Rechner absichern

(Last Updated On: 10. Oktober 2018)

Prinzipiell funktioniert es auf allen gängigen Systemen (damit sind BSD- und Linuxdistributionen gemeint) gleich, wobei nur ein paar Unterschiede in den Befehlen zu berücksichtigen sind. Ich verwende als Beispiel ein Debian (Sicherheitsinformationenen, Dokumentation) und halte mich im großen und ganzen an die Anleitung zum Absichern von Debian .
Ich schreibe mir hier nur einige wichtige Grundlagen auf, paranoide Admins können also getrost weiter surfen, hier werden sie nichts neues finden.
Debian GNU/Linux Anwenderhandbuch
Vorweg möchte ich erwähnen, dass man auf Workstations natürlich die graphische Oberfläche benutzen kann, doch dazu muss ich mir nichts notieren, da ich lesen und klicken kann.
Ähnliches gilt für Webinterfaces wie Webmin und Co. Ich persönlich finde sie recht bequem und praktisch, aber sie bergen auch Tücken und weitere Sicherheitsrisiken (außerdem muss man sie auch ständig warten), weshalb ich darauf verzichte und lieber auf die simple, direkte Art alles von der Konsole aus erledige. Zur Installation, Wartung und Backup siehe weitere Artikel in dieser Kategorie.
Notizen zum Absichern von Diensten
Dazu brauchen wir einmal netstat Print network connections, routing tables, interface statistics, masquerade connections, and multicast memberships ; ntetstat prints information about the Linux networking subsystem. The type of information printed is controlled by the first argument, as follows: ….. bzw. Chapter 5. Configuring TCP/IP Networking um festzustellen, was überhaupt läuft.
The options –t, –u, –w, and –x show active TCP, UDP, RAW, or Unix socket connections. If you provide the –a flag in addition, sockets that are waiting for a connection (i.e., listening) are displayed as well. This display will give you a list of all servers that are currently running on your system.
Mit netstat -tap kann man sich also die Internetverbindungen, bzw. die laufenden Dienste (auch wenn sie gerade nur lauschen {listen}) auflisten lassen und ev. mit > was_horcht_denn_da gleich in eine Datei umleiten.

Alle Dienste die man nicht braucht stoppen und dafür sorgen, dass sie beim nächsten Neustart nicht wieder gestartet werden, siehe 3.6 Lassen Sie so wenige Dienste wie möglich laufen
Webmin, ftp-server, usw. stoppen z.b. mit /etc/webmin/stop, /etc/init.d/irgendwas stop …
Nun sollte man sich z.b. um ssh, Apache, Postfix und alles was eben noch so läuft kümmern und natürlich
aptitude upgrade und iptables nie außer acht lassen.
SSH-Server absichern
Siehe dazu 5.1 Absichern von ssh.
Mein Tipp: Wenn ihr Rechner in Dschibutti steht, Sie in Grönland leben und nur Sie Zugriff haben wollen, dann beschränken Sie den Zugriff ländermäßig auf Grönland. Damit haben Sie schon einmal den Rest der Welt den Zugriff verwehrt, die Eskimos kennen Sie und somit müssen sie nur mehr den beachten.

Weitere empfehlenswerte Quellen:
Kapitel 14. Sicherheit aus dem Das FreeBSD-Handbuch

(666)


History

0 Gedanken zu „Rechner absichern“

  1. @zappi Danke für den Hinweis, ich denke, darum kommt man nicht herum, wenn das System erst einmal so halbwegs eingerichtet ist. Ich rechne das aber schon zu den Feinheiten und möchte demnächst dazu ein paar Erfahrungsberichte mit verschiedenen Tools posten.

  2. Gerade um nicht oft benötigte Dienste nach belieben zu starten, wäre doch auch der Einstz von Portknocking interessant. Gerade eben dann, wen man mal nicht in Grönland.

Schreibe einen Kommentar zu zappi Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.