[ zurück ]
[ Inhalt ]
[ 1 ]
[ 2 ]
[ 3 ]
[ 4 ]
[ 5 ]
[ 6 ]
[ 7 ]
[ 8 ]
[ 9 ]
[ 10 ]
[ 11 ]
[ A ]
[ B ]
[ C ]
[ D ]
[ E ]
[ F ]
[ G ]
[ H ]
[ weiter ]
Anleitung zum Absichern von Debian
Kapitel 1 - Einleitung
Eines der schwierigsten Dinge beim Schreiben über Sicherheit ist, dass jeder
Fall einzigartig ist. Sie müssen zwei Dinge beachten: Die Gefahr aus der
Umgebung und das Bedürfnis an Sicherheit Ihrer Seite, Ihres Hosts oder Ihres
Netzwerkes. So unterscheiden sich zum Beispiel die Sicherheitsbedürfnisse
eines Heimanwenders komplett von den Sicherheitsbedürfnissen des Netzwerkes
einer Bank. Während die Hauptgefahr eines Heimanwenders von
"Script-Kiddies" ausgeht, muss sich das Netzwerk einer Bank um
direkte Angriffe sorgen. Zusätzlich muss eine Bank die Daten ihrer Kunden mit
mathematischer Präzision beschützen. Um es kurz zu machen: Jeder Nutzer muss
selbst zwischen Benutzerfreundlichkeit und Sicherheit/Paranoia abwägen.
Beachten Sie bitte, dass diese Anleitung nur Software-Themen behandelt. Die
beste Software der Welt kann Sie nicht schützen, wenn jemand direkten Zugang zu
Ihrem Rechner hat. Sie können ihn unter Ihren Schreibtisch stellen, oder Sie
können ihn in einen starken Bunker mit einer ganzen Armee davor stellen.
Trotzdem kann der Rechner unter Ihrem Schreibtisch weitaus sicherer sein
– von der Software-Seite aus gesehen – als der eingebunkerte, wenn
Ihr Schreibtisch-Rechner richtig konfiguriert und die Software des
eingebunkerten Rechners voller Sicherheitslöcher ist. Sie müssen beide
Möglichkeiten betrachten.
Dieses Dokument gibt Ihnen lediglich einen kleinen Überblick, was Sie tun
können, um die Sicherheit Ihres Debian GNU/Linux Systems zu erhöhen. Wenn Sie
bereits andere Dokumente über Sicherheit unter Linux gelesen haben, werden Sie
feststellen, dass es einige Überschneidungen geben wird. Wie auch immer:
Dieses Dokument versucht nicht, die ultimative Informationsquelle zu sein, es
versucht nur, die gleichen Informationen so zu adaptieren, dass sie gut auf ein
Debian GNU/Linux System passen. Unterschiedliche Distributionen erledigen
manche Dinge auf unterschiedliche Art (zum Beispiel den Aufruf von Daemons);
hier finden Sie Material, das zu Debians Prozeduren und Werkzeugen passt.
1.1 Autoren
Der aktuelle Betreuer dieses Dokuments ist Javier Fernández-Sanguino Peña
. Falls
Sie Kommentare, Ergänzungen oder Vorschläge haben, schicken Sie ihm diese
bitte. Sie werden dann in künftigen Ausgaben dieses Handbuchs berücksichtigt
werden.
Dieses Handbuch wurde als HOWTO von Alexander Reelsen
ins Leben gerufen.
Nachdem es im Internet veröffentlicht wurde, gliederte es Javier Fernández-Sanguino Peña
in das
Debian-Dokumentations-Projekt
ein.
Zahlreiche Menschen haben etwas zu diesem Handbuch beigesteuert (alle Beiträge
sind im Changelog aufgeführt), aber die Folgenden haben gesonderte Erwähnung
verdient, da sie bedeutende Beiträge geleistet haben (ganze Abschnitte, Kapitel
oder Anhänge):
Bei Fehlern in dieser Übersetzung wenden Sie sich bitte an den aktuellen
deutschen Übersetzer Simon
Brandmair
oder (wenn dieser nicht erreichbar ist) an die Mailingliste
.
1.2 Herunterladen dieser Anleitung
Sie können sich die neuste Version der "Anleitung zum Absichern von
Debian" beim Debian
Documentation Project
herunterladen oder anschauen. Sie können auch
gerne die unterschiedlichen Versionen im CVS
server
durchforsten.
Sie können außerdem eine reine Text-Version
von der Seite des Debian-Dokumentationsprojektes bekommen. Andere Formate, wie
zum Beispiel PDF, stehen (noch) nicht zur Verfügung, Sie können aber das Paket
harden-doc
, in
welchem das gleiche Dokument in den Formaten HTML, txt und PDF enthalten ist,
herunterladen und installieren. Beachten Sie allerdings, dass das Paket nicht
genauso aktuell sein muss wie das Dokument, das Sie im Internet finden (Sie
können sich aber immer eine aktuelle Version aus dem Quellpaket bauen).
1.3 Organisatorisches / Feedback
Nun kommt der offizielle Teil. Derzeit sind die meisten Teile dieser Anleitung
noch von mir (Alexander Reelsen) geschrieben, aber meiner Meinung nach sollte
dies nicht so bleiben. Ich wuchs mit freier Software auf und lebe mit ihr, sie
ist ein Teil meiner alltäglichen Arbeit und ich denke, auch von Ihrer. Ich
ermutige jedermann, mir Feedback, Tipps für Ergänzungen oder andere Vorschläge,
die Sie haben könnten, zuzuschicken.
Wenn Sie denken, dass Sie einen bestimmten Abschnitt oder Paragraphen besser
pflegen können, dann schreiben Sie dem Dokumenten-Betreuer, und Sie dürfen es
gerne erledigen. Insbesondere, wenn Sie eine Stelle finden, die mit
"FIXME" markiert wurde - was bedeutet, dass der Autor noch nicht die
Zeit hatte oder sich noch Wissen über das Thema aneignen muss - schicken Sie
ihm sofort eine Mail.
Für diese Anleitung ist es natürlich äußerst wichtig, dass sie weiter gepflegt
und auf dem neusten Stand gehalten wird. Auch Sie können Ihren Teil dazu
beitragen. Bitte unterstützen Sie uns.
1.4 Vorwissen
Die Installation von Debian GNU/Linux ist nicht wirklich schwer, und Sie
sollten in der Lage gewesen sein, es zu installieren. Wenn Ihnen andere Linux
Distributionen, Unixe oder die grundsätzliche Sicherheitskonzepte ein wenig
vertraut sind, wird es Ihnen leichter fallen, diese Anleitung zu verstehen, da
nicht auf jedes winzige Detail eingegangen werden kann (oder dies wäre ein Buch
geworden und keine Anleitung). Wenn Sie jedoch mit diesen Dingen noch nicht so
vertraut sind, sollten Sie vielleicht einen Blick in die Seien Sie wachsam gegenüber generellen
Sicherheitsproblemen!, Abschnitt 2.2 für tiefer gehende Informationen
werfen.
1.5 Dinge, die noch geschrieben werden müssen (FIXME/TODO)
Dieses Kapitel beschreibt die Dinge, welche in diesem Handbuch noch verbessert
werden müssen. Einige Abschnitte beinhalten FIXME- oder
TODO-Markierungen, in denen beschrieben wird, welche Dinge fehlen
(oder welche Aufgaben erledigt werden müssen). Der Zweck dieses Kapitels ist
es, die Dinge, die zukünftig in dieses Handbuch aufgenommen werden könnten, und
die Verbesserungen, die durchgeführt werden müssen (oder bei denen es
interessant wäre, sie einzufügen) zu beschreiben.
Wenn Sie glauben, dass Sie Hilfe leisten könnten, den auf dieser Liste
aufgeführten Punkten (oder solchem im Text) abzuhelfen, setzen Sie sich mit dem
Hauptautor (Autoren, Abschnitt 1.1) in Verbindung.
-
Erweiterung der Informationen zur Reaktion auf einen Zwischenfall, unter
Umständen auch mit einigen Vorschlägen von Red Hats Sicherheitsanleitung
chapter
on incident response
.
-
Informationen, wie man unter Debian GNU/Linux eine Firewall aufsetzt. Der
Firewalls betreffende Abschnitt orientiert sich derzeit an Einzelplatz-Systemen
(die keine anderen System schützen müssen); auch auf das Testen des Setups
eingehen.
-
Wie man eine Proxy-Firewall unter Debian GNU/Linux aufsetzt, unter der Angabe,
welche Pakete Proxy-Dienste anbieten (zum Beispiel
xfwp
,
xproxy
, ftp-proxy
, redir
,
smtpd
, dnrd
, jftpgw
, oops
,
pdnsd
, perdition
, transproxy
,
tsocks
). Sollte zu einer Anleitung mit weiteren Informationen
verweisen. Erwähnenswert ist, dass zorp
jetzt Teil von Debian ist
und eine Proxy-Firewall ist (und auch der Programmautor Debian-Pakete
zur Verfügung stellt.)
-
Informationen über die Service-Konfiguration mit file-rc
-
Alle Referenzen und URLs prüfen und die nicht mehr verfügbaren aktualisieren
oder entfernen
-
Informationen über möglichen Ersatz (unter Debian) für häufig eingesetzte
Server, die bei eingeschränktem Funktionsumfang nützlich sind. Beispiele:
-
lokaler lpr mit cups (Paket)?
-
apache mit dhttpd/thttpd/wn (tux?)
-
exim/sendmail mit ssmtpd/smtpd/postfix
-
Mehr Informationen über die sicherheitsrelevanten Patches des Kernels unter
Debian einschließlich der oben aufgeführten, und insbesondere wie man diese
Patches unter einem Debian-System benutzt.
-
Erkennung von Eindringlingen (Linux Intrusion Detection
lids-2.2.19
)
-
Linux Trustees (im Paket
trustees
)
-
kernel-patch-2.2.19-harden
-
kernel-patch-freeswan
, kernel-patch-int
-
Details, wie man unnötige Netzwerkdienste deaktiviert (abgesehen von
inetd
), dies ist teilweise Teil des Abhärtungsprozesses, könnte
aber etwas ausgeweitet werden.
-
Informationen über Passwort-Rotation, was sehr nah an grundsätzliche Regeln
(Policies) herankommt
-
Policies und die Aufklärung der Nutzer über die Policy
-
Mehr über tcpwrapper und wrapper im Allgemeinen?
-
hosts.equiv
und andere wichtige Sicherheitslöcher
-
mögliche Probleme bei der Dateifreigabe, wie Samba und NFS?
-
suidmanager/dpkg-statoverrides.
-
Abschalten der GNOME IP-Dinge.
-
Programme erwähnen, die Chroot-Gefängnisse (chroot jails) herstellen.
Compartment
und chrootuid
warten noch in incoming.
Einige andere (makejail, jailer) könnten ebenfalls eingeführt werden.
-
Mehr Informationen über Software zur Analyse von Protokoll-Dateien
(log-Dateien, logs; zum Beispiel
logcheck
und logcolorise).
-
"Fortgeschrittenes" Routing (Traffic-Regelungen sind
sicherheitsrelevant)
-
Zugang über
SSH
so einschränken, dass man nur bestimmte Kommandos
ausführen kann
-
Die Benutzung von dpkg-statoverride.
-
Sichere Wege, mehreren Nutzern den Zugriff auf CD-Brenner zu erlauben
-
Sichere Wege, um Sound zusammen mit einem Display über ein Netzwerk zu leiten
(so dass die Sounds eines X-Clients über die Hardware eines X-Servers
abgespielt werden)
-
Absichern von Web-Browsern
-
Aufsetzen von ftp über
ssh
-
Die Benutzung von verschlüsselten Loopback-Dateisystemen
-
Verschlüsselung eines ganzen Dateisystems
-
Aufsetzen eines PKA für eine Organisation
-
LDAP benutzen zur Verwaltung der User. Es gibt ein HOWTO zu ldap+kerberos für
Debian auf www.bayour.com von Turbo Fredrikson.
-
Wie man Informationen mit begrenztem Nutzen wie z.B.
/usr/share/doc
oder /usr/share/man
auf
Produktivsystemen entfernt (jawohl, security by obscurity).
-
Mehr Informationen über lcap, die sich auf die README-Datei des Pakets stützen
(gut, die Datei ist noch nicht vorhaben, vergleiche
Bug
#169465
) und diesen Artikel von LWN: Kernel development
.
-
Informationen darüber, wie man mehrere snort-Sensoren in einem System betreibt
(beachte die Fehlerbericht über snort).
-
Informationen, wie man einen Honigtopf (honeypot) einrichtet
(
honeyd
)
-
Darstellung der Situation von FreeSwan (verwaist) und OpenSwan. Der Abschnitt
über VPN muss überarbeitet werden.
1.6 Änderungsübersicht / Changelog / Geschichte
1.6.1 Version 3.2 (März 2005)
Änderung von Javier Fernández-Sanguino Peña
-
Erweiterte den Abschnitt über die Konfiguration von Limits mit PAM.
-
Fügte Informationen hinzu, wie pam_chroot für openssh eingesetzt wird (auf
Grundlage der README von pam_chroot).
-
Verbesserte einige kleinere Dinge, die von Dan Jacobson gemeldet wurden.
-
Aktualisierte die Informationen über Kernelpatches, basiert teilweise auf einem
Patch von Carlo Perassi, auf den Anmerkungen zu aufgegebenen Teilen des Kernels
und auf den neuen Kernelpatches (adamantix).
-
Fügte einen Patch von Simon Brandmair ein, der einen Satz im Zusammenhang mit
Login-Fehlern auf dem Terminal ausbesserte.
-
Fügte Mozilla/Thunderbird zu den gültigen GPG-Agenten hinzu, wie von Kapolnai
Richard vorgeschlagen wurde.
-
Erweiterte den Abschnitt über Sicherheitsaktualisierungen, die Aktualisierung
von Bibliotheken und des Kernels betreffen, und wie man herausfindet, ob
Dienste neu gestartet werden müssen.
-
Schrieb den Abschnitt über die Firewall neu, habe die Informationen, die Woody
betreffen, nach unten verschoben und die übrigen Abschnitte erweitert,
einschließlich Hinweisen dazu, wie man von Hand eine Firewall einrichtet (mit
einem Beispielsskript) und wie man die Konfiguration der Firewall testen kann.
-
Fügte einige Informationen hinzu bezüglich der Veröffentlichung von Debian 3.1.
-
Fügte ausführlichere Hinweise zu Kernelupgrades hinzu, die sich besonders an
diejenigen richten, die das alte Installationssystem verwenden.
-
Fügte einen kurzen Abschnitt über die experimentelle Veröffentlichung von apt
0.6, die die Überprüfung von Paketsignaturen enthält. Verschob den alten
Inhalt in den Abschnitt und fügte auch einen Verweis auf die Veränderungen, die
in aptitude vorgenommen wurden, hinzu.
-
Ausbesserungen von Tippfehlern, die von Frédéric Bothamy entdeckt wurden.
1.6.2 Version 3.1 (January 2005)
Changes by Javier Fernández-Sanguino Peña
-
Added clarification to ro /usr with patch from Joost van Baal
-
Apply patch from Jens Seidel fixing many typos.
-
FreeSWAN is dead, long live OpenSWAN.
-
Added information on restricting access to RPC services (when they cannot be
disabled) also included patch provided by Aarre Laakso.
-
Update aj's apt-check-sigs script.
-
Apply patch Carlo Perassi fixing URLs.
-
Apply patch from Davor Ocelic fixing many errors, typos, urls, grammar and
FIXMEs. Also adds some additional information to some sections.
-
Rewrote the section on user auditing, highlight the usage of script which does
not have some of the issues associated to shell history.
1.6.3 Version 3.0 (December 2004)
Changes by Javier Fernández-Sanguino Peña
-
Rewrote the user-auditing information and include examples on how to use
script.
1.6.4 Version 2.99 (March 2004)
Changes by Javier Fernández-Sanguino Peña
-
Added information on references in DSAs and CVE-Compatibility.
-
Added information on apt 0.6 (apt-secure merge in experimental)
-
Fixed location of Chroot daemons HOWTO as suggested by Shuying Wang.
-
Changed APACHECTL line in the Apache chroot example (even if its not used at
all) as suggested by Leonard Norrgard.
-
Added a footnote regarding hardlink attacks if partitions are not setup
properly.
-
Added some missing steps in order to run bind as named as provided by Jeffrey
Prosa.
-
Added notes about Nessus and Snort out-of-dateness in woody and availability of
backported packages.
-
Added a chapter regarding periodic integrity test checks.
-
Clarified the status of testing regarding security updates. (Debian bug
233955)
-
Added more information regarding expected contents in securetty (since it's
kernel specific).
-
Added pointer to snoopylogger (Debian bug 179409)
-
Added reference to guarddog (Debian bug 170710)
-
Apt-ftparchive is in apt-utils, not in apt (thanks to Emmanuel Chantreau for
pointing this out)
-
Removed jvirus from AV list.
1.6.5 Version 2.98 (December 2003)
Changes by Javier Fernández-Sanguino Peña
-
Fixed URL as suggested by Frank Lichtenheld.
-
Fixed PermitRootLogin typo as suggested by Stefan Lindenau.
1.6.6 Version 2.97 (September 2003)
Changes by Javier Fernández-Sanguino Peña
-
Added those that have made the most significant contributions to this manual
(please mail me if you think you should be in the list and are not).
-
Added some blurb about FIXME/TODOs
-
Moved the information on security updates to the beginning of the section as
suggested by Elliott Mitchell.
-
Added grsecurity to the list of kernel-patches for security but added a
footnote on the current issues with it as suggested by Elliott Mitchell.
-
Removed loops (echo to 'all') in the kernel's network security script as
suggested by Elliott Mitchell.
-
Added more (up-to-date) information in the antivirus section.
-
Rewrote the buffer overflow protection section and added more information on
patches to the compiler to enable this kind of protection.
1.6.7 Version 2.96 (august 2003)
Changes by Javier Fernández-Sanguino Peña
-
Removed (and then re-added) appendix on chrooting Apache. The appendix is now
dual-licensed.
1.6.8 Version 2.95 (June 2003)
Changes by Javier Fernández-Sanguino Peña
-
Fixed typos spotted by Leonard Norrgard.
-
More information on setting up a Squid proxy.
-
Added a pointer and removed a FIXME thanks to Helge H. F.
-
Fixed a typo (save_inactive) spotted by Philippe Faes.
-
Fixed several typos spotted by Jaime Robles.
1.6.9 Version 2.94 (April 2003)
Changes by Javier Fernández-Sanguino Peña
-
Following Maciej Stachura's suggestions I've expanded the section on limiting
users.
-
Fixed typo spotted by Wolfgang Nolte.
-
Fixed links with patch contributed by Ruben Leote Mendes.
-
Added a link to David Wheeler's excellent document on the footnote about
counting security vulnerabilities.
1.6.10 Version 2.93 (march 2003)
Changes made by Frédéric Schütz.
-
rewrote entirely the section of ext2 attributes (lsattr/chattr)
1.6.11 Version 2.92 (February 2003)
Changes by Javier Fernández-Sanguino Peña and Frédéric Schütz.
-
Merge section 9.3 ("useful kernel patches") into section 4.13
("Adding kernel patches"), and added some content.
-
Added information on how to manually check for updates and also about cron-apt.
That way Tiger is not perceived as the only way to do automatic update checks.
-
Slightly rewrite of the section on executing a security updates due to
Jean-Marc Ranger comments.
-
Added a note on Debian's installation (which will suggest the user to execute a
security update right after installation)
1.6.12 Version 2.91 (January/February 2003)
Changes by Javier Fernández-Sanguino Peña (me).
-
Added a patch contributed by Frédéric Schütz.
-
Added a few more references on capabilities thanks to Frédéric.
-
Slight changes in the bind section adding a reference to BIND's 9 online
documentation and proper references in the first area (Hi Pedro!)
-
Fixed the changelog date - new year :-)
-
Added a reference to Colin's articles for the TODOs.
-
Removed reference to old ssh+chroot patches.
-
More patches from Carlo Perassi.
-
Typo fixes (recursive in Bind is recursion), pointed out by Maik Holtkamp.
1.6.13 Version 2.9 (December 2002)
Changes by Javier Fernández-Sanguino Peña (me).
-
Reorganized the information on chroot (merged two sections, it didn't make much
sense to have them separated)
-
Added the notes on chrooting Apache provided by Alexandre Ratti.
-
Applied patches contributed by Guillermo Jover.
1.6.14 Version 2.8 (November 2002)
Changes by Javier Fernández-Sanguino Peña (me).
-
Applied patches from Carlo Perassi, fixes include: re-wrapping the lines, URL
fixes, and fixed some FIXMEs
-
Updated the contents of the Debian security team FAQ.
-
Added a link to the Debian security team FAQ and the Debian Developer's
reference, the duplicated sections might (just might) be removed in the future.
-
Fixed the hand-made auditing section with comments from Michal Zielinski.
-
Added links to wordlists (contributed by Carlo Perassi)
-
Fixed some typos (still many around).
-
Fixed TDP links as suggested by John Summerfield.
1.6.15 Version 2.7 (October 2002)
Changes by Javier Fernández-Sanguino Peña (me). Note: I still have a lot of
pending changes in my mailbox (which is currently about 5 Mbs in size).
-
Some typo fixes contributed by Tuyen Dinh, Bartek Golenko and Daniel K.
Gebhart.
-
Note regarding /dev/kmem rootkits contributed by Laurent Bonnaud
-
Fixed typos and FIXMEs contributed by Carlo Perassi.
1.6.16 Version 2.6 (September 2002)
Changes by Chris Tillman, tillman@voicetrak.com.
-
Changed around to improve grammar/spelling.
-
s/host.deny/hosts.deny/ (1 place)
-
Applied Larry Holish's patch (quite big, fixes a lot of FIXMEs)
1.6.17 Version 2.5 (September 2002)
Changes by Javier Fernández-Sanguino Peña (me).
-
Fixed minor typos submitted by Thiemo Nagel.
-
Added a footnote suggested by Thiemo Nagel.
1.6.18 Version 2.5 (August 2002)
Changes by Javier Fernández-Sanguino Peña (me). There were many things waiting
on my inbox (as far back as february) to be included, so I'm going to tag this
the back from honeymoon release :)
-
Added some information on how to setup the Xscreensaver to lock automatically
the screen after the configured timeout.
-
Add a note related to the utilities you should not install in the system.
Including a note regarding Perl and why it cannot be easily removed in Debian.
The idea came after reading Intersect's documents regarding Linux hardening.
-
Added information on lvm and journaling filesystems, ext3 recommended. The
information there might be too generic, however.
-
Added a link to the online text version (check).
-
Added some more stuff to the information on firewalling the local system
triggered by a comment made by Hubert Chan in the mailing list.
-
Added more information on PAM limits and pointers to Kurt Seifried's documents
(related to a post by him to bugtraq on April 4th 2002 answering a person that
had ``discovered'' a vulnerability in Debian GNU/Linux related to resource
starvation)
-
As suggested by Julián Muñoz, provided more information on the default Debian
umask and what a user can access if he has been given a shell in the system
(scary, huh?)
-
Included a note in the BIOS password section due to a comment from from Andreas
Wohlfeld.
-
Included patches provided by Alfred E. Heggestad fixing many of the typos
still present in the document.
-
Added a pointer to the changelog in the Credits section since most people who
contribute are listed here (and not there)
-
Added a few more notes to the chattr section and a new section after
installation talking about system snapshots. Both ideas were contributed by
Kurt Pomeroy.
-
Added a new section after installation just to remember users to change the
boot-up sequence.
-
Added some more TODO items provided by Korn Andras.
-
Added a pointer to the NIST's guidelines on how to secure DNS provided by
Daniel Quinlan.
-
Added a small paragraph regarding Debian's SSL certificates infrastructure.
-
Added Daniel Quinlan's suggestions regarding ssh authentication and exim's
relay configuration.
-
Added more information regarding securing bind including changes suggested by
Daniel Quinlan and an appendix with a script to make some of the changes
commented on that section.
-
Added a pointer to another item regarding Bind chrooting (needs to be merged)
-
Added a one liner contributed by Cristian Ionescu-Idbohrn to retrieve packages
with tcpwrappers support.
-
Added a little bit more info on Debian's default PAM setup.
-
Included a FAQ question about using PAM to give services w/o shell accounts.
-
Moved two FAQ items to another section and added a new FAQ regarding attack
detection (and compromised systems).
-
Included information on how to setup a bridge firewall (including a sample
Appendix). Thanks to Francois Bayart who sent me this on march.
-
Added a FAQ regarding the syslogd's MARK heartbeat from a
question answered by Noah Meyerhans and Alain Tesio on December 2001.
-
Included information on buffer overflow protection as well as some information
on kernel patches.
-
Added more information (and reorganised) the firewall section. Updated the
information regarding the iptables package and the firewall generators
available.
-
Reorganized the information regarding logchecking, moved logcheck information
from host intrusion detection to that section.
-
Added some information on how to prepare a static package for bind for
chrooting (untested).
-
Added a FAQ item (could be expanded with some of the recomendations from the
debian-security list regarding some specific servers/services).
-
Added some information on RPC services (and when it's necessary).
-
Added some more information on capabilities (and what lcap does). Is there any
good documentation on this? I haven't found any on my 2.4 kernel.
1.6.19 Version 2.4
Changes by Javier Fernández-Sanguino Peña.
-
Rewritten part of the BIOS section.
1.6.20 Version 2.3
Changes by Javier Fernández-Sanguino Peña.
-
Wrapped most file locations with the file tag.
-
Fixed typo noticed by Edi Stojicevi.
-
Slightly changed the remote audit tools section.
-
Added more information regarding printers and cups config file (taken from a
thread on debian-security).
-
Added a patch submitted by Jesus Climent regarding access of valid system users
to Proftpd when configured as anonymous server.
-
Small change on partition schemes for the special case of mail servers.
-
Added Hacking Linux Exposed to the books section.
-
Fixed directory typo noticed by Eduardo Pérez Ureta.
-
Fixed /etc/ssh typo in checklist noticed by Edi Stojicevi.
1.6.21 Version 2.3
Changes by Javier Fernández-Sanguino Peña.
-
Fixed location of dpkg conffile.
-
Remove Alexander from contact information.
-
Added alternate mail address.
-
Fixed Alexander mail address (even if commented out).
-
Fixed location of release keys (thanks to Pedro Zorzenon for pointing this
out).
1.6.22 Version 2.2
Changes by Javier Fernández-Sanguino Peña.
-
Fixed typos, thanks to Jamin W. Collins.
-
Added a reference to apt-extracttemplate manpage (documents the
APT::ExtractTemplate config).
-
Added section about restricted SSH. Information based on that posted by Mark
Janssen, Christian G. Warden and Emmanuel Lacour on the debian-security
mailing list.
-
Added information on anti-virus software.
-
Added a FAQ: su logs due to the cron running as root.
1.6.23 Version 2.1
Changes by Javier Fernández-Sanguino Peña.
-
Changed FIXME from lshell thanks to Oohara Yuuma.
-
Added package to sXid and removed comment since it *is* available.
-
Fixed a number of typos discovered by Oohara Yuuma.
-
ACID is now available in Debian (in the acidlab package) thanks to Oohara Yuuma
for noticing.
-
Fixed LinuxSecurity links (thanks to Dave Wreski for telling).
1.6.24 Version 2.0
Changes by Javier Fernández-Sanguino Peña. I wanted to change to 2.0 when all
the FIXMEs were, er, fixed but I run out of 1.9X numbers :(
-
Converted the HOWTO into a Manual (now I can properly say RTFM)
-
Added more information regarding tcp wrappers and Debian (now many services are
compiled with support for them so it's no longer an inetd issue).
-
Clarified the information on disabling services to make it more consistent (rpc
info still referred to update-rc.d)
-
Added small note on lprng.
-
Added some more info on compromised servers (still very rough)
-
Fixed typos reported by Mark Bucciarelli.
-
Added some more steps in password recovery to cover the cases when the admin
has set paranoid-mode=on.
-
Added some information to set paranoid-mode=on when login in console.
-
New paragraph to introduce service configuration.
-
Reorganised the After installation section so it is more broken up
into several issues and it's easier to read.
-
Written information on howto setup firewalls with the standard Debian 3.0 setup
(iptables package).
-
Small paragraph explaining why installing connected to the Internet is not a
good idea and how to avoid this using Debian tools.
-
Small paragraph on timely patching referencing to IEEE paper.
-
Appendix on how to setup a Debian snort box, based on what Vladimir sent to the
debian-security mailing list (September 3rd 2001)
-
Information on how logcheck is setup in Debian and how it can be used to setup
HIDS.
-
Information on user accounting and profile analysis.
-
Included apt.conf configuration for read-only /usr copied from Olaf
Meeuwissen's post to the debian-security mailing list
-
New section on VPN with some pointers and the packages available in Debian
(needs content on how to setup the VPNs and Debian-specific issues), based on
Jaroslaw Tabor's and Samuli Suonpaa's post to debian-security.
-
Small note regarding some programs to automatically build chroot jails
-
New FAQ item regarding identd based on a discussion in the debian-security
mailing list (February 2002, started by Johannes Weiss).
-
New FAQ item regarding inetd based on a discussion in the debian-security
mailing list (February 2002).
-
Introduced note on rcconf in the "disabling services" section.
-
Varied the approach regarding LKM, thanks to Philipe Gaspar
-
Added pointers to CERT documents and Counterpane resources
1.6.25 Version 1.99
Changes by Javier Fernández-Sanguino Peña.
-
Added a new FAQ item regarding time to fix security vulnerabilities.
-
Reorganised FAQ sections.
-
Started writing a section regarding firewalling in Debian GNU/Linux (could be
broadened a bit)
-
Fixed typos sent by Matt Kraai
-
Added information on whisker and nbtscan to the auditing section.
1.6.26 Version 1.98
Changes by Javier Fernández-Sanguino Peña.
-
Added a new section regarding auditing using Debian GNU/Linux.
-
Added info regarding finger daemon taken from the security mailing list.
1.6.27 Version 1.97
Changes by Javier Fernández-Sanguino Peña.
-
Fixed link for Linux Trustees
-
Fixed typos (patches from Oohara Yuuma and Pedro Zorzenon)
1.6.28 Version 1.96
Changes by Javier Fernández-Sanguino Peña.
-
Reorganized service installation and removal and added some new notes.
-
Added some notes regarding using integrity checkers as intrusion detection
tools.
-
Added a chapter regarding package signatures.
1.6.29 Version 1.95
Changes by Javier Fernández-Sanguino Peña.
-
Added notes regarding Squid security sent by Philipe Gaspar.
-
Fixed rootkit links thanks to Philipe Gaspar.
1.6.30 Version 1.94
Changes by Javier Fernández-Sanguino Peña.
-
Added some notes regarding Apache and Lpr/lpng.
-
Added some information regarding noexec and read-only partitions.
-
Rewritten how can users help in Debian security issues (FAQ item).
1.6.31 Version 1.93
Changes by Javier Fernández-Sanguino Peña.
-
Fixed location of mail program.
-
Added some new items to the FAQ.
1.6.32 Version 1.92
Changes by Javier Fernández-Sanguino Peña.
-
Added a small section on how Debian handles security
-
Clarified MD5 passwords (thanks to `rocky')
-
Added some more information regarding harden-X from Stephen van Egmond
-
Added some new items to the FAQ
1.6.33 Version 1.91
Changes by Javier Fernández-Sanguino Peña.
-
Added some forensics information sent by Yotam Rubin.
-
Added information on how to build a honeynet using Debian GNU/Linux.
-
Fixed more typos (thanks Yotam!)
1.6.34 Version 1.9
Changes by Javier Fernández-Sanguino Peña.
-
Added patch to fix misspellings and some new information (contributed by Yotam
Rubin)
-
Added some information on configuring Bind options to restrict access to the
DNS server.
-
Added information on how to automatically harden a Debian system (regarding the
harden package and bastille).
-
Removed some done TODOs and added some new ones.
1.6.35 Version 1.8
Changes by Javier Fernández-Sanguino Peña.
-
Added the default user/group list provided by Joey Hess to the debian-security
mailing list.
-
Added information on Proftp contributed by Emmanuel Lacour.
-
Recovered the checklist Appendix from Era Eriksson.
-
Added some new TODO items and removed other fixed ones.
-
Manually included Era's patches since they were not all included in the
previous version.
1.6.36 Version 1.7
Changes by Era Eriksson.
-
Typo fixes and wording changes
Changes by Javier Fernández-Sanguino Peña.
-
Minor changes to tags in order to keep on removing the tt tags and substitute
them for prgn/package tags.
1.6.37 Version 1.6
Changes by Javier Fernández-Sanguino Peña.
-
Added pointer to document as published in the DDP (should supersede the
original in the near future)
-
Started a mini-FAQ (should be expanded) with some questions recovered from my
mailbox.
-
Added general information to consider while securing.
-
Added a paragraph regarding local (incoming) mail delivery.
-
Added some pointers to more information.
-
Added information regarding the printing service.
-
Added a security hardening checklist.
-
Reorganized NIS and RPC information.
-
Added some notes taken while reading this document on my new Visor :)
-
Fixed some badly formatted lines.
-
Added a Genius/Paranoia idea contributed by Gaby Schilders.
1.6.38 Version 1.5
Changes by Josip Rodin and Javier Fernández-Sanguino Peña.
-
Added paragraphs related to BIND and some FIXMEs.
1.6.39 Version 1.4
-
Small setuid check paragraph
-
Found out how to use sgml2txt -f for the txt version
1.6.40 Version 1.3
-
Added a security update after installation paragraph
-
Added a proftpd paragraph
-
This time really wrote something about XDM, sorry for last time
1.6.41 Version 1.2
-
Lots of grammar corrections by James Treacy, new XDM paragraph
1.6.42 Version 1.1
-
Typo fixes, miscellaneous additions
1.6.43 Version 1.0
1.7 Danksagungen
-
Alexander Reelsen schrieb die ursprüngliche Version.
-
Javier Fernández-Sanguino fügte der Originalversion einiges an Informationen
hinzu.
-
Robert van der Meulen stellte den Abschnitt über Quota und viele seiner guten
Ideen zur Verfügung.
-
Ethan Benson korrigierte den PAM-Abschnitt und hatte einige gute Ideen.
-
Dariusz Puchalak trug Information zu verschiedenen Kapiteln bei.
-
Gaby Schilders trug eine nette Genius/Paranoia Idee bei.
-
Era Eriksson gab dem Ganzen an vielen Stellen den sprachlichen Feinschliff und
trug zur Checkliste im Anhang bei.
-
Philipe Gaspar schrieb die LKM-Informationen.
-
Yotam Rubin trug sowohl Korrekturen für viele Tippfehler bei als auch
Informationen über die Versionen von Bind und md5-Passwörter.
-
(Alexander) All den Leuten, die mich ermutigten dieses HOWTO zu schreiben (die
später zu einer ganzen Anleitung wurde).
-
Dem ganzen Debian-Projekt.
1.7.1 Danksagungen des Übersetzers
Auch der Übersetzer Simon Brandmair (sbrandmair@gmx.net
) hat einigen
Leuten zu danken, die mit Verbesserungen, Korrekturen und Ratschlägen zum
Gelingen der Übersetzung beigetragen haben:
Besonders möchte ich Alexander Schmehl danken, der die erste deutsche
Übersetzung angefertigt hat.
Insbesondere sei den Mitglieder der debian-l10n-german
Mailingliste gedankt, für gute Ideen und fruchtbare Diskussionen.
VIELEN DANK! Ohne euch hätte ich zwar nur halb so viel Arbeit gehabt, aber
viel mehr Leute könnten sich jetzt über meine mangelhaften
Orthographiekenntnisse amüsieren!
[ zurück ]
[ Inhalt ]
[ 1 ]
[ 2 ]
[ 3 ]
[ 4 ]
[ 5 ]
[ 6 ]
[ 7 ]
[ 8 ]
[ 9 ]
[ 10 ]
[ 11 ]
[ A ]
[ B ]
[ C ]
[ D ]
[ E ]
[ F ]
[ G ]
[ H ]
[ weiter ]
Anleitung zum Absichern von Debian
Version: 3.2, Mon, 20 Jun 2005 08:01:04 +0000
Javier Fernández-Sanguino Peña jfs@debian.org
Autoren, Abschnitt 1.1