Kapitel 7. Systemsicherheit

Inhaltsverzeichnis

In diesem Abschnitt sollen einige Hinweise gegeben werden, wie ein Debian GNU/Linux-System besser gegen unbefugte Zugriffe auf das System abgesichert werden kann. Debian bietet hierzu einige vorbereitete Pakete, die mit wenig Aufwand zu installieren oder zu konfigurieren sind.

Zunächst sollten Sie bereits bei der Installation des Systems darauf achten, dass Sie sowohl die Frage nach der Verwendung von Shadow-Passwörtern als auch die Frage nach MD5-verschlüsselten Passwörtern mit Ja beantworten.

Generell ist zu sagen, dass jeder auf einem Unix-System laufende Dienst ein Sicherheitsrisiko darstellt. Installieren Sie also ausschließlich Dienste, die auch auf dem System eingesetzt werden sollen.

Das Debian Team nimmt die Sicherheit des Systems sehr ernst. Sicherheitslücken werden umgehend beseitigt, und aktualisierte Versionen der Software-Pakete sind auf den Debian FTP-Servern verfügbar. Um Zugriff auf die jeweils aktuellen Sicherheitsupdates zu haben, sollten Sie folgende Zeile der Datei /etc/apt/sources.list hinzufügen:

deb http://security.debian.org/ stable/updates main contrib non-free
	

7.1 Das Paket harden

Um sicherzustellen, dass sich keine Pakete mit Sicherheitslücken auf dem System befinden, kann das Paket harden installiert werden. In diesem Paket sind verschiedene Task-Pakete aufgeführt, die wiederum mit entsprechenden Anhängigkeiten belegt sind. Die harden-*-Pakete werden laufend aktualisiert, und sicherheitskritische Software wird durch entsprechende Abhängigkeiten, die in diesen Paketen festgelegt sind, von der Verwendung ausgeschlossen. Es kann also durchaus passieren, dass die Installation dieses Pakets dazu führt, dass ein benötigter Dienst gelöscht wird!

Das Debian Team ist dabei der Meinung, dass es besser ist, einen Dienst eine Zeit lang nicht zur Verfügung zu stellen, statt einem Angreifer einen Angriffspunkt zu liefern.

Das Paket harden besitzt definierte Abhängigkeiten zu diversen anderen Paketen, die auch gesondert installiert werden können. Diese decken kleinere Bereiche ab, so dass es möglich ist, einzelne Dienste oder bestimmte Systeme gezielt zu schützen. Diese Pakete sind:

harden - Makes your system hardened.
harden-3rdflaws - Avoid packages with security problems.
harden-clients - Avoid clients that are known to be insecure.
harden-development - Development tools for creating more secure programs.
harden-doc - Useful documentation to secure a Debian system.
harden-environment - Hardened system environment.
harden-localflaws - Avoid packages with security holes.
harden-nids - Harden a system by using a network intrusion detection system.
harden-remoteaudit - Audit your system from this host.
harden-remoteflaws - Avoid packages with security holes.
harden-servers - Avoid servers that are known to be insecure.
harden-surveillance - Check services and/or servers automatically.
harden-tools - Tools to enhance or analyze the security of the local system.

Die durch diese Pakete vorgenommenen Veränderungen basieren auf den im Securing Debian HOWTO beschriebenen Aktionen.

 Impressum