PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Howto Linux absichern mit Bastille


Thunder™
17.05.2010, 04:21
Ich hab es nur aufm Bastel Server getestet aber ich weiß nicht wie es
sich auf euren Tracker-Server verhält, daher keine Gewähr..!!

Erläuterung:

Bastille zum härten des Linux Systems

Da viele Bastille noch nicht kennen, möchte ich an dieser Stelle mal darauf
hinweisen. Bastille ist ein Programm zum Härten eines Linux Systems.
Härten bedeutet, es werden potentielle Schwachstellen von Software
beseitigt. Bastille durchläuft dabei mehrere Kategorien und prüft die
Installation auf Sicherheitslücken. Dabei kann der Administrator selber
entscheiden, wie detailiert wer sein System absichern möchte. Bastille
unterstützt die gängigen Distributionen sowie MacOSX (bisher nur als Beta).
Im Anhang befindet sich ein Dokument zum Thema "The Role of Bastille Linux
in Information Security" von Michael Russell Grimaila aus dem Jahre 2002,
dass die Einsatz- und Einstellungsmöglichkeiten von Bastille beschreibt.

Ich dachte mir ich schreibe mal wieder ein Howto wie man sein Linux System
absichern kann mit einem Kleinen Tool namens Bastille. Bastille fragt euch ob
ihr gewisse Dienste und Optimierungen vornehmen wollt, z.b Telnet komplett
verbieten möchten, Ctrl-Alt-Del Taste deaktivieren,
Boot Passwort einrichten, Dateirechte überprüfen usw.

Wer gerne wissen möchte wie man Bastille einrichtet, liest am besten weiter.

Die Anleitung bezieht sich auf Debian Lenny!
Ist aber in allen gängigen Distributionen vorhanden.

Unterstützte Distributionen

* Debian - 2.2, 3.0, 3.1, 4.0, (5.0)
* Redhat - 6.0, 6.1, 6.2, 7.0, 7.1, 7.2
* SuSE - 7.2, 7.3, 8.0
* OSX - 10.2.0, 10.2.1, 10.2.2, 10.2.3, 10.2.4
* HP-UX - 11.00, 11.11, 11.22, 11.23

Debian Lenny ist nur Verfügbar wen man ein paar Anpassungen macht.
Dazu später mehr.

Als erstes besorgen wir uns Bastille.

aptitude update
aptitude install bastille Wir müssen zuerst Testen ob unser System unterstützt wird.

bastille Sollte das System nicht unterstützt werden, kommt folgende Error Meldung:

ERROR: 'DB5.0' is not a supported operating system. Bastille erweitern für Debian Lenny

Damit wir nun Debian Lenny absichern können,
müssen wir 2 Dateien anpassen.

---API.pm editieren

Sucht nach stable="4.0" und ändert es wie folgt:

vim /usr/lib/Bastille/API.pm
$stable="5.0"; #Change this when Debian stable changes IOLoader.pm editieren

Nun müssen wir noch die Supporteten Systeme mit DB 5.0 erweitern,
damit Bastille nicht mehr motzt.

Sucht in der Datei nach "$supported_versions"

vim /usr/lib/Bastille/IOLoader.pm
my $supported_versions = 'DB2.2 DB3.0 DB3.1 DB4.0 DB5.0'; Nun sollte Bastille nicht mehr motzen und wir können beginnen
die Fragen zu beantworten.

Ruft einfach in der Konsole "bastille" auf und ihr könnt anfangen die
Fragen zu beantworten. Wen ihr nicht sicher seit bei einigen Fragen,
nehmt entweder den Vorschlag der euch Bastille vorschlägt oder
beantwortet es einfach mit "N" für Nein.

bastille Nachdem die Fragen beantwortet wurden,
werden die Fragen umgesetzt und eurer System ist ein wenig sicherer.

Konfigurationsdatei auflisten

Möchte man die aktive Konfiguration anzeigen,
kann man dies wie folgt überprüfen:

bastille -l Änderungen rückgängig machen

Sollte was schief laufen und ihr möchtet es wieder rückgängig machen,
kann man dies mit folgendem Befehl:

bastille -r Konfiguration direkt laden ohne Fragen zu stellen

Um die Fragen zu umgehen sollte man nur eine Frage direkt in der
Konfigurationsdatei "config" geändert haben, kann man dies mit
diesem Befehl erledigen:

bastille -b /etc/Bastille/config Help Ausgabe

Usage: bastille [ -h | -b | -c | -r | -x [--os version] | -l | --log | -v | -d]
-h : this help
-b : use a saved config file to apply changes
directly to system
-c : use the Curses (non-X11) GUI
-r : revert Bastille changes to original file versions (pre-Bastille)
-x : use the Perl/Tk (X11) GUI
-l : list the standard config file(s) (if any) that matches the last
run config
--os version : ask all questions for the given operating system
version. e.g. --os HP-UX11.11
--log : log-only option (will not make any changes just log them)
-v : verbose mode, all actions will be printed to STDERR
-d : debug mode, internal information (for developers only) Das sollte alles gewesen sein,

Quellen für weitere Infos..

http://www.debian.org/doc/manuals/se...harden.de.html (http://www.debian.org/doc/manuals/securing-debian-howto/ch-automatic-harden.de.html)
und halt Google....http://invation.of.coder-base.eu/images/smilies/biggrin.gif

Test The Best, vielleicht habt ihr ja Bock es aufm Server mal zu testen...
Für Anfänger die sich gerade erst mit Server Technik vertraut machen ist das denke ich nichts!

Have Fun....

Thunder™

Feudas
17.05.2010, 04:49
Wäre auch interessant zu erfahren was er macht wenn der serve rnicht mehr Jungfreulich ist.
Wer auf sicherheit steht dem empfehle ich Unbreakable Linux von Oracle
Das ganze ist ein Red Hat Enterprise Linux.
Komplett auf sicherheit getrimmt, der name ist dabei Programm.

Renejoe1975
17.05.2010, 15:13
Hmm, ist das ein Fehler?

WARNING: /usr/bin/perl cannot find Perl module Tk.
The above module(s) is/are required to correctly display
the Bastille User Interface. If you are unable to find a
pre-compiled module for your OS, they can be found at:
http://www.cpan.org/modules/01modules.index.html
If you installed the modules in another installation of
perl besides the one listed in the error message, you may
override Bastille's search path by setting the
$CORRECT_PERL_PATH environment variable to the directory
that the desired perl binary is located in.
If you don't want to use the default X11 interface then
run 'bastille -c'. For more information on available interfaces
see bastille(1m) or run 'bastille -h'

Muss eingentlich nur Perl-TK nachinstallieren.

Mein System: Linux Mint 8 Gnome

netshadow
19.05.2010, 00:01
Würde mich auch interessieren ob man das installen kann wenn der Server schon komplett eingerichtet ist oder ob man das schon gemacht haben sollte wenn Lenny frisch installiert ist. *grübel*

setchan
13.03.2011, 00:36
Das würde mich auch intressierene ob man ndas voher oder auch noch hinterher machen kann

schluepperpirat
15.03.2011, 09:01
Schön das 2 Leute den gleichen Beitrag schreiben :-P

Für Anfänger die sich gerade erst mit Server Technik vertraut machen ist das denke ich nichts!Ich denke das sollte auf alle Fälle beachtet werden und ich würde das nur machen wenn der Server noch Jungfreulich ist. Bevor vielleicht noch irgendwelche Fehler auftreten.