Hardening/Linux: Unterschied zwischen den Versionen
Keine Bearbeitungszusammenfassung |
|||
| (4 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 2: | Zeile 2: | ||
== Beschreibung == | == Beschreibung == | ||
{| class="wikitable options big" | |||
|- | |||
[[Hardening/Linux/Kernel]] | ! Parameter !! Beschreibung | ||
|- | |||
|- | |||
| Kernel || [[Hardening/Linux/Kernel]] | |||
|- | |||
| Mount || | |||
|- | |||
| SSH || | |||
|- | |||
| Firewall || | |||
|- | |||
| Mandatory Access Control (MAC) || | |||
|- | |||
| Audit und Logging || | |||
|- | |||
| Rechtemanagement || | |||
|- | |||
| Dienste || | |||
|- | |||
| Physischer Zugriff || | |||
|- | |||
| Anwendungen und Container || | |||
|} | |||
== Mount-Optionen == | == Mount-Optionen == | ||
| Zeile 35: | Zeile 57: | ||
[[Firewall/Regelwerk]] | [[Firewall/Regelwerk]] | ||
== Mandatory Access Control (MAC) | == Mandatory Access Control == | ||
; Mandatory Access Control (MAC) | |||
MAC-Systeme ergänzen klassische Berechtigungen um kontextabhängige Richtlinien | MAC-Systeme ergänzen klassische Berechtigungen um kontextabhängige Richtlinien | ||
* Einsatz von [[AppArmor]], SELinux oder vergleichbaren Mechanismen zur Einschränkung von Prozessen auf das notwendige Minimum | * Einsatz von [[AppArmor]], SELinux oder vergleichbaren Mechanismen zur Einschränkung von Prozessen auf das notwendige Minimum | ||
Aktuelle Version vom 15. Januar 2026, 11:15 Uhr
Hardening/Linux - Linux gegen Angriffe härten
Beschreibung
| Parameter | Beschreibung |
|---|---|
| Kernel | Hardening/Linux/Kernel |
| Mount | |
| SSH | |
| Firewall | |
| Mandatory Access Control (MAC) | |
| Audit und Logging | |
| Rechtemanagement | |
| Dienste | |
| Physischer Zugriff | |
| Anwendungen und Container |
Mount-Optionen
Härtung auf Dateisystemebene reduziert die Auswirkungen lokaler Angriffe und Fehlkonfigurationen
- Separate Partitionen für Daten- und Systembereiche (z.B. /home, /var, /tmp) vorsehen, sofern möglich
Mount-Optionen für geeignete Dateisysteme verwenden, um die Ausführung oder Nutzung bestimmter Objekttypen zu unterbinden
Kritische Systempfade möglichst restriktiv einhängen
- nur lesbar
- sofern möglich
SSH-Hardening
SSH ist typischer Einstiegspunkt für Angriffe und sollte besonders restriktiv konfiguriert werden
- Schlüsselbasierte Authentifizierung bevorzugen und Passwörter, wo möglich, deaktivieren
- Root-Login einschränken oder deaktivieren und administrative Zugriffe über dedizierte Benutzerkonten mit sudo abbilden
- Protokollversion, Kryptosuiten und erlaubte Authentifizierungsverfahren anhand aktueller Sicherheitsrichtlinien auswählen
Firewall
Eine hostbasierte Firewall begrenzt eingehenden und ausgehenden Verkehr auf das notwendige Minimum
- Default-Deny-Policy für eingehenden Verkehr, explizite Freigabe nur benötigter Ports und Protokolle
- Trennung von Verwaltungs-, Anwendungs- und Datenverkehr durch Zonen oder separate Regeln
- Regelwerk regelmäßig prüfen und an Änderungen der Dienste oder Topologie anpassen
Mandatory Access Control
- Mandatory Access Control (MAC)
MAC-Systeme ergänzen klassische Berechtigungen um kontextabhängige Richtlinien
- Einsatz von AppArmor, SELinux oder vergleichbaren Mechanismen zur Einschränkung von Prozessen auf das notwendige Minimum
- Profile für kritische Dienste definieren, testen und kontinuierlich pflegen
- Alarmierung und Logging von Policy-Verletzungen zur Erkennung fehlerhafter Konfigurationen nutzen
Audit und Logging
Strukturiertes Logging unterstützt Erkennung, Analyse und Nachweis sicherheitsrelevanter Ereignisse
- Zentrale Sammlung von System- und Anwendungslogs (z.B. journald, klassische Logfiles, Audit-Subsystem)
- Klare Aufbewahrungs- und Rotationsrichtlinien für Logs definieren
- Regelmäßige Auswertung und Korrelation von Meldungen (z.B. Anmeldefehler, Policy-Verstöße, Dienstabstürze)
Rechtemanagement
Sauberes Identitäts- und Rechtemanagement reduziert das Risiko von Fehlbedienung und Missbrauch
- Minimalprinzip für Berechtigungen umsetzen (Least Privilege)
- Trennung von administrativen und nichtadministrativen Konten
- Gruppenstrukturen und sudo-Regeln so gestalten, dass nachvollziehbare Verantwortlichkeiten entstehen
Hardening/Linux/Rechtemanagement
Dienste
Jeder aktive Dienst erweitert die Angriffsfläche des Systems
- Nicht benötigte Pakete, Dienste und Timer entfernen oder deaktivieren
- Nur notwendige Netzwerk-Listener bereitstellen; interne Dienste möglichst auf lokale Schnittstellen binden
- Standardkonfigurationen von Diensten prüfen und sicherheitsrelevante Parameter (z.B. TLS, Authentifizierung, Zugriffskontrolle) anpassen
Physischer Zugriff
Physischer Zugriff ermöglicht oft das Umgehen logischer Schutzmechanismen
- Einsatz von Datenträgerverschlüsselung für sensible Systeme und Datenbestände prüfen
- Bootloader-Konfiguration und Start von alternativen Medien kontrollieren
- Firmware-/UEFI-Einstellungen absichern und, wo sinnvoll, mit Passwörtern schützen
Anwendungen und Container
Applikationen und Container sollten nicht nur funktional, sondern auch sicher integriert werden
- Standardkonfigurationen von Anwendungen prüfen und auf minimale benötigte Funktionen reduzieren
- Container-Runtimes mit restriktiven Profilen (z.B. Namespaces, seccomp, Capability-Reduktion) betreiben
- Abhängigkeiten und Images regelmäßig aktualisieren und auf bekannte Schwachstellen prüfen
- Zur Erhöhung der Sicherheit auf dem Docker-Host kann userns-remap eingesetzt werden
Anhang
Siehe auch
Links
Weblinks
- https://www.thomas-krenn.com/de/wiki/Absicherung_eines_Debian_Servers
- https://www.kernel.org/doc/html/latest/admin-guide/sysctl/
- https://www.fb-pro.com/linux-haerten/
- https://www.kuketz-blog.de/linux-systemhaertung-basis-linux-haerten-teil2/
- https://netwrix.com/de/resources/guides/linux-hardening-security-best-practices