Ich hab es nur aufm Bastel Server getestet aber ich weiß nicht wie es
sich auf euren Tracker-Server verhält, daher keine Gewähr..!!
Erläuterung:
Bastille zum härten des Linux Systems
Da viele Bastille noch nicht kennen, möchte ich an dieser Stelle mal darauf
hinweisen. Bastille ist ein Programm zum Härten eines Linux Systems.
Härten bedeutet, es werden potentielle Schwachstellen von Software
beseitigt. Bastille durchläuft dabei mehrere Kategorien und prüft die
Installation auf Sicherheitslücken. Dabei kann der Administrator selber
entscheiden, wie detailiert wer sein System absichern möchte. Bastille
unterstützt die gängigen Distributionen sowie MacOSX (bisher nur als Beta).
Im Anhang befindet sich ein Dokument zum Thema "The Role of Bastille Linux
in Information Security" von Michael Russell Grimaila aus dem Jahre 2002,
dass die Einsatz- und Einstellungsmöglichkeiten von Bastille beschreibt.
Ich dachte mir ich schreibe mal wieder ein Howto wie man sein Linux System
absichern kann mit einem Kleinen Tool namens Bastille. Bastille fragt euch ob
ihr gewisse Dienste und Optimierungen vornehmen wollt, z.b Telnet komplett
verbieten möchten, Ctrl-Alt-Del Taste deaktivieren,
Boot Passwort einrichten, Dateirechte überprüfen usw.
Wer gerne wissen möchte wie man Bastille einrichtet, liest am besten weiter.
Die Anleitung bezieht sich auf Debian Lenny!
Ist aber in allen gängigen Distributionen vorhanden.
Unterstützte Distributionen
* Debian - 2.2, 3.0, 3.1, 4.0, (5.0)
* Redhat - 6.0, 6.1, 6.2, 7.0, 7.1, 7.2
* SuSE - 7.2, 7.3, 8.0
* OSX - 10.2.0, 10.2.1, 10.2.2, 10.2.3, 10.2.4
* HP-UX - 11.00, 11.11, 11.22, 11.23
Debian Lenny ist nur Verfügbar wen man ein paar Anpassungen macht.
Dazu später mehr.
Als erstes besorgen wir uns Bastille.
PHP-Code:
aptitude update
aptitude install bastille
Wir müssen zuerst Testen ob unser System unterstützt wird.
Sollte das System nicht unterstützt werden, kommt folgende Error Meldung:
PHP-Code:
ERROR: 'DB5.0' is not a supported operating system.
Bastille erweitern für Debian Lenny
Damit wir nun Debian Lenny absichern können,
müssen wir 2 Dateien anpassen.
---
API.pm editieren
Sucht nach stable="4.0" und ändert es wie folgt:
PHP-Code:
vim /usr/lib/Bastille/API.pm
$stable="5.0"; #Change this when Debian stable changes
IOLoader.pm editieren
Nun müssen wir noch die Supporteten Systeme mit DB 5.0 erweitern,
damit Bastille nicht mehr motzt.
Sucht in der Datei nach "$supported_versions"
PHP-Code:
vim /usr/lib/Bastille/IOLoader.pm
my $supported_versions = 'DB2.2 DB3.0 DB3.1 DB4.0 DB5.0';
Nun sollte Bastille nicht mehr motzen und wir können beginnen
die Fragen zu beantworten.
Ruft einfach in der Konsole "bastille" auf und ihr könnt anfangen die
Fragen zu beantworten. Wen ihr nicht sicher seit bei einigen Fragen,
nehmt entweder den Vorschlag der euch Bastille vorschlägt oder
beantwortet es einfach mit "N" für Nein.
Nachdem die Fragen beantwortet wurden,
werden die Fragen umgesetzt und eurer System ist ein wenig sicherer.
Konfigurationsdatei auflisten
Möchte man die aktive Konfiguration anzeigen,
kann man dies wie folgt überprüfen:
Änderungen rückgängig machen
Sollte was schief laufen und ihr möchtet es wieder rückgängig machen,
kann man dies mit folgendem Befehl:
Konfiguration direkt laden ohne Fragen zu stellen
Um die Fragen zu umgehen sollte man nur eine Frage direkt in der
Konfigurationsdatei "config" geändert haben, kann man dies mit
diesem Befehl erledigen:
PHP-Code:
bastille -b /etc/Bastille/config
Help Ausgabe
PHP-Code:
Usage: bastille [ -h | -b | -c | -r | -x [--os version] | -l | --log | -v | -d]
-h : this help
-b : use a saved config file to apply changes
directly to system
-c : use the Curses (non-X11) GUI
-r : revert Bastille changes to original file versions (pre-Bastille)
-x : use the Perl/Tk (X11) GUI
-l : list the standard config file(s) (if any) that matches the last
run config
--os version : ask all questions for the given operating system
version. e.g. --os HP-UX11.11
--log : log-only option (will not make any changes just log them)
-v : verbose mode, all actions will be printed to STDERR
-d : debug mode, internal information (for developers only)
Das sollte alles gewesen sein,
Quellen für weitere Infos..
http://www.debian.org/doc/manuals/se...harden.de.html
und halt Google....
Test The Best, vielleicht habt ihr ja Bock es aufm Server mal zu testen...
Für Anfänger die sich gerade erst mit Server Technik vertraut machen ist das denke ich nichts!
Have Fun....
Thunder™