https://wiki.ixheim.de/index.php?action=history&feed=atom&title=Linux_Sicherheit_-_Systemh%C3%A4rtung
Linux Sicherheit - Systemhärtung - Versionsgeschichte
2026-05-16T20:33:56Z
Versionsgeschichte dieser Seite in Xinux Wiki
MediaWiki 1.35.1
https://wiki.ixheim.de/index.php?title=Linux_Sicherheit_-_Systemh%C3%A4rtung&diff=65493&oldid=prev
Thomas.will: Die Seite wurde neu angelegt: „= Linux Sicherheit - Systemhärtung = *Die Systemhärtung (Hardening) umfasst alle Maßnahmen, die ein Linux-System auf das notwendige Minimum reduzieren und s…“
2025-11-11T18:41:36Z
<p>Die Seite wurde neu angelegt: „= Linux Sicherheit - Systemhärtung = *Die Systemhärtung (Hardening) umfasst alle Maßnahmen, die ein Linux-System auf das notwendige Minimum reduzieren und s…“</p>
<p><b>Neue Seite</b></p><div>= Linux Sicherheit - Systemhärtung =<br />
*Die Systemhärtung (Hardening) umfasst alle Maßnahmen, die ein Linux-System auf das notwendige Minimum reduzieren und seine Angriffsfläche minimieren. Ziel ist ein stabiler, wartbarer und sicher konfigurierter Zustand mit klar kontrollierten Schnittstellen.*<br />
<br />
= Grundlagen =<br />
:*Systemhärtung bedeutet, alle nicht benötigten Dienste, Benutzer, Ports und Funktionen zu entfernen oder zu deaktivieren.<br />
:*Jede installierte Software und jeder offene Port ist potenziell ein Risiko.<br />
:*Ein gehärtetes System folgt dem Prinzip: „Alles ist verboten, was nicht ausdrücklich erlaubt ist.“<br />
<br />
= Paketverwaltung und Systembasis =<br />
*apt update && apt upgrade -y<br />
*dnf update -y<br />
*zypper update -y<br />
:*System stets aktuell halten, insbesondere Kernel- und Sicherheitsupdates.<br />
:*Nur benötigte Pakete installieren – jede zusätzliche Software erhöht die Angriffsfläche.<br />
*apt autoremove --purge -y<br />
*dnf remove --noautoremove <paketname><br />
:*Entferne Entwicklungs- und Debugtools, wenn nicht erforderlich.<br />
<br />
= Benutzer- und Rechtehärtung =<br />
:*Nur dedizierte Benutzerkonten, keine gemeinsamen Logins.<br />
:*Root-Login über SSH deaktivieren:<br />
<pre><br />
PermitRootLogin no<br />
</pre><br />
:*Sudo nur gezielt freigeben:<br />
*visudo<br />
*sudo -l<br />
:*Home-Verzeichnisse mit restriktiven Rechten (700) konfigurieren.<br />
:*Unnötige Systemkonten sperren:<br />
*passwd -l daemon<br />
*usermod -s /usr/sbin/nologin nobody<br />
<br />
= Dienstekontrolle und Minimierung =<br />
*systemctl list-unit-files --type=service<br />
*systemctl disable --now avahi-daemon<br />
*systemctl disable --now cups<br />
*systemctl disable --now bluetooth<br />
:*Nur benötigte Dienste aktivieren.<br />
:*Netzwerkdienste wie Telnet, FTP oder rsh sind veraltet und unsicher – entfernen.<br />
:*Anstatt von FTP → sftp oder scp.<br />
:*Für Administration SSH mit Key-Authentifizierung einsetzen.<br />
<br />
= Kernel- und Netzwerkschutz =<br />
*sysctl -a | grep net.ipv4<br />
:*Einstellungen in /etc/sysctl.conf oder /etc/sysctl.d/hardening.conf:<br />
<pre><br />
net.ipv4.icmp_echo_ignore_broadcasts = 1<br />
net.ipv4.conf.all.accept_redirects = 0<br />
net.ipv4.conf.all.send_redirects = 0<br />
net.ipv4.conf.all.rp_filter = 1<br />
net.ipv4.tcp_syncookies = 1<br />
net.ipv6.conf.all.accept_redirects = 0<br />
</pre><br />
*sysctl -p<br />
:*Redirects, Source Routing und ICMP-Broadcasts deaktivieren.<br />
:*TCP-SYN-Cookies aktivieren schützt vor DoS-SYN-Floods.<br />
<br />
= Dateisystem-Härtung =<br />
:*Separate Partitionen für /boot, /var, /tmp und /home mit restriktiven Mount-Optionen.<br />
:/etc/fstab:<br />
<pre><br />
/tmp tmpfs defaults,noexec,nosuid,nodev 0 0<br />
/var ext4 defaults,relatime,nodev 0 2<br />
</pre><br />
:*Mit „noexec“ wird die Ausführung von Binärdateien in /tmp verhindert.<br />
:*Mit „nosuid“ und „nodev“ werden SUID-Bits und Gerätedateien blockiert.<br />
:*Optional: Dateisysteme mit Integrity-Unterstützung (z. B. dm-verity) nutzen.<br />
<br />
= Logging und Überwachung =<br />
*journalctl -p 3 -xb<br />
*journalctl -u ssh<br />
*ausearch -m USER_LOGIN<br />
*last<br />
:*Sicherheitsrelevante Logs zentralisieren (z. B. mit rsyslog, syslog-ng oder journald-Forwarding).<br />
:*Regelmäßige Auswertung ist Pflicht, nicht optional.<br />
:*Integritätsprüfungen mit aide oder tripwire regelmäßig durchführen.<br />
<br />
= Kernelmodule und Laufzeitüberwachung =<br />
*lsmod<br />
*modprobe -r <modulname><br />
*echo "install usb-storage /bin/true" >> /etc/modprobe.d/blacklist.conf<br />
:*Nicht benötigte Kernelmodule deaktivieren oder blockieren.<br />
:*Blacklisting sensibler Module wie FireWire, USB-Speicher, Bluetooth etc.<br />
:*Kernel selbst regelmäßig auf CVEs prüfen:<br />
*uname -r<br />
*apt list --upgradable | grep linux-image<br />
<br />
= SSH-Härtung =<br />
*vi /etc/ssh/sshd_config<br />
<pre><br />
PermitRootLogin no<br />
PasswordAuthentication no<br />
PubkeyAuthentication yes<br />
MaxAuthTries 3<br />
LoginGraceTime 30<br />
AllowUsers admin backup<br />
</pre><br />
*systemctl restart ssh<br />
:*Passwortlogin ausschalten, nur Key-Authentifizierung.<br />
:*MaxAuthTries begrenzen, um Brute-Force-Angriffe zu verhindern.<br />
<br />
= Zeit- und Integritätssicherung =<br />
*apt install ntp -y<br />
*systemctl enable --now ntp<br />
:*Systemzeit synchron halten (NTP/PTP), da Logs sonst unglaubwürdig werden.<br />
:*Integritätsprüfungen mit aide:<br />
*aideinit<br />
*aide --check<br />
:*Änderungen in Systemdateien frühzeitig erkennen.<br />
<br />
= Boot- und BIOS-Sicherheit =<br />
:*Grub mit Passwort schützen:<br />
*grub-mkpasswd-pbkdf2<br />
:*Eintrag in /etc/grub.d/40_custom:<br />
<pre><br />
set superusers="admin"<br />
password_pbkdf2 admin <HASH><br />
</pre><br />
*update-grub<br />
:*Bootreihenfolge im BIOS sperren, Secure Boot aktivieren.<br />
:*USB-Boot deaktivieren, falls physischer Zugriff möglich.<br />
<br />
= Firewall-Basisregeln =<br />
*apt install nftables -y<br />
*systemctl enable --now nftables<br />
*vi /etc/nftables.conf<br />
<pre><br />
table inet filter {<br />
chain input {<br />
type filter hook input priority 0;<br />
policy drop;<br />
ct state established,related accept<br />
iif lo accept<br />
tcp dport {22,443} accept<br />
}<br />
}<br />
</pre><br />
*systemctl reload nftables<br />
:*Standardregel: Alles blocken, nur explizit benötigte Ports erlauben.<br />
<br />
= Automatisierung und Compliance =<br />
:*Härtungsrichtlinien nach Standards prüfen:<br />
:*CIS Benchmark, BSI Grundschutz, DISA STIG.<br />
:*Tools: Lynis, OpenSCAP, Tiger.<br />
*lynis audit system<br />
*oscap xccdf eval --profile xccdf_org.ssgproject.content_profile_standard /usr/share/xml/scap/ssg/content/ssg-debian12-ds.xml<br />
:*Ergebnisse dokumentieren und regelmäßig reviewen.<br />
<br />
= Quick Checklist =<br />
:*Alle ungenutzten Dienste und Ports deaktivieren.<br />
:*SSH-Zugang nur mit Keys, Root-Login sperren.<br />
:*noexec/nosuid/nodev auf /tmp, /var/tmp, /home aktivieren.<br />
:*Regelmäßige Updates einspielen.<br />
:*sudo restriktiv konfigurieren.<br />
:*Integrität (AIDE) regelmäßig prüfen.<br />
:*Firewall aktiv und Logging eingeschaltet.<br />
:*Kernelparameter gemäß Hardening-Guide setzen.<br />
:*Systemhärtung regelmäßig überprüfen und dokumentieren.<br />
<br />
= Zusammenfassung =<br />
:*Systemhärtung ist kein einmaliger Vorgang, sondern ein kontinuierlicher Prozess.<br />
:*Jede installierte Komponente ist potenziell ein Risiko.<br />
:*Durch gezieltes Deaktivieren, Isolieren und Protokollieren lässt sich ein Linux-System effektiv absichern.<br />
:*Ziel: M*</div>
Thomas.will