https://wiki.ixheim.de/index.php?action=history&feed=atom&title=Linux_Security_Hardening_Cheat_Sheet 2026-05-15T02:03:26Z Versionsgeschichte dieser Seite in Xinux Wiki MediaWiki 1.35.1 https://wiki.ixheim.de/index.php?title=Linux_Security_Hardening_Cheat_Sheet&diff=63895&oldid=prev 2025-07-19T12:34:01Z

<p></p> <table class="diff diff-contentalign-left diff-editfont-monospace" data-mw="interface"> <col class="diff-marker" /> <col class="diff-content" /> <col class="diff-marker" /> <col class="diff-content" /> <tr class="diff-title" lang="de"> <td colspan="2" style="background-color: #fff; color: #202122; text-align: center;">← Nächstältere Version</td> <td colspan="2" style="background-color: #fff; color: #202122; text-align: center;">Version vom 19. Juli 2025, 12:34 Uhr</td> </tr><tr><td colspan="2" class="diff-lineno" id="mw-diff-left-l1" >Zeile 1:</td> <td colspan="2" class="diff-lineno">Zeile 1:</td></tr> <tr><td class='diff-marker'>−</td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div>= <del class="diffchange diffchange-inline">Linux Security Hardening </del>=</div></td><td class='diff-marker'>+</td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div>=<ins class="diffchange diffchange-inline">= Einleitung=</ins>=</div></td></tr> <tr><td class='diff-marker'> </td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"></td><td class='diff-marker'> </td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"></td></tr> <tr><td class='diff-marker'> </td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><div>Dieser Artikel beschreibt Maßnahmen zur Härtung eines Linux-Systems, um es sicherer gegen Angriffe und Fehlkonfigurationen zu machen. Die Beispiele sind für Debian/Ubuntu, RHEL/CentOS, Arch Linux und teilweise distributionsunabhängig angegeben.</div></td><td class='diff-marker'> </td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><div>Dieser Artikel beschreibt Maßnahmen zur Härtung eines Linux-Systems, um es sicherer gegen Angriffe und Fehlkonfigurationen zu machen. Die Beispiele sind für Debian/Ubuntu, RHEL/CentOS, Arch Linux und teilweise distributionsunabhängig angegeben.</div></td></tr> <!-- diff cache key my_wiki:diff::1.12:old-63894:rev-63895 --> </table>

Thomas.will https://wiki.ixheim.de/index.php?title=Linux_Security_Hardening_Cheat_Sheet&diff=63894&oldid=prev 2025-07-19T12:33:25Z

<p>Die Seite wurde neu angelegt: „= Linux Security Hardening = Dieser Artikel beschreibt Maßnahmen zur Härtung eines Linux-Systems, um es sicherer gegen Angriffe und Fehlkonfigurationen zu m…“</p> <p><b>Neue Seite</b></p><div>= Linux Security Hardening =<br /> <br /> Dieser Artikel beschreibt Maßnahmen zur Härtung eines Linux-Systems, um es sicherer gegen Angriffe und Fehlkonfigurationen zu machen. Die Beispiele sind für Debian/Ubuntu, RHEL/CentOS, Arch Linux und teilweise distributionsunabhängig angegeben.<br /> <br /> == Systemaktualisierung ==<br /> <br /> * Debian/Ubuntu:<br /> apt update &amp;&amp; apt upgrade -y<br /> * RHEL/CentOS:<br /> dnf update -y<br /> * Arch Linux:<br /> pacman -Syu<br /> <br /> → Immer alle Sicherheitsupdates einspielen.<br /> <br /> == Root-Account sperren ==<br /> <br /> * Root-Login sperren (Passwort ungültig machen):<br /> passwd -l root<br /> <br /> == Firewall konfigurieren ==<br /> <br /> * Debian/Ubuntu mit UFW:<br /> ufw default deny incoming<br /> ufw enable<br /> * RHEL/CentOS mit firewalld:<br /> firewall-cmd --set-default-zone=drop<br /> firewall-cmd --runtime-to-permanent<br /> <br /> == Sitzungstimeout setzen ==<br /> <br /> * In Bash:<br /> echo &quot;export TMOUT=600&quot; | tee -a /etc/bash.bashrc<br /> <br /> == SSH absichern ==<br /> <br /> * /etc/ssh/sshd_config bearbeiten:<br /> PermitRootLogin no<br /> PasswordAuthentication no<br /> AllowUsers benutzer1 benutzer2<br /> * Danach SSH neu starten:<br /> systemctl restart sshd<br /> <br /> == Schreibrechte überprüfen ==<br /> <br /> * Weltbeschreibbare Dateien finden (ohne Sticky-Bit):<br /> find / -type f -perm -o+w<br /> * Weltbeschreibbare Verzeichnisse finden (ohne Sticky-Bit):<br /> find / -type d -perm -0002 ! -perm -1000<br /> <br /> == SUID/SGID-Dateien prüfen ==<br /> <br /> * Dateien mit SUID/SGID-Bit finden:<br /> find / -type f \( -perm -6000 -o -perm -2000 \)<br /> <br /> == Unnötige Pakete entfernen ==<br /> <br /> * Debian/Ubuntu:<br /> apt autoremove -y<br /> * RHEL/CentOS:<br /> dnf autoremove -y<br /> * Arch Linux:<br /> pacman -Rns $(pacman -Qdtq)<br /> <br /> == Systemdienste überprüfen ==<br /> <br /> * Aktive Systemd-Dienste listen:<br /> systemctl list-units --type=service --state=enabled<br /> <br /> == Netzwerkports prüfen ==<br /> <br /> * Offene Ports anzeigen:<br /> ss -tuln<br /> * Nicht benötigte Dienste stoppen:<br /> systemctl disable --now dienstname<br /> <br /> == Unbenutzte Kernelmodule blockieren ==<br /> <br /> * Blacklist-Eintrag erstellen:<br /> echo &quot;install usb-storage /bin/true&quot; &gt;&gt; /etc/modprobe.d/disable-usb.conf<br /> update-initramfs -u (Debian) / dracut -f (RHEL)<br /> <br /> == Schwachstellen prüfen (automatisiert) ==<br /> <br /> * Debian/Ubuntu:<br /> apt install debsecan<br /> debsecan<br /> * Arch Linux:<br /> pacman -Qm | arch-audit<br /> <br /> == Audit-Logs aktivieren ==<br /> <br /> * Auditd installieren:<br /> apt install auditd (Debian)<br /> dnf install audit (RHEL)<br /> pacman -S audit (Arch)<br /> * Starten:<br /> systemctl enable --now auditd<br /> <br /> == Kernel-Hardening aktivieren ==<br /> <br /> * sysctl-Parameter setzen:<br /> echo &quot;kernel.randomize_va_space = 2&quot; &gt;&gt; /etc/sysctl.conf<br /> sysctl -p<br /> <br /> == Automatisierte Sicherheitstools ==<br /> <br /> * Debian/Ubuntu:<br /> apt install lynis &amp;&amp; lynis audit system<br /> * RHEL:<br /> dnf install lynis &amp;&amp; lynis audit system<br /> * Arch:<br /> pacman -S lynis &amp;&amp; lynis audit system<br /> <br /> == Weitere Maßnahmen ==<br /> <br /> * Zwei-Faktor-Authentifizierung für SSH (z. B. mit google-authenticator).<br /> * Fail2Ban installieren, um Brute-Force-Angriffe abzuwehren.<br /> * Logs regelmäßig überprüfen (journalctl, /var/log).<br /> * Nicht benötigte Benutzerkonten sperren:<br /> usermod -L benutzername<br /> * Dateisysteme mit noexec, nosuid, nodev mounten.<br /> <br /> == Zusammenfassung ==<br /> <br /> Diese Härtungsmaßnahmen bilden eine solide Basis für die Sicherheit eines Linux-Systems. Je nach Einsatzgebiet (Server, Desktop, Cloud, IoT) sollten weitere spezifische Einstellungen hinzugefügt werden, z. B.:<br /> <br /> * AppArmor oder SELinux aktivieren.<br /> * Disk Encryption nutzen.<br /> * Backups regelmäßig prüfen.<br /> * Security Policies dokumentieren und testen.<br /> <br /> == Quellen ==<br /> <br /> * https://www.study-notes.org<br /> * https://wiki.debian.org/Hardening<br /> * https://access.redhat.com/security<br /> * https://wiki.archlinux.org/title/Security</div>

Thomas.will