|
|
| (6 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) |
| Zeile 1: |
Zeile 1: |
| == Superdaemons und TCP-Wrapper ==
| | '''LPIC102/110.2 Einen Rechner absichern''' |
| * absichern gegenüber Angreifern und Hardwareressourcen besser ausnutzen
| |
|
| |
|
| ===Superdeamons inetd und xinetd=== | | == Beschreibung == |
| ====inetd====
| | # [[LPIC102/110.2 Einen Rechner absichern/Superdaemons]] |
| * Superdeamon, älter als xinetd,
| | # [[LPIC102/110.2 Einen Rechner absichern/Dienste und Konten]] |
| * lauscht stellvertretend an TCP- und UDP-Ports für Serverdienste,
| |
| * Client nimmt Verbindung mit von inetd kontrolliertem Netzwerkdienst auf, inetd übergibt an TCP-Wrapper als Daemon tcpd, der die Dienste startet und übergibt Kontrolle an Client,
| |
| * welche Dienste inetd kontrollieren soll, muss in ''/etc/inetd.conf'' festegelegt werden,
| |
| * nach Änderung in ''/etc/inetd.conf'', muss inetd neu gestartet werden, damit Änderung greift
| |
| | |
| '''Wichtig'''
| |
| inetd ist nicht Bestandteil der Prüfung, Erklärung hilft Funktion von xinetd besser zu verstehen
| |
| | |
| ==== xinetd ====
| |
| * aktueller Superdeamon, mit integriertem TCP-Wrapper, kann auch Dienste starten, die nicht in Datei ''/etc/services'' eingetragen sind,
| |
| * erheblich mehr Optionen als inetd => komplexere Konfiguration als inetd,
| |
| * Hauptkonfigurationsdatei: ''/etc/xinetd.conf'',
| |
| * xinetd hat integrierten Wrapper, startet Dienste selbst, tcpd hier überflüssig
| |
| | |
| === TCP-Wrapper ===
| |
| * ist eine Software zum Schutz vor unerwünschtem Zugriff aus einem Rechnernetz,
| |
| * Konfigurationsdateien sind ''/ect/hosts.allow'' und ''/etc/hosts.deny'',
| |
| * Verarbeitungsweise Konfigurationsdateien ist speziell:
| |
| ** bei Eintrag in ''/etc/hosts.allow'', wird selber Eintrag in ''/etc/hosts.deny'' ignoriert
| |
| ** wenn keine Einräge in ''/etc/hosts.allow'' und ''/etc/hosts.deny'' vorhanden sind, wird Zugriff erlaubt
| |
| ** wenn eine oder beide Dateien nicht(mehr) vorhanden sind, ist das so als wären beide leer => Zugriff wird erlaubt
| |
| * sichere Grundkionfiguration:
| |
| ** erst mal alles verbieten mit Eintrag ALL : ALL in ''/etc/hosts.deny''
| |
| ** dann Schritt für Schritt Zugriffe erlauben in ''/etc/hosts.allow''
| |
| | |
| == Dienste und Konten==
| |
| ; Nicht benötigte Dienste und Konten deaktivieren
| |
| === Wichtige Dateien ===
| |
| * /etc/nologin
| |
| * /etc/init.d
| |
| * /etc/inittab
| |
| * /etc/passwd
| |
| * /etc/shadow
| |
| | |
| ====/etc/nologin====
| |
| * verhindern, dass sich ein Benutzer interakiv an einem System anmeldet,
| |
| * einfach Datei /etc/nologin (beispielsweise mit touch) anlegen,
| |
| * Nachricht für nicht authoriserten Benutzer hinterlassen, Inhalt wird bei Login-Versuch angezeigt
| |
| ==== /etc/init.d und /etc/inittab ====
| |
| ===== /etc/init.d=====
| |
| * Dienste, die dort nicht aufgeführt sind, sind deaktivert
| |
| ===== /etc/inittab =====
| |
| * Begrenzung der möglichen TTY-Konsolen, beispielsweise auf 1 => verhindert, dass man offene Sitzungen vergißt zu schließen (=hohes Sicherheitsrisiko),
| |
| *(nur noch in älteren Distributionen noch vorhnden; für mehr Infos siehe 101.3)
| |
| | |
| Anzahl der Konsolen wird heute mit systemd begrenzt:
| |
| *in Datei /etc/systemd/logind.conf NAutoVTs=1 eintragen
| |
| | |
| | |
| ====/etc/passwd und /etc/shadow====
| |
| *wichtig ist bei beiden die Verwendung des 2.Feldes
| |
| | |
| 2.Feld bei /etc/passwd
| |
| *X (heißt, Passwort steht in /etc/shadow)
| |
| * * (heißt, User darf sich nicht anmelden)
| |
| *Ein Leerzeichen steht für ein leeres Passwort-Verfallszeiten
| |
| | |
| 2.Feld bei /etc/shadow, hier stehen die verschlüsselten Passwörter
| |
| * ! oder * (heißt Benutzer kann sich mit Unix-Passwort nicht anmelden)
| |
| | |
| = Links =
| |
| == Interne Links ==
| |
| == Weblinks ==
| |
|
| |
|
| [[Kategorie:Linux/LPIC/102]] | | [[Kategorie:Linux/LPIC/102]] |
| [[Kategorie:Linux/Sicherheit]] | | [[Kategorie:Linux/Sicherheit]] |