Härtung von Linux-Systemen

Prinzipien einer Härtung

• Verschlüsselung
• Minimal-Installationen
• Isolation von Diensten
• Sichern des Systemzustands

Sicherung des Bootvorgangs

• BIOS und UEFI
• Bootloader
• Boot-Skipte

Konfiguration der Runlevel

Installationspakete

Kernel-Sicherheit

• TCP SYN Cookies
• IP Source Routing
• ICMP Redirect
• Schutz vor IP Spoofing
• Ping-Antwortpakete
• Ping-Broadcasts
• Logging von Bogus Error Messages
• Logging von potenziellen Angriffspaketen

Netzwerkdienste

• Login-Texte
• Unsichere Dienste
• Xinetd
• SSH
• Login-Banner
• Root-Login
• SSH-Version
• Forwarding
• Strict Mode
• Host-Authentifizierung
• SFTP
• SCP
• Postfix
• NFS
• DNS-Resolver
• NTP

Firewalls

• Iptables
• TCP Wrapper

Zugriffsrechte auf Dateien

Sicherheit von Accounts

• Single-User-Passwort
• Linux-Passwörter
• Alter von Passwörtern
• Passwort-Komplexität
• Sperren von Accounts

Schutz vor DoS-Attacken

• Partitionierung von Festplatten
• Begrenzung von Ressourcen
• Systemressourcen
• Bash-Restriktionen
• PAM-Restriktionen

Sicheres Löschen von Daten

Härtungs-Software

• AppArmor
• SELinux

Patch-Management

Kontrolle der Sicherheitseinstellungen

• Dateien
• Umask
• SUID/SGID
• Allgemein beschreibbare Dateien
• Verwaiste Dateien
• Accounts
• Offene Accounts
• Unbenutzte Accounts
• Automatischer Test mit seccheck

Monitoring und Intrusion Detection

• AIDE
• Logins

Fazit