LOGO_ASPICON-white.svg
aspicon-logo-1024x169-gradient.png
logo-oracle-white.svg
Microsoft_SQL_Server_Logo_horizontal_white.svg
postgresql-logo_white_horiz.png
logo_red_hat_white3
suse-white-logo-green_large_white3
logo_windows_server2_white.png
aws_white2.png
logo_azure_white2
Oracle-Cloud-Logo_horizontal_white2.png
Docker-Logo-White-RGB_Horizontal.png
logo_helm_white.png
ansible-horiz_white.png
logo_fujitsu_white.png
logo_hpe_white.png
NetApp_logo_horizontal_white.png
News zu Oracle

Härtung von Oracle Linux Be­triebs­sys­te­men Teil II

Härtung von Oracle Linux Betriebssystemen - Services

Deine Oracle Linux Be­triebs­sys­te­me sind das Herzstück deiner IT und verdienen damit in puncto Si­cher­heit besondere Auf­merk­sam­keit. Diese auf ein Top-Niveau zu bringen ist kein Hexenwerk, wenn du weißt, wo du ansetzen musst.

Der CIS Benchmark Report liefert dir eine klare Analyse po­ten­zi­el­ler Schwach­stel­len. In unserer Bei­trags­se­rie zur IT-Si­cher­heit na­vi­gie­ren wir dich durch den Fach­jar­gon und erklären die wich­tigs­ten Aspekte des Reports – ver­ständ­lich, praxisnah und auf den Punkt gebracht. Denn echte Si­cher­heit beginnt mit dem Ver­ständ­nis, und dem richtigen Partner!

Teil I unserer Bei­trags­se­rie “Härung von Oracle Linux Be­triebs­sys­te­men” drehte sich um den Bereich “Netz­werk­kon­fi­gu­ra­ti­on”. Außerdem haben wir dort einige wichtige Punkte zum all­ge­mei­nen Ver­ständ­nis des CIS Benchmark Reports erörtert. Falls du nochmal nachlesen möchtest: » Hier der Link

Heute werfen wir unseren Blick auf den zweiten Teil des CIS Benchmark Reports und verraten dir, welche Dienste du möglichst de­ak­ti­vie­ren oder zumindest maskieren solltest, wie du dein Be­triebs­sys­tem auf Spar­flam­me in­stal­lie­ren kannst und warum auch aus­ge­wähl­te Service Clients entfernt werden sollten.

Aus­ge­wähl­te Emp­feh­lun­gen zur Härtung eines Oracle Linux Be­triebs­sys­tems
Teil II: Services

Eine der besten Mög­lich­kei­ten, das System vor (noch nicht ge­mel­de­ten) Schwach­stel­len zu schützen, liegt darin, alle Dienste zu de­ak­ti­vie­ren, die für den normalen Betrieb des Systems nicht er­for­der­lich sind. Dies ver­hin­dert die Aus­nut­zung von Si­cher­heits­lü­cken, die mög­li­cher­wei­se erst zu einem späteren Zeitpunkt entdeckt werden. Denn wenn ein Dienst nicht aktiviert ist, kann er auch nicht aus­ge­nutzt werden. Die Maßnahmen im Abschnitt “Services” des CIS Reports geben Hinweise darauf, welche Dienste unter welchen Umständen sicher de­ak­ti­viert oder besser maskiert werden können.

Punkt 1: Spezielle Dienste de­ak­ti­vie­ren / maskieren

Im Folgenden haben wir einige Dienste auf­ge­führt, die du in deinen Systemen – abhängig von der Rolle des je­wei­li­gen Systems – de­ak­ti­vie­ren solltest:

  • Avahi Server
  • CUPS Server
  • DHCP Server
  • DNS Server
  • VSFTP Server
  • TFTP Server
  • HTTP Proxy Server
  • SNMP Server
  • NFS Server
  • Rsync Daemon


Falls die In­stal­la­ti­on aufgrund von Pa­ket­ab­hän­gig­kei­ten un­um­gäng­lich ist, sollten die zu­ge­hö­ri­gen Dienste zumindest maskiert werden.

Beachte bitte, dass es sich dabei lediglich um einen Auszug aus dem CIS Report handelt und die Liste keinen Anspruch auf Voll­stän­dig­keit erhebt. Außerdem solltest du im Vorfeld genau prüfen, ob die De­ak­ti­vie­rung mögliche Aus­wir­kun­gen auf deinen Sys­tem­be­trieb haben könnte.

Punkt 2: Be­triebs­sys­tem­in­stal­la­ti­on auf Sparflamme

Bereits bei der Be­triebs­sys­tem­in­stal­la­ti­on eines Li­nux­ser­vers kannst du unnötige Dienste weit­ge­hend außen vor lassen, indem du das Mi­ni­mal­pro­fil anstelle des Ser­ver­pro­fils wählst. Unbedingt für die Rolle des Systems er­for­der­li­che Dienste, die nicht im Mi­ni­mal­um­fang enthalten waren, in­stal­lierst du dann später einfach nach.

Ein Blick auf die aktuell auf deinem System ge­bun­de­nen Ports kann ein guter Einstieg sein, um zu über­prü­fen, welche Dienste Ver­bin­dun­gen “von außen” annehmen würden und ob diese tat­säch­lich für das be­tref­fen­de System er­for­der­lich sind. Hierzu kannst du bei­spiels­wei­se den Befehl “ss” aus dem iproute-Paket nutzen. In der Ausgabe sind ins­be­son­de­re die Spalten “Local Address:Port” und “Process” von Interesse:

# ss -tulpn
Netid State   Recv-Q  Send-Q  Local Address:Port  Peer Address:Port  Process 
udp   UNCONN  0       0             0.0.0.0:23149      0.0.0.0:*     users:(("rpc.statd",pid=133747,fd=8)) 
udp   UNCONN  0       0             0.0.0.0:111        0.0.0.0:*     users:(("rpcbind",pid=133741,fd=5),("systemd",pid=1,fd=117)) 
udp   UNCONN  0       0           127.0.0.1:323        0.0.0.0:*     users:(("chronyd",pid=159183,fd=5)) 
udp   UNCONN  0       0             0.0.0.0:41579      0.0.0.0:* 
udp   UNCONN  0       0           127.0.0.1:787        0.0.0.0:*     users:(("rpc.statd",pid=133747,fd=5)) 
udp   UNCONN  0       0                [::]:62413         [::]:* 
udp   UNCONN  0       0                [::]:31278         [::]:*     users:(("rpc.statd",pid=133747,fd=10)) 
udp   UNCONN  0       0                [::]:111           [::]:*     users:(("rpcbind",pid=133741,fd=7),("systemd",pid=1,fd=119)) 
udp   UNCONN  0       0               [::1]:323           [::]:*     users:(("chronyd",pid=159183,fd=6)) 
tcp   LISTEN  0       64            0.0.0.0:32043      0.0.0.0:* 
tcp   LISTEN  0       4096          0.0.0.0:23927      0.0.0.0:*     users:(("rpc.statd",pid=133747,fd=9)) 
tcp   LISTEN  0       128           0.0.0.0:22         0.0.0.0:*     users:(("sshd",pid=158566,fd=3)) 
tcp   LISTEN  0       4096          0.0.0.0:111        0.0.0.0:*     users:(("rpcbind",pid=133741,fd=4),("systemd",pid=1,fd=115)) 
tcp   LISTEN  0       64               [::]:21585         [::]:* 
tcp   LISTEN  0       128              [::]:22            [::]:*     users:(("sshd",pid=158566,fd=4)) 
tcp   LISTEN  0       4096             [::]:111           [::]:*     users:(("rpcbind",pid=133741,fd=6),("systemd",pid=1,fd=118)) 
tcp   LISTEN  0       4096             [::]:19055         [::]:*     users:(("rpc.statd",pid=133747,fd=11)) 
```

Punkt 3: Service Clients konfigurieren

Wie im Punkt 1 bereits genannt, gibt es eine Reihe von po­ten­zi­ell un­si­che­ren Diensten. Wenn­gleich die De­ak­ti­vie­rung der Ser­ver­sei­te dieser Dienste einen er­folg­rei­chen Angriff ver­hin­dert, ist es zu­sätz­lich ratsam, auch die ent­spre­chen­den Clients aus der In­fra­struk­tur zu entfernen, sofern sie nicht benötigt werden. Ein Client ist zwar nicht direkt an­greif­bar, seine un­be­darf­te Nutzung kann aber durchaus In­for­ma­tio­nen ins Netzwerk streuen, die ab­ge­fan­gen und miss­bräuch­lich verwendet werden können (z.B. un­ver­schlüs­sel­te Passworte, In­for­ma­tio­nen über die In­fra­struk­tur etc).

Typische Clients, die in der Regel nicht benötigt werden und daher entfernt werden sollten, sind:

  • telnet client
  • LDAP client
  • TFTP client
  • FTP client

Bitte beachte, dass es sich bei den genannten Punkten lediglich um einen Bruchteil der Themen handelt, die im Report be­leuch­tet werden. Sie sollen dir lediglich einen Eindruck der Her­an­ge­hens­wei­se ver­mit­teln. In wei­ter­füh­ren­den Beiträgen werden wir uns noch weitere Punkte anschauen. 

Selbst­ver­ständ­lich lassen sich die CIS Benchmark Reports auch für andere En­ter­pri­se Linux Be­triebs­sys­te­me wie Red Hat En­ter­pri­se Linux erstellen sowie für Oracle Da­ten­ban­ken, SQL Server Da­ten­ban­ken und Windows Server Betriebssysteme.

Du hast Fragen dazu oder benötigst Un­ter­stüt­zung?
Ruf uns gern an oder schreibe uns. 
Kontakt 
Marcel Heinrich - Account Manager ASPICON

Marcel
Senior Account Manager bei ASPICON

Hier findest du weitere Infos rund um Oracle und Security aus unserem News & Insights Bereich.

icon-arrow_right_medium-violet-blue.svg

Share this article

Facebook 
Twitter 
LinkedIn 
XING 
WhatsApp 
Email