Ich habe gerade mit einem ganz informativen Programm mein System etwas gehärtet, heisst von möglichen problematischen Angriffspunkten befreit.
Da gibt es natürlich viele Möglichkeiten.
Hier ist eine mit debsecan.
Dazu installiert man das Programm
Code: Alles auswählen
sudo apt-get install debsecan
Code: Alles auswählen
debsecan --suite=jessie > /home/xxx/debsecan.txt
Dann fängt der kompliziertere Teil an

Man macht die Datei auf. Ich verwende dazu gerne den KDE Texteditor Kate, obwohl ich ansonsten kein KDE nutze. Das Geschickte an Kate ist die dynamische Markierung. Wenn ich also ein Wort markiere, wird es in der ganzen Datei markiert. Also mach ich die Datei auf und staune erstmal über die Tonnen an Meldungen, die mir sagen, dass mein System ganz schön unsicher ist. Im Grunde ist es normal, da man mehr oder weniger jede Software durch einen "Fehler" im Programmcode missbrauchen kann. Man kann aber dennoch schauen, dass man so weit es geht, das System aufräumt.
Um manche Programme (mit Vorsicht!) aus der unstable Quelle (momentan sid) zu aktualisieren. Fügen wir für diese Aktion die Quellen von sid hinzu:
Code: Alles auswählen
sudo nano /etc/apt/sources.list
Code: Alles auswählen
# unstable sid-release for fixes
deb http://ftp.de.debian.org/debian/ sid main
deb-src http://ftp.de.debian.org/debian/ sid main
danach führt man
Code: Alles auswählen
sudo apt-get update
Jetzt kehren wir zu unserer Log-Datei zurück und achten vorerst auf die high urgency Meldungen.
Wir kopieren den Namen des jeweiligen Programm und geben ihn z.B. in synaptic (Paketverwaltung) ein (ansonsten installiert man synaptic oder wählt den direkten Weg über das Terminal).
Falls eine aktuellere Version vorhanden ist - Rechtsklick und aktualisieren. Jetzt ist es SEHR WICHTIG, dass man NUR DANN aktualisiert, wenn keine Abhängigkeit mit 1000 anderen Paketen kommt. Das wird das System zu einer unstable-Version machen. Wir wollen ja NUR das eine Paket aktualisieren (wenn es möglich ist). Wenn nicht, dann lassen wir es so wie es ist und gehen zum nächsten Paket über. Das ist die ganz sichere Variante. Danach kann man das Gleiche mit medium urgency machen. Das wird nicht bei allen Paketen etwas bringen, aber manch einer wird am Ende von der Liste verschwinden.
Als nächsten Schritt bzw. auch während des vorigen schauen wir, ob es Pakete gibt, die eine Meldung ausgeben, die wir aber nicht nutzen (dabei sollte man sich natürlich sicher sein). Das können entweder Programme sein, die man zusätzlich mal installiert hat und die keine Abhängigkeiten mit dem System haben UND das können grafische Oberflächen wie KDE, GNOME etc. sein. Beim Zweiteren sollte man sich überlegen, ob man wirklich mehrere Oberflächen braucht. Wenn nicht, haut man z.B. KDE raus und macht danach
Code: Alles auswählen
sudo apt-get autoremove
Nachdem man das alles gemacht hat, löscht man die Log-Datei und führt einen erneuten Scan durch. Falls man jetzt noch z.B. etwas von KDE findet, entfernt man es durch synaptic manuell.
Um manche Programme (auch mit high urgency) wird man nicht drum herum kommen, wenn man bestimmte Dinge nutzen will. Java und Videocodecs sind z.B. immer kritisch. Aber immerhin kann man so manche Löcher vermeiden und das System etwas aufgeräumter gestalten.
Bei dieser Aktion sollte man natürlich besonders aufpassen, da man bei der Entfernung "falscher Pakete" das System zerschießen kann.

Man sollte also halbwegs wissen, was man da entfernt und inwieweit es Systemrelevanz hat.
Nicht vergessen die sid-Quellen auszukommentieren.
Viel Spaß!
