Wir könnten hier ja mal alle Tipps und Tricks sammeln, die man so Einstellen sollte um sein Linux abzusichern. Auf die Idee kam ich, als ich vorhin kurz bei Telepolis diesen Artikel gelesen habe :)

Link: http://www.heise.de/tp/deutsch/inhalt/te/17581/1.html

Und da hatte jemand nen guten Tipp im Forum gepostet, den ich noch garnicht kannte. Geht bestimmt vielen so, man kann sich ja auch nicht alles merken.

Tipp: http://www.heise.de/tp/foren/go.shtml?read=1&msg_id=5803793&forum_id=57226

Anleitung:
1. Datei /home/<user>/.bash_profile öffnen
2. Folgendes eintragen:
export HISTSIZE=0; export HISTFILESIZE=0; export HISTFILE=""
3. Speichern und das ganze noch kurz in die Konsole hauen.

Danach ist die History ausgeschaltet, falls er bei dem Befehl "history" noch was anzeigt, 1x "history -c" eingeben. Danach sollte er aber wirklich nichts mehr speichern. Recht Sinnvoll vor allem für jene, die sonst in der History ihren SSH Krams drin stehen haben ;-)

Man kann nie Vorsichtig genug sein ;)

Was haltet ihr davon, das hier zu sammeln? Falls das in Ordnung ist, macht doch einfach alle mit, dann bekommen wir sicher ne Menge zusammen :)

Wir haben einen speziellen Bereich für Tips und Tricks. Daher sollten diese auch dort geposted werden.

Ich verschiebe das daher.

Für KDM-User:
- Terminal öffnen
- su
- /etc/X11/xdm/Xservers editieren
- X mit der Option "-nolisten TCP" starten lassen

Dadurch werden die "Netzwerkfunktionen" von XFree86 / X.Org deaktiviert. Ich denke mal, die meisten User hier werden das nicht benötigen und die, die es benötigen, werden es aktiviert lassen ;)

Für Fedora User:
- Terminal öffnen
- su
- perl -pi -e 's/(.*pam_timestamp.*)/#\1/' /etc/pam.d/* ausführen

Damit wird PAM deaktiviert und somit das root-Passwort nicht mehr für die redhat-config tools gespeichert. Dannach muss man bei jedem Starten eines redhat-config tools das root-Passwort erneut angeben.
Meiner Meinung nach sehr sinnvoll.

warum die bash history komplett ausschlaten?
ich hab keine lust immer ssh bla.bla.de -l user zu tippen und mach das dann mit der schicken history und strg+r.

ohne history macht das doch keinen spass.

auch sinnvoll:

/etc/sudoers anpassen (mit visudo) und dann rootpasswort deaktivieren
root:xxx:0:3:... in /etc/passwd

dann entfaellt auch das problem mit dem gecachten Rootpasswort...

Die Partitionen /usr, /usr/local (falls separat vorhanden), /opt und /boot nur ro mounten und nur bei Bedarf als rw
Macht natürlich nur Sinn, wenn man die Verzeichnisse auch auf gesonderten Partitionen liegen hat.

Syntax
variabel (in der Befehlszeile): mount -o remount,ro /usr
fest (in /etc/fstab): /dev/hdXN /usr ext2 defaults,ro 1 2 [das ro ist wichtig, der Rest nur zur Veranschaulichung]

Partition schreibbar mounten:
mount -o remount,rw /usr

Wer natürlich viel installiert/deinstalliert, für den ist das natürlich nichts.

Die Datei scheint auf manchen Systemen nicht vorhanden zu sein (z.B. FC 2).

anlegen: touch /var/log/btmp
anschauen: last -f /var/log/btmp

weitere Info:
man wtmp
man last

Gruß,
Daniel

Hi,

wenn das mal nicht nach hinten losgeht. Wenn du die History abschaltest, nimmst du dem Angreifer eine Hürde, die er sonst zu bewäligten hätte. Er müsste die Befehle ja aus der History wieder entfernen. So sparst du ihm Zeit und Arbeit.

comrad

das sind ja wohl mehr 'pseudo' Sicherheitstipps.

Hi,

wenn das mal nicht nach hinten losgeht. Wenn du die History abschaltest, nimmst du dem Angreifer eine Hürde, die er sonst zu bewäligten hätte. Er müsste die Befehle ja aus der History wieder entfernen. So sparst du ihm Zeit und Arbeit.
comrad

history -c
*puh* harte arbeit für böse hacker
:p

Hat sonst noch jemand einen sinnvollen Tipp?

-firewalls up und/oder nicht gebrauchte Dienst down
-security-Meldungen verfolgen und ggf. neue Pakete/Kernel einspielen
-so selten wie möglich als root arbeiten
-bei SSH nur protocol version 2 zulassen
-Root- und Userpassworte verbessern (keine sinnvollen Worte, Buchstaben, Groß-/Kleinschreibung)
-lokale Angriffe verhindern? Im BIOS einstellen dass ausschließlich von Festplatte gebootet wird, dann BIOS mit Passwort sichern und Computergehäuse zuschweißen *g*

Ein gut verständliches & nachvollziehbares Dokument zum Thema findet der Debianer hier: Anleitung zum Absichern von Debian (http://www.debian.org/doc/manuals/securing-debian-howto/securing-debian-howto.de.html#contents)


Gruss Eddy

Bei MySQL / Apache sehr sinnvoll:
- Rechte auf /var/mysql überprüfen/einstellen
- Rechte auf .htaccess und .htpasswd überprüfen/einstellen
- Rechte innerhalb der MySQL Datenbank überprüfen
- Fall's möglich, MySQL-Port nicht forwarden (oder anders öffentlich machen)

Für PHPmyadmin:
- PHPmyadmin-Ordner durch eine .htaccess und .htpasswd schützen

hab mal ne frage (wenn unpassend kann der beitrag gelöscht werden):
ist es ein risiko, ein root-terminal (eterm z.b.; per su) offen zu lassen? also über stunden?

Ja! (...wenn jemand anderes in der Zeit an den Computer kann *g*)

hab mal ne frage (wenn unpassend kann der beitrag gelöscht werden):
ist es ein risiko, ein root-terminal (eterm z.b.; per su) offen zu lassen? also über stunden?

vlock

Oder wie meinst Du das?

ich mach ein eterm auf, mach es mit su zu nem root-terminal und lass es z.b. über nacht auf. es gibt keinen physikalischen zugang zu meinem computer, bloß ne internetverbindung. ist das sicherheitstechnisch bedenklich, oder klafft da ne sicherheitslücke?

ich mach ein eterm auf, mach es mit su zu nem root-terminal und lass es z.b. über nacht auf. es gibt keinen physikalischen zugang zu meinem computer, bloß ne internetverbindung. ist das sicherheitstechnisch bedenklich, oder klafft da ne sicherheitslücke?

Wenn Du ssh Zugriff auf deinen Rechner zulässt und beispielsweise screen benutzt und die da auch noch als root eingeloggt hast ist es natürlich ein grosses sicherheitsrisiko. das kannst du z.b. ausschalten indem du nach einer bestimmten zeit root automatisch ausloggst.
wenn ssh nicht läuft und niemand physikalisch auf deinen rechner kann dann ist es eher kein risiko, denke ich. aber trotzdem sollte man sowas vermeiden.

Ist es eigentlich möglich, die Rechte in einem Terminal wieder auf den normalen User zu stellen, sobald das Terminal eine bestimmte Zeit lang nicht mehr benutzt wurde? Also praktisch Terminal öffnen --> su --> drauf arbeiten --> vergessen wieder zu schleißen --> nach ner bestimmten Zeit wieder root-Rechte weg oder Terminal schließen.

Ist es eigentlich möglich, die Rechte in einem Terminal wieder auf den normalen User zu stellen, sobald das Terminal eine bestimmte Zeit lang nicht mehr benutzt wurde? Also praktisch Terminal öffnen --> su --> drauf arbeiten --> vergessen wieder zu schleißen --> nach ner bestimmten Zeit wieder root-Rechte weg oder Terminal schließen.
Du meinst wie du die root rechte wieder los wirst?
mit "exit". Wie man sich so ein script macht weiss ich nicht.

Die root-Rechte manuell wieder loswerden ist ja kein Problem :D Aber das ganze sollte halt automatisch nach einer bestimmten Zeit gehen.

ja ist es, und zwar mit:



if [ "`id -u`" -eq 0 ]; then
IDLELOGOUT=240
echo "Automatischer Logout nach $IDLELOGOUT sekunden!"
export TMOUT=$IDLELOGOUT
fi


Das habe ich in der /etc/profile.d/msec.sh (bei Mandrake 9.2) eingetragen. Bedeutet das nach 240sec der root-User ausgeloggt wird. Wo das bei anderen Distributionen rein muss weiss ich ned. Vielleicht in die /etc/profile oder so...

Gruß
Christian

abgesehn von sachen wie überflüssige dienste auszustellen und firewall gibts noch einen tip der imho einer der wichtigsten ist. im moment zwar noch eher für windows user aber bald bestimmt auch für linuxer.

SURFEN MIT HIRN!
dh. nicht jede porno seite zu öffnen und vor allem immer schön lesen bevor man irgendwo draufclickt udn und und.

man kann auch noch " echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all" machen. dann antwortet der rechner auf keine ping anfragen mehr, ist also quasi unsichtbar.

gruß -psycho-

man kann auch noch " echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all" machen. dann antwortet der rechner auf keine ping anfragen mehr, ist also quasi unsichtbar.
Das ist der "Sicherheit" aber eher abträglich, da ein potenzieller Angreifer dann weiß, dass du da bist und (erfolglos) versuchst das zu verschleiern. Security by Obscurity funktioniert nicht.

man kann auch noch " echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all" machen. dann antwortet der rechner auf keine ping anfragen mehr, ist also quasi unsichtbar.


Ping Scans werden doch heute kaum mehr gemacht. Heutzutage macht man Connect Scan auf bestimmte Ports, die man später auch angreifen will. Wenn man z.B. einen Apache angreifen will, macht man eben einen Connect Scan auf Port 80. Und da hilft dein Ping blocken dann auch nix.

SURFEN MIT HIRN!
dh. nicht jede porno seite zu öffnen und vor allem immer schön lesen bevor man irgendwo draufclickt udn und und.
das wird aber leider immer schwieriger, da immer mehr google-ergebnisse verschmutzt sind und es unzählige bei abgelaufenen domains gibt. das sind nicht nur schmuddelseiten, sondern vor allen dingen welche mit dialern. ein sehr ärgerliches phänomen - ich wundere mich immer wieder, wie die sich halten können...