Härten (Computer)

Aus Foxwiki
(Weitergeleitet von Hardening)

Härten (Computer) - Sicherheit eines Systems erhöhen

Beschreibung

Nur dedizierte Software

  • Für den Betrieb des Systems notwendig
  • Korrekter Ablauf (unter Sicherheitsaspekten) kann garantiert werden

Das System soll dadurch besser vor Angriffen geschützt werden

Definition des National Institute of Standards and Technology

Ein Prozess, der dazu dient, eine Angriffsmöglichkeit zu eliminieren, indem Schwachstellen gepatcht und nicht benötigte Dienste abgeschaltet werden

Ziele

System schaffen, das von vielen, auch weniger vertrauenswürdigen Personen benutzt werden kann
Beispielsweise gibt es für Gentoo Linux das hardened-Projekt, das eine Kernel-Version sowie weitere Systemdienste zusammenstellt, mit denen ein sicheres Linux-System auch für fremde Nutzer bereitgestellt werden kann.
Ziele von Härtungsmaßnahmen
  • Reduktion der Möglichkeiten zur Ausnutzung von Verwundbarkeiten
  • Minimierung der möglichen Angriffsmethoden
  • Beschränkung der einem Angreifer nach einem erfolgreichen Angriff zur Verfügung stehenden Werkzeuge
  • Minimierung der einem Angreifer nach einem erfolgreichen Angriff zur Verfügung stehenden Privilegien
  • Erhöhung der Wahrscheinlichkeit der Entdeckung eines erfolgreichen Angriffs

Als Nebenziel der Härtung kann auch eine mögliche Verringerung der Komplexität und des Wartungsaufwands des Systems gesehen werden, die zu einer höheren Beherrschbarkeit und damit einer Minimierung von Administrationsfehlern führen kann.

Methoden

  • Entfernung/Deaktivierung von für den Betrieb nicht zwingend erforderlichen Softwarekomponenten
  • Verwendung unprivilegierter Benutzerkonten zur Ausführung von Server-Prozessen
  • Anpassung von Dateisystemrechten und ihrer Vererbung
  • Verwendung von chroot oder anderen Jails für die Ausführung von Software
  • Verwendung von Mandatory Access Control
  • Nutzung von Verschlüsselung, z. B. für Datenübertragung
  • Verwendung möglichst fehlerfreier Software ohne bekannte Verwundbarkeiten

Gehärtete Systeme

Ein Betriebssystem kann als „gehärtetes System“ bezeichnet werden, wenn

  • Adressbereiche für Programmbibliotheken (ASLR) und Programme (PIE) zufällig im virtuellen Speicher zugewiesen werden.
  • ASLR kann nur vom Hersteller dieser Bibliotheken zum Erstellungszeitpunkt realisiert werden, nicht nachträglich im Betrieb.
  • Bei dem nur die Komponenten und Dienste installiert sind, die zum eigentlichen Betrieb benötigt werden
  • Alle nicht benötigten Benutzerkonten gelöscht sind
  • Alle nicht benötigten Ports geschlossen sind
  • Restriktive Rechte gesetzt sind
  • Straffe Systemrichtlinien vergeben sind
Weitere Maßnahmen

Härtungsmaßnahmen sind getrennt von anderen Sicherungsmaßnahmen wie Patchzyklen, der Einführung von Antivirus-Lösungen, Firewalls oder IDS/IPS zu betrachten, die komplementäre Methoden der Prävention darstellen.


Anhang

Siehe auch

Dokumentation

Links

Projekt
Weblinks
  1. https://de.wikipedia.org/wiki/H%C3%A4rten_(Computer)
  2. https://www.thomas-krenn.com/de/wiki/Absicherung_eines_Debian_Servers
  3. heise.de
  4. fraunhofer.de
  5. Microsoft Security Baselines
  6. VMware Hardening Guides
  7. CIS Benchmarks
  8. DISA (Defense Information Systems) STIG (Security Technical Implementation)
  9. NIST Computer Security Ressource Center
  10. Bundesamt für Sicherheit in der Informationstechnik

Blogs mit Konfigurationstipps

  1. https://www.hosteurope.de/blog/4-tipps-wie-sie-ihren-virtualserver-gegen-hacking-attacken-schuetzen/
  2. https://www.rechenkraft.net/wiki/Root_Server_absichern_(Ubuntu_14.04)

Checklisten

  1. https://www.thomas-krenn.com/de/tkmag/expertentipps/linux-basierte-root-server-absichern/
  2. Cheat Sheet
Abgerufen von „https://wiki.foxtom.de/index.php?title=Härten_(Computer)&oldid=119051