CodeMirror/itpol
1
0
Fork 0
mirror of synced 2024-05-21 21:03:29 +12:00
Code Issues Projects Releases Wiki Activity

Fix some spelling mistakes

Browse source
This commit is contained in:
veit 2016-08-28 18:27:50 +02:00
parent e706d8c6d5
commit 51c0eb5729
1 changed files with 68 additions and 65 deletions
Show stats Download patch file Download diff file Expand all files Collapse all files

91
linux-workstation-security.de.rst
View file

@ -7,25 +7,27 @@ Zielgruppe
Dieses Dokument richtet sich an Teams von Systemadministratoren, die Dieses Dokument richtet sich an Teams von Systemadministratoren, die
Linux-Workstations verwenden, um in ihrem Projekt auf IT-Infrastruktur Linux-Workstations verwenden, um in ihrem Projekt auf IT-Infrastruktur
zuzugreifen und zu verwalten. zuzugreifen und diese zu verwalten.
Systemadministratoren können diesen Satz von Richtlinien verwenden, um Systemadministratoren können diese Richtlinien verwenden, um sicherzustellen,
sicherzustellen, dass ihre Arbeitsplätze grundlegenden Sicherheitsanforderungen dass ihre Arbeitsplätze grundlegenden Sicherheitsanforderungen entsprechen, die
entsprechen, die das Risiko, ein Angriffsvektor gegen die gesamte das Risiko, ein Angriffsvektor gegen die gesamte IT-Infrastruktur zu sein,
IT-Infrastruktur zu sein, reduzieren. reduzieren.
Einschränkungen Einschränkungen
=============== ===============
Dies ist kein umfassendes Dokument zum Härten von Workstations, sondern der Dies ist kein umfassendes Dokument zum Härten von Workstations, sondern der
Versuch, mit einer Reihe von Empfehlungen die krassesten Sicherheitsfehler zu Versuch, mit einer Reihe von Empfehlungen die krassesten Sicherheitsfehler zu
vermeiden, ohne zu viel Unannehmlichkeiten einzuführen. Manche werden dieses vermeiden, ohne zu viele Unannehmlichkeiten einzuführen. Manche werden dieses
Dokument lesen und denken, wir sind paranoid; während wir für andere kaum an Dokument lesen und denken, wir sind paranoid; während wir für andere kaum an
der Oberfläche kratzen. Diese Richtlinien sollen lediglich eine Reihe grundlege der Fehler vermeiden helfen, ohne ein Ersatz für Erfahrung, Wachsamkeit und der Oberfläche kratzen. Diese Richtlinien sollen lediglich eine Reihe
gesunden Menschenverstand zu sein. grundlegender Fehler vermeiden helfen, ohne ein Ersatz für Erfahrung,
Wachsamkeit und gesunden Menschenverstand zu sein.
von IT-Richtlinien zu übertragen. Gerne können Sie dieses Dokument für Ihre Wir teilen dieses Dokument, um die Vorteile von Open-Source auf die
Organisation kopieren und uns Ihre Verbesserungen mitteilen. Dokumentation von IT-Richtlinien zu übertragen. Gerne können Sie dieses Dokument
für Ihre Organisation kopieren und uns Ihre Verbesserungen mitteilen.
Struktur Struktur
======== ========
@ -33,7 +35,7 @@ Struktur
Jeder Abschnitt ist in zwei verschiedene Bereiche unterteilt: Jeder Abschnitt ist in zwei verschiedene Bereiche unterteilt:
#. Die Checkliste, die Ihren Projektanforderungen angepasst werden kann. #. Die Checkliste, die Ihren Projektanforderungen angepasst werden kann.
#. Überlegungen, die erklären, wiew es zu diesen Entscheidungen kam. #. Überlegungen, die erklären, wie es zu diesen Entscheidungen kam.
Die Checkliste unterscheidet zwischen den folgenden drei Prioritätsstufen: Die Checkliste unterscheidet zwischen den folgenden drei Prioritätsstufen:
@ -46,11 +48,12 @@ wesentlich
wünschenswert wünschenswert
Aufgaben, die die allgemeine Sicherheit Ihrer Workstation verbessern, die Aufgaben, die die allgemeine Sicherheit Ihrer Workstation verbessern, die
jedoch neue Arbeitsweisen erfordern. jedoch neue Arbeitsweisen erfordern.
paranoid paranoid
Aufgaben, die die Sicherheit Ihrer Workstation verbessern, jedoch mit Aufgaben, die die Sicherheit Ihrer Workstation verbessern, jedoch mit
erheblichem Aufwand bei der Umsetzung verbunden sind. erheblichem Aufwand bei der Umsetzung verbunden sind.
Denken Sie bitte daran, dass es sich im folgenden nur um Richtlinien handelt, Denken Sie bitte daran, dass es sich im Folgenden nur um Richtlinien handelt,
die Sie entsprechend Ihrem Sicherheitsniveau anpassen sollten, genau so wie Sie die Sie entsprechend Ihrem Sicherheitsniveau anpassen sollten, genau so wie Sie
für richtig halten. für richtig halten.
@ -148,9 +151,9 @@ Wenn Sie Ihre Workstation häufiger booten, können Sie auch eine LUKS-Passphras
3. Wahl der Distribution 3. Wahl der Distribution
======================== ========================
Vemutlich werden Sie bei einer der weit verbreiteten Distributionen wie Fedora Vermutlich werden Sie bei einer der weit verbreiteten Distributionen wie Fedora
Ubuntu, Arch, Debian, oder einer ihrer Spin-offs landen. In jedem Fall sollten Ubuntu, Arch, Debian, oder einer ihrer Ableger landen. In jedem Fall sollten
Sie das Folgende beachten, bevor Sie eine Distribution entscheiden. Sie das Folgende beachten, bevor Sie sich für eine Distribution entscheiden.
Checkliste Checkliste
---------- ----------
@ -159,7 +162,7 @@ Checkliste
(SELinux/AppArmor/grsecurity). (wesentlich) (SELinux/AppArmor/grsecurity). (wesentlich)
* ☐ publiziert Sicherheitsmitteilungen. (wesentlich) * ☐ publiziert Sicherheitsmitteilungen. (wesentlich)
* ☐ bietet rechtzeitige Sicherheits-Patches. (wesentlich) * ☐ bietet rechtzeitige Sicherheits-Patches. (wesentlich)
* ☐ bietet die verschlüsselte Verifizierung von Paketen. (wesentlich) * ☐ bietet die kryptographische Verifizierung von Paketen. (wesentlich)
* ☐ bietet volle Unterstützung für UEFI und SecureBoot. (wesentlich) * ☐ bietet volle Unterstützung für UEFI und SecureBoot. (wesentlich)
* ☐ bietet robuste, native und vollständige Festplattenverschlüsselung. * ☐ bietet robuste, native und vollständige Festplattenverschlüsselung.
(wesentlich) (wesentlich)
@ -193,7 +196,7 @@ Die meisten der weit verbreiteten Distributionen teilen ihren Nutzern
zuverlässig sicherheitsrelevante Informationen mit. Bei etwas exotischeren zuverlässig sicherheitsrelevante Informationen mit. Bei etwas exotischeren
Installationen sollte jedoch überprüft werden, ob die Distribution hierfür eine Installationen sollte jedoch überprüft werden, ob die Distribution hierfür eine
zuverlässige Alarmierung der Benutzer über Sicherheitslücken und Patches zuverlässige Alarmierung der Benutzer über Sicherheitslücken und Patches
implementiert hat. Fehlt ein solcher Mechanismus, ist das ein wichtiges umgesetzt hat. Fehlt ein solcher Mechanismus, ist das ein wichtiges
Warnsignal, dass die Distribution noch nicht ausgereift ist. Warnsignal, dass die Distribution noch nicht ausgereift ist.
Rechtzeitige und vertrauenswürdige Sicherheits-Updates Rechtzeitige und vertrauenswürdige Sicherheits-Updates
@ -201,7 +204,7 @@ Rechtzeitige und vertrauenswürdige Sicherheits-Updates
Die meisten der weit verbreiteten Distributionen liefern regelmäßige Die meisten der weit verbreiteten Distributionen liefern regelmäßige
Sicherheits-Updates. Sie unterscheiden sich jedoch deutlich in der Art und Sicherheits-Updates. Sie unterscheiden sich jedoch deutlich in der Art und
Weise, wie diese Pakete bereitgestellt werden. Vermeiden Sie daher Spin-offs und Weise, wie diese Pakete bereitgestellt werden. Vermeiden Sie daher Ableger und
*Community Rebuilds*, da sich dort üblicherweise die Sicherheitsupdates *Community Rebuilds*, da sich dort üblicherweise die Sicherheitsupdates
verzögern. verzögern.
@ -234,7 +237,7 @@ höheren Kosten.
4. Installation 4. Installation
=============== ===============
Alle Distributionen sind unterschiedlich, aber hier sind allgemeinen Alle Distributionen sind unterschiedlich, aber hier sind allgemeine
Richtlinien: Richtlinien:
Checkliste Checkliste
@ -323,7 +326,7 @@ sich ggf. erinnern müssen als:
* **Benutzer** für: * **Benutzer** für:
* das Benutzerkonto und ``sudo`` * das Benutzerkonto und ``sudo``
* das Master-Passwort des Passwort-Manager * das Master-Passwort des Passwort-Managers
``Rkhunter`` und IDS ``Rkhunter`` und IDS
~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~
@ -352,10 +355,9 @@ erkennen.
Die Härtung der Sicherheit nach der Installation ist stark von der Distribution Die Härtung der Sicherheit nach der Installation ist stark von der Distribution
abhängig weswegen wir an dieser Stelle keine detaillierten Anweisungen geben abhängig weswegen wir an dieser Stelle keine detaillierten Anweisungen geben
können sondern nur allgemeine. Allerdings sind hier einige Schritte, die Sie können sondern nur allgemeine. Hier einige Schritte, die Sie beachten sollten:
beachten sollten:
* ☐ Global Firewire und Thunderbolt deaktivieren (wesentlich) * ☐ Firewire und Thunderbolt global deaktivieren (wesentlich)
* ☐ Überprüfen Sie alle eingehenden Ports in Ihrer Ihre Firewall um * ☐ Überprüfen Sie alle eingehenden Ports in Ihrer Ihre Firewall um
sicherzustellen, dass diese gefiltert werden (wesentlich) sicherzustellen, dass diese gefiltert werden (wesentlich)
* ☐ Stellen Sie sicher, dass ``root``-Mails an ein Konto weitergeleitet werden, * ☐ Stellen Sie sicher, dass ``root``-Mails an ein Konto weitergeleitet werden,
@ -366,7 +368,7 @@ beachten sollten:
(wünschenswert) (wünschenswert)
* ☐ Konfigurieren Sie den Bildschirmschoner so, dass er automatisch nach * ☐ Konfigurieren Sie den Bildschirmschoner so, dass er automatisch nach
einer gewissen Zeit der Inaktivität die Eingabe sperrt (wünschenswert) einer gewissen Zeit der Inaktivität die Eingabe sperrt (wünschenswert)
* ☐ Richten Sie ``logwatch`` ein x (wünschenswert) * ☐ Richten Sie ``logwatch`` ein (wünschenswert)
* ☐ Installieren und verwenden Sie ``rkhunter`` (Rootkit Hunter) (wünschenswert) * ☐ Installieren und verwenden Sie ``rkhunter`` (Rootkit Hunter) (wünschenswert)
* ☐ Installieren Sie ein Intrusion Detection System (wünschenswert) * ☐ Installieren Sie ein Intrusion Detection System (wünschenswert)
@ -388,10 +390,10 @@ gesetzt.
Root-Mail Root-Mail
~~~~~~~~~ ~~~~~~~~~
Standardmäßig wird die Root-Mail auf dem System nur gespeichert und neigt Standardmäßig werden Root-Mails auf dem System nur gespeichert und man neigt
dazu, nie gelesen werden. Stellen Sie in ``/etc/aliases`` sicher, dass Root- dazu, diese nie zu lesen. Stellen Sie in ``/etc/aliases`` sicher, dass
Mail an eine Mailbox weitergeleitet wird, die tatsächlich gelesen wird, damit Sie Root-Mails an eine Mailbox weitergeleitet werden, die tatsächlich gelesen wird,
wichtige Systemmeldungen und Berichte nicht verpassen:: damit Sie wichtige Systemmeldungen und Berichte nicht verpassen::
# Person who should get roots mail # Person who should get roots mail
root: sue@cusy.io root: sue@cusy.io
@ -400,38 +402,40 @@ Führen Sie nach dieser Änderung ``sudo newaliases`` aus und testen Sie
anschließend, ob die Mails auch tatsächlich ausgeliefert werden, da einige E- anschließend, ob die Mails auch tatsächlich ausgeliefert werden, da einige E-
Mail-Provider Mails aus nicht vorhandenen oder nicht routebaren Domain- Mail-Provider Mails aus nicht vorhandenen oder nicht routebaren Domain-
Namen ablehnen. Wenn dies der Fall ist, müssen Sie Ihre E-Mail-Konfiguration Namen ablehnen. Wenn dies der Fall ist, müssen Sie Ihre E-Mail-Konfiguration
anpassen, bis dies tatsächlich funktioniert. anpassen.
Firewalls, sshd und listening daemons Firewalls, sshd und listening Dienste
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Firewalls, SSH- und andere Dienste
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Die Standardeinstellungen der Firewall vieler Distribution lässt eingehende sshd- Die Standardeinstellungen der Firewall vieler Distributionen lässt eingehende
Ports zu. Sofern Sie keinen zwingenden Grund für eingehende ssh-Verbindungen SSH-Verbindungen zu. Sofern Sie keinen zwingenden Grund für eingehende
haben, sollten Sie diese Verbindung deaktivieren:: SSH-Verbindungen haben, sollten Sie den SSH-Dienst deaktivieren::
$ sudo systemctl disable sshd.service
$ sudo systemctl stop sshd.service $ sudo systemctl stop sshd.service
Dies hindert Sie nicht daran, vorübergehend den ``sshd``-Service zuzulassen, Dies hindert Sie nicht daran, vorübergehend den SSH-Dienst zu starten, wenn Sie
wenn Sie ihn benötigen. ihn benötigen.
Allgemeiner sollte Ihr System keine offenen Ports haben, an denen ein Daemon Allgemeiner sollte Ihr System keine offenen Ports haben, an denen ein Dienst
auf Anfragen lauscht. Dies schützt Sie besser vor Zero-Day-Exploits. auf Anfragen lauscht. Dies schützt Sie besser vor Zero-Day-Exploits.
Automatische Updates oder Benachrichtigungen Automatische Updates oder Benachrichtigungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Wir empfehlen automatische Updates, da selten die eigenen Routinen besser sind Wir empfehlen automatische Updates, da die eigenen Abläufe selten besser sind
als diejenigen der jeweiligen Distribution. Zumindest sollten Sie jedoch als diejenigen der jeweiligen Distribution. Zumindest sollten Sie jedoch
automatische Benachrichtigungen über verfügbare Updates aktivieren. Und auch automatische Benachrichtigungen über verfügbare Updates aktivieren. Und auch
dann sollten Sie alle ausstehenden Updates so schnell wie möglich anwenden, dann sollten Sie alle ausstehenden Updates so schnell wie möglich anwenden,
auch wenn etwas nicht speziell als *Sicherheitsupdate* markiert ist oder einen auch wenn etwas nicht speziell als *Sicherheitsupdate* markiert ist oder keinen
zugehörigen CVE-Code aufweist. Alle Bugs haben das Potenzial, zugehörigen CVE-Code aufweist. Alle Bugs haben das Potenzial,
Sicherheitslücken zu sein. Sicherheitslücken zu sein.
Logs beobachten Logs beobachten
~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~
Sie sollten ein großes Interesse haben an dem, was auf Ihrem System passiert. Sie sollten ein großes Interesse an dem haben, was auf Ihrem System passiert.
Aus diesem Grund sollten Sie ``logwatch`` installieren und konfigurieren. Aus diesem Grund sollten Sie ``logwatch`` installieren und konfigurieren.
Sie sollten sich tägliche Berichte über alle Aktivitäten zusenden lassen, um Sie sollten sich tägliche Berichte über alle Aktivitäten zusenden lassen, um
informiert zu sein, was auf Ihrem System passiert. Dies wird zwar keinen informiert zu sein, was auf Ihrem System passiert. Dies wird zwar keinen
@ -486,16 +490,15 @@ einrichten, das nur die wichtigsten Dateien kopiert und große Datenmengen
vermeidet wie z.B. Browser-Cache, Downloads etc. vermeidet wie z.B. Browser-Cache, Downloads etc.
Alternativ können Sie auch ein Zero-Knowledge-Backup-Tool verwenden, wie z.B. Alternativ können Sie auch ein Zero-Knowledge-Backup-Tool verwenden, wie z.B.
*SpiderOak*, das über zusätzliche nützliche Funktionen verfügt, wie zum *SpiderOak*, das über zusätzliche nützliche Funktionen, wie zum Beispiel die
Beispiel die Synchronisation von Daten zwischen mehreren Systemen und Synchronisation von Daten zwischen mehreren Systemen und Plattformen, verfügt.
Plattformen.
7. Best Practices 7. Best Practices
================= =================
Die folgenden Best Practices sind sicher nicht umfassend. Sie versuchen Die folgenden Best Practices sind sicher nicht umfassend. Sie versuchen
vielmehr praktische Ratschläge zu geben, die unseres Erachtens eine vielmehr praktische Ratschläge zu geben, die unseres Erachtens eine
tragfähige Balance zwischen Sicherheit und Benutzerfreundlichkeit finden. tragfähige Balance zwischen Sicherheit und Benutzerfreundlichkeit halten.
Web-Browser Web-Browser
----------- -----------