DokumentationVorausgesetzt, dass Sie dies nicht tun, werden wir Ihnen schnell die Schritte auflisten, die Sie unternehmen können, um Ihre Maschine zu sichern. Weitere Informationen finden Sie im Linux Security HOWTO.
10.5.2. Dienstleistungen
Ziel ist es, so wenige Dienste wie möglich auszuführen. Wenn die Anzahl der nach außen offenen Ports auf ein Minimum beschränkt wird, behält man umso besser den Überblick. Wenn Dienste für das lokale Netzwerk nicht deaktiviert werden können, versuchen Sie, sie zumindest für externe Verbindungen zu deaktivieren.
Als Faustregel gilt: Wenn Sie einen bestimmten Dienst nicht kennen, werden Sie ihn wahrscheinlich sowieso nicht benötigen. Bedenken Sie auch, dass einige Dienste eigentlich nicht für die Nutzung über das Internet gedacht sind. Verlassen Sie sich nicht auf was sollte Überprüfen Sie, welche Dienste auf welchen TCP-Ports lauschen netstat Befehl:
[elly@mars ~] netstat -l | grep tcp
TCP | 0 | 0 | *:32769 | *: * | LISTEN |
TCP | 0 | 0 | *:32771 | *: * | LISTEN |
TCP | 0 | 0 | *:Drucker | *: * | LISTEN |
TCP | 0 | 0 | *:kerberos_master | *: * | LISTEN |
TCP | 0 | 0 | *:sunrpc | *: * | LISTEN |
TCP | 0 | 0 | *:6001 | *: * | LISTEN |
TCP | 0 | 0 | *:785 | *: * | LISTEN |
TCP | 0 | 0 | localhost.localdom:smtp | *: * | LISTEN |
TCP | 0 | 0 | *:ftp | *: * | LISTEN |
TCP | 0 | 0 | *:ssh | *: * | LISTEN |
TCP | 0 | 0 | ::1:x11-ssh-offset | *: * | LISTEN |
Dinge zu vermeiden:
• exec, rlogin und rsh sowie telnet, nur um auf der sicheren Seite zu sein.
• X11 auf Servermaschinen.
• Kein LP, wenn kein Drucker physisch angeschlossen ist.
• Keine MS Windows-Hosts im Netzwerk, kein Samba erforderlich.
• Erlauben Sie kein FTP, es sei denn, ein FTP-Server ist erforderlich.
• Lassen Sie NFS und NIS nicht über das Internet zu, deaktivieren Sie alle zugehörigen Dienste bei einer Einzelplatzinstallation.
• Führen Sie keinen MTA aus, wenn Sie sich nicht tatsächlich auf einem Mailserver befinden.
• ...