110: Sicherheit
Jump to navigation
Jump to search
110.1 Administrationsaufgaben für Sicherheit durchführen
Kandidaten sollten wissen, wie sie die Systemkonfiguration prüfen, um die Sicherheit des Rechners in Übereinstimmung mit örtlichen Sicherheitsrichtlinien zu gewährleisten.
Wichtigste Wissensgebiete
- Ein System nach Dateien mit gesetztem SUID/SGID-Bit durchsuchen
- Benutzerkennwörter und den Verfall von Kennwörtern setzen oder ändern
- Mit nmap und netstat offene Ports auf einem System finden können
- Grenzen für Benutzeranmeldungen, Prozesse und Speicherverbrauch setzen
- Grundlegende Konfiguration und Gebrauch von sudo
find passwd lsof nmap chage netstat sudo /etc/sudoers su usermod ulimit
ulimit
ulimit -a core file size (blocks, -c) 0 data seg size (kbytes, -d) unlimited scheduling priority (-e) 0 file size (blocks, -f) unlimited pending signals (-i) 16382 max locked memory (kbytes, -l) 64 max memory size (kbytes, -m) unlimited open files (-n) 1024 pipe size (512 bytes, -p) 8 POSIX message queues (bytes, -q) 819200 real-time priority (-r) 0 stack size (kbytes, -s) 8192 cpu time (seconds, -t) unlimited max user processes (-u) unlimited virtual memory (kbytes, -v) unlimited file locks (-x) unlimited
110.2 Einen Rechner absichern
Kandidaten sollten wissen, wie sie eine grundlegende Rechnersicherheit konfigurieren können.
Wichtigste Wissensgebiete
- Kenntnisse über Shadow-Kennwörter und wie sie funktionieren
- Nicht verwendete Netzdienste abschalten
- Die Rolle der TCP-Wrapper verstehen
/etc/nologin /etc/passwd /etc/shadow /etc/xinetd.d/* /etc/xinetd.conf /etc/inet.d/* /etc/inetd.conf /etc/inittab /etc/init.d/* /etc/hosts.allow /etc/hosts.deny
Allgemeines
inetd
xinetd
- man 8 xinetd
- moderner Nachfahre von inetd
- Eigener, intigrierter TCP-Wrapper
- Kann Dienste starten die NICHT unter /etc/services gelistet sind
- Config: /etc/xinetd.conf, /etc/xinetd.d/*
- Dienste anschalten: disable = no + /etc/init.d/xinetd restart
root:/etc/xinetd.d# cat echo
# default: off
# description: An xinetd internal service which echo's characters back to
# clients.
# This is the tcp version.
service echo
{
disable = yes
type = INTERNAL
id = echo-stream
socket_type = stream
protocol = tcp
user = root
wait = no
}
Weitere wichtige Optionen:
bind Allows a service to be bound to a specific interface
on the machine. This means you can have a telnet
server listening on a local, secured interface, and
not on the external interface. Or one port on one
interface can do something, while the same port on a
different interface can do something completely dif‐
ferent. Syntax: bind = (ip address of interface).
interface Synonym for bind.
TCP-Wrapper
/etc/nologin
- Existiert die Datei /etc/nologin, darf sich nur root anmelden!
110.3 Daten durch Verschlüsselung schützen
Der Kandidat sollte in der Lage sein, Public-Key-Techniken zum Schutz von Daten und Kommunikation einzusetzen.
Wichtigste Wissensgebiete
- Einen OpenSSH-2-Client grundlegend konfigurieren und verwenden
- Die Rolle von OpenSSH-2-Rechnerschlüsseln verstehen
- GnuPG grundlegend konfigurieren und verwenden
- SSH-Port-Tunnel (auch X11-Tunnel) verstehen
ssh ssh-keygen ssh-agent ssh-add ~/.ssh/id_rsa and id_rsa.pub ~/.ssh/id_dsa and id_dsa.pub /etc/ssh/ssh_host_rsa_key and ssh_host_rsa_key.pub /etc/ssh/ssh_host_dsa_key and ssh_host_dsa_key.pub ~/.ssh/authorized_keys /etc/ssh_known_hosts gpg ~/.gnupg/*