Sicherheit: Unterschied zwischen den Versionen

Aus schokokeks.org Wiki
Zur Navigation springen Zur Suche springen
Keine Bearbeitungszusammenfassung
 
Zeile 4: Zeile 4:


Mit folgender Einstellung für SSL-Cipher wird verhindert, dass alte Verfahren (SSLv2) oder solche mit niedrigen Verschlüsselungsstandards (MEDIUM, LOW) eingesetzt werden:
Mit folgender Einstellung für SSL-Cipher wird verhindert, dass alte Verfahren (SSLv2) oder solche mit niedrigen Verschlüsselungsstandards (MEDIUM, LOW) eingesetzt werden:
<pre>SSLv3:TLSv1:!SSLv2:HIGH:!LOW:!MEDIUM:!EXP:!NULL@STRENGTH</pre>
<pre>SSLv3:TLSv1:!SSLv2:HIGH:MEDIUM:!LOW:!EXP:!NULL:!aNULL@STRENGTH</pre>


== Filter für Timestamps ==
== Filter für Timestamps ==

Aktuelle Version vom 11. August 2009, 14:43 Uhr

Sicherheitsfeatures auf dem Keks.

Abschaltung unsicherer SSL-Cipher

Mit folgender Einstellung für SSL-Cipher wird verhindert, dass alte Verfahren (SSLv2) oder solche mit niedrigen Verschlüsselungsstandards (MEDIUM, LOW) eingesetzt werden:

SSLv3:TLSv1:!SSLv2:HIGH:MEDIUM:!LOW:!EXP:!NULL:!aNULL@STRENGTH

Filter für Timestamps

Empfehlung von nessus, icmp-timestamps via iptables:

-A INPUT -p icmp -m icmp --icmp-type 13 -j DROP
-A INPUT -p icmp -m icmp --icmp-type 14 -j DROP

tcp-timestamps (sysctl):

net.ipv4.tcp_timestamps = 0

TRACE/TRACK in Apache deaktiviert

TRACE/TRACK ist ein Debug-Feature, nessus empfiehlt Deaktivierung:

TraceEnable Off

suidctl

Mittels des portage-features suidctl wird die Anzahl der SUID-Root-Programme auf das notwendigste reduziert.