härten eines OpenBSD Systems

bofh

bofh

Sysop From Hell
hallo jungs und mädels

ich will mir demnächst ein OpenBSD Server aufsetzten der nur als Router und
Firewall agieren soll, und da ich super paranoid bin such ich gute tips um
dieses System noch zu härten soweit und sogut es geht.

daher die frage an euch was würdet ihr bzw habt ihr gemacht mit euren System
um solches zu ereichen ?

grob einfallen würde mir da :

- alle nicht benötigten dienste abschalten auch ssh
- securelevel 2
- nur das nötigste installieren und gegebenfalls sachen löschen

wenn euch noch was sinnvolles einfällt und/oder tips zu den so eben genannten
vorschlägen im detail währe ich sehr dankbar, habe diese selber noch nicht
getestet.
 
bofh schrieb:
hallo jungs und mädels

ich will mir demnächst ein OpenBSD Server aufsetzten der nur als Router und
Firewall agieren soll, und da ich super paranoid bin such ich gute tips um
dieses System noch zu härten soweit und sogut es geht.

daher die frage an euch was würdet ihr bzw habt ihr gemacht mit euren System
um solches zu ereichen ?

grob einfallen würde mir da :

- alle nicht benötigten dienste abschalten auch ssh
- securelevel 2
- nur das nötigste installieren und gegebenfalls sachen löschen

wenn euch noch was sinnvolles einfällt und/oder tips zu den so eben genannten
vorschlägen im detail währe ich sehr dankbar, habe diese selber noch nicht
getestet.
Zum Vergrößern anklicken....
Netzstecker ziehen?! :confused: :confused:

*scnr* Vielleicht bekommst du ja noch sinnvollere Antworten ;)
 
Palmer , Brandon Nazario , Jose

Secure Architectures with OpenBSD

2004. XIX, 519 p. 23,5 cm
ADDISON-WESLEY LONGMAN, AMSTERDAM
Einband: Kartoniert/Broschiert
Best.-Nr. 12728347
ISBN 0321193660

EUR 34,19


----


Potter , Bruce Korff , Yanek Hope , Paco

Mastering FreeBSD and OpenBSD Security

2005. 352 p.
O'REILLY ASSOCIATES
Einband: Einbandart noch nicht bekannt
Best.-Nr. 13215127
ISBN 0596006268

EUR 48,00


----
 
Also wenn Du nicht immer zur Kontrolle zu Deinem Router laufen möchtest würde ich den sshd auf reine Verwendung von Zertifikaten einstellen und mich mit einem Zertifikat authentifizieren. Ansonsten kann ich noch aide nennen zur Kontrolle ob jemand versucht hat an Deinen Systemdateien rumzufummeln. Dann würde ich hingehen und die Partitionierung so vornehmen, das Du nur die Teile zum schreiben mountest in die auch wirklich geschrieben werden muß und alles andere würde ich ro mounten. Und zu guter Letzt natürlich ip firewalling ;) Ich nehme dazu pf, was sich für Dich auch anbietet da Du OpenBSD nehmen willst.

Den Rest hast Du schon genannt.

Viel Spaß
Stephan
 
In Bezug auf deine Frage ist OpenBSD ein gehärtetes System, da z.B alle nicht benötigten Dienste per default abgeschaltet sind! Wenn du welche brauchst, mußt du sie selber "anschalten"! Für weitere Fragen, die, diesen sehr sensiblen Bereich abdecken, solltest du entweder Profi sein, oder dich nach netten Schmökern umschauen, die von selbigen geschrieben wurden!
 
afaik gibt es das Paket stephanie-3.0.tar.gz oder höhere Version für OBSD zwecks hardening.
Ansonstne komme ich aus dem FBSD Lager und weiß nur dass man auch dden swapbereich per sysctl verschlüsseln kann. Die genannte Literatur ist aber gewiss der bessere Weg wenn man sich mit Sicherheit auseinandersetzten will.
 
dyrathror schrieb:
Ansonsten kann ich noch aide nennen zur Kontrolle ob jemand versucht hat an Deinen Systemdateien rumzufummeln.
Zum Vergrößern anklicken....

Kann man unter *BSD bequem durch mtree ersetzen, das ist in der Base drinne.

Auf manchen Kisten (WWW-, Datenbankenservern) lasse ich noch portsentry laufen, um portscanns zu unterbinden, das hat aber eher was mit der Bandbreite zu tun.
 
danke euch für die tips, ich werd mal versuchen das möglichste davon umzusetzten :)
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben