Mandrake Linux 8.1: Referenz | ||
---|---|---|
Zurück | Kapitel 14. msec - Der Mandrake Security Assistent | Nach vorne |
Im Folgenden erhalten Sie eine Beschreibung der unterschiedlichen Sicherheits-Funktionalitäten, mit denen Ihr System durch die jeweiligen Ebenen ausgestattet wird. Diese Eigenschaften umfassen unterschiedliche Typen:
Dateirechte,
Versand von Warnungen,
regelmäßige Sicherheitsüberprüfungen:
bei Dateien: können sie unter dem privilegierten Benutzerkennzeichen ausgeführt werden (suid root), sind sie schreibbar, besitzerlos,
hören an Ports: aktiv, neugierig (promiscuous[1]),
Integrität der Passwort-Dateien
X Verbindungen,
Kontrolle offener Ports,
verfügbare Dienste,
Bootpasswort,
autorisierte Klienten.
Fonktion \ Ebene | 0 | 1 | 2 | 3 | 4 | 5 |
---|---|---|---|---|---|---|
Globale Sicherheitsüberprüfung | ja | ja | ja | ja | ||
umask für Benutzer | 002 | 002 | 002 | 002 | 077 | 077 |
umask für root | 002 | 002 | 002 | 002 | 002 | 077 |
Shell ohne Passwort | ja | |||||
autorisiert für Verbindung mit X Server | alle | lokal | lokal | keiner | keiner | keiner |
Benutzer in der Gruppe audio | ja | ja | ja | |||
. im $PATH | ja | ja | ||||
Warnungen in Datei /var/log/security.log | ja | ja | ja | ja | ja | |
direkte Warnungen auf tty | ja | ja | ja | ja | ||
Warnungen in syslog | ja | ja | ja | ja | ||
Warnungen per E-Mail an root | ja | ja | ja | ja | ||
suid root Dateien prüfen | ja | ja | ja | ja | ||
suid root Dateien MD5 prüfen | ja | ja | ja | ja | ||
schreibbare Dateien prüfen | ja | ja | ja | |||
Berechtigungen prüfen | ja | ja | ja | |||
suid Gruppendateien prüfen | ja | ja | ja | |||
Besitzerlose Dateien suchen | ja | ja | ja | |||
Suche nach neugierigen Prozessen | ja | ja | ja | |||
Suche nach offenen Ports | ja | ja | ja | |||
Integrität der passwd Datei prüfen | ja | ja | ja | |||
Integrität der shadow Datei prüfen | ja | ja | ja | |||
Täglicher Sicherheits-Check um Mitternacht | ja | ja | ja | |||
Alle Systemereignisse werden zusätzlich auf /dev/tty12 protokolliert | ja | ja | ja | |||
Strg-Alt-Entf darf nur root | ja | ja | ||||
unbekannte Dienste sind abgeschaltet | ja | ja | ||||
Bootpasswort (grub/LILO) | ja | ja | ||||
Verbindungsaufbau erlaubt für | alle | alle | alle | alle | lokal | keinen |
Sechs der zehn periodischen Kontrollen können System-Änderungen erkennen. Nach jedem Check wird der aktuelle Systemzustand in Dateien unter /var/log/security/ gespeichert. Sollten nun Veränderungen seit dem letzten Check (normalerweise einen Tag vorher) aufgetreten sein, erhalten Sie eine Warnung. Die Checks sind:
Kontrolle der Dateien suid root
MD5-Test der Dateien suid root
Suche nach schreibbaren Dateien
Kontrolle von Dateien mit suid der Gruppe
Suche nach Dateien ohne Besitzer
Suche nach offenen Ports
NFS filesystems globally exported: (,,Weltweit exportierte NFS-Dateisysteme``) Dies muss als unsicher angesehen werden, da keine Möglichkeiten existieren, festzustellen, wer diese Dateisysteme eingehängt und was er evtl. verändert hat.
NFS mounts with missing nosuid: (,,NFS-Exporte mit fehlendem nosuid``) Diese Dateisysteme werden ohne die Option nosuid exportiert, die die Ausführung von suid-Programmen untersagt.
Host trusting files contain + sign: (,,Die Rechner-Vertrauens-Datei enthält das Zeichen +``) Das bedeutet, dass mindestens eine der Dateien /etc/hosts.equiv, /etc/shosts.equiv oder /etc/hosts.lpd Rechner enthält, die sich ohne saubere Authentifizierung mit Ihrem Rechner verbinden dürfen.
Executables found in the aliases files: (,,Ausführbare Programme in den Alias-Dateien gefunden``) Diese Warnung weist darauf hin, dass in mindestens einer der Dateien /etc/aliases und /etc/postfix/aliases Aliase definiert werden, die existierende Programme ,,verdecken``.
Setzt die Dateierzeugungsmaske (umask) für normale Benutzerkennzeichen auf den angegebenen Wert.
Setzt die Dateierzeugungsmaske (umask) für das privilegierte Benutzerkennzeichen root auf den angegebenen Wert.
Der Zugriff auf die Konsolen wird ohne Abfrage eines Passworts gestattet.
alle: Ausnahmslos jeder kann ein X-Fenster auf Ihrem Bildschirm öffnen.
lokal: nur Benutzer, die am localhost angeschlossen sind, dürfen ein X Fenster auf Ihrem Bildschirm öffnen.
keiner: niemand darf das.
Jeder Benutzer ist ein Mitglied der Gruppen audio, und cdrom. Das bedeutet, dass alle Benutzer einige spezielle Privilegien im Zusammenhang mit Soundkarten und Wechselmedien besitzen.
Der Platzhalter für das aktuelle Verzeichnis, der Punkt (.), wird der Umgebungs-Variable $PATH hinzugefügt. Dies erleichtert die Ausführung von Programmen im aktuellen Verzeichnis (dies ist aber ebenfalls eine Sicherheitslücke, es würde jedoch zu weit führen, hier zu erläutern, in welcher Form).
Alle MSEC-Warnungen werden in /var/log/security.log festgehalten.
Jede Warnung, die von MSEC ausgegeben wird, erscheint unmittelbar auf der aktuellen Konsole.
Alle Warnungen von MSEC werden an den Dienst syslog weitergereicht.
Warnungen, die von MSEC ausgegeben werden, werden ebenfalls per E-Mail an root verschickt.
Sucht nach neuen oder gelöschten suid root Dateien im System. Werden solche Dateien entdeckt, so wird eine Auflistung dieser Dateien als Warnung ausgegeben.
Verifiziert die MD5-Summe jeder Datei suid root. Sollte sich herausstellen, dass sie sich geändert hat, bedeutet dies, dass das Programm verändert wurde, möglicherweise hatte Ihr System Besuch von einem Eindringling. Auch hier wird eine Warnung ausgegeben.
Prüft, ob sich Dateien auf dem System befinden, die von allen verändert werden können. Falls solche Dateien gefunden werden, wird eine Warnung mit einer Liste all dieser Dateien ausgegeben.
Dieses überprüft die Berechtigungen einiger besonderer Dateien, wie zum Beispiel .netrc oder die Konfigurationsdateien der Benutzer. Weiterhin prüft es die Berechtigungen der Benutzerheimverzeichnisse. Sollten deren Berechtigungen zu locker oder deren Benutzer unüblich sein, so wird ebenfalls eine Warnung ausgegeben.
Überprüft neue oder gelöschte suid Gruppendateien im System. Werden solche Dateien gefunden, so wird eine Liste dieser Dateien als Warnung ausgegeben.
Diese Überprüfung sucht nach Dateien, die entweder Benutzern oder Gruppen gehören, die dem System nicht bekannt sind. Werden solche Dateien entdeckt, so wird der Besitzer/die Gruppe automatisch auf nobody geändert.
Dieser Test untersucht jede Ethernet-Karte ob neugierige Prozesse alle durchkommenden Daten-Pakete mithören, auch die, die nicht für sie bestimmt sind, ob sich die Karte also im sog. ,,promiscuous``-Modus befindet. Falls ja, haben Sie einen Sniffer-Prozess auf Ihrem Rechner laufen. Dieser Test wird einmal pro Minute durchgeführt!
Generiert eine Liste aller offenen Ports Ihres Systems.
Kontrolliert, ob für jedes Benutzerkennzeichen ein Passwort (kein leeres und kein zu leicht zu erratendes) existiert und das dieses in der Datei shadow steht.
Stellt sicher, dass jeder Benutzer in der Datei shadow ein Passwort besitzt (welches nicht leer oder einfach zu erraten ist).
Alle vorherigen Überprüfungen werden jeden Tag um Mitternacht durchgeführt. Dies setzt die Hinzufügung eines cron Skriptes in der Datei crontab voraus.
Nur Dienste in /etc/security/msec/init-sh/server.4 für Sicherheitsebene 4, bzw. server.5 für Ebene 5, bleiben unbehelligt, alle anderen werden angehalten. Sie werden nicht aus dem System entfernt, sondern einfach beim nächsten Wechseln des Runlevels nicht mehr gestartet. Sollten Sie einen davon wieder benötigen, können Sie ihn mit Hilfe des Programms chkconfig erneut hinzufügen (vermutlich werden Sie ihn auch erneut mit dem entsprechenden init-Skript, das Sie im Verzeichnis /etc/rc.d/init.d/ finden, starten müssen).
Je nach verwendetem Betriebssystem-Starter erhalten Sie hier unterschiedliches Verhalten:
Zum Boot-Zeitpunkt fragt grub Sie nur nach dem Passwort, wenn Sie dem Kern manuell zusätzliche Parameter übergeben wollen. Das ermöglicht es Ihrem Rechner einerseits ohne menschliches Eingreifen einen Neustart durchzuführen, andererseits verhindert es, dass unautorisierte Personen durch einen Neustart des Rechners Zugriff auf das System bekommen können (etwa durch Starten in den sog. fail safe-Modus).
Erlaubt es Ihnen LILO durch ein Passwort zu schützen. Dies verhindert, dass (unbefugte) Personen Ihren Rechner starten, andererseits kann Ihr System dann nicht selbst einen Neustart ausführen.
alle: Alle Rechner dürfen sich an offenen Ports melden.
lokal: Nur Prozesse Ihres Rechners (localhost) dürfen sich an offenen Ports melden.
keinen: kein Rechner darf sich mit offenen Ports verbinden.
[1] | Prozesse die Pakete mithören, die nicht für sie bestimmt sind. |
Zurück | Zum Anfang | Nach vorne |
Festlegen Ihrer Sicherheitsebene | Nach oben | Einstellungsassistenten |