B.2. Prüfliste der Konfiguration

Dieser Anhang wiederholt kurz Punkte aus anderen Abschnitten dieser Anleitung in einem verdichteten Prüflisten-Format. Er ist als schnelle Zusammenfassung für Leute gedacht, die bereits diese Anleitung gelesen haben. Es gibt auch andere gute Prüflisten, zum Beispiel Kurt Seifrieds http://seifried.org/security/os/linux/20020324-securing-linux-step-by-step.html und http://www.cert.org/tech_tips/usc20_full.html.

FIXME: This is based on v1.4 of the manual and might need to be updated.

Beschränkung des physischen Zugriffs und der Boot-Fähigkeiten:
- Setzen Sie im BIOS ein Passwort.
- Schalten Sie im BIOS das Booten von Diskette, CD-ROM, ... ab.
- Setzen Sie ein LILO- bzw. GRUB-Passwort (/etc/lilo.conf bzw. /boot/grub/menu.lst); stellen Sie sicher, dass die Konfigurationsdatei von LILO oder GRUB nicht lesbar ist.
Partitionierung:
- Legen Sie Daten, die von Benutzern geschrieben wurden, Daten, die nicht zum System gehören, und sich ständig ändernde Laufzeitdaten auf eigenen, getrennten Partitionen ab.
- Setzen Sie die Mount-Optionen nosuid,noexec,nodev in /etc/fstab bei ext2/3-Partitionen, die keine ausführbaren Programme enthalten sollten, wie zum Beispiel /home oder /tmp.
Passworthygiene und Anmeldesicherheit:
- Wählen Sie ein gutes Root-Passwort.
- Installieren und benutzen Sie PAM:
  Fügen Sie die Unterstützung von PAM-MD5 hinzu, und stellen Sie sicher (allgemein gesprochen), dass die Einträge in den /etc/pam.d/-Dateien, die Zugriff auf die Maschine gewähren, das zweite Feld in der pam.d-Datei auf requisite oder required gesetzt haben.
  Ändern Sie /etc/pam.d/login, so dass nur lokale Anmeldungen von Root erlaubt werden.
  Bezeichnen Sie außerdem autorisierte ttys in /etc/security/access.conf und richten Sie diese Datei überhaupt so ein, dass Anmeldungen von Root so weit wie möglich eingeschränkt werden.
  Fügen Sie pam_limits.so hinzu, wenn Sie Begrenzungen für jeden Benutzer vornehmen wollen.
  Ändern Sie /etc/pam.d/passwd: Erhöhen Sie die minimale Länge von Passwörtern (vielleicht sechs Zeichen) und schalten Sie MD5 ein.
  Wenn Sie es wünschen, fügen Sie /etc/group die Gruppe wheel hinzu; fügen Sie /etc/pam.d/su pam_wheel.so group=wheel hinzu.
  Für angepasste Kontrollen der einzelnen Benutzer nehmen Sie Einträge in pam_listfile.so an den passenden Stellen vor.
  Erstellen Sie eine Datei /etc/pam.d/other und setzen Sie sie mit strenger Sicherheit auf.
- Setzen Sie in /etc/security/limits.conf Begrenzungen (beachten Sie, dass /etc/limits nicht benutzt wird, wenn Sie PAM verwenden).
- Nehmen Sie Einschränkungen in /etc/login.defs vor; wenn Sie MD5 oder PAM einschalten, machen Sie auch hier die entsprechenden Änderungen.
- Nehmen Sie Einschränkungen in /etc/pam.d/login vor.
- Schalten Sie den FTP-Zugriff von Root in /etc/ftpusers ab.
- Schalten Sie Anmeldungen von Root über das Netzwerk ab; benutzen Sie su(1) oder sudo(1) (denken Sie über die Installation von sudo nach).
- Benutzen Sie PAM, um zusätzliche Auflagen für Anmeldungen zu ermöglichen.
Andere lokale Sicherheitsangelegenheiten:
- Kernel-Tweaks (siehe Abschnitt 4.18.1, „Konfiguration der Netzwerkfähigkeiten des Kernels“)
- Kernel-Patches (siehe Abschnitt 4.14, „Den Kernel patchen“)
- Schränken Sie die Zugriffsrechte auf Protokolldateien (/var/log/{last,fail}log, Protokolle von Apache) ein.
- Stellen Sie sicher, dass in /etc/checksecurity.conf die Prüfung von SETUID eingeschaltet ist.
- Überlegen Sie sich, an Protokolldateien nur erweiterbar (append-only) und Konfigurationsdateien unveränderbar (immutable) zu machen, indem Sie chattr benutzen (nur ext2/3-Dateisystem).
- Setzen Sie eine Integritätsprüfung des Dateisystems auf (siehe Abschnitt 4.17.3, „Prüfung der Integrität des Dateisystems“). Installieren Sie debsums.
- Alles auf einem lokalen Drucker mitprotokollieren?
- Brennen Sie Ihre Konfiguration auf eine bootbare CD und booten Sie hiervon?
- Abschalten von Kernel-Modulen?
Einschränkung des Netzwerkzugriffs:
- Installieren und konfigurieren Sie ssh (Vorschlag: PermitRootLogin No in /etc/ssh/sshd_config, PermitEmptyPasswords No; beachten Sie auch die anderen Vorschläge im Text).
- Schalten Sie in.telnetd ab oder entfernen Sie ihn, falls er installiert ist.
- Deaktivieren Sie ganz allgemein alle überflüssigen Dienste in /etc/inetd.conf. Benutzen Sie dazu update-inetd --disable (oder Sie schalten inetd ganz ab oder verwenden einen Ersatz wie xinetd oder rlinetd).
- Schalten Sie andere überflüssige Netzwerkdienste ab. ftp, DNS, www, usw. sollten nicht laufen, wenn Sie sie nicht brauchen und nicht regelmäßig überwachen. In den meisten Fällen muss ein Mail-Server betrieben werden, sollte aber so konfiguriert sein, dass er nur lokal Mails zustellt.
- Installieren Sie von den Diensten, die Sie brauchen, nicht einfach das verbreiteteste Programm, sondern schauen Sie nach sichereren Versionen, die Debian liefert (oder aus anderen Quellen), um. Was auch immer Sie schließlich benutzen: Stellen Sie sicher, dass Sie die Risiken verstanden haben.
- Setzen Sie Chroot-Gefängnisse für auswärtige Benutzer und Daemonen auf.
- Konfigurieren Sie die Firewall und die tcp-Wrapper (d.h. hosts_access(5)); beachten Sie den Trick für /etc/hosts.deny im Text.
- Wenn Sie FTP laufen lassen, setzen Sie den ftpd-Server so auf, dass er immer in einer chroot-Umgebung im Home-Verzeichnis des Benutzers läuft.
- Wenn Sie X laufen lassen, schalten Sie xhost-Authentifizierung ab und benutzen Sie stattdessen ssh. Oder noch besser: Deaktivieren Sie die Weiterleitung von X komplett, falls das möglich ist (fügen Sie -nolisten tcp zu der X-Kommando-Zeile hinzu und schalten Sie XDMCP in /etc/X11/xdm/xdm-config ab, indem Sie den requestPort auf 0 setzen).
- Schalten Sie Zugriff von außerhalb auf den Drucker ab.
- Tunneln Sie alle IMAP- oder POP-Sitzungen durch SSL oder ssh. Installieren Sie stunnel, wenn Sie diesen Dienst anderen Mail-Benutzern anbieten wollen.
- Setzen Sie einen Log-Host auf, und konfigurieren Sie andere Maschinen, ihre Protokolle an diesen Host zu senden (/etc/syslog.conf).
- Sichern Sie BIND, Sendmail und andere komplexe Daemonen ab (starten Sie sie in einer chroot-Umgebung und als Pseudobenutzer, der nicht Root ist).
- Installieren Sie tiger oder ein ähnliches Werkzeug zur Erkennung von Eindringlingen in Ihr Netzwerk.
- Installieren Sie snort oder ein ähnliches Werkzeug zur Erkennung von Eindringlingen in Ihr Netzwerk.
- Verzichten Sie, falls möglich, auf NIS und RPC (Abschalten von portmap).
Angelegenheiten mit Richtlinien:
- Klären Sie die Benutzer über das Wie und Warum Ihrer Richtlinien auf. Wenn Sie etwas verboten haben, das auf anderen Systemen normalerweise verfügbar ist, stellen Sie Dokumentation bereit, die erklärt, wie man die gleichen Resultate erreicht, indem man andere, sichere Mittel anwendet.
- Verbieten Sie die Nutzung von Protokollen, die Klartext-Passwörter benutzen (telnet, rsh und ähnliche, ftp, imap, pop, http, ...).
- Verbieten Sie Programme, die SVGAlib benutzen.
- Benutzen Sie Disk-Quotas.
Bleiben Sie über Sicherheitsangelegenheiten informiert:
- Abonnieren Sie sicherheitsrelevante Mailinglisten.
- Richten Sie Sicherheitsaktualisierungen für apt ein – fügen Sie /etc/apt/sources.list einen Eintrag (oder Einträge) für http://security.debian.org/ hinzu.
- Vergessen Sie auch nicht, regelmäßig apt-get update ; apt-get upgrade (vielleicht als Cron-Job?) laufen zu lassen, wie unter Abschnitt 4.2, „Ausführen von Sicherheitsaktualisierungen“ beschrieben.