechner abzusichern Nein etc services stellt nur eine Verbindung zwischen virtuellem Namen und Portnum mer her Das Entfernen von Namen aus dieser Datei verhindert blicherweise nicht dass ein Dienst gestartet wird Manche Daemonen starten vielleicht nicht wenn etc services ver ndert wurde aber das ist nicht die Norm Um einen Dienst richtig abzuschalten sehen Sie sich Daemons abschalten auf Seite 40 an State Kapitel 12 H ufig gestellte Fragen Frequently asked Questions FAQ 211 12 1 15 Allgemeine Sicherheitsfragen Ich habe mein Passwort vergessen und kann auf das System nicht mehr zugreifen Die n tigen Schritte um wieder Zugriff
390. ts from Michal Zielinski e Added links to wordlists contributed by Carlo Perassi e Fixed some typos still many around e Fixed TDP links as suggested by John Summerfield 1 6 23 Version 2 7 October 2002 Changes by Javier Fern ndez Sanguino Pe a me Note I still have a lot of pending changes in my mailbox which is currently about 5 Mbs in size e Some typo fixes contributed by Tuyen Dinh Bartek Golenko and Daniel K Gebhart e Note regarding dev kmem rootkits contributed by Laurent Bonnaud e Fixed typos and FIXMEs contributed by Carlo Perassi Kapitel 1 Einleitung 16 1 6 24 Version 2 6 September 2002 Changes by Chris Tillman tillman voicetrak com e Changed around to improve grammar spelling e s host deny hosts deny 1 place e Applied Larry Holish s patch quite big fixes a lot of FIXMEs 1 6 25 Version 2 5 September 2002 Changes by Javier Fern ndez Sanguino Pe a me e Fixed minor typos submitted by Thiemo Nagel e Added a footnote suggested by Thiemo Nagel e Fixed an URL link 1 6 26 Version 2 5 August 2002 Changes by Javier Fern ndez Sanguino Pe a me There were many things waiting on my inbox as far back as february to be included so I m going to tag this the back from honeymoon release e Added some information on how to setup the Xscreensaver to lock automatically the screen after the configured timeout e Add a note related to the utilities you should not install
391. ty dico unimi it Italien JPCERT CC http www jpcert or jp Japan UNINETT CERT http cert uninett no Norwegen HR CERT http www cert hr Kroatien CERT Polskay http www cert p1 Polen RU CERT http www cert ru Russland SI CERT http www arnes si si cert Slowenien IRIS CERT http www rediris es cert Spanien SWITCH CERT http www switch ch cert Schweiz TWCERT CC http www cert org tw Taiwan und CERT CC http www cert org USA Kapitel 11 Nach einer Kompromittierung Reaktion auf einem Vorfall 198 Einige andere Programme aus der Debian Distribution die f r forensische Analyse verwendet werden k nnen sind e fenris e strace e ltrace Alle diese Pakete k nnen dazu benutzt werden um Schurkenprogramme wie z B Hintert ren zu analysieren um herauszufinden wie sie arbeiten und was sie mit dem System anstel len Einige andere gebr uchliche Werkzeuge sind ldd in 1ibc6 strings und objdump beide in binutils Wenn Sie eine forensische Analyse mit Hintert ren oder verd chtigen Programmen durchf h ren die Sie vom gehackten System haben sollten Sie dies in einer sicheren Umgebung durch f hren z B in einem bochs oder xen Image oder in einer chroot Umgebung eines Nutzers mit geringen Rechten Andernfalls k nnte auch auf Ihrem eigenen System eine Hintert r ein gerichtet oder ROOt Rechte erlangt werden Forensische Analysen sollten immer auf eine
392. tzen e Indem Sie etwas zu diesem Dokument beitragen FIXMEs bearbeiten oder neuen Inhalt beisteuern Dokumentation ist wichtig und reduziert die Last durch Beantworten allge meiner Fragen bersetzen dieses Dokuments in andere Sprachen ist auch ein gro artiger Beitrag Anm d Fehler bereinigen in der bersetzung auch e Indem Sie Pakete von Programmen erstellen mit denen sich die Sicherheit eines Debian Systems erh hen oder pr fen l sst Wenn Sie kein Entwickler sind reichen Sie einen WNPP Fehler http www de debian org devel wnpp ein und fragen nach Software die Sie f r n tzlich halten die aber noch nicht zur Verf gung steht e Testen Sie Anwendungen in Debian oder helfen Sie Sicherheitsl cken zu schlie en Teilen Sie Probleme security debian org mit Die Arbeit anderer Projekte wie das Linux Kernel Security Audit Project http kernel audit sourceforge net oder das Linux Security Audit Project http www 1l1sap org erh hen auch die Sicherheit von De bian GNU Linux da Beitr ge dort letzten Endes auch hier helfen Pr fen Sie bitte in jedem Fall ein Problem nach bevor Sie es an security debian org melden Wenn Sie Patches beif gen beschleunigt das den Prozess nat rlich Leiten Sie nicht einfach Mails von Bugtraq weiter da diese bereits empfangen wurden Es ist aber eine gute Idee zu s tzliche Informationen zu schicken Kapitel 12 H ufig gestellte Fragen Frequently asked Questions FAQ 221
393. uer des Originalprogramms wenn notwendig bereit zu helfen falls das Debian Sicherheitsteam nicht helfen kann In einigen F llen ist es nicht m glich eine Sicherheitsreparatur zur ckzuportieren zum Bei spiel wenn ein gro er Teil des Quellcodes modifiziert oder neu geschrieben werden muss Wenn dies passiert kann es notwendig sein auf eine neue Version des Originalprogramms umzusteigen aber dies muss zuvor mit dem Sicherheits Team koordiniert werden 12 3 5 Was sind die Richtlinien f r ein repariertes Paket um auf securi ty debian org zu erscheinen Sicherheitsl cken in der Stable Distribution garantieren dass ein Paket zu security debian org hinzugef gt wird Alles andere tut das nicht Die Gr e der L cke ist hier nicht das wirkliche Problem blicherweise bereitet das Sicherheitsteam die Pakete gemeinsam mit dem Paket betreuer vor Sofern jemand ein Vertrauensw rdiger das Problem analysiert alle ben tigten Pakete bersetzt und diese an das Sicherheitsteam bermittelt dann k nnen auch sehr klei ne Sicherheitsreparaturen auf security debian org erscheinen Lesen Sie dazu bitte auch unten weiter 12 3 6 Die Versionsnummer f r ein Paket zeigt an dass ich immer noch eine ver wundbare Version verwende Anstatt auf eine neue Ver ffentlichung zu aktualisieren portieren wir die Sicherheitsrepara turen auf die Version zur ck die mit der Stable Ver ffentlichung ausgeliefert wurde Wir tun dies um zu garantieren
394. uid so konfigurieren dass er Zugriffe von vertrauens w rdigen Nutzern Computern oder Netzwerken erlaubt indem Sie eine Zugriffs Kontroll Liste ACL Access Control List in etc squid squid conf definieren Mehr Informatio nen wie Sie ACLs definieren finden Sie im Squid User s Guide http www deckle co Kapitel 5 Absichern von Diensten die auf Ihrem System laufen 101 za squid users guide Main_Page Ein gute deutsche Dokumentation ist das Squid Handbuch http www squid handbuch de Beachten Sie dass Debian eine minima le Konfiguration f r Squid bereitstellt die alles verhindert mit der Ausnahme dass localhost sich mit Ihrem Proxy Server der standardm ig mit dem Port 3128 l uft verbinden kann Sie m ssen Ihre etc squid squid conf Datei wie gew nscht anpassen Die empfohlene minimale Konfiguration mit dem Paket vertrieben sieht wie folgt aus acl all src 0 0 0 0 0 0 0 0 acl manager proto cache_object acl localhost src 127 0 0 1 255 255 255 255 acl SSL_ports port 443 563 acl Safe_ports port 80 http acl Safe_ports port 21 ftp acl Safe_ports port 443 563 https snews acl Safe_ports port 70 gopher acl Safe_ports port 210 wais acl Safe_ports port 1025 65535 unregistered ports acl Safe_ports port 280 http mgmt acl Safe_ports port 488 gss http acl Safe_ports port 591 filemaker acl Safe_ports port 777 multiling http acl Safe_ports port
395. und Ihr System wird von Diskette booten Dies kann man ausnutzen um root Privilegien auf dem System zu erlangen Dieses Verhalten k nnen Sie ndern indem Sie lilo b dev hda eingeben Nun ist LILO in den MBR geschoben worden Dies k nnen Sie auch erreichen indem Sie boot dev hda zu lilo conf hinzuf gen Es gibt noch eine M glichkeit die den MBR komplett abschaltet install mbr i n dev hda Auf der anderen Seite k nnte diese Hintert r die viele Leute nicht kennen Ihnen einmal die Haut retten wenn Sie aus irgendwelchen Gr nden in gro e Schwierigkeiten mit Ihrer In stallation geraten FIXME berpr fen ob das f r 2 2 wirklich stimmt oder war es 2 1 INFO Die Bootdisketten von Debian 2 2 installieren KEINEN MBR sondern nur LILO 4 8 Einschr nkender Konsolen Zugang Manche Sicherheitsregelwerke k nnten Administratoren dazu zwingen sich erst als Benut zer mit ihrem Passwort auf dem System einzuloggen und dann Superuser zu werden mit su oder sudo Solche eine Policy ist in Debian in der Datei etc login defs oder etc securetty falls Sie PAM verwenden implementiert Kapitel 4 Nach der Installation 55 e In login defs ndern Sie die CONSOLE Variable die eine Datei oder eine Liste von Terminals definiert an denen sich Root einloggen darf e In securetty entfernen Sie oder f gen Sie Terminals hinzu auf die Root zugreifen darf Falls Sie nur lokalen Zugang zur Konsole erlauben wollen b
396. ung enthalten ist wird es nicht mehr im Tracker aufgef hrt Sie k nnen es aber immer noch mit einer Suchanfrage nach dem CVE Namen finden indem Sie Querverweise f r Debian Sicherheitsank ndigungen http www de debian org security crossreferences verwenden Beachten Sie aber dass die Informationen im Tracker des Debian Sicherheitsteams nur be kannte Sicherheitsl cken d h solche die ffentlich sind beinhaltet In einigen F llen gibt das Debian Sicherheitsteam DSA f r Pakete heraus die auf vertraulichen Informationen beruhen die das Team erhalten hat z B ber nicht ffentliche Mailinglisten der Distributionen oder von Programmautoren Seien Sie also nicht berrascht in Sicherheitsank ndigungen Sicher heitsprobleme zu entdecken die nicht im Tracker enthalten sind 10 1 2 Fortlaufende Aktualisierung des Systems Sie sollten regelm ig Sicherheitsaktualisierungen durchf hren Der ganz berwiegende An teil der Exploits nutzt bekannte Sicherheitsl cken aus die nicht rechtzeitig ausgebessert wur den Dies wird in der Ver ffentlichung von Bill Arbaugh http www cs umd edu waa vulnerability html dargestellt die 2001 auf dem IEEE Symposium on Security and Pri vacy vorgestellt wurde Das Durchf hren einer Aktualisierung wird unter Ausf hren von Sicherheitsupdates auf Seite 48 beschrieben Kapitel 10 Vor der Kompromittierung 181 berpr fung von Hand welche Sicherheitsaktualisierungen verf gbar si
397. ungen in denen beschrieben wird welche Dinge fehlen oder welche Aufgaben erledigt werden m ssen Der Zweck die ses Kapitels ist es die Dinge die zuk nftig in dieses Handbuch aufgenommen werden k nn ten und die Verbesserungen die durchgef hrt werden m ssen oder bei denen es interessant ware sie einzuf gen zu beschreiben Wenn Sie glauben dass Sie Hilfe leisten k nnten den auf dieser Liste aufgef hrten Punkten oder solchem im Text abzuhelfen setzen Sie sich mit dem Hauptautor Autoren auf Seite 1 in Verbindung Erweiterung der Informationen zur Reaktion auf einen Zwischenfall unter Umst nden auch mit einigen Vorschl gen von Red Hats Sicherheitsanleitung chapter on incident response http www redhat com docs manuals linux RHL 9 Manual security guide ch response html Vorstellen von entfernten Uberwachungswerkzeugen um die Erreichbarkeit des Sys tems zu berpr fen wie monit daemontools und mon Vergleiche http linux oreillynet com pub a linux 2002 05 09 sysadminguide html Uberpriifung ob http www giac org practical gsec Chris_Koutras_ GSEC pdf wichtige Informationen hat die hier noch nicht behandelt werden Informationen wie man einen Laptop mit Debian einrichtet http www giac org practical gcux Stephanie_Thomas_GCUX pdf Informationen wie man unter Debian GNU Linux eine Firewall aufsetzt Der Firewalls betreffende Abschnitt orientiert sich derzeit an Einzelplatz Systemen die k
398. ungen Ihren Paketquellen hinzuzuf gen Falls Sie nun eine Internetverbindung ha ben wird Ihr System alle Sicherheitsaktualisierungen herunterladen die seit Entstehung Ihres Installationsmediums erzeugt wurden Falls Sie ein Upgrade von einer lteren Version von De bian durchf hren oder Sie das Installationssystem anweisen dies nicht zu tun sollten Sie die hier vorgestellten Schritte unternehmen Um Ihr System manuell zu aktualisieren f gen Sie die folgende Zeile in Ihre etc apt sources list ein So werden Sie Sicherheitsaktualisierungen automatisch erhalten wann immer Sie Ihr System aktualisieren deb http security debian org debian security stable updates main contrib non free Hinweis Falls Sie den Testing Zweig einsetzen sollten Sie die Sicherheitsspiegel f r Testing verwenden Das wird unter Sicherheitsunterst tzung f r den Testing Zweig auf Seite 184 beschrieben Wenn Sie dies erledigt haben k nnen Sie Ihr System mit apt oder dselect aktualisieren e Falls Sie apt verwenden wollen m ssen Sie als root nur Folgendes tun apt get update apt get upgrade Kapitel 4 Nach der Installation 49 e Falls Sie dselect verwenden wollen m ssen Sie zuerst aktualisieren U f r Upda te dann installieren I f r Install und schlie lich die installieren aktualisierten Pakete konfigurieren C f r Configure Wenn Sie m chten k nnen Sie ebenfalls eine deb src Zeile hinzuf gen Weitere Details
399. uni 2005 nderung von Javier Fern ndez Sanguino Pefia e F gte einen Code Fetzen hinzu um mit grep available eine Liste von Paketen zu erstel len die von Perl abh ngen Wurde in 302470 nachgefragt e Schrieb den Abschnitt ber Netzwerkdienste neu welche installiert sind und wie man sie abschaltet e F gte weitere Informationen zum Abschnitt ber die Entwicklung eines Honigtopfs hin zu indem n tzliche Debian Pakete erw hnt werden 1 6 9 Version 3 2 M rz 2005 nderung von Javier Fern ndez Sanguino Pefia e Erweiterte den Abschnitt ber die Konfiguration von Limits mit PAM e F gte Informationen hinzu wie pam_chroot f r openssh eingesetzt wird auf Grundlage der README von pam_chroot e Verbesserte einige kleinere Dinge die von Dan Jacobson gemeldet wurden e Aktualisierte die Informationen ber Kernelpatches basiert teilweise auf einem Patch von Carlo Perassi auf den Anmerkungen zu aufgegebenen Teilen des Kernels und auf den neuen Kernelpatches adamantix e F gte einen Patch von Simon Brandmair ein der einen Satz im Zusammenhang mit Login Fehlern auf dem Terminal ausbesserte e F gte Mozilla Thunderbird zu den g ltigen GPG Agenten hinzu wie von Kapolnai Ri chard vorgeschlagen wurde e Erweiterte den Abschnitt ber Sicherheitsaktualisierungen die Aktualisierung von Bi bliotheken und des Kernels betreffen und wie man herausfindet ob Dienste neu gestar tet werden m ssen e Schrieb den A
400. ur Schnittstellenkonfiguration hin zu post down iptables restore lt etc iptables down rules F r weitergehende Firewall Konfigurationsskripte durch ifupdown k nnen Sie die zu jeder Schnittstelle verf gbaren Hooks Einspringpunkte wie in den d Verzeichnissen verwen den die mit run parts aufgerufen werden vergleiche run parts 8 Machen Sie es auf die alte Debian Art ACHTUNG Diese Informationen gelten nur f r iptables in Woody Versionen nach 1 2 7 8 ha ben nicht mehr l nger das init d Skript das hier beschrieben wird Benutzer von Debian 3 1 Sarge oder neueren Ver ffentlichungen sollten entweder die Firewall Regeln manuell auf bauen oder eines der Programme zur Erzeugung einer Firewall verwenden die weiter oben beschrieben wurden Wenn Sie Debian 3 0 oder neuer benutzen werden Sie feststellen dass Sie das Paket iptables installiert haben Dies ist die Unterst tzung f r die Netfilter Implementation in 2 4 4 Ker neln Da das System nach der Installation aber keine Firewall Regeln kennen kann Firewall Regeln sind zu systemspezifisch m ssen Sie iptables einschalten Wie auch immer Die Skrip te wurden so konfiguriert dass der Administrator Firewall Regeln aufsetzen kann und die init Skripte sie dann lernen k nnen und so immer als das Setup der Firewall fungieren Hierzu m ssen Sie Folgendes tun Kapitel 5 Absichern von Diensten die auf Ihrem System laufen 131 e Konfigurieren Sie das Paket so da
401. usf hrung bieten sind Eric Wolframs How to Pick a Safe Password http wolfram org writing howto password html und Walter Belgers Unix Password Security http www ja net CERT Belgers UNIX password security html 3 5 Aktivieren Sie Shadow Passw rter und MD5 Passw rter Gegen Ende der Installation werden Sie gefragt ob shadow passwords eingeschaltet werden sollen Beantworten Sie diese Frage mit yes dann werden Passw rter in der Datei etc shadow gespeichert Nur root und die Gruppe shadow haben Lesezugriff auf diese Datei So ist es keinem Nutzer m glich sich eine Kopie dieser Datei zu besorgen um einen Passwort Cracker auf sie loszulassen Sie k nnen mit dem Befehl shadowconfig jederzeit zwischen shadow passwords und normalen Passw rtern wechseln Mehr zum Thema Shadow Passw rter finden Sie unter Shadow Password http www tldp org HOWTO Shadow Password HOWTO html usr share doc HOWTO en txt Shadow Password txt gz Des Weiteren verwendet die Installation standardm ig Passw rter welche als MD5 Hashwerte gespeichert werden Dies ist im Allgemeinen eine sehr gute Idee da es l ngere Passw rter und bessere Verschl sselung erlaubt Mit MD5 sind Passw rter m glich die l n ger als 8 Zeichen sind Auf diese Weise kann man es einem Angreifer schwieriger machen mit Kapitel 3 Vor und w hrend der Installation 39 Brute Force Methoden an die Passw rter heranzukommen Dies ist die Standar
402. ush ksh in ls mkdir mknod mv rbash gt bash rm rmdir sh gt bash sync tcsh touch vdir zsh gt etc alternatives zsh zsh4 null ptmx pts ptya0 ty ttyO urandom alternatives csh gt bin tcsh zsh gt bin zsh4 environment hosts hosts allow Kapitel G Chroot Umgebung f r SSH 257 hosts deny 1d S0 cont localtime gt usr share zoneinfo Europe Madrid motd nsswitch conf pam conf pam d other N sisi passwd resolv conf security access conf chroot conf group conf limits conf pam_env conf time conf shadow shells moduli ssh_host_dsa_key ssh_host_dsa_key pub ssh_host_rsa_key ssh_host_rsa_key pub sshd_config home userX lib 14 2 2 9 80 ld linux so 2 gt 1d 2 2 5 so libc 2 2 5 s0 libc so 6 gt libc 2 2 5 s0 libcap so 1 gt libcap so 1 10 libcap so 1 10 Liberype 2 2 5 S80 libcrypt so 1l gt libcrypt 2 2 5 s0 gt LFbalt 20 20 50 libdl so 2 gt libdl 2 2 5 so libm 2 2 5 so libm so 6 gt libm 2 2 5 so libncurses so 5 gt libncurses so 5 2 libncurses so 5 2 libns1 2 2 5 s0 libnsl so 1 gt libns1 2 2 5 s0 Kapitel G Chroot Umgebung f r SSH 258 so 0 72 libnss_compat 2 2 5 s0 libnss_compat
403. ut f 1 a gt echo Service i is running as user user done berlegen Sie ob Sie diese Dienste einem bestimmten Benutzer oder Gruppe zu weisen wollen und sie vielleicht auch in einer chroot Umgebung einsperren wollen um die Sicherheit zu erh hen Sie k nnen dies tun indem Sie die etc init d Skripte ndern die den Dienst starten Die meisten Dienste benutzen unter Debi an start stop daemon der die daf r Optionen change uid und chroot zur Verf gung stellen Ein paar warnende Worte zum Einsperren in eine chroot Umgebung Sie m ssen alle Dateien die durch das Paket des Dienstes installiert wur den verwenden Sie dpkg L und alle Pakete von denen es abh ngt in die Chroot Umgebung legen Informationen wie das Programm ssh in eine chroot Umgebung eingesperrt wird finden Sie unter Chroot Umgebung f r SSH auf Seite 249 e Wiederholen Sie die Schritte oben um zu pr fen ob nur die gew nschten Dienste laufen und ob sie unter der gew nschten Nutzer Gruppen Kombination laufen e Testen Sie die installierten Dienste um festzustellen ob sie wie erwartet arbeiten e berpr fen Sie das System indem Sie einen Scanner zur Absch tzung der Verwundbar keit zum Beispiel nessus benutzen um Angriffsm glichkeiten Fehlkonfigurationen alte oder nicht ben tigte Dienste zu finden e Installieren Sie Instrumente zur Entdeckung von Eindringlingen in Netzwerk und Hosts wie snort und logcheck e Wi
404. verhindern hat der ProFTPd Entwickler TJ Saunders einen Patch erstellt der verhindert dass Nutzer den anony men FTP Server mit g ltigen SSH Zugangsdaten f ttern Mehr Informationen und den Patch finden Sie unter ProFTPD Patches http www castaglia org proftpd Patches Dieser Patch wurde auch an Debian gesandt vergleiche Fehler 145669 http bugs debian org 145669 5 4 Zugriff auf das X Window System absichern Heutzutage werden X Terminals in immer mehr Firmen benutzt wo ein Server f r viele Ar beitspl tze ben tigt wird Dies kann gef hrlich sein weil Sie dem Datei Server erlauben m s sen sich mit den X Clients zu verbinden X Server aus Sicht von X X vertauscht die Definition von Client und Server Wenn Sie dem sehr schlechten Vorschlag von vielen Dokumentatio nen folgen geben Sie auf Ihrer Maschine xhost ein Dies erlaubt jedem X Client sich mit Ihrem System zu verbinden F r etwas bessere Sicherheit k nnen Sie stattdessen das Komman doxhost Rechnername verwenden um den Zugriff auf bestimmte Rechner zu begrenzen Allerdings ist es eine viel sicherere L sung SSH zu benutzen um X zu tunneln und die ge samte Sitzung zu verschl sseln Dies geschieht automatisch wenn Sie sich auf eine andere Maschine via ssh einloggen Damit dies funktioniert m ssen Sie den ssh Client und den ssh Server konfigurieren Auf dem ssh Client sollte ForwardX11 in etc ssh ssh_config auf yes gesetzt sein Auf dem ssh Server so
405. vocation Lists CRL zu verwalten e Ger te die mit der CA zusammenarbeiten um Smartcards USB Token oder hnliches zu erzeugen und die Zertifikate sicher zu speichern e Anwendungen die die von einer CA ausgestellten Zertifikate benutzen k nnen um ver schl sselte Kommunikation zu aufzubauen und bestimmte Zertifikate gegen die CRL zu pr fen zur Authentifizierung und so genannte full Single Sign On solutions Kapitel 8 Sicherheitswerkzeuge in Debian 168 e eine Zeitstempel Autorit t um Dokumente digital zu signieren e eine Verwaltungskonsole von der aus dies alles vern nftig benutzt werden kann Erstel lung von Zertifikaten Kontrolle der Widerruflisten usw Debian GNU Linux beinhaltet Softwarepaket die Ihnen bei einigen dieser PKI Probleme helfen k nnen Dazu geh rt OpenSSL zur Erstellung von Zertifikaten OpenLDAP f r ein Verzeichnis um die Zertifikate zu speichern gnupg und openswan mit X 509 Unterst t zung Jedoch stellt Debian zum Zeitpunkt der Ver ffentlichung von Woody Debian 3 0 keine der frei verf gbaren Certificate Authorities wie zum Beispiel pyCA OpenCA http www openca org oder die CA Muster von OpenSSL zur Verf gung F r weitere Infor mationen lesen Sie bitte das Open PKI Buch http ospkibook sourceforge net 87 SSL Infrastruktur Debian stellt einige SSL Zertifikate innerhalb der Distribution zur Verf gung so dass Sie sie lokal installieren k nnen Sie befinden sich
406. von Modulen liegt darin dass Sie zus tzliche Ger te wie eine Ethernet oder Soundkarte hin zuzuf gen k nnen ohne dass die Kernelquelle gepatcht und der gesamte Kernel neu bersetzt werden m sste Allerdings k nnen Cracker LKMs f r Root Kits knark und adore benutzen um auf GNU Linux Systemen Hintert ren zu ffnen LKM Hintert ren sind ausgekl gelter und schwere zu entdecken als traditionelle Root Kits Sie k nnen Prozesse Dateien Verzeichnisse und sogar Verbindungen verstecken ohne den Quellcode der Programme ver ndern zu m ssen Zum Beispiel kann ein b sartiges LKM den Kernel dazu zwingen bestimmte Prozesses vor procfs zu verstecken so dass nicht einmal eine bekannterma en gute Kopie des Programms ps alle Informationen ber die aktuellen Prozesse korrekt auflisten Kapitel 10 Vor der Kompromittierung 190 10 4 2 Erkennen von Root Kits Es gibt zwei Herangehensweisen um Ihr System gegen LKM Root Kits zu verteidigen die ak tive Verteidigung und die reaktive Verteidigung Die Sucharbeit kann einfach und schmerzlos sein oder schwierig und erm dend ganz abh ngig von der Ma nahme die Sie ergreifen Aktive Verteidigung Der Vorteil dieser Art der Verteidigung ist dass schon verhindert wird dass das System Scha den nimmt Eine m gliche Strategie ist das Ziel zuerst zu erreichen also ein LKM zu laden das dazu da ist das System vor anderen b swilligen LKMs zu sch tzen Eine andere Ma nahme ist es dem Kerne
407. von Sicherheit vermittelt Dieses Problem l sen Sie auf sichere Art und Weise indem Sie die F higkeiten des Linux Kernel verwenden wie es in Aktive Verteidigung auf Seite 190 beschrieben wird Die hier interessante F higkeit hei t CAP_LINUX_IMMUTABLE Wenn Sie es vom Satz der F higkeiten entfernen indem Sie zum Beispiel den Befehl 1cap CAP_LINUX_IMMUTABLE verwenden ist es nicht mehr m glich irgendwelche a oder i Attribute auf Ihrem System zu ver ndern auch nicht dem Superuser Ein vollst ndige Strategie k nnte also folgenderma en aussehen 1 Vergeben Sie die Attribute a und an von Ihnen gew nschte Dateien 2 F gen Sie den Befehl lcap CAP_LINUX_IMMUTABLE einem der Skripten die den Start des Systems steuern startup scripts hinzu 3 Setzen Sie das Attribut i f r dieses Skript andere Startdateien und auch das Programm lcap selbst 4 F hren Sie den oben genannten Befehl per Hand aus oder starten Sie Ihr System neu um sicherzustellen dass alles wie gewtinscht funktioniert 4 17 3 Pr fung der Integrit t des Dateisystems Sind Sie sich sicher dass bin login auf Ihrer Festplatte immer noch dasselbe Programm ist das Sie vor ein paar Monaten installiert haben Was ware wenn es sich um eine gehackte Ver sion handelt die eingegebene Passw rter in einer versteckten Datei ablegt oder sie als Klartext im ganzen Internet herummailt Die einzige Methode einen gewissen Schutz daf r zu h
408. wahrscheinlich das Pro gramm anpassen das sie erstellt Wenn die Log Dateien rotiert werden k nnen Sie das Ver halten der Erstellung und Rotation anpassen 4 14 Den Kernel patchen Debian GNU Linux stellt verschiedene Patches f r den Linux Kernel zur Verf gung die die Sicherheit erh hen e Erkennung von Eindringlingen f r Linux Linux Intrusion Detection http www lids org enthalten im Paket 1ids 2 2 19 Dieser Kernelpatch erleichtert Ihnen Ihr Linuxsystem abzuh rten indem er Ihnen erm glicht Prozesse einzuschr nken zu verstecken und zu sch tzten sogar vor Root Er f hrt F higkeiten f r eine zwingende Zugangskontrolle e in e Linux Trustees http trustees sourceforge net im Paket trustees Die ser Patch f gt ein ordentliches fortgeschrittenes Rechtemanagement Ihrem Linux Kernel Kapitel 4 Nach der Installation 79 hinzu Besondere Objekte die trustees Treuh nder genannt werden sind mit jeder Datei oder Verzeichnis verbunden Sie werden im Speicher des Kernels abgelegt und er lauben so eine schnelle Abfrage aller Rechte NSA Enhanced Linux im Paket selinux Backports von Paketen die SEli nux unterst tzen sind unter http selinux alioth debian org erh ltlich Weiterf hrende Informationen k nnen Sie auf der SElinux in Debian Wiki Seite http wiki debian org SELinux und auf Manoj Srivastavas http www golden gryphon com software security selinux xhtml und Russell Coo
409. yncookies in Ihrem Kernel einschalten siehe Konfiguration von Syncookies auf Seite 87 Beachten Sie dass ein DoS Angriff Ihr Netzwerk berfluten kann auch wenn Sie verhindern k nnen dass er Ihr System zum Absturz bringt Der einzige effektive Weg diesen Angriff abzuwehren ist mit Ihrem Netzprovider in Verbindung zu treten 12 2 6 Ich habe seltsame Root Sessions in meinen Logs entdeckt Wurde ich ge hackt Sie sehen folgende Art von Eintr gen in der Datei var log auth log May 2 11 55 02 linux PAM_unix 1477 cron session closed for user May 2 11 55 02 linux PAM_unix 1476 cron session closed for user May 2 12 00 01 linux PAM_unix 1536 cron session opened for user UID 0 May 2 12 00 02 linux PAM_unix 1536 cron session closed for user Sie kommen von einem ausgef hrten Cron Job in unserem Beispiel alle f nf Minuten Um herauszufinden welches Programm f r diese Jobs verantwortlich ist berpr fen Sie die Ein tr ge in etc crontab etc cron d etc crond daily und Roots crontab in var spool cron crontabs 12 2 7 Ich bin Opfer eines Einbruchs was soll ich jetzt tun Es gibt mehrere Schritte die Sie bei einem Einbruch durchf hren sollten e Pr fen Sie ob Ihr System auf dem aktuellen Stand der Sicherheitsaktualisierungen f r ver ffentlichte Verwundbarkeiten ist Wenn Ihr System verwundbar ist hat die die M g lichkeit dass Ihr System tats chlich gehackt wurde erh ht Die
410. z B 189 in der zweiten Reihe Die Eintr ge des eingeschr nkten Verzeichnisbaums sollten Sie sich auflisten lassen drwxr sr x 10 root staff 240 Dec 2 16 06 drwxrwsr x 4 root staff 72 Dec 2 08 07 drwxr xr x 2 root root 144 Dec 2 16 05 kin drwxr xr x 2 root root 120 Dec 3 04 03 dev 5 3 2 2 root root 408 Dec 04 03 etc drwxr xr x root root 800 Dec 16 06 lib dr xr xr x 43 root root 0 Dec 3 05 03 proc drwxr xr x 2 root root 48 Dec 2 16 06 sbin drwxr xr x 6 root root 144 Dec 2 16 04 usr drwxr xr x 7 root root 168 Dec 2 16 06 var drwxr xr x Um diesen Test zu automatisieren geben Sie 1s la proc cat var chroot apache var run apache pid root ein FIXME Add other tests that can be run to make sure the jail is closed Ich mag das da es so nicht sehr schwierig ist das Gef ngnis einzurichten und der Server mit nur zwei Zeilen aktualisiert werden kann apt get update amp amp apt get install apache makejail etc makejail apache py H 3 Weiterf hrende Informationen Wenn Sie nach weiteren Informationen suchen sehen Sie sich die Quellen an auf denen diese Anleitung beruht e Die Makejail Homepage http www floc net makejail Diese Programm wurde von Alain Tesio geschrieben Kapitel H Chroot Umgebung f r Apache 273 e Das Chrooting daemons and system processes HOWTO http www nuclearelephant com papers chroot html von Jonathan Network Dweebs 21 10 2002
411. zeichnung eingeben m ssen um nur die Sicherheitsank ndigungen zu erhalten In einige F llen finden Sie eine bestimmte CVE Bezeichnung in ver ffentlichten Anweisungen nicht Beispiele daf r sind e Keine Produkte von Debian sind von der Verwundbarkeit betroffen e Es gibt noch keine Anweisung die die Verwundbarkeit abdeckt Das Sicherheitspro blem wurde vielleicht als Sicherheitsfehler http bugs debian org cgi bin pkgreport cgi tag security gemeldet aber eine Ausbesserung wurde noch nicht getestet und hochgeladen e Eine Anweisung wurde ver ffentlicht bevor eine CVE Bezeichnung einer bestimmten Verwundbarkeit zugewiesen wurde sehen Sie auf der Webseite nach einer Aktualisie rung 73 Die Infrastruktur der Sicherheit bei der Paketerstellung in Debi an Da Debian im Moment eine gro e Anzahl von Architekturen unterst tzt fragen Administra toren manchmal ob es bei einer bestimmten Architektur bis zu einer Sicherheitsaktualisierung Kapitel 7 Die Infrastruktur f r Sicherheit in Debian 141 l nger dauert als bei einer anderen Tats chlich sind Aktualisierungen auf allen Architekturen zur selben Zeit verf gbar abgesehen von seltenen Umst nden W hrend fr her die Sicherheitsaktualisierungen von Hand erstellt wurden so gilt das heute nicht mehr wie Anthony Towns in einer Mail http lists debian org debian devel announce 2002 debian devel announce 200206 msg00002 html beschreibt die am 8 Juni 2002 an d
412. zen einer berbr ckenden Firewall bridge Firewall 240 iptables A FORWARD s 0 0 0 0 0 0 0 0 d 0 0 0 0 0 0 0 0 m state state IN iptables A FORWARD m state state ESTABLISHED RELATED j ACCEPT Zwei lustige Regeln aber nicht bei klassischen Iptables Sorry Limit ICMP iptables A FORWARD p icmp m limit limit 4 s j ACCEPT bereinstimmende Strings eine gute einfache Methode um Viren sehr schnell abzublocken iptables I FORWARD j DROP p tcp s 0 0 0 0 0 m string string cmd exe e OS e H Abblocken aller MySOL Verbindungen nur um ganz sicher zu gehen iptables A FORWARD p tcp s 0 0 d 62 3 3 0 24 dport 3306 j DROP Regeln f r den Linux Mail Server Erlaube FTP DATA 20 FTP 21 SSH 22 iptables A FORWARD p tcp s 0 0 0 0 0 d 62 3 3 27 32 dport 20 22 j ACCE Dem Mail Server erlauben sich mit der Au enwelt zu verbinden Beachten Sie Dies ist nicht f r die vorherigen Verbindungen notwendig erinnern Sie sich stateful filtering und k nnte entfernt werden iptables A FORWARD p tcp s 62 3 3 27 32 d 0 0 J ACCEPT Regeln f r den WWW Server Erlaube HTTP 80 Verbindungen mit dem WWW Server iptables A FORWARD p tcp s 0 0 0 0 0 d 62 3 3 28 32 dport 80 j ACCEPT Erlaube HTTPS 443 Verbindungen mit dem WWW Server iptables A FORWARD p tcp s 0 0 0 0 0 d 62 3 3 28 32 dport 443 j ACCEPT Dem WWW Server erlauben sich mit
413. zeugt standardm ig f r jeden Benutzer eine eigene Gruppe so dass das einzige Gruppenmitglied der Benutzer selbst ist Daher ergibt sich zwischen 027 und 077 kein Unterschied da die Benutzergruppe nur den Benutzer selbst enth lt Dies ndern Sie indem Sie eine passende umask f r alle Benutzer einstellen Dazu m ssen Sie einen umask Aufruf in den Konfigurationsdateien aller Shells einf gen etc profile wird von allen Shells beachtet die kompatibel mit Bourne sind etc csh cshrc etc csh login etc zshrc und wahrscheinlich noch ein paar andere je nachdem welche Shells Sie auf Ihrem System installiert haben Sie k nnen auch die UMASK Einstellung in etc login defs ver ndern Von all diesen Dateien erlangt die letzte die von der Shell geladen wird Vorrang Die Reihenfolge lautet die Standard System Konfiguration f r die Shell des Benutzers d h etc profile und andere systemweite Konfigurationsdateien und dann die Shell des Benutzers seine profile und bash_profile etc Allerdings k nnen einige Shells mit dem nologin Wert ausgef hrt werden was verhindern kann dass eini ge dieser Dateien ausgewertet werden Sehen Sie in der Handbuchseite Ihrer Shell f r weitere Informationen nach Bei Anmeldungen die von login Gebrauch machen erh lt die UMASK Festlegung in etc login defs Vorrang vor allen anderen Einstellungen Dieser Wert wird aber nicht von An wendungen des Benutzers beachtet die nicht lo
414. zieren Wenn das so ist sollten Sie die Auswirkungen davon ber cksichtigen Das Debianpaket findutils enth lt locate dasals Nutzer nobody l uft Daher indiziert es nur Dateien die von jedermann einge sehen werden k nnen Wenn Sie dieses Verhalten ver ndern werden allerdings alle Orte von Dateien f r alle Nutzer sichtbar Wenn Sie das gesamte Dateisystem indizieren wollen und nicht nur die St ckchen die der Nutzer nobody sehen kann k nnen Sie locate durch das Paket slocate ersetzen slocate wird als eine um Sicherheit erweiterte Version von GNU loca te bezeichnet hat aber tats chlich weitere Funktionen zum Auffinden von Dateien Wenn Sie slocate benutzen sieht ein Benutzer nur Dateien auf die er auch Zugriff hat w hrend Sie Dateien und Verzeichnisse des gesamten Systems ausschlie en k nnen Das Paket slocate f hrt seinen Aktualisierungsprozess mit h heren Rechten aus als locate Au erdem indiziert es jede Datei Nutzern wird es dadurch erm glicht schnell nach jeder Datei zu suchen die sie sehen k nnen slocate zeigt ihnen keine neuen Dateien an es filtert die Ausgabe auf Grund lage der UID Sie sollten auch bsign oder elfsign einsetzen elfsign bietet die M glichkeit digitale Si gnaturen an ELF Binaries anzuf gen und diese Signaturen zu berpr fen Die aktuelle Fas sung verwendet PKI um die Checksummen der Binaries zu signieren Dies hat den Vorteil dass festgestellt werden kann ob das Binary ver ndert wurde u
Download Pdf Manuals
Related Search