System "härten"

Hallo Leute,

ich bin heute bei der Lektüre der Network Computing über einen Kurzbericht über http://bastille-linux.org/ gestolpert. Das ganze hörte sich recht interessant an. Ich wollte allerdings nun wissen ob das System auch wirklich was taugt oder ob es bessere Alternativen gibt um sein System zu härten.

Hat jemand Erfahrungen damit?!

Hi Rene,

Ich persönlich schwöre auf Adamantix (http://www.adamantix.org). Nachteil hierbei: Die gehärteten Pakete sind ausschliesslich für Debian Woody verfügbar.

Wenn Du allerdings offen für alles bist, solltest Du Dir mal Hardened LFS zu gemüte führen.
Mehr Infos dazu findest Du unter http://www.linuxfromscratch.org/hlfs/news.html

Generell bedeutet Hardened nur, das bestimmte Systemkomponenten unempfindlich gegen Buffer Overflows gemacht werden (gcc Compiler, binutils, etc)
Weitere Möglichkeiten bietet da das oben angesprochene Adamantix Projekt. Hier werden nicht nur einzelne Komponenten gehärtet, sondern auch sogenannte Advanced access controls eingeführt.
In erster Linie handelt es sich hierbei um RSBAC (http://www.rsbac.org/why), welches den Zugriff auf Dateien/Devices anhand von Rulesets definiert.

Prinzipiell sind diese gehärteten Distris NUR für den Servereinsatz zu empfehlen. Ein gehärtetes Linux mit grafischer Oberfläche führt jegliche Sicherheit ad absurdum. Wenn Du deinen Desktop etwas sicherer machen möchtest, empfehle ich Dir neben den herkömlichen Security-Howtos noch grsecurity (von Brad Spengler) und/oder SELinux (von der NSA).

Ein ebenfalls sehr vielversprechendes Projekt kommt von Captain Crunch aus dem Rootforum. http://www.crunchix.org
Leider steckt das Projekt noch in den Kinderschuhen.

Gruß
Sven

So, habe gestern das Thema wieder aufgegriffen. Der Grund, ich will/wollte mich daran machen einen Server auf der anderen Kiste aufzusetzen. Erstmal um ein Gefühl dafür zu bekommen.

Genau aus diesem Grund (es ist eigentlich ein blanko Sarge ohne Konfig u.ä.) dachte ich mir ich könne doch einfach mal ein paar Experimente machen wie man so ein System sicher bekommt.

Dabei habe ich ein wenig gegoogelt und ein paar nette Howtos zum Thema Security und härten von Systemen gefunden.

http://aboutdebian.com/
https://sourceforge.net/docman/display_doc.php?docid=20372&group_id=21266
http://www.coker.com.au/selinux/
http://www.golden-gryphon.com/software/security/selinux-uml.xhtml
http://thomas.enix.org/HowtoRootStrap

Allerdings hat es mir dabei so den Kopf zerblasen das ich nicht mehr wusste vor vorne und hinten ist.

Das ist auch der Grund weshalb ich hier nochmal ein wenig um Nachhilfe bitten wollte.

Ich habe nach konsultation der o.g. Seiten folgendes Bild vor Augen was eine Ausgewogene Sicherheit für einen Server zur Verfügung stellen sollte.

So wie ich das sehe wird zunächst ein Grundsystem installiert.
Idealerweise mit einem Kernel der für UML gepatched ist (was macht dieser Patch eigentlich, was verändert sich danach? Hab ich ein lustiges Bootlogo plötzlich im Bootscreen? Kann mein Linux plötzlich Chinesisch?).
In diese UML Umgebung (Host System) wird nun scheinbar ein weiteres System (oder zumindest ein weiterer Kernel pro Instanz) installiert.
Idealerweise ist dieses System mit den SELinux Komponenten gepatched. (Auch hier die Frage was sich konkret verändert! Was bekommt man davon mit?)

Ab dem Punkt habe ich dann den Faden verloren. Ab da schwirren nur noch zwei Schlagworte unkontrolliert in meinem Kopf herum und ich weiß Sie nicht einzuordnen.

Die Schlagworte heissen: Rootstrap und grsecurity

Kann irgendjemand ein wenig Ordnung in das Chaos in meinem Schädel bringen?

Ich verstehe nämlich Bahnhof. Vieleicht hat auch jemand ein gutes Deutsches Howto. Denn vieleicht liegt es an meinen Mittelmäßigen Englischkenntnissen das ich den Faden verloren habe, oder an meinen noch schlechteren Linux Kentnissen.

Ich würde mich gerne Enrsthaft mit der Thematik beschäftigen da z.B. das Thema UML ja iM Serverbereich recht wichtig zu sein scheint.

Sorry wenn ich zu viele Blöde Fragen stelle. Ich bin halt nur ein doofer Elektroniker und kein Admin.

P.S. Noch so ein Ding das ich nicht richtig durchschaut habe. Welche Kernel sind denn nun besser für den Servereinsatz. Die 2.6er oder die 2.4er?! Es scheinen ja beide Kernel Unterstützt zu werden von den meisten Security Erweiterungen.

Gandalf_the_Grey schrieb:

Die Schlagworte heissen: Rootstrap und grsecurity

Zum Vergrößern anklicken....

Nochma: Alle Systemhärtenden Maßnahmen sind NICHT für den Desktopeinsatz geeignet.
gresecurity in Verbindung mit einem XFree oder Xorg System ist ein Widerspruch in sich. Damit das ganze überhaupt mal laufen kann, muss ich mittels pax derart viele Ausnahmen definieren, das ich das ganze wieder so offen gemacht habe. Da kann ich grsec gleich ganz weglassen.

P.S. Noch so ein Ding das ich nicht richtig durchschaut habe. Welche Kernel sind denn nun besser für den Servereinsatz. Die 2.6er oder die 2.4er?! Es scheinen ja beide Kernel Unterstützt zu werden von den meisten Security Erweiterungen.

Zum Vergrößern anklicken....

ganz klar: 2.4.x
Das aber auch nur aus dem Grund, da er wesentlich erprobter ist und der 2.6er Kernel nur dort Vorteile hat, wo viele (neue) Multimediageräte im Einsatz sind. Schwachstellen wie Preemptible Kernel oder Low latency scheduling kann man dank Plum Loco Soft (http://www.plumlocosoft.com/kernel) gut nachpatchen.

Ein relativ junges Projekt (Xen) scheint sehr vielversprechend zu sein, ist auch deutlich einfacher zu konfigurieren als UML. (http://www.cl.cam.ac.uk/Research/SRG/netos/xen/index.html)

Ansonsten kannst Du noch auf RSBAC zurückgreifen, was allerdings sehr umfangreich und sehr schwer zu konfigurieren ist. (http://www.rsbac.org)

Die besten Erfahrungen im Desktopbereich habe ich persönlich mit SELinux gemacht. (http://www.nsa.gov/selinux)

Gruß
Sven

Ähm wie du oben sicher gelesen hast rede ich von einem Testserver. Also ohne jegliche GUI!!!

Also das mit dem 2.4er Kernel ist jetzt klar. Ansonsten hast du mich soeben noch verwirrter gemacht als ich eh schon bin. Es scheint ja ZIG Möglichkeiten und Optionen zu geben einen Server zu härten bzw. abzusichern.

Mir geht es in erster Linie eben darum für den Mail, Datenbank und Webserver (dazu soll der Testserver letztendlich gedeihen) so abzusichern das er ohne Probleme im Netz 24h/365d stehen kann ohne Offen für alles und jeden zu sein.

Er soll außerdem Unfanfällig gegen Hacker Angriffe sein.

Deswegen kam ich auf die Idee mit UML. Da dort ja die einzelnen Instanzen unabhängig voneinander arbeiten (so wie ich verstanden habe ähnlich wie bei Virtual PC). Da mir das aber nicht genug ist wollte ich die einzelnen Systeme (unterhalb der UML) weiter absichern.

Da viel mir eben SE Linux ins Auge. Bei den Recherchen zu den beiden Themen vielen aber noch in Verbindung damit die Begriffe grsecurity und Rootstrap.

Dabei habe ich eben den Überblick verloren.

Ich will eigentlich nur grob Wissen wie ich mir das ganze Vorzustellen habe. Wie läuft eine Installation in groben Schritten ab. Was verändert sich für mich als Admin wenn ich die Kiste einricht. Merke ich einen Unterschied.

Die Begriffe Rootstrap und grsecurity konnte ich außerdem in Verbindung mit meiner oben genannten Absicht UML und SELinux laufen zu lassen nicht einordnen.

Deswegen hier meine Anfrage.

Es geht NICHT um ein Desktopsystem. Davon lasse ich erstmal (da es zu 87% läuft) die Finger und versuche mich an was anderem.

Hmm sorry, dann hab' ich nicht richtig gelesen ^^

Also auf meinen Servern läuft grsecurity die wichtigsten Dienste sind gechrooted...
Das reicht eigentlich an Sicherheit, wenn der Rest des Systems sicher konfiguriert ist und immer die aktuellen Patches eingespielt sind.

Auf dem Server der WT Zockerbase läuft SELinux, da ich hier wegen der ganzen Spiele kein grsecurity brauchen kann.

Ich würde Dir echt mal empfehlen, dich mit Xen (siehe Link aus dem Postiung davor) zu beschäftigen. Ich hab' mir eine Testmaschine aufgesetzt und bin da grade selbst am spielen.

Gruß
Sven