Linux Enterprise Standard Deployment
Hallo zusammen, ich arbeite einen Standard aus, nachdem später alle Linuxsysteme aufgebaut werden sollen.
Es geht hier nicht um den Standard Kram wie ext4 Filesystem, LVM2 etc., sondern um das wirkliche Finetuning, bzw hardening, woran eben nicht jeder denkt.
Meine Frage wäre also:
Was darf eurer Meinung nach keines Falls vergessen werden, wenn ein Enterprise Linux aufgesetzt wird?
Ich bedanke mich schonmal für eure Hilfe!
Es geht hier nicht um den Standard Kram wie ext4 Filesystem, LVM2 etc., sondern um das wirkliche Finetuning, bzw hardening, woran eben nicht jeder denkt.
Meine Frage wäre also:
Was darf eurer Meinung nach keines Falls vergessen werden, wenn ein Enterprise Linux aufgesetzt wird?
Ich bedanke mich schonmal für eure Hilfe!
Antworten-
- Mehr
Auf Facebook teilen
Auf Twitter teilen7 Antworten
- LÖSUNG Lochkartenstanzer schreibt am 26.01.2021 um 22:14:58 Uhr
- LÖSUNG henessy schreibt am 26.01.2021 um 22:17:10 Uhr
- LÖSUNG papa-luigi schreibt am 26.01.2021 um 23:05:00 Uhr
- LÖSUNG henessy schreibt am 27.01.2021 um 08:08:32 Uhr
- LÖSUNG fredmy schreibt am 27.01.2021 um 08:43:49 Uhr
- LÖSUNG Lochkartenstanzer schreibt am 27.01.2021 um 09:06:00 Uhr
- LÖSUNG fredmy schreibt am 27.01.2021 um 11:19:59 Uhr
- LÖSUNG Lochkartenstanzer schreibt am 27.01.2021 um 09:06:00 Uhr
- LÖSUNG fredmy schreibt am 27.01.2021 um 08:43:49 Uhr
- LÖSUNG henessy schreibt am 27.01.2021 um 08:08:32 Uhr
- LÖSUNG papa-luigi schreibt am 26.01.2021 um 23:05:00 Uhr
- LÖSUNG henessy schreibt am 26.01.2021 um 22:17:10 Uhr
LÖSUNG 26.01.2021 um 22:14 Uhr
Zitat von @henessy:
Was darf eurer Meinung nach keines Falls vergessen werden, wenn ein Enterprise Linux aufgesetzt wird?
Was darf eurer Meinung nach keines Falls vergessen werden, wenn ein Enterprise Linux aufgesetzt wird?
Moin,
- Kriterien, gegen welche Angriffe und Risiken es gesichert werden soll.
- reproduzierbarkeit einer Konfiguration (z.B. per puppet o.ä.).
- patchmanagement
- u.v.a mehr
Das ist eigentlich eine Aufgabe, die man nciht in 5 Minuten hinschreibt.
lks
LÖSUNG 26.01.2021 um 22:17 Uhr
LÖSUNG 26.01.2021 um 23:05 Uhr
LÖSUNG 27.01.2021 um 08:08 Uhr
Hi!
Klar, folgende Punkte habe ich schon:
Installation:
Hardening:
Netzwerk Hardening
etc...
Viele Grüße
Klar, folgende Punkte habe ich schon:
Installation:
- Filesystem
- Mounting in der fstab (Parameter)
- LVM2
- DNS
Hardening:
- Secure Mount Optionen
- Scripts
- Logging
- Installieren / entfernen von Paketen
- Kein root login
- Brute force verhindern
Netzwerk Hardening
- Lokale Firewall
- IP Spoofing Protection
etc...
Viele Grüße
LÖSUNG 27.01.2021 um 08:43 Uhr
Hallo,
leise "Problem" ... alle Linuxsysteme" ..stört mich!
effektiv sicher aufgesetzte Systeme beinhalten nur alle unbedingt notwendigen Dienste - da gibt es schnell einen Konflikt mit alle Systeme.
AppArmor / SELinux richtig konfigurieren.
und natürlich der obengenannte Rest.
Theoretisch (!) solltest du ohne Firewall auskommen (Ehmm viele Firewalls sind auf Sicherheit getrimmte Linuxrechner).
IMHO nützen lokale Firewalls nur in einem sauber aufgesetzten System ! Dann fangen sie alle internen Angriffe ab, was bei einem Befall anderer Maschinen sehr hilfreich sein kann.
Fernzugriffe nur mit Zertifikaten und möglichst 2 Faktor Authentifizierung
Im Gegensatz zu @lks stand bei mir nie die Frage gegen was gesichert werden soll, sondern eher was unbedingt funktioniren muss! Der Rest darf nicht da sein und damit sollten Angriffe ins Leere laufen .
Bin da eher Anhänger der "Pessimisten" : alles dicht und nur unbedingt Nötiges darf funktionieren!
Macht aber deutlich mehr Arbeit bei veränderten Anforderungen.
Und natürlich gehört zum Hardening ein sauberes Monitoring
Fred
ps: hat jedenfalls jahrelang funktioniert - keinen erfolgreichen Angriffe , alternativ hab ich nur Glück gehabt ?
leise "Problem" ... alle Linuxsysteme" ..stört mich!
effektiv sicher aufgesetzte Systeme beinhalten nur alle unbedingt notwendigen Dienste - da gibt es schnell einen Konflikt mit alle Systeme.
AppArmor / SELinux richtig konfigurieren.
und natürlich der obengenannte Rest.
Theoretisch (!) solltest du ohne Firewall auskommen (Ehmm viele Firewalls sind auf Sicherheit getrimmte Linuxrechner).
IMHO nützen lokale Firewalls nur in einem sauber aufgesetzten System ! Dann fangen sie alle internen Angriffe ab, was bei einem Befall anderer Maschinen sehr hilfreich sein kann.
Fernzugriffe nur mit Zertifikaten und möglichst 2 Faktor Authentifizierung
Im Gegensatz zu @lks stand bei mir nie die Frage gegen was gesichert werden soll, sondern eher was unbedingt funktioniren muss! Der Rest darf nicht da sein und damit sollten Angriffe ins Leere laufen .
Bin da eher Anhänger der "Pessimisten" : alles dicht und nur unbedingt Nötiges darf funktionieren!
Macht aber deutlich mehr Arbeit bei veränderten Anforderungen.
Und natürlich gehört zum Hardening ein sauberes Monitoring
Fred
ps: hat jedenfalls jahrelang funktioniert - keinen erfolgreichen Angriffe , alternativ hab ich nur Glück gehabt ?
LÖSUNG 27.01.2021 um 09:06 Uhr
Zitat von @fredmy:
Im Gegensatz zu @lks stand bei mir nie die Frage gegen was gesichert werden soll, sondern eher was unbedingt funktioniren muss! Der Rest darf nicht da sein und damit sollten Angriffe ins Leere laufen .
Im Gegensatz zu @lks stand bei mir nie die Frage gegen was gesichert werden soll, sondern eher was unbedingt funktioniren muss! Der Rest darf nicht da sein und damit sollten Angriffe ins Leere laufen .
Das ist kein Gegensatz. Ich sehe es als selbstverständlich an, daß man nur so viel wie nötig und so wenig wie möglich draufpackt.
Man muß sich aber schon Gedanken darum machen, gegen welche Risiken man sich absichern muß.
Dabei darf man nicht vergessen, daß wenn man es zu "dicht verbarrikadiert" das einem auch auf die Füße fallen kann, wenn man das System nicht schnell genug warten kann, wenn etwas schiefgeht.
Das Problem an der ganzen Sache ist, daß es da leider keine Standardlösung gibt, die alle Aspekte des Einzelfalles abdeckt.
Einen Server in einem Rechenzentrum muß man oft anders absichern als den Desktop im Büro (ja, auch das sind enpterprise-Linux-Systeme
).lks
LÖSUNG 27.01.2021 um 11:19 Uhr
