|
|
| Zeile 3: |
Zeile 3: |
| == Beschreibung == | | == Beschreibung == |
|
| |
|
| == Superdaemons ==
| | # LPIC102/110.2 Einen Rechner absichern/Superdaemons |
| ; Superdaemons und TCP-Wrapper
| |
| * Absichern gegenüber Angreifern
| |
| * Hardwareressourcen besser ausnutzen
| |
| | |
| === Superdeamons inetd und xinetd ===
| |
| ==== inetd ====
| |
| * Superdeamon, älter als xinetd,
| |
| * lauscht stellvertretend an TCP- und UDP-Ports für Serverdienste,
| |
| * Client nimmt Verbindung mit von inetd kontrolliertem Netzwerkdienst auf, inetd übergibt an TCP-Wrapper als Daemon tcpd, der die Dienste startet und übergibt Kontrolle an Client,
| |
| * welche Dienste inetd kontrollieren soll, muss in ''/etc/inetd.conf'' festegelegt werden,
| |
| * nach Änderung in ''/etc/inetd.conf'', muss inetd neu gestartet werden, damit Änderung greift
| |
| | |
| '''Wichtig'''
| |
| inetd ist nicht Bestandteil der Prüfung, Erklärung hilft Funktion von xinetd besser zu verstehen
| |
| | |
| ==== xinetd ====
| |
| * aktueller Superdeamon, mit integriertem TCP-Wrapper, kann auch Dienste starten, die nicht in Datei ''/etc/services'' eingetragen sind,
| |
| * erheblich mehr Optionen als inetd => komplexere Konfiguration als inetd,
| |
| * Hauptkonfigurationsdatei: ''/etc/xinetd.conf'',
| |
| * xinetd hat integrierten Wrapper, startet Dienste selbst, tcpd hier überflüssig
| |
| | |
| === TCP-Wrapper ===
| |
| * ist eine Software zum Schutz vor unerwünschtem Zugriff aus einem Rechnernetz,
| |
| * Konfigurationsdateien sind ''/ect/hosts.allow'' und ''/etc/hosts.deny'',
| |
| * Verarbeitungsweise Konfigurationsdateien ist speziell:
| |
| ** bei Eintrag in ''/etc/hosts.allow'', wird selber Eintrag in ''/etc/hosts.deny'' ignoriert
| |
| ** wenn keine Einräge in ''/etc/hosts.allow'' und ''/etc/hosts.deny'' vorhanden sind, wird Zugriff erlaubt
| |
| ** wenn eine oder beide Dateien nicht(mehr) vorhanden sind, ist das so als wären beide leer => Zugriff wird erlaubt
| |
| * sichere Grundkionfiguration:
| |
| ** erst mal alles verbieten mit Eintrag ALL : ALL in ''/etc/hosts.deny''
| |
| ** dann Schritt für Schritt Zugriffe erlauben in ''/etc/hosts.allow''
| |
|
| |
|
| == Dienste und Konten== | | == Dienste und Konten== |
LPIC102/110.2 Einen Rechner absichern
Beschreibung
- LPIC102/110.2 Einen Rechner absichern/Superdaemons
Dienste und Konten
- Nicht benötigte Dienste und Konten deaktivieren
Wichtige Dateien
- /etc/nologin
- /etc/init.d
- /etc/inittab
- /etc/passwd
- /etc/shadow
/etc/nologin
- verhindern, dass sich ein Benutzer interakiv an einem System anmeldet,
- einfach Datei /etc/nologin (beispielsweise mit touch) anlegen,
- Nachricht für nicht authoriserten Benutzer hinterlassen, Inhalt wird bei Login-Versuch angezeigt
/etc/init.d und /etc/inittab
/etc/init.d
- Dienste, die dort nicht aufgeführt sind, sind deaktivert
/etc/inittab
- Begrenzung der möglichen TTY-Konsolen, beispielsweise auf 1 => verhindert, dass man offene Sitzungen vergißt zu schließen (=hohes Sicherheitsrisiko),
- (nur noch in älteren Distributionen noch vorhnden; für mehr Infos siehe 101.3)
Anzahl der Konsolen wird heute mit systemd begrenzt:
- in Datei /etc/systemd/logind.conf NAutoVTs=1 eintragen
/etc/passwd und /etc/shadow
- wichtig ist bei beiden die Verwendung des 2.Feldes
2.Feld bei /etc/passwd
- X (heißt, Passwort steht in /etc/shadow)
- * (heißt, User darf sich nicht anmelden)
- Ein Leerzeichen steht für ein leeres Passwort-Verfallszeiten
2.Feld bei /etc/shadow, hier stehen die verschlüsselten Passwörter
- ! oder * (heißt Benutzer kann sich mit Unix-Passwort nicht anmelden)
Links
Interne Links
Weblinks