|
|
| (18 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) |
| Zeile 1: |
Zeile 1: |
| == Superdaemons und TCP-Wrapper ==
| | '''LPIC102/110.2 Einen Rechner absichern''' |
| * absichern gegenüber Angreifern und Hardwareressourcen besser ausnutzen
| |
|
| |
|
| ===Superdeamons inetd und xinetd=== | | == Beschreibung == |
| ====inetd====
| | # [[LPIC102/110.2 Einen Rechner absichern/Superdaemons]] |
| * Superdeamon, älter als xinetd,
| | # [[LPIC102/110.2 Einen Rechner absichern/Dienste und Konten]] |
| * lauscht stellvertretend an TCP- und UDP-Ports für Serverdienste,
| |
| * Client nimmt Verbindung mit von inetd kontrolliertem Netzwerkdienst auf, inetd übergibt an TCP-Wrapper als Daemon tcpd, der die Dienste startet und übergibt Kontrolle an Client,
| |
| * welche Dienste inetd kontrollieren soll, muss in ''/etc/inetd.conf'' festegelegt werden,
| |
| * nach Änderung in ''/etc/inetd.conf'', muss inetd neu gestartet werden, damit Änderung greift
| |
|
| |
|
| '''Wichtig'''
| | [[Kategorie:Linux/LPIC/102]] |
| inetd ist nicht Bestandteil der Prüfung, Erklärung hilft Funktion von xinetd besser zu verstehen
| | [[Kategorie:Linux/Sicherheit]] |
| | |
| ==== xinetd ====
| |
| * aktueller Superdeamon, mit integriertem TCP-Wrapper, kann auch Dienste starten, die nicht in Datei ''/etc/services'' eingetragen sind,
| |
| * erheblich mehr Optionen als inetd => komplexere Konfiguration als inetd,
| |
| * Hauptkonfigurationsdatei: ''/etc/xinetd.conf'',
| |
| * xinetd hat integrierten Wrapper, startet Dienste selbst, tcpd hier überflüssig
| |
| | |
| === TCP-Wrapper ===
| |
| * ist eine Software zum Schutz vor unerwünschtem Zugriff aus einem Rechnernetz,
| |
| * Konfigurationsdateien sind ''/ect/hosts.allow'' und ''/etc/hosts.deny'',
| |
| * Verarbeitungsweise Konfigurationsdateien ist speziell:
| |
| ** bei Eintrag in ''/etc/hosts.allow'', wird selber Eintrag in ''/etc/hosts.deny'' ignoriert
| |
| ** wenn keine Einräge in ''/etc/hosts.allow'' und ''/etc/hosts.deny'' vorhanden sind, wird Zugriff erlaubt
| |
| ** wenn eine oder beide Dateien nicht(mehr) vorhanden sind, ist das so als wären beide leer => Zugriff wird erlaubt
| |
| * sichere Grundkionfiguration:
| |
| ** erst mal alles verbieten mit Eintrag ALL : ALL in ''/etc/hosts.deny''
| |
| ** dann Schritt für Schritt Zugriffe erlauben in ''/etc/hosts.allow''
| |
| | |
| ==Nicht benötigte Dienste und Konten deaktivieren==
| |
| ===''/etc/nologin'', ''/etc/init.d'' und ''/etc/inittab'', ''/etc/passwd'' und ''/etc/shadow''===
| |
| ====''/etc/nologin''====
| |
| * verhindern, dass sich ein Benutzer interakiv an einem System anmeldet,
| |
| * einfach Datei ''/etc/nologin'' (z.B. mit touch) anlegen,
| |
| * Nachricht für nicht authoriserten Benutzer hinterlassen, Inhalt wird bei Login-Versuch angezeigt
| |
| ==== /etc/init.d und /etc/inittab ====
| |
| ===== /etc/init.d=====
| |
| * Dienste, die dort nicht aufgeführt sind, sind deaktivert
| |
| ===== /etc/inittab =====
| |
| * Begrenzung der möglichen TTY-Konsolen, z.B. auf 1 => verhindert, dass man offene Sitzungen vergißt zu schließen (=hohes Sicherheitsrisiko),
| |
| *(nur noch in älteren Distributionen noch vorhnden; für mehr Infos siehe 101.3)
| |
| | |
| Anzahl der Konsolen wird heute mit systemd begrenzt:
| |
| *in Datei ''/etc/systemd/logind.conf'' NAutoVTs=1 eintragen
| |
| | |
| | |
| ====''/etc/passwd'' und ''/etc/shadow''====
| |
| *wichtig ist bei beiden die Verwendung des 2.Feldes
| |
| | |
| 2.Feld bei ''/etc/passwd''
| |
| *X (heißt, Passwort steht in ''/etc/shadow'')
| |
| * * (heißt, User darf sich nicht anmelden)
| |
| *Ein Leerzeichen steht für ein leeres Passwort-Verfallszeiten
| |
| | |
| 2.Feld bei ''/etc/shadow'', hier stehen die verschlüsselten Passwörter
| |
| * ! oder * (heißt Benutzer kann sich mit Unix-Passwort nicht anmelden)
| |
| | |
| = Links =
| |
| == Interne Links ==
| |
| == Weblinks ==
| |
| * Buch LPIC-1 Version 5 (Kapitel 110.2 S. 443-448)
| |
| | |
| [[Kategorie:LPIC:102]] | |