Thomas
17.05.04, 13:28
Diese FAQ soll einen groben Überblick über die Seiten und Projekte geben, welche sich mit der Sicherheit unter Linux auseinander setzen.
Im Idealfall lassen sich Fragen direkt auf diesen Seiten klären, so dass unnötiges Fragen im Forum vermieden werden kann.
Ursprünglich wurde diese FAQ von cane erstellt, an dieser Stelle ein großes DANKESCHÖN an ihn!
Vorschläge für neue Links bzw. Anregungen, Meldung toter Verweise etc. bitte als Antwort posten, ich werde diese Vorschläge prüfen und ggf. übernehmen. Die Posts werden dann wieder gelöscht.
Thomas.
Allgemeine Informationen
Allgemeine Informationen, HOWTOs und Anleitungen rund ums Thema Sicherheit.
Suchmaschine für Linux (http://www.google.de/linux) - Die beliebte Suchmaschine google, liefert jedoch nur Linux-relevante Treffer
seifried.org (http://www.seifried.org/lasg/) - Linux Administrator's Security Guide
Security-HOWTO (http://en.tldp.org/HOWTO/Security-HOWTO/) - Ein umfangreiches Dokument über Sicherheit im allgemeinen sowie speziell unter Linux
"Sicheres" Programmieren (http://en.tldp.org/HOWTO/Secure-Programs-HOWTO/)
Absichern einer Debian-Installation (http://www.linuxsecurity.com/docs/harden-doc/html/securing-debian-howto/)
Gentoo Linux Security Guide (http://www.gentoo.org/doc/de/gentoo-security.xml) - Auch für Nicht-Gentoo-User interessant!
linuxwiki (http://www.linuxwiki.de/LinuxSecurity) - Erklärung vieler Begriffe, Verweise auf andere sicherheitsrelevante Seiten
Linux für alle (http://www.linux-fuer-alle.de/subcat_show.php?catid=16) - Informationen und Anleitungen zu diversen Sicherheitsfragen
Informiert sein
Sich über aktuelle Sicherheitslücken und neue Angriffstechniken zu informieren ist Pflicht, wenn man sich um die Sicherheit seines Systems sorgt.
Heise Security Newsticker (http://www.heise.de/security/) - Deutscher Sicherheits-Newsticker. Die wichtigsten Infos sind hier übersichtlich aufgelistet.
securityfocus.com (http://www.securityfocus.com) - Sicherheitsmeldungen, die Bugtraq-Liste und viele Artikel
linuxsecurity.com (http://www.linuxsecurity.com) - Security-Meldungen und Hintergrundinformationen
CERT (http://www.cert.org) - Das CERT Coordination Center versteht sich als die zentrale Anlaufstelle für Sicherheitsprobleme im Internet. Hier finden sich auch Statistiken.
infoserversecurity.org (http://www.infoserversecurity.org) - Verzeichnis von Sicherheits-Seiten
BSI (http://www.bsi.de) - Bundesamt für Sicherheit in der Informationstechnik
Sicherheit im Internet (http://www.sicherheit-im-internet.de) - weitere Informationen des Bundes
netsys.com (http://www.netsys.com/) - News, Artikel, full-disclosure Mailing-Liste
Packetstorm Security (http://www.packetstormsecurity.org) - News, Papers und Vorstellungen neuer Tools
Zone-H (http://www.zone-h.org) - News, aktuelle Hacks
www.digital-freedom.net (http://www.digital-freedom.net/) - Allgemeine Informationen über Sicherheit sowie Cracking und wie man sich schützen kann.
Open Source Vulnerability Database (http://osvdb.org/) - Das Projekt hat sich vorgenommen, eine Sammlung aller aktuellen Sicherheitsprobleme anzubieten.
Online-Bücher / Tutorials
"Intrusion Detection für Linux-Server" von Ralf Spenneberg (http://www.spenneberg.com/KomplettesIDS-Buchonline/2200.html)
Bücher bei Oreilly (http://www.oreilly.de/openbook/) - Komlette Bücher zu verschiedenen Themen, frei verfügbar.
Tutorial zu scponly (http://www.linuxforen.de/forums/showthread.php?t=154410) - Mit scponly kann das unsichere FTP ersetzt werden.
Absichern einer Linux-Installation:
Securing a new Linux installation (http://linuxgazette.net/105/odonovan.html) - Wie man eine neu installierte Linux-Distribution absichert
Debian Sicherheit (http://www.debian.org/doc/manuals/securing-debian-howto/) - Absichern von Debian
Debian Anwenderhandbuch (http://www.debiananwenderhandbuch.de/securhowto.html) - Sicherheitstips vom Debiananwenderhandbuch
Gentoo Sicherheitsbuch (http://www.gentoo.org/doc/de/security/security-handbook.xml?part=0&chap=0) - Sicherheitshandbuch von den Gentoo-Entwicklern
Bastille (http://www.bastille-linux.org/) - Das Bastille Hardening Projekt
Bind (http://www.pl-berichte.de/t_netzwerk/dnssecure.html) - Den Nameserver Bind sicherer machen
Paketfilter / Firewalls
Eine Firewall schützt das System oder ganze Netze vor ungewollten Zugriffen und stellt im Falle von IPTables umfangreiche Möglichkeiten zur Regelung der Zugriffe auf ein System/Netzwerk und viele weitere Optionen zur Verfügung.
Linux-Firewalls - Ein praktischer Einstieg (http://www.oreilly.de/german/freebooks/linuxfire2ger/toc.html) - Kostenloser Download des Buches "Linux-Firewalls - Ein praktischer Einstieg" aus dem Verlag "O'Reilly". Es wird auch auf allgemeine Systemsicherheit eingegangen. 2. Auflage!, Januar 2006
Harry's Firewall-Generator (http://www.harry.homelinux.org/) - Hier wird ein komplettes Firewall-Skript nach Angabe weniger Netzwerkparameter automatisch generiert und via EMail zugeschickt.
Packet-Filtering-HOWTO (http://www.netfilter.org/documentation/HOWTO/de/packet-filtering-HOWTO.html) - HOWTO vom Netfilter-Projekt
Portknocking (http://www.portknocking.org) - Portknocking als Sicherheitskonzept
de.comp.security.firewall FAQ (http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html) - Eine umfangreiche Sammlung von Fragen und Antworten zum Thema 'Firewall'
iptables Howto (http://www.linuxfaq.de/f/cache/382.html) - Linux 2.4 (iptables) Packet Filtering HOWTO
SelfLinux iptables Howto (http://www.selflinux.org/selflinux/html/iptables.html) - Iptables Howto vom SelfLinux Team
Linux-Firewalls mit Iptables & Co (http://www.os-t.de/buecher_new.php) - Buch von Ralf Spenneberg (Kapitel als PDF downloadbar)
Virenscanner / Rootkit-Erkennung
Zwar gibt es bisher kaum Viren, welche unter Linux lauffähig sind, jedoch kann ein Scan nie verkehrt sein. Ausserdem lassen sich so wunderbar Windows-Partitionen oder Samba-Shares auf Windows-Viren und -Würmer untersuchen.
chkrootkit (http://www.chkrootkit.org) - Durchsucht das System nach Rootkits.
Rootkit Hunter (http://www.rootkit.nl/projects/rootkit_hunter.html) - Sucht nicht nur nach Rootkits auf dem System, sondern auch nach Backdoors und lokalen Sicherheitslücken durch diverse Tests (für nähere Informationen zu den Tests siehe die Projekt-Seite).
Was ist ein Rootkit? (http://www.spenneberg.com/public/IDS-Book/AnhC.pdf)
antivir (http://www.antivir.de) - Für Workstations sowie Mailserver. Bei privater Nutzung kostenfrei.
f-prot (http://www.f-prot.com) - Für Workstations. Bei privater Nutzung kostenfrei.
BitDefender (http://www.bitdefender.de/bd/site/products.php?p_id=16) - Für Workstations. Bei privater Nutzung als Freeware verfügbar.
AVG Antivirus für Linux (http://www.grisoft.de/ge/ge_index.php) - Für EMail- und File-Server. Kostenloses Testen ist über eine einmonatige Freischaltung möglich.
Sicherheitsscanner
Sicherheitsscanner werden dazu verwendet, Sicherheitslücken im eigenen System zu lokalisieren um sie dann zu schließen. Unterschieden wird zwischen Portscannern und Scannern, welche auch nach bekannten Sicherheitslücken suchen.
nmap (http://www.insecure.org/nmap/) - Der wohl bekannteste Portscanner.
Nessus (http://www.nessus.org) - Sicherheits-Scanner, sucht nach Schwachstellen auf entfernten Systemen.
HOWTO zu Nessus (http://www.linuxforen.de/forums/showthread.php?s=&threadid=122412)
Saint (http://www.wwdsi.com/saint/) - Sicherheits-Scanner, sucht nach Schwachstellen auf entfernten Systemen.
Nikto (http://www.cirt.net/code/nikto.shtml) - Tool zu Scannen von Webserver auf Sicherheitslöcher
HIDS (Host-based Intrusion Detection System)
Ein HIDS überwacht die Dateien eines Systems mittels Checksums und warnt den Systemverwalter, wenn Änderungen vorgenommen werden. So lässt sich ein Einbruch zwar nicht verhindern, aber er wird mit hoher Sicherheit erkannt, wenn z.B. Binaries ausgetauscht oder Log-Dateien manipuliert werden.
Tripwire (http://www.tripwire.org/)
Aide (http://sourceforge.net/projects/aide)
Samhain (http://la-samhna.de/samhain)
Osiris (http://osiris.shmoo.com/)
samhain (http://la-samhna.de/samhain/)
Linux Intrusion Detection System (http://www.lids.org)
NIDS (Network-based Intrusion Detection System)
Ein NIDS befindet sich entweder auf dem zu überwachenden System oder, was der Regelfall ist, zwischen einem lokalen Netz und einer Verbindung an ein anderes Netz. Alle ankommenden Pakete werden untersucht und ausgewertet. So können korrupte Pakete, Shellcode und bekannte Exploits erkannt und eine Warnung an den Systemverwalter gesendet werden.
Achtung: NIDS erkennen Angriffe zwar, verhindern diese jedoch nicht! (siehe hierzu IPS)
Snort (http://www.snort.org)
Snort & Co Buch von Ralf Spenneberg (http://www.os-t.de/buecher_new.php)
IPS (Intrusion Prevention System)
Ein IPS ist generell das selbe wie ein NIDS, jedoch besitzt es die Fähigkeit, erkannte Angriffe abzuwehren.
Snort Inline (http://snort-inline.sourceforge.net/)
Hogwash (http://hogwash.sourceforge.net/)
HyIDS (Hybrid Intrusion Detection System)
Ein HyDS ist eine Kombination von HIDS und NIDS. Durch die vielseitigen Überwachungsmöglichkeiten wird ein hohes Sicherheitsniveau gewährleistet.
Prelude (http://www.prelude-ids.org/) - Ein System, weches modular, verteilt, ausgesprochen stabil und performant aufgebaut ist. Es besitzt die Fähigkeit seine Informationen aus vielen Quellen zu beziehen (Snort, honeyd, Nessus Vulnerability Scanner, Samhain, über 30 verschiedene Logs, und viele weitere), was Prelude besonders zuverlässig und flexibel in der Angriffserkennung macht.
VPN
Es gibt verschiedene VPN-Lösungen für Linux:
Freeswan (http://www.freeswan.org)
Inoffizieller Support zu Freeswan (http://www.freeswan.ca)
OpenSwan (http://www.openswan.org)
OpenVPN (http://openvpn.sourceforge.net)
Deutsches OpenVPN Howto (http://www.linuxforen.de/forums/showthread.php?t=169354)
tinc (http://tinc.nl.linux.org/)
kernel-ipsec (http://www.spenneberg.com/linux-magazin/060-066_kernel-ipsec.pdf)
ipsec-2.6 (http://www.spenneberg.com/ipsec-2.6.pdf)
VPN Buch von Ralf Spenneberg zum Download (Kapitelweise) (http://www.os-t.de/buecher_new.php)
Verschlüsselung
Wer sensible Daten speichern oder über unsichere Kanäle austauschen will, sollte seine Daten verschlüsseln, um sie vor ungewollten Blicken zu schützen.
GnuPG (http://www.gnupg.org/) - Die freie Version von PGP. Wird z.B. zur Verschlüsselung von E-Mails eingesetzt.
Cryptoloop HOWTO für Kernel 2.6 (http://tldp.org/HOWTO/Cryptoloop-HOWTO/) - Cryptoloop sollte ab Kernel 2.6 nicht mehr verwendet werden, der Nachfolger ist dm-crypt
dm-crypt (http://www.saout.de/misc/dm-crypt/) - dm-crypt ist der Nachfolger von Cryptoloop und standardmäßig in der Kernelserie 2.6 enthalten
Encrypted Root Filesystem Howto (http://www.tldp.org/HOWTO/Encrypted-Root-Filesystem-HOWTO/) - Verschlüsseln des gesamten Root-Filesystems
Cryptlib (http://www.cs.auckland.ac.nz/~pgut001/cryptlib/)
dm-crypt im Kernel 2.6 (http://www.saout.de/misc/dm-crypt/)
Encrypted Root Filesystem HOWTO (http://linuxfromscratch.org/~devine/erfs-howto.html)
Verschlüsseltes Backup auf CD (http://www.linuxforen.de/forums/showthread.php?s=&threadid=99454)
Loop-AES Installation, CD/DVD-, Swap-, Verschlüsselung (http://www.linuxforen.de/forums/showthread.php?t=189386)
USB Stick mit loop-AES verschlüsseln (http://www.uni-koblenz.de/~phil/linux/usbcrypt.html)
CrossCrypt (http://www.scherrer.cc/crypt/) - CrossCrypt ist ein Tool für Windows, mit welchem man Filecontainer/CDs mittels AES oder TwoFish (transparent) verschlüsseln kann. Das Besondere daran: CrossCrypt ist kompatibel zu z.B. loopAES unter Linux. Somit kann auf verschlüsselte Medien sowohl unter Windows als auch unter Linux zugegriffen werden.
Truecrypt - Verschlüsselung für Linux und Windows (http://www.truecrypt.org)
CompuSec für Linux und Windows (http://www.ce-infosys.com/CeiNews_FreeCompuSec_Ger.asp)
Sicheres Löschen
Dass Dateien, wenn sie mittels rm gelöscht werden, noch immer auf der Festlatte liegen und ohne großen Aufwand auszulesen sind, ist mittlerweile den meisten bekannt. Mit Hilfe kleiner Tools ist es jedoch möglich, diese Dateien nicht nur zu löschen, sondern es auch nahezu unmöglich machen, die gelöschten Daten wiederherzustellen.
shred (http://www.gnu.org/software/coreutils/) - shred ist in den coreutils enthalten
wipe (http://wipe.sourceforge.net)
Darik's Boot & Nuke (http://dban.sourceforge.net)
Schutz vor Spam
Wer kennt das nicht: Die Mailbox ist voll, jedoch ist keine einzige Mail erwünscht, alles nur Werbung für Potenzpillen. Zwar haben die meisten Mail-Provider einen eigenen Spamschutz, doch auch dort schlüpft die ein oder andere Mail durch. Zeit, sich um eine eigene Lösung zu kümmern.
bogofilter (http://bogofilter.sourceforge.net/)
iX NiXSpam-Lösung (http://www.heise.de/ix/nixspam)
SpamAssassin (http://spamassassin.apache.org)
Digitale Forensic
Was tun wen auf dem eigenen Rechner eingebrochen wurde? Digital Forensic Tools erlauben es die Wege des Angreifers nachzuvollziehen und die ausgenutzte Sicherheitslücke offenzulegen.
sleuthkit (http://www.sleuthkit.org/index.php) - Komplettes Toolkit zur Analyse von Systemen nach Einbrüchen
HOWTO #1 zu sleuthkit (http://www.spenneberg.com/linux-magazin/060-065_sleuthkit.pdf)
HOWTO #2 zu sleuthkit (http://www.spenneberg.com/linux-magazin/058-061_sleuthkit2.pdf)
Nützliche Helferlein
Dinge, die einem das Leben leichter machen.
Automatisches Schließen von Konsolen nach einem Timeout (http://www.linuxforen.de/forums/showthread.php?s=&threadid=125790)
datenschutz.ch (http://www.datenschutz.ch) - Überprüfung von Passwörtern auf deren Sicherheit
Linux Distributionen die speziell auf Sicherheit ausgerichtet sind
Wenn man einen Server betreibt, der stark Angriff-gefährdet ist oder man auch einfach nur auf hohe Sicherheit Wert legt, sollte man keine gewöhnliche Linux-Distribution verwenden, sondern eine für die speziellen Bedürfnisse angepasste und gehärtete Distribution.
SmoothWall (http://www.smoothwall.org/) - Eine Firewall-Distribution, basiert auf GNU/Linux, Besonderheit: Kann auch ohne Linux-Kenntnisse über eine WEB-GUI konfiguriert werden
IPCop (http://www.ipcop.org/cgi-bin/twiki/view/IPCop/WebHome) - Eine Firewall-Distribution
Forum zu IPCop (http://www.ipcop-forum.de/forum/)
Devil Linux (http://www.devil-linux.org) - Ausgelegt für Firewalls, Router, Gateways und Server
SELinux (http://www.nsa.gov/selinux) - Von der NSA entwickelt und in jeglicher Hinsicht auf Sicherheit getrimmt
adamantix (http://www.adamantix.org/de/) - Früher Trusted Debian, stammt von Debian an, auf maximale Sicherheit ausgerichtet
trustix (http://www.trustix.net) - Sehr klein und sehr leicht up-zu-daten
m0n0wall (http://m0n0.ch/wall/) - Eine Firewall-Distribution, basiert auf FreeBSD, enthält einen Webserver und weitere Utilities
Systemerweiterungen, die Linux besser absichern
Diese Systemerweiterungen sind meist Kernel-Patches, welche die Systemsicherheit erhöhen und eine genauere Kontrolle über die Vorgänge im System bieten.
rsbac (http://www.rsbac.org) - "rule set based access control" Kernel Erweiterung
Openwall
grsecurity (http://freshmeat.net/redir/grsecurity/14689/url_homepage/www.grsecurity.net) - Ein komplettes Sicherheitssystem, welches viele Angriffstechniken aushebelt und dem Systemverwalter genaue Kontrolle darüber gibt, wer was darf und welche Resourcen von welchem Prozess benutzt werden dürfen.
PAX (http://pax.grsecurity.net) - Modifiziert die Speicherverwaltung in soweit, dass die meisten Overflow Techniken, jedoch nicht alle, unwirksam werden.
An dieser FAQ haben mitgewirkt:
cane, cytrox, RapidMax, m2k1, Thomas Engelke, Spike05, DarkSorcerer, king_of_R&R, Sandmann_32, psy, langalaxy, Andislack, BSM, Nazgul, Hadsche, DaGrrr
Diese FAQ wird verwaltet von:
Thomas, DaGrrr
Im Idealfall lassen sich Fragen direkt auf diesen Seiten klären, so dass unnötiges Fragen im Forum vermieden werden kann.
Ursprünglich wurde diese FAQ von cane erstellt, an dieser Stelle ein großes DANKESCHÖN an ihn!
Vorschläge für neue Links bzw. Anregungen, Meldung toter Verweise etc. bitte als Antwort posten, ich werde diese Vorschläge prüfen und ggf. übernehmen. Die Posts werden dann wieder gelöscht.
Thomas.
Allgemeine Informationen
Allgemeine Informationen, HOWTOs und Anleitungen rund ums Thema Sicherheit.
Suchmaschine für Linux (http://www.google.de/linux) - Die beliebte Suchmaschine google, liefert jedoch nur Linux-relevante Treffer
seifried.org (http://www.seifried.org/lasg/) - Linux Administrator's Security Guide
Security-HOWTO (http://en.tldp.org/HOWTO/Security-HOWTO/) - Ein umfangreiches Dokument über Sicherheit im allgemeinen sowie speziell unter Linux
"Sicheres" Programmieren (http://en.tldp.org/HOWTO/Secure-Programs-HOWTO/)
Absichern einer Debian-Installation (http://www.linuxsecurity.com/docs/harden-doc/html/securing-debian-howto/)
Gentoo Linux Security Guide (http://www.gentoo.org/doc/de/gentoo-security.xml) - Auch für Nicht-Gentoo-User interessant!
linuxwiki (http://www.linuxwiki.de/LinuxSecurity) - Erklärung vieler Begriffe, Verweise auf andere sicherheitsrelevante Seiten
Linux für alle (http://www.linux-fuer-alle.de/subcat_show.php?catid=16) - Informationen und Anleitungen zu diversen Sicherheitsfragen
Informiert sein
Sich über aktuelle Sicherheitslücken und neue Angriffstechniken zu informieren ist Pflicht, wenn man sich um die Sicherheit seines Systems sorgt.
Heise Security Newsticker (http://www.heise.de/security/) - Deutscher Sicherheits-Newsticker. Die wichtigsten Infos sind hier übersichtlich aufgelistet.
securityfocus.com (http://www.securityfocus.com) - Sicherheitsmeldungen, die Bugtraq-Liste und viele Artikel
linuxsecurity.com (http://www.linuxsecurity.com) - Security-Meldungen und Hintergrundinformationen
CERT (http://www.cert.org) - Das CERT Coordination Center versteht sich als die zentrale Anlaufstelle für Sicherheitsprobleme im Internet. Hier finden sich auch Statistiken.
infoserversecurity.org (http://www.infoserversecurity.org) - Verzeichnis von Sicherheits-Seiten
BSI (http://www.bsi.de) - Bundesamt für Sicherheit in der Informationstechnik
Sicherheit im Internet (http://www.sicherheit-im-internet.de) - weitere Informationen des Bundes
netsys.com (http://www.netsys.com/) - News, Artikel, full-disclosure Mailing-Liste
Packetstorm Security (http://www.packetstormsecurity.org) - News, Papers und Vorstellungen neuer Tools
Zone-H (http://www.zone-h.org) - News, aktuelle Hacks
www.digital-freedom.net (http://www.digital-freedom.net/) - Allgemeine Informationen über Sicherheit sowie Cracking und wie man sich schützen kann.
Open Source Vulnerability Database (http://osvdb.org/) - Das Projekt hat sich vorgenommen, eine Sammlung aller aktuellen Sicherheitsprobleme anzubieten.
Online-Bücher / Tutorials
"Intrusion Detection für Linux-Server" von Ralf Spenneberg (http://www.spenneberg.com/KomplettesIDS-Buchonline/2200.html)
Bücher bei Oreilly (http://www.oreilly.de/openbook/) - Komlette Bücher zu verschiedenen Themen, frei verfügbar.
Tutorial zu scponly (http://www.linuxforen.de/forums/showthread.php?t=154410) - Mit scponly kann das unsichere FTP ersetzt werden.
Absichern einer Linux-Installation:
Securing a new Linux installation (http://linuxgazette.net/105/odonovan.html) - Wie man eine neu installierte Linux-Distribution absichert
Debian Sicherheit (http://www.debian.org/doc/manuals/securing-debian-howto/) - Absichern von Debian
Debian Anwenderhandbuch (http://www.debiananwenderhandbuch.de/securhowto.html) - Sicherheitstips vom Debiananwenderhandbuch
Gentoo Sicherheitsbuch (http://www.gentoo.org/doc/de/security/security-handbook.xml?part=0&chap=0) - Sicherheitshandbuch von den Gentoo-Entwicklern
Bastille (http://www.bastille-linux.org/) - Das Bastille Hardening Projekt
Bind (http://www.pl-berichte.de/t_netzwerk/dnssecure.html) - Den Nameserver Bind sicherer machen
Paketfilter / Firewalls
Eine Firewall schützt das System oder ganze Netze vor ungewollten Zugriffen und stellt im Falle von IPTables umfangreiche Möglichkeiten zur Regelung der Zugriffe auf ein System/Netzwerk und viele weitere Optionen zur Verfügung.
Linux-Firewalls - Ein praktischer Einstieg (http://www.oreilly.de/german/freebooks/linuxfire2ger/toc.html) - Kostenloser Download des Buches "Linux-Firewalls - Ein praktischer Einstieg" aus dem Verlag "O'Reilly". Es wird auch auf allgemeine Systemsicherheit eingegangen. 2. Auflage!, Januar 2006
Harry's Firewall-Generator (http://www.harry.homelinux.org/) - Hier wird ein komplettes Firewall-Skript nach Angabe weniger Netzwerkparameter automatisch generiert und via EMail zugeschickt.
Packet-Filtering-HOWTO (http://www.netfilter.org/documentation/HOWTO/de/packet-filtering-HOWTO.html) - HOWTO vom Netfilter-Projekt
Portknocking (http://www.portknocking.org) - Portknocking als Sicherheitskonzept
de.comp.security.firewall FAQ (http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html) - Eine umfangreiche Sammlung von Fragen und Antworten zum Thema 'Firewall'
iptables Howto (http://www.linuxfaq.de/f/cache/382.html) - Linux 2.4 (iptables) Packet Filtering HOWTO
SelfLinux iptables Howto (http://www.selflinux.org/selflinux/html/iptables.html) - Iptables Howto vom SelfLinux Team
Linux-Firewalls mit Iptables & Co (http://www.os-t.de/buecher_new.php) - Buch von Ralf Spenneberg (Kapitel als PDF downloadbar)
Virenscanner / Rootkit-Erkennung
Zwar gibt es bisher kaum Viren, welche unter Linux lauffähig sind, jedoch kann ein Scan nie verkehrt sein. Ausserdem lassen sich so wunderbar Windows-Partitionen oder Samba-Shares auf Windows-Viren und -Würmer untersuchen.
chkrootkit (http://www.chkrootkit.org) - Durchsucht das System nach Rootkits.
Rootkit Hunter (http://www.rootkit.nl/projects/rootkit_hunter.html) - Sucht nicht nur nach Rootkits auf dem System, sondern auch nach Backdoors und lokalen Sicherheitslücken durch diverse Tests (für nähere Informationen zu den Tests siehe die Projekt-Seite).
Was ist ein Rootkit? (http://www.spenneberg.com/public/IDS-Book/AnhC.pdf)
antivir (http://www.antivir.de) - Für Workstations sowie Mailserver. Bei privater Nutzung kostenfrei.
f-prot (http://www.f-prot.com) - Für Workstations. Bei privater Nutzung kostenfrei.
BitDefender (http://www.bitdefender.de/bd/site/products.php?p_id=16) - Für Workstations. Bei privater Nutzung als Freeware verfügbar.
AVG Antivirus für Linux (http://www.grisoft.de/ge/ge_index.php) - Für EMail- und File-Server. Kostenloses Testen ist über eine einmonatige Freischaltung möglich.
Sicherheitsscanner
Sicherheitsscanner werden dazu verwendet, Sicherheitslücken im eigenen System zu lokalisieren um sie dann zu schließen. Unterschieden wird zwischen Portscannern und Scannern, welche auch nach bekannten Sicherheitslücken suchen.
nmap (http://www.insecure.org/nmap/) - Der wohl bekannteste Portscanner.
Nessus (http://www.nessus.org) - Sicherheits-Scanner, sucht nach Schwachstellen auf entfernten Systemen.
HOWTO zu Nessus (http://www.linuxforen.de/forums/showthread.php?s=&threadid=122412)
Saint (http://www.wwdsi.com/saint/) - Sicherheits-Scanner, sucht nach Schwachstellen auf entfernten Systemen.
Nikto (http://www.cirt.net/code/nikto.shtml) - Tool zu Scannen von Webserver auf Sicherheitslöcher
HIDS (Host-based Intrusion Detection System)
Ein HIDS überwacht die Dateien eines Systems mittels Checksums und warnt den Systemverwalter, wenn Änderungen vorgenommen werden. So lässt sich ein Einbruch zwar nicht verhindern, aber er wird mit hoher Sicherheit erkannt, wenn z.B. Binaries ausgetauscht oder Log-Dateien manipuliert werden.
Tripwire (http://www.tripwire.org/)
Aide (http://sourceforge.net/projects/aide)
Samhain (http://la-samhna.de/samhain)
Osiris (http://osiris.shmoo.com/)
samhain (http://la-samhna.de/samhain/)
Linux Intrusion Detection System (http://www.lids.org)
NIDS (Network-based Intrusion Detection System)
Ein NIDS befindet sich entweder auf dem zu überwachenden System oder, was der Regelfall ist, zwischen einem lokalen Netz und einer Verbindung an ein anderes Netz. Alle ankommenden Pakete werden untersucht und ausgewertet. So können korrupte Pakete, Shellcode und bekannte Exploits erkannt und eine Warnung an den Systemverwalter gesendet werden.
Achtung: NIDS erkennen Angriffe zwar, verhindern diese jedoch nicht! (siehe hierzu IPS)
Snort (http://www.snort.org)
Snort & Co Buch von Ralf Spenneberg (http://www.os-t.de/buecher_new.php)
IPS (Intrusion Prevention System)
Ein IPS ist generell das selbe wie ein NIDS, jedoch besitzt es die Fähigkeit, erkannte Angriffe abzuwehren.
Snort Inline (http://snort-inline.sourceforge.net/)
Hogwash (http://hogwash.sourceforge.net/)
HyIDS (Hybrid Intrusion Detection System)
Ein HyDS ist eine Kombination von HIDS und NIDS. Durch die vielseitigen Überwachungsmöglichkeiten wird ein hohes Sicherheitsniveau gewährleistet.
Prelude (http://www.prelude-ids.org/) - Ein System, weches modular, verteilt, ausgesprochen stabil und performant aufgebaut ist. Es besitzt die Fähigkeit seine Informationen aus vielen Quellen zu beziehen (Snort, honeyd, Nessus Vulnerability Scanner, Samhain, über 30 verschiedene Logs, und viele weitere), was Prelude besonders zuverlässig und flexibel in der Angriffserkennung macht.
VPN
Es gibt verschiedene VPN-Lösungen für Linux:
Freeswan (http://www.freeswan.org)
Inoffizieller Support zu Freeswan (http://www.freeswan.ca)
OpenSwan (http://www.openswan.org)
OpenVPN (http://openvpn.sourceforge.net)
Deutsches OpenVPN Howto (http://www.linuxforen.de/forums/showthread.php?t=169354)
tinc (http://tinc.nl.linux.org/)
kernel-ipsec (http://www.spenneberg.com/linux-magazin/060-066_kernel-ipsec.pdf)
ipsec-2.6 (http://www.spenneberg.com/ipsec-2.6.pdf)
VPN Buch von Ralf Spenneberg zum Download (Kapitelweise) (http://www.os-t.de/buecher_new.php)
Verschlüsselung
Wer sensible Daten speichern oder über unsichere Kanäle austauschen will, sollte seine Daten verschlüsseln, um sie vor ungewollten Blicken zu schützen.
GnuPG (http://www.gnupg.org/) - Die freie Version von PGP. Wird z.B. zur Verschlüsselung von E-Mails eingesetzt.
Cryptoloop HOWTO für Kernel 2.6 (http://tldp.org/HOWTO/Cryptoloop-HOWTO/) - Cryptoloop sollte ab Kernel 2.6 nicht mehr verwendet werden, der Nachfolger ist dm-crypt
dm-crypt (http://www.saout.de/misc/dm-crypt/) - dm-crypt ist der Nachfolger von Cryptoloop und standardmäßig in der Kernelserie 2.6 enthalten
Encrypted Root Filesystem Howto (http://www.tldp.org/HOWTO/Encrypted-Root-Filesystem-HOWTO/) - Verschlüsseln des gesamten Root-Filesystems
Cryptlib (http://www.cs.auckland.ac.nz/~pgut001/cryptlib/)
dm-crypt im Kernel 2.6 (http://www.saout.de/misc/dm-crypt/)
Encrypted Root Filesystem HOWTO (http://linuxfromscratch.org/~devine/erfs-howto.html)
Verschlüsseltes Backup auf CD (http://www.linuxforen.de/forums/showthread.php?s=&threadid=99454)
Loop-AES Installation, CD/DVD-, Swap-, Verschlüsselung (http://www.linuxforen.de/forums/showthread.php?t=189386)
USB Stick mit loop-AES verschlüsseln (http://www.uni-koblenz.de/~phil/linux/usbcrypt.html)
CrossCrypt (http://www.scherrer.cc/crypt/) - CrossCrypt ist ein Tool für Windows, mit welchem man Filecontainer/CDs mittels AES oder TwoFish (transparent) verschlüsseln kann. Das Besondere daran: CrossCrypt ist kompatibel zu z.B. loopAES unter Linux. Somit kann auf verschlüsselte Medien sowohl unter Windows als auch unter Linux zugegriffen werden.
Truecrypt - Verschlüsselung für Linux und Windows (http://www.truecrypt.org)
CompuSec für Linux und Windows (http://www.ce-infosys.com/CeiNews_FreeCompuSec_Ger.asp)
Sicheres Löschen
Dass Dateien, wenn sie mittels rm gelöscht werden, noch immer auf der Festlatte liegen und ohne großen Aufwand auszulesen sind, ist mittlerweile den meisten bekannt. Mit Hilfe kleiner Tools ist es jedoch möglich, diese Dateien nicht nur zu löschen, sondern es auch nahezu unmöglich machen, die gelöschten Daten wiederherzustellen.
shred (http://www.gnu.org/software/coreutils/) - shred ist in den coreutils enthalten
wipe (http://wipe.sourceforge.net)
Darik's Boot & Nuke (http://dban.sourceforge.net)
Schutz vor Spam
Wer kennt das nicht: Die Mailbox ist voll, jedoch ist keine einzige Mail erwünscht, alles nur Werbung für Potenzpillen. Zwar haben die meisten Mail-Provider einen eigenen Spamschutz, doch auch dort schlüpft die ein oder andere Mail durch. Zeit, sich um eine eigene Lösung zu kümmern.
bogofilter (http://bogofilter.sourceforge.net/)
iX NiXSpam-Lösung (http://www.heise.de/ix/nixspam)
SpamAssassin (http://spamassassin.apache.org)
Digitale Forensic
Was tun wen auf dem eigenen Rechner eingebrochen wurde? Digital Forensic Tools erlauben es die Wege des Angreifers nachzuvollziehen und die ausgenutzte Sicherheitslücke offenzulegen.
sleuthkit (http://www.sleuthkit.org/index.php) - Komplettes Toolkit zur Analyse von Systemen nach Einbrüchen
HOWTO #1 zu sleuthkit (http://www.spenneberg.com/linux-magazin/060-065_sleuthkit.pdf)
HOWTO #2 zu sleuthkit (http://www.spenneberg.com/linux-magazin/058-061_sleuthkit2.pdf)
Nützliche Helferlein
Dinge, die einem das Leben leichter machen.
Automatisches Schließen von Konsolen nach einem Timeout (http://www.linuxforen.de/forums/showthread.php?s=&threadid=125790)
datenschutz.ch (http://www.datenschutz.ch) - Überprüfung von Passwörtern auf deren Sicherheit
Linux Distributionen die speziell auf Sicherheit ausgerichtet sind
Wenn man einen Server betreibt, der stark Angriff-gefährdet ist oder man auch einfach nur auf hohe Sicherheit Wert legt, sollte man keine gewöhnliche Linux-Distribution verwenden, sondern eine für die speziellen Bedürfnisse angepasste und gehärtete Distribution.
SmoothWall (http://www.smoothwall.org/) - Eine Firewall-Distribution, basiert auf GNU/Linux, Besonderheit: Kann auch ohne Linux-Kenntnisse über eine WEB-GUI konfiguriert werden
IPCop (http://www.ipcop.org/cgi-bin/twiki/view/IPCop/WebHome) - Eine Firewall-Distribution
Forum zu IPCop (http://www.ipcop-forum.de/forum/)
Devil Linux (http://www.devil-linux.org) - Ausgelegt für Firewalls, Router, Gateways und Server
SELinux (http://www.nsa.gov/selinux) - Von der NSA entwickelt und in jeglicher Hinsicht auf Sicherheit getrimmt
adamantix (http://www.adamantix.org/de/) - Früher Trusted Debian, stammt von Debian an, auf maximale Sicherheit ausgerichtet
trustix (http://www.trustix.net) - Sehr klein und sehr leicht up-zu-daten
m0n0wall (http://m0n0.ch/wall/) - Eine Firewall-Distribution, basiert auf FreeBSD, enthält einen Webserver und weitere Utilities
Systemerweiterungen, die Linux besser absichern
Diese Systemerweiterungen sind meist Kernel-Patches, welche die Systemsicherheit erhöhen und eine genauere Kontrolle über die Vorgänge im System bieten.
rsbac (http://www.rsbac.org) - "rule set based access control" Kernel Erweiterung
Openwall
grsecurity (http://freshmeat.net/redir/grsecurity/14689/url_homepage/www.grsecurity.net) - Ein komplettes Sicherheitssystem, welches viele Angriffstechniken aushebelt und dem Systemverwalter genaue Kontrolle darüber gibt, wer was darf und welche Resourcen von welchem Prozess benutzt werden dürfen.
PAX (http://pax.grsecurity.net) - Modifiziert die Speicherverwaltung in soweit, dass die meisten Overflow Techniken, jedoch nicht alle, unwirksam werden.
An dieser FAQ haben mitgewirkt:
cane, cytrox, RapidMax, m2k1, Thomas Engelke, Spike05, DarkSorcerer, king_of_R&R, Sandmann_32, psy, langalaxy, Andislack, BSM, Nazgul, Hadsche, DaGrrr
Diese FAQ wird verwaltet von:
Thomas, DaGrrr