Sicherheit

Aus schokokeks.org Wiki
Version vom 11. August 2009, 14:43 Uhr von Hanno (Diskussion | Beiträge) (→‎Abschaltung unsicherer SSL-Cipher)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Zur Navigation springen Zur Suche springen

Sicherheitsfeatures auf dem Keks.

Abschaltung unsicherer SSL-Cipher

Mit folgender Einstellung für SSL-Cipher wird verhindert, dass alte Verfahren (SSLv2) oder solche mit niedrigen Verschlüsselungsstandards (MEDIUM, LOW) eingesetzt werden:

SSLv3:TLSv1:!SSLv2:HIGH:MEDIUM:!LOW:!EXP:!NULL:!aNULL@STRENGTH

Filter für Timestamps

Empfehlung von nessus, icmp-timestamps via iptables:

-A INPUT -p icmp -m icmp --icmp-type 13 -j DROP
-A INPUT -p icmp -m icmp --icmp-type 14 -j DROP

tcp-timestamps (sysctl):

net.ipv4.tcp_timestamps = 0

TRACE/TRACK in Apache deaktiviert

TRACE/TRACK ist ein Debug-Feature, nessus empfiehlt Deaktivierung:

TraceEnable Off

suidctl

Mittels des portage-features suidctl wird die Anzahl der SUID-Root-Programme auf das notwendigste reduziert.