Fix some spelling mistakes
This commit is contained in:
parent
e706d8c6d5
commit
51c0eb5729
|
@ -7,25 +7,27 @@ Zielgruppe
|
|||
|
||||
Dieses Dokument richtet sich an Teams von Systemadministratoren, die
|
||||
Linux-Workstations verwenden, um in ihrem Projekt auf IT-Infrastruktur
|
||||
zuzugreifen und zu verwalten.
|
||||
zuzugreifen und diese zu verwalten.
|
||||
|
||||
Systemadministratoren können diesen Satz von Richtlinien verwenden, um
|
||||
sicherzustellen, dass ihre Arbeitsplätze grundlegenden Sicherheitsanforderungen
|
||||
entsprechen, die das Risiko, ein Angriffsvektor gegen die gesamte
|
||||
IT-Infrastruktur zu sein, reduzieren.
|
||||
Systemadministratoren können diese Richtlinien verwenden, um sicherzustellen,
|
||||
dass ihre Arbeitsplätze grundlegenden Sicherheitsanforderungen entsprechen, die
|
||||
das Risiko, ein Angriffsvektor gegen die gesamte IT-Infrastruktur zu sein,
|
||||
reduzieren.
|
||||
|
||||
Einschränkungen
|
||||
===============
|
||||
|
||||
Dies ist kein umfassendes Dokument zum Härten von Workstations, sondern der
|
||||
Versuch, mit einer Reihe von Empfehlungen die krassesten Sicherheitsfehler zu
|
||||
vermeiden, ohne zu viel Unannehmlichkeiten einzuführen. Manche werden dieses
|
||||
vermeiden, ohne zu viele Unannehmlichkeiten einzuführen. Manche werden dieses
|
||||
Dokument lesen und denken, wir sind paranoid; während wir für andere kaum an
|
||||
der Oberfläche kratzen. Diese Richtlinien sollen lediglich eine Reihe grundlege der Fehler vermeiden helfen, ohne ein Ersatz für Erfahrung, Wachsamkeit und
|
||||
gesunden Menschenverstand zu sein.
|
||||
der Oberfläche kratzen. Diese Richtlinien sollen lediglich eine Reihe
|
||||
grundlegender Fehler vermeiden helfen, ohne ein Ersatz für Erfahrung,
|
||||
Wachsamkeit und gesunden Menschenverstand zu sein.
|
||||
|
||||
von IT-Richtlinien zu übertragen. Gerne können Sie dieses Dokument für Ihre
|
||||
Organisation kopieren und uns Ihre Verbesserungen mitteilen.
|
||||
Wir teilen dieses Dokument, um die Vorteile von Open-Source auf die
|
||||
Dokumentation von IT-Richtlinien zu übertragen. Gerne können Sie dieses Dokument
|
||||
für Ihre Organisation kopieren und uns Ihre Verbesserungen mitteilen.
|
||||
|
||||
Struktur
|
||||
========
|
||||
|
@ -33,7 +35,7 @@ Struktur
|
|||
Jeder Abschnitt ist in zwei verschiedene Bereiche unterteilt:
|
||||
|
||||
#. Die Checkliste, die Ihren Projektanforderungen angepasst werden kann.
|
||||
#. Überlegungen, die erklären, wiew es zu diesen Entscheidungen kam.
|
||||
#. Überlegungen, die erklären, wie es zu diesen Entscheidungen kam.
|
||||
|
||||
Die Checkliste unterscheidet zwischen den folgenden drei Prioritätsstufen:
|
||||
|
||||
|
@ -46,11 +48,12 @@ wesentlich
|
|||
wünschenswert
|
||||
Aufgaben, die die allgemeine Sicherheit Ihrer Workstation verbessern, die
|
||||
jedoch neue Arbeitsweisen erfordern.
|
||||
|
||||
paranoid
|
||||
Aufgaben, die die Sicherheit Ihrer Workstation verbessern, jedoch mit
|
||||
erheblichem Aufwand bei der Umsetzung verbunden sind.
|
||||
|
||||
Denken Sie bitte daran, dass es sich im folgenden nur um Richtlinien handelt,
|
||||
Denken Sie bitte daran, dass es sich im Folgenden nur um Richtlinien handelt,
|
||||
die Sie entsprechend Ihrem Sicherheitsniveau anpassen sollten, genau so wie Sie
|
||||
für richtig halten.
|
||||
|
||||
|
@ -148,9 +151,9 @@ Wenn Sie Ihre Workstation häufiger booten, können Sie auch eine LUKS-Passphras
|
|||
3. Wahl der Distribution
|
||||
========================
|
||||
|
||||
Vemutlich werden Sie bei einer der weit verbreiteten Distributionen wie Fedora
|
||||
Ubuntu, Arch, Debian, oder einer ihrer Spin-offs landen. In jedem Fall sollten
|
||||
Sie das Folgende beachten, bevor Sie eine Distribution entscheiden.
|
||||
Vermutlich werden Sie bei einer der weit verbreiteten Distributionen wie Fedora
|
||||
Ubuntu, Arch, Debian, oder einer ihrer Ableger landen. In jedem Fall sollten
|
||||
Sie das Folgende beachten, bevor Sie sich für eine Distribution entscheiden.
|
||||
|
||||
Checkliste
|
||||
----------
|
||||
|
@ -159,7 +162,7 @@ Checkliste
|
|||
(SELinux/AppArmor/grsecurity). (wesentlich)
|
||||
* ☐ publiziert Sicherheitsmitteilungen. (wesentlich)
|
||||
* ☐ bietet rechtzeitige Sicherheits-Patches. (wesentlich)
|
||||
* ☐ bietet die verschlüsselte Verifizierung von Paketen. (wesentlich)
|
||||
* ☐ bietet die kryptographische Verifizierung von Paketen. (wesentlich)
|
||||
* ☐ bietet volle Unterstützung für UEFI und SecureBoot. (wesentlich)
|
||||
* ☐ bietet robuste, native und vollständige Festplattenverschlüsselung.
|
||||
(wesentlich)
|
||||
|
@ -193,7 +196,7 @@ Die meisten der weit verbreiteten Distributionen teilen ihren Nutzern
|
|||
zuverlässig sicherheitsrelevante Informationen mit. Bei etwas exotischeren
|
||||
Installationen sollte jedoch überprüft werden, ob die Distribution hierfür eine
|
||||
zuverlässige Alarmierung der Benutzer über Sicherheitslücken und Patches
|
||||
implementiert hat. Fehlt ein solcher Mechanismus, ist das ein wichtiges
|
||||
umgesetzt hat. Fehlt ein solcher Mechanismus, ist das ein wichtiges
|
||||
Warnsignal, dass die Distribution noch nicht ausgereift ist.
|
||||
|
||||
Rechtzeitige und vertrauenswürdige Sicherheits-Updates
|
||||
|
@ -201,7 +204,7 @@ Rechtzeitige und vertrauenswürdige Sicherheits-Updates
|
|||
|
||||
Die meisten der weit verbreiteten Distributionen liefern regelmäßige
|
||||
Sicherheits-Updates. Sie unterscheiden sich jedoch deutlich in der Art und
|
||||
Weise, wie diese Pakete bereitgestellt werden. Vermeiden Sie daher Spin-offs und
|
||||
Weise, wie diese Pakete bereitgestellt werden. Vermeiden Sie daher Ableger und
|
||||
*Community Rebuilds*, da sich dort üblicherweise die Sicherheitsupdates
|
||||
verzögern.
|
||||
|
||||
|
@ -234,7 +237,7 @@ höheren Kosten.
|
|||
4. Installation
|
||||
===============
|
||||
|
||||
Alle Distributionen sind unterschiedlich, aber hier sind allgemeinen
|
||||
Alle Distributionen sind unterschiedlich, aber hier sind allgemeine
|
||||
Richtlinien:
|
||||
|
||||
Checkliste
|
||||
|
@ -323,7 +326,7 @@ sich ggf. erinnern müssen als:
|
|||
* **Benutzer** für:
|
||||
|
||||
* das Benutzerkonto und ``sudo``
|
||||
* das Master-Passwort des Passwort-Manager
|
||||
* das Master-Passwort des Passwort-Managers
|
||||
|
||||
``Rkhunter`` und IDS
|
||||
~~~~~~~~~~~~~~~~~~~~
|
||||
|
@ -352,10 +355,9 @@ erkennen.
|
|||
|
||||
Die Härtung der Sicherheit nach der Installation ist stark von der Distribution
|
||||
abhängig weswegen wir an dieser Stelle keine detaillierten Anweisungen geben
|
||||
können sondern nur allgemeine. Allerdings sind hier einige Schritte, die Sie
|
||||
beachten sollten:
|
||||
können sondern nur allgemeine. Hier einige Schritte, die Sie beachten sollten:
|
||||
|
||||
* ☐ Global Firewire und Thunderbolt deaktivieren (wesentlich)
|
||||
* ☐ Firewire und Thunderbolt global deaktivieren (wesentlich)
|
||||
* ☐ Überprüfen Sie alle eingehenden Ports in Ihrer Ihre Firewall um
|
||||
sicherzustellen, dass diese gefiltert werden (wesentlich)
|
||||
* ☐ Stellen Sie sicher, dass ``root``-Mails an ein Konto weitergeleitet werden,
|
||||
|
@ -366,7 +368,7 @@ beachten sollten:
|
|||
(wünschenswert)
|
||||
* ☐ Konfigurieren Sie den Bildschirmschoner so, dass er automatisch nach
|
||||
einer gewissen Zeit der Inaktivität die Eingabe sperrt (wünschenswert)
|
||||
* ☐ Richten Sie ``logwatch`` ein x (wünschenswert)
|
||||
* ☐ Richten Sie ``logwatch`` ein (wünschenswert)
|
||||
* ☐ Installieren und verwenden Sie ``rkhunter`` (Rootkit Hunter) (wünschenswert)
|
||||
* ☐ Installieren Sie ein Intrusion Detection System (wünschenswert)
|
||||
|
||||
|
@ -388,10 +390,10 @@ gesetzt.
|
|||
Root-Mail
|
||||
~~~~~~~~~
|
||||
|
||||
Standardmäßig wird die Root-Mail auf dem System nur gespeichert und neigt
|
||||
dazu, nie gelesen werden. Stellen Sie in ``/etc/aliases`` sicher, dass Root-
|
||||
Mail an eine Mailbox weitergeleitet wird, die tatsächlich gelesen wird, damit Sie
|
||||
wichtige Systemmeldungen und Berichte nicht verpassen::
|
||||
Standardmäßig werden Root-Mails auf dem System nur gespeichert und man neigt
|
||||
dazu, diese nie zu lesen. Stellen Sie in ``/etc/aliases`` sicher, dass
|
||||
Root-Mails an eine Mailbox weitergeleitet werden, die tatsächlich gelesen wird,
|
||||
damit Sie wichtige Systemmeldungen und Berichte nicht verpassen::
|
||||
|
||||
# Person who should get root’s mail
|
||||
root: sue@cusy.io
|
||||
|
@ -400,38 +402,40 @@ Führen Sie nach dieser Änderung ``sudo newaliases`` aus und testen Sie
|
|||
anschließend, ob die Mails auch tatsächlich ausgeliefert werden, da einige E-
|
||||
Mail-Provider Mails aus nicht vorhandenen oder nicht routebaren Domain-
|
||||
Namen ablehnen. Wenn dies der Fall ist, müssen Sie Ihre E-Mail-Konfiguration
|
||||
anpassen, bis dies tatsächlich funktioniert.
|
||||
anpassen.
|
||||
|
||||
Firewalls, sshd und listening daemons
|
||||
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
|
||||
Firewalls, sshd und listening Dienste
|
||||
Firewalls, SSH- und andere Dienste
|
||||
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
|
||||
|
||||
Die Standardeinstellungen der Firewall vieler Distribution lässt eingehende sshd-
|
||||
Ports zu. Sofern Sie keinen zwingenden Grund für eingehende ssh-Verbindungen
|
||||
haben, sollten Sie diese Verbindung deaktivieren::
|
||||
Die Standardeinstellungen der Firewall vieler Distributionen lässt eingehende
|
||||
SSH-Verbindungen zu. Sofern Sie keinen zwingenden Grund für eingehende
|
||||
SSH-Verbindungen haben, sollten Sie den SSH-Dienst deaktivieren::
|
||||
|
||||
$ sudo systemctl disable sshd.service
|
||||
$ sudo systemctl stop sshd.service
|
||||
|
||||
Dies hindert Sie nicht daran, vorübergehend den ``sshd``-Service zuzulassen,
|
||||
wenn Sie ihn benötigen.
|
||||
Dies hindert Sie nicht daran, vorübergehend den SSH-Dienst zu starten, wenn Sie
|
||||
ihn benötigen.
|
||||
|
||||
Allgemeiner sollte Ihr System keine offenen Ports haben, an denen ein Daemon
|
||||
Allgemeiner sollte Ihr System keine offenen Ports haben, an denen ein Dienst
|
||||
auf Anfragen lauscht. Dies schützt Sie besser vor Zero-Day-Exploits.
|
||||
|
||||
Automatische Updates oder Benachrichtigungen
|
||||
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
|
||||
|
||||
Wir empfehlen automatische Updates, da selten die eigenen Routinen besser sind
|
||||
Wir empfehlen automatische Updates, da die eigenen Abläufe selten besser sind
|
||||
als diejenigen der jeweiligen Distribution. Zumindest sollten Sie jedoch
|
||||
automatische Benachrichtigungen über verfügbare Updates aktivieren. Und auch
|
||||
dann sollten Sie alle ausstehenden Updates so schnell wie möglich anwenden,
|
||||
auch wenn etwas nicht speziell als *Sicherheitsupdate* markiert ist oder einen
|
||||
auch wenn etwas nicht speziell als *Sicherheitsupdate* markiert ist oder keinen
|
||||
zugehörigen CVE-Code aufweist. Alle Bugs haben das Potenzial,
|
||||
Sicherheitslücken zu sein.
|
||||
|
||||
Logs beobachten
|
||||
~~~~~~~~~~~~~~~
|
||||
|
||||
Sie sollten ein großes Interesse haben an dem, was auf Ihrem System passiert.
|
||||
Sie sollten ein großes Interesse an dem haben, was auf Ihrem System passiert.
|
||||
Aus diesem Grund sollten Sie ``logwatch`` installieren und konfigurieren.
|
||||
Sie sollten sich tägliche Berichte über alle Aktivitäten zusenden lassen, um
|
||||
informiert zu sein, was auf Ihrem System passiert. Dies wird zwar keinen
|
||||
|
@ -486,16 +490,15 @@ einrichten, das nur die wichtigsten Dateien kopiert und große Datenmengen
|
|||
vermeidet wie z.B. Browser-Cache, Downloads etc.
|
||||
|
||||
Alternativ können Sie auch ein Zero-Knowledge-Backup-Tool verwenden, wie z.B.
|
||||
*SpiderOak*, das über zusätzliche nützliche Funktionen verfügt, wie zum
|
||||
Beispiel die Synchronisation von Daten zwischen mehreren Systemen und
|
||||
Plattformen.
|
||||
*SpiderOak*, das über zusätzliche nützliche Funktionen, wie zum Beispiel die
|
||||
Synchronisation von Daten zwischen mehreren Systemen und Plattformen, verfügt.
|
||||
|
||||
7. Best Practices
|
||||
=================
|
||||
|
||||
Die folgenden Best Practices sind sicher nicht umfassend. Sie versuchen
|
||||
vielmehr praktische Ratschläge zu geben, die unseres Erachtens eine
|
||||
tragfähige Balance zwischen Sicherheit und Benutzerfreundlichkeit finden.
|
||||
tragfähige Balance zwischen Sicherheit und Benutzerfreundlichkeit halten.
|
||||
|
||||
Web-Browser
|
||||
-----------
|
||||
|
|
Loading…
Reference in a new issue