NetVision-Technik

Zur?ck   NetVision-Technik > Forum > Server > Webserver > Security

Security Hier kommen alle Fragen und Lösungen zur Sicherheit und zu Fixes am Serversystem rein

Antwort
 
Themen-Optionen Ansicht
Alt 17.05.2010, 04:21   #1
Howto Linux absichern mit Bastille
Thunder™ Thunder™ ist offline 17.05.2010, 04:21

Ich hab es nur aufm Bastel Server getestet aber ich weiß nicht wie es
sich auf euren Tracker-Server verhält, daher keine Gewähr..!!

Erläuterung:

Bastille zum härten des Linux Systems

Da viele Bastille noch nicht kennen, möchte ich an dieser Stelle mal darauf
hinweisen. Bastille ist ein Programm zum Härten eines Linux Systems.
Härten bedeutet, es werden potentielle Schwachstellen von Software
beseitigt. Bastille durchläuft dabei mehrere Kategorien und prüft die
Installation auf Sicherheitslücken. Dabei kann der Administrator selber
entscheiden, wie detailiert wer sein System absichern möchte. Bastille
unterstützt die gängigen Distributionen sowie MacOSX (bisher nur als Beta).
Im Anhang befindet sich ein Dokument zum Thema "The Role of Bastille Linux
in Information Security" von Michael Russell Grimaila aus dem Jahre 2002,
dass die Einsatz- und Einstellungsmöglichkeiten von Bastille beschreibt.

Ich dachte mir ich schreibe mal wieder ein Howto wie man sein Linux System
absichern kann mit einem Kleinen Tool namens Bastille. Bastille fragt euch ob
ihr gewisse Dienste und Optimierungen vornehmen wollt, z.b Telnet komplett
verbieten möchten, Ctrl-Alt-Del Taste deaktivieren,
Boot Passwort einrichten, Dateirechte überprüfen usw.

Wer gerne wissen möchte wie man Bastille einrichtet, liest am besten weiter.

Die Anleitung bezieht sich auf Debian Lenny!
Ist aber in allen gängigen Distributionen vorhanden.


Unterstützte Distributionen

* Debian - 2.2, 3.0, 3.1, 4.0, (5.0)
* Redhat - 6.0, 6.1, 6.2, 7.0, 7.1, 7.2
* SuSE - 7.2, 7.3, 8.0
* OSX - 10.2.0, 10.2.1, 10.2.2, 10.2.3, 10.2.4
* HP-UX - 11.00, 11.11, 11.22, 11.23

Debian Lenny ist nur Verfügbar wen man ein paar Anpassungen macht.
Dazu später mehr.

Als erstes besorgen wir uns Bastille.

PHP-Code:
aptitude update
aptitude install bastille 
Wir müssen zuerst Testen ob unser System unterstützt wird.

PHP-Code:
 bastille 
Sollte das System nicht unterstützt werden, kommt folgende Error Meldung:

PHP-Code:
ERROR'DB5.0' is not a supported operating system
Bastille erweitern für Debian Lenny

Damit wir nun Debian Lenny absichern können,
müssen wir 2 Dateien anpassen.

---API.pm editieren

Sucht nach stable="4.0" und ändert es wie folgt:

PHP-Code:
vim /usr/lib/Bastille/API.pm
$stable
="5.0"#Change this when Debian stable changes 
IOLoader.pm editieren

Nun müssen wir noch die Supporteten Systeme mit DB 5.0 erweitern,
damit Bastille nicht mehr motzt.

Sucht in der Datei nach "$supported_versions"

PHP-Code:
vim /usr/lib/Bastille/IOLoader.pm
my $supported_versions 
'DB2.2 DB3.0 DB3.1 DB4.0 DB5.0'
Nun sollte Bastille nicht mehr motzen und wir können beginnen
die Fragen zu beantworten.

Ruft einfach in der Konsole "bastille" auf und ihr könnt anfangen die
Fragen zu beantworten. Wen ihr nicht sicher seit bei einigen Fragen,
nehmt entweder den Vorschlag der euch Bastille vorschlägt oder
beantwortet es einfach mit "N" für Nein.

PHP-Code:
 bastille 
Nachdem die Fragen beantwortet wurden,
werden die Fragen umgesetzt und eurer System ist ein wenig sicherer.

Konfigurationsdatei auflisten

Möchte man die aktive Konfiguration anzeigen,
kann man dies wie folgt überprüfen:

PHP-Code:
bastille -
Änderungen rückgängig machen

Sollte was schief laufen und ihr möchtet es wieder rückgängig machen,
kann man dies mit folgendem Befehl:

PHP-Code:
bastille -
Konfiguration direkt laden ohne Fragen zu stellen

Um die Fragen zu umgehen sollte man nur eine Frage direkt in der
Konfigurationsdatei "config" geändert haben, kann man dies mit
diesem Befehl erledigen:

PHP-Code:
bastille -/etc/Bastille/config 
Help Ausgabe

PHP-Code:
Usagebastille [ -| -| -| -| -[--os version] | -| --log | -| -d]
-
this help
-: use a saved config file to apply changes
directly to system
-: use the Curses (non-X11GUI
-revert Bastille changes to original file versions (pre-Bastille)
-
: use the Perl/Tk (X11GUI
-: list the standard config file(s) (if anythat matches the last
run config
--os version ask all questions for the given operating system
version
e.g. --os HP-UX11.11
--log log-only option (will not make any changes just log them)
-
verbose modeall actions will be printed to STDERR
-debug modeinternal information (for developers only
Das sollte alles gewesen sein,

Quellen für weitere Infos..

http://www.debian.org/doc/manuals/se...harden.de.html
und halt Google....

Test The Best, vielleicht habt ihr ja Bock es aufm Server mal zu testen...
Für Anfänger die sich gerade erst mit Server Technik vertraut machen ist das denke ich nichts!

Have Fun....

Thunder™
__________________
Es ist kein Zeichen von Gesundheit, an eine von Grund auf kranke Gesellschaft gut angepasst zu sein.

 
Benutzerbild von Thunder™
Thunder™
König
Punkte: 19.906, Level: 89 Punkte: 19.906, Level: 89 Punkte: 19.906, Level: 89
Levelaufstieg: 12% Levelaufstieg: 12% Levelaufstieg: 12%
Aktivität: 0% Aktivität: 0% Aktivität: 0%
Letzte Erfolge
Auszeichnungen
Artikel Benutzer besitzt 1x Ideen-Spender Benutzer besitzt 1x Grundwissen Benutzer besitzt 1x Badboy Benutzer besitzt 1x Hilfe Level 2 Benutzer besitzt 1x Angel Benutzer besitzt 1x Hilfe Level 3 Benutzer besitzt 1x Helfer
Benutzer besitzt 1x Spamer Benutzer besitzt 1x Fortgeschrittener Benutzer besitzt 1x Profi
Registriert seit: 06.09.2008
Ort: /dev/null
Beitr?ge: 1.988
Abgegebene Danke: 643
Erhielt 261 Danke für 28 Beiträge
Downloads: 68
Uploads: 0
Nachrichten: 11697
Hits: 28911
Mit Zitat antworten
Folgende 3 Benutzer sagen Danke zu Thunder™ für den nützlichen Beitrag:
Cerberus (22.05.2010), DarkGaMeR1911 (18.01.2012), wagaman (14.11.2010)
Alt 17.05.2010, 04:49   #2
Feudas
König
Punkte: 36.155, Level: 100 Punkte: 36.155, Level: 100 Punkte: 36.155, Level: 100
Levelaufstieg: 0% Levelaufstieg: 0% Levelaufstieg: 0%
Aktivität: 0% Aktivität: 0% Aktivität: 0%
Letzte Erfolge
 
Benutzerbild von Feudas
 
Registriert seit: 15.06.2008
Beitr?ge: 1.846
Abgegebene Danke: 150
Erhielt 199 Danke für 35 Beiträge
Downloads: 10
Uploads: 0
Nachrichten: 984
Renommee-Modifikator:
2988 Feudas genießt hohes AnsehenFeudas genießt hohes AnsehenFeudas genießt hohes AnsehenFeudas genießt hohes AnsehenFeudas genießt hohes AnsehenFeudas genießt hohes AnsehenFeudas genießt hohes AnsehenFeudas genießt hohes AnsehenFeudas genießt hohes AnsehenFeudas genießt hohes AnsehenFeudas genießt hohes Ansehen
Standard

Wäre auch interessant zu erfahren was er macht wenn der serve rnicht mehr Jungfreulich ist.
Wer auf sicherheit steht dem empfehle ich Unbreakable Linux von Oracle
Das ganze ist ein Red Hat Enterprise Linux.
Komplett auf sicherheit getrimmt, der name ist dabei Programm.
__________________
- Der Bezug zum eigentlichen Thema nimmt mit jedem Post kontinuierlich ab -
- Jedes Thema kann ganz leicht in etwas komplett anderes geändert werden -
Feudas ist offline   Mit Zitat antworten Nach oben
Alt 17.05.2010, 15:13   #3
Renejoe1975
Neuling
Punkte: 3.506, Level: 37 Punkte: 3.506, Level: 37 Punkte: 3.506, Level: 37
Levelaufstieg: 4% Levelaufstieg: 4% Levelaufstieg: 4%
Aktivität: 0% Aktivität: 0% Aktivität: 0%
Letzte Erfolge
 
Benutzerbild von Renejoe1975
 
Registriert seit: 10.05.2010
Beitr?ge: 6
Abgegebene Danke: 1
Erhielt 0 Danke für 0 Beiträge
Downloads: 6
Uploads: 0
Nachrichten: 9
Renommee-Modifikator:
0 Renejoe1975 befindet sich auf einem aufstrebenden Ast
Standard

Hmm, ist das ein Fehler?

WARNING: /usr/bin/perl cannot find Perl module Tk.
The above module(s) is/are required to correctly display
the Bastille User Interface. If you are unable to find a
pre-compiled module for your OS, they can be found at:
http://www.cpan.org/modules/01modules.index.html
If you installed the modules in another installation of
perl besides the one listed in the error message, you may
override Bastille's search path by setting the
$CORRECT_PERL_PATH environment variable to the directory
that the desired perl binary is located in.
If you don't want to use the default X11 interface then
run 'bastille -c'. For more information on available interfaces
see bastille(1m) or run 'bastille -h'

Muss eingentlich nur Perl-TK nachinstallieren.

Mein System: Linux Mint 8 Gnome
Renejoe1975 ist offline   Mit Zitat antworten Nach oben
Alt 19.05.2010, 00:01   #4
netshadow
Benutzer
Punkte: 5.224, Level: 46 Punkte: 5.224, Level: 46 Punkte: 5.224, Level: 46
Levelaufstieg: 37% Levelaufstieg: 37% Levelaufstieg: 37%
Aktivität: 0% Aktivität: 0% Aktivität: 0%
Letzte Erfolge
 
Benutzerbild von netshadow
 
Registriert seit: 07.05.2010
Beitr?ge: 60
Abgegebene Danke: 15
Erhielt 2 Danke für 1 Beitrag
Downloads: 0
Uploads: 0
Nachrichten: 22
Renommee-Modifikator:
79 netshadow befindet sich auf einem aufstrebenden Ast
Standard

Würde mich auch interessieren ob man das installen kann wenn der Server schon komplett eingerichtet ist oder ob man das schon gemacht haben sollte wenn Lenny frisch installiert ist. *grübel*
netshadow ist offline   Mit Zitat antworten Nach oben
Alt 13.03.2011, 00:36   #5
setchan
Neuling
Punkte: 807, Level: 15 Punkte: 807, Level: 15 Punkte: 807, Level: 15
Levelaufstieg: 7% Levelaufstieg: 7% Levelaufstieg: 7%
Aktivität: 0% Aktivität: 0% Aktivität: 0%
Letzte Erfolge
 
Benutzerbild von setchan
 
Registriert seit: 24.11.2010
Beitr?ge: 3
Abgegebene Danke: 1
Erhielt 0 Danke für 0 Beiträge
Downloads: 0
Uploads: 0
Nachrichten: 1
Renommee-Modifikator:
0 setchan befindet sich auf einem aufstrebenden Ast
Standard

Das würde mich auch intressierene ob man ndas voher oder auch noch hinterher machen kann
setchan ist offline   Mit Zitat antworten Nach oben
Alt 15.03.2011, 09:01   #6
schluepperpirat
Erfahrener Benutzer
Punkte: 5.917, Level: 49 Punkte: 5.917, Level: 49 Punkte: 5.917, Level: 49
Levelaufstieg: 84% Levelaufstieg: 84% Levelaufstieg: 84%
Aktivität: 0% Aktivität: 0% Aktivität: 0%
Letzte Erfolge
 
Benutzerbild von schluepperpirat
 
Registriert seit: 04.07.2009
Beitr?ge: 224
Abgegebene Danke: 10
Erhielt 10 Danke für 2 Beiträge
Downloads: 3
Uploads: 0
Nachrichten: 9
Renommee-Modifikator:
251 schluepperpirat wird schon bald berühmt werdenschluepperpirat wird schon bald berühmt werden
Standard

Schön das 2 Leute den gleichen Beitrag schreiben :-P

Zitat:
Für Anfänger die sich gerade erst mit Server Technik vertraut machen ist das denke ich nichts!
Ich denke das sollte auf alle Fälle beachtet werden und ich würde das nur machen wenn der Server noch Jungfreulich ist. Bevor vielleicht noch irgendwelche Fehler auftreten.
schluepperpirat ist offline   Mit Zitat antworten Nach oben
Antwort


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, G?ste: 1)
 

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beitr?ge zu antworten.
Es ist Ihnen nicht erlaubt, Anh?nge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beitr?ge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.

Gehe zu


Alle Zeitangaben in WEZ +1. Es ist jetzt 08:37 Uhr.


Powered by vBulletin® Version 3.8.9 (Deutsch)
Copyright ©2000 - 2024, vBulletin Solutions, Inc.
Template-Modifikationen durch TMS