7
Linux Enterprise Standard Deployment
Hallo zusammen, ich arbeite einen Standard aus, nachdem später alle Linuxsysteme aufgebaut werden sollen.
Es geht hier nicht um den Standard Kram wie ext4 Filesystem, LVM2 etc., sondern um das wirkliche Finetuning, bzw hardening, woran eben nicht jeder denkt.
Meine Frage wäre also:
Was darf eurer Meinung nach keines Falls vergessen werden, wenn ein Enterprise Linux aufgesetzt wird?
Ich bedanke mich schonmal für eure Hilfe!
Es geht hier nicht um den Standard Kram wie ext4 Filesystem, LVM2 etc., sondern um das wirkliche Finetuning, bzw hardening, woran eben nicht jeder denkt.
Meine Frage wäre also:
Was darf eurer Meinung nach keines Falls vergessen werden, wenn ein Enterprise Linux aufgesetzt wird?
Ich bedanke mich schonmal für eure Hilfe!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 644708
Url: https://administrator.de/contentid/644708
Printed on: April 19, 2024 at 22:04 o'clock
7 Comments
Latest comment
Zitat von @henessy:
Was darf eurer Meinung nach keines Falls vergessen werden, wenn ein Enterprise Linux aufgesetzt wird?
Was darf eurer Meinung nach keines Falls vergessen werden, wenn ein Enterprise Linux aufgesetzt wird?
Moin,
- Kriterien, gegen welche Angriffe und Risiken es gesichert werden soll.
- reproduzierbarkeit einer Konfiguration (z.B. per puppet o.ä.).
- patchmanagement
- u.v.a mehr
Das ist eigentlich eine Aufgabe, die man nciht in 5 Minuten hinschreibt.
lks
Gebe ich dir völlig Recht, und erstmal danke für die schnelle Antwort.
Meinte allerdings mehr, was einem direkt in den Sinn kommt. Sicherlich gibt es für jeden andere Kriterien, die er als wichtig erachtet. So kann man dann diese Punkte in das bestehende Dokument mit aufnehmen.
Meinte allerdings mehr, was einem direkt in den Sinn kommt. Sicherlich gibt es für jeden andere Kriterien, die er als wichtig erachtet. So kann man dann diese Punkte in das bestehende Dokument mit aufnehmen.
Servus!
Du hast dir doch sicherlich schon Gedanken gemacht - also her damit...
Gruß
Luigi
Du hast dir doch sicherlich schon Gedanken gemacht - also her damit...
Gruß
Luigi
Hi!
Klar, folgende Punkte habe ich schon:
Installation:
Hardening:
Netzwerk Hardening
etc...
Viele Grüße
Klar, folgende Punkte habe ich schon:
Installation:
- Filesystem
- Mounting in der fstab (Parameter)
- LVM2
- DNS
Hardening:
- Secure Mount Optionen
- Scripts
- Logging
- Installieren / entfernen von Paketen
- Kein root login
- Brute force verhindern
Netzwerk Hardening
- Lokale Firewall
- IP Spoofing Protection
etc...
Viele Grüße
Hallo,
leise "Problem" ... alle Linuxsysteme" ..stört mich!
effektiv sicher aufgesetzte Systeme beinhalten nur alle unbedingt notwendigen Dienste - da gibt es schnell einen Konflikt mit alle Systeme.
AppArmor / SELinux richtig konfigurieren.
und natürlich der obengenannte Rest.
Theoretisch (!) solltest du ohne Firewall auskommen (Ehmm viele Firewalls sind auf Sicherheit getrimmte Linuxrechner).
IMHO nützen lokale Firewalls nur in einem sauber aufgesetzten System ! Dann fangen sie alle internen Angriffe ab, was bei einem Befall anderer Maschinen sehr hilfreich sein kann.
Fernzugriffe nur mit Zertifikaten und möglichst 2 Faktor Authentifizierung
Im Gegensatz zu @lks stand bei mir nie die Frage gegen was gesichert werden soll, sondern eher was unbedingt funktioniren muss! Der Rest darf nicht da sein und damit sollten Angriffe ins Leere laufen .
Bin da eher Anhänger der "Pessimisten" : alles dicht und nur unbedingt Nötiges darf funktionieren!
Macht aber deutlich mehr Arbeit bei veränderten Anforderungen.
Und natürlich gehört zum Hardening ein sauberes Monitoring
Fred
ps: hat jedenfalls jahrelang funktioniert - keinen erfolgreichen Angriffe , alternativ hab ich nur Glück gehabt ?
leise "Problem" ... alle Linuxsysteme" ..stört mich!
effektiv sicher aufgesetzte Systeme beinhalten nur alle unbedingt notwendigen Dienste - da gibt es schnell einen Konflikt mit alle Systeme.
AppArmor / SELinux richtig konfigurieren.
und natürlich der obengenannte Rest.
Theoretisch (!) solltest du ohne Firewall auskommen (Ehmm viele Firewalls sind auf Sicherheit getrimmte Linuxrechner).
IMHO nützen lokale Firewalls nur in einem sauber aufgesetzten System ! Dann fangen sie alle internen Angriffe ab, was bei einem Befall anderer Maschinen sehr hilfreich sein kann.
Fernzugriffe nur mit Zertifikaten und möglichst 2 Faktor Authentifizierung
Im Gegensatz zu @lks stand bei mir nie die Frage gegen was gesichert werden soll, sondern eher was unbedingt funktioniren muss! Der Rest darf nicht da sein und damit sollten Angriffe ins Leere laufen .
Bin da eher Anhänger der "Pessimisten" : alles dicht und nur unbedingt Nötiges darf funktionieren!
Macht aber deutlich mehr Arbeit bei veränderten Anforderungen.
Und natürlich gehört zum Hardening ein sauberes Monitoring
Fred
ps: hat jedenfalls jahrelang funktioniert - keinen erfolgreichen Angriffe , alternativ hab ich nur Glück gehabt ?
Zitat von @fredmy:
Im Gegensatz zu @lks stand bei mir nie die Frage gegen was gesichert werden soll, sondern eher was unbedingt funktioniren muss! Der Rest darf nicht da sein und damit sollten Angriffe ins Leere laufen .
Im Gegensatz zu @lks stand bei mir nie die Frage gegen was gesichert werden soll, sondern eher was unbedingt funktioniren muss! Der Rest darf nicht da sein und damit sollten Angriffe ins Leere laufen .
Das ist kein Gegensatz. Ich sehe es als selbstverständlich an, daß man nur so viel wie nötig und so wenig wie möglich draufpackt.
Man muß sich aber schon Gedanken darum machen, gegen welche Risiken man sich absichern muß.
Dabei darf man nicht vergessen, daß wenn man es zu "dicht verbarrikadiert" das einem auch auf die Füße fallen kann, wenn man das System nicht schnell genug warten kann, wenn etwas schiefgeht.
Das Problem an der ganzen Sache ist, daß es da leider keine Standardlösung gibt, die alle Aspekte des Einzelfalles abdeckt.
Einen Server in einem Rechenzentrum muß man oft anders absichern als den Desktop im Büro (ja, auch das sind enpterprise-Linux-Systeme
).lks
Hallo,
kann man nur sagen:
full ack
Fred
kann man nur sagen:
full ack
Fred
