http://wiki.failover.de/dokuwiki/ 2012-05-20T01:07:30+02:00 http://wiki.failover.de/dokuwiki/ http://wiki.failover.de/dokuwiki/lib/tpl/monobook/images/favicon.ico text/html 2011-10-11T14:04:13+02:00 Michael Mende http://wiki.failover.de/dokuwiki/redhat/security/core_dumps?rev=1318334653&do=diff RHEL5, RHEL6, security, SOLLTE Um zu vermeiden, dass Core-Dumps geschrieben werden, da diese sensible Informationen enthalten können, sind folgende Einstellungen vorzunehmen. Einrichtung Es wird in der Datei /etc/security/limits.conf jeglicher Core Dump mittels hard (also als hartes Limit) unterbunden. text/html 2011-10-11T12:06:23+02:00 Michael Mende http://wiki.failover.de/dokuwiki/redhat/start?rev=1318327583&do=diff ---------- text/html 2011-10-11T11:34:07+02:00 Michael Mende http://wiki.failover.de/dokuwiki/redhat/security?rev=1318325647&do=diff text/html 2011-10-11T11:33:12+02:00 Michael Mende http://wiki.failover.de/dokuwiki/wiki/navigation?rev=1318325592&do=diff * Start * Hardware * Mesh * VPN * RedHat * Help * links * Hardware Shop text/html 2011-10-11T11:30:46+02:00 Michael Mende http://wiki.failover.de/dokuwiki/redhat/security/start?rev=1318325446&do=diff ---------- text/html 2011-10-11T11:00:15+02:00 Michael Mende http://wiki.failover.de/dokuwiki/redhat/security/automounter?rev=1318323615&do=diff RHEL5, security, SOLLTE * RHEL 5: aktiviert * RHEL 6: nicht installiert Nicht benutzte Dienste autofs ist zu deaktivieren, falls nicht unbedingt erforderlich. Der Zweck von autofs ist, dass Mountpoints nur dann eingebunden werden, wenn darauf zugegriffen wird. Nach einem Timeout ohne Zugriffe werden sie wieder ausgehängt. Das funktioniert mit allen Dateisystemen und ist angenehm bei Netzwerk-Freigaben (NFS, CIFS, DAVFS etc.), da der Server, auf den man zugreifen möchte, nur bei Zugriff… text/html 2011-10-11T10:59:03+02:00 Michael Mende http://wiki.failover.de/dokuwiki/redhat/security/world_wide_writeable_directories?rev=1318323543&do=diff * RHEL 5: default ok * RHEL 6: default ok Alle Verzeichnisse, die world-wide writable sind, lassen sich je Partition PART z.B. folgendermaßen finden: find PART -xdev -type d \( -perm -0002 -a ! -perm -1000 \) -print Für jedes Verzeichnis DIR, das ausgegeben wird, sollte das Sticky-Bit gesetzt sein, um zu verhindern, dass User Dateien, die nicht ihnen gehören, umbenennen oder löschen: text/html 2011-10-11T10:58:05+02:00 Michael Mende http://wiki.failover.de/dokuwiki/redhat/security/wlan?rev=1318323485&do=diff RHEL5, RHEL6, security, SOLLTE * RHEL 5 * RHEL 6 Normalerweise befindet sich in Serverhardware keine WLAN-Hardware, typischerweise ist sie nur in Laptops zu finden. Falls doch vorhanden, sollte sie möglichst ausgebaut werden, da sie ähnlich wie USB-Sticks etc. leicht zum unbefugten Kopieren größerer Datenmengen missbraucht werden könnte. WLAN-Chips sollten im BIOS deaktiviert werden. Die entsprechenden Treiber sollten gelöscht werden: text/html 2011-10-11T10:57:21+02:00 Michael Mende http://wiki.failover.de/dokuwiki/redhat/security/usb_sticks?rev=1318323441&do=diff RHEL5, RHEL6, security, SOLLTE * RHEL 5 * RHEL 6 Das Mounten von USB-Sticks etc. sollte unterbunden werden, da diese von einem Angreifer mit physikalischem Zugang zum Server zum Kopieren von großen Datenmengen genutzt werden könnten: install usb-storage /bin/true text/html 2011-10-11T10:56:53+02:00 Michael Mende http://wiki.failover.de/dokuwiki/redhat/security/unused_sevices?rev=1318323413&do=diff RHEL5, RHEL6, security, SOLLTE * RHEL 5 * RHEL 6 Der beste Schutz gegen das Ausnutzen von Sicherheitslücken in Software, ist weniger Software. Nicht benutzte Dienste sollten abgeschaltet sein, nach Möglichkeit sollten die entsprechenden RPMs entfernt werden. Mittels text/html 2011-10-11T10:56:13+02:00 Michael Mende http://wiki.failover.de/dokuwiki/redhat/security/uncommon_network_protocols?rev=1318323373&do=diff RHEL5, RHEL6, security, SOLLTE * RHEL 5 * RHEL 6 Die Nutzung ungewöhnlicher/nicht-gewollter Netzwerk-Protokolle sollte unterbunden werden, da auch hierdurch Sicherheitslücken entstehen können. install dccp /bin/true install sctp /bin/true install rds /bin/true install tipc /bin/true EOF text/html 2011-10-11T10:55:35+02:00 Michael Mende http://wiki.failover.de/dokuwiki/redhat/security/umask?rev=1318323335&do=diff RHEL5, RHEL6, security, SOLLTE * RHEL 5 * RHEL 6 umask 027 Dies verhindert das Lesen von Dateien, die von Diensten angelegt werden, durch nicht authorisierte User. Dies gilt auch für temporäre Dateien und Logfiles. Für Dienste, die weniger restriktive Einstellungen brauchen, sollte die umask im entsprechenden Init-Skript angepasst werden. text/html 2011-10-11T10:55:11+02:00 Michael Mende http://wiki.failover.de/dokuwiki/redhat/security/tcpwrapper?rev=1318323311&do=diff RHEL5, RHEL6, security, SOLLTE * RHEL 5 * RHEL 6 Zugang zu nicht öffentlichen Services sollte verhindert werden: pubsrv1 ,pubsrv2 : ALL ALL: localhost wobei pubsrv... für öffentliche Dienste steht, z.B. sshd. ALL: ALL * Erlaube Zugang zu den Diensten nur für ausgewählte Hosts, Netzwerke, Domains: text/html 2011-10-11T10:54:25+02:00 Michael Mende http://wiki.failover.de/dokuwiki/redhat/security/system_login_banner?rev=1318323265&do=diff RHEL5, RHEL6, security, SOLLTE * RHEL 5 * RHEL 6 Die Login-Konsole und ggf. auch Remote-Login-Programme wie FTP und SSH geben unnötig viele Informationen über das System preis, RedHat Enterprise Linux in der Default-Einstellung z.B. Release und Kernel-Version. Um dies zu unterbinden, muss /etc/issue bearbeitet werden: text/html 2011-10-11T10:53:49+02:00 Michael Mende http://wiki.failover.de/dokuwiki/redhat/security/su_sudo?rev=1318323229&do=diff RHEL5, RHEL6, security, SOLLTE * RHEL 5 * RHEL 6 su und sudo sollten nur von Administratoren ausgeführt werden dürfen. Diese User sollten der Gruppe wheel angehören. grep ^wheel /etc/group grep pam_wheel /etc/pam.d/wheel # bzw. /etc/pam.d/su in RHEL auth required pam_wheel.so use_uid grep wheel /etc/sudoers %wheel ALL=(ALL) ALL