LPIC102/110.2 Einen Rechner absichern: Unterschied zwischen den Versionen

Aus Foxwiki
Versionsgeschichte interaktiv durchsuchen
← Zum vorherigen Versionsunterschied
VisuellWikitext
Robertquies (Diskussion | Beiträge)
4.396 Bearbeitungen
K Textersetzung - „  “ durch „ “
 
(37 dazwischenliegende Versionen von 3 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
=110.2 Einen Rechner absichern=
== Superdaemons und TCP-Wrapper ==
 
* absichern gegenüber Angreifern und Hardwareressourcen besser ausnutzen
==Superdaemons und TCP-Wrapper==
*absichern gegenüber Angreifern und Hardwareressourcen besser ausnutzen


===Superdeamons inetd und xinetd===
===Superdeamons inetd und xinetd===
====inetd====
====inetd====
*Superdeamon, älter als xinetd,  
* Superdeamon, älter als xinetd,  
*lauscht stellvertretend an TCP- und UDP-Ports für Serverdienste,
* lauscht stellvertretend an TCP- und UDP-Ports für Serverdienste,
*Client nimmt Verbindung mit von inetd kontrolliertem Netzwerkdienst auf, inetd übergibt an TCP-Wrapper als Daemon tcpd, der die Dienste startet und übergibt Kontrolle an Client,
* Client nimmt Verbindung mit von inetd kontrolliertem Netzwerkdienst auf, inetd übergibt an TCP-Wrapper als Daemon tcpd, der die Dienste startet und übergibt Kontrolle an Client,
*welche Dienste inetd kontrollieren soll, muss in ''/etc/inetd.conf'' festegelegt werden,
* welche Dienste inetd kontrollieren soll, muss in ''/etc/inetd.conf'' festegelegt werden,
*nach Änderung in ''/etc/inetd.conf'', muss inetd neu gestartet werden, damit Änderung greift
* nach Änderung in ''/etc/inetd.conf'', muss inetd neu gestartet werden, damit Änderung greift
 
 
wichtig: inetd ist nicht Bestandteil der Prüfung, Erklärung hilft Funktion von xinetd besser zu verstehen
 


====xinetd====
'''Wichtig'''
*aktueller Superdeamon, mit integriertem TCP-Wrapper, kann auch Dienste starten, die nicht in Datei ''/etc/services'' eingetragen sind,
  inetd ist nicht Bestandteil der Prüfung, Erklärung hilft Funktion von xinetd besser zu verstehen
*erheblich mehr Optionen als inetd => komplexere Konfiguration als inetd,
*Hauptkonfigurationsdatei: ''/etc/xinetd.conf'',
*xinetd hat integrierten Wrapper, startet Dienste selbst, tcpd hier überflüssig


===TCP-Wrapper===
==== xinetd ====
*ist eine Software zum Schutz vor unerwünschtem Zugriff aus einem Rechnernetz,
* aktueller Superdeamon, mit integriertem TCP-Wrapper, kann auch Dienste starten, die nicht in Datei ''/etc/services'' eingetragen sind,  
*Konfigurationsdateien sind ''/ect/hosts.allow'' und ''/etc/hosts.deny'',
* erheblich mehr Optionen als inetd => komplexere Konfiguration als inetd,
*Verarbeitungsweise Konfigurationsdateien ist speziell:
* Hauptkonfigurationsdatei: ''/etc/xinetd.conf'',
**bei Eintrag in ''/etc/hosts.allow'', wird selber Eintrag in ''/etc/hosts.deny'' ignoriert
* xinetd hat integrierten Wrapper, startet Dienste selbst, tcpd hier überflüssig
**wenn keine Einräge in ''/etc/hosts.allow'' und ''/etc/hosts.deny'' vorhanden sind, wird Zugriff erlaubt
**wenn eine oder beide Dateien nicht(mehr) vorhanden sind, ist das so als wären beide leer => Zugriff wird erlaubt


sichere Grundkionfiguration:
=== TCP-Wrapper ===
*erst mal alles verbieten mit Eintrag ALL : ALL in ''/etc/hosts.deny''
* ist eine Software zum Schutz vor unerwünschtem Zugriff aus einem Rechnernetz,
*dann Schritt für Schritt Zugriffe erlauben in ''/etc/hosts.allow''
* Konfigurationsdateien sind ''/ect/hosts.allow'' und ''/etc/hosts.deny'',
* Verarbeitungsweise Konfigurationsdateien ist speziell:
** bei Eintrag in ''/etc/hosts.allow'', wird selber Eintrag in ''/etc/hosts.deny'' ignoriert
** wenn keine Einräge in ''/etc/hosts.allow'' und ''/etc/hosts.deny'' vorhanden sind, wird Zugriff erlaubt
** wenn eine oder beide Dateien nicht(mehr) vorhanden sind, ist das so als wären beide leer => Zugriff wird erlaubt
* sichere Grundkionfiguration:
** erst mal alles verbieten mit Eintrag ALL : ALL in ''/etc/hosts.deny''
** dann Schritt für Schritt Zugriffe erlauben in ''/etc/hosts.allow''


==Nicht benötigte Dienste und Konten deaktivieren==
==Nicht benötigte Dienste und Konten deaktivieren==
 
===''/etc/nologin'', ''/etc/init.d'' und ''/etc/inittab'', ''/etc/passwd'' und ''/etc/shadow''===
 
====''/etc/nologin''====
===/etc/nologin, /etc/init.d und /etc/inittab, /etc/passwd und etc/shadow===
* verhindern, dass sich ein Benutzer interakiv an einem System anmeldet,
 
* einfach Datei ''/etc/nologin'' (z. B. mit touch) anlegen,
 
* Nachricht für nicht authoriserten Benutzer hinterlassen, Inhalt wird bei Login-Versuch angezeigt
====/etc/nologin====
==== /etc/init.d und /etc/inittab ====
*verhindern, dass sich ein benutzer interakive an einem System anmeldet,
===== /etc/init.d=====
*einfach Datei /etc/nologin (z.B. mit touch) anlegen,
* Dienste, die dort nicht aufgeführt sind, sind deaktivert
*Nachricht für nicht authoriserten Benutzer hinterlassen, Inhalt wird bei Login-Versuch angezeigt
===== /etc/inittab =====
 
* Begrenzung der möglichen TTY-Konsolen, z. B. auf 1 => verhindert, dass man offene Sitzungen vergißt zu schließen (=hohes Sicherheitsrisiko),
 
=====/etc/init.d und /etc/inittab====
 
======/etc/init.d=====
*Dienste, die dort nicht aufgeführt sind, sind deaktivert
 
=====/etc/inittab =====
*Begrenzung der möglichen TTY-Konsolen, z.B. auf 1 => verhindert, dass man offene Sitzungen vergißt zu schließen (=hohes Sicherheitsrisiko),
*(nur noch in älteren Distributionen noch vorhnden; für mehr Infos siehe 101.3)
*(nur noch in älteren Distributionen noch vorhnden; für mehr Infos siehe 101.3)


Anzahl der Konsolen wird heute mit systemd begrenzt:
Anzahl der Konsolen wird heute mit systemd begrenzt:
**in Datei /etc/systemd/logind.conf NAutoVTs=1 eintragen
*in Datei ''/etc/systemd/logind.conf'' NAutoVTs=1 eintragen
 


====/etc/passwd und /etc/shadow====
====''/etc/passwd'' und ''/etc/shadow''====
*wichtig ist bei beiden die Verwendung des 2.Feldes
*wichtig ist bei beiden die Verwendung des 2.Feldes


2.Feld bei /etc/passwd
2.Feld bei ''/etc/passwd''
*X (heißt, Passwort steht in /etc/shadow)
*X (heißt, Passwort steht in ''/etc/shadow'')
* * (heißt, User darf sich nicht anmelden)
* * (heißt, User darf sich nicht anmelden)
*Ein Leerzeichen steht für ein leeres Passwort-Verfallszeiten
*Ein Leerzeichen steht für ein leeres Passwort-Verfallszeiten


2.Feld bei /etc/shadow, hier stehen die verschlüsselten Passwörter  
2.Feld bei ''/etc/shadow'', hier stehen die verschlüsselten Passwörter  
* ! oder * (heißt Benutzer kann sich mit Unix-Passwort nicht anmelden)
* ! oder * (heißt Benutzer kann sich mit Unix-Passwort nicht anmelden)
= Links =
== Interne Links ==
== Weblinks ==
* Buch LPIC-1 Version 5 (Kapitel 110.2 S. 443-448)
[[Kategorie:Linux/LPIC/102]]

Aktuelle Version vom 28. Mai 2023, 11:36 Uhr

Superdaemons und TCP-Wrapper

  • absichern gegenüber Angreifern und Hardwareressourcen besser ausnutzen

Superdeamons inetd und xinetd

inetd

  • Superdeamon, älter als xinetd,
  • lauscht stellvertretend an TCP- und UDP-Ports für Serverdienste,
  • Client nimmt Verbindung mit von inetd kontrolliertem Netzwerkdienst auf, inetd übergibt an TCP-Wrapper als Daemon tcpd, der die Dienste startet und übergibt Kontrolle an Client,
  • welche Dienste inetd kontrollieren soll, muss in /etc/inetd.conf festegelegt werden,
  • nach Änderung in /etc/inetd.conf, muss inetd neu gestartet werden, damit Änderung greift

Wichtig 

inetd ist nicht Bestandteil der Prüfung, Erklärung hilft Funktion von xinetd besser zu verstehen

xinetd

  • aktueller Superdeamon, mit integriertem TCP-Wrapper, kann auch Dienste starten, die nicht in Datei /etc/services eingetragen sind,
  • erheblich mehr Optionen als inetd => komplexere Konfiguration als inetd,
  • Hauptkonfigurationsdatei: /etc/xinetd.conf,
  • xinetd hat integrierten Wrapper, startet Dienste selbst, tcpd hier überflüssig

TCP-Wrapper

  • ist eine Software zum Schutz vor unerwünschtem Zugriff aus einem Rechnernetz,
  • Konfigurationsdateien sind /ect/hosts.allow und /etc/hosts.deny,
  • Verarbeitungsweise Konfigurationsdateien ist speziell:
    • bei Eintrag in /etc/hosts.allow, wird selber Eintrag in /etc/hosts.deny ignoriert
    • wenn keine Einräge in /etc/hosts.allow und /etc/hosts.deny vorhanden sind, wird Zugriff erlaubt
    • wenn eine oder beide Dateien nicht(mehr) vorhanden sind, ist das so als wären beide leer => Zugriff wird erlaubt
  • sichere Grundkionfiguration:
    • erst mal alles verbieten mit Eintrag ALL : ALL in /etc/hosts.deny
    • dann Schritt für Schritt Zugriffe erlauben in /etc/hosts.allow

Nicht benötigte Dienste und Konten deaktivieren

/etc/nologin, /etc/init.d und /etc/inittab, /etc/passwd und /etc/shadow

/etc/nologin

  • verhindern, dass sich ein Benutzer interakiv an einem System anmeldet,
  • einfach Datei /etc/nologin (z. B. mit touch) anlegen,
  • Nachricht für nicht authoriserten Benutzer hinterlassen, Inhalt wird bei Login-Versuch angezeigt

/etc/init.d und /etc/inittab

/etc/init.d
  • Dienste, die dort nicht aufgeführt sind, sind deaktivert
/etc/inittab
  • Begrenzung der möglichen TTY-Konsolen, z. B. auf 1 => verhindert, dass man offene Sitzungen vergißt zu schließen (=hohes Sicherheitsrisiko),
  • (nur noch in älteren Distributionen noch vorhnden; für mehr Infos siehe 101.3)

Anzahl der Konsolen wird heute mit systemd begrenzt:

  • in Datei /etc/systemd/logind.conf NAutoVTs=1 eintragen


/etc/passwd und /etc/shadow

  • wichtig ist bei beiden die Verwendung des 2.Feldes

2.Feld bei /etc/passwd

  • X (heißt, Passwort steht in /etc/shadow)
  • * (heißt, User darf sich nicht anmelden)
  • Ein Leerzeichen steht für ein leeres Passwort-Verfallszeiten

2.Feld bei /etc/shadow, hier stehen die verschlüsselten Passwörter

  • ! oder * (heißt Benutzer kann sich mit Unix-Passwort nicht anmelden)

Links

Interne Links

Weblinks

  • Buch LPIC-1 Version 5 (Kapitel 110.2 S. 443-448)
Abgerufen von „https://wiki.foxtom.de/index.php?title=LPIC102/110.2_Einen_Rechner_absichern&oldid=71264