Ubuntu Linux Hardening

Einige unstrukturierte Gedanken zu diesem Thema, ohne jeden Anspruch auf Vollständigkeit.

Die Angaben beziehen sich auf eine frische Installation der Ubuntu Server Edition 14.04, soweit nicht anders angegeben. Auch sind außer SSH keine Netzwerk-Daemons installiert. Optionen, die bei einer solchen Installation bereits voreingestellt sind, werden hier nicht weiter besprochen.

• Kernel Hardening
  • /etc/sysctl.conf
  • /etc/sysctl.d/*
  • Hardening Kernel-Netzwerkeinstellungen
  • IPv6 deaktivieren
  • Unnötige Kernelmodule auf die Blacklist setzen
• Lokales Systemhardening
  • umask auf sicheren Wert 077 setzen (/etc/login.defs und /etc/init.d/rc)
  • Verteilung der Dateisysteme auf unterschiedliche Partitionen; setzen der Mount-Optionen
  • /etc/security/*
  • SUID-Bits entfernen, soweit möglich
• SSH Hardening
  • https://stribika.github.io/2015/01/04/secure-secure-shell.html
• Automatisierte Sicherheitsupdates
  • cron-apt
  • unattended-upgrades
• Einrichtung Backup
  • Duply / Duplicity
• Einrichtung Firewall
  • Eigenes iptables / ipset Skript
  • fwlogwatch
  • ulogd
• Logfile Monitoring
  • Logwatch
  • Zentraler Logserver
• Einrichtung Systemmonitoring
  • Icinga
• Rootkit-/Virus-Erkennung
  • RKHunter
  • chkrootkit
  • clamav
• Erkennung Einbruchsversuche
  • fail2ban
• Security Audit Tool einrichten
  • auditd
• Einrichtung Integritätschecker
  • AIDE
  • OSSEC
  • TripWire
• Automatisierte Erkennung Hardening Potential
  • lynis

Weiterer Lesestoff:

• https://help.ubuntu.com/community/StricterDefaults
• http://konstruktoid.net/2014/04/25/creating-a-baseline-ubuntu-14-04-server/
• http://konstruktoid.net/2014/04/29/hardening-the-ubuntu-14-04-server-even-further/
• http://konstruktoid.net/2015/04/29/hardening-ubuntu-systemd-edition/