Hallo
Tauber, Mathias HDP (<[EMAIL PROTECTED]>) wrote:
> ich betreue diverse Debian 3.0r2 Server und
> habe auch die Aufgabe, diese nach bestem Wissen
> und Gewissen abzusichern (wie so manch anderer
> hier ;O).
>
> Ich habe mal gelesen, dass es sinnvoll ist
> diverse Teile des Dateisystems auf separate
> Partitionen zu packen (siehe OpenBSD Dokus).
>
> Ich benutze die Standardvorgaben bei der
> Debianinstallation, daher sieht dann meine
> /etc/fstab folgenderma�en aus:
> /boot,/home,/usr,/var mit defaults eingeh�ngt
> Ich erinnere mich gelesen zu haben, dass man
> nach einer solche Aufteilung diverse Partitionen
> z.B. als Read-Only mounten kann. Ich erinnere
> mich auch wage an sowas wie no-suid, bin mir
> hier aber nicht mehr ganz sicher.
Ja das geht. Read-Only ist zum Beispiel f�r /boot oder /usr sinnvoll,
damit d�rfte sich die Wahrscheinlichkeit verringern, da� das
Dateisystem kapputt geht oder etwas aus Versehen was gel�scht wird.
Mehr Informationen dar�ber, auch dazu, wie Du apt beibringst, die
Partitionen bei Paketinstallationen vor�bergehend wieder rw einzuh�ngen
und eine Menge mehr findest Du im Securing Debian Howto, Paket
harden-doc oder auf der Debian-Homepage.
> Wenn man solche Restriktionen benutzt, macht
> das hier wahrscheinlich auch keinen Sinn mehr:
>
> <--schnip-->
> server01:~# ls -lah /bin/mount
> -rwsr-xr-x 1 root root 71k Dec 24 2002 /bin/mount
> <--schnap-->
>
> W�re hier nicht ein 'chmod 700 /bin/mount'
> angebracht?
Normalerweise akzeptiert mount ohnehin Aufrufe von Benutzern nur dann,
wenn das Dateisystem mit der Option "user" in /etc/fstab eingetragen
ist, und auch dann kann der Benutzer soweit ich wei� die Optionen f�r
das Dateisystem aus der fstab nicht �bergehen. Damit sollte es normalen
Benutzern nicht m�glich sein, etwas an den Dateisystemeinstllungen zu
drehen, es sei denn, mount h�tte eine Sicherheitsl�cke. Aber wenn
ohnehin auf Deinen Rechnern keine normalen Benutzer Dateisysteme
mounten k�nnen sollen, dann schadet es auch nichts, die Rechte
restriktiver zu setzen.
Gr��e
Andreas Janssen
--
Andreas Janssen
[EMAIL PROTECTED]
PGP-Key-ID: 0xDC801674
Registered Linux User #267976
--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/
Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
