Linux Enterprise Standard Deployment

Mitglied: henessy

henessy (Level 1) - Jetzt verbinden

26.01.2021 um 22:04 Uhr, 516 Aufrufe, 7 Kommentare

Hallo zusammen, ich arbeite einen Standard aus, nachdem später alle Linuxsysteme aufgebaut werden sollen.
Es geht hier nicht um den Standard Kram wie ext4 Filesystem, LVM2 etc., sondern um das wirkliche Finetuning, bzw hardening, woran eben nicht jeder denkt.

Meine Frage wäre also:

Was darf eurer Meinung nach keines Falls vergessen werden, wenn ein Enterprise Linux aufgesetzt wird?

Ich bedanke mich schonmal für eure Hilfe!
Mitglied: Lochkartenstanzer
26.01.2021 um 22:14 Uhr
Zitat von @henessy:

Was darf eurer Meinung nach keines Falls vergessen werden, wenn ein Enterprise Linux aufgesetzt wird?

Moin,

  • Kriterien, gegen welche Angriffe und Risiken es gesichert werden soll.
  • reproduzierbarkeit einer Konfiguration (z.B. per puppet o.ä.).
  • patchmanagement
  • u.v.a mehr

Das ist eigentlich eine Aufgabe, die man nciht in 5 Minuten hinschreibt. :-) face-smile

lks
Bitte warten ..
Mitglied: henessy
26.01.2021 um 22:17 Uhr
Gebe ich dir völlig Recht, und erstmal danke für die schnelle Antwort.
Meinte allerdings mehr, was einem direkt in den Sinn kommt. Sicherlich gibt es für jeden andere Kriterien, die er als wichtig erachtet. So kann man dann diese Punkte in das bestehende Dokument mit aufnehmen.
Bitte warten ..
Mitglied: papa-luigi
26.01.2021 um 23:05 Uhr
Servus!
Du hast dir doch sicherlich schon Gedanken gemacht - also her damit...

Gruß
Luigi
Bitte warten ..
Mitglied: henessy
27.01.2021 um 08:08 Uhr
Hi!

Klar, folgende Punkte habe ich schon:

Installation:

  • Filesystem
  • Mounting in der fstab (Parameter)
  • LVM2
  • DNS

Hardening:

  • Secure Mount Optionen
  • Scripts
  • Logging
  • Installieren / entfernen von Paketen
  • Kein root login
  • Brute force verhindern

Netzwerk Hardening

  • Lokale Firewall
  • IP Spoofing Protection

etc...

Viele Grüße
Bitte warten ..
Mitglied: fredmy
27.01.2021 um 08:43 Uhr
Hallo,
leise "Problem" ... alle Linuxsysteme" ..stört mich!

effektiv sicher aufgesetzte Systeme beinhalten nur alle unbedingt notwendigen Dienste - da gibt es schnell einen Konflikt mit alle Systeme.

AppArmor / SELinux richtig konfigurieren.
und natürlich der obengenannte Rest.
Theoretisch (!) solltest du ohne Firewall auskommen (Ehmm viele Firewalls sind auf Sicherheit getrimmte Linuxrechner).

IMHO nützen lokale Firewalls nur in einem sauber aufgesetzten System ! Dann fangen sie alle internen Angriffe ab, was bei einem Befall anderer Maschinen sehr hilfreich sein kann.

Fernzugriffe nur mit Zertifikaten und möglichst 2 Faktor Authentifizierung
Im Gegensatz zu @lks stand bei mir nie die Frage gegen was gesichert werden soll, sondern eher was unbedingt funktioniren muss! Der Rest darf nicht da sein und damit sollten Angriffe ins Leere laufen .

Bin da eher Anhänger der "Pessimisten" : alles dicht und nur unbedingt Nötiges darf funktionieren!
Macht aber deutlich mehr Arbeit bei veränderten Anforderungen.
Und natürlich gehört zum Hardening ein sauberes Monitoring

Fred
ps: hat jedenfalls jahrelang funktioniert - keinen erfolgreichen Angriffe , alternativ hab ich nur Glück gehabt ?
Bitte warten ..
Mitglied: Lochkartenstanzer
27.01.2021 um 09:06 Uhr
Zitat von @fredmy:

Im Gegensatz zu @lks stand bei mir nie die Frage gegen was gesichert werden soll, sondern eher was unbedingt funktioniren muss! Der Rest darf nicht da sein und damit sollten Angriffe ins Leere laufen .


Das ist kein Gegensatz. Ich sehe es als selbstverständlich an, daß man nur so viel wie nötig und so wenig wie möglich draufpackt.

Man muß sich aber schon Gedanken darum machen, gegen welche Risiken man sich absichern muß.

Dabei darf man nicht vergessen, daß wenn man es zu "dicht verbarrikadiert" das einem auch auf die Füße fallen kann, wenn man das System nicht schnell genug warten kann, wenn etwas schiefgeht.

Das Problem an der ganzen Sache ist, daß es da leider keine Standardlösung gibt, die alle Aspekte des Einzelfalles abdeckt.

Einen Server in einem Rechenzentrum muß man oft anders absichern als den Desktop im Büro (ja, auch das sind enpterprise-Linux-Systeme :-) face-smile).

lks
Bitte warten ..
Mitglied: fredmy
27.01.2021 um 11:19 Uhr
Hallo,
kann man nur sagen:
full ack

Fred
Bitte warten ..
Heiß diskutierte Inhalte
MikroTik RouterOS
Simples VLAN bringt mich zur Verzweiflung
gelöst Daniel26Vor 1 TagFrageMikroTik RouterOS30 Kommentare

Moin, ich bin sehr neu im Mikrotik-Bereich, aber schon dabei, aufzuegeben. Wir verbauen in unserer Hardware Switche von Mikrotik. Bisher waren da Netgear-Teile drin, ...

LAN, WAN, Wireless
Switch läuft, ist aber nicht erreichbar
gelöst AndiPeeVor 1 TagFrageLAN, WAN, Wireless19 Kommentare

Hallo zusammen, mein Problemfall einleitend kurz umrissen: Privates Netzwerk Es funktioniert grundsätzlich, allerdings habe ich immer mal ein paar Ausfälle im WLAN-Netzwerk und bin ...

Microsoft
STRG + ALT + ENTF
TezzlaVor 1 TagAllgemeinMicrosoft12 Kommentare

Mahlzeit zusammen, wir haben gerade im Kollegenkreis über Sinn und Unsinn der Sperrbildschirmentriegelung STRG + ALT + ENTF unter Win10 diskutiert. Mich würde hierzu ...

Video & Streaming
Streamingplattform mit eigenen Servern
gelöst icegetVor 1 TagFrageVideo & Streaming6 Kommentare

Hallo liebe Community, ich würde gerne via Amazaon AWS (oder andere Cloudanbietern) mehrere Serverinstanzen (Streaming) starten, um z.B. 2000 Personen den selben Stream den ...

Windows Server
Nutzer als lokaler Admin in Windows Server 2019
hanheikVor 1 TagFrageWindows Server6 Kommentare

Hallo, in SBS 2011 konnte ich ganz einfach einen Nutzer als lokalen Admin einstellen. Windows fragte dann, für welchen Rechner; Rechner auswählen; fertig! In ...

E-Mail
Alternative zu horde webmail
fisch56Vor 1 TagFrageE-Mail6 Kommentare

Hallo, ich habe das horde webmail auf meinem Server, macht allerdings Probleme. Suche daher eine Alternative. Das Postfach hat viele Unterordner, die z.B. bei ...

Switche und Hubs
Zwei Lancom GS-315XP Switche VLAN verbinden
wieoderwasVor 1 TagFrageSwitche und Hubs14 Kommentare

Hallo zusammen, wir haben zwei neue Lancom GS-315XP Switche bekommen. An einem dieser Switche sind Lancom Accesspoints angeschlossen. Ich verzweifel gerade an der Verbindung ...

TK-Netze & Geräte
Beantragung Telekom Glasfaseranschluss beschleunigen
RoadmaxVor 1 TagFrageTK-Netze & Geräte4 Kommentare

Hallo Zusammen, wir benötigen relativ kurzfristig für eine neue Niederlassung in Duisburg einen 1GBit symetrischen Glasfaseranschluss. Der Vormieter hatte bereits einen 1GBit Anschluss der ...