Grundlegende Systemadministration unter Linux, bei RPM-basierten Systemen (SUSE, RedHat, CentOS, Mandriva): Installation, Netzwerkeinrichtung, Sicherheit
Installation von Linux Warum Beschränkung auf RPM-basierte Systeme? Es gibt zu viele unterschiedliche Distributionen mit zu vielen unterschiedlichen Konzepten, um auf alle eingehen zu können. RPM-basierend (SUSE, RedHat, Fedora, CentOS, Mandriva, Ark-Linux, Turbolinux ) Debian-basierend (Debian GNU/Linux, Corel Linux, Knoppix, Ubuntu ) Gentoo-basierend (Gentoo, Knopperdisk, Calculate Linux ) Pacman-basierend (ArchLinux, DeLi-Linux )
Installation von Linux Die Installation wird im Folgenden ausführlich an zwei Beispielen gezeigt: CentOS 5.5 (das RedHat Enterprise Linux entspricht) und SUSE Enterprise Linux 11
Installation von Linux Prinzipiell gibt es die Möglichkeit, von lokaler Installations-DVD oder über das Netzwerk (Network-boot CD) zu installieren. Im Folgenden beschränken wir uns auf die lokale Installation.
Installation von CentOS-Linux 22.06.10 Tom Rüger 5
Installation von CentOS-Linux 22.06.10 Tom Rüger 6
Installation von CentOS-Linux 22.06.10 Tom Rüger 7
Installation von CentOS-Linux 22.06.10 Tom Rüger 8
Installation von CentOS-Linux 22.06.10 Tom Rüger 9
Installation von CentOS-Linux 22.06.10 Tom Rüger 10
Installation von CentOS-Linux 22.06.10 Tom Rüger 11
Installation von CentOS-Linux Sinnvollerweise partitioniert man: / root Filesystem 2GB (6GB*) swap swap space phys. Mem. /var variable files 4GB /usr universal system resources 20 GB optional: /tmp temporary files 4GB* /home user files 22.06.10 Tom Rüger 12
Installation von CentOS-Linux Wenn Fremdzugriff auf die Konsole besteht, sollte man ein Bootloader-Passwort verwenden! 22.06.10 Tom Rüger 13
Installation von CentOS-Linux 22.06.10 Tom Rüger 14
Installation von CentOS-Linux 22.06.10 Tom Rüger 15
Installation von CentOS-Linux 22.06.10 Tom Rüger 16
Installation von CentOS-Linux 22.06.10 Tom Rüger 17
Installation von CentOS-Linux 22.06.10 Tom Rüger 18
Installation von CentOS-Linux 22.06.10 Tom Rüger 19
Installation von CentOS-Linux 22.06.10 Tom Rüger 20
Installation von CentOS-Linux 22.06.10 Tom Rüger 21
Installation von CentOS-Linux 22.06.10 Tom Rüger 22
Installation von CentOS-Linux 22.06.10 Tom Rüger 23
Installation von CentOS-Linux 22.06.10 Tom Rüger 24
Installation von CentOS-Linux 22.06.10 Tom Rüger 25
Installation von CentOS-Linux 22.06.10 Tom Rüger 26
Installation von CentOS-Linux 22.06.10 Tom Rüger 27
Installation von CentOS-Linux 22.06.10 Tom Rüger 28
Installation von CentOS-Linux SELinux sollte nur bei erhöhten Sicherheitsanforderungen aktiviert werden, da dadurch viele normale Operationen verhindert werden 22.06.10 Tom Rüger 29
Installation von CentOS-Linux 22.06.10 Tom Rüger 30
Installation von CentOS-Linux 22.06.10 Tom Rüger 31
Installation von CentOS-Linux 22.06.10 Tom Rüger 32
Installation von CentOS-Linux 22.06.10 Tom Rüger 33
Installation von CentOS-Linux 22.06.10 Tom Rüger 34
Installation von CentOS-Linux 22.06.10 Tom Rüger 35
Installation von CentOS-Linux 22.06.10 Tom Rüger 36
Installation von CentOS-Linux 22.06.10 Tom Rüger 37
Installation von SUSE-Linux Enterprise Server 22.06.10 Tom Rüger 38
Installation von SUSE-Linux Enterprise Server 22.06.10 Tom Rüger 39
Installation von SUSE-Linux Enterprise Server 22.06.10 Tom Rüger 40
Installation von SUSE-Linux Enterprise Server 22.06.10 Tom Rüger 41
Installation von SUSE-Linux Enterprise Server 22.06.10 Tom Rüger 42
Installation von SUSE-Linux Enterprise Server 22.06.10 Tom Rüger 43
Installation von SUSE-Linux Enterprise Server 22.06.10 Tom Rüger 44
Installation von SUSE-Linux Enterprise Server 22.06.10 Tom Rüger 45
Installation von SUSE-Linux Enterprise Server 22.06.10 Tom Rüger 46
Installation von SUSE-Linux Enterprise Server 22.06.10 Tom Rüger 47
Installation von SUSE-Linux Enterprise Server Bei der Standardpartitionierung wird alles in die / -Partition installiert, das ist nicht sehr sinnvoll Wenn die Konsole des Systems Fremden zugänglich ist, dann sollte ein Bootloader- Passwort gesetzt werden 22.06.10 Tom Rüger 48
Installation von SUSE-Linux Enterprise Server 22.06.10 Tom Rüger 49
Installation von SUSE-Linux Enterprise Server 22.06.10 Tom Rüger 50
Installation von SUSE-Linux Enterprise Server 22.06.10 Tom Rüger 51
Installation von SUSE-Linux Enterprise Server 22.06.10 Tom Rüger 52
Installation von SUSE-Linux Enterprise Server 22.06.10 Tom Rüger 53
Installation von SUSE-Linux Enterprise Server 22.06.10 Tom Rüger 54
Installation von SUSE-Linux Enterprise Server 22.06.10 Tom Rüger 55
Installation von SUSE-Linux Enterprise Server 22.06.10 Tom Rüger 56
Installation von SUSE-Linux Enterprise Server 22.06.10 Tom Rüger 57
Installation von SUSE-Linux Enterprise Server 22.06.10 Tom Rüger 58
Installation von SUSE-Linux Enterprise Server 22.06.10 Tom Rüger 59
Installation von SUSE-Linux Enterprise Server 22.06.10 Tom Rüger 60
Installation von SUSE-Linux Enterprise Server 22.06.10 Tom Rüger 61
Installation von SUSE-Linux Enterprise Server 22.06.10 Tom Rüger 62
Installation von SUSE-Linux Enterprise Server 22.06.10 Tom Rüger 63
Installation von SUSE-Linux Enterprise Server 22.06.10 Tom Rüger 64
Installation von SUSE-Linux Enterprise Server 22.06.10 Tom Rüger 65
Installation von SUSE-Linux Enterprise Server 22.06.10 Tom Rüger 66
Installation von SUSE-Linux Enterprise Server 22.06.10 Tom Rüger 67
Installation von SUSE-Linux Enterprise Server 22.06.10 Tom Rüger 68
Installation von SUSE-Linux Enterprise Server 22.06.10 Tom Rüger 69
Installation von SUSE-Linux Enterprise Server 22.06.10 Tom Rüger 70
Installation von SUSE-Linux Enterprise Server 22.06.10 Tom Rüger 71
Installation von SUSE-Linux Enterprise Server 22.06.10 Tom Rüger 72
Installation von SUSE-Linux Enterprise Server 22.06.10 Tom Rüger 73
Installation von SUSE-Linux Enterprise Server 22.06.10 Tom Rüger 74
Installation von SUSE-Linux Enterprise Server 22.06.10 Tom Rüger 75
Installation von SUSE-Linux Enterprise Server 22.06.10 Tom Rüger 76
Installation von SUSE-Linux Enterprise Server 22.06.10 Tom Rüger 77
Installation von SUSE-Linux Enterprise Server 22.06.10 Tom Rüger 78
Installation von SUSE-Linux Enterprise Server An der Eingabeaufforderung (als root ) müssen zum Beziehen der Updates nun folgende Befehle eingegeben werden: # wget no-check-certificate https://smt.rrze.uni-erlangen.de/clientsetup11.sh # clientsetup11.sh # suse_register Nach diesem Schritt sollte der Erlanger Update-Server eingetragen sein: # zypper sl # Alias Name Aktiviert Aktualisierung Typ --+---------------------------------+---------------------------------+-----------+----------------+---- 1 local_nu_server local_nu_server Ja Nein NONE 2 SUSE-Linux-Enterprise-Server-11 SUSE-Linux-Enterprise-Server-11 Ja Nein yast2 22.06.10 Tom Rüger 79
Installation von SUSE-Linux Enterprise Server Im Anschluss werden die passenden Repos ermittelt: # zypper refs Dienst local_nu_server wird aktualisiert. Repository SLES11-Pool hinzufügen [FERTIG] Repository SLES11-updates hinzufügen [FERTIG] Repository SLES11-Debuginfo-Updates hinzufügen [FERTIG] Repository SLES11-Extras hinzufügen [FERTIG] Alle Dienste wurden aktualisiert. Überprüfen, ob die Repos korrekt eingetragen sind: # zypper ca # Alias Name Aktiviert Aktualisierung --+-----------------------------------------+--------------------------------------+----------+----- 1 SUSE-Linux-Enterprise-Server-11 11-0 SUSE-Linux-Enterprise-Server-11 11-0 Ja Nein 2 local_nu_server:sle11-debuginfo-pool SLE11-Debuginfo-Pool Nein Ja 3 local_nu_server:sle11-debuginfo-updates SLE11-Debuginfo-Updates Nein Ja 4 local_nu_server:sles11-extras SLES11-Extras Nein Ja 5 local_nu_server:sles11-pool SLES11-Pool Nein Ja 6 local_nu_server:sles11-updates SLES11-Updates Ja Ja Danach können die ersten Updates installiert werden: # zypper update Danach befindet sich das System auf dem aktuellen Stand. 22.06.10 Tom Rüger 80
Installation von Linux Die Installation der anderen RPM-basierten Linux Distributionen: Fedora Core, RedHat Enterprise Linux, Mandriva, OpenSUSE läuft analog ab. 22.06.10 Tom Rüger 81
Einrichten des Netzwerks Sofern noch nicht bei der Installation geschehen, muss jetzt die Netzwerkkarte und Firewall konfiguriert werden. Hierbei muss für die Netzwerkkarte die zugeteilte statische IP-Adresse, sowie Netzmaske, default Router und DNS-Nameserver eingetragen werden. 22.06.10 Tom Rüger 82
Einrichten des Netzwerks Dies geschieht bei CentOS, Fedora, RHEL im KDE unter Administration -> Netzwerk bzw. Administration -> Sicherheitsstufe und Firewall (Aussehen der Menüs kann sich von Version zu Version leicht unterscheiden) 22.06.10 Tom Rüger 83
Einrichten des Netzwerks RHEL, CentOS, Fedora 22.06.10 Tom Rüger 84
Einrichten des Netzwerks RHEL, CentOS, Fedora 22.06.10 Tom Rüger 85
Einrichten des Netzwerks RHEL, CentOS, Fedora 22.06.10 Tom Rüger 86
Einrichten des Netzwerks Bei OpenSUSE und SLES erfolgt die Konfiguration über YAST: 22.06.10 Tom Rüger 87
Einrichten des Netzwerks OpenSUSE und SLES 22.06.10 Tom Rüger 88
Einrichten des Netzwerks OpenSUSE und SLES 22.06.10 Tom Rüger 89
Sicherheit durch regelmäßige Aktualisierungen des Systems Eine gute Angriffsfläche bieten lange laufende, schlecht gewartete Systeme, auf denen keine Updates eingespielt werden! Sicherheitslücken unter LINUX sind in der gesamten einschlägigen Szene bekannt. => Regelmäßige Sicherheitsupdates minimieren das Risiko, Ziel eines erfolgreichen Angriffs zu werden und machen Hacker und Cracker unglücklich! SuSE, Fedora, RHEL und CentOS-Systeme sind standardmäßig für automatische Updates konfiguriert. 22.06.10 Tom Rüger 90
Aktualisierungen des Systems Für Updates werden folgende Programme verwendet: CentOs und RHEL: yum, pirut, pup (Package Updater, graph. Frontend zu yum) Fedora: yum, PackageKit SLES, OpenSUSE: yum, zypper, YaST Die Package Updater lassen sich über die Kommandozeile starten (yum), aber auch das grafische Interface (Gnome oder KDE) aufrufen Kommandozeile: # yum update 22.06.10 Tom Rüger 91
Aktualisierungen des Systems - yum [root@btr0x71 root]# yum update Loaded plugins: fastestmirror Loading mirror speeds from cached hostfile * addons: mirror.atrpms.net * base: mirror.atrpms.net * extras: mirror.atrpms.net * updates: mirror.atrpms.net Setting up Update Process Resolving Dependencies --> Running transaction check ---> Package glibc.i686 0:2.5-49.el5_5.2 set to be updated : ---> Package strace.i386 0:4.5.18-5.el5_5.5 set to be updated ---> Package sudo.i386 0:1.7.2p1-7.el5_5 set to be updated --> Running transaction check ---> Package tzdata-java.i386 0:2010i-1.el5 set to be updated --> Finished Dependency Resolution Dependencies Resolved ================================================================ ==== Package Arch Version Repository Size ================================================================ ==== Updating: glibc i686 2.5-49.el5_5.2 updates 5.3 M : strace i386 4.5.18-5.el5_5.5 updates 172 k sudo i386 1.7.2p1-7.el5_5 updates 230 k Installing for dependencies: tzdata-java i386 2010i-1.el5 updates 176 k Transaction Summary =============================================================== Install 1 Package(s) Upgrade 20 Package(s) Total download size: 230 M Is this ok [y/n]: y Downloading Packages: (1/21 glibc-common-2.5-49.el5_5.2.i386.rpm 16 MB 00:01 : (20/21): strace-4.5.18-5.el5_5.5.i386.rpm 172 kb 00:00 (21/21): sudo-1.7.2p1-7.el5_5.i386.rpm 230 kb 00:00 ---------------------------------------------------------------- ---- Total 7.0 MB/s 230 MB 00:33 Running rpm_check_debug Running Transaction Test Finished Transaction Test Transaction Test Succeeded Running Transaction Updating : glibc-common 1/41 : Updating : glibc-devel 20/41 Cleanup : perl 21/41 : Cleanup : glibc 41/41 Dependency Installed: tzdata-java.i386 0:2010i-1.el5 Updated: glibc.i686 0:2.5-49.el5_5.2 : strace.i386 0:4.5.18-5.el5_5.5 sudo.i386 0:1.7.2p1-7.el5_5 Complete! 22.06.10 Tom Rüger 92
Aktualisierungen des Systems Fedora: KPackageKit 22.06.10 Tom Rüger 93
Aktualisierungen des Systems CentOS und RHEL: Package Updater 22.06.10 Tom Rüger 94
Aktualisierungen des Systems SuSE: YaST 22.06.10 Tom Rüger 95
Absichern des Systems gegen Angriffe von außen - Paketinstallation Die meisten Distributionen bieten Standardinstallationen an, die die entsprechend auf die gewünschte Systemart (Workstation, Server,...) abgestimmten Pakete installieren. Grundsätzlich nur benötigte Pakete installieren. Officesystem ohne Netzwerktools Workstation ohne zusätzliche Netzwerkdienste (apache, BIND- Server, FTP-Server...) Server ohne Entwicklungsumgebung Nötigenfalls manuelle Nachbearbeitung der Paketauswahl, um Abhängigkeiten von Paketen zu erfüllen 22.06.10 Tom Rüger 96
Absichern des Systems gegen Angriffe von außen - Dienste Werden Serverdienste installiert, müssen sie auch konfiguriert werden. Unkonfigurierte Dienste stellen oft eine Sicherheitslücke dar! Keine unnötigen Dienste installieren, d.h. die Installation von www-, ftp-, telnet-, mail-, lpd-serverdiensten sollte nur dann erfolgen, wenn sie auch benötigt werden. Verwenden der "moderneren" Dienste und Pakete Ersetzen der "r"-dienste durch "s"-dienste für interaktiven Remotezugang: ssh statt rsh, rlogin, telnet zum Filetransfer: sftp bzw. scp statt ftp bzw. rcp Benutzen von cups oder LPRng statt lpr/lpd Einsatz von exim oder postfix oder qmail statt sendmail Wurden unnötige Dienste (Daemonen) installiert, so sollten sie deaktiviert werden. 22.06.10 Tom Rüger 97
Absichern des Systems gegen Angriffe von außen Konfiguration von Diensten CentOS 5.5: Administration Servereinstellungen Dienste 22.06.10 Tom Rüger 98
Absichern des Systems gegen Angriffe von außen Konfiguration von Diensten Fedora 13: Administration Dienste 22.06.10 Tom Rüger 99
Absichern des Systems gegen Angriffe von außen Konfiguration von Diensten SLES 11 und OpenSUSE: YaST 22.06.10 Tom Rüger 100
Absichern des Systems gegen Angriffe von außen - Konfiguration Früher hat man Systeme über Einträge in /etc/hosts.allow und /etc/hosts.deny gegen Zugriffe geschützt. Dies ist mit der Verwendung der viel mächtigeren Firewall eigentlich nicht mehr nötig. Die Konfiguration der Firewall erfolgt entweder über das graphische Interface, das Kommandozeilen-interface (system-config-securitylevel (nur SLES, CentOS, Fedora)) oder direkt in der Datei /etc/sysconfig/iptables. 22.06.10 Tom Rüger 101
Einrichten des Netzwerks Die Firewall sollte aus Sicherheitsgründen aktiviert sein und nur die Ports freigegeben werden, die benötigt werden. Beispiele: SSH Erreichbarkeit des Rechners von außen für interaktive Sitzungen und sicheren Filetransfer (Sicheres) WWW für Web-Server Samba für Dateiserver für Windows-Rechner 22.06.10 Tom Rüger 102
Absichern des Systems gegen Angriffe von außen - Konfiguration # Firewall configuration written by system-config-securitylevel # Manual customization of this file is not recommended. *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :RH-Firewall-1-INPUT - [0:0] -A INPUT -j RH-Firewall-1-INPUT -A FORWARD -j RH-Firewall-1-INPUT -A RH-Firewall-1-INPUT -i lo -j ACCEPT -A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT -A RH-Firewall-1-INPUT -p 50 -j ACCEPT -A RH-Firewall-1-INPUT -p 51 -j ACCEPT -A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT -A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT -A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT -A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited COMMIT 22.06.10 Tom Rüger 103
Absichern des Systems gegen Angriffe von außen Konfiguration der Firewall unter CentOS 22.06.10 Tom Rüger 104
Einrichten des Netzwerks OpenSUSE und SLES 22.06.10 Tom Rüger 105
Absichern des Systems gegen Angriffe von außen Firewallkonfiguration unter SuSE: YaST 22.06.10 Tom Rüger 106
Absichern des Systems - Passwörter Es sollten grundsätzlich sichere Passwörter verwendet werden Keine Namen von Freund/in oder Haustieren Ein Mix aus Groß- und Kleinbuchstaben, sowie Zahlen und Sonderzeichen Hilfreich kann es sein, sich Passwörter aus Sätzen zu bauen: Beispiel: Nehmen wir den Satz: Ich freue mich auf meinen Urlaub in Spanien Davon die ersten Buchstaben der Wörter: IfmamUiS Zusätzlich tauschen wir die i -s gegen eine 1 und das a gegen @ aus: Wir erhalten: 1fm@mU1S So ein Passwort ist durch Probieren nicht zu knacken, wenn man den ursprünglichen Satz, aus dem es entstanden ist, nicht kennt. Selbst kann man es sich aber leicht jederzeit wieder herleiten. 22.06.10 Tom Rüger 107
Absichern des Systems - Passwörter Das Passwort für root sollte nur den Leuten bekannt sein, die es unbedingt benötigen und wissen, was sie tun. Wenn Benutzer nur einzelne privilegierte Kommandos ausführen müssen, so können sie das über das Kommando # sudo <Befehl> Berechtigte Benutzer und die Kommandos, die sie als root ausführen dürfen, können über die Datei /etc/sudoers konfiguriert werden An der Grafikkonsole sollte man sich immer als normaler Benutzer einloggen, niemals als root 22.06.10 Tom Rüger 108
Absichern des Systems - Passwörter Im /etc/password alle non-login-accounts sichern kein Account ohne Password alle mit ungültiger login-shell, z.b. /bin/false, /sbin/nologin als Shell Shadow-Passwords verwenden (pwconv) (sollte mittlerweile Standard sein!) # cat /etc/passwd root:x:0:0:root:/root:/bin/bash bin:x:1:1:bin:/bin:/sbin/nologin daemon:x:2:2:daemon:/sbin:/sbin/nologin adm:x:3:4:adm:/var/adm:/sbin/nologin lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin sync:x:5:0:sync:/sbin:/bin/sync shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown halt:x:7:0:halt:/sbin:/sbin/halt mail:x:8:12:mail:/var/spool/mail:/sbin/nologin news:x:9:13:news:/etc/news:/bin/false ftp:x:14:50:ftp User:/var/ftp:/sbin/nologin nobody:x:99:99:nobody:/:/bin/false apache:x:48:48:apache:/var/www:/sbin/nologin xfs:x:43:43:x Font Server:/etc/X11/fs:/sbin/nologin amanda:x:33:6:amanda user:/var/lib/amanda:/bin/bash btr011:x:911:109:t. Rueger,,,:/home/btr0/btr011:/bin/tcsh btr019:x:919:109:b. Winkler,,,:/home/btr0/btr019:/bin/tcsh btr029:x:929:109:h. Kolinsky,,,:/home/btr0/btr029:/bin/tcsh 22.06.10 Tom Rüger 109
Absichern des Systems - Zugriffsrechte Setuid-Bits von Programmen entfernen, die nie gebraucht werden oder normale Benutzer nicht ausführen können sollen Beispiele: /bin/ping /bin/mount /usr/bin/suidperl /usr/sbin/traceroute root-account sollte aktuelles Verzeichnis aus Sicherheitsgründen nie im Pfad haben! Sichere Defaultwerte umask in den Loginskripten für Benutzer setzen (umask 022 <-> o:rwx, g:rx, o:rx) für root umask 077 (Keine Rechte für group oder others) 22.06.10 Tom Rüger 110
Absichern des Systems - Zugriffsrechte Schreibrechte für Benutzer, nur wo diese nötig sind: $HOME $MAIL /tmp ( sticky -bit!: chmod 1777 /tmp) Keine Schreibrechte für Benutzer, wo diese unnötig sind: Systemverzeichnisse (/, /bin, /etc, /usr/bin...) Systemdateien (/etc/passwd, /etc/shadow, /etc/group...) /dev (außer tty) Jedes Zugriffsbit birgt potentielle Risiken: Bit read write exec suid sgid sticky mögliche Probleme Lesen sensitiver Daten Verändern sensitiver Daten Ausführen von unerlaubtem Code Rechteübername (z.b. von root) Rechteübername einer Gruppe (z.b. mem) Möglicher Schreibzugriff auf Daten anderer, Symlinkattacken 22.06.10 Tom Rüger 111
Absichern des Systems - Zugriffsrechte Empfehlung zum Umgang mit Zugriffsrechten: Keine SUID-root-Skripte Möglichst wenige SUID-Binaries (insb. root) Möglichst wenige SGID-Binaries SUID möglichst auf einen anderen User als root Binaries in den Systemordnern gehören im Zweifelsfall root/root Regelmäßige Kontrolle von Zugriffsrechten: Suche nach Dateien mit SUID-Bit: # find / -perm 4000 -print Suche nach Dateien mit SGID-Bit: # find / -perm 2000 -print Abgleich der Liste mit gespeicherter Liste, u.u. über cron 22.06.10 Tom Rüger 112
Absichern des Systems Suche nach Ungereimtheiten Einen zusätzlichen Schutz gegen Angriffe auf das System erreicht man mit Tools, die einen vor Veränderungen warnen: Programme wie tripwire, scanlogd, logcheck lassen frühzeitig Angriffe erkennen. Programmpakete wie OpenVAS (OpenSource Vulnerability Assessment Scanner, früher GNessUs, http://www.openvas.org) und SARA (Security Auditor's Research Assistant, http://www-arc.com/sara/) helfen, Sicherheitslücken nach außen zu erkennen. 22.06.10 Tom Rüger 113
Absichern des Systems Keinen wirklichen Schutz gibt es aber gegen Angriffe von Leuten, denen root -Rechte gegeben worden sind! Daher: Überwinde Deine Paranoia, ABER: Vertraue Niemandem! 22.06.10 Tom Rüger 114