Securing Tru64 UNIX. Agenda



Ähnliche Dokumente
3 Netzdienste im Internet. vs3 1

Verwendung des IDS Backup Systems unter Windows 2000

Konfiguration Zentyal 3.3 Inhaltsverzeichnis

Einrichten der TSM-Backup-Software unter dem Betriebssystem Windows

Technote - Installation Webclient mit Anbindung an SQL

Installation SQL- Server 2012 Single Node

Wo finde ich die Software? - Jedem ProLiant Server liegt eine Management CD bei. - Über die Internetseite

Windows Server Dieses Dokument beschreibt einige Details zum Aufsetzen eines Windows Server 2003 (Andres Bohren /

Lokale Installation von DotNetNuke 4 ohne IIS

Einrichten der TSM-Backup-Software unter dem Betriebssystem Windows

Windows Server 2008 (R2): Anwendungsplattform

Einrichten der TSM-Backup-Software unter dem Betriebssystem Mac OSX

TSM-Client unter Windows einrichten

OP-LOG

Windows Server 2012 R2 Essentials & Hyper-V

Konfigurationsanleitung Access Control Lists (ACL) Funkwerk. Copyright Stefan Dahler Oktober 2008 Version 1.0.

MailUtilities: Remote Deployment - Einführung

Installation von NetBeans inkl. Glassfish Anwendungs-Server

TSM-Client unter Mac OS X einrichten

Anleitung zur Installation der DataWatch Software auf einem LINUX System ohne grafische Oberfläche

Anleitung: Confixx auf virtuellem Server installieren

WINDOWS 8 WINDOWS SERVER 2012

Deep Security. Die optimale Sicherheitsplattform für VMware Umgebungen. Thomas Enns -Westcon

5 Schritte zur IT-Sicherheit. Johannes Nöbauer Leiter Enterprise Services

FL1 Hosting Kurzanleitung

Mobile Apps: Von der Entwicklung bis zum Test mit HP Software

Installieren von GFI LANguard N.S.S.

Proxyeinstellungen für Agenda-Anwendungen

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Multimedia im Netz. Wintersemester 2011/12. Übung 10. Betreuer: Verantwortlicher Professor: Sebastian Löhmann. Prof. Dr.

Einrichtung des Cisco VPN Clients (IPSEC) in Windows7

ecaros-update 8.2 Update 8.2 procar informatik AG 1 Stand: DP 02/2014 Eschenweg Weiterstadt

Installationsanleitung LogControl DL-Software

Business Application Framework für SharePoint Der Kern aller PSC-Lösungen

BitDefender Client Security Kurzanleitung

2. ERSTELLEN VON APPS MIT DEM ADT PLUGIN VON ECLIPSE

MOUNT10 StoragePlatform Console

mysoftfolio360 Handbuch

Ora Education GmbH. Lehrgang: Oracle Application Server 10g R3: Administration

HAFTUNGSAUSSCHLUSS URHEBERRECHT

Tools are a IT-Pro's Best Friend Diverse Tools, die Ihnen helfen zu verstehen, was auf dem System passiert oder das Leben sonst erleichtern.

Installationsanleitung unter Windows

Benutzeranleitung (nicht für versierte Benutzer) SSH Secure Shell

SWISSVAULT StorageCenter Console Version 5 Kurzanleitung für SWISSVAULT Combo Partner

lldeckblatt Einsatzszenarien von SIMATIC Security-Produkten im PCS 7-Umfeld SIMATIC PCS 7 FAQ Mai 2013 Service & Support Answers for industry.

Clientkonfiguration für Hosted Exchange 2010

EIDAMO Webshop-Lösung - White Paper

TimeMachine. Installation und Konfiguration. Version 1.4. Stand Dokument: install.odt. Berger EDV Service Tulbeckstr.

Anleitung für -Client Thunderbird mit SSL Verschlüsselung

How-to: Webserver NAT. Securepoint Security System Version 2007nx

Internet Explorer Version 6

Tapps mit XP-Mode unter Windows 7 64 bit (V2.0)

Oracle Database Backup Service - DR mit der Cloud

AXIGEN Mail Server. s per Smarthost versenden s per Pop3 empfangen. Produkt Version: Dokument Version: 1.2

Information über das Virtual Private Networks (VPNs)

IP-COP The bad packets stop here

Installation Server HASP unter Windows 2008 R2 Server 1 von 15. Inhaltsverzeichnis

Lizenzen auschecken. Was ist zu tun?

Backup als Dienst des URZ

Kurzanleitung Hosting

Programmierung für Mathematik (HS13)

Dieses Dokument erläutert die Einrichtung einer VPN-Verbindung zwischen einem LANCOM Router (ab LCOS 7.6) und dem Apple iphone Client.

Realisierung von UMCM über den IBH Link UA mit Simatic S5 und S7 Steuerungen

Installation Hardlockserver-Dongle


Aktivieren von Verbindungen für 3PAR Storage

Step by Step Webserver unter Windows Server von Christian Bartl

HERZLICH WILLKOMMEN SHAREPOINT DEEP DIVE FOR ADMINS IOZ AG 2

1PPP. Copyright 18. November 2004 Funkwerk Enterprise Communications GmbH Bintec Benutzerhandbuch - VPN Access Reihe Version 1.0

Lehrveranstaltung Grundlagen von Datenbanken

MSXFORUM - Exchange Server 2003 > SMTP Konfiguration von Exchange 2003


1. License Borrowing Verfahren

Hier folgt eine kurze Aufstellung über die verwendete Architekur. Die Angaben sind ohne Gewähr für Vollständigkeit oder vollständige Richtigkeit.

-Bundle auf Ihrem virtuellen Server installieren.

Installations-Dokumentation, YALG Team

FTP Server unter Windows XP einrichten

Konfigurationsanleitung Tobit David Fax Server mit Remote CAPI Graphical User Interface (GUI) Seite - 1 -

How-to: Mailrelay und Spam Filter. Securepoint Security System Version 2007nx

Im Folgenden wird die Konfiguration der DIME Tools erläutert. Dazu zählen die Dienste TFTP Server, Time Server, Syslog Daemon und BootP Server.

[Geben Sie Text ein] ISCSI Targets mit der Software FreeNAS einrichten

Security. Stefan Dahler. 4. Internet Verbindung. 4.1 Einleitung

Anti-Botnet-Beratungszentrum. Windows XP in fünf Schritten absichern

HISPRO ein Service-Angebot von HIS

Switching. Übung 7 Spanning Tree. 7.1 Szenario

Ein neues Outlook Konto können Sie im Control Panel über den Eintrag Mail erstellen.

Update Messerli MySQL auf Linux

Umbenennen eines NetWorker 7.x Servers (UNIX/ Linux)

Zugriff auf Unternehmensdaten über Mobilgeräte

Zur Konfiguration werden hierbei das Setup-Tool und die Shell verwendet.

Control-M Workload Change Management 8

Konfiguration Firewall (Zyxel Zywall 10) (von Gruppe Schraubenmeier)

Formular»Fragenkatalog BIM-Server«

EchoLink und Windows XP SP2

kreativgeschoss.de Webhosting Accounts verwalten

IPCOP OPENVPN TUTORIAL

HowTo: Einrichtung & Management von APs mittels des DWC-1000

Einrichten des IIS für VDF WebApp. Einrichten des IIS (Internet Information Server) zur Verwendung von Visual DataFlex Web Applications

Meine ZyXEL Cloud. Tobias Hermanns V0.10

Transkript:

Securing Tru64 UNIX Reinhard Stadler HP Services 2004 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice Agenda Bedrohungen und Maßnahmen Security Features von Tru64 UNIX Installation und Konfiguration Welche Dienste sind notwendig, welche sind unwichtig Monitoring

Computersicherheit Abwägung zwischen Benutzerfreundlichkeit und Sicherheit Abhängig von der Art des Systems Abhängig von der Sensibilität der Daten Abhängig von gesetzlichen Bestimmungen May 23, 2006 3 Bedrohungen Angriffe auf bestimmte Server Dienste durch Buffer Overflows DoS (Denial of Service) Angriffe auf Passwörter Password-Sniffer Social Engineering / Phishing Passwörter hacken oder standard Passwörter Angriff auf übertragene Daten May 23, 2006 4

Vorkehrungen technische Maßnahmen organisatorische Maßnahmen: Notfallpläne bei Angriffen Vorgaben zur Konfiguration Kontrolle von Anwendern Patch Policy Untersuchung und Bewertung von Risiken und Schwachstellen Monitoring May 23, 2006 5 Tru64 UNIX Security Features Enhanced Security SIA (Security Integration Architecture) leistungsfähiges audit tool IPsec SSH Secure Shell Single sign-on Single Security Domain im TruCluster May 23, 2006 6

Installation und Konfiguration May 23, 2006 7 Installation: Vorgehensweise Betriebssystem Patches http://itrc.hp.com http://h30097.www3.hp.com/unix/security-download.html Applications und Tools Absichern der Konfiguration Festschreiben Backup Sicheres Verwahren der Backups und Checksums May 23, 2006 8

Tru64 UNIX Secure Installation (1) eigenes Netzwerk für die Installation sichern der Hardware Zugang zum Rechnerraum Passwort auf F/W Ebene Secure console mode Nur die benötigten Subsets installieren May 23, 2006 9 Tru64 UNIX Secure Installation (2) enhanced security subsets audit subset installiert und im kernel kdebug im kernel ist ein Schwachpunkt File System Layout: Filesysteme, in die alle schreiben können auf einer separaten Disk / Partition /tmp /var May 23, 2006 10

Verriegeln des Systems enhanced security konfigurieren nützliche tools und utilities installieren Netzwerk Parameter anpassen unnötige Services abschalten nicht benötigte daemons abschalten Konfiguration der benötigten Dienste überprüfen auditing May 23, 2006 11 Enhanced Security Configuration # sysman secconfig Enhanced Security defaults for break-in detection Execute bit set only by root ACLs wenn benötigt Default Templates anpassen root account anpassen May 23, 2006 12

Nützliche Tools Open Source CD http://h30097.www3.hp.com/affinity/download.html lsof offene Ports und zugehörige Prozesse Internet Express Software Collection CD http://h30097.www3.hp.com/internet/osis.htm FireScreen (simple firewall based on screend) tcp_wrappers - net services control May 23, 2006 13 Netzwerk Parameter sysconfig -q socket somaxconn sominconn = somaxconn sysconfig -q inet tcp_keepinit icmp_tcpseqcheck icmp_rejectcodemask May 23, 2006 14

Welche Dienste sind nötig...... welche sind unwichtig? May 23, 2006 15 Network Services: /etc/inetd.conf (1) disabled by default uucpd fingerd tftpd talkd bootpd inetd internal services, tcp and udp versions daytime, echo, discard, chargen RPC rstatd, rusersd, sprayd, walld May 23, 2006 16

Network Services: /etc/inetd.conf (2) Auf jeden Fall abzuschalten comsat - biff email notification ntalkd - talk server Time internal service kdebugd - remote kernel debugger rquotad - quotas for remote file systems May 23, 2006 17 Network Services: /etc/inetd.conf (3) Wenn SSH genutzt wird: rshd, rlogind ftpd telnetd Wenn das System kein Mailserver ist: pop3 imapd Für Systeme, die nicht im Cluster sind: cfgmgr -fürsysconfig h.. c... May 23, 2006 18

Network Services: /etc/inetd.conf (4) sysman Web Browser Interface: suitjd - Sysman suitlet java daemon LSM GUI: initlsmsad Ohne X oder CDE: dtspc, rpc.ttdbserverd rpc.cmsd - LSM storage admin - CDE subprocess control - RPC-based tooltalk db server - calendar manager May 23, 2006 19 daemons (1) Über rc.config Variable, wenn diese im Startup Script abgefragt wird: # rcmgr set INSIGHTD_CONF NO Umbenennen von Scripts: /sbin/rc3.d/s* snmpd smsd smauthd lpd advfsd - Sysman Station - Sysman authentication - Line printer daemon -AdvFSGUI May 23, 2006 20

daemons (2) Auf keinen Fall abgeschaltet werden dürfen: evmd Event Manager daemon esmd Essential Services Monitor daemon caad Cluster inetd kann abgeschaltet werden: wenn SSH genutzt wird das System nicht im Cluster ist die Services, die inetd startet nicht genutzt werden May 23, 2006 21 daemons (3) Zeitsynchronisation xntpd oder ntpdate als cron job Sendmail sendmail startup verhindern: /sbin/rc3.d/s40sendmail Konfiguration: # sysman mail Restrict to send-only May 23, 2006 22

was kann man sonst noch tun... (1) Zugriff auf syslogd und binlogd # touch /etc/syslog.auth (root, 600) # touch /etc/binlog.auth Ausführen von cron Jobs: # echo root > /usr/lib/cron/cron.allow # echo root > /usr/lib/cron/at.allow SNMP ganz abschalten Zugriff einschränken /etc/snmp.conf May 23, 2006 23 was kann man sonst noch tun... (2) /etc/ifaccess.conf, /etc/ftpusers, /etc/securettys... Netzwerk Prozesse: in /sbin/init.d/inetd ulimit c 0 Zum Schreiben offene Verzeichnisse auf eine eigene Disk legen /tmp, /usr/tmp, /var/tmp,... May 23, 2006 24

sysconfigtab Parameter Executable stack (no = 0 = default) # sysconfig -q proc executable_stack Core Dumps (yes = 1 = default) # sysconfig -q proc dump_cores setuid/setgid um Core Dumps zu schreiben (no = 0 = default) # sysconfig -q proc dump_setugid_cores May 23, 2006 25 Audit Überwachen von Directories, wer Files anlegt, löscht,... # auditmask x directoryname Auditing einrichten: # sysman auditconfig networked_system event profile If log space exhausted, halt system nicht auswählen Audit hilft nur, wenn die Logs überwacht werden! # audit_tool... May 23, 2006 26

Agenda Bedrohungen und Maßnahmen Security Features von Tru64 UNIX Installation und Konfiguration Welche Dienste sind notwendig, welche sind unwichtig Monitoring Fragen? May 23, 2006 28

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback