|
|
| (39 dazwischenliegende Versionen von 3 Benutzern werden nicht angezeigt) |
| Zeile 1: |
Zeile 1: |
| =110.2 Einen Rechner absichern=
| | '''LPIC102/110.2 Einen Rechner absichern''' |
|
| |
|
| ==Superdaemons und TCP-Wrapper== | | == Beschreibung == |
| *absichern gegenüber Angreifern und Hardwareressourcen besser ausnutzen
| | # [[LPIC102/110.2 Einen Rechner absichern/Superdaemons]] |
| | # [[LPIC102/110.2 Einen Rechner absichern/Dienste und Konten]] |
|
| |
|
| ===Superdeamons inetd und xinetd===
| | [[Kategorie:Linux/LPIC/102]] |
| | | [[Kategorie:Linux/Sicherheit]] |
| | |
| ====inetd====
| |
| *Superdeamon, älter als xinetd,
| |
| *lauscht stellvertretend an TCP- und UDP-Ports für Serverdienste,
| |
| *Client nimmt Verbindung mit von inetd kontrolliertem Netzwerkdienst auf, inetd übergibt an TCP-Wrapper als Daemon tcpd, der die Dienste startet und übergibt Kontrolle an Client,
| |
| *welche Dienste inetd kontrollieren soll, muss in ''/etc/inetd.conf'' festegelegt werden,
| |
| *nach Änderung in ''/etc/inetd.conf'', muss inetd neu gestartet werden, damit Änderung greift
| |
| | |
| | |
| wichtig: inetd ist nicht Bestandteil der Prüfung, Erklärung hilft Funktion von xinetd besser zu verstehen
| |
| | |
| | |
| ====xinetd====
| |
| *aktueller Superdeamon, mit integriertem TCP-Wrapper, kann auch Dienste starten, die nicht in Datei ''/etc/services'' eingetragen sind,
| |
| *erheblich mehr Optionen als inetd => komplexere Konfiguration als inetd,
| |
| *Hauptkonfigurationsdatei: ''/etc/xinetd.conf'',
| |
| *xinetd hat integrierten Wrapper, startet Dienste selbst, tcpd hier überflüssig
| |
| | |
| | |
| ===TCP-Wrapper===
| |
| *ist eine Software zum Schutz vor unerwünschtem Zugriff aus einem Rechnernetz,
| |
| *Konfigurationsdateien sind ''/ect/hosts.allow'' und ''/etc/hosts.deny'',
| |
| *Verarbeitungsweise Konfigurationsdateien ist speziell:
| |
| **bei Eintrag in ''/etc/hosts.allow'', wird selber Eintrag in ''/etc/hosts.deny'' ignoriert
| |
| **wenn keine Einräge in ''/etc/hosts.allow'' und ''/etc/hosts.deny'' vorhanden sind, wird Zugriff erlaubt
| |
| **wenn eine oder beide Dateien nicht(mehr) vorhanden sind, ist das so als wären beide leer => Zugriff wird erlaubt
| |
| | |
| *sichere Grundkionfiguration:
| |
| **erst mal alles verbieten mit Eintrag ALL : ALL in ''/etc/hosts.deny''
| |
| **dann Schritt für Schritt Zugriffe erlauben in ''/etc/hosts.allow''
| |
| | |
| ==Nicht benötigte Dienste und Konten deaktivieren==
| |
| | |
| | |
| | |
| ===''/etc/nologin'', ''/etc/init.d'' und ''/etc/inittab'', ''/etc/passwd'' und ''/etc/shadow''===
| |
| | |
| | |
| ====''/etc/nologin''====
| |
| *verhindern, dass sich ein Benutzer interakive an einem System anmeldet,
| |
| *einfach Datei ''/etc/nologin'' (z.B. mit touch) anlegen,
| |
| *Nachricht für nicht authoriserten Benutzer hinterlassen, Inhalt wird bei Login-Versuch angezeigt
| |
| | |
| ====''/etc/init.d'' und ''/etc/inittab''===
| |
| | |
| =====''/etc/init.d''====
| |
| *Dienste, die dort nicht aufgeführt sind, sind deaktivert
| |
| | |
| =====''/etc/inittab'' =====
| |
| *Begrenzung der möglichen TTY-Konsolen, z.B. auf 1 => verhindert, dass man offene Sitzungen vergißt zu schließen (=hohes Sicherheitsrisiko),
| |
| *(nur noch in älteren Distributionen noch vorhnden; für mehr Infos siehe 101.3)
| |
| | |
| Anzahl der Konsolen wird heute mit systemd begrenzt:
| |
| *in Datei ''/etc/systemd/logind.conf'' NAutoVTs=1 eintragen
| |
| | |
| ====''/etc/passwd'' und ''/etc/shadow''====
| |
| *wichtig ist bei beiden die Verwendung des 2.Feldes
| |
| | |
| 2.Feld bei ''/etc/passwd''
| |
| *X (heißt, Passwort steht in ''/etc/shadow'')
| |
| * * (heißt, User darf sich nicht anmelden)
| |
| *Ein Leerzeichen steht für ein leeres Passwort-Verfallszeiten
| |
| | |
| 2.Feld bei ''/etc/shadow'', hier stehen die verschlüsselten Passwörter
| |
| * ! oder * (heißt Benutzer kann sich mit Unix-Passwort nicht anmelden)
| |