[ zurück ] [ Inhalt ] [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ 12 ] [ A ] [ B ] [ C ] [ D ] [ E ] [ F ] [ G ] [ H ] [ weiter ]
Eines der schwierigsten Dinge beim Schreiben über Sicherheit besteht darin, dass jeder Fall einzigartig ist. Sie müssen zwei Dinge beachten: Die Gefahrenlage und das Bedürfnis auf Sicherheit bei Ihnen, Ihres Rechners oder Ihres Netzwerkes. So unterscheiden sich zum Beispiel die Sicherheitsbedürfnisse eines Heimanwenders grundlegend von den Sicherheitsbedürfnissen des Netzwerkes einer Bank. Während die Hauptgefahr eines Heimanwenders von »Script-Kiddies« ausgeht, muss sich das Netzwerk einer Bank wegen direkter Angriffe Sorgen machen. Zusätzlich muss eine Bank die Daten ihrer Kunden mit mathematischer Präzision beschützen. Um es kurz zu machen: Jeder Benutzer muss selbst zwischen Benutzerfreundlichkeit und Sicherheit/Paranoia abwägen.
Beachten Sie bitte, dass diese Anleitung nur Software-Themen behandelt. Die beste Software der Welt kann Sie nicht schützen, wenn jemand direkten Zugang zu Ihrem Rechner hat. Sie können ihn unter Ihren Schreibtisch stellen oder Sie können ihn in einen starken Bunker mit einer ganzen Armee davor stellen. Trotzdem kann der Rechner unter Ihrem Schreibtisch weitaus sicherer sein – von der Software-Seite aus gesehen – als der eingebunkerte, wenn Ihr Schreibtisch-Rechner richtig konfiguriert und die Software des eingebunkerten Rechners voller Sicherheitslöcher ist. Sie müssen beide Möglichkeiten betrachten.
Dieses Dokument gibt Ihnen lediglich einen kleinen Überblick, was Sie tun können, um die Sicherheit Ihres Debian GNU/Linux Systems zu erhöhen. Wenn Sie bereits andere Dokumente über Sicherheit unter Linux gelesen haben, werden Sie feststellen, dass es einige Überschneidungen gibt. Dieses Dokument soll aber auch nicht die allumfassende Informationsquelle sein, es versucht nur, die gleichen Informationen so aufzubereiten, dass sie gut zu einem Debian GNU/Linux System passen. Unterschiedliche Distributionen erledigen manche Dinge auf unterschiedliche Weise (zum Beispiel den Aufruf von Daemons); hier finden Sie Material, das zu Debians Prozeduren und Werkzeugen passt.
Der aktuelle Betreuer dieses Dokuments ist Javier Fernández-Sanguino Peña
.
Falls Sie Kommentare, Ergänzungen oder Vorschläge haben, schicken Sie ihm
diese bitte. Sie werden dann in künftigen Ausgaben dieses Handbuchs
berücksichtigt werden. Bei Fehlern in dieser Übersetzung wenden Sie sich
bitte an den aktuellen deutschen Übersetzer Simon Brandmair
oder (wenn dieser
nicht erreichbar ist) an die deutsche
Mailingliste
(d.Ü.).
Dieses Handbuch wurde als HOWTO von Alexander Reelsen
ins Leben gerufen.
Nachdem es im Internet veröffentlicht wurde, gliederte es Javier Fernández-Sanguino Peña
in das
Debian Documentation
Project
ein. Zahlreiche Menschen haben etwas zu diesem Handbuch
beigesteuert (alle Beiträge sind im Changelog aufgeführt), aber die folgenden
haben gesonderte Erwähnung verdient, da sie bedeutende Beiträge geleistet
haben (ganze Abschnitte, Kapitel oder Anhänge):
Stefano Canepa
Era Eriksson
Carlo Perassi
Alexandre Ratti
Jaime Robles
Yotam Rubin
Frederic Schutz
Pedro Zorzenon Neto
Oohara Yuuma
Davor Ocelic
Sie können sich die neueste Version der »Anleitung zum Absichern von Debian«
beim Debian
Documentation Project
herunterladen oder anschauen. Wenn Sie eine
Kopie von einer anderen Seite lesen, überprüfen Sie bitte die Hauptversion,
ob sie neue Informationen enthält. Wenn Sie eine Übersetzung lesen (was Sie
im Moment tun, d.Ü.), vergleichen Sie bitte die Version der Übersetzung mit
der neuesten Version. Falls Sie feststellen, dass die Übersetzung veraltet
ist, sollten Sie in Betracht ziehen, die Originalversion zu verwenden oder
zumindest Änderungsübersicht/Changelog/Geschichte,
Abschnitt 1.6 durchsehen, um zu wissen, was geändert wurde.
Wenn Sie eine vollständige Kopie des Handbuchs wollen, können Sie die
Text-Version
oder die PDF-Version
von der Site des Debian Documentation Projects herunterladen. Diese Versionen
können sinnvoller sein, wenn Sie das Dokument auf ein tragbares Medium
kopieren oder ausdrucken wollen. Seien Sie aber gewarnt, das Dokument ist
über 200 Seiten lang und einige Code-Abschnitte werden in der PDF-Version
wegen den eingesetzten Formatierungswerkzeugen nicht richtig umgebrochen und
könnte daher nur unvollständig ausgedruckt werden.
Das Dokument ist auch in den Formaten Text, HTML und PDF im Paket harden-doc
enthalten.
Beachten Sie allerdings, dass das Paket nicht genauso aktuell sein muss wie das
Dokument, das Sie auf der Debian-Seite finden (Sie können sich aber immer eine
aktuelle Version aus dem Quellpaket bauen).
Dieses Dokument gehört zu den Dokumenten, die vom Debian Documentation
Project
bereit gestellt werden. Sie können die an dem Dokument
vorgenommenen Änderungen mit einem Webbrowser über die
Onlineprotokolle der Versionskontrolle (engl.)
verfolgen. Sie
können auch den Code mit SVN mit folgendem Befehl herunterladen:
svn co svn://svn.debian.org/svn/ddp/manuals/trunk/securing-howto/
Nun kommt der offizielle Teil. Derzeit sind die meisten Teile dieser Anleitung noch von mir (Alexander Reelsen) geschrieben, aber meiner Meinung nach sollte dies nicht so bleiben. Ich wuchs mit freier Software auf und lebe mit ihr, sie ist ein Teil meiner alltäglichen Arbeit und ich denke, auch von Ihrer. Ich ermutige jedermann, mir Feedback, Tipps für Ergänzungen oder andere Vorschläge, die Sie haben, zuzuschicken.
Wenn Sie glauben, dass Sie einen bestimmten Abschnitt oder Absatz besser pflegen können, dann schreiben Sie dem Dokumenten-Betreuer und Sie dürfen es gerne erledigen. Insbesondere, wenn Sie einen Abschnitt finden, der mit »FIXME« markiert wurde – was bedeutet, dass die Autoren noch nicht die Zeit hatten oder sich noch Wissen über das Thema aneignen müssen – schicken Sie ihnen sofort eine E-Mail.
Der Titel dieser Anleitung macht es sehr deutlich, dass es wichtig ist, dass sie auf dem neusten Stand gehalten wird. Auch Sie können Ihren Teil dazu beitragen. Bitte unterstützen Sie uns.
Die Installation von Debian GNU/Linux ist nicht sehr schwer und Sie sollten in der Lage gewesen sein, es zu installieren. Wenn Ihnen andere Linux-Distributionen, Unixe oder grundsätzliche Sicherheitskonzepte ein wenig vertraut sind, wird es Ihnen leichter fallen, diese Anleitung zu verstehen, da nicht auf jedes einzelne Detail eingegangen werden kann (oder dies wäre ein Buch geworden und keine Anleitung). Wenn Sie jedoch mit diesen Dingen noch nicht so vertraut sind, sollten Sie vielleicht einen Blick in Seien Sie wachsam gegenüber generellen Sicherheitsproblemen!, Abschnitt 2.2 für tiefer gehende Informationen werfen.
Dieses Kapitel beschreibt die Dinge, welche in diesem Handbuch noch verbessert werden müssen. Einige Abschnitte beinhalten FIXME- oder TODO-Markierungen, in denen beschrieben wird, welche Dinge fehlen (oder welche Aufgaben erledigt werden müssen). Der Zweck dieses Kapitels ist es, die Dinge, die zukünftig in dieses Handbuch aufgenommen werden könnten, und die Verbesserungen, die durchgeführt werden müssen (oder bei denen es interessant wäre, sie einzufügen) zu beschreiben.
Wenn Sie glauben, dass Sie Hilfe leisten könnten, den auf dieser Liste aufgeführten Punkten (oder solchen im Text) abzuhelfen, setzen Sie sich mit dem Hauptautor (siehe Autoren, Abschnitt 1.1) in Verbindung.
Dieses Dokument muss noch auf Grundlage der aktuellen Debian-Veröffentlichung aktualisiert werden. Die Standardkonfiguration einiger Pakete muss angepasst werden, da sie verändert wurden, seitdem dieses Dokument geschrieben wurde.
Erweiterung der Informationen zur Reaktion auf einen Vorfall, unter Umständen
auch mit einigen Vorschlägen von Red Hats Sicherheitsanleitung chapter
on incident response
Vorstellen von Überwachungswerkzeugen in der Ferne (um die Erreichbarkeit des
Systems zu überprüfen) wie monit
, daemontools
und
mon
; vergleiche http://linux.oreillynet.com/pub/a/linux/2002/05/09/sysadminguide.html
Prüfen, ob ein Abschnitt zu schreiben ist, wie man auf Debian basierende
Netzgeräte erstellt (mit Informationen etwa zum Basissystem,
equivs
und FAI)
Überprüfung, ob http://www.giac.org/practical/gsec/Chris_Koutras_GSEC.pdf
wichtige Informationen hat, die hier noch nicht behandelt werden
Informationen, wie man einen Laptop mit Debian einrichtet http://www.giac.org/practical/gcux/Stephanie_Thomas_GCUX.pdf
,
hinzufügen
Informationen, wie man unter Debian GNU/Linux eine Firewall aufsetzt, hinzufügen. Der Firewalls betreffende Abschnitt orientiert sich derzeit an Einzelplatz-Systemen (die keine anderen Systeme schützen müssen); auch auf das Testen der Installation eingehen.
Hinzufügen, wie man eine Proxy-Firewall unter Debian GNU/Linux aufsetzt, unter
der Angabe, welche Pakete Proxy-Dienste anbieten (zum Beispiel
xfwp
, ftp-proxy
, redir
,
smtpd
, dnrd
, jftpgw
, oops
,
pdnsd
, perdition
, transproxy
,
tsocks
). Sollte zu der Anleitung mit weiteren Informationen
verweisen. Erwähnenswert ist, dass zorp
jetzt Teil von Debian
ist und eine Proxy-Firewall ist (und auch der Programmautor
Debian-Pakete zur Verfügung stellt).
Informationen über die Service-Konfiguration mit file-rc
Alle Referenzen und URLs prüfen und die nicht mehr verfügbaren aktualisieren oder entfernen
Informationen über möglichen Ersatz (unter Debian) für häufig eingesetzte Server, die bei eingeschränktem Funktionsumfang nützlich sind, hinzufügen. Beispiele:
lokaler Lpr mit Cups (Paket)?
Lrp in der Ferne mit Lpr
bind mit dnrd/maradns
apache mit dhttpd/thttpd/wn (tux?)
exim/sendmail mit ssmtpd/smtpd/postfix
squid mit tinyproxy
ftpd mit oftpd/vsftp
…
Mehr Informationen über sicherheitsrelevante Patches des Kernels unter Debian einschließlich der oben aufgeführten und insbesondere, wie man diese Patches unter einem Debian-System benutzt
Erkennung von Eindringlingen (Linux Intrusion Detection
kernel-patch-2.4-lids
)
Linux Trustees (im Paket trustees
)
linux-patch-openswan
Details, wie man unnötige Netzwerkdienste deaktiviert (abgesehen von
inetd
), dies ist teilweise Teil des Härtungsprozesses, könnte
aber etwas ausgeweitet werden
Informationen über Passwort-Rotation, was sehr nah mit Sicherheitsrichtlinien (Policies) zusammenhängt
Sicherheitsrichtlinie und die Aufklärung der Benutzer über die Sicherheitsrichtlinie
Mehr über tcpwrapper und Wrapper im Allgemeinen?
hosts.equiv
und andere wichtige Sicherheitslöcher
Probleme bei der Dateifreigabe wie z.B. mit Samba und NFS?
suidmanager/dpkg-statoverrides
lpr und lprng
Abschalten der GNOME-IP-Dinge
Erwähnen von pam_chroot (siehe http://lists.debian.org/debian-security/2002/debian-security-200205/msg00011.html
)
und sein Nutzen, Benutzer einzuschränken. Einführende Informationen in
Verbindung mit http://online.securityfocus.com/infocus/1575
.
pdmenu
ist zum Beispiel bereits unter Debian verfügbar (während
flash das nicht ist).
Darüber reden, Dienste mit einer chroot-Umgebung zu versehen, mehr
Informationen dazu unter http://www.linuxfocus.org/English/January2002/article225.shtml
Programme erwähnen, die Chroot-Gefängnisse (chroot jails) herstellen.
compartment
und chrootuid
warten noch in Incoming.
Einige andere (makejail, jailer) könnten ebenfalls eingeführt werden.
Mehr Informationen über Software zur Analyse von Protokoll-Dateien
(log-Dateien, logs; zum Beispiel logcheck
und logcolorise)
»Fortgeschrittenes« Routing (Traffic-Regelungen sind sicherheitsrelevant)
Zugang über ssh
so einschränken, dass man nur bestimmte Befehle
ausführen kann
Benutzung von dpkg-statoverride
Sichere Möglichkeiten, um mehreren Benutzern den Zugriff auf einen CD-Brenner zu erlauben
Sichere Wege, um Töne zusammen mit graphischer Darstellung über ein Netzwerk zu leiten (so dass die Töne eines X-Clients über die Sound-Hardware eines X-Servers abgespielt werden)
Absichern von Web-Browsern
Aufsetzen von ftp über ssh
Benutzung von verschlüsselten Loopback-Dateisystemen
Verschlüsselung eines ganzen Dateisystems
Steganographie-Werkzeuge
Aufsetzen einer PKA für eine Organisation
Einsatz von LDAP zur Verwaltung der Benutzer. Es gibt ein HOWTO zu
ldap+kerberos für Debian auf http://www.bayour.com
von Turbo
Fredrikson.
Wie man Informationen mit begrenztem Nutzen wie z.B.
/usr/share/doc
oder /usr/share/man
auf
Produktivsystemen entfernt (jawohl, security by obscurity)
Mehr Informationen über lcap, die sich auf die README-Datei des Pakets
stützen (gut, die Datei ist noch nicht vorhanden, vergleiche Bug
#169465
) und diesen Artikel der LWN: Kernel development
Colins Artikel hinzufügen, wie man eine Chroot-Umgebung für ein komplettes
Sid-System aufsetzt (http://people.debian.org/~walters/chroot.html
)
Informationen darüber hinzufügen, wie man mehrere snort
-Sensoren
in einem System betreibt (prüfe die Fehlerberichte zu snort
)
Informationen hinzufügen, wie man einen Honigtopf (honeypot) einrichtet
(honeyd
)
Darstellung der Situation von FreeSwan (verwaist) und OpenSwan. Der Abschnitt über VPN muss überarbeitet werden.
Einen gesonderten Abschnitt über Datenbanken hinzufügen, ihre Standardwerte und, wie man den Zugriff absichert
Einen Abschnitt über den Nutzen von virtuellen Servern (wie Xen u.a.) hinzufügen
Erklären, wie Programme zur Überprüfung der Integrität verwendet werden (AIDE, integrit oder samhain). Die Grundlagen sind einfach und könnten sogar einige Verbesserungen der Konfiguration erklären.
Changes by Thijs Kinkhorst.
Remove mention of MD5 shadow passwords.
Do not recommend dselect for holding packages.
No longer include the Security Team FAQ verbatim, because it duplicates information documented elsewhere and is hence perpetually out of date.
Update section on restart after library upgrades to mention needrestart.
Avoid gender-specific language. Patch by Myriam.
Use LSB headers for firewall script. Patch by Dominic Walden.
Änderung von Javier Fernández-Sanguino Peña
Hinweis, dass das Dokument nicht in Hinblick auf die neusten Versionen aktualisiert ist
Verweise auf aktuelle Quellen aktualisiert
Informationen zu Sicherheitsaktualisierungen für neuere Veröffentlichungen aktualisiert
Verweis von Informationen für Entwickler auf Online-Quellen, anstatt die Informationen im Dokument zu belassen, um Dubletten zu vermeiden
Informationen über die Sicherung des Konsolenzugangs erweitert einschließlich der Beschränkung der Magischen S-Abf-Taste
Informationen zu PAM-Modulen aktualisiert einschließlich, wie man Anmeldungen an der Konsole einschränkt, cracklib verwendet und die in /etc/pam.d/login verfügbaren Eigenschaften einsetzt; veraltete Verweise auf Variablen in /etc/login.defs entfernt
Hinweis auf einige PAM-Module, die eine Zweifaktor-Anmeldung durchführen können, für Administratoren, die vollständig auf Passwörter verzichten wollen
Beispielshellskript im Anhang korrigiert
Fehler bei Verweisen korrigiert
Verweis auf das Bastille-Projekt bei Sourceforge anstelle der Site bastille-unix.org, da diese nicht mehr antwortet
Änderung von Javier Fernández-Sanguino Peña
Verweis auf die Website von Log Analysis geändert, da nicht länger verfügbar
Änderung von Javier Fernández-Sanguino Peña
Abschnitt über die Auswahl des Dateisystems geändert: Hinweis, dass ext3 jetzt der Standard ist
Name der Pakete, die mit enigmail zusammenhängen, geändert, damit sie den geänderten Namen in Debian entsprechen
Änderung von Javier Fernández-Sanguino Peña
URLs, die auf Bastille-Linux verweisen, zu www.Bastille-UNIX.org geändert, da
die Domain von einem Domänenbesetzer
gekauft wurde
Verweise auf Linux-Ramen- und Lion-Wurm ausgebessert
In den Beispielen linux-image anstelle der (alten) Pakete kernel-image verwendet
Von Francesco Poli gemeldete Tippfehler ausgebessert
Änderung von Javier Fernández-Sanguino Peña
Informationen über Sicherheitsaktualisierungen erneuert; Text über Tiger entfernt und Informationen zu Update-notifier und Expertenwerkzeuge (für Desktops) sowie zu Debsecan eingefügt; auch einige Verweis auf andere verfügbare Werkzeuge eingefügt
Die Firewall-Anwendungen nach Zielgruppen aufgeteilt und Fireflier zur Liste der Firewall-Anwendungen für den Desktop hinzugefügt
Verweis auf Libsafe entfernt, es ist nicht mehr im Archiv (wurde im Januar 2006 entfernt)
Den Ort der Konfiguration von Syslog berichtigt, vielen Dank an John Talbut
Änderung von Javier Fernández-Sanguino Peña. Vielen Dank an Francesco Poli für die umfangreiche Durchsicht dieses Dokuments.
Die meisten Verweise auf Woody entfernt, da es nicht länger im Archiv verfügbar ist und es dafür auch keine Unterstützung der Sicherheit mehr gibt
Beschrieben, wie Benutzer eingeschränkt werden, so dass sie nur Dateiübertragungen durchführen können
Einen Hinweise auf die Entscheidung der Änderung der Vertraulichkeit der Mailingliste debian-private hinzugefügt
Den Verweis auf die Anleitung zum Umgang mit Vorfällen aktualisiert
Einen Hinweis darauf eingefügt, dass Entwicklerwerkzeuge (wie Compiler) nicht mehr standardmäßig in Etch installiert werden
Den Verweis auf den Master-Security-Server korrigiert
Einen Hinweis auf die Dokumentation zu APT-secure eingefügt
Die Erläuterung der APT-Signaturen verbessert
Einige Stellen auskommentiert, die sich auf noch nicht fertig gestellte Abschnitte der offiziellen öffentlichen Schlüssel von Spiegelservern bezogen
Den Namen des Debian-Testing-Sicherheitsteams korrigiert
In einem Beispiel den Verweis auf Sarge entfernt
Den Abschnitt über Antivirus aktualisiert: ClamAV ist jetzt in der Veröffentlichung enthalten. Erwähnte auch den Installer für F-prot
Alle Verweise auf Freeswan entfernt, da es veraltet ist
Probleme beschrieben, die beim Verändern der Firewall-Regeln aus der Ferne auftreten können, und gab einige Tipps (in Fußnoten)
Informationen zur IDS-Installation aktualisiert, BASE und das Bedürfnis nach einer Protokollierungsdatenbank erwähnt
Den Abschnitt »Bind nicht als Root laufen lassen« neu geschrieben, da dies nicht mehr auf Bind9 zutrifft. Entfernte auch Verweise auf das init.d-Skript, da die Änderungen in /etc/default vorgenommen werden müssen.
Eine veraltete Möglichkeit, Regeln für die Firewall einzurichten, entfernt, da Woody nicht länger unterstützt wird
Zu dem früheren Hinweis bezüglich LOG_UNKFAIL_ENAB zurückgekehrt, nämlich dass es auf »no« (wie es standardmäßig ist) gesetzt werden sollte
Informationen hinzugefügt, wie das System mit Werkzeugen für den Desktop (einschließlich Update-notifier) aktualisiert wird, und beschrieben, wie man mit Aptitude das System aktualisiert. Angemerkt, dass dselect veraltet ist
Die FAQ aktualisiert und überflüssige Abschnitte entfernt
Den Abschnitt über die forensische Analyse von Schadsoftware überarbeitet und aktualisiert
Einige tote Verweise entfernt oder korrigiert
Viele Tipp- und Grammatikfehler verbessert, die von Francesco Poli mitgeteilt wurden
Änderung von Javier Fernández-Sanguino Peña
Beispiele gegeben, wie rdepends von Apt-cache verwendet wird. Wurde von Ozer Sarilar vorgeschlagen
Den Verweis auf das Benutzerhandbuch von Squid auf Grund seines Umzugs korrigiert. Wurde von Oskar Pearson (dem Betreuer) mitgeteilt
Informationen über umask korrigiert, es kann in logins.defs (nicht limits.conf) für alle Anmelde-Verbindung konfiguriert werden. Auch dargestellt, was Debians Vorgabe ist und was restriktivere Werte für sowohl »user« als auch »root« wären. Vielen Dank an Reinhard Tartler für das Auffinden des Fehlers
Änderung von Javier Fernández-Sanguino Peña
Informationen hinzugefügt, wie man Sicherheitslücken verfolgt. Hinweis auf den Debian-Testing-Sicherheits-Tracker hinzugefügt
Weitere Informationen über die Sicherheitsunterstützung für Testing hinzugefügt
Eine große Anzahl von Tippfehlern mit einem Patch von Simon Brandmair korrigiert
Einen Abschnitt hinzugefügt, wie der Root-Prompt bei Initramfs abgestellt wird. Wurde von Max Attems beigesteuert
Verweise auf Queso entfernt
Hinweis in der Einleitung hinzugefügt, dass nun auch Testing vom Sicherheitsteam unterstützt wird
Änderung von Javier Fernández-Sanguino Peña
Die Hinweise neugeschrieben, wie man SSH in einer Chroot-Umgebung einsperrt, um die verschiedenen Optionen deutlicher herauszustellen. Vielen Dank an Bruce Park, der auf verschiedene Fehler in diesem Anhang hinwies
Den Aufruf von lsof verbessert, wie es von Christophe Sahut vorgeschlagen wurde
Patches von Uwe Hermann zur Verbesserung von Tippfehlern eingefügt
Einen Tippfehler in einer Referenz verbessert, der von Moritz Naumann entdeckt wurde
Änderung von Javier Fernández-Sanguino Peña
Einen Abschnitt über die bewährten Methoden der Debian-Entwickler in Hinblick auf Sicherheitsfragen hinzugefügt
Ein Firewall-Skript mit Kommentaren von WhiteGhost hinzugefügt
Änderung von Javier Fernández-Sanguino Peña
Einen Patch von Thomas Sjögren eingefügt, der beschreibt, dass noexec wie erwartet mit »neuen« Kernel arbeitet, der Informationen über den Umgang mit temporären Dateien und einige Verweise auf externe Dokumentationen hinzufügt
Nach einem Vorschlag von Freek Dijkstra einen Verweis auf Dan Farmers und Wietse Venemas Website über forensische Entdeckungen eingefügt und den Abschnitt über forensische Analyse mit weiteren Verweisen etwas erweitert
Dank Christoph Auer die URL des italienischen CERT korrigiert
Wieder Joey Hess' Informationen aus dem Wiki über Secure Apt verwendet und sie in den Infrastrukturabschnitt eingefügt
Abschnitte in Hinblick auf ältere Versionen (Woody oder Potato) überarbeitet
Einige Darstellungsprobleme mit einem Patch von Simon Brandmair ausgebessert
Patches von Carlo Perassi eingepflegt: ACL-Patches sind überflüssig, ebenso wie die Openwall-Patches, Fixme-Anmerkungen über die Kernelserien 2.2 und 2.4 entfernt, hap ist überflüssig (und nicht in WNPP), Verweise auf Immunix entfernt (StackGuard gehört jetzt Novell) und verbesserte ein FIXME über der Verwendung von bsign oder elfsign
Verweise auf die Webseiten von SELinux aktualisiert, so dass sie auf das Wiki verweisen (derzeit die aktuellste Informationsquelle)
Dateimarkierungen eingefügt und eine einheitlichere Verwendung von »MD5 sum« mit einem Patch von Jens Seidel hergestellt
Patch von Joost van Baal angewendet, mit dem die Informationen im Firewall-Abschnitt verbessert werden (Verweis auf das Wiki anstatt alle verfügbaren Firewall-Paket aufzulisten) (schließt: #339865)
Den FAQ-Abschnitt über die Verwundbarkeitsstatistiken überarbeitet, dank Carlos Galisteo de Cabos Hinweis, dass der Abschnitt veraltet ist
Das Zitat des Social Contracts 1.1 anstatt von 1.0 verwendet, wie von Francesco Poli vorgeschlagen
Änderung von Javier Fernández-Sanguino Peña
Hinweis im SSH-Abschnitt eingefügt, dass Chroot nicht funktioniert, wenn die Option nodev mit der Partition verwendet wird, und auf das neuste ssh-Paket mit dem chroot-Patch verwiesen. Vielen Dank an Lutz Broedel für diese Hinweise
Einen Tippfehler ausgebessert, der von Marcos Roberto Greiner entdeckt wurde (md5sum sollte sha1sum im Code-Schnipsel sein)
Jens Seidels Patch eingefügt, der eine Anzahl von Paketnamen und Tippfehlern verbesserte
Kleine Aktualisierung des Werkzeugabschnitts, Werkzeuge entfernt, die nicht länger verfügbar sind, und einige neue hinzugefügt
Teile des Abschnitts neu geschrieben, in dem es darum geht, wo und in welchen Formaten dieses Dokument erhältlich ist (die Website stellt eine PDF-Version zur Verfügung). Auch angemerkt, dass Kopien auf anderen Sites und Übersetzungen veraltet sein könnten (viele der Treffer auf Google für dieses Handbuch auf anderen Sites sind tatsächlich veraltet).
Änderung von Javier Fernández-Sanguino Peña
Die Verbesserung der Sicherheit nach der Installation im Zusammenhang mit der Kernelkonfiguration für den Schutz der Netzwerkebene mit der Datei sysctl.conf verbessert. Wurde von Will Moy zur Verfügung gestellt.
Den Abschnitt über Gdm dank Simon Brandmair verbessert
Ausbesserungen von Tippfehlern, die von Frédéric Bothamy und Simon Brandmair entdeckt wurden
Verbesserungen im Abschnitt »Nach der Installation« im Zusammenhang, wie MD5-Summen (oder SHA-1-Summen) für periodische Überprüfungen erstellt werden
Den Abschnitt »Nach der Installation« in Hinblick auf die Konfiguration von Checksecurity (war veraltet) aktualisiert
Änderung von Javier Fernández-Sanguino Peña
Einen Code-Schnipsel hinzugefügt, um mit Grep-available eine Liste von Paketen zu erstellen, die von Perl abhängen. Wurde so in #302470 erbeten
Den Abschnitt über Netzwerkdienste neu geschrieben (welche installiert sind und wie man sie abschaltet)
Weitere Informationen zum Abschnitt über die Entwicklung eines Honigtopfs hinzugefügt, indem nützliche Debian-Pakete erwähnt werden
Änderung von Javier Fernández-Sanguino Peña
Den Abschnitt über die Konfiguration von Limits mit PAM erweitert
Informationen hinzugefügt, wie pam_chroot für Openssh eingesetzt wird (auf Grundlage der README von pam_chroot)
Einige kleinere Dinge korrigiert, die von Dan Jacobson gemeldet wurden
Die Informationen über Kernelpatches aktualisiert, teilweise auf Grundlage eines Patches von Carlo Perassi sowie durch Anmerkungen zu aufgegebenen Teilen des Kernels und zu neuen Kernelpatches (adamantix)
Einen Patch von Simon Brandmair eingefügt, der einen Satz im Zusammenhang mit Login-Fehlern auf dem Terminal ausbesserte
Mozilla/Thunderbird zu den gültigen GPG-Agenten hinzugefügt, wie von Kapolnai Richard vorgeschlagen wurde
Den Abschnitt über Sicherheitsaktualisierungen, die Aktualisierung von Bibliotheken und des Kernels betreffen, und wie man herausfindet, ob Dienste neu gestartet werden müssen, erweitert
Den Abschnitt über die Firewall neu geschrieben, die Informationen, die Woody betreffen, nach unten verschoben und die übrigen Abschnitte erweitert, einschließlich Hinweisen dazu, wie man von Hand eine Firewall einrichtet (mit einem Beispielsskript) und wie man die Konfiguration der Firewall testen kann
Einige Informationen bezüglich der Veröffentlichung von Debian 3.1 hinzugefügt
Ausführlichere Hinweise zu Kernelupgrades hinzugefügt, die sich besonders an diejenigen richten, die das alte Installationssystem verwenden
Einen kurzen Abschnitt über die experimentelle Veröffentlichung von Apt 0.6 eingefügt, die die Überprüfung von Paketsignaturen enthält. Den alten Inhalt in den Abschnitt verschoben und auch einen Verweis auf die Veränderungen, die in Aptitude vorgenommen wurden, hinzugefügt
Ausbesserungen von Tippfehlern, die von Frédéric Bothamy entdeckt wurden
Änderung von Javier Fernández-Sanguino Peña
Added clarification to ro /usr with patch from Joost van Baal.
Apply patch from Jens Seidel fixing many typos.
FreeSWAN is dead, long live OpenSWAN.
Added information on restricting access to RPC services (when they cannot be disabled) also included patch provided by Aarre Laakso.
Update aj's apt-check-sigs script.
Apply patch Carlo Perassi fixing URLs.
Apply patch from Davor Ocelic fixing many errors, typos, urls, grammar and FIXMEs. Also adds some additional information to some sections.
Rewrote the section on user auditing, highlight the usage of script which does not have some of the issues associated to shell history.
Änderung von Javier Fernández-Sanguino Peña
Rewrote the user-auditing information and include examples on how to use script.
Änderung von Javier Fernández-Sanguino Peña
Added information on references in DSAs and CVE-Compatibility.
Added information on apt 0.6 (apt-secure merge in experimental).
Fixed location of Chroot daemons HOWTO as suggested by Shuying Wang.
Changed APACHECTL line in the Apache chroot example (even if its not used at all) as suggested by Leonard Norrgard.
Added a footnote regarding hardlink attacks if partitions are not setup properly.
Added some missing steps in order to run bind as named as provided by Jeffrey Prosa.
Added notes about Nessus and Snort out-of-dateness in woody and availability of backported packages.
Added a chapter regarding periodic integrity test checks.
Clarified the status of testing regarding security updates (Debian bug 233955).
Added more information regarding expected contents in securetty (since it's kernel specific).
Added pointer to snoopylogger (Debian bug 179409).
Added reference to guarddog (Debian bug 170710).
apt-ftparchive
is in apt-utils
, not in
apt
(thanks to Emmanuel Chantreau for pointing this out).
Removed jvirus from AV list.
Änderung von Javier Fernández-Sanguino Peña
Fixed URL as suggested by Frank Lichtenheld.
Fixed PermitRootLogin typo as suggested by Stefan Lindenau.
Änderung von Javier Fernández-Sanguino Peña
Added those that have made the most significant contributions to this manual (please mail me if you think you should be in the list and are not).
Added some blurb about FIXME/TODOs.
Moved the information on security updates to the beginning of the section as suggested by Elliott Mitchell.
Added grsecurity to the list of kernel-patches for security but added a footnote on the current issues with it as suggested by Elliott Mitchell.
Removed loops (echo to 'all') in the kernel's network security script as suggested by Elliott Mitchell.
Added more (up-to-date) information in the antivirus section.
Rewrote the buffer overflow protection section and added more information on patches to the compiler to enable this kind of protection.
Änderung von Javier Fernández-Sanguino Peña
Removed (and then re-added) appendix on chrooting Apache. The appendix is now dual-licensed.
Änderung von Javier Fernández-Sanguino Peña
Fixed typos spotted by Leonard Norrgard.
Added a section on how to contact CERT for incident handling (#after-compromise
).
More information on setting up a Squid proxy.
Added a pointer and removed a FIXME thanks to Helge H. F.
Fixed a typo (save_inactive) spotted by Philippe Faes.
Fixed several typos spotted by Jaime Robles.
Änderung von Javier Fernández-Sanguino Peña
Following Maciej Stachura's suggestions I've expanded the section on limiting users.
Fixed typo spotted by Wolfgang Nolte.
Fixed links with patch contributed by Ruben Leote Mendes.
Added a link to David Wheeler's excellent document on the footnote about counting security vulnerabilities.
Changes made by Frédéric Schütz.
rewrote entirely the section of ext2 attributes (lsattr/chattr).
Changes by Javier Fernández-Sanguino Peña and Frédéric Schütz.
Merge section 9.3 ("useful kernel patches") into section 4.13 ("Adding kernel patches"), and added some content.
Added a few more TODOs.
Added information on how to manually check for updates and also about cron-apt. That way Tiger is not perceived as the only way to do automatic update checks.
Slightly rewrite of the section on executing a security updates due to Jean-Marc Ranger comments.
Added a note on Debian's installation (which will suggest the user to execute a security update right after installation).
Changes by Javier Fernández-Sanguino Peña (me).
Added a patch contributed by Frédéric Schütz.
Added a few more references on capabilities thanks to Frédéric.
Slight changes in the bind section adding a reference to BIND's 9 online documentation and proper references in the first area (Hi Pedro!).
Fixed the changelog date - new year :-).
Added a reference to Colin's articles for the TODOs.
Removed reference to old ssh+chroot patches.
More patches from Carlo Perassi.
Typo fixes (recursive in Bind is recursion), pointed out by Maik Holtkamp.
Changes by Javier Fernández-Sanguino Peña (me).
Reorganized the information on chroot (merged two sections, it didn't make much sense to have them separated).
Added the notes on chrooting Apache provided by Alexandre Ratti.
Applied patches contributed by Guillermo Jover.
Changes by Javier Fernández-Sanguino Peña (me).
Applied patches from Carlo Perassi, fixes include: re-wrapping the lines, URL fixes, and fixed some FIXMEs.
Updated the contents of the Debian security team FAQ.
Added a link to the Debian security team FAQ and the Debian Developer's reference, the duplicated sections might (just might) be removed in the future.
Fixed the hand-made auditing section with comments from Michal Zielinski.
Added links to wordlists (contributed by Carlo Perassi).
Fixed some typos (still many around).
Fixed TDP links as suggested by John Summerfield.
Changes by Javier Fernández-Sanguino Peña (me). Note: I still have a lot of pending changes in my mailbox (which is currently about 5 Mbs in size).
Some typo fixes contributed by Tuyen Dinh, Bartek Golenko and Daniel K. Gebhart.
Note regarding /dev/kmem rootkits contributed by Laurent Bonnaud.
Fixed typos and FIXMEs contributed by Carlo Perassi.
Changes by Chris Tillman, tillman@voicetrak.com.
Changed around to improve grammar/spelling.
s/host.deny/hosts.deny/ (1 place).
Applied Larry Holish's patch (quite big, fixes a lot of FIXMEs).
Changes by Javier Fernández-Sanguino Peña (me).
Fixed minor typos submitted by Thiemo Nagel.
Added a footnote suggested by Thiemo Nagel.
Fixed an URL link.
Changes by Javier Fernández-Sanguino Peña (me). There were many things waiting on my inbox (as far back as February) to be included, so I'm going to tag this the back from honeymoon release :).
Applied a patch contributed by Philipe Gaspar regarding the Squid which also kills a FIXME.
Yet another FAQ item regarding service banners taken from the debian-security mailing list (thread "Telnet information" started 26th July 2002).
Added a note regarding use of CVE cross references in the How much time does the Debian security team... FAQ item.
Added a new section regarding ARP attacks contributed by Arnaud "Arhuman" Assad.
New FAQ item regarding dmesg and console login by the kernel.
Small tidbits of information to the signature-checking issues in packages (it seems to not have gotten past beta release).
New FAQ item regarding vulnerability assessment tools false positives.
Added new sections to the chapter that contains information on package signatures and reorganized it as a new Debian Security Infrastructure chapter.
New FAQ item regarding Debian vs. other Linux distributions.
New section on mail user agents with GPG/PGP functionality in the security tools chapter.
Clarified how to enable MD5 passwords in woody, added a pointer to PAM as well as a note regarding the max definition in PAM.
Added a new appendix on how to create chroot environments (after fiddling a bit with makejail and fixing, as well, some of its bugs), integrated duplicate information in all the appendix.
Added some more information regarding SSH
chrooting and its impact
on secure file transfers. Some information has been retrieved from the
debian-security mailing list (June 2002 thread: secure file
transfers).
New sections on how to do automatic updates on Debian systems as well as the caveats of using testing or unstable regarding security updates.
New section regarding keeping up to date with security patches in the Before compromise section as well as a new section about the debian-security-announce mailing list.
Added information on how to automatically generate strong passwords.
New section regarding login of idle users.
Reorganized the securing mail server section based on the Secure/hardened/minimal Debian (or "Why is the base system the way it is?") thread on the debian-security mailing list (May 2002).
Reorganized the section on kernel network parameters, with information provided in the debian-security mailing list (May 2002, syn flood attacked? thread) and added a new FAQ item as well.
New section on how to check users passwords and which packages to install for this.
New section on PPTP encryption with Microsoft clients discussed in the debian-security mailing list (April 2002).
Added a new section describing what problems are there when binding any given service to a specific IP address, this information was written based on the Bugtraq mailing list in the thread: Linux kernel 2.4 "weak end host" issue (previously discussed on debian-security as "arp problem") (started on May 9th 2002 by Felix von Leitner).
Added information on ssh
protocol version 2.
Added two subsections related to Apache secure configuration (the things specific to Debian, that is).
Added a new FAQ related to raw sockets, one related to /root, an item related to users' groups and another one related to log and configuration files permissions.
Added a pointer to a bug in libpam-cracklib that might still be open... (need to check).
Added more information regarding forensics analysis (pending more information
on packet inspection tools such as tcpflow
).
Changed the "what should I do regarding compromise" into a bullet list and included some more stuff.
Added some information on how to set up the Xscreensaver to lock the screen automatically after the configured timeout.
Added a note related to the utilities you should not install in the system. Included a note regarding Perl and why it cannot be easily removed in Debian. The idea came after reading Intersect's documents regarding Linux hardening.
Added information on lvm and journalling file systems, ext3 recommended. The information there might be too generic, however.
Added a link to the online text version (check).
Added some more stuff to the information on firewalling the local system, triggered by a comment made by Hubert Chan in the mailing list.
Added more information on PAM limits and pointers to Kurt Seifried's documents (related to a post by him to Bugtraq on April 4th 2002 answering a person that had ``discovered'' a vulnerability in Debian GNU/Linux related to resource starvation).
As suggested by Julián Muñoz, provided more information on the default Debian umask and what a user can access if given a shell in the system (scary, huh?).
Included a note in the BIOS password section due to a comment from Andreas Wohlfeld.
Included patches provided by Alfred E. Heggestad fixing many of the typos still present in the document.
Added a pointer to the changelog in the Credits section since most people who contribute are listed here (and not there).
Added a few more notes to the chattr section and a new section after installation talking about system snapshots. Both ideas were contributed by Kurt Pomeroy.
Added a new section after installation just to remind users to change the boot-up sequence.
Added some more TODO items provided by Korn Andras.
Added a pointer to the NIST's guidelines on how to secure DNS provided by Daniel Quinlan.
Added a small paragraph regarding Debian's SSL certificates infrastructure.
Added Daniel Quinlan's suggestions regarding ssh
authentication
and exim's relay configuration.
Added more information regarding securing bind including changes suggested by Daniel Quinlan and an appendix with a script to make some of the changes commented on in that section.
Added a pointer to another item regarding Bind chrooting (needs to be merged).
Added a one liner contributed by Cristian Ionescu-Idbohrn to retrieve packages with tcpwrappers support.
Added a little bit more info on Debian's default PAM setup.
Included a FAQ question about using PAM to provide services without shell accounts.
Moved two FAQ items to another section and added a new FAQ regarding attack detection (and compromised systems).
Included information on how to set up a bridge firewall (including a sample Appendix). Thanks to Francois Bayart who sent this to me in March.
Added a FAQ regarding the syslogd's MARK heartbeat from a question answered by Noah Meyerhans and Alain Tesio in December 2001.
Included information on buffer overflow protection as well as some information on kernel patches.
Added more information (and reorganized) the firewall section. Updated the information regarding the iptables package and the firewall generators available.
Reorganized the information regarding log checking, moved logcheck information from host intrusion detection to that section.
Added some information on how to prepare a static package for bind for chrooting (untested).
Added a FAQ item regarding some specific servers/services (could be expanded with some of the recommendations from the debian-security list).
Added some information on RPC services (and when it's necessary).
Added some more information on capabilities (and what lcap does). Is there any good documentation on this? I haven't found any documentation on my 2.4 kernel.
Fixed some typos.
Änderung von Javier Fernández-Sanguino Peña
Rewritten part of the BIOS section.
Änderung von Javier Fernández-Sanguino Peña
Wrapped most file locations with the file tag.
Fixed typo noticed by Edi Stojicevi.
Slightly changed the remote audit tools section.
Added some todo items.
Added more information regarding printers and cups config file (taken from a thread on debian-security).
Added a patch submitted by Jesus Climent regarding access of valid system users to Proftpd when configured as anonymous server.
Small change on partition schemes for the special case of mail servers.
Added Hacking Linux Exposed to the books section.
Fixed directory typo noticed by Eduardo Pérez Ureta.
Fixed /etc/ssh typo in checklist noticed by Edi Stojicevi.
Änderung von Javier Fernández-Sanguino Peña
Fixed location of dpkg conffile.
Remove Alexander from contact information.
Added alternate mail address.
Fixed Alexander mail address (even if commented out).
Fixed location of release keys (thanks to Pedro Zorzenon for pointing this out).
Änderung von Javier Fernández-Sanguino Peña
Fixed typos, thanks to Jamin W. Collins.
Added a reference to apt-extracttemplate manpage (documents the APT::ExtractTemplate config).
Added section about restricted SSH. Information based on that posted by Mark Janssen, Christian G. Warden and Emmanuel Lacour on the debian-security mailing list.
Added information on antivirus software.
Added a FAQ: su logs due to the cron running as root.
Änderung von Javier Fernández-Sanguino Peña
Changed FIXME from lshell thanks to Oohara Yuuma.
Added package to sXid and removed comment since it *is* available.
Fixed a number of typos discovered by Oohara Yuuma.
ACID is now available in Debian (in the acidlab package) thanks to Oohara Yuuma for noticing.
Fixed LinuxSecurity links (thanks to Dave Wreski for telling).
Changes by Javier Fernández-Sanguino Peña. I wanted to change to 2.0 when all the FIXMEs were fixed but I ran out of 1.9X numbers :(.
Converted the HOWTO into a Manual (now I can properly say RTFM).
Added more information regarding tcp wrappers and Debian (now many services are
compiled with support for them so it's no longer an inetd
issue).
Clarified the information on disabling services to make it more consistent (rpc info still referred to update-rc.d).
Added small note on lprng.
Added some more info on compromised servers (still very rough).
Fixed typos reported by Mark Bucciarelli.
Added some more steps in password recovery to cover the cases when the admin has set paranoid-mode=on.
Added some information to set paranoid-mode=on when login in console.
New paragraph to introduce service configuration.
Reorganized the After installation section so it is more broken up into several issues and it's easier to read.
Wrote information on how to set up firewalls with the standard Debian 3.0 setup (iptables package).
Small paragraph explaining why installing connected to the Internet is not a good idea and how to avoid this using Debian tools.
Small paragraph on timely patching referencing to IEEE paper.
Appendix on how to set up a Debian snort box, based on what Vladimir sent to the debian-security mailing list (September 3rd 2001).
Information on how logcheck is set up in Debian and how it can be used to set up HIDS.
Information on user accounting and profile analysis.
Included apt.conf configuration for read-only /usr copied from Olaf Meeuwissen's post to the debian-security mailing list.
New section on VPN with some pointers and the packages available in Debian (needs content on how to set up the VPNs and Debian-specific issues), based on Jaroslaw Tabor's and Samuli Suonpaa's post to debian-security.
Small note regarding some programs to automatically build chroot jails.
New FAQ item regarding identd based on a discussion in the debian-security mailing list (February 2002, started by Johannes Weiss).
New FAQ item regarding inetd
based on a discussion in the
debian-security mailing list (February 2002).
Introduced note on rcconf in the "disabling services" section.
Varied the approach regarding LKM, thanks to Philipe Gaspar.
Added pointers to CERT documents and Counterpane resources.
Änderung von Javier Fernández-Sanguino Peña
Added a new FAQ item regarding time to fix security vulnerabilities.
Reorganized FAQ sections.
Started writing a section regarding firewalling in Debian GNU/Linux (could be broadened a bit).
Fixed typos sent by Matt Kraai.
Fixed DNS information.
Added information on whisker and nbtscan to the auditing section.
Fixed some wrong URLs.
Änderung von Javier Fernández-Sanguino Peña
Added a new section regarding auditing using Debian GNU/Linux.
Added info regarding finger daemon taken from the security mailing list.
Änderung von Javier Fernández-Sanguino Peña
Fixed link for Linux Trustees.
Fixed typos (patches from Oohara Yuuma and Pedro Zorzenon).
Änderung von Javier Fernández-Sanguino Peña
Reorganized service installation and removal and added some new notes.
Added some notes regarding using integrity checkers as intrusion detection tools.
Added a chapter regarding package signatures.
Änderung von Javier Fernández-Sanguino Peña
Added notes regarding Squid security sent by Philipe Gaspar.
Fixed rootkit links thanks to Philipe Gaspar.
Änderung von Javier Fernández-Sanguino Peña
Added some notes regarding Apache and Lpr/lpng.
Added some information regarding noexec and read-only partitions.
Rewrote how users can help in Debian security issues (FAQ item).
Änderung von Javier Fernández-Sanguino Peña
Fixed location of mail program.
Added some new items to the FAQ.
Änderung von Javier Fernández-Sanguino Peña
Added a small section on how Debian handles security.
Clarified MD5 passwords (thanks to `rocky').
Added some more information regarding harden-X from Stephen van Egmond.
Added some new items to the FAQ.
Änderung von Javier Fernández-Sanguino Peña
Added some forensics information sent by Yotam Rubin.
Added information on how to build a honeynet using Debian GNU/Linux.
Added some more TODOS.
Fixed more typos (thanks Yotam!).
Änderung von Javier Fernández-Sanguino Peña
Added patch to fix misspellings and some new information (contributed by Yotam Rubin).
Added references to other online (and offline) documentation both in a section (see Seien Sie wachsam gegenüber generellen Sicherheitsproblemen!, Abschnitt 2.2) by itself and inline in some sections.
Added some information on configuring Bind options to restrict access to the DNS server.
Added information on how to automatically harden a Debian system (regarding the harden package and bastille).
Removed some done TODOs and added some new ones.
Änderung von Javier Fernández-Sanguino Peña
Added the default user/group list provided by Joey Hess to the debian-security mailing list.
Added information on LKM root-kits (Ladbare Kernel-Module (LKM), Abschnitt 10.4.1) contributed by Philipe Gaspar.
Added information on Proftp contributed by Emmanuel Lacour.
Recovered the checklist Appendix from Era Eriksson.
Added some new TODO items and removed other fixed ones.
Manually included Era's patches since they were not all included in the previous version.
Changes by Era Eriksson.
Typo fixes and wording changes.
Änderung von Javier Fernández-Sanguino Peña
Minor changes to tags in order to keep on removing the tt tags and substitute prgn/package tags for them.
Änderung von Javier Fernández-Sanguino Peña
Added pointer to document as published in the DDP (should supersede the original in the near future).
Started a mini-FAQ (should be expanded) with some questions recovered from my mailbox.
Added general information to consider while securing.
Added a paragraph regarding local (incoming) mail delivery.
Added some pointers to more information.
Added information regarding the printing service.
Added a security hardening checklist.
Reorganized NIS and RPC information.
Added some notes taken while reading this document on my new Visor :).
Fixed some badly formatted lines.
Fixed some typos.
Added a Genius/Paranoia idea contributed by Gaby Schilders.
Changes by Josip Rodin and Javier Fernández-Sanguino Peña.
Added paragraphs related to BIND and some FIXMEs.
Small setuid check paragraph
Various minor cleanups.
Found out how to use sgml2txt -f for the txt version.
Added a security update after installation paragraph.
Added a proftpd paragraph.
This time really wrote something about XDM, sorry for last time.
Lots of grammar corrections by James Treacy, new XDM paragraph.
Typo fixes, miscellaneous additions.
Erste Veröffentlichung
Alexander Reelsen schrieb die ursprüngliche Version.
Javier Fernández-Sanguino fügte der Originalversion einiges an Informationen hinzu.
Robert van der Meulen stellte den Abschnitt über Quota und viele seiner guten Ideen zur Verfügung.
Ethan Benson korrigierte den PAM-Abschnitt und hatte einige gute Ideen.
Dariusz Puchalak trug Informationen zu verschiedenen Kapiteln bei.
Gaby Schilders trug eine nette Genius/Paranoia-Idee bei.
Era Eriksson gab dem Ganzen an vielen Stellen den sprachlichen Feinschliff und trug zur Checkliste im Anhang bei.
Philipe Gaspar schrieb die LKM-Informationen.
Yotam Rubin trug sowohl Korrekturen für viele Tippfehler bei als auch Informationen über die Versionen von Bind und MD5-Passwörter.
Francois Bayart stellte den Anhang zur Verfügung, in dem beschrieben wird, wie man eine Bridge-Firewall aufsetzt.
Joey Hess schrieb im Debian-Wiki
den Abschnitt,
der erklärt, wie Secure Apt funktioniert.
Martin F. Krafft schrieb in seinem Blog etwas darüber, wie die Verifizierung von Fingerabdrücken funktioniert. Dies wurde im Abschnitt über Secure Apt verwendet.
Francesco Poli sah dieses Dokument umfassend durch und stellte eine große Anzahl von Fehlerberichten und Ausbesserungen von Tippfehlern zur Verfügung, mit denen dieses Dokument verbessert und aktualisiert werden konnte.
All den Leuten, die Verbesserungen vorschlugen, die (letzten Endes) eingeflossen sind (siehe Änderungsübersicht/Changelog/Geschichte, Abschnitt 1.6).
(Alexander) All den Leuten, die mich ermutigten, dieses HOWTO zu schreiben (das später zu einer ganzen Anleitung wurde).
Dem ganzen Debian-Projekt
[ zurück ] [ Inhalt ] [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ 12 ] [ A ] [ B ] [ C ] [ D ] [ E ] [ F ] [ G ] [ H ] [ weiter ]
Securing Debian Manual
Version: 3.17,mailto:jfs@debian.org