Fix some spelling mistakes
This commit is contained in:
parent
e706d8c6d5
commit
51c0eb5729
|
@ -7,25 +7,27 @@ Zielgruppe
|
||||||
|
|
||||||
Dieses Dokument richtet sich an Teams von Systemadministratoren, die
|
Dieses Dokument richtet sich an Teams von Systemadministratoren, die
|
||||||
Linux-Workstations verwenden, um in ihrem Projekt auf IT-Infrastruktur
|
Linux-Workstations verwenden, um in ihrem Projekt auf IT-Infrastruktur
|
||||||
zuzugreifen und zu verwalten.
|
zuzugreifen und diese zu verwalten.
|
||||||
|
|
||||||
Systemadministratoren können diesen Satz von Richtlinien verwenden, um
|
Systemadministratoren können diese Richtlinien verwenden, um sicherzustellen,
|
||||||
sicherzustellen, dass ihre Arbeitsplätze grundlegenden Sicherheitsanforderungen
|
dass ihre Arbeitsplätze grundlegenden Sicherheitsanforderungen entsprechen, die
|
||||||
entsprechen, die das Risiko, ein Angriffsvektor gegen die gesamte
|
das Risiko, ein Angriffsvektor gegen die gesamte IT-Infrastruktur zu sein,
|
||||||
IT-Infrastruktur zu sein, reduzieren.
|
reduzieren.
|
||||||
|
|
||||||
Einschränkungen
|
Einschränkungen
|
||||||
===============
|
===============
|
||||||
|
|
||||||
Dies ist kein umfassendes Dokument zum Härten von Workstations, sondern der
|
Dies ist kein umfassendes Dokument zum Härten von Workstations, sondern der
|
||||||
Versuch, mit einer Reihe von Empfehlungen die krassesten Sicherheitsfehler zu
|
Versuch, mit einer Reihe von Empfehlungen die krassesten Sicherheitsfehler zu
|
||||||
vermeiden, ohne zu viel Unannehmlichkeiten einzuführen. Manche werden dieses
|
vermeiden, ohne zu viele Unannehmlichkeiten einzuführen. Manche werden dieses
|
||||||
Dokument lesen und denken, wir sind paranoid; während wir für andere kaum an
|
Dokument lesen und denken, wir sind paranoid; während wir für andere kaum an
|
||||||
der Oberfläche kratzen. Diese Richtlinien sollen lediglich eine Reihe grundlege der Fehler vermeiden helfen, ohne ein Ersatz für Erfahrung, Wachsamkeit und
|
der Oberfläche kratzen. Diese Richtlinien sollen lediglich eine Reihe
|
||||||
gesunden Menschenverstand zu sein.
|
grundlegender Fehler vermeiden helfen, ohne ein Ersatz für Erfahrung,
|
||||||
|
Wachsamkeit und gesunden Menschenverstand zu sein.
|
||||||
|
|
||||||
von IT-Richtlinien zu übertragen. Gerne können Sie dieses Dokument für Ihre
|
Wir teilen dieses Dokument, um die Vorteile von Open-Source auf die
|
||||||
Organisation kopieren und uns Ihre Verbesserungen mitteilen.
|
Dokumentation von IT-Richtlinien zu übertragen. Gerne können Sie dieses Dokument
|
||||||
|
für Ihre Organisation kopieren und uns Ihre Verbesserungen mitteilen.
|
||||||
|
|
||||||
Struktur
|
Struktur
|
||||||
========
|
========
|
||||||
|
@ -33,24 +35,25 @@ Struktur
|
||||||
Jeder Abschnitt ist in zwei verschiedene Bereiche unterteilt:
|
Jeder Abschnitt ist in zwei verschiedene Bereiche unterteilt:
|
||||||
|
|
||||||
#. Die Checkliste, die Ihren Projektanforderungen angepasst werden kann.
|
#. Die Checkliste, die Ihren Projektanforderungen angepasst werden kann.
|
||||||
#. Überlegungen, die erklären, wiew es zu diesen Entscheidungen kam.
|
#. Überlegungen, die erklären, wie es zu diesen Entscheidungen kam.
|
||||||
|
|
||||||
Die Checkliste unterscheidet zwischen den folgenden drei Prioritätsstufen:
|
Die Checkliste unterscheidet zwischen den folgenden drei Prioritätsstufen:
|
||||||
|
|
||||||
wesentlich
|
wesentlich
|
||||||
Diese Aufgaben sollten auf jeden Fall umgesetzt werden.
|
Diese Aufgaben sollten auf jeden Fall umgesetzt werden.
|
||||||
|
|
||||||
Falls sie nicht umgesetzt sind, besteht ein hohes Risiko bzgl. der
|
Falls sie nicht umgesetzt sind, besteht ein hohes Risiko bzgl. der
|
||||||
Sicherheit Ihrer Workstation.
|
Sicherheit Ihrer Workstation.
|
||||||
|
|
||||||
wünschenswert
|
wünschenswert
|
||||||
Aufgaben, die die allgemeine Sicherheit Ihrer Workstation verbessern, die
|
Aufgaben, die die allgemeine Sicherheit Ihrer Workstation verbessern, die
|
||||||
jedoch neue Arbeitsweisen erfordern.
|
jedoch neue Arbeitsweisen erfordern.
|
||||||
|
|
||||||
paranoid
|
paranoid
|
||||||
Aufgaben, die die Sicherheit Ihrer Workstation verbessern, jedoch mit
|
Aufgaben, die die Sicherheit Ihrer Workstation verbessern, jedoch mit
|
||||||
erheblichem Aufwand bei der Umsetzung verbunden sind.
|
erheblichem Aufwand bei der Umsetzung verbunden sind.
|
||||||
|
|
||||||
Denken Sie bitte daran, dass es sich im folgenden nur um Richtlinien handelt,
|
Denken Sie bitte daran, dass es sich im Folgenden nur um Richtlinien handelt,
|
||||||
die Sie entsprechend Ihrem Sicherheitsniveau anpassen sollten, genau so wie Sie
|
die Sie entsprechend Ihrem Sicherheitsniveau anpassen sollten, genau so wie Sie
|
||||||
für richtig halten.
|
für richtig halten.
|
||||||
|
|
||||||
|
@ -79,7 +82,7 @@ vor, wie z.B. gegen Rootkits, *Evil Maid* und andere Bootkits etc. Es wird
|
||||||
keinen hinreichenden Schutz vor versierten Angreifern und staatlichen
|
keinen hinreichenden Schutz vor versierten Angreifern und staatlichen
|
||||||
Sicherheitsbehörden bieten, es ist jedoch besser als gar nichts.
|
Sicherheitsbehörden bieten, es ist jedoch besser als gar nichts.
|
||||||
|
|
||||||
Alternativ können Sie auch `Anti Evil Maid
|
Alternativ können Sie auch `Anti Evil Maid
|
||||||
<https://github.com/QubesOS/qubes-antievilmaid>`_ einrichten, das einen besseren
|
<https://github.com/QubesOS/qubes-antievilmaid>`_ einrichten, das einen besseren
|
||||||
Schutz gegen diese Art von Angriffen bietet. Es erfordert jedoch einen höheren
|
Schutz gegen diese Art von Angriffen bietet. Es erfordert jedoch einen höheren
|
||||||
Aufwand bei der Einrichtung und Pflege.
|
Aufwand bei der Einrichtung und Pflege.
|
||||||
|
@ -124,7 +127,7 @@ Checkliste
|
||||||
UEFI und SecureBoot
|
UEFI und SecureBoot
|
||||||
~~~~~~~~~~~~~~~~~~~
|
~~~~~~~~~~~~~~~~~~~
|
||||||
|
|
||||||
UEFI bietet eine Menge Vorteile, die ein älterer BIOS nicht bietet. Die meisten
|
UEFI bietet eine Menge Vorteile, die ein älterer BIOS nicht bietet. Die meisten
|
||||||
modernen Systeme haben einen aktivierten UEFI-Modus.
|
modernen Systeme haben einen aktivierten UEFI-Modus.
|
||||||
|
|
||||||
Stellen Sie sicher, dass ein starkes Passwort verwendet wird, um den UEFI-
|
Stellen Sie sicher, dass ein starkes Passwort verwendet wird, um den UEFI-
|
||||||
|
@ -148,9 +151,9 @@ Wenn Sie Ihre Workstation häufiger booten, können Sie auch eine LUKS-Passphras
|
||||||
3. Wahl der Distribution
|
3. Wahl der Distribution
|
||||||
========================
|
========================
|
||||||
|
|
||||||
Vemutlich werden Sie bei einer der weit verbreiteten Distributionen wie Fedora
|
Vermutlich werden Sie bei einer der weit verbreiteten Distributionen wie Fedora
|
||||||
Ubuntu, Arch, Debian, oder einer ihrer Spin-offs landen. In jedem Fall sollten
|
Ubuntu, Arch, Debian, oder einer ihrer Ableger landen. In jedem Fall sollten
|
||||||
Sie das Folgende beachten, bevor Sie eine Distribution entscheiden.
|
Sie das Folgende beachten, bevor Sie sich für eine Distribution entscheiden.
|
||||||
|
|
||||||
Checkliste
|
Checkliste
|
||||||
----------
|
----------
|
||||||
|
@ -159,7 +162,7 @@ Checkliste
|
||||||
(SELinux/AppArmor/grsecurity). (wesentlich)
|
(SELinux/AppArmor/grsecurity). (wesentlich)
|
||||||
* ☐ publiziert Sicherheitsmitteilungen. (wesentlich)
|
* ☐ publiziert Sicherheitsmitteilungen. (wesentlich)
|
||||||
* ☐ bietet rechtzeitige Sicherheits-Patches. (wesentlich)
|
* ☐ bietet rechtzeitige Sicherheits-Patches. (wesentlich)
|
||||||
* ☐ bietet die verschlüsselte Verifizierung von Paketen. (wesentlich)
|
* ☐ bietet die kryptographische Verifizierung von Paketen. (wesentlich)
|
||||||
* ☐ bietet volle Unterstützung für UEFI und SecureBoot. (wesentlich)
|
* ☐ bietet volle Unterstützung für UEFI und SecureBoot. (wesentlich)
|
||||||
* ☐ bietet robuste, native und vollständige Festplattenverschlüsselung.
|
* ☐ bietet robuste, native und vollständige Festplattenverschlüsselung.
|
||||||
(wesentlich)
|
(wesentlich)
|
||||||
|
@ -193,7 +196,7 @@ Die meisten der weit verbreiteten Distributionen teilen ihren Nutzern
|
||||||
zuverlässig sicherheitsrelevante Informationen mit. Bei etwas exotischeren
|
zuverlässig sicherheitsrelevante Informationen mit. Bei etwas exotischeren
|
||||||
Installationen sollte jedoch überprüft werden, ob die Distribution hierfür eine
|
Installationen sollte jedoch überprüft werden, ob die Distribution hierfür eine
|
||||||
zuverlässige Alarmierung der Benutzer über Sicherheitslücken und Patches
|
zuverlässige Alarmierung der Benutzer über Sicherheitslücken und Patches
|
||||||
implementiert hat. Fehlt ein solcher Mechanismus, ist das ein wichtiges
|
umgesetzt hat. Fehlt ein solcher Mechanismus, ist das ein wichtiges
|
||||||
Warnsignal, dass die Distribution noch nicht ausgereift ist.
|
Warnsignal, dass die Distribution noch nicht ausgereift ist.
|
||||||
|
|
||||||
Rechtzeitige und vertrauenswürdige Sicherheits-Updates
|
Rechtzeitige und vertrauenswürdige Sicherheits-Updates
|
||||||
|
@ -201,7 +204,7 @@ Rechtzeitige und vertrauenswürdige Sicherheits-Updates
|
||||||
|
|
||||||
Die meisten der weit verbreiteten Distributionen liefern regelmäßige
|
Die meisten der weit verbreiteten Distributionen liefern regelmäßige
|
||||||
Sicherheits-Updates. Sie unterscheiden sich jedoch deutlich in der Art und
|
Sicherheits-Updates. Sie unterscheiden sich jedoch deutlich in der Art und
|
||||||
Weise, wie diese Pakete bereitgestellt werden. Vermeiden Sie daher Spin-offs und
|
Weise, wie diese Pakete bereitgestellt werden. Vermeiden Sie daher Ableger und
|
||||||
*Community Rebuilds*, da sich dort üblicherweise die Sicherheitsupdates
|
*Community Rebuilds*, da sich dort üblicherweise die Sicherheitsupdates
|
||||||
verzögern.
|
verzögern.
|
||||||
|
|
||||||
|
@ -234,7 +237,7 @@ höheren Kosten.
|
||||||
4. Installation
|
4. Installation
|
||||||
===============
|
===============
|
||||||
|
|
||||||
Alle Distributionen sind unterschiedlich, aber hier sind allgemeinen
|
Alle Distributionen sind unterschiedlich, aber hier sind allgemeine
|
||||||
Richtlinien:
|
Richtlinien:
|
||||||
|
|
||||||
Checkliste
|
Checkliste
|
||||||
|
@ -248,7 +251,7 @@ Checkliste
|
||||||
kann dasselbe wie LUKS sein. (wesentlich)
|
kann dasselbe wie LUKS sein. (wesentlich)
|
||||||
* ☐ Verwenden Sie ein robustes Root-Passwort. Es kann dasselbe wie LUKS
|
* ☐ Verwenden Sie ein robustes Root-Passwort. Es kann dasselbe wie LUKS
|
||||||
sein. (wesentlich)
|
sein. (wesentlich)
|
||||||
* ☐ Verwenden Sie ein unprivilegiertes Konto, das Teil der Gruppe
|
* ☐ Verwenden Sie ein unprivilegiertes Konto, das Teil der Gruppe
|
||||||
*administrators* ist (wesentlich)
|
*administrators* ist (wesentlich)
|
||||||
* ☐ Verwenden Sie für dieses Konto ein robustes Passwort, das sich vom Root-
|
* ☐ Verwenden Sie für dieses Konto ein robustes Passwort, das sich vom Root-
|
||||||
Passwort unterscheidet (wesentlich)
|
Passwort unterscheidet (wesentlich)
|
||||||
|
@ -288,7 +291,7 @@ Länge, so dass die einzige wirkliche Einschränkung Ihr Paranoia-Niveau ist.
|
||||||
|
|
||||||
Wenn Sie Ihr System häufig booten, werden Sie wahrscheinlich mindestens zwei
|
Wenn Sie Ihr System häufig booten, werden Sie wahrscheinlich mindestens zwei
|
||||||
verschiedene Passwörter eingeben müssen: eins, um LUKS zu entsperren und ein
|
verschiedene Passwörter eingeben müssen: eins, um LUKS zu entsperren und ein
|
||||||
anderes, um sich anzumelden. In diesem Fall werden Sie vermutlich mit langen
|
anderes, um sich anzumelden. In diesem Fall werden Sie vermutlich mit langen
|
||||||
Passphrasen nicht glücklich werden. Vermutlich empfehlen sich hier Passwörter
|
Passphrasen nicht glücklich werden. Vermutlich empfehlen sich hier Passwörter
|
||||||
mit höherer Entropie. Jedoch sollten auch diese nie weniger als 12 Zeichen lang
|
mit höherer Entropie. Jedoch sollten auch diese nie weniger als 12 Zeichen lang
|
||||||
sein.
|
sein.
|
||||||
|
@ -323,7 +326,7 @@ sich ggf. erinnern müssen als:
|
||||||
* **Benutzer** für:
|
* **Benutzer** für:
|
||||||
|
|
||||||
* das Benutzerkonto und ``sudo``
|
* das Benutzerkonto und ``sudo``
|
||||||
* das Master-Passwort des Passwort-Manager
|
* das Master-Passwort des Passwort-Managers
|
||||||
|
|
||||||
``Rkhunter`` und IDS
|
``Rkhunter`` und IDS
|
||||||
~~~~~~~~~~~~~~~~~~~~
|
~~~~~~~~~~~~~~~~~~~~
|
||||||
|
@ -352,12 +355,11 @@ erkennen.
|
||||||
|
|
||||||
Die Härtung der Sicherheit nach der Installation ist stark von der Distribution
|
Die Härtung der Sicherheit nach der Installation ist stark von der Distribution
|
||||||
abhängig weswegen wir an dieser Stelle keine detaillierten Anweisungen geben
|
abhängig weswegen wir an dieser Stelle keine detaillierten Anweisungen geben
|
||||||
können sondern nur allgemeine. Allerdings sind hier einige Schritte, die Sie
|
können sondern nur allgemeine. Hier einige Schritte, die Sie beachten sollten:
|
||||||
beachten sollten:
|
|
||||||
|
|
||||||
* ☐ Global Firewire und Thunderbolt deaktivieren (wesentlich)
|
* ☐ Firewire und Thunderbolt global deaktivieren (wesentlich)
|
||||||
* ☐ Überprüfen Sie alle eingehenden Ports in Ihrer Ihre Firewall um
|
* ☐ Überprüfen Sie alle eingehenden Ports in Ihrer Ihre Firewall um
|
||||||
sicherzustellen, dass diese gefiltert werden (wesentlich)
|
sicherzustellen, dass diese gefiltert werden (wesentlich)
|
||||||
* ☐ Stellen Sie sicher, dass ``root``-Mails an ein Konto weitergeleitet werden,
|
* ☐ Stellen Sie sicher, dass ``root``-Mails an ein Konto weitergeleitet werden,
|
||||||
das regelmäßig überprüft wird (wesentlich)
|
das regelmäßig überprüft wird (wesentlich)
|
||||||
* ☐ Richten Sie einen Zeitplan für automatische OS-Updates oder Update-
|
* ☐ Richten Sie einen Zeitplan für automatische OS-Updates oder Update-
|
||||||
|
@ -366,7 +368,7 @@ beachten sollten:
|
||||||
(wünschenswert)
|
(wünschenswert)
|
||||||
* ☐ Konfigurieren Sie den Bildschirmschoner so, dass er automatisch nach
|
* ☐ Konfigurieren Sie den Bildschirmschoner so, dass er automatisch nach
|
||||||
einer gewissen Zeit der Inaktivität die Eingabe sperrt (wünschenswert)
|
einer gewissen Zeit der Inaktivität die Eingabe sperrt (wünschenswert)
|
||||||
* ☐ Richten Sie ``logwatch`` ein x (wünschenswert)
|
* ☐ Richten Sie ``logwatch`` ein (wünschenswert)
|
||||||
* ☐ Installieren und verwenden Sie ``rkhunter`` (Rootkit Hunter) (wünschenswert)
|
* ☐ Installieren und verwenden Sie ``rkhunter`` (Rootkit Hunter) (wünschenswert)
|
||||||
* ☐ Installieren Sie ein Intrusion Detection System (wünschenswert)
|
* ☐ Installieren Sie ein Intrusion Detection System (wünschenswert)
|
||||||
|
|
||||||
|
@ -388,58 +390,60 @@ gesetzt.
|
||||||
Root-Mail
|
Root-Mail
|
||||||
~~~~~~~~~
|
~~~~~~~~~
|
||||||
|
|
||||||
Standardmäßig wird die Root-Mail auf dem System nur gespeichert und neigt
|
Standardmäßig werden Root-Mails auf dem System nur gespeichert und man neigt
|
||||||
dazu, nie gelesen werden. Stellen Sie in ``/etc/aliases`` sicher, dass Root-
|
dazu, diese nie zu lesen. Stellen Sie in ``/etc/aliases`` sicher, dass
|
||||||
Mail an eine Mailbox weitergeleitet wird, die tatsächlich gelesen wird, damit Sie
|
Root-Mails an eine Mailbox weitergeleitet werden, die tatsächlich gelesen wird,
|
||||||
wichtige Systemmeldungen und Berichte nicht verpassen::
|
damit Sie wichtige Systemmeldungen und Berichte nicht verpassen::
|
||||||
|
|
||||||
# Person who should get root’s mail
|
# Person who should get root’s mail
|
||||||
root: sue@cusy.io
|
root: sue@cusy.io
|
||||||
|
|
||||||
Führen Sie nach dieser Änderung ``sudo newaliases`` aus und testen Sie
|
Führen Sie nach dieser Änderung ``sudo newaliases`` aus und testen Sie
|
||||||
anschließend, ob die Mails auch tatsächlich ausgeliefert werden, da einige E-
|
anschließend, ob die Mails auch tatsächlich ausgeliefert werden, da einige E-
|
||||||
Mail-Provider Mails aus nicht vorhandenen oder nicht routebaren Domain-
|
Mail-Provider Mails aus nicht vorhandenen oder nicht routebaren Domain-
|
||||||
Namen ablehnen. Wenn dies der Fall ist, müssen Sie Ihre E-Mail-Konfiguration
|
Namen ablehnen. Wenn dies der Fall ist, müssen Sie Ihre E-Mail-Konfiguration
|
||||||
anpassen, bis dies tatsächlich funktioniert.
|
anpassen.
|
||||||
|
|
||||||
Firewalls, sshd und listening daemons
|
Firewalls, sshd und listening Dienste
|
||||||
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
|
Firewalls, SSH- und andere Dienste
|
||||||
|
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
|
||||||
|
|
||||||
Die Standardeinstellungen der Firewall vieler Distribution lässt eingehende sshd-
|
Die Standardeinstellungen der Firewall vieler Distributionen lässt eingehende
|
||||||
Ports zu. Sofern Sie keinen zwingenden Grund für eingehende ssh-Verbindungen
|
SSH-Verbindungen zu. Sofern Sie keinen zwingenden Grund für eingehende
|
||||||
haben, sollten Sie diese Verbindung deaktivieren::
|
SSH-Verbindungen haben, sollten Sie den SSH-Dienst deaktivieren::
|
||||||
|
|
||||||
|
$ sudo systemctl disable sshd.service
|
||||||
$ sudo systemctl stop sshd.service
|
$ sudo systemctl stop sshd.service
|
||||||
|
|
||||||
Dies hindert Sie nicht daran, vorübergehend den ``sshd``-Service zuzulassen,
|
Dies hindert Sie nicht daran, vorübergehend den SSH-Dienst zu starten, wenn Sie
|
||||||
wenn Sie ihn benötigen.
|
ihn benötigen.
|
||||||
|
|
||||||
Allgemeiner sollte Ihr System keine offenen Ports haben, an denen ein Daemon
|
Allgemeiner sollte Ihr System keine offenen Ports haben, an denen ein Dienst
|
||||||
auf Anfragen lauscht. Dies schützt Sie besser vor Zero-Day-Exploits.
|
auf Anfragen lauscht. Dies schützt Sie besser vor Zero-Day-Exploits.
|
||||||
|
|
||||||
Automatische Updates oder Benachrichtigungen
|
Automatische Updates oder Benachrichtigungen
|
||||||
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
|
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
|
||||||
|
|
||||||
Wir empfehlen automatische Updates, da selten die eigenen Routinen besser sind
|
Wir empfehlen automatische Updates, da die eigenen Abläufe selten besser sind
|
||||||
als diejenigen der jeweiligen Distribution. Zumindest sollten Sie jedoch
|
als diejenigen der jeweiligen Distribution. Zumindest sollten Sie jedoch
|
||||||
automatische Benachrichtigungen über verfügbare Updates aktivieren. Und auch
|
automatische Benachrichtigungen über verfügbare Updates aktivieren. Und auch
|
||||||
dann sollten Sie alle ausstehenden Updates so schnell wie möglich anwenden,
|
dann sollten Sie alle ausstehenden Updates so schnell wie möglich anwenden,
|
||||||
auch wenn etwas nicht speziell als *Sicherheitsupdate* markiert ist oder einen
|
auch wenn etwas nicht speziell als *Sicherheitsupdate* markiert ist oder keinen
|
||||||
zugehörigen CVE-Code aufweist. Alle Bugs haben das Potenzial,
|
zugehörigen CVE-Code aufweist. Alle Bugs haben das Potenzial,
|
||||||
Sicherheitslücken zu sein.
|
Sicherheitslücken zu sein.
|
||||||
|
|
||||||
Logs beobachten
|
Logs beobachten
|
||||||
~~~~~~~~~~~~~~~
|
~~~~~~~~~~~~~~~
|
||||||
|
|
||||||
Sie sollten ein großes Interesse haben an dem, was auf Ihrem System passiert.
|
Sie sollten ein großes Interesse an dem haben, was auf Ihrem System passiert.
|
||||||
Aus diesem Grund sollten Sie ``logwatch`` installieren und konfigurieren.
|
Aus diesem Grund sollten Sie ``logwatch`` installieren und konfigurieren.
|
||||||
Sie sollten sich tägliche Berichte über alle Aktivitäten zusenden lassen, um
|
Sie sollten sich tägliche Berichte über alle Aktivitäten zusenden lassen, um
|
||||||
informiert zu sein, was auf Ihrem System passiert. Dies wird zwar keinen
|
informiert zu sein, was auf Ihrem System passiert. Dies wird zwar keinen
|
||||||
dedizierten Angriff verhindern, erhöht aber dennoch die Sicherheit auf Ihrem
|
dedizierten Angriff verhindern, erhöht aber dennoch die Sicherheit auf Ihrem
|
||||||
System.
|
System.
|
||||||
|
|
||||||
Beachten Sie, dass viele ``systemd``-Distributionen nicht mehr automatisch
|
Beachten Sie, dass viele ``systemd``-Distributionen nicht mehr automatisch
|
||||||
einen Syslog-Server installieren, so dass Sie ggf. einen eigenen ``rsyslog``-
|
einen Syslog-Server installieren, so dass Sie ggf. einen eigenen ``rsyslog``-
|
||||||
Server installieren und aktivieren müssen, um sicherzustellen, dass ``/var/log``
|
Server installieren und aktivieren müssen, um sicherzustellen, dass ``/var/log``
|
||||||
nicht leer ist, bevor ``logwatch`` von Nutzen sein kann.
|
nicht leer ist, bevor ``logwatch`` von Nutzen sein kann.
|
||||||
|
|
||||||
|
@ -450,7 +454,7 @@ Checkliste
|
||||||
----------
|
----------
|
||||||
|
|
||||||
* ☐ Richten Sie verschlüsselte Backups auf externen Speichern ein (wesentlich)
|
* ☐ Richten Sie verschlüsselte Backups auf externen Speichern ein (wesentlich)
|
||||||
* ☐ Verwenden Sie Zero-Knowledge-Backup-Werkzeuge für Remote-Backups
|
* ☐ Verwenden Sie Zero-Knowledge-Backup-Werkzeuge für Remote-Backups
|
||||||
(wünschenswert)
|
(wünschenswert)
|
||||||
|
|
||||||
Überlegungen
|
Überlegungen
|
||||||
|
@ -486,16 +490,15 @@ einrichten, das nur die wichtigsten Dateien kopiert und große Datenmengen
|
||||||
vermeidet wie z.B. Browser-Cache, Downloads etc.
|
vermeidet wie z.B. Browser-Cache, Downloads etc.
|
||||||
|
|
||||||
Alternativ können Sie auch ein Zero-Knowledge-Backup-Tool verwenden, wie z.B.
|
Alternativ können Sie auch ein Zero-Knowledge-Backup-Tool verwenden, wie z.B.
|
||||||
*SpiderOak*, das über zusätzliche nützliche Funktionen verfügt, wie zum
|
*SpiderOak*, das über zusätzliche nützliche Funktionen, wie zum Beispiel die
|
||||||
Beispiel die Synchronisation von Daten zwischen mehreren Systemen und
|
Synchronisation von Daten zwischen mehreren Systemen und Plattformen, verfügt.
|
||||||
Plattformen.
|
|
||||||
|
|
||||||
7. Best Practices
|
7. Best Practices
|
||||||
=================
|
=================
|
||||||
|
|
||||||
Die folgenden Best Practices sind sicher nicht umfassend. Sie versuchen
|
Die folgenden Best Practices sind sicher nicht umfassend. Sie versuchen
|
||||||
vielmehr praktische Ratschläge zu geben, die unseres Erachtens eine
|
vielmehr praktische Ratschläge zu geben, die unseres Erachtens eine
|
||||||
tragfähige Balance zwischen Sicherheit und Benutzerfreundlichkeit finden.
|
tragfähige Balance zwischen Sicherheit und Benutzerfreundlichkeit halten.
|
||||||
|
|
||||||
Web-Browser
|
Web-Browser
|
||||||
-----------
|
-----------
|
||||||
|
@ -542,7 +545,7 @@ arbeiten.
|
||||||
(diese werden häufig genutzt um schnell tausende von Systemen zu
|
(diese werden häufig genutzt um schnell tausende von Systemen zu
|
||||||
infizieren.)
|
infizieren.)
|
||||||
HTTPS Everywhere (wesentlich)
|
HTTPS Everywhere (wesentlich)
|
||||||
Dieses von der EFF entwickelte Add-on sorgt dafür, dass auf die
|
Dieses von der EFF entwickelte Add-on sorgt dafür, dass auf die
|
||||||
meisten Ihrer Websites über eine sichere Verbindung zugegriffen
|
meisten Ihrer Websites über eine sichere Verbindung zugegriffen
|
||||||
wird, auch wenn ein Link als Protokoll ``http://`` angibt. Dies hilft um
|
wird, auch wenn ein Link als Protokoll ``http://`` angibt. Dies hilft um
|
||||||
eine Reihe von Angriffen zu vermeiden wie z.B. `SSL-strip
|
eine Reihe von Angriffen zu vermeiden wie z.B. `SSL-strip
|
||||||
|
@ -555,7 +558,7 @@ arbeiten.
|
||||||
einer Man-in-the-Middle-Attacke, aber erzeugt auch eine Menge
|
einer Man-in-the-Middle-Attacke, aber erzeugt auch eine Menge
|
||||||
Fehlalarme.
|
Fehlalarme.
|
||||||
|
|
||||||
Sie sollten als Standardbrowser für das Öffnen von Links Firefox als
|
Sie sollten als Standardbrowser für das Öffnen von Links Firefox als
|
||||||
Standard-Browser verwenden, da NoScript das Nachladen oder
|
Standard-Browser verwenden, da NoScript das Nachladen oder
|
||||||
Ausführen von Inhalten meist zuverlässig verhindert.
|
Ausführen von Inhalten meist zuverlässig verhindert.
|
||||||
|
|
||||||
|
@ -587,7 +590,7 @@ arbeiten.
|
||||||
Websites und dem Rest Ihrer Arbeitsumgebung.
|
Websites und dem Rest Ihrer Arbeitsumgebung.
|
||||||
|
|
||||||
Dies erfordert jedoch einen deutlich erhöhten Aufwand, da nun auch
|
Dies erfordert jedoch einen deutlich erhöhten Aufwand, da nun auch
|
||||||
die VM gepflegt werden muss. Zudem wird deutlich mehr RAM und
|
die VM gepflegt werden muss. Zudem wird deutlich mehr RAM und
|
||||||
schnelle Prozessoren erwartet, um die erhöhte Last zu bewältigen.
|
schnelle Prozessoren erwartet, um die erhöhte Last zu bewältigen.
|
||||||
|
|
||||||
#. Volle Trennung der Arbeitsumgebung durch Virtualisierung (paranoid)
|
#. Volle Trennung der Arbeitsumgebung durch Virtualisierung (paranoid)
|
||||||
|
@ -713,7 +716,7 @@ gespeichert wird und nur Subkeys verwendet werden. Der Hauptschlüssel wird
|
||||||
nur dann benötigt, wenn Schlüssel anderer Personen signiert oder neue
|
nur dann benötigt, wenn Schlüssel anderer Personen signiert oder neue
|
||||||
Unterschlüssel erstellt werden sollen – Operationen, die nicht sehr häufig
|
Unterschlüssel erstellt werden sollen – Operationen, die nicht sehr häufig
|
||||||
vorkommen. Wie ein Hauptschlüssel auf dem Wechselspeicher erstellt und
|
vorkommen. Wie ein Hauptschlüssel auf dem Wechselspeicher erstellt und
|
||||||
Unterschlüssel erstellt werden ist gut in `Using OpenPGP subkeys in Debian
|
Unterschlüssel erstellt werden ist gut in `Using OpenPGP subkeys in Debian
|
||||||
development <https://wiki.debian.org/Subkeys>`_ beschrieben.
|
development <https://wiki.debian.org/Subkeys>`_ beschrieben.
|
||||||
|
|
||||||
Anschließend sollten Sie dann Ihren GnuPG-Agenten als SSH-Agenten
|
Anschließend sollten Sie dann Ihren GnuPG-Agenten als SSH-Agenten
|
||||||
|
@ -752,12 +755,12 @@ Checkliste
|
||||||
|
|
||||||
SELinux ist eine Mandatory Access Control (MAC)-Erweiterung der POSIX-
|
SELinux ist eine Mandatory Access Control (MAC)-Erweiterung der POSIX-
|
||||||
Berechtigungen. Es ist ausgereift und robust. Dennoch empfehlen viele
|
Berechtigungen. Es ist ausgereift und robust. Dennoch empfehlen viele
|
||||||
Sysadmins bis heute, »es einfach abzuschalten«.
|
Sysadmins bis heute, »es einfach abzuschalten«.
|
||||||
|
|
||||||
Davon abgesehen hat SELinux nur begrenzte Sicherheitsvorteile auf einer
|
Davon abgesehen hat SELinux nur begrenzte Sicherheitsvorteile auf einer
|
||||||
Workstation, da die meisten Anwendungen von Ihnen als Benutzer ausgeführt
|
Workstation, da die meisten Anwendungen von Ihnen als Benutzer ausgeführt
|
||||||
werden wird und daher uneingeschränkt laufen werden. Dennoch kann es
|
werden wird und daher uneingeschränkt laufen werden. Dennoch kann es
|
||||||
voraussichtlich verhindern, dass ein Angreifer die errungenen Privilegien
|
voraussichtlich verhindern, dass ein Angreifer die errungenen Privilegien
|
||||||
eskalieren und Root-Level-Zugriff über einen verwundbaren Daemon Service
|
eskalieren und Root-Level-Zugriff über einen verwundbaren Daemon Service
|
||||||
gewinnen kann.
|
gewinnen kann.
|
||||||
|
|
||||||
|
@ -768,7 +771,7 @@ Nie ``setenforce 0`` verwenden
|
||||||
|
|
||||||
Zwar mag es verlockend sein, ``setenforce 0`` zu verwenden um den
|
Zwar mag es verlockend sein, ``setenforce 0`` zu verwenden um den
|
||||||
Freigabemodus von SELinux zu verlassen, aber das sollten Sie tunlichst
|
Freigabemodus von SELinux zu verlassen, aber das sollten Sie tunlichst
|
||||||
vermeiden, da hierdurch SELinux für das gesamte System im Wesentlichen
|
vermeiden, da hierdurch SELinux für das gesamte System im Wesentlichen
|
||||||
abgeschaltet wird. Meist wollen Sie hingegen nur eine bestimmte Anwendung
|
abgeschaltet wird. Meist wollen Sie hingegen nur eine bestimmte Anwendung
|
||||||
oder einen Daemon ausnehmen.
|
oder einen Daemon ausnehmen.
|
||||||
|
|
||||||
|
@ -791,7 +794,7 @@ dass Sie diese Anwendung freigeben wollen mit::
|
||||||
semanage permissive -a gpg_pinentry_t
|
semanage permissive -a gpg_pinentry_t
|
||||||
|
|
||||||
Dies ermöglicht Ihnen, die Anwendung zu verwenden und den Rest der AVCs
|
Dies ermöglicht Ihnen, die Anwendung zu verwenden und den Rest der AVCs
|
||||||
zu sammeln, die Sie dann zusammen mit ``audit2allow`` verwenden können,
|
zu sammeln, die Sie dann zusammen mit ``audit2allow`` verwenden können,
|
||||||
um eine lokale Richtlinie zu schreiben. Sobald dies geschehen ist und keine
|
um eine lokale Richtlinie zu schreiben. Sobald dies geschehen ist und keine
|
||||||
neuen AVC-Denials entdeckt werden, können Sie diese Domäne aus den
|
neuen AVC-Denials entdeckt werden, können Sie diese Domäne aus den
|
||||||
Freigaben entfernen mit::
|
Freigaben entfernen mit::
|
||||||
|
@ -802,10 +805,10 @@ Verwenden Sie Ihre Workstation als SELinux-Rolle ``staff_r``
|
||||||
````````````````````````````````````````````````````````````
|
````````````````````````````````````````````````````````````
|
||||||
|
|
||||||
SELinux kommt mit einer nativen Implementierung von Rollen, die bestimmte
|
SELinux kommt mit einer nativen Implementierung von Rollen, die bestimmte
|
||||||
Privilegien gewähren oder verbieten, basierend auf der Rolle, die dem
|
Privilegien gewähren oder verbieten, basierend auf der Rolle, die dem
|
||||||
Benutzerkonto zugeordnet ist. Als Administrator sollten Sie die Rolle ``staff_r``
|
Benutzerkonto zugeordnet ist. Als Administrator sollten Sie die Rolle ``staff_r``
|
||||||
verwenden, die Ihnen den Zugriff auf viele Konfigurations- und
|
verwenden, die Ihnen den Zugriff auf viele Konfigurations- und
|
||||||
sicherheitsrelevante Dateien beschränkt, bis Sie zum ersten Mal ``sudo``
|
sicherheitsrelevante Dateien beschränkt, bis Sie zum ersten Mal ``sudo``
|
||||||
aufrufen.
|
aufrufen.
|
||||||
|
|
||||||
Üblicherweise werden Konten erstellt als ``unconfined_r`` und die meisten
|
Üblicherweise werden Konten erstellt als ``unconfined_r`` und die meisten
|
||||||
|
|
Loading…
Reference in a new issue