Vorkehrungen zur Serversicherung

SUID root Permissions prüfen

Betroffene Dateien werden wie folgt aufgeführt:

find / -type f -perm -u=s -ls

Aufführen von Dateien, welche ausführbar und beschreibbar sind:

find / -type f -perm -o=w,u=x -ls

 Betroffene Dateien überwachen

  1. Erstelle Script und lasse Cron Job laufen. Lege die Files sinngemäß ab. (Unter Punkt 2. aufgeführe Maßnahmen sollten hierbei auch beachtet werden.)
  2. Installiere das Paket secchek, welches das selbe tut plus weitere security features bietet. Tägliche Checks sind:
    1. Unregelmäßigkeiten in /etc/passwd. Z.B. gleiche UIDs.
    2. Unregelmäßigkeiten in /etc/shadow. Z.B. kein PW gesetzt.
    3. Unregelmäßigkeiten in /etc/group.
    4. root user. Ob die werte von umask und Umgebungsvariablen sicher sind.
    5. Ob Systembenutzer in /etc/ftpusers aufgeführt sind.
    6. Prüft in /etc/aliases ob Mail aliases Programme ausführen.
    7. Prüft ob die .rhosts eines Benutzers ein + enthält.
    8. Prüft ob Home Directorys der User beschreibbar für andere sind oder anderen Usern zugehörig sind.
    9. Prüft nach Dot-Files im Home Ordner und ob diese beschreibbar für andere User sind oder ob sie anderen usern gehören.
    10. Gleiches für die Mailbox.
    11. Prüft ob der NFS export global geshared ist.
    12. Prüft ob der NFS import die nouserid Option hat.
    13. Prüft ob die NICs in gemischten Modi laufen.
    14. Listet geladene Module.
    15. Listet offene Ports.

Wöchentliche Checks sind:

    1. Prüft mit John, ob die Passwörter sicher sind. (Nicht unter SLES11)
    2. Schaut per md5 nach geänderten Dateien.
    3. Listet alle SUID/SGID Files.
    4. Listet Executables, welche von Group oder Others beschreibbar sind.
    5. Listet alles Dateien, welche von Others beschreibbar sind.
    6. Listet alles Devices des Systems.

Reports werden unter /var/lib/seccheck/security-report-* abgelegt.

 

Unnötige Dienste deaktivieren

  1. yast -> Services -> System Services -> Unnötige Dienste deaktivieren
  2. Wenn gar nicht benötigt das Paket deinstallieren

Unnötige User löschen

  1. yast -> Security and Users -> User Group Management -> „Aufräumen“

 

Unnötige Ports sperren

  1. Das Paket nmap installieren
  2. nmap -v -A <ip>
  3. Auswerten, welche Ports nötig und welche überflüssig sind.
  4. yast -> Security and Users -> Firewall -> Allowed Service
  5. Aus der Allowed Services Liste überflüssige Ports löschen. Auch in Advanced Ports überprüfen.