Linux absichern. Was macht ihr und was nicht?

[Unixator]

Hallo,

ich wollte mal in die Runde fragen, wie es bei euch steht mit der Sicherheit eures Linux-Rechner? Ich rede jetzt nur von der Workstation im eigenen Hause und nur lokal auf dem Rechner. Wäre doch eine Grundsatzfrage zum Diskutieren.

Als Anhaltspunkte schlage ich mal folgende Fragen vor.

Eure grundlegende Sicherheitsmassnahmen nach Inbetriebnahme des BS?
Wie oft macht Ihr "updates"?
Wie oft schaut Ihr in eure logs bzw welche logs wertet Ihr aus?
Wie schaut es bei euch mit Anti-Viren-Software aus?
Wie mit chkrootkits? Nutzt ihr es, welche und wie oft lasst ihr es laufen?
....

Wäre doch interessant verschiedene persönliche Erfahrungswerte bzw Meinungen zu hören..

Gruss

[rkrueger]

Um mal der Reihe nach vorzugehen:

Antivirus: antivir ( falls der Empfänger ein Windozer ist )
rkhunter ( wegen der Rootkits )
tripwire ( man gönnt sich ja sonst nichts )
iptables ( brennende Wände sind immer gut )
nmap, bzw. nessus ( Ports überprüfen )

Als Dokumentation verwende ich von der Debianseite das hardendoc.

Die E-Mails selber scanne ich nicht, weil ich verdächtige Anhänge gnadenlos selbst vernichte.

[padarasa]

Hallo,

ich wollte mal in die Runde fragen, wie es bei euch steht mit der Sicherheit eures Linux-Rechner?

Ich denke gut.

Ich rede jetzt nur von der Workstation im eigenen Hause und nur lokal auf dem Rechner.

Schad, das Thema Sicherheit bei Rooties find ich interessanter

Eure grundlegende Sicherheitsmassnahmen nach Inbetriebnahme des BS?
Wie oft macht Ihr "updates"?

Wenn ich Lust habe. Also jeden Tag bis einmal in der Woche.

Wie oft schaut Ihr in eure logs bzw welche logs wertet Ihr aus?

Bisher noch nie.

Wie schaut es bei euch mit Anti-Viren-Software aus?

Es gibt richtige Anti-Viren-Software für Linux?

Wie mit chkrootkits? Nutzt ihr es, welche und wie oft lasst ihr es laufen?

Nie.

Sicherheitstechnisch ist mein Homenetzwerk richtig uninteressant. Der Server/Router bietet keine Dienste ins Internet an. Jede Version von FF und TB wird sofort geupdatet. That's it.
Von außen 'droht' keine Gefahr und von Innen noch weniger.

Beim Rootie sieht es allerdings anders aus. Der ist allerdings auch eher gefährdet, bietet Dienste an und hängt mit ner 100mbit-Leitung im Netz. Bei ihm hab ich schon ein paar Register gezogen.

[crazyed]

Moin,
ist hier keine reine Workstation, denn über dyndns.org lass ich meine HP hier auch laufen. Daher ist Absicherung bei mir ein Muss.
iptables/ipchains selbstverständlich, dazu noch bastille/psad.
Die Logs werden von mir regelmäßig kontrolliert, mindestens einmal die Woche, aber eigentlich eher täglich.
Als rootkitscanner läuft hier rkhunter, der scannt per cronjob und schickt mir Mails.
Webserverlogs werden täglich kontrolliert.
Mails laufen durch amavis/clamav und spamassasin, Zweifelhaftes wird gelöscht (html-Mails)

[123456]

ich wollte mal in die Runde fragen, wie es bei euch steht mit der Sicherheit eures Linux-Rechner?

bisher gut...

Eure grundlegende Sicherheitsmassnahmen nach Inbetriebnahme des BS?

iptables

Wie oft macht Ihr "updates"?

security updates sobald verfügbar.

Wie oft schaut Ihr in eure logs bzw welche logs wertet Ihr aus?

Nur wenn irgendetwas hakt.

Wie schaut es bei euch mit Anti-Viren-Software aus?

Was ist das denn?

Wie mit chkrootkits?

Auf einem langweiligen Desktop - nein.

[Unixator]

Hi,

schon einmal ein paar Eindrücke.. Klar ist der Home-Desktop wesentlicher unattraktiver als z.B. die Server-Umgebungen im Betrieb oder wo auch immer. Aber halt nicht zu verachten..

Was für Vorteile bietet rkhunter z.B. gegenüber chkrootkit??

Also ich bin wöchentlich mit meinen logs beschäftigt. Klar passiert nicht viel und es ist immer dasselbe.. Aber mir soll kein Vorfall entgehen
Ausserdem laufen sie sonst zu voll..

[KBDCALLS]

In dem Zusammenhang würde mich interssieren. Wie sicher Sind Router mit eingebauten DSL Modem. ? BZW. was ist davon zu halten?

[123456]

Also ich bin wöchentlich mit meinen logs beschäftigt. Klar passiert nicht viel und es ist immer dasselbe.. Aber mir soll kein Vorfall entgehen

Ausserdem laufen sie sonst zu voll..

logrotate?

[TCA]

Bei mir läuft:

chkrootkit und rkhunter über cron
Snort
iptables
Clamav für die mails

Surfen nur über Proxy, entweder der vom Provider oder Anon-proxy(proxy-Switcher),
darüberhinaus mache ich regelmäßige Scans von außen z.b. mit:

http://check.lfd.niedersachsen.de/start.php
https://www.grc.com/x/ne.dll?bh0bkyd2

Und im Fx natürlich:
general.useragent.override.

[Joghurt]

chkrootkit und rkhunter über cron

Ein guter Cracker wird auch diese Programme ersetzen. Solche Programme immer von Hand und von CD starten.

[peschmae]

Eure grundlegende Sicherheitsmassnahmen nach Inbetriebnahme des BS?

Nix spezielles. Ausser iptables einrichten.

Wie oft macht Ihr "updates"?

Täglich. Bin update-süchtig (das hat bei mir so nicht soo viel mit der Sicherheit zu tun )

Wie oft schaut Ihr in eure logs bzw welche logs wertet Ihr aus?

Ich guck rein wenn was nicht geht.

Wie schaut es bei euch mit Anti-Viren-Software aus?

Zum Mails scannen hab ich clamav - damit ich die nicht von Hand in den Spamordner verschieben msus.

Wie mit chkrootkits? Nutzt ihr es, welche und wie oft lasst ihr es laufen?
....

Chkrootkit hab ich drauf - wie per default als Cronjob. Naja, ist wohl eher ein Witz(*) so - aber was solls ist ja auch nur ein apt-get install entfernt und gibt mir nicht wirklich was zu tun.


Wenn ich nicht Software Suspend 2 am laufen hätte (Kernelpatches) hätte ich wohl aus purer Paranoia und Spielfreude noch Grsecurity drauf - aber nötig ist das für eine reine Workstation sicher nicht.

MfG Peschmä

(*) Wenn ein Rootkit drauf wäre hätte derjenige eh schon lange in meine Crontab geguckt und das ganze entsprechend angepasst nehme ich mal an

[TCA]

chkrootkit und rkhunter über cron

Ein guter Cracker wird auch diese Programme ersetzen. Solche Programme immer von Hand und von CD starten.

Von Hand starte ich zwischenzeitlich sowieso.
von CD nur wenn mir was nicht geheuer ist, wäre aber mal eine Idee
für ein regelmäßiges Audit.

Schließt du dein Auto ab? Wen ja, wieso? Ein guter Autoknacker
bekommt es sowieso auf,am besten das Auto nicht
von zu Hause weg bewegen und in der Garage lassen da ist es dann "sicher".


PS:
Es beruhigt halt und stört nicht.

[Joghurt]

Schließt du dein Auto ab? Wen ja, wieso?

Weil sonst die Versicherung nicht zahlt!

PS: Isch 'abe gar kein Auto, Señor.

[TCA]

Schließt du dein Auto ab? Wen ja, wieso?

Weil sonst die Versicherung nicht zahlt!

PS: Isch 'abe gar kein Auto, Señor.

Na ja , da hinkt der Vergleich.

Aber sich gegen einen guten Cracker zu schützen dürfte trotzdem extrem schwer sein,
aber gegen die kiddies sollte es evtl. helfen.

Daher habe ich die Devise: So wenig Informationen wie möglich rausgeben.

[Joghurt]

Daher habe ich die Devise: So wenig Informationen wie möglich rausgeben.

Bei mir läuft:

chkrootkit und rkhunter über cron
Snort
iptables
Clamav für die mails

Surfen nur über Proxy, entweder der vom Provider oder Anon-proxy(proxy-Switcher),
darüberhinaus mache ich regelmäßige Scans von außen z.b. mit[...]

[TCA]

Desinformation ?

[Victor--H]

Daher habe ich die Devise: So wenig Informationen wie möglich rausgeben.

Desinformation ?

Ich persönlich mache regelmäßig ein Backup der Systempartition und Updates. Danach.

Beste Grüße,
Victor

[padarasa]

Selbst auf einem Homerechner bringt chkrootkit per cron oder LogFiles angucken nicht viel:

Zum einem ist der Rechner absolut unwichtig für einen Hacker/Cracker. Allerdings wenn jemand rein kommen will, kann man obiges auch gleich in die Tonne treten. Wenn ich in einen Rechner eindringen würde*, würden zuerst mal die Logfiles gesäubert und nachgeguckt was cron so alles macht. Danach würd ich noch ein Root-Kit draufsetzen (am besten gleich irgendwas als Modul fürn Kernel).
Danach würde ich zusehen, dass ich möglichst wenig Traffic mache (damit ich nicht auffalle) und von dort aus "weiter gehen".

Das einzige was dagegen hilft sind Tools wie z.B. Tripwire, wobei man die Daten natürlich auf CD hat und das ganze per rescue-System checkt.

Alles andere ist höchstens Zeitverschwendung.

* Nein, ich mache sowas nicht. Ich hab jetzt nur mal die Gedanken spielen lassen.

Achja und ich finde der Vegleich mit dem Auto hinkt gewaltig. Ein offenes Auto ist eher mit einem anonymen FTP gleichzusetzen, wo in einer file noch in klartext das Root-Passwort steht.

[comes]

Wie schon Richard Stallman sagte:

"Wenn ich Leuten erzähle, dass es möglich ist, auf einem Computer keinerlei Sicherheit zu haben, ohne dass andere ständig deine Dateien löschen, und kein Vorgesetzter dich davon abhält, Dinge auszuprobieren, konnte ich zumidest auf das KI-Labor verweisen und sagen: >Schau, wir machen das. Komm und nutze unseren Rechner! Sieh es selbst!< [...]"

Quelle: Freie Software von Volker Grassmuck, 2. Auflage, Seite 223

Ich halte das im Übrigen genauso! Ich bin voll dafür, keine passwörter zu haben.
Informationsfreiheit für alle, dass fängt auch zuhause an!

Richard Stallman ist übrigens der Gründer des GNU Projektes ( http://de.wikipedia.org/wiki/Richard_Stallman )

[TCA]

Achja und ich finde der Vegleich mit dem Auto hinkt gewaltig. Ein offenes Auto ist eher mit einem anonymen FTP gleichzusetzen, wo in einer file noch in klartext das Root-Passwort steht.

Ich wollte damit nur ausdrücken das ein geringer Schutz besser ist als keiner.
kannst Auto auch durch Fahrrad o.ä. ersetzen.

[comes]

Ein Offenes Auto ist Rechtlich betrachtet eine Ordnungswiedrichkeit und wird mit 25EUR (oder mehr) bestarft!

[TCA]

Ein Offenes Auto ist Rechtlich betrachtet eine Ordnungswiedrichkeit und wird mit 25EUR (oder mehr) bestarft!

Sollte auf einem Rechner auch sein, vorallem wenn man vertrauliche Daten
auf seinem Rechner hat.

PS:
94' habe 20 DM bezahlt, lag auf den Fahrersitz als ich einsteigen wollte.

[comes]

Ein Offenes Auto ist Rechtlich betrachtet eine Ordnungswiedrichkeit und wird mit 25EUR (oder mehr) bestarft!

Sollte auf einem Rechner auch sein, vorallem wenn man vertrauliche Daten
auf seinem Rechner hat.

PS:
94' habe 20 DM bezahlt, lag auf den Fahrersitz als ich einsteigen wollte.

Wie schon Richard Stallman sagte:

"Wenn ich Leuten erzähle, dass es möglich ist, auf einem Computer keinerlei Sicherheit zu haben, ohne dass andere ständig deine Dateien löschen, und kein Vorgesetzter dich davon abhält, Dinge auszuprobieren, konnte ich zumidest auf das KI-Labor verweisen und sagen: >Schau, wir machen das. Komm und nutze unseren Rechner! Sieh es selbst!< [...]"

Quelle: Freie Software von Volker Grassmuck, 2. Auflage, Seite 223

Ich halte das im Übrigen genauso! Ich bin voll dafür, keine passwörter zu haben.
Informationsfreiheit für alle, dass fängt auch zuhause an!

Richard Stallman ist übrigens der Gründer des GNU Projektes ( http://de.wikipedia.org/wiki/Richard_Stallman )

[TCA]

Ich halte das im Übrigen genauso! Ich bin voll dafür, keine passwörter zu haben.
Informationsfreiheit für alle, dass fängt auch zuhause an!

Mit seien eigenen Informationen ist das ja auch Ok, aber wie sieht es mit Daten anderer aus, die auf deiner Festplatte zu finden sind?
Ich finde die Einstellung lobenswert, aber dafür ist unsere Gesellschaft noch nicht bereit.

[rene04]

2.1.2 Antwort auf Ping und Broadcast unterbinden
2.1.3 IP Source Routing unterbinden
2.1.4 TCP SYN Cookie Protection
2.1.5 ICMP Redirect Acceptance unterbinden
2.1.6 Bad Error Message Protection einschalten
2.1.7 IP Spoofing Protection einschalten
2.1.8 TCP/IP Ressourcen besser managen
2.1.9 Die Buffer-Size Ressources besser managen
2.1.10 tcp_max_tw_buckets parameters
2.1.11 ip_local_port_range parameters
2.1.12 ipfrag_high_thresh and ipfrag_low_thresh parameters
2.1.13 optmem_max and hot_list_length parameters
2.1.14 Loggen von Spoofed, Source Routed and Redirect Packets

2.2 Systemkonfiguration

2.2.1 Den Root Account nach einer bestimmten Zeit der Nichtbenutzung automatisch abmelden
2.2.2 Beim Single User Login eine Passworteingabe erzwingen
2.2.3 Strg + Alt + Entf Keyboard-Shutdown unterbinden
2.2.4 Die Datei "/etc/services" (Programme und deren Portnummern) gegen unauthorisierte Veränderungen schützen
2.2.5 Konsolenanmeldungen auf 2 begrenzen
2.2.6 Passworteigenschaften einstellen
2.2.7 Benutzerkonten anlegen
2.2.8 /etc/passwd, /etc/shadow, /etc/group und /etc/gshadow schützen
2.2.9 Shell Logging reduzieren
2.2.10 Versionsangabe, Distributionsangabe, Kernelversionsangabe und Ausgabe des Servernamens beim Loggin unterbinden
2.2.11 „shutdown“, „halt“ oder „reboot“ für normale Nutzer unzugänglich machen
2.2.12 SUDO konfigurieren
2.2.13 Deinstallieren überflüssiger Dokumentationen auf dem „Production“ System
2.2.14 Entfernen von überflüssigen oder unbenötigten Dateien/Verzeichnissen
2.2.15 Unnötige Benutzeraccounts und Gruppen löschen
-iptables
-syslog-ng
-datenbankbackups stündlich und täglich(täglich wird auf windoof kiste geschoben und -im netzwerk nochmal gesichert)
-integrit
-dmz eingerichtet für webserver

das wars für den anfang. nennt mich ruhig paranoid

gruesse rene