Original von TheVoid
Hallo Board.
Ich versuche mich grad ein wenig über linux-sicherheit schlau zu machen.
Ein Paketfilter, keine Standardports benutzen, kein remote-root-access, fleissig updaten ist ja schonmal gut und schön, aber was wenn mal was passiert?
Dh falls es halt ein Loch in den Services gibt öä., die nach aussen offen sind und jemand erstmal drin ist?
Hab da halt ein paar fragen:
1. Was ist sinnvoll in einer Firewall zu loggen (also welche iptables-regeln)?
2. Gibt es ganz einfache Network-Intrusion-Detection-Systeme? Snort soll ja recht simpel sein aber für den anfang doch noch happig
3. was könnte man noch an Grund-Sicherheitsmassnahmen treffen?
4. Literatur/Links?
Die Frage laesst sich in Buchform beantworten und deswegen moechte ich auch gleich einen Literaturverweis vorneweg nehmen. Linux-Sicherheit von Tobias Klein. Der Autor beschreibt anhand eines Redhat 6.2 wie man ein Linuxsystem entsprechend haerten kann um einen sicheren Betrieb zu ermoeglichen. (was immer sicher ist). Zwar ist das Buch selbst ziemlich distributionslastig, aber mit ein bischen Linux-verstaendnis sollte es sich problemfrei auf ein x beliebiges Linux-artiges uebertragen lassen. Mehr Informationen zum Buch wirst du unter
http://www.amazon.de/exec/obidos/ASIN/3932588045 finden.
Nun in aller Kuerze zu deinen Fragen:
1) Ich gehoere zu den Menschen die Logs lieb haben und logge ziemlich viel mit. Was du letzlich mitloggst ist komplett deine Sache, sinnvoll ist jedoch nur genau soviel wie du auch auswerten wirst. Setze Prioritaeten.
2) So richtig tolle Implemenationen gibts leider nur fuer verflucht viel Geld. Snort konnte mich nie begeistern weil es nie richtig gut funktioniert hat. Um nicht alles wiederholen zu muessen verweise ich auf
http://ds.ccc.de/077/snort
Ein wirklich simples Dingens gibts vermutlich nicht - zumindest keines bei dem du dann auch noch weist was du getan hast. Da du aber sowieso sehr viel lesen musst wenn du dich mit der thematik auseinandersetzt sollte es nicht schwerer sein als alles andere auch.
Was im Zweifelsfalle viel mehr Sinn macht ist ein host-based IDS welches dir auch gleich noch ein bischen den root-account entschaerft. Der beste root-account kann dir naemlich nicht das Genick brechen wenn im normalen Betrieb root nicht mehr Rechte hat als jeder gewoehnliche Benutzer auch. Leider gibts viel zu viele Anwendungsbeispiele in denen man das nicht umsetzen kann. ich wuerde an dieser Stelle Lids evangelisieren.
http://www.lids.org
3) Es faengt bei der Partionierung an und hoert nach viel Arbeit mit dem lesen von Logfiles auf. Sicherheit ist kein statischer Zustand der erreicht wird sondern ein dauerhafter Prozess. Die Frage an sich fordert jedoch eine solch komplexe Antwort das sie hier jeden Rahmen sprengen wuerde. Ich empfehle o.g. Literatur. Wenn du dann darueber hinaus Fragen hast lassen sich diese sicher klaeren.
Original von DelumaX
[...] bis hin zur Kontrolle der Syscalls eines Programmes per RSBAC usw...
So richtig sinn habe ich darin nie gesehen. Laesst man die Parameter aussen vor ist es letzlich so schwammig das man damit nur ein paar schlechte Programmierer verjagen kann, nimmt man sie mit rein wird es so komplex das es quasi nicht mehr umzusetzen ist und kaempft man alle 10 Minuten mit einem Fehlalarm, den man dann schlussendlich eines Tages ignoriert.