Zum Inhalt springen

Hardening: Unterschied zwischen den Versionen

Aus Foxwiki
Versionsgeschichte interaktiv durchsuchen
← Zum vorherigen Versionsunterschied
VisuellWikitext
DanielZorin (Diskussion | Beiträge)
Bürokraten, Page Ownership admin
652 Bearbeitungen
 
(23 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
'''Härten (Computer)''' - [[Computersicherheit|Sicherheit eines Systems]] erhöhen
'''Hardening''' - [[Computersicherheit|Sicherheit eines Systems]] erhöhen


== Beschreibung ==
== Beschreibung ==
Systemhärtung bezeichnet das planvolle Reduzieren der Angriffsfläche eines IT-Systems.  
Systemhärtung bezeichnet das planvolle Reduzieren der Angriffsfläche eines IT-Systems.


Dazu werden nur die für den Betrieb zwingend benötigten Komponenten installiert und so konfiguriert, dass bekannte Schwachstellen möglichst ausgeschlossen sind.
Dazu werden nur die für den Betrieb zwingend benötigten Komponenten installiert und so konfiguriert, dass bekannte Schwachstellen möglichst ausgeschlossen sind.
Zeile 13: Zeile 13:
Ein Prozess, der dazu dient, eine Angriffsmöglichkeit zu eliminieren, indem Schwachstellen gepatcht und nicht benötigte Dienste abgeschaltet werden
Ein Prozess, der dazu dient, eine Angriffsmöglichkeit zu eliminieren, indem Schwachstellen gepatcht und nicht benötigte Dienste abgeschaltet werden
</blockquote>
</blockquote>
Unter '''Härten''' (englisch Hardening) versteht man in der Computertechnik, die [[Computersicherheit|Sicherheit eines Systems]] zu erhöhen, indem nur [[dedizierte Software]] eingesetzt wird, die für den Betrieb des Systems notwendig ist und deren unter Sicherheitsaspekten korrekter Ablauf garantiert werden kann.
* Das System soll dadurch besser vor Angriffen geschützt sein.
Ziel ist es, ein System zu schaffen, das von vielen, auch weniger vertrauenswürdigen Personen benutzt werden kann.
* Beispielsweise gibt es für [[Gentoo Linux]] das ''hardened-Projekt'', das eine [[Linux (Kernel)|Kernel]]-Version sowie weitere Systemdienste zusammenstellt, mit denen ein sicheres [[Linux|Linux-System]] auch für fremde Nutzer bereitgestellt werden kann.


== Ziele ==
== Ziele ==
; System schaffen, das von vielen, auch weniger vertrauenswürdigen Personen benutzt werden kann
:Beispielsweise gibt es für [[Gentoo Linux]] das ''hardened-Projekt'', das eine [[Linux (Kernel)|Kernel]]-Version sowie weitere Systemdienste zusammenstellt, mit denen ein sicheres [[Linux|Linux-System]] auch für fremde Nutzer bereitgestellt werden kann.
; Ziele von Härtungsmaßnahmen
; Ziele von Härtungsmaßnahmen
* Reduktion der Möglichkeiten zur Ausnutzung von Verwundbarkeiten
* Reduktion der Möglichkeiten zur Ausnutzung von Verwundbarkeiten
Zeile 27: Zeile 30:


Ein gehärtetes System kann so gestaltet werden, dass es auch von vielen, teilweise nicht vertrauenswürdigen Benutzern genutzt werden kann, ohne Kernfunktionen oder Daten unnötig zu gefährden
Ein gehärtetes System kann so gestaltet werden, dass es auch von vielen, teilweise nicht vertrauenswürdigen Benutzern genutzt werden kann, ohne Kernfunktionen oder Daten unnötig zu gefährden
Als Nebenziel der Härtung kann auch eine ''mögliche'' Verringerung der Komplexität und des Wartungsaufwands des Systems gesehen werden, die zu einer höheren Beherrschbarkeit und damit einer Minimierung von Administrationsfehlern führen kann.
== Methoden ==
; Übliche Methoden der Härtung sind beispielsweise
* Entfernung oder Deaktivierung von für den Betrieb nicht zwingend erforderlichen Softwarekomponenten
* Verwendung unprivilegierter Benutzerkonten zur Ausführung von Server-Prozessen
* Anpassung von Dateisystemrechten und ihrer Vererbung
* Verwendung von [[chroot]] oder anderen [[Jail]]s für die Ausführung von Software
* Verwendung von [[Mandatory Access Control]]
* Nutzung von [[Verschlüsselung]], z.&nbsp;B.
:* für Datenübertragung
:* für Datenspeicherung
* Verwendung möglichst fehlerfreier Software ohne bekannte Verwundbarkeiten




== Methoden ==
=== Netzwerksicherheit ===
=== Netzwerksicherheit ===
* Schließen aller nicht benötigten [[Port (Protokoll)|Ports]] auf Firewall und Host
* Schließen aller nicht benötigten [[Port (Protokoll)|Ports]] auf Firewall und Host
* Verwendung nicht standardisierter Ports, soweit Protokolle dies zulassen (Erschwerung automatisierter Scans)
* Verwendung nicht standardisierter Ports, soweit Protokolle dies zulassen (Erschwerung automatisierter Scans)
* Schutz vor Brute-Force-Angriffen (z. B. mit [[fail2ban]] oder ähnlichen Mechanismen)
* Schutz vor Brute-Force-Angriffen (z.&nbsp;B.&nbsp;mit [[fail2ban]] oder ähnlichen Mechanismen)
* Einsatz restriktiver Zugriffslisten ([[Whitelisting|IP-White-Lists]], Segmentierung, [[VPN]]-Pflicht)
* Einsatz restriktiver Zugriffslisten ([[Whitelisting|IP-White-Lists]], Segmentierung, [[VPN]]-Pflicht)
* Erzwingen [[Verschlüsselung|verschlüsselter Verbindungen]] ([[Transport Layer Security|TLS]]) für Verwaltungszugriffe und sensible Protokolle
* Erzwingen [[Verschlüsselung|verschlüsselter Verbindungen]] ([[Transport Layer Security|TLS]]) für Verwaltungszugriffe und sensible Protokolle
* Konfiguration von Sitzungs-Timeouts und automatischem Logout bei Inaktivität
* Konfiguration von Sitzungs-Timeouts und automatischem Logout bei Inaktivität
* Protokollierung von Verbindungs- und Anmeldeereignissen in zentralen, manipulationsgeschützten Logs (z. B. [[Syslog]])
* Protokollierung von Verbindungs- und Anmeldeereignissen in zentralen, manipulationsgeschützten Logs (z.&nbsp;B.&nbsp;[[Syslog]])
* Deaktivierung direkter Remote-Anmeldung als ''root'' und Nutzung von [[sudo]] oder ähnlichen Mechanismen
* Deaktivierung direkter Remote-Anmeldung als ''root'' und Nutzung von [[sudo]] oder ähnlichen Mechanismen
== Betriebssysteme ==
Ein [[Betriebssystem]] ist als "gehärtetes System" zu bezeichnen, wenn
{| class="wikitable options big"
|-
! Option !! Beschreibung
|-
| ASLR || Adressbereiche für [[Programmbibliothek]]en ([[Address Space Layout Randomization|ASLR]]) und Programme (PIE) zufällig im virtuellen Speicher zugewiesen werden.
* ASLR kann nur vom Hersteller dieser Bibliotheken zum Erstellungszeitpunkt realisiert werden, nicht nachträglich im Betrieb
|-
| Minimalität || nur Komponenten und Dienste, die zwingend zum eigentlichen Betrieb benötigt werden
|-
| Zugänge || Nicht benötigten [[Benutzerkonto|Benutzerkonten]] sperren/löschen
|-
| Erreichbarkeit || Nicht benötigten [[Port (Protokoll)|Ports]] schließen/sperren
|-
| Zugriffsrechte || Restriktive Rechte gesetzt sind
|-
| Systemrichtlinien || straffe Systemrichtlinien vergeben sind
|}
Härtungsmaßnahmen sind getrennt von anderen Sicherungsmaßnahmen wie Patchzyklen, der Einführung von [[Antivirus]]-Lösungen, [[Firewall]]s oder [[Intrusion Detection System|IDS]]/[[Intrusion Prevention System|IPS]] zu betrachten, die komplementäre Methoden der Prävention darstellen.


=== Lokale Betriebssystemhärtung ===
=== Lokale Betriebssystemhärtung ===
Zeile 44: Zeile 89:
* Aktivierung automatischer Sicherheitsupdates oder Einbindung in eine zentrale Update-Infrastruktur
* Aktivierung automatischer Sicherheitsupdates oder Einbindung in eine zentrale Update-Infrastruktur
* Prüfung und Anpassung der standardmäßigen ''umask'', um zu offene Dateirechte zu vermeiden
* Prüfung und Anpassung der standardmäßigen ''umask'', um zu offene Dateirechte zu vermeiden
* Härtung von Kernel- und Netzwerkeinstellungen über [[sysctl]] (z. B. Aktivierung von ASLR, Einschränkung von ''SysRq'', Deaktivierung unsicherer Protokolloptionen)
* Härtung von Kernel- und Netzwerkeinstellungen über [[sysctl]] (z.&nbsp;B.&nbsp;Aktivierung von ASLR, Einschränkung von ''SysRq'', Deaktivierung unsicherer Protokolloptionen)
* Einsatz von [[Security-Enhanced Linux|SELinux]], [[AppArmor]] oder anderen [[Mandatory Access Control|Mandatory-Access-Control]]-Systemen, sofern verfügbar
* Einsatz von [[Security-Enhanced Linux|SELinux]], [[AppArmor]] oder anderen [[Mandatory Access Control|Mandatory-Access-Control]]-Systemen, sofern verfügbar
* Standardisierung von Benutzerkonten und Gruppen, Entfernen überflüssiger Konten, Vergabe minimaler Privilegien
* Standardisierung von Benutzerkonten und Gruppen, Entfernen überflüssiger Konten, Vergabe minimaler Privilegien
* Nutzung von [[sudo]] mit granularer Rechtevergabe und Protokollierung; Einschränkung oder Deaktivierung von ''su'' und direktem ''root''-Login
* Nutzung von [[sudo]] mit granularer Rechtevergabe und Protokollierung; Einschränkung oder Deaktivierung von ''su'' und direktem ''root''-Login
* Umsetzung von Passwort-Richtlinien über [[Pluggable Authentication Modules|PAM]]:
** Mindestlänge z. B. mindestens 12 Zeichen
** Verwendung von Groß-/Kleinbuchstaben, Ziffern und Sonderzeichen
** Begrenzung der Passwortgültigkeit und Sperren nach Fehlversuchen entsprechend der Schutzanforderung
* Zusätzliche Sicherheitskomponenten:
** Betriebssystem-Audit (z. B. ''auditd'')
** Viren-/Malware-Scanner, falls organisatorisch gefordert
** Integritätsüberwachung von Systemdateien (z. B. AIDE, IMA)
** Nutzung von Compiler- und Laufzeit-Schutzmechanismen wie PIE, NX, Stack-Canaries, RELRO


=== Beispiele für Umsetzungen ===
Umsetzung von Passwort-Richtlinien über [[Pluggable Authentication Modules|PAM]]:
* Mindestlänge z.&nbsp;B.&nbsp;mindestens 12 Zeichen
* Verwendung von Groß-/Kleinbuchstaben, Ziffern und Sonderzeichen
* Begrenzung der Passwortgültigkeit und Sperren nach Fehlversuchen entsprechend der Schutzanforderung
 
Zusätzliche Sicherheitskomponenten
* Betriebssystem-Audit (z.&nbsp;B.&nbsp;'auditd'')
* Viren-/Malware-Scanner, falls organisatorisch gefordert
* Integritätsüberwachung von Systemdateien (z.&nbsp;B.&nbsp;AIDE, IMA)
* Nutzung von Compiler- und Laufzeit-Schutzmechanismen wie PIE, NX, Stack-Canaries, RELRO
 
== Beispiele für Umsetzungen ==
==== Zentralisierte Authentifizierung ====
==== Zentralisierte Authentifizierung ====
* Nutzung zentraler Verzeichnisdienste wie [[Lightweight Directory Access Protocol|LDAP]] oder [[Active Directory]] zur Verwaltung von Konten, Gruppen und Richtlinien
* Nutzung zentraler Verzeichnisdienste wie [[Lightweight Directory Access Protocol|LDAP]] oder [[Active Directory]] zur Verwaltung von Konten, Gruppen und Richtlinien
Zeile 65: Zeile 112:
==== SSH-Zugriff ====
==== SSH-Zugriff ====
* Konfiguration von [[Secure Shell|SSH]] mit schlüsselbasierter Authentifizierung oder Kombinationen (Schlüssel + Passwort)
* Konfiguration von [[Secure Shell|SSH]] mit schlüsselbasierter Authentifizierung oder Kombinationen (Schlüssel + Passwort)
* Einsatz von Zwei-Faktor-Authentifizierung (z. B. TOTP) auf Systemen mit hohen Schutzanforderungen
* Einsatz von Zwei-Faktor-Authentifizierung (z.&nbsp;B.&nbsp;TOTP) auf Systemen mit hohen Schutzanforderungen
* Beschränkung des Zugriffs auf definierte Benutzer und Gruppen (z. B. ''AllowUsers'' / ''AllowGroups'')
* Beschränkung des Zugriffs auf definierte Benutzer und Gruppen (z.&nbsp;B.&nbsp;''AllowUsers'' / ''AllowGroups'')
* Verwendung von Bastion-Hosts oder SSH-Proxys für den Zugriff auf interne Systeme
* Verwendung von Bastion-Hosts oder SSH-Proxys für den Zugriff auf interne Systeme
* Einschränkung der erlaubten SSH-Funktionen (z. B. Deaktivierung von Port-Forwarding, X11-Forwarding, unsicheren Ciphers und veralteten Protokollversionen)
* Einschränkung der erlaubten SSH-Funktionen (z.&nbsp;B.&nbsp;Deaktivierung von Port-Forwarding, X11-Forwarding, unsicheren Ciphers und veralteten Protokollversionen)


==== Anwendungen und Dienste ====
==== Anwendungen und Dienste ====
Zeile 76: Zeile 123:
* Einsatz von Geheimnis-Managementsystemen für Passwörter, Schlüssel und Tokens anstelle von Klartext in Repositories, Logs oder ''env''-Dateien
* Einsatz von Geheimnis-Managementsystemen für Passwörter, Schlüssel und Tokens anstelle von Klartext in Repositories, Logs oder ''env''-Dateien
* Härtung von Konfigurationen von Web- und Anwendungsservern (Header-Security, Limits für Anfragen, Timeouts, Ressourcenlimits)
* Härtung von Konfigurationen von Web- und Anwendungsservern (Header-Security, Limits für Anfragen, Timeouts, Ressourcenlimits)
=== Gehärtete Systeme ===
Ein [[Betriebssystem]] kann als "gehärtetes System" bezeichnet werden, wenn
*  Adressbereiche für [[Programmbibliothek]]en ([[Address Space Layout Randomization|ASLR]]) und Programme (PIE) zufällig im virtuellen Speicher zugewiesen werden.
* ASLR kann nur vom Hersteller dieser Bibliotheken zum Erstellungszeitpunkt realisiert werden, nicht nachträglich im Betrieb.
* Bei dem nur die Komponenten und Dienste installiert sind, die zum eigentlichen Betrieb benötigt werden
* Alle nicht benötigten [[Benutzerkonto|Benutzerkonten]] gelöscht sind
* Alle nicht benötigten [[Port (Protokoll)|Ports]] geschlossen sind
* Restriktive Rechte gesetzt sind
* Straffe Systemrichtlinien vergeben sind
; Weitere Maßnahmen
Härtungsmaßnahmen sind getrennt von anderen Sicherungsmaßnahmen wie Patchzyklen, der Einführung von [[Antivirus|Antivirus-Lösungen]], [[Firewall]]s oder [[Intrusion Detection System|IDS]]/[[Intrusion Prevention System|IPS]] zu betrachten, die komplementäre Methoden der Prävention darstellen.


<noinclude>
<noinclude>

Aktuelle Version vom 17. Dezember 2025, 11:56 Uhr

Hardening - Sicherheit eines Systems erhöhen

Beschreibung

Systemhärtung bezeichnet das planvolle Reduzieren der Angriffsfläche eines IT-Systems.

Dazu werden nur die für den Betrieb zwingend benötigten Komponenten installiert und so konfiguriert, dass bekannte Schwachstellen möglichst ausgeschlossen sind.

  • Nicht benötigte Software, Dienste und Schnittstellen werden entfernt oder deaktiviert.
  • Konfigurationen folgen dem Prinzip `default deny` und minimaler Privilegien.
  • Sicherheitsupdates werden regelmäßig und zeitnah eingespielt.
Definition des National Institute of Standards and Technology

Ein Prozess, der dazu dient, eine Angriffsmöglichkeit zu eliminieren, indem Schwachstellen gepatcht und nicht benötigte Dienste abgeschaltet werden

Unter Härten (englisch Hardening) versteht man in der Computertechnik, die Sicherheit eines Systems zu erhöhen, indem nur dedizierte Software eingesetzt wird, die für den Betrieb des Systems notwendig ist und deren unter Sicherheitsaspekten korrekter Ablauf garantiert werden kann.

  • Das System soll dadurch besser vor Angriffen geschützt sein.

Ziel ist es, ein System zu schaffen, das von vielen, auch weniger vertrauenswürdigen Personen benutzt werden kann.

  • Beispielsweise gibt es für Gentoo Linux das hardened-Projekt, das eine Kernel-Version sowie weitere Systemdienste zusammenstellt, mit denen ein sicheres Linux-System auch für fremde Nutzer bereitgestellt werden kann.

Ziele

Ziele von Härtungsmaßnahmen
  • Reduktion der Möglichkeiten zur Ausnutzung von Verwundbarkeiten
  • Minimierung der möglichen Angriffsmethoden
  • Beschränkung der einem Angreifer nach einem erfolgreichen Angriff zur Verfügung stehenden Werkzeuge
  • Minimierung der einem Angreifer nach einem erfolgreichen Angriff zur Verfügung stehenden Privilegien
  • Erhöhung der Wahrscheinlichkeit der Entdeckung eines erfolgreichen Angriffs
  • Verringerung der Komplexität und des Wartungsaufwands, um Konfigurations- und Administrationsfehler zu vermeiden

Ein gehärtetes System kann so gestaltet werden, dass es auch von vielen, teilweise nicht vertrauenswürdigen Benutzern genutzt werden kann, ohne Kernfunktionen oder Daten unnötig zu gefährden

Als Nebenziel der Härtung kann auch eine mögliche Verringerung der Komplexität und des Wartungsaufwands des Systems gesehen werden, die zu einer höheren Beherrschbarkeit und damit einer Minimierung von Administrationsfehlern führen kann.

Methoden

Übliche Methoden der Härtung sind beispielsweise
  • Entfernung oder Deaktivierung von für den Betrieb nicht zwingend erforderlichen Softwarekomponenten
  • Verwendung unprivilegierter Benutzerkonten zur Ausführung von Server-Prozessen
  • Anpassung von Dateisystemrechten und ihrer Vererbung
  • Verwendung von chroot oder anderen Jails für die Ausführung von Software
  • für Datenübertragung
  • für Datenspeicherung
  • Verwendung möglichst fehlerfreier Software ohne bekannte Verwundbarkeiten


Netzwerksicherheit

  • Schließen aller nicht benötigten Ports auf Firewall und Host
  • Verwendung nicht standardisierter Ports, soweit Protokolle dies zulassen (Erschwerung automatisierter Scans)
  • Schutz vor Brute-Force-Angriffen (z. B. mit fail2ban oder ähnlichen Mechanismen)
  • Einsatz restriktiver Zugriffslisten (IP-White-Lists, Segmentierung, VPN-Pflicht)
  • Erzwingen verschlüsselter Verbindungen (TLS) für Verwaltungszugriffe und sensible Protokolle
  • Konfiguration von Sitzungs-Timeouts und automatischem Logout bei Inaktivität
  • Protokollierung von Verbindungs- und Anmeldeereignissen in zentralen, manipulationsgeschützten Logs (z. B. Syslog)
  • Deaktivierung direkter Remote-Anmeldung als root und Nutzung von sudo oder ähnlichen Mechanismen

Betriebssysteme

Ein Betriebssystem ist als "gehärtetes System" zu bezeichnen, wenn

Option Beschreibung
ASLR Adressbereiche für Programmbibliotheken (ASLR) und Programme (PIE) zufällig im virtuellen Speicher zugewiesen werden.
  • ASLR kann nur vom Hersteller dieser Bibliotheken zum Erstellungszeitpunkt realisiert werden, nicht nachträglich im Betrieb
Minimalität nur Komponenten und Dienste, die zwingend zum eigentlichen Betrieb benötigt werden
Zugänge Nicht benötigten Benutzerkonten sperren/löschen
Erreichbarkeit Nicht benötigten Ports schließen/sperren
Zugriffsrechte Restriktive Rechte gesetzt sind
Systemrichtlinien straffe Systemrichtlinien vergeben sind

Härtungsmaßnahmen sind getrennt von anderen Sicherungsmaßnahmen wie Patchzyklen, der Einführung von Antivirus-Lösungen, Firewalls oder IDS/IPS zu betrachten, die komplementäre Methoden der Prävention darstellen.

Lokale Betriebssystemhärtung

  • Minimalinstallation des Betriebssystems; Entfernen nicht benötigter Pakete, Bibliotheken und Dienste
  • Aktivierung automatischer Sicherheitsupdates oder Einbindung in eine zentrale Update-Infrastruktur
  • Prüfung und Anpassung der standardmäßigen umask, um zu offene Dateirechte zu vermeiden
  • Härtung von Kernel- und Netzwerkeinstellungen über sysctl (z. B. Aktivierung von ASLR, Einschränkung von SysRq, Deaktivierung unsicherer Protokolloptionen)
  • Einsatz von SELinux, AppArmor oder anderen Mandatory-Access-Control-Systemen, sofern verfügbar
  • Standardisierung von Benutzerkonten und Gruppen, Entfernen überflüssiger Konten, Vergabe minimaler Privilegien
  • Nutzung von sudo mit granularer Rechtevergabe und Protokollierung; Einschränkung oder Deaktivierung von su und direktem root-Login

Umsetzung von Passwort-Richtlinien über PAM:

  • Mindestlänge z. B. mindestens 12 Zeichen
  • Verwendung von Groß-/Kleinbuchstaben, Ziffern und Sonderzeichen
  • Begrenzung der Passwortgültigkeit und Sperren nach Fehlversuchen entsprechend der Schutzanforderung

Zusätzliche Sicherheitskomponenten

  • Betriebssystem-Audit (z. B. 'auditd)
  • Viren-/Malware-Scanner, falls organisatorisch gefordert
  • Integritätsüberwachung von Systemdateien (z. B. AIDE, IMA)
  • Nutzung von Compiler- und Laufzeit-Schutzmechanismen wie PIE, NX, Stack-Canaries, RELRO

Beispiele für Umsetzungen

Zentralisierte Authentifizierung

  • Nutzung zentraler Verzeichnisdienste wie LDAP oder Active Directory zur Verwaltung von Konten, Gruppen und Richtlinien
  • Umsetzung von Rollen- und Berechtigungskonzepten über Gruppen und Richtlinienobjekte

SSH-Zugriff

  • Konfiguration von SSH mit schlüsselbasierter Authentifizierung oder Kombinationen (Schlüssel + Passwort)
  • Einsatz von Zwei-Faktor-Authentifizierung (z. B. TOTP) auf Systemen mit hohen Schutzanforderungen
  • Beschränkung des Zugriffs auf definierte Benutzer und Gruppen (z. B. AllowUsers / AllowGroups)
  • Verwendung von Bastion-Hosts oder SSH-Proxys für den Zugriff auf interne Systeme
  • Einschränkung der erlaubten SSH-Funktionen (z. B. Deaktivierung von Port-Forwarding, X11-Forwarding, unsicheren Ciphers und veralteten Protokollversionen)

Anwendungen und Dienste

  • Betrieb jedes Dienstes unter einem eigenen, unprivilegierten Service-Konto mit minimalen Dateirechten
  • Zusätzliche Isolation kritischer Komponenten durch chroot, Container oder Virtualisierung
  • Trennung von Anwendungs-, Daten- und Verwaltungszugriffen über klar definierte Rollen
  • Einsatz von Geheimnis-Managementsystemen für Passwörter, Schlüssel und Tokens anstelle von Klartext in Repositories, Logs oder env-Dateien
  • Härtung von Konfigurationen von Web- und Anwendungsservern (Header-Security, Limits für Anfragen, Timeouts, Ressourcenlimits)


Anhang

Siehe auch

Dokumentation

Links

Projekt

Weblinks

  1. https://de.wikipedia.org/wiki/H%C3%A4rten_(Computer)
  2. https://www.thomas-krenn.com/de/wiki/Absicherung_eines_Debian_Servers
  3. heise.de
  4. fraunhofer.de
  5. Microsoft Security Baselines
  6. VMware Hardening Guides
  7. CIS Benchmarks
  8. DISA (Defense Information Systems) STIG (Security Technical Implementation)
  9. NIST Computer Security Ressource Center
  10. Bundesamt für Sicherheit in der Informationstechnik

Blogs mit Konfigurationstipps

  1. https://www.hosteurope.de/blog/4-tipps-wie-sie-ihren-virtualserver-gegen-hacking-attacken-schuetzen/
  2. https://www.rechenkraft.net/wiki/Root_Server_absichern_(Ubuntu_14.04)

Checklisten

  1. https://www.thomas-krenn.com/de/tkmag/expertentipps/linux-basierte-root-server-absichern/
  2. Cheat Sheet
Abgerufen von „https://wiki.foxtom.de/index.php?title=Hardening&oldid=159057