Hallo an alle!

Ich habe beschlossen in den nächsten Wochen / Monaten eine ultimative Dokumentation zur Installation / Konfiguration eines sicheren Systems zu erstellen.

Ich möchte dazu SuSE 8.1 pro benutzen weil
- Debian für Einsteiger schwerer zu durchschauen ist
- SuSE im deutschsprachigen Raum am weitesten verbreitet ist
- Speziallösungen wie SE Linux, Trusted Debian etc. schlechter dokumentiert sind


Ich möchte bei der Installation benötigte Pakete manuell auswählen
denkt ihr eine Standartinstallation mit nachträglichem Entfernen von Paketen wäre für den User besser nachzuvollziehen?


Ich möchte zur Abschottung kritischer Prozesse Systrace www.linux-magazin.de/Artikel/ausgabe/2003/01/systrace/systrace.html (http://) verwenden , weil es ein GUI hat und deswegen intuitiv zu bedienen ist.[quote]
Hat jemand Erfahrungen mit Systrace oder kennt Bugs?

[quote]Kann ich den Openwall Kernelpatch für Kernel 2.4.20 www.openwall.com/linux/ (http://), der ein Ausführen von Code auf dem Stack verhindert, auch unter Kernel 2.4.19 benutzen?

Hat jemand sonst noch Ideen oder kennt Beispielanleitungen?

Danke für jede Anregung
cane

Es gibt wohl keine "ultimative" Doku wegen versch. Szenarien.

Kannst Dich an OpenBSD orientieren.

ich wäre dabei, wenn es sich um ein Redhat Psyche System handelt. Bei SuSE bin ich gerne bereit fragen zu beatworten!

tollle Idee

cu
adme

benutze suse 8.0
wäre dabei.

wir sollten mal eine zusammenstellung machen was wir allesberüchksichtigen wollen. ich denke dabei an eine funktionstüchtige lösung und nicht an ein paranoides system.

Einige Punkte:

- Firewall (Suse o. selbstgebaut; hätte einen selbstgebauten)
- verschlüsseltes filesystem
- Lilo sicher machen
- gefakte Systemausgabe (win erkennung anstatt linux)
- dateirechte
- srm anstatt rm
- chrootkit und antivir mit cron steuern
- software empfehlungen (nach Sicherheit)
- welche progs man löschen kann


es gibt sicher noch mehr, wäre gut wen noch was gepostet würde

gruss
deblxr

@ deblxr

- Firewall
würde Harrys Iptablesscript benutzen - Die SuSE Firewall finde ich unübersichtlich und unvollständig

- Verschlüsseltes Filesystem
ReiserFs verschlüsselt wäre mein Favorit

- gefakte Systemausgabe (win erkennung anstatt linux)
Für welche Prozesse?

- srm anstatt rm
srm kenne ich nicht Was ist das

- chrootkit und antivir mit cron steuern
Gute Idee

Ich denke der 1. Schritt wäre die Frage ob der User automatisch installieren oder manuelle Paketauswahl machen sollte.
Wenn automatisch dann würde ich sagen minimales graphisches System und danach zusätzlich benötigte einspielen / überflüssige löschen - was meinst Du?

mfg

cane

@ linuxhanz

Richtig!
Meine Zielgruppe sind (ersteinmal) Linuxnutzer die ihr System normal nutzen wollen aber trotzdem größtmögliche sicherheit erreichen wollen!

@ adme

Red Hat würde ich lieber nicht benutzen...

Aber Danke dass Du trotzdem helfen möchtest eventuelle Fragen zu beantworten!

mfg
cane

- ja ich würde auch minimales grafisches system verwenden und dann nachinstallieren

- srm ist secure rm. daten sind nacher nicht wiederherstellbar

- firewallscript, kannst du mir den mal geben

- ich würde eher auf ext3 setzen, hatte mit raiserfs probleme

-partionierung?

ich könnte nen ftp bieten wo wir die daten niederlegen könnten


gruss

deblxr

- fake, in bezug auf ICMP anfragen

Warum das ganze nicht distributionsunabhängig machen?

Weiterhin setzt ein sicheres System möglichst bug-arme Software voraus, während Suse/RedHat/Mandrake eher versuchen, moeglichst aktuelle Programme auszuliefern. Damit waeren imho debian oder Slackware als Ausgangsbasis besser geeignet.

Deswegen: Distri-unabhängig.



[sonst]

Welche Dienste benötige ich unbedingt?

portsentry nicht vergessen.



ri

wir wollen ja ne doku mache bei der auch anfänger draus kommen. und allgemeine security files gibt es schon genug. es soll eine verständliche anleitung werden.

distriunabhängig wär wirklich besser, man kann in Sachen Sicherheit zwar ein DAU sein aber trotzdem Debian o.ä. haben (was ja nicht sonderlich schwer ist)

ja das schon

aber bei suse kann man gewisse sicherheitsmasnahmen leicht realisieren. ohne irgendwie gross conffiles anzupassen. es soll halt speziell auf suse abgerichtet sein. so das auch alles 100% funktioniert.

Gute Idee, aber distributionsunabhängig fände ich auch besser.

Warum nicht einfach die selbe Secure Doku,
für verschiedene Distris (angepasst an die Distri) erstellen ?

gruß

Gute Idee, aber distributionsunabhängig fände ich auch besser.

genau!
warum soll man immer sicher immer auf eine distri beschrängen?


Warum nicht einfach die selbe Secure Doku,
für verschiedene Distris (angepasst an die Distri) erstellen ?

ich könne die doku an gentoo anpassen, falls es interesse gibt :)

//richard

auch "am Rande" mitmachen, also wenns Fragen gibt oder so, da ich zeitlich ziehmlich ausgelastet bin.

Das mit SuSE finde ich eine gute Idee, aus den obengenannten Gruenden.
Und Leute die sich mit Gentoo, Trusted Debian etc. beschaeftigen, haben meist auch keine Schwierigkeiten diese dann zu portieren.

T;o)Mes

Es scheint ein verbreiteter Irrglaube zu sein, da Anfaenger am besten mit Suse zurecht kommen. Das stimmt so nicht; es gibt durchaus Einsteiger, die Mandrake oder RedHat deutlich vorziehen. Oder 'sogar' Debian.
Und die wuerde man mit einer Spezialisierung auf Suse ausschliessen.

Desweiteren setzt der Anspruch eines halbwegs "sicheren" Systems schon eine gewisse Linux-Kenntnis voraus und insbesondere die Bereitschaft, etwas zu lernen. Mit ein bisschen rumklicken ist da nix getan - die groesste Gefahr sitzt bekanntlich vor dem Bildschirm.
Ansonsten hat man sehr schnell eine Mentalitaet wie unter Windows-Usern erreicht: Schnell eine Firewall installiert und schon kann mir nichts mehr passieren. :-<

ri

Servus zusammen !

also erst mal: Supa idee ! :)

Zum Thema "Welche Distribution" : Ich hab mit Suse angefangen und mit Suse weitergemacht :) Dann habe ich (weil ichs kennen lernen wollte) gentoo aufgespielt.
=> Ich wäre dafür, dass es erst mal für Suse gemacht wird und DANN für die anderen Systeme. Das Umschreiben der Pfade und so ist für jemand den nen Plan davon hat nicht die Welt denke ich :) Und für gentoo hat sich Richard ja schon angeboten.

MfG Markus

Ersteinmal ein dickes Dankeschön für euer reges Interesse!!!

Zu den einzelnen Postings:

@Da.Bull

=> Ich wäre dafür, dass es erst mal für Suse gemacht wird und DANN für die anderen Systeme. Das Umschreiben der Pfade und so ist für jemand den nen Plan davon hat nicht die Welt denke ich
Genau der Meinung bin ich auch...

@alle Anderen
Euer Argument der Plattformunabhängigkeit ist sicherlich richtig aber

a) habe ich bis vor zwei Wochen noch nie unter Debian gearbeitet
und
b)benutzt ein Großteil der deutschen Linux-User SuSE (welche Vorteile und Nachteile das hat sei einmal dahingestellt)

@ derRichard und tomes
Danke für euer Unterstützungsangebot!!!

@ deblxr
Das mit dem ftp ist ein nettes Angebot!

Ich bin im Moment auch ziemlich ausgelastet und deswegen wird das ganze Projekt auch nicht in Siebenmeilenstiefeln vorrankommen (außer ihr macht das;) )

Ich denke ich werde SuSE 8.1 mit Kernel 2.4.19 oder 2.4.20 wählen...
Ich werde in den nächsten Tagen recherchieren welche Tools a la Systrace... für diese Kernel verfügbar sind.

Melde mich dann!

Gruß
cane

SuSE bietet ein Tool zum automatisierten installieren. Damit könnte die Paketauswahl schon vor der Installation festgelegt sein.

HTH

@ cane

du solltest dich nicht auf eine Distribution beschränken. Du solltest mit Standart-Tools arbeiten. Dann brauchst du dir auch nicht so viele Gedanken machen über die Distributionunabhängigkeit!
Außerdem können dann nicht nur Leute mitarbeiten die Suse aktiv nutzen.


Steve

Original geschrieben von Jinto
SuSE bietet ein Tool zum automatisierten installieren. Damit könnte die Paketauswahl schon vor der Installation festgelegt sein.
Du meinst "Alice"?

Harry

Jein, Alice gibts bis einschließlich 7.3 und AutoYast gibt ab Version 8.0

AutoYast (http://www.suse.de/~nashif/autoinstall/8.0/html/index.html)

back to topic

also ich würde vorschlagen wir eröffnen bei Sourceforge oder ähnlichem einen Account, inkl Mailinglist und diskutieren dort weiter.

sicherlich wird die Doc untere eine frei Lizenz gestellt?

cu
adme

dito

Das XML Schema von SuSE zum Ttemplate mäßigen Installieren fand ich ganz
nett. Benutzt das auch Alice?

Benutzt AutoYast XML?

@linuxhanz
Ich dachte, ich hätte einen Link gepostet. ;)

allet klar :D

Ich weiß nicht ob auto yast das richtige ist wegen unterschiedlicher hardware etc. Siehe.


nstalling a single client in an interactive way using SuSE is only a couple of clicks away. So if you intention is to install only a small number of systems which differ in hardware and configuration maybe it is faster to install them the traditional way.

mfg
cane

Dieses Problem hast du immer, bei wenigen Clients. Es ist nunmal schneller, eine Handvoll Clients direkt von CD zu installieren, als erst umständlich dafür ein Konfigurationsfile aufzusetzen und danach die Installation vorzunehmen. Genau das sagt der Satz eigentlich aus (das wird im nicht zitierten Satz auch nochmals so dargestellt).

Aber hier, lies selbst:

Auto-Installation gets to be interesting when installing large number of machines which at least have one thing in common.

Ob AutoYast z. B. deinen Vorstellungen von bereits vorselektierten Paketen entgegenkommt weiss ich nicht.

ich bin Kickstart Fan :)