BlogBlog ÜbersichtjailscriptportsoptFreeBSDLinksThermoskanne

System per Skript automatisch härten

Besitzt man viele Mehrbenutzersysteme, die man immer auf die gleiche Weise härten möchte, empfiehlt es sich einen Blick auf lockdown zu werfen. lockdown findet man im Portsbaum unter security/lockdown.

# cd /usr/ports/security/lockdown && make install clean 

Nun wird ein Shellskript unter /usr/local/bin/lockdown installiert. Dieses kann nun den eigenen Wünschen angepasst werden. Dazu erstellt man eine Kopie des Skriptes:

# cp /usr/local/bin/lockdown /usr/local/bin/lockdown.custom
lockdown passt folgende Dateien den eigenen Wünschen an:
  • /etc/ssh/sshd_config
  • /etc/rc.conf
  • /etc/auth.conf
  • /etc/sysctl.conf
  • Kernelkonfiguration

Ausserdem werden die Rechte von Programmen angepasst oder ganz entfernt, so dass normale Benutzer diese Programme nicht mehr benutzen können.

Zuerst muss die kern-Variable gesetzte werden, so dass sie auf die verwendete Kernelkonfiguration zeigt:

kern="/usr/local/bin/editkernel /usr/src/sys/i386/conf/<Kernelname>"

In der Section Mounting options werden die Optionen von Mountpunkten angepasst. In Build a debug kernel können Kerneloptionen der aktuellen Kernelkonfiguration hinzugefügt werden. Der Kernel muss danach allerdings manuell neu gebaut werden. Danach werden die verschiedenen Konfigurationsdateien der Maschine angepasst. Im letzten Abschnitt werden dann die Rechte von verschiedenen Programmen angepasst.

Hat man das Skript einmal seinen Wünschen angepasst, kann es ausgeführt werden:

# lockdown

Möchte man nun das Skript auf einem anderen Server ausführen, kann man einfach lockdown aus den Ports installieren, das selber angepasste Skript auf diesen Server kopieren und ausführen. So können mehrere Systeme innert kürzester Zeit identisch abgesichert werden.

 Permalink