From RootForum Community » Wiki

Dieser Artikel soll Möglichkeiten aufzeigen die Systemsicherheit zu verbessern, mögliche Angriffspunkte aufzeigen und Maßnahmen nach einer feindlichen Systemübernahme darstellen.

Contents 1 Maßnahmen um die Sicherheit eines Systems zu steigern 1.1 Vorabentscheidungen 1.1.1 Wahl des Systems 1.1.2 Wahl des Betriebssystems 1.1.3 Netzwerkkonfiguration 1.1.3.1 Firewall 1.1.3.1.1 iptables / netfilter Konfiguration 1.1.4 Datensicherheit 1.2 Administration des Hosts 1.2.1 Update Verwaltung 1.2.2 Benutzerverwaltung 1.2.3 Administration der Services 1.2.3.1 SSH 1.2.3.1.1 Authentifikation mittels Pubkey 1.2.3.1.2 Dem Root untersagen sich direkt anzumelden 1.2.3.2 Web 1.2.3.2.1 Eigene Scripts 1.2.3.3 Datenbanken 1.2.3.4 Mail 1.3 Nachträgliche Sicherheitsmaßnahmen 1.3.1 Firewall 1.3.2 Intrusion Detection System 1.3.3 Backup 1.3.4 Interaktives Monitoring 2 Was tun wenn mein System gehackt wurde? 3 Zusätzlicher Schutz gegen folgende Angriffsarten 3.1 Flooding 3.2 Spoofing

Maßnahmen um die Sicherheit eines Systems zu steigern

Vorabentscheidungen

Wahl des Systems

Wahl des Betriebssystems

Netzwerkkonfiguration

Firewall

• Netzwerkverbindungen nur erlauben, die ausdrücklich erwünscht sind. Alle Anderen abweisen!

iptables / netfilter Konfiguration

Datensicherheit

• Backups machen
  • Backups EXTERN sichern!
• RAID

Administration des Hosts

Update Verwaltung

• Services und Scripts regelmäßig aktualisieren.

Benutzerverwaltung

• Schulung der Nutzer gegen Phishing und Social Engineering
• Vergabe Komplexere Passwörter (Sonderzeichen, Passwortlänge, Keine Wörter aus Dictionary)

Administration der Services

• Generell gilt für alle Dienste: Angaben zur Version der benutzten Services, Nutzernamen, Infos über das System verschleiern. Das sind nützliche Informationen für Angreifer.

SSH

Authentifikation mittels Pubkey

ssh-keygen

Erzeugt im ~/.ssh eine id_rsa und id_rsa.pub

id_rsa.pub der ~/.ssh/authorized_keys anfügen damit sich der Benutzer via SSH mit dem privaten Schlüssel anmelden kann. (Wenn die Datei nicht vorhanden ist bitte erzeugen!)

FIXME: Was muss noch in der sshd auskommentiert werden damit KeyboardAuth nicht mehr geht?

Auth. mit Public Key ist sicherer als manuelle Passworteingabe via Tastatur.

Dem Root untersagen sich direkt anzumelden

sshd.conf

PermitRootLogin no

Schutz vor Bruteforceattacken, die direkt auf den root abgerichtet sind.

Web

Eigene Scripts

• Sicherheitsmaßnahmen anwenden.
• Passwörter verschlüsselt
  • Hashalgorithmen anwenden (plaintext Passwörter sind verboten!)
    • Kombination aus Hashalgorithmen (MD5, SHA, CRYPT)
    • salted hash anwenden

md5(md5(')!*') . md5('strenggeheimespasswort') . md5('"§$)I'))

Datenbanken

• phpMyAdmin und ähnliche GUIs absichern
• Zugänge einschränken

Mail

• OpenRelay VERMEIDEN!!!

Nachträgliche Sicherheitsmaßnahmen

Firewall

1. Fail2ban ( Ein Tool zum Blocken von Attacken anhand Logauszügen kann der Service kurzfristig Firewall Regeln ändern und somit potentielle Angreifer bannen ) Zu Projekt
2. knockd (Ein Tool, das nach "anklopfen" an bestimmten Ports in der Firewall eine Ausnahmeregel für die Quellip einträgt) (Ist bei den meisten Distributionen als Paket vorhanden)

Intrusion Detection System

1. SNORT ( Ein Intrussion Detection System) Zum Projekt
2. ACID (Ein Tool um IDS Logs auszuwerten) Zum Projekt

Backup

Interaktives Monitoring

1. Nagios (Etwas komplex. jedoch sehr mächtig in der Serverüberwachung) Zum Projekt
2. ServerStats (Ein in PHP5 geschriebenes und auf RRDTool basierendes „Monitoring“ Tool. Zum Projekt Hiermit lassen sich Serverlaufzeitinformationen grafisch erfassen und über verschiedene Zeiträume auswerten.
3. CACTI ( Ein ebenfalls sehr mächtiges Monitoring Tool.) Zum Projekt
4. Rootkit Detection Systems
5. Tools zur Datei Überwachung
6. Logfile Analyse Tools

Was tun wenn mein System gehackt wurde?

1. Den Zustand des Betriebssystems sichern
2. Das Betriebssystem neu installieren
   • Warum muss ich das Betriebssystem neu installieren?
3. Schlüsse darauf ziehen wie der Angreifer in das System eingedrungen ist

Zusätzlicher Schutz gegen folgende Angriffsarten

Flooding

Spoofing