• Zielgruppen
  • Suche
 

UNIX: Vorbeugende Maßnahmen im Hinblick auf den nächsten Angriff

Im Folgenden ist eine Liste angegeben, anhand derer Sie überprüfen können, ob Sie gegen die bekanntesten Sicherheitslücken in Unix-Systemen gewappnet sind. Die aufgeführten Maßnahmen sind auch unverzichtbar zur Abwehr zukünftiger Attacken.

1. Allgemein empfohlen wird hier, Programme wie xinetd oder tcp_wrapper zu installieren, die alle TCP-Verbindungen zu Ihrem System protokollieren können. Hierdurch kann der Administrator potentielle Einbruchsversuche erkennen. Leiten Sie den Syslog-Output an einen Syslog-Server auf einer anderen Maschine weiter, so daß dieser nicht so leicht von Hackern modifiziert werden kann. Setzen Sie "rpcinfo -p" auf Ihrem Rechner ab, um nichtbenötigte Prozesse, wie z.B. rexd, zu ermitteln. Schalten Sie diese ab.

2. Suchen Sie nach '+' in /etc/hosts.equiv und löschen Sie diesen Eintrag gegebenenfalls.

3. Überprüfen Sie, ob tftp abgeschaltet ist. Wenn nicht, tun Sie dies bzw. benutzen Sie zumindest das -s Flag bzw. das für das kompromittierte System entsprechende Flag, um es mit chroot in einen sicheren Bereich zu verlagern. Lassen Sie tftp auf keinen Fall unter Root laufen. Ändern Sie die Zeile in /etc/inetd.conf in der folgenden Art ab:

tftp dgram udp wait nobody /usr/etc/in.tftpd in.tftpd -s /tftpboot

bzw. benutzen Sie das tcpd Wrapper-Programm, um tftp vor unberechtigten Zugriffen zu schützen:

tftp dgram udp wait nobody /usr/etc/tcpd in.tftpd -s /tftpboot

und konfigurieren Sie in /etc/hosts.allow den Eintrag in.tftpd so, daß nur berechtigte Adressen zugreifen dürfen.

4. Prüfen Sie crontabs und at-Jobs.

5. Überprüfen Sie /etc/rc.boot, /etc/rc.local (SYSV: /etc/rc*.d /*) und andere Dateien, die für den System-Startup notwendig sind. Überprüfen Sie alle Dateien, die Konfigurationsinformationen enthalten (sendmail.cf, sendmail.fc, hosts.allow, at.allow, at.deny, cron.allow, hosts, hosts.lpd, etc.). Schauen Sie in /etc/aliases nach Einträgen, die unübliche Programme starten (uudecode ist nur eines von vielen).

6. Überprüfen Sie /etc/inetd.conf und /etc/services auf zusätzlich eingetragene Dienste.

7. Sichern Sie alle Log-Dateien an sicheren Plätzen (pacct, wtmp, lastlog, sulog, syslog, authlog, ...). Denken Sie über andere Stellen nach, wo Informationen über Einbrüche gespeichert sein könnten (z.B. /tmp/* Dateien). Überprüfen Sie diese, bevor Sie rebooten.

8. Implementieren Sie ein Password-Schema für Ihre Benutzer, das ein öfteres Ändern der Passwörter sicherstellt. Installieren Sie anlpasswd, npasswd oder passwd+ an Stelle von passwd (oder yppasswd), so daß Ihre Benutzer gezwungen werden, sichere Passwörter zu definieren. Lassen Sie anschließend crack laufen. Auf jedem Netzwerk stellen Klartext-Passworte ein Sicherheitsrisiko dar. Benutzen Sie daher Einmal-Passwörter oder Punkt-zu-Punkt-Verschlüsselung z.B. ssh.

9. Überprüfen Sie den Anonymous-FTP-Server auf richtige Konfiguration.

10. Um Ihre Arbeit zu vereinfachen, sollten Sie einen ident daemon installieren (z.B. ftp://ftp.cert.dfn.de/pub/tools/audit/pidentd), der in Zusammenarbeit mit dem tcpd herausfinden kann, welche Accounts ein Hacker benutzt.

11. Stellen Sie sicher, dass die Konsole als einzig sicheres Terminal anerkannt wird. Hierdurch verhindern Sie direkten Telnet-Root-Zugriff aus dem Internet.

12. Überprüfen Sie hosts.equiv, .rhosts, und hosts.lpd auf Einträge der Form # als Kommentar. Sollte es ein Hacker schaffen sich als Rechner "#" auszugeben, so hat er Zugriff auf Ihren Rechner. Denken Sie immer daran, daß es sehr viele Möglichkeiten gibt, in ein System einzubrechen. Die obigen Punkte sind nur einige davon.

13. Bitte benutzen Sie immer das neueste Sendmail-Programm. Alte Sendmail-Versionen erlaubten oft das Ausführen von Unix-Kommandos von entfernter Stelle aus.

14. Installieren Sie ebenso bitte immer die neuesten Sicherheits-Patches, die vom Hersteller des Rechners zur Verfügung gestellt werden.

15. Sorgen Sie dafür, dass auch die anderen Maschinen am lokalen Netz überprüft werden, da diese ebenfalls oft übernommen werden. Das gilt insbesondere, wenn NIS benutzt wird oder wenn Rechner anderen Rechnern vertrauen (.rhost-Dateien und/oder /etc/hosts.equiv-Dateien).