110.1 Administrationsaufgaben für Sicherheit durchführen

Kandidaten sollten wissen, wie sie die Systemkonfiguration prüfen, um die Sicherheit des Rechners in Übereinstimmung mit örtlichen Sicherheitsrichtlinien zu gewährleisten.

Wichtigste Wissensgebiete

• Ein System nach Dateien mit gesetztem SUID/SGID-Bit durchsuchen
• Benutzerkennwörter und den Verfall von Kennwörtern setzen oder ändern
• Mit nmap und netstat offene Ports auf einem System finden können
• Grenzen für Benutzeranmeldungen, Prozesse und Speicherverbrauch setzen
• Grundlegende Konfiguration und Gebrauch von sudo

find
passwd
lsof
nmap
chage
netstat
sudo
/etc/sudoers
su
usermod
ulimit

ulimit

• http://posidev.com/blog/2009/06/04/set-ulimit-parameters-on-ubuntu/

ulimit -a
core file size          (blocks, -c) 0
data seg size           (kbytes, -d) unlimited
scheduling priority             (-e) 0
file size               (blocks, -f) unlimited
pending signals                 (-i) 16382
max locked memory       (kbytes, -l) 64
max memory size         (kbytes, -m) unlimited
open files                      (-n) 1024
pipe size            (512 bytes, -p) 8
POSIX message queues     (bytes, -q) 819200
real-time priority              (-r) 0
stack size              (kbytes, -s) 8192
cpu time               (seconds, -t) unlimited
max user processes              (-u) unlimited
virtual memory          (kbytes, -v) unlimited
file locks                      (-x) unlimited

110.2 Einen Rechner absichern

Kandidaten sollten wissen, wie sie eine grundlegende Rechnersicherheit konfigurieren können.

Wichtigste Wissensgebiete

• Kenntnisse über Shadow-Kennwörter und wie sie funktionieren
• Nicht verwendete Netzdienste abschalten
• Die Rolle der TCP-Wrapper verstehen

/etc/nologin
/etc/passwd
/etc/shadow
/etc/xinetd.d/*
/etc/xinetd.conf
/etc/inet.d/*
/etc/inetd.conf
/etc/inittab
/etc/init.d/*
/etc/hosts.allow
/etc/hosts.deny 

Allgemeines

inetd

xinetd

• man 8 xinetd
• moderner Nachfahre von inetd
• Eigener, intigrierter TCP-Wrapper
• Kann Dienste starten die NICHT unter /etc/services gelistet sind
• Config: /etc/xinetd.conf, /etc/xinetd.d/*
• Dienste anschalten: disable = no + /etc/init.d/xinetd restart

root:/etc/xinetd.d# cat echo 
# default: off
# description: An xinetd internal service which echo's characters back to
# clients.
# This is the tcp version.
service echo
{
	disable		= yes
	type		= INTERNAL
	id		= echo-stream
	socket_type	= stream
	protocol	= tcp
	user		= root
	wait		= no
}    

Weitere wichtige Optionen:

       bind             Allows  a  service to be bound to a specific interface
                        on the machine.  This means  you  can  have  a  telnet
                        server  listening  on  a local, secured interface, and
                        not on the external interface.  Or  one  port  on  one
                        interface  can  do something, while the same port on a
                        different interface can do something  completely  dif‐
                        ferent.  Syntax: bind = (ip address of interface).

       interface        Synonym for bind.

TCP-Wrapper

/etc/nologin

• Existiert die Datei /etc/nologin, darf sich nur root anmelden!

110.3 Daten durch Verschlüsselung schützen

Der Kandidat sollte in der Lage sein, Public-Key-Techniken zum Schutz von Daten und Kommunikation einzusetzen.

Wichtigste Wissensgebiete

• Einen OpenSSH-2-Client grundlegend konfigurieren und verwenden
• Die Rolle von OpenSSH-2-Rechnerschlüsseln verstehen
• GnuPG grundlegend konfigurieren und verwenden
• SSH-Port-Tunnel (auch X11-Tunnel) verstehen

ssh
ssh-keygen
ssh-agent
ssh-add
~/.ssh/id_rsa and id_rsa.pub
~/.ssh/id_dsa and id_dsa.pub
/etc/ssh/ssh_host_rsa_key and ssh_host_rsa_key.pub
/etc/ssh/ssh_host_dsa_key and ssh_host_dsa_key.pub
~/.ssh/authorized_keys
/etc/ssh_known_hosts
gpg
~/.gnupg/*

gpg

• http://www.gnupg.org/howtos/de/GPGMiniHowto-3.html