Falls es noch jemand interessiert habe ich noch paar Notizen dazu gefunden:
- Bios: Passwort festlegen und unbenötigte Schnittstellen deaktivieren
- Automatische Sicherheitsupdates:
https://packages.debian.org/wheezy/unattended-upgrades
- IPv6: Autoconfig deaktivieren, PrivacyExtension aktivieren oder MAC-Adresse beim booten ändern (macchanger)
- sysctl.conf benutzen
- Firewall: SPF, ggf. eingehende neue Pakete verwerfen (drop, Port 0 ehe wegen OS-Fingerprinting), ggf. abgehende Ports sperren und Webbrowser etc. per user-id freigeben
- Unnötig lauschende Dienste deaktivieren um unnötig geöffnete Ports zu schließen
- Unnötige Software deinstallieren um die Angriffsfläche zu minimieren
- Unnötige Module blacklisten
- Kein Schreib- und Lesezugriff für andere Benutzer im /home/*
- Kein Lesezugriff für /etc/network/interfaces für andere Benutzer falls ein WLAN-Passwort drinne steht
- /bin, /sbin, /usr/bin, /usr/sbin, /usr/local/bin, /usr/local/sbin überwachen mit inotifywait
- rkhunter und chkrootkit regelmäßig ausführen
- tmpfs nicht ausführbar mounten und Apt troubleshoot configurieren
- Software nur von Herstellerseite installieren
- Browser und Email absichern und jewails unter eigenen Benutzeraccount ausführen (potentielle Einfallstore für Schadcode). Noscript, HTTPS-Everywhere inkl. aktiviertem SSL-Observatory, kein Java, möglichst garkeine Plugins usw.
- Falls nötig clamav regelmäßig ausführen
- /home/user auch nicht ausführbar mounten, falls es keine Probleme macht
- Unnötige shells deaktivieren in /etc/passwd "/bin/false statt /bin/sh", wird nur von interaktiven Benutzern benötigt.
- Unnötige Logins in /etc/shadow verriegeln "passwd -l dienstname"
for x in $(sudo cut -d ":" -f 1 /etc/shadow); do sudo passwd -q -l $x; done
- Dnssec schützt vor DNS-Spoofing, ggf. IP der Bank in /etc/hosts vorhalten.
- /boot Ordner ist read/write, enthält Kernel und Boot Dateien. Also readonly setzen:
LABEL=/boot /boot ext2 defaults,ro 1 2
Muss vor Kernel upgrade erst auf read/write gesetzt werden.
- sxid meldet Änderungen an Dateirechten. inotifywait kann das auch.
- Ggf. GPS, Mikro, Webcam, Sensoren, Firewire, USB-NIC etc. deaktivieren und Module blacklisten.
- Ggf. Festplatte verschlüsseln
- HTTP/S: Apt, Browser, wget etc. über Tinyproxy leiten und Tinyproxy's user-id in der Firewall freigeben und ansonsten Port 80/443 sperren, damit kein Phonehome
- Mehr Zufall:
https://packages.debian.org/wheezy/haveged
