LPIC102/110.2 Einen Rechner absichern: Unterschied zwischen den Versionen
K Dirkwagner verschob die Seite 110.2 Einen Rechner absichern nach LPIC102:110.2 Einen Rechner absichern, ohne dabei eine Weiterleitung anzulegen |
K Textersetzung - „ “ durch „ “ |
||
(9 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
Zeile 34: | Zeile 34: | ||
====''/etc/nologin''==== | ====''/etc/nologin''==== | ||
* verhindern, dass sich ein Benutzer interakiv an einem System anmeldet, | * verhindern, dass sich ein Benutzer interakiv an einem System anmeldet, | ||
* einfach Datei ''/etc/nologin'' (z.B. mit touch) anlegen, | * einfach Datei ''/etc/nologin'' (z. B. mit touch) anlegen, | ||
* Nachricht für nicht authoriserten Benutzer hinterlassen, Inhalt wird bei Login-Versuch angezeigt | * Nachricht für nicht authoriserten Benutzer hinterlassen, Inhalt wird bei Login-Versuch angezeigt | ||
==== /etc/init.d und /etc/inittab ==== | ==== /etc/init.d und /etc/inittab ==== | ||
Zeile 40: | Zeile 40: | ||
* Dienste, die dort nicht aufgeführt sind, sind deaktivert | * Dienste, die dort nicht aufgeführt sind, sind deaktivert | ||
===== /etc/inittab ===== | ===== /etc/inittab ===== | ||
* Begrenzung der möglichen TTY-Konsolen, z.B. auf 1 => verhindert, dass man offene Sitzungen vergißt zu schließen (=hohes Sicherheitsrisiko), | * Begrenzung der möglichen TTY-Konsolen, z. B. auf 1 => verhindert, dass man offene Sitzungen vergißt zu schließen (=hohes Sicherheitsrisiko), | ||
*(nur noch in älteren Distributionen noch vorhnden; für mehr Infos siehe 101.3) | *(nur noch in älteren Distributionen noch vorhnden; für mehr Infos siehe 101.3) | ||
Zeile 63: | Zeile 63: | ||
* Buch LPIC-1 Version 5 (Kapitel 110.2 S. 443-448) | * Buch LPIC-1 Version 5 (Kapitel 110.2 S. 443-448) | ||
[[ | [[Kategorie:Linux/LPIC/102]] |
Aktuelle Version vom 28. Mai 2023, 11:36 Uhr
Superdaemons und TCP-Wrapper
- absichern gegenüber Angreifern und Hardwareressourcen besser ausnutzen
Superdeamons inetd und xinetd
inetd
- Superdeamon, älter als xinetd,
- lauscht stellvertretend an TCP- und UDP-Ports für Serverdienste,
- Client nimmt Verbindung mit von inetd kontrolliertem Netzwerkdienst auf, inetd übergibt an TCP-Wrapper als Daemon tcpd, der die Dienste startet und übergibt Kontrolle an Client,
- welche Dienste inetd kontrollieren soll, muss in /etc/inetd.conf festegelegt werden,
- nach Änderung in /etc/inetd.conf, muss inetd neu gestartet werden, damit Änderung greift
Wichtig
inetd ist nicht Bestandteil der Prüfung, Erklärung hilft Funktion von xinetd besser zu verstehen
xinetd
- aktueller Superdeamon, mit integriertem TCP-Wrapper, kann auch Dienste starten, die nicht in Datei /etc/services eingetragen sind,
- erheblich mehr Optionen als inetd => komplexere Konfiguration als inetd,
- Hauptkonfigurationsdatei: /etc/xinetd.conf,
- xinetd hat integrierten Wrapper, startet Dienste selbst, tcpd hier überflüssig
TCP-Wrapper
- ist eine Software zum Schutz vor unerwünschtem Zugriff aus einem Rechnernetz,
- Konfigurationsdateien sind /ect/hosts.allow und /etc/hosts.deny,
- Verarbeitungsweise Konfigurationsdateien ist speziell:
- bei Eintrag in /etc/hosts.allow, wird selber Eintrag in /etc/hosts.deny ignoriert
- wenn keine Einräge in /etc/hosts.allow und /etc/hosts.deny vorhanden sind, wird Zugriff erlaubt
- wenn eine oder beide Dateien nicht(mehr) vorhanden sind, ist das so als wären beide leer => Zugriff wird erlaubt
- sichere Grundkionfiguration:
- erst mal alles verbieten mit Eintrag ALL : ALL in /etc/hosts.deny
- dann Schritt für Schritt Zugriffe erlauben in /etc/hosts.allow
Nicht benötigte Dienste und Konten deaktivieren
/etc/nologin, /etc/init.d und /etc/inittab, /etc/passwd und /etc/shadow
/etc/nologin
- verhindern, dass sich ein Benutzer interakiv an einem System anmeldet,
- einfach Datei /etc/nologin (z. B. mit touch) anlegen,
- Nachricht für nicht authoriserten Benutzer hinterlassen, Inhalt wird bei Login-Versuch angezeigt
/etc/init.d und /etc/inittab
/etc/init.d
- Dienste, die dort nicht aufgeführt sind, sind deaktivert
/etc/inittab
- Begrenzung der möglichen TTY-Konsolen, z. B. auf 1 => verhindert, dass man offene Sitzungen vergißt zu schließen (=hohes Sicherheitsrisiko),
- (nur noch in älteren Distributionen noch vorhnden; für mehr Infos siehe 101.3)
Anzahl der Konsolen wird heute mit systemd begrenzt:
- in Datei /etc/systemd/logind.conf NAutoVTs=1 eintragen
/etc/passwd und /etc/shadow
- wichtig ist bei beiden die Verwendung des 2.Feldes
2.Feld bei /etc/passwd
- X (heißt, Passwort steht in /etc/shadow)
- * (heißt, User darf sich nicht anmelden)
- Ein Leerzeichen steht für ein leeres Passwort-Verfallszeiten
2.Feld bei /etc/shadow, hier stehen die verschlüsselten Passwörter
- ! oder * (heißt Benutzer kann sich mit Unix-Passwort nicht anmelden)
Links
Interne Links
Weblinks
- Buch LPIC-1 Version 5 (Kapitel 110.2 S. 443-448)