Workstation Sicherheit

Hallo,

ihr habt aktuell in einem anderen Thread so schön über Sicherheitskonzepte für Server diskutiert. Kann mir vielleicht jemand von euch bei einer sinnvollen Absicherung einer Workstation weiterhelfen?

Ich meine damit nicht unbedingt Tips wie ipfw einzusetzen und unnötige Dienste stillzulegen. Soweit bin ich schon. Mir geht es darum, die Workstation bestmöglich abzusichern. Das Problem ist, es muß z.B. u.a. auch der X-Server funktionstüchtig laufen, so daß eine Erhöhung des Kernel Security Levels nicht in Frage kommt, weil dann der X-Server nicht mehr läuft.

Welche Maßnahmen, die keine wesentlichen Einschränkungen der Nutzbarkeit der Workstation bedeuten würden, kann man noch tun, außer die Firewall aufzusetzen und nicht benötigte Dienste zu deaktivieren?

Gruß,
Peter

PS: Nutze derzeit noch FreeBSD 4.8 RELEASE und will Ende September auf 4.9 RELEASE umsteigen.
 
Original geschrieben von Peter Cremer
Hallo,

ihr habt aktuell in einem anderen Thread so schön über Sicherheitskonzepte für Server diskutiert. Kann mir vielleicht jemand von euch bei einer sinnvollen Absicherung einer Workstation weiterhelfen?



Welcher Thead war das denn, bitte?

Ich meine damit nicht unbedingt Tips wie ipfw einzusetzen und unnötige Dienste stillzulegen. Soweit bin ich schon. Mir geht es darum, die Workstation bestmöglich abzusichern.

Das ist ein Wiederspruch, aber egal ;)

Das Problem ist, es muß z.B. u.a. auch der X-Server funktionstüchtig laufen, so daß eine Erhöhung des Kernel Security Levels nicht in Frage kommt, weil dann der X-Server nicht mehr läuft.

Wieso sollte das denn nicht gehen?

Unter Open/NetBSD kann man dies prima mit den speziellen Aperture-Treibern erledigen.

Und unter FreeBSD würde dies bestimmt gehen.

Normalerweise kann in einem seclevel > 0 X nicht laufen, jedoch ist es möglich, mit Aperture-Treibern (die als LKM geladen werden) diese Sperre exklusiv für Grafikdevices zu umgehen.

Welche Maßnahmen, die keine wesentlichen Einschränkungen der Nutzbarkeit der Workstation bedeuten würden, kann man noch tun, außer die Firewall aufzusetzen und nicht benötigte Dienste zu deaktivieren?

Deine Frage ist sehr allgemein gehalten und ich kann dir empfehlen, dich erst einmal über die Materie zu informieren. Ich gebe dir aber eine Liste von Vorgängen, die man auf alle Fälle beachten sollte (die ich immer beachte):

--------------------------

1.) Wer darf mit dem Rechner arbeiten (Passwörter, Benutzerkonten, sudo-Rechte)

2.) Welche Geräte dürfen gemountet werden (NFS-Laufwerke ebenfalls beachten, wenn vorhanden)

3.) Wofür wird der Rechner benutzt (normale Workstation oder auch für Büroarbeiten)

4.) Werden Crypto-Filesystems benötigt (wenn vertrauliche Daten vorhanden sind)

5.) Ist die Maschine non-stop im Netz oder in unregelmäßigen Abständen?

6.) Ist der Rechner mit einer IP vom ISP (z.B. Telekom) versorgt, oder hängt er an einem Gateway (Stichwort: Network Address Translation)

7.) Wird ssh benutzt (wenn nicht, dann darauf umstellen)?

8.) Welche Programme/Oberflächen laufen drauf, die dafür bekannt sind, viele Löcher zu haben (KDE, Gnome usw.)

9.) Sind die Systemwichtigen Dateien mit strengen Schreib/Leserechten versehen (am besten schg-Flags)

10.) Wie und womit werden Updates geholt (cvs, cvsup und andere Methoden)

11.) Dient der Rechner auch für andere als Zwischenlager (Gnutella und andere Sharing-Dienste)

------------------------------------------

Diese Liste läßt sich natürlich erweitern.

Gruß,
Peter

PS: Nutze derzeit noch FreeBSD 4.8 RELEASE und will Ende September auf 4.9 RELEASE umsteigen. [/B]

Gruß und viel Erfolg mit Security

CW
 
Setze das "schg" flag auf die bekannten Dateien. Dazu gehören neben den binaries auch die config dateien und die logs sowie history. Damit kann der Angreifer diese nicht mehr löschen. Das funktioniert natürlich nur so lange, wie der Angreifer von aussen kommt. Sitzt er vor dem Rechner kann er den Rechner in den single user mode mounten, securelevel auf -1 setzen, weiter booten und die flags entfernen.

Den Single User mode durch ein Passwort schützen, das jemand der keinen root Zugriff hat und vor der Kiste sitzt, diesen auch so nicht bekommen kann.
Dazu in der ttys:
console none unknown off insecure
setzen.

"acct" laufen lassen (man acct).

ACLs implemtieren.

/usr und / als read only mounten

Logs lesen.

Was X und securelevel > 0 angeht, so wäre eine Möglichkeit zuerst den xdm starten zu lassen und danach wird die kern.securelevel Variable auf 1 gesetzt. Sollte funktionieren.

tripwire oder aide, oder oder laufen lassen.

tcpwrapper

"Unsichere" Dienste wie http oder mail in einer Jail laufen lassen
 
Zurück
Oben