Beseitigung von Sicherheitslücken

Ziel

Die Strategie der meisten Systemhersteller besteht darin, Ihre Systeme möglichst als plug-and-play-Lösung anzubieten. Aus diesem Grund werden Security-Fragen häufig in den Hintergrund gestellt, da man es den Anwendern nicht "zumuten" möchte, Zugriffsberechtigungen für einzelne Dienste oder Client-Systeme vergeben zu müssen.

Aus diesem Grund enthalten viele Systeme zahlreiche Sicherheitslücken, die leicht zum unberechtigten Zugriff oder sogar zur Zerstörung von Datenbeständen ausgenutzt werden können.

In der Systemdokumentation findet man (meist gut versteckt) jedoch einige Hinweise, wie solche Sicherheitslücken abzustellen sind. Das ist in der Regel mit dem Einspielen verschiedener Patches verbunden.

Im folgenden werden eine Reihe von Hinweisen gegeben, welche Teile der Systemsoftware zu konfigurieren bzw. gegen freie Software auszutauschen sind, um die Installtion einigermaßen abzusichern.

Voraussetzungen

Die zum Einsatz kommenden Programme sind als freie Software verfügbar. Soweit möglich werden diese vom URZ erschlossen und in /uni/global bereitgestellt.

Sie sollten daher durch Installation des Automounters amd die Nutzung dieses Dienstes vorbereitet haben.

Vorgehensweise

Das Befolgen der Hinweise richtet sich nach dem individuellen Sicherheitsbedürfnis. Natürlich kann niemand die Garantie übernehmen, daß das Befolgen der Hinweise eine absolute Sicherheit gewährleistet.

Einspielen sämtlicher security-relevanter Patches
Installation des TCP-Wrappers
Austausch des Portmappers
Installation des Identication Servers (pidentd)
Installation und Verwendung von S/Key
Installation und Verwendung von esra
Installation und Verwendung von ssh
regelmäßiges Verfolgen wichtiger Security-Newsgruppen (comp.security.misc und comp.security.unix) und Beachten anderer Security-Hinweise

Thomas Müller, 12. April 1996