Das aktuelle Linux-Magazin hat einen ganz lustigen Artikel \u00fcber einen “Hacker”, der nun Strafverfolger schult. Da er im Rahmen eines Interviews zwei Tipps gibt, wie der 0815-Systemadministrator sein Linux-System etwas sicherer macht, der Autor des Artikels diese aber leider nicht aufgreift \u00fcbernehme ich das mal.<\/p>\n
Erster Tipp: Die .bash_history auf “append-only” setzen.<\/strong><\/p>\n Standardm\u00e4\u00dfig notiert die Bash alle abgesetzt Kommandos in der Datei .bash_history im Home-Verzeichnis des jeweiligen Benutzers. Ein Hacker hat nun zwei ganz einfache M\u00f6glichkeiten, dieses Protokoll zu umgehen:<\/p>\n Dies l\u00f6scht die Umgebungsvariable $HISTFILE und damit “vergisst” die Bash, das sie Protokoll f\u00fchren sollte, oder<\/p>\n Damit wird das Protokoll mit einer leeren Datei \u00fcberschrieben. Man k\u00f6nnte es vermutlich umst\u00e4ndlich zur\u00fcckholen, aber das tut wohl kaum jemand.<\/p>\n Nun, wie sorgt man also daf\u00fcr, das die Bash immer ein vollst\u00e4ndiges, nicht l\u00f6schbares Log f\u00fchrt ?<\/p>\n sorgt daf\u00fcr, das nur noch Daten an die Protokoll-Datei angeh\u00e4ngt werden k\u00f6nnen. Sie kann nicht mehr \u00fcberschrieben werden.<\/p>\n Zweiter Tipp: Die \/home-Partition “noexec” mounten.<\/strong><\/p>\n Diese Einstellung sorgt daf\u00fcr, das ein Angreifer, der Zugang zu einem Benutzeraccount erlang hat, nicht einfach irgendwelche Programme hochladen und ausf\u00fchren kann. Selbstverst\u00e4ndlich mu\u00df man dieses Flag auch f\u00fcr das \/tmp-Dateisystem setzen, da es sonst relativ sinnlos ist. Ich pers\u00f6nlich gehe sogar noch einen Schritt weiter und setze folgende Optionen f\u00fcr die \/home-Partition:<\/p>\n noexec<\/em>: Binaries\/Scripte d\u00fcrfen nicht ausgef\u00fchrt werden Um diese Optionen einsetzen zu k\u00f6nnen, mu\u00df man die Home-Verzeichnisse der Benutzer nat\u00fcrlich auf eine eigene Partition legen, das m\u00f6chte ich aber sowieso jedem Admin ans Herz legen.<\/p>\n","protected":false},"excerpt":{"rendered":" Das aktuelle Linux-Magazin hat einen ganz lustigen Artikel \u00fcber einen “Hacker”, der nun Strafverfolger schult. Da er im Rahmen eines Interviews zwei Tipps gibt, wie der 0815-Systemadministrator sein Linux-System etwas sicherer macht, der…<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[5],"tags":[],"_links":{"self":[{"href":"https:\/\/www.steve-meier.de\/index.php?rest_route=\/wp\/v2\/posts\/173"}],"collection":[{"href":"https:\/\/www.steve-meier.de\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.steve-meier.de\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.steve-meier.de\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.steve-meier.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=173"}],"version-history":[{"count":10,"href":"https:\/\/www.steve-meier.de\/index.php?rest_route=\/wp\/v2\/posts\/173\/revisions"}],"predecessor-version":[{"id":183,"href":"https:\/\/www.steve-meier.de\/index.php?rest_route=\/wp\/v2\/posts\/173\/revisions\/183"}],"wp:attachment":[{"href":"https:\/\/www.steve-meier.de\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=173"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.steve-meier.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=173"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.steve-meier.de\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=173"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}unset HISTFILE<\/code><\/p>\ncp \/dev\/null $HISTFILE<\/code><\/p>\nchattr +a .bash_history<\/code><\/p>\nreadonly HISTFILE
\nreadonly HISTSIZE
\nreadonly HISTFILESIZE
\n<\/code>
\nsorgen anschlie\u00dfend daf\u00fcr, das alle mit der Protokoll-Datei zusammenh\u00e4ngenden Umgebungsvariablen nicht ver\u00e4ndert werden k\u00f6nnen. Diese Einstellung sollte man (je nach Distribution) in \/etc\/profile oder \/etc\/profile.local hinterlegen.<\/p>\nnoexec, nosuid, nodev<\/code><\/p>\n
\nnosuid<\/em>: Evtl. gesetzt SetUID-Bits werden ignoriert
\nnodev<\/em>: Ger\u00e4tedateien k\u00f6nnen nicht angelegt\/verwendet werden.<\/p>\n