Überlegungen zu chkrootkit und Automatisierung

Toens Bueker toens.bueker at lists0903.nurfuerspam.neuroserve.de
Fri Feb 6 12:30:27 CET 2004


Stefan Ulrich Hegner <stefan at hegner-online.de> meinte:

> ... schreibt mir doch mal, wie Ihr sowas anpackt!

Ich würde erstmal die klassischen Sicherheitsmassnahmen
ergreifen:

1.) lokale iptables-Regeln mit incoming- und vor allem auch
outgoing-Regeln. Alles, was nicht offen sein muss, wird
geblockt. Also idealerweise auch Port 80 nur auf die Hosts
freigeben, die man auf Port 80 erreichen will.

2.) Tripwire bzw. AIDE für wichtige Dateien, damit man
mitbekommt, wenn zusätzliche Accounts angelegt werden.

3.) Möglichst keinen modularen Kernel verwenden.

4.) Möglichst alle Dienste, die von aussen sichtbar sind,
soweit anonymisieren, dass sie keine Hinweise auf das
verwendete Betriebssystem bzw. dessen Distribution oder
Version herausgeben (also Apache ServerTokens auf Prod
setzen, etc.). Das ist zwar Security by Obscurity - aber
es verhindert zunächst einmal, dass man auf die Liste der
Einbruchskandidaten kommt.

Tschö
Töns 
-- 
There is no safe distance.



More information about the Linux mailing list