Server-Sicherheit (was: Re: Software zur Auswertung von Linux Log files)
Maximilian Wilhelm
max at rfc2324.org
Mi Apr 5 00:47:54 CEST 2006
Am Mittwoch, den 5 April hub Florian Lohoff folgendes in die Tasten:
Hi Flo, *
[...]
> Meine faustregeln:
>
> - Lokale Nutzer -> Keine suid programme und aktueller kernel
> - Regelmaessiger NMAP ueber den eigenen Rechner -> Nicht notwendige
> dienste abschalten.
> - hosts.deny -> ALL: ALL at ALL - Default policy fuer alle tcpwrapper
> programme auf deny
Setzt Du nur auf tcpwrapper oder machst Du Deine Karren auch per
iptables dicht?
> - logcheck -> anomalien sofort wegmailen und nicht auf die loeschung
> warten.
> - filewatcher -> mail ueber veraenderungen an config dateien und
> gleichzeitig sicherung aller aenderungen in einem rcs.
Lokal oder remote?
> - Bei webservern -> Plugins minimieren, kein php oder user supplied cgis
> moeglichst im DocumentRoot nur statischen content.
> - Daemons die chrooted laufen koennen auch im chroot laufen lassen
> - Daemons die privilegien droppen koennen dieses auch configurieren
> - Moeglichst wenig inbound write connections d.h. rsync inbound, scp,
> sendfile oder ftp store. Lieber via trigger dann pollen.
Was nutzt Du dafuer?
> Und natuerlich immer - Software aktuell halten. Debian macht dieses
> wirklich richtig einfach.
Was haellst Du von Dingen wie GRSecurity und/oder SE-Linux?
Ciao
Max
--
Follow the white penguin.