Schlagwort: ps

Mehr Sicherheit fuer die eigenen Daten – Einleitung und Aufraeumen

prego Schreib einen Kommentar

Im Kontext der NSA Affaere ist viel ueber Sicherheit und Verschluesselung geschrieben worden. Etwas zu aendern ist schwer, denn es koennen sich nur die Menschen aendern, die Dienste werden es nicht tun. Die Nutzer muessen das Thema Verschluesselung selbst in die Hand nehmen. Fuer viele ist das eigentlich unmoeglich, weil sie schlichtweg keine Ahnung haben. Fuer Menschen wie Dich und mich, die eigene Server betreiben, ist es jedoch machbar. Ich werde in der kommenden Zeit und in unregelmaessigen Abstaenden hier auf meinem Blog verschiedene Dinge vorstellen, die als direkte Reaktion aus diesen Ueberlegungen hervorgegangen sind.

Eine 100%tige Unabhaengigkeit ist nicht zu erreichen. Aber jeder kleine Schritt dahin ist richtig. Wir wollen alle kommunizieren ueber die Netze, und in der Regel bezahlen wir mit unseren Daten fuer die Services die wir nutzen. Das bedeutet im Umkehrschluss, dass wenn wir nicht mit unseren Daten bezahlen, wir auch keine Premiumdienste erwarten koennen die super einfach von der Hand gehen.

Der erste Schritt war fuer mich das Aufraeumen. Ich bin meine Rootserver durchgegangen und habe folgendes gemacht:

  1. Alle Zugaenge von mir und fuer Freunde ueberprueft die existierten und gegebenfalls gesperrt.
  2. Ich bin die Prozesstabelle durchgegangen und habe sichergestellt, dass ich keine Dienste laufen habe, die ich nicht laufen haben moechte. Gegebenenfalls habe ich diese deinstalliert.
  3. Ich bin im Apache alle vHosts durchgegangen und habe dort aufgeraeumt. Nicht mehr benoetigte deaktiviert und Konfigurationen angeglichen
  4. Ich habe meine DNS Konfigurationen durchgeschaut und sichergestellt, dass keine verwaisten Subdomains existieren etc.
  5. Ich bin das Dateisystem durchgegangen, habe mein Homeverzeichnis aufgeraeumt, die DocumentRoots der vHosts usw.

Kurz: Aufraeumen um eine gute Grundlage, einen Ueberblick, eine gute Struktur zu schaffen fuer die naechsten Arbeiten im Kontext Verschluesselung, die ich machen wollte. Stay tuned….

SELinux Notizen

prego Schreib einen Kommentar
  1. sestatus -> Zeigt Statusinformationen von SELinux an
  2. getenforce -> Zeigt nur den aktuellen Zustand von SELinux an. Enforcing bedeutet es laeuft, Permissive bedeutet, das es deaktiviert ist
  3. setenforce -> Aendert den Zustand von SELinux. Uebergibt man den Parameter 0 ist es im Permissive mode. Uebergibt man den Parameter 1 ist es im Enforcing mode. Kann man mit dem Tool getenforce ueberpruefen.
  4. getsebool -a -> Zeigt alle verfuegbaren SELinux Optionen inklusive dessen Status (on | off) an.
  5. getsebool httpd_can_network_connect -> Zeigt nur den Status der SELinux Option http_can_network_connect an
  6. setsebool  httpd_can_network_connect on -> Setzt fuer die SELinux Option die httpd_can_network_connect den Status on
  7. Der Schalter -P bei setsebool sorgt dafuer, dass eine Aenderung auch PERSISTANT ist, also ueber einen reboot hinaus aktiv, Beispiel: setsebool  -P httpd_can_network_connect on
  8. Die Logdatei von SELinux heisst zum Beispiel auf einem CentOS 6.4 audit.log und liegt unter /var/log/audit/audit.log
  9. ls -Z -> zeigt SELinux Security Context einer Datei an
  10. ps axZ -> zeigt SELinux Security Daten eines Prozesses an