Home :: Blogs :: freach's blog

Härten einer Debian 4.0 Minimalinstallation

By freach - Posted on September 12th, 2007 - 11:00

Hier mal die Aktionen die ich so durchführe, um eine Debian 4.0 Minimalinstallation etwas abzuhärten.
Generell geht man beim härten eines Linux Systems immer gleich vor.

1. Physikalische Absicherung: BIOS Passwort, Boot Device festlegen, Servergehäuse abschließen (wenn möglich).
2. Partitionierung: Verzeichnisse, auf denen User, Dienste oder beides Zugriff haben auf eigene Partitionen legen.
3. Bootloader: Bootloader Passwort setzten.
4. Netzwerkdienste: Alle unnötigen Dienste abschalten.
5. Sicherheitsupdates einspielen.
6. Bastille durchlaufen lassen.
7. Firewall installieren.

Hat man diese Punkte ausreichend beachtet hat man zumindest eine Grundsicherheit erreicht.
Nun aber zur Absicherung einer Debian 4.0 Minimalinstallation.

1. Physikalische Absicherung
Da die physikalische Absicherung Hardware abhängig ist muss da jeder selber schauen wie er sein System am besten vor physikalischen Zugriff schützt.
Generell sollte man ein BIOS Passwort setzten und Booten von CD und Floppy abschalten.

2. Partitionierung
Bei der Partitionierung ist darauf zu achten, dass sämtliche Verzeichnisse auf die Dienste und Benutzer zugreifen auf eigenen Partionen liegen.
Die wichtigsten Verzeichnisse sind:
- /home : Größe abhängig von Useranzahl und Speicherbedarf
- /usr : Größe abhängig von eingesetzten Diensten und Tools
- /var : Größe abhängig von Diensten und Speicherbedarf
- /var/tmp : 500 MB - 1 GB
- /var/log : 1 GB - 10 GB
- /tmp : 500 MB - 1 GB

3. Bootloader
Das Bootloader-Passwort kann unter /boot/grub/menu.lst bearbeitet werden. Die Zeile # password topsecret auskommentieren und das Passwort entsprechend setzten.

4. Netzwerkdienste
Es gibt ein paar Dienste, die in einer Minimalinstallation bereits laufen, die aber aus meiner Sicht unnötig sind.
- portmap: Der RPC Portmapper.
- rpc.statd: Wird für NFS benötigt.
- identd: Informationen dazu hier, aus meiner Sicht unnütz auf einem Singleuser- und Serversystem.
- exim4: Ein Mailserver muss installiert sein, aber ich entscheide mich gegen exim4 und für Postfix.

Um diese Dienste zu entfernen die zuständigen Pakete löschen aptitude purge nfs-common portmap. Danach aptitude starten und die Pakete exim4, exim4-base, exim4-config und exim4-daemon-light zum purge und postfix zum installieren markieren.
Mit "g" die definierten Aktionen ausführen und Postfix bei der Abfrage als "Local only" installieren. Nun muss noch identd deaktiviert werden, dazu /etc/inetd.conf öffnen und die Zeile ident           stream  tcp     wait    ... auskommentieren.

5. Sicherheitsupdates
In den APT Quellen unter /etc/apt/sources.list die Quelle deb cdrom ... auskommentieren und danach aptitude update ausführen.
Nun wird der Paketindex aktualisiert, danach können die Updates mit aptitude upgrade eingespielt werden.

6. Bastille
Bastille ist standartmäßig nicht installiert, dazu einfach aptitude install bastille. In diesem Blogeintrag ist ein Dokument zu Bastille angehangen, sämtlich Informationen könnt ihr daraus erfahren.

7. Firewall
Als Firewall kann ich shorewall empfehlen. Für ein Standalone System findet ihr unter dem angegebenen Link Informationen, wie man Shorewall korrekt konfiguriert.
Eine andere Firewall oder manuelles eintragen von iptables Rules tuts natürlich auch, ist mir aber zu blöde.

freach's blog  •  Download PDF

Post new comment

  • Allowed HTML tags: <a> <em> <strong> <cite> <code> <ul> <ol> <li> <dl> <dt> <dd> <blockcode>
  • Lines and paragraphs break automatically.
  • You can enable syntax highlighting of source code with the following tags: <code>, <blockcode>. Beside the tag style "<foo>" it is also possible to use "[foo]".

More information about formatting options