Anleitung zum Absichern von Debian
Kapitel 2 - Bevor Sie beginnen ...

2.1 Wofür möchten Sie dieses System benutzen?

Das Absichern von Debian ist nicht viel anders als das Absichern von irgendeinem anderen System. Um es richtig zu machen müssen Sie zunächst entscheiden, was Sie damit machen möchten. Anschließend müssen Sie sich klarmachen, dass Sie die folgenden Schritte sorgfältig ausgeführt werden müssen, um ein wirklich sicheres System zu bekommen.

Sie werden feststellen, dass diese Anleitung von der Pike auf geschrieben ist. Sie werden die Informationen zu einer Aufgabe, die Sie vor, während und nach der Debian Installation ausführen sollten, in der entsprechenden Reihenfolge vorgestellt bekommen. Die einzelnen Aufgaben können wie folgt beschrieben werden:

• Entscheiden Sie, welche Dienste Sie benötigen, und beschränken Sie Ihr System auf selbige. Dies schließt das Deaktivieren / Deinstallieren von nicht benötigten Diensten und das Installieren von Firewall-ähnlichen Filtern oder TCP-Wrappern ein.

• Einschränken der Nutzer- und Zugriffsrechte auf Ihrem System.

• Abhärten der angebotenen Dienste, damit der Einfluss auf Ihr System im Falle einer Kompromittierung möglichst gering ist.

• Benutzen Sie die passenden Tools, um sicherzustellen, dass ein unautorisierter Zugriff auf Ihrem System entdeckt wird, so dass Sie geeignete Gegenmaßnahmen ergreifen können.

2.2 Seien Sie wachsam gegenüber generellen Sicherheitsproblemen!

Diese Anleitung geht (normalerweise) nicht auf Details ein, warum bestimmte Sachen als Sicherheitsrisiko betrachtet werden. Vielleicht möchten Sie aber ein mehr Hintergrundwissen über generelle Unix- und (bestimmte) Linux-Sicherheit. Nehmen Sie sich die Zeit, um sicherheitsrelevante Dokumente zu lesen, um Entscheidungen informiert treffen zu können, wenn Sie eine Auswahl treffen müssen. Debian GNU/Linux basiert auf dem Linux-Kernel, so dass viele Informationen über Linux, und sogar über andere Distributionen und allgemeine UNIX-Sicherheit, auch hierauf zutreffen (sogar wenn sich die benutzten Werkzeuge oder die verfügbaren Programme unterscheiden).

Ein Paar nützliche Dokumente sind:

• Das Linux Security HOWTO (auch unterLinuxSecurity verfügbar) ist eine der besten Referenzen über allgemeine Linux-Sicherheit.

• Das Security Quick-Start HOWTO for Linux ist ein sehr guter Anfang für unerfahrene Nutzer (sowohl über Linux als auch zum Thema Sicherheit)

• Der Linux Security Administrator's Guide (wird unter Debian durch das Paket lasg zur Verfügung gestellt) ist eine komplette Anleitung, die alle Sicherheitsangelegenheiten von Linux behandelt, von Sicherheit im Kernel bis hin zu VPNs. Es ist ein wenig veraltet (seit 1999 nicht mehr aktualisiert) und wurde durch die Linux Security Knowledge Base ersetzt. Dieses Dokument stellt Ihnen Debian mit dem Paket lskb zur Verfügung.

• Kurt Seifried's Securing Linux Step by Step.

• In Securing and Optimizing Linux: RedHat Edition finden Sie eine Dokumentation ähnlich zu dieser, bezogen auf RedHat. Manche behandelten Sachen sind nicht distributionsspezifisch, passen also auch auf Debian.

• IntersectAlliance hat einige Dokumente veröffentlicht, die als Referenz benutzt werden können, wie man einen Linux-Server (und seine Dienste) abhärtet. Diese Dokumente sind auf ihrer Seite verfügbar.

• Für Netzwerk-Administratoren ist das Securing your Domain HOWTO ein gutes Handbuch, wie man sein Netzwerk absichert.

• Wenn Sie die Programme, die Sie benutzen möchten (oder die Sie neu schreiben wollen), bezüglich Sicherheit auswerten wollen, sollten Sie das Secure Programs HOWTO durchlesen.

• Wenn Sie es in Betracht ziehen, eine Firewall zu installieren, sollten Sie das Firewall HOWTO und das IPCHAINS HOWTO (bei Kerneln vor Version 2.4) lesen.

• Schließlich ist die Linux Security RefenceCard eine gute Kurzübersicht, um in Sachen Sicherheit auf dem aktuellen Stand zu bleiben.

In jedem Fall gibt es mehr Informationen über die Dienste (NFS, NIS, SMB...) in den vielen HOWTOs, die Sie beim Linuxdoc Project finden. Manche dieser Dokumente gehen auf die Sicherheitsaspekte von bestimmten Diensten ein. Gehen Sie sicher, dass Sie auch hierrauf einen Blick werfen.

Die HOWTO-Dokumente des Linux Dokomentation Projektes sind unter Debian GNU/Linux duch Installation der Pakete doc-linux-text (Text-Version) oder doc-linux-html (HTML-Version) verfügbar. Nach der Installation sind diese Dokumente in den Verzeichnissen /usr/share/doc/HOWTO/en-txt beziehungsweise /usr/share/doc/HOWTO/en-html vorhanden.

Andere empfohlene Linux-Bücher:

• Maximum Linux Security : A Hacker's Guide to Protecting Your Linux Server and Network. Anonymous. Paperback - 829 pages. Sams Publishing. ISBN: 0672313413. July 1999.

• Linux Security By John S. Flowers. New Riders; ISBN: 0735700354. March 1999

• Hacking Linux Exposed By Brian Hatch. McGraw-Hill Higher Education. ISBN 0072127732. April, 2001

Andere Bücher (auch über allgemeine Aspekte von Sicherheit unter Unix, nicht nur Linuxspezifisch):

• Practical Unix and Internet Security (2nd Edition) Garfinkel, Simpson, and Spafford, Gene; O'Reilly Associates; ISBN 0-56592-148-8; 1004pp; 1996.

• Firewalls and Internet Security Cheswick, William R. and Bellovin, Steven M.; Addison-Wesley; 1994; ISBN 0-201-63357-4; 320pp.

Andere nützliche Webseiten, um sich bezüglich Sicherheit auf dem Laufenden zu halten:

• NIST Security Guidelines.

• Security Focus Dort wird die Bugtraq-Schwachstellen-Datenbank und Mailingliste bereitgestellt und es gibt allgemeine sicherheitsrelevante Informationen, Neuigkeiten und Berichte.

• Linux Security. Allgemeine Informationen zu Sicherheit von Linux (Tools, Neuigkeiten...). Die Seite main documentation ist sehr nützlich.

• Linux firewall and security site. Allgemeine Informationen zu Linux Firewalls und Tools, diese zu kontrollieren und zu administrieren.

2.3 Wie geht Debian mit der Sicherheit um?

Um einen allgemeinen Überblick über die Sicherheit unter Debian GNU/Linux zu bekommen, sollten Sie sich ansehen, was Debian tut, um ein sicheres System zu gewährleisten.

• Debians Probleme werden immer öffentlich behandelt, sogar, wenn sie die Sicherheit betreffen. Wie der Debian-Gesellschaftsvertrag sagt: Wir werden Probleme nicht verbergen. Wir werden unsere Fehlerdatenbank für alle Zeiten öffentlich betreiben. Fehlermeldungen, die von Anwendern online abgeschickt werden, werden augenblicklich für andere sichtbar. Aspekte der Sicherheit werden öffentlich auf der debian-security Mailing-Liste diskutiert. Debians Sicherheitsgutachten werden über eine öffentliche Mailing-Liste gesendet (sowohl innerhalb als auch außerhalb) und auf einem öfentlichen Server veröffentlicht.

• Debian verfolgt Sicherheitsangelegenheiten sehr aufmerksam. Das Sicherheits-Team prüft viele sicherheitsrelevante Quellen, die wichtigste davon Bugtraq, während es Pakete mit Sicherheitsproblemen sucht, die ein Teil von Debian sein können.

• Sicherheits-Updates genießen höchste Priorität. Wenn ein Sicherheitsproblem in einem Debian-Paket entdeckt wird, wird ein Sicherheitsupdate so schnell wie möglich vorbereitet und für das stabile und instabile Release, einschließlich aller Architekturen, veröffentlicht.

• Alle Informationen über Sicherheit sind an einer zentralen Stelle zu finden: http://security.debian.org/.

• Debian versucht immer, die gesamte Sicherheit seiner Distribution zu verbessern, beispielsweise durch automatische Paket-Signierungs- und Verifikations-Mechanismen.

• Debian versucht, eine nützliche Zahl von sicherheitsrelevanten Werkzeugen für System-Administratoren und zur Überwachung zur Verfügung zu stellen. Entwickler versuchen, diese Werkzeuge fest mit der Distribution zu verbinden, um Sie anpassbarer zur Durchsetzung lokaler Sicherheits-Regelungen zu machen. Diese Werkzeuge schließen folgendes mit ein: integritätsprüfende Programme, allgemeine Prüfwerkzeuge, Werkzeuge zum Abhärten, Werkzeuge für Firewalls, Eindringlings-Erkennungs-Tools und vieles andere.

• Paket-Betreuer sind sich der Sicherheits-Probleme bewusst. Dies führt oft zu "voreingestellt sicheren" Installationen von Diensten, die Sie manchmal in Ihrer normalen Benutzung etwas einschränken. Dennoch versucht Debian, Sicherheitsaspekte und einfache Administration abzuwägen, zum Beispiel werden Dienste nicht inaktiv installiert, wie es bei den Distributionen der BSD-Familie üblich ist. Auf jeden Fall sind spezielle Sicherheitsaspekte, wie zum Beispiel setuid-Programme, Teil der Debian Policy.

Dieses Dokument versucht, bessere, distributionsspezifische Informationen über Sicherheit zu veröffentlichen. Dabei sollen andere Dokumente über Sicherheit um Tools, die im Debian Betriebssystem verwendet werden, ergänzt werden.

Anleitung zum Absichern von Debian