Fix some spelling mistakes
This commit is contained in:
parent
e706d8c6d5
commit
51c0eb5729
|
@ -7,25 +7,27 @@ Zielgruppe
|
||||||
|
|
||||||
Dieses Dokument richtet sich an Teams von Systemadministratoren, die
|
Dieses Dokument richtet sich an Teams von Systemadministratoren, die
|
||||||
Linux-Workstations verwenden, um in ihrem Projekt auf IT-Infrastruktur
|
Linux-Workstations verwenden, um in ihrem Projekt auf IT-Infrastruktur
|
||||||
zuzugreifen und zu verwalten.
|
zuzugreifen und diese zu verwalten.
|
||||||
|
|
||||||
Systemadministratoren können diesen Satz von Richtlinien verwenden, um
|
Systemadministratoren können diese Richtlinien verwenden, um sicherzustellen,
|
||||||
sicherzustellen, dass ihre Arbeitsplätze grundlegenden Sicherheitsanforderungen
|
dass ihre Arbeitsplätze grundlegenden Sicherheitsanforderungen entsprechen, die
|
||||||
entsprechen, die das Risiko, ein Angriffsvektor gegen die gesamte
|
das Risiko, ein Angriffsvektor gegen die gesamte IT-Infrastruktur zu sein,
|
||||||
IT-Infrastruktur zu sein, reduzieren.
|
reduzieren.
|
||||||
|
|
||||||
Einschränkungen
|
Einschränkungen
|
||||||
===============
|
===============
|
||||||
|
|
||||||
Dies ist kein umfassendes Dokument zum Härten von Workstations, sondern der
|
Dies ist kein umfassendes Dokument zum Härten von Workstations, sondern der
|
||||||
Versuch, mit einer Reihe von Empfehlungen die krassesten Sicherheitsfehler zu
|
Versuch, mit einer Reihe von Empfehlungen die krassesten Sicherheitsfehler zu
|
||||||
vermeiden, ohne zu viel Unannehmlichkeiten einzuführen. Manche werden dieses
|
vermeiden, ohne zu viele Unannehmlichkeiten einzuführen. Manche werden dieses
|
||||||
Dokument lesen und denken, wir sind paranoid; während wir für andere kaum an
|
Dokument lesen und denken, wir sind paranoid; während wir für andere kaum an
|
||||||
der Oberfläche kratzen. Diese Richtlinien sollen lediglich eine Reihe grundlege der Fehler vermeiden helfen, ohne ein Ersatz für Erfahrung, Wachsamkeit und
|
der Oberfläche kratzen. Diese Richtlinien sollen lediglich eine Reihe
|
||||||
gesunden Menschenverstand zu sein.
|
grundlegender Fehler vermeiden helfen, ohne ein Ersatz für Erfahrung,
|
||||||
|
Wachsamkeit und gesunden Menschenverstand zu sein.
|
||||||
|
|
||||||
von IT-Richtlinien zu übertragen. Gerne können Sie dieses Dokument für Ihre
|
Wir teilen dieses Dokument, um die Vorteile von Open-Source auf die
|
||||||
Organisation kopieren und uns Ihre Verbesserungen mitteilen.
|
Dokumentation von IT-Richtlinien zu übertragen. Gerne können Sie dieses Dokument
|
||||||
|
für Ihre Organisation kopieren und uns Ihre Verbesserungen mitteilen.
|
||||||
|
|
||||||
Struktur
|
Struktur
|
||||||
========
|
========
|
||||||
|
@ -33,7 +35,7 @@ Struktur
|
||||||
Jeder Abschnitt ist in zwei verschiedene Bereiche unterteilt:
|
Jeder Abschnitt ist in zwei verschiedene Bereiche unterteilt:
|
||||||
|
|
||||||
#. Die Checkliste, die Ihren Projektanforderungen angepasst werden kann.
|
#. Die Checkliste, die Ihren Projektanforderungen angepasst werden kann.
|
||||||
#. Überlegungen, die erklären, wiew es zu diesen Entscheidungen kam.
|
#. Überlegungen, die erklären, wie es zu diesen Entscheidungen kam.
|
||||||
|
|
||||||
Die Checkliste unterscheidet zwischen den folgenden drei Prioritätsstufen:
|
Die Checkliste unterscheidet zwischen den folgenden drei Prioritätsstufen:
|
||||||
|
|
||||||
|
@ -46,11 +48,12 @@ wesentlich
|
||||||
wünschenswert
|
wünschenswert
|
||||||
Aufgaben, die die allgemeine Sicherheit Ihrer Workstation verbessern, die
|
Aufgaben, die die allgemeine Sicherheit Ihrer Workstation verbessern, die
|
||||||
jedoch neue Arbeitsweisen erfordern.
|
jedoch neue Arbeitsweisen erfordern.
|
||||||
|
|
||||||
paranoid
|
paranoid
|
||||||
Aufgaben, die die Sicherheit Ihrer Workstation verbessern, jedoch mit
|
Aufgaben, die die Sicherheit Ihrer Workstation verbessern, jedoch mit
|
||||||
erheblichem Aufwand bei der Umsetzung verbunden sind.
|
erheblichem Aufwand bei der Umsetzung verbunden sind.
|
||||||
|
|
||||||
Denken Sie bitte daran, dass es sich im folgenden nur um Richtlinien handelt,
|
Denken Sie bitte daran, dass es sich im Folgenden nur um Richtlinien handelt,
|
||||||
die Sie entsprechend Ihrem Sicherheitsniveau anpassen sollten, genau so wie Sie
|
die Sie entsprechend Ihrem Sicherheitsniveau anpassen sollten, genau so wie Sie
|
||||||
für richtig halten.
|
für richtig halten.
|
||||||
|
|
||||||
|
@ -148,9 +151,9 @@ Wenn Sie Ihre Workstation häufiger booten, können Sie auch eine LUKS-Passphras
|
||||||
3. Wahl der Distribution
|
3. Wahl der Distribution
|
||||||
========================
|
========================
|
||||||
|
|
||||||
Vemutlich werden Sie bei einer der weit verbreiteten Distributionen wie Fedora
|
Vermutlich werden Sie bei einer der weit verbreiteten Distributionen wie Fedora
|
||||||
Ubuntu, Arch, Debian, oder einer ihrer Spin-offs landen. In jedem Fall sollten
|
Ubuntu, Arch, Debian, oder einer ihrer Ableger landen. In jedem Fall sollten
|
||||||
Sie das Folgende beachten, bevor Sie eine Distribution entscheiden.
|
Sie das Folgende beachten, bevor Sie sich für eine Distribution entscheiden.
|
||||||
|
|
||||||
Checkliste
|
Checkliste
|
||||||
----------
|
----------
|
||||||
|
@ -159,7 +162,7 @@ Checkliste
|
||||||
(SELinux/AppArmor/grsecurity). (wesentlich)
|
(SELinux/AppArmor/grsecurity). (wesentlich)
|
||||||
* ☐ publiziert Sicherheitsmitteilungen. (wesentlich)
|
* ☐ publiziert Sicherheitsmitteilungen. (wesentlich)
|
||||||
* ☐ bietet rechtzeitige Sicherheits-Patches. (wesentlich)
|
* ☐ bietet rechtzeitige Sicherheits-Patches. (wesentlich)
|
||||||
* ☐ bietet die verschlüsselte Verifizierung von Paketen. (wesentlich)
|
* ☐ bietet die kryptographische Verifizierung von Paketen. (wesentlich)
|
||||||
* ☐ bietet volle Unterstützung für UEFI und SecureBoot. (wesentlich)
|
* ☐ bietet volle Unterstützung für UEFI und SecureBoot. (wesentlich)
|
||||||
* ☐ bietet robuste, native und vollständige Festplattenverschlüsselung.
|
* ☐ bietet robuste, native und vollständige Festplattenverschlüsselung.
|
||||||
(wesentlich)
|
(wesentlich)
|
||||||
|
@ -193,7 +196,7 @@ Die meisten der weit verbreiteten Distributionen teilen ihren Nutzern
|
||||||
zuverlässig sicherheitsrelevante Informationen mit. Bei etwas exotischeren
|
zuverlässig sicherheitsrelevante Informationen mit. Bei etwas exotischeren
|
||||||
Installationen sollte jedoch überprüft werden, ob die Distribution hierfür eine
|
Installationen sollte jedoch überprüft werden, ob die Distribution hierfür eine
|
||||||
zuverlässige Alarmierung der Benutzer über Sicherheitslücken und Patches
|
zuverlässige Alarmierung der Benutzer über Sicherheitslücken und Patches
|
||||||
implementiert hat. Fehlt ein solcher Mechanismus, ist das ein wichtiges
|
umgesetzt hat. Fehlt ein solcher Mechanismus, ist das ein wichtiges
|
||||||
Warnsignal, dass die Distribution noch nicht ausgereift ist.
|
Warnsignal, dass die Distribution noch nicht ausgereift ist.
|
||||||
|
|
||||||
Rechtzeitige und vertrauenswürdige Sicherheits-Updates
|
Rechtzeitige und vertrauenswürdige Sicherheits-Updates
|
||||||
|
@ -201,7 +204,7 @@ Rechtzeitige und vertrauenswürdige Sicherheits-Updates
|
||||||
|
|
||||||
Die meisten der weit verbreiteten Distributionen liefern regelmäßige
|
Die meisten der weit verbreiteten Distributionen liefern regelmäßige
|
||||||
Sicherheits-Updates. Sie unterscheiden sich jedoch deutlich in der Art und
|
Sicherheits-Updates. Sie unterscheiden sich jedoch deutlich in der Art und
|
||||||
Weise, wie diese Pakete bereitgestellt werden. Vermeiden Sie daher Spin-offs und
|
Weise, wie diese Pakete bereitgestellt werden. Vermeiden Sie daher Ableger und
|
||||||
*Community Rebuilds*, da sich dort üblicherweise die Sicherheitsupdates
|
*Community Rebuilds*, da sich dort üblicherweise die Sicherheitsupdates
|
||||||
verzögern.
|
verzögern.
|
||||||
|
|
||||||
|
@ -234,7 +237,7 @@ höheren Kosten.
|
||||||
4. Installation
|
4. Installation
|
||||||
===============
|
===============
|
||||||
|
|
||||||
Alle Distributionen sind unterschiedlich, aber hier sind allgemeinen
|
Alle Distributionen sind unterschiedlich, aber hier sind allgemeine
|
||||||
Richtlinien:
|
Richtlinien:
|
||||||
|
|
||||||
Checkliste
|
Checkliste
|
||||||
|
@ -323,7 +326,7 @@ sich ggf. erinnern müssen als:
|
||||||
* **Benutzer** für:
|
* **Benutzer** für:
|
||||||
|
|
||||||
* das Benutzerkonto und ``sudo``
|
* das Benutzerkonto und ``sudo``
|
||||||
* das Master-Passwort des Passwort-Manager
|
* das Master-Passwort des Passwort-Managers
|
||||||
|
|
||||||
``Rkhunter`` und IDS
|
``Rkhunter`` und IDS
|
||||||
~~~~~~~~~~~~~~~~~~~~
|
~~~~~~~~~~~~~~~~~~~~
|
||||||
|
@ -352,10 +355,9 @@ erkennen.
|
||||||
|
|
||||||
Die Härtung der Sicherheit nach der Installation ist stark von der Distribution
|
Die Härtung der Sicherheit nach der Installation ist stark von der Distribution
|
||||||
abhängig weswegen wir an dieser Stelle keine detaillierten Anweisungen geben
|
abhängig weswegen wir an dieser Stelle keine detaillierten Anweisungen geben
|
||||||
können sondern nur allgemeine. Allerdings sind hier einige Schritte, die Sie
|
können sondern nur allgemeine. Hier einige Schritte, die Sie beachten sollten:
|
||||||
beachten sollten:
|
|
||||||
|
|
||||||
* ☐ Global Firewire und Thunderbolt deaktivieren (wesentlich)
|
* ☐ Firewire und Thunderbolt global deaktivieren (wesentlich)
|
||||||
* ☐ Überprüfen Sie alle eingehenden Ports in Ihrer Ihre Firewall um
|
* ☐ Überprüfen Sie alle eingehenden Ports in Ihrer Ihre Firewall um
|
||||||
sicherzustellen, dass diese gefiltert werden (wesentlich)
|
sicherzustellen, dass diese gefiltert werden (wesentlich)
|
||||||
* ☐ Stellen Sie sicher, dass ``root``-Mails an ein Konto weitergeleitet werden,
|
* ☐ Stellen Sie sicher, dass ``root``-Mails an ein Konto weitergeleitet werden,
|
||||||
|
@ -366,7 +368,7 @@ beachten sollten:
|
||||||
(wünschenswert)
|
(wünschenswert)
|
||||||
* ☐ Konfigurieren Sie den Bildschirmschoner so, dass er automatisch nach
|
* ☐ Konfigurieren Sie den Bildschirmschoner so, dass er automatisch nach
|
||||||
einer gewissen Zeit der Inaktivität die Eingabe sperrt (wünschenswert)
|
einer gewissen Zeit der Inaktivität die Eingabe sperrt (wünschenswert)
|
||||||
* ☐ Richten Sie ``logwatch`` ein x (wünschenswert)
|
* ☐ Richten Sie ``logwatch`` ein (wünschenswert)
|
||||||
* ☐ Installieren und verwenden Sie ``rkhunter`` (Rootkit Hunter) (wünschenswert)
|
* ☐ Installieren und verwenden Sie ``rkhunter`` (Rootkit Hunter) (wünschenswert)
|
||||||
* ☐ Installieren Sie ein Intrusion Detection System (wünschenswert)
|
* ☐ Installieren Sie ein Intrusion Detection System (wünschenswert)
|
||||||
|
|
||||||
|
@ -388,10 +390,10 @@ gesetzt.
|
||||||
Root-Mail
|
Root-Mail
|
||||||
~~~~~~~~~
|
~~~~~~~~~
|
||||||
|
|
||||||
Standardmäßig wird die Root-Mail auf dem System nur gespeichert und neigt
|
Standardmäßig werden Root-Mails auf dem System nur gespeichert und man neigt
|
||||||
dazu, nie gelesen werden. Stellen Sie in ``/etc/aliases`` sicher, dass Root-
|
dazu, diese nie zu lesen. Stellen Sie in ``/etc/aliases`` sicher, dass
|
||||||
Mail an eine Mailbox weitergeleitet wird, die tatsächlich gelesen wird, damit Sie
|
Root-Mails an eine Mailbox weitergeleitet werden, die tatsächlich gelesen wird,
|
||||||
wichtige Systemmeldungen und Berichte nicht verpassen::
|
damit Sie wichtige Systemmeldungen und Berichte nicht verpassen::
|
||||||
|
|
||||||
# Person who should get root’s mail
|
# Person who should get root’s mail
|
||||||
root: sue@cusy.io
|
root: sue@cusy.io
|
||||||
|
@ -400,38 +402,40 @@ Führen Sie nach dieser Änderung ``sudo newaliases`` aus und testen Sie
|
||||||
anschließend, ob die Mails auch tatsächlich ausgeliefert werden, da einige E-
|
anschließend, ob die Mails auch tatsächlich ausgeliefert werden, da einige E-
|
||||||
Mail-Provider Mails aus nicht vorhandenen oder nicht routebaren Domain-
|
Mail-Provider Mails aus nicht vorhandenen oder nicht routebaren Domain-
|
||||||
Namen ablehnen. Wenn dies der Fall ist, müssen Sie Ihre E-Mail-Konfiguration
|
Namen ablehnen. Wenn dies der Fall ist, müssen Sie Ihre E-Mail-Konfiguration
|
||||||
anpassen, bis dies tatsächlich funktioniert.
|
anpassen.
|
||||||
|
|
||||||
Firewalls, sshd und listening daemons
|
Firewalls, sshd und listening Dienste
|
||||||
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
|
Firewalls, SSH- und andere Dienste
|
||||||
|
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
|
||||||
|
|
||||||
Die Standardeinstellungen der Firewall vieler Distribution lässt eingehende sshd-
|
Die Standardeinstellungen der Firewall vieler Distributionen lässt eingehende
|
||||||
Ports zu. Sofern Sie keinen zwingenden Grund für eingehende ssh-Verbindungen
|
SSH-Verbindungen zu. Sofern Sie keinen zwingenden Grund für eingehende
|
||||||
haben, sollten Sie diese Verbindung deaktivieren::
|
SSH-Verbindungen haben, sollten Sie den SSH-Dienst deaktivieren::
|
||||||
|
|
||||||
|
$ sudo systemctl disable sshd.service
|
||||||
$ sudo systemctl stop sshd.service
|
$ sudo systemctl stop sshd.service
|
||||||
|
|
||||||
Dies hindert Sie nicht daran, vorübergehend den ``sshd``-Service zuzulassen,
|
Dies hindert Sie nicht daran, vorübergehend den SSH-Dienst zu starten, wenn Sie
|
||||||
wenn Sie ihn benötigen.
|
ihn benötigen.
|
||||||
|
|
||||||
Allgemeiner sollte Ihr System keine offenen Ports haben, an denen ein Daemon
|
Allgemeiner sollte Ihr System keine offenen Ports haben, an denen ein Dienst
|
||||||
auf Anfragen lauscht. Dies schützt Sie besser vor Zero-Day-Exploits.
|
auf Anfragen lauscht. Dies schützt Sie besser vor Zero-Day-Exploits.
|
||||||
|
|
||||||
Automatische Updates oder Benachrichtigungen
|
Automatische Updates oder Benachrichtigungen
|
||||||
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
|
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
|
||||||
|
|
||||||
Wir empfehlen automatische Updates, da selten die eigenen Routinen besser sind
|
Wir empfehlen automatische Updates, da die eigenen Abläufe selten besser sind
|
||||||
als diejenigen der jeweiligen Distribution. Zumindest sollten Sie jedoch
|
als diejenigen der jeweiligen Distribution. Zumindest sollten Sie jedoch
|
||||||
automatische Benachrichtigungen über verfügbare Updates aktivieren. Und auch
|
automatische Benachrichtigungen über verfügbare Updates aktivieren. Und auch
|
||||||
dann sollten Sie alle ausstehenden Updates so schnell wie möglich anwenden,
|
dann sollten Sie alle ausstehenden Updates so schnell wie möglich anwenden,
|
||||||
auch wenn etwas nicht speziell als *Sicherheitsupdate* markiert ist oder einen
|
auch wenn etwas nicht speziell als *Sicherheitsupdate* markiert ist oder keinen
|
||||||
zugehörigen CVE-Code aufweist. Alle Bugs haben das Potenzial,
|
zugehörigen CVE-Code aufweist. Alle Bugs haben das Potenzial,
|
||||||
Sicherheitslücken zu sein.
|
Sicherheitslücken zu sein.
|
||||||
|
|
||||||
Logs beobachten
|
Logs beobachten
|
||||||
~~~~~~~~~~~~~~~
|
~~~~~~~~~~~~~~~
|
||||||
|
|
||||||
Sie sollten ein großes Interesse haben an dem, was auf Ihrem System passiert.
|
Sie sollten ein großes Interesse an dem haben, was auf Ihrem System passiert.
|
||||||
Aus diesem Grund sollten Sie ``logwatch`` installieren und konfigurieren.
|
Aus diesem Grund sollten Sie ``logwatch`` installieren und konfigurieren.
|
||||||
Sie sollten sich tägliche Berichte über alle Aktivitäten zusenden lassen, um
|
Sie sollten sich tägliche Berichte über alle Aktivitäten zusenden lassen, um
|
||||||
informiert zu sein, was auf Ihrem System passiert. Dies wird zwar keinen
|
informiert zu sein, was auf Ihrem System passiert. Dies wird zwar keinen
|
||||||
|
@ -486,16 +490,15 @@ einrichten, das nur die wichtigsten Dateien kopiert und große Datenmengen
|
||||||
vermeidet wie z.B. Browser-Cache, Downloads etc.
|
vermeidet wie z.B. Browser-Cache, Downloads etc.
|
||||||
|
|
||||||
Alternativ können Sie auch ein Zero-Knowledge-Backup-Tool verwenden, wie z.B.
|
Alternativ können Sie auch ein Zero-Knowledge-Backup-Tool verwenden, wie z.B.
|
||||||
*SpiderOak*, das über zusätzliche nützliche Funktionen verfügt, wie zum
|
*SpiderOak*, das über zusätzliche nützliche Funktionen, wie zum Beispiel die
|
||||||
Beispiel die Synchronisation von Daten zwischen mehreren Systemen und
|
Synchronisation von Daten zwischen mehreren Systemen und Plattformen, verfügt.
|
||||||
Plattformen.
|
|
||||||
|
|
||||||
7. Best Practices
|
7. Best Practices
|
||||||
=================
|
=================
|
||||||
|
|
||||||
Die folgenden Best Practices sind sicher nicht umfassend. Sie versuchen
|
Die folgenden Best Practices sind sicher nicht umfassend. Sie versuchen
|
||||||
vielmehr praktische Ratschläge zu geben, die unseres Erachtens eine
|
vielmehr praktische Ratschläge zu geben, die unseres Erachtens eine
|
||||||
tragfähige Balance zwischen Sicherheit und Benutzerfreundlichkeit finden.
|
tragfähige Balance zwischen Sicherheit und Benutzerfreundlichkeit halten.
|
||||||
|
|
||||||
Web-Browser
|
Web-Browser
|
||||||
-----------
|
-----------
|
||||||
|
|
Loading…
Reference in a new issue