Die hier aufgeführten Punkte sind zumindest für die Linux Rechner allgemein gültig.
Passworte sollten sehr gut gewählt sein, es sollte natürlich kein real existierender Begriff oder Name o.ä. sein, es sollte eine Kombination aus Zahlen und Buchstaben sein, Buchstaben sollten als Klein- und Grossbuchstaben vorkommen.
Eine, wie ich denke, gute Methode ist die Zusammenstellung der ersten
oder letzten Buchstaben eines Satzes, z.B. die ersten Buchstaben des Satzes
Meine Oma heisst Gertrude und wohnt in Katmandu. Daraus ergibt sich
MOhGuwiK
Ersetzt man jetzt noch z.B. alle O's durch 0 (Nullen) und alle I's durch 1 wird daraus
M0hGuw1K
Dieses Passwort ist relativ sicher und man kann sich ganz gut daran erinnern.
Um das Herunterfahren mittels STRG+ALT+Entf zu unterbinden in
/etc/rc.config folgenden Eintrag ändern:
CONSOLE_SHUTDOWN=reboot
zu
CONSOLE_SHUTDOWN=ignore
Die Messages welche nach dem Einloggen dargestellt werden, zum Beispiel die
«Message of the Day» (/etc/motd) kann man den eigenen Wünschen
anpassen, folgende Dateien entsprechend editieren: /etc/issue,
/etc/issue.net und /etc/motd.
In die Datei /etc/hosts sollte man die anderen Rechner des lokalen
Netzwerkes eintragen, sonst
kann es Probleme bzgl. der Namensauflösung geben was sich in ungewöhnlich langer
Wartezeit z.B. während des Einloggens per ssh äussert bzw. NIS- oder
NFS-Server nicht gefunden werden usw..
Man kann die Uhrzeit mittels netdate einstellen, um dies
automatisch und regelmässig durchführen zu lassen legt man ein kleines Skript an
und kopiert dies z.B. nach /etc/cron.hourly/ um es stündlich ausführen
zu lassen. Das Skript mittels touch /etc/cron.hourly/netdate.sh
anlegen, mittels chmod 0744 /etc/cron.hourly/netdate.sh ausführbar
machen. Folgendes in diese Datei eintragen:
#!/bin/bash
/usr/sbin/netdate time.server >> /var/log/netdate.log
time.server ist durch einen entsprechenden Server zu ersetzen.
Anm.:
Wenn der
File-Server
entsprechend eingerichtet ist, bzw. die Dienste
in der /etc/inetd.conf nicht deaktiviert wurden, diesen als Time-Server
benutzen, dann funktioniert die Synchronisation auch wenn z.B. momentan keine
Verbindung zum Internet möglich ist oder der entsprechende Server down ist. Der
File-Server
selbst muss natürlich weiterhin die Uhrzeit mit einem
entsprechenden Server aus dem Internet synchronisieren.
Wenn man als Root detailiertere Mails bzgl. der System-Logs zugestellt bekommen
möchte muss folgender Eintrag in /etc/rc.config geändert werden:
MAIL_LEVEL="warn"
zu
MAIL_LEVEL="all"
Default sind einige Dienste aktiviert die teilweise nicht benötigt werden oder
aber sogar Sicherheitslücken darstellen können. Diese Dienste sollte man
deaktivieren, dazu gehöhren u.a. ftp, telnet, login
und finger. Auch pop und swat werden nicht benötigt.
time sollte zumindest auf einem Rechner laufen, z.B. auf dem
File-Server
, damit man einen Rechner hat mittels dem man die Unrzeit
abgleichen kann auch wenn momentan kein Time-Server aus dem Internet zur
Verfügung steht. Diese Dienste deaktiviert man indem man die entsprechenden
Zeilen in /etc/inetd.conf kommentiert (ein # an den Anfang der
Zeile setzt). Eigentlich können alle Einträge in /etc/inetd.conf
kommentiert werden, zumindest sollte man aber obige kommentieren. Danach
/sbin/init.d/inetd restart ausführen.
Ausserdem ist, wenn Apache installiert wurde dieser automatisch gestartet, wenn
dies nicht erwünscht ist in /etc/rc.config folgendes ändern:
START_HTTPD=yes
zu
START_HTTPD=no
Danach SuSEconfig aufrufen und entweder den Rechner neu starten oder
/sbin/init.d/apache stop aufrufen.
Um zu verhindern dass schwache Passwörter benutzt werden in
/etc/rc.config folgendes ändern:
PASSWD_USE_CRACKLIB="no"
zu
PASSWD_USE_CRACKLIB=yes"
Danach SuSEconfig aufrufen.
Mittels Tripwire wird eine Datenbank angelegt die die Prüfsummen der einzelnen
Dateien des Dateisystems enthält. Diese Prüfsummen sind unterschiedlich kodiert.
Wenn in regelmässigen Abständen die Prüfsummen der tatsächlich vorhandenen
Dateien mit den Prüfsummen der Datenbank (diese muss nach der
Installation/Konfiguration des Rechners angelegt werden bevor jemand
anderes als Root Zugang zu diesem Rechner erhält) verglichen werden, werden
veränderte Dateien angezeigt und je nach Datei deutet das auf einen Einbruch
hin, wenn z.B. die Datei /bin/login als verändert angezeigt wird und
kein Update oder eine sonstige bewusste Veränderung vorgenommen wurde kann es
z.B. sein dass ein Eindringling diese Datei durch eine geänderte ausgetauscht
hat die z.B. einen Trojaner enthält. Da sind wir gleich beim nächsten Punkt:
Wenn ein Update durchgeführt wurde sollte die Datenbank neu angelegt oder
zumindest aktualisiert werden. Ebenfalls sollte sich die Datenbank auf einem
Medium befinden welches keine Schreibrechte bietet, z.B. auf einem «sicheren»
NFS-Server oder ggf. auf CD gebrannt werden usw., was nützt die Datenbank wenn
nicht nur /bin/login ausgetauscht sondern auch der Eintrag in der
Datenbank entsprechend geändert wurde? Zusätzlich gilt es zu beachten dass
einige Dateien nicht kontrolliert werden sollten da sie einerseits keine Risiken
darstellen und ständig geändert werden (mittels einer ausführbaren Datei kann
im u.U. jeder Befehl ausgeführt werden, eine geänderte /etc/mtab sollte
dagegen eigentlich ungefährlich sein). Die Einstellungen bzgl. welche
Dateien kontrolliert werden, werden in der Datei
/var/adm/tripwire/tw.config vorgenommen. Eine gut voreingestellte
Konfigurationsdatei ist
/usr/share/doc/packages/tripwire/tw.conf.example.linux. Mittels
/var/adm/tripwire/bin/tripwire -initialize wird die Datenbank erstellt.
Diese wird in der Datei /root/databases/tw.db_hostname (hostname wird
durch den entsprechenden Namen ersetzt) gespeichert. Wie gesagt, diese Datei
auf einem «sicheren» Datenträger speichern. Möchte man später die Integrität
des Dateisystems überprüfen muss man diese Datenbank nach
/var/adm/tripwire/db/ kopieren bzw. einen entsprechnenden Link
anlegen und /var/adm/tripwire/bin/tripwire aufrufen. Wenn man die
Datenbank aktualisieren, also einzelne Einträge verändern oder hinzufügen möchte
/var/adm/tripwire/bin/tripwire -update /bin/login ausführen, wobei
/bin/login die geänderte bzw. hinzugefügte Datei ist. Wiederum nicht
vergessen die geänderte Datenbank auf einem «sicheren» Datenträger zu speichern.