Product SiteDocumentation Site

Kapitel 4. Nach der Installation

4.1. Abonnement der Security-Announce-Mailingliste von Debian
4.2. Ausführen von Sicherheitsaktualisierungen
4.2.1. Sicherheitsaktualisierungen für Bibliotheken
4.2.2. Sicherheitsaktualisierung des Kernels
4.3. Änderen Sie das BIOS (noch einmal)
4.4. Ein Passwort für LILO oder GRUB einstellen
4.5. Entfernen des Root-Prompts von Initramfs
4.6. Entfernen des Root-Promptes aus dem Kernel
4.7. Einschränkung der Anmeldemöglichkeiten an der Konsole
4.8. Einschränkung des System-Neustarts von der Konsole aus
4.9. Einschränkung der Tastenkombination Magische S-Abf
4.10. Partitionen auf die richtige Art einhängen
4.10.1. /tmp noexec setzen
4.10.2. /usr auf nur-lesend setzen
4.11. Den Benutzerzugang absichern
4.11.1. Benutzerauthentifizierung: PAM
4.11.2. Passwortsicherheit in PAM
4.11.3. Steuerung des Benutzerzugangs in PAM
4.11.4. Höchstgrenzen für Benutzer in PAM
4.11.5. Steuerung von su in PAM
4.11.6. Temporäre Verzeichnisse in PAM
4.11.7. Konfiguration für nicht definierte PAM-Anwendungen
4.11.8. Ressourcen-Nutzung begrenzen: Die Datei limits.conf
4.11.9. Aktionen bei der Benutzeranmeldung: Bearbeiten von /etc/login.defs
4.11.10. Aktionen bei der Benutzeranmeldung: /etc/pam.d/login bearbeiten
4.11.11. Ftp einschränken: bearbeiten von /etc/ftpusers
4.11.12. Verwendung von Su
4.11.13. Verwendung von Sudo
4.11.14. Administrativen Fernzugriff verweigern
4.11.15. Den Benutzerzugang einschränken
4.11.16. Überprüfen der Benutzer
4.11.17. Nachprüfung der Benutzerprofile
4.11.18. Umasks der Benutzer einstellen
4.11.19. Beschränken, was Benutzer sehen und worauf sie zugreifen können
4.11.20. Erstellen von Benutzerpasswörtern
4.11.21. Überprüfung der Benutzerpasswörter
4.11.22. Abmelden von untätigen Benutzern
4.12. Die Nutzung von Tcpwrappers STOPP
4.13. Die Wichtigkeit von Protokollen und Alarmen
4.13.1. Nutzung und Anpassung von logcheck
4.13.2. Konfiguration, wohin Alarmmeldungen geschickt werden
4.13.3. Nutzen eines Loghosts
4.13.4. Zugriffsrechte auf Protokolldateien
4.14. Den Kernel patchen
4.15. Schutz vor Pufferüberläufen
4.15.1. Kernelpatch zum Schutz vor Pufferüberläufen
4.15.2. Prüfprogramme für Pufferüberläufe
4.16. Sichere Übertragung von Dateien
4.17. Einschränkung und Kontrolle des Dateisystems
4.17.1. Benutzung von Quotas
4.17.2. Die für das ext2-Dateisystem spezifischen Attribute (chattr/lsattr)
4.17.3. Prüfung der Integrität des Dateisystems
4.17.4. Aufsetzen einer Überprüfung von setuid
4.18. Absicherung des Netzwerkzugangs
4.18.1. Konfiguration der Netzwerkfähigkeiten des Kernels
4.18.2. Konfiguration von Syncookies
4.18.3. Absicherung des Netzwerks beim Hochfahren
4.18.4. Konfiguration der Firewall
4.18.5. Lösung des Problems der Weak-End-Hosts
4.18.6. Schutz vor ARP-Angriffen
4.19. Einen Schnappschuss des Systems erstellen
4.20. Andere Empfehlungen
4.20.1. Benutzen Sie keine Software, die von svgalib abhängt
Wenn das System installiert ist, können Sie es noch weiter absichern, indem Sie einige der in diesem Kapitel beschriebenen Schritte ausführen. Natürlich hängt dies vor allem von Ihrer Einrichtung ab, aber um physischen Zugriff zu verhindern, sollten Sie Abschnitt 4.3, „Änderen Sie das BIOS (noch einmal)“, Abschnitt 4.4, „Ein Passwort für LILO oder GRUB einstellen“, Abschnitt 4.6, „Entfernen des Root-Promptes aus dem Kernel“, Abschnitt 4.7, „Einschränkung der Anmeldemöglichkeiten an der Konsole“ und Abschnitt 4.8, „Einschränkung des System-Neustarts von der Konsole aus“ lesen.
Bevor Sie sich mit einem Netzwerk verbinden, insbesondere wenn es sich um ein öffentliches Netzwerk handelt, sollten Sie wenigstens eine Sicherheitsaktualisierung (siehe Abschnitt 4.2, „Ausführen von Sicherheitsaktualisierungen“) durchführen. Daneben können Sie auch einen Schnappschuss Ihres Systems machen (siehe Abschnitt 4.19, „Einen Schnappschuss des Systems erstellen“).

4.1. Abonnement der Security-Announce-Mailingliste von Debian

Um Informationen zu verfügbaren Sicherheitsaktualisierungen und die Debian-Sicherheits-Ankündigungen (DSA) zu erhalten, sollten Sie Debians Security-Announce-Mailingliste abonnieren. Lesen Sie Abschnitt 7.1, „Das Sicherheitsteam von Debian“ für weitere Informationen, wie das Sicherheitsteam von Debian arbeitet. Hinweise, wie Sie die Mailinglisten von Debian abonnieren, finden Sie unter http://lists.debian.org.
DSAs werden mit der Signatur des Sicherheitsteams von Debian unterschrieben, die unter http://security.debian.org erhältlich ist.
Sie sollten in Betracht ziehen, auch die http://lists.debian.org/debian-security zu abonnieren. Dort finden allgemeine Diskussionen zu Sicherheitsthemen im Betriebssystem Debian statt. Sie können auf der Liste sowohl mit gleichgesinnten Systemadministratoren als auch mit Entwicklern von Debian und Programmautoren in Kontakt treten. Diese werden Ihre Fragen beantworten und Ihnen Ratschläge geben.
FIXME: Add the key here too?