das Böse aus dem Erdgeschoss

Die Leiden des kleinen Admins

hat die Paranoia erst mal Pause?

Ich hatte ja bereits vor laaaanger Zeit erwähnt, dass ich  dabei wäre ein RHEL 5.1 nach NSA Vorgaben etwas abzudichten. Ich bin mir nicht ganz sicher ob diese Paranoia erst dadurch entstanden oder schon vorher da war und nur angesammelt wurde, um diese Projekt auch hin zu bekommen.

Wenn man ein Linux sicher machen will, muss man schlecht von allen denken, grundsätzlich ist jeder (selbst ich?) dem System, dass du gerade in den Händen hast, feindlich gesonnen. Alle wollen es kaputt machen, zerstören oder gar missbrauchen. Aber es gibt eine winzige Gruppe, die müssen auch Rechte bekommen die sonst keiner hat. Weil irgendwas muss dieses Linux letztlich tun und dazu gibt es Benutzer und Admins die die Aufgaben zuweisen und überwachen. Damit die aber auch wirklich auf jeden Fall genau nur das tun, dafür mache ich die ganze Sch… hier.

Okay ein gewisser Teil Herausforderung ist dabei und Fehlschläge gab es genug:

  • 3 mal so ausgesperrt, dass die DVD samst „linux rescue“ nur noch helfen konnte
  • Die Filesysteme so verbogen, dass SELinux mal wieder gar keinen ran lassen wollte
  • Die Passwortpolicy so hart gemacht, dass selbst mir kein Passwort mehr einfiel das noch unter „merkbar“ lief.
  • Die bash bekam immer genau dann einen timeout, wenn ich weiter machen wollte, 3 mal habe ich ihr sogar beim schliessen zusehen müssen.
  • Und weitere Nicklichkeiten mit dem Kernel/SELinux und Co, die mich zwar nervten, aber die ich mit den Betroffenen letztlich kompromisslos regelte.
  • Das die Wiki Seite dazu schon ein Inhaltsverzeichnis hat, dass schon gescrollt werden muss. Dabei habe ich sehr viel noch auf Zusatzseiten (oder rote wikiwörter ^^) ausgelagert.

Letztlich muss ich aber sagen, wer böse von anderen denkt oder denken will und eine zwanghafte Leidenschaft zum friggeln mitbringt, finden hier in so einer Aufgabe gerade zu ein Paradies.

Und die Freude ist dann richtig groß, wenn das Baby dann ca. 2 Monate später fertig ist, okay ich konnte nicht Vollzeit daran arbeiten und habe live im Wiki mit dokumentiert, aber 3 Wochen sollte man rechnen. Auch wenn ich mit dem Wiki eine Leidenschaft zum Dokumentieren entwickle, wer sowas wie das hier anfängt, sollte sich echt Notizen machen. Denn wenn auf halber Strecke plötzlich ein lebenswichtiger Dienst versagt, benötigt man sehr schnell ein:

was habe ich eigentlich zuletzt gemacht, nach dem sichergestellten Zeitpunkt an dem der Dienst noch lief.

Mal sehen was der Herr, der offiziel noch Hackertools benutzen darf, dazu sagt.

Freitag, 13.06.2008 03:57 Posted by | Linux, RHEL | , , , , , | 1 Kommentar

Sicherheit

Es ist mal wieder so weit. Wir haben bislang nur RHEL3 und 4 in aller (Updates) Farben in unseren „sichereren“ Bereichen. Nun haben wir RHEL 5.1 (außer Cluster) erfolgreich auf unseren Systemen evaluiert und nun geht es ans Härten.
Also SELinux war mit RHEL4 gekommen. Mit RHEL 5 ist es so schon ganz nutzbar. Da erinnert mich mein Kollege, dass da doch ein Weihnachtsgeschenk der NSA war. Also beginnen wir doch mal mit den Studien…
Okay das Template wird wirklich hart. Hoffen wir mal das danach noch das geht, was die Maschinen eingentlich aus macht.
Ich bin aber guter Hoffnung, schlieslich ist RHEL ja nach CC EAL 4.0+ zertifiziert. Somit sollte es so was von härtbar sein. Im August mache ich dann den RHCSS also den Sicherheitskurs zu RHEL, somit kann ich jetzt schon mal üben.

Dienstag, 8.04.2008 18:57 Posted by | Linux, RHEL | , , , , , | 1 Kommentar