3.914
Bearbeitungen
Änderungen
Zur Navigation springen
Zur Suche springen
Zeile 22:
Zeile 22: − + + + + + + + + + + + + + + + + + + + + + + + + + +
→Systemd
== Sicherheitsüberlegungen ==
== Sicherheitsüberlegungen ==
Auch bei Sicherheit gilt das KISS-Prinzip: Keep it simply stupid! Daher möglichst nur die Features auf dem Server bereitstellen, die man wirklich benötigt.
* Auch bei Sicherheit gilt das KISS-Prinzip: Keep it simply stupid! Daher möglichst nur die Features auf dem Server bereitstellen, die man wirklich benötigt.
* [https://community.hetzner.com/tutorials/securing-ssh#step-2---setup-of-fail2ban fail2ban]
* firejail als restriktive Shell
* shorewall
* umask in /etc/login.defs restriktiv setzen
* Verschlüsselung der Laufwerke
* Eigenes Root-Passwort setzen, besser SSH durch root nicht zulassen, sondern nur [[sudo]]
* [[SSH]]:
** ssh-copy-id
** Anmelden mit Passwort verbieten, siehe
*** https://community.hetzner.com/tutorials/securing-ssh
*** http://www.webhostlist.de/root-server/meine-ersten-5-minuten-auf-jedem-server/
* Evtl. logwatch und fail2ban installieren
* AppArmor
Vgl. zur Serversicherheit
Vgl. zur Serversicherheit
* https://www.thomas-krenn.com/de/wiki/Absicherung_eines_Debian_Servers
* https://www.thomas-krenn.com/de/wiki/Absicherung_eines_Debian_Servers
* https://www.heise.de/forum/heise-online/Kommentare/Online-Workshop-Linux-Server-sicher-haerten/Beispiel-fuer-eine-Systemhaertung-unter-Debian/posting-36859197/show/
* http://www.webhostlist.de/root-server/meine-ersten-5-minuten-auf-jedem-server/
* [https://community.hetzner.com/tutorials/secure-tmp-folder Sicheres /tmp-Verzeichnis]
=== Systemd ===
Mit '''ProtectSystem''' kann man das Dateisystem fast vollständig als nicht beschreibbar für den Systemd-Prozess
einhängen. Mit '''ReadWritePaths''' kann man davon Ausnahmen schaffen.
Mit '''PrivateTmp''' sollte das /tmp-Verzeichnis eines Systemd-Prozesses vom Root-Tmp-Verzeichnis abgesondert werden.
Siehe
* https://www.flashsystems.de/articles/systemd-hardening/
== Monitoring ==
== Monitoring ==