Securing Debian Manual PDF
Preview Securing Debian Manual
Securing Debian Manual JavierFernández-SanguinoPeña<[email protected]> ‘Authors’onthispage Version: 3.13,Mon,30Aug201011:57:38+0000 Abstract This document describes security in the Debian project and in the Debian operating system. StartingwiththeprocessofsecuringandhardeningthedefaultDebianGNU/Linuxdistribu- tion installation, it also covers some of the common tasks to set up a secure network environ- ment using Debian GNU/Linux, gives additional information on the security tools available andtalksabouthowsecurityisenforcedinDebianbythesecurityandauditteam. Copyright Notice Copyright©2002-2007JavierFernández-SanguinoPeña Copyright©2001AlexanderReelsen,JavierFernández-SanguinoPeña Copyright©2000AlexanderReelsen Somesectionsarecopyright©theirrespectiveauthors, fordetailspleasereferto‘Creditsand thanks!’ onpage28. Permission is granted to copy, distribute and/or modify this document under the terms of the GNU General Public License, Version 2 (http://www.gnu.org/licenses/ old-licenses/gpl-2.0.html)oranylaterversion(http://www.gnu.org/copyleft/ gpl.html)publishedbytheFreeSoftwareFoundation. Itisdistributedinthehopethatitwill beuseful,butWITHOUTANYWARRANTY. Permission is granted to make and distribute verbatim copies of this document provided the copyrightnoticeandthispermissionnoticearepreservedonallcopies. Permission is granted to copy and distribute modified versions of this document under the conditionsforverbatimcopying,providedthattheentireresultingderivedworkisdistributed underthetermsofapermissionnoticeidenticaltothisone. Permission is granted to copy and distribute translations of this document into another lan- guage, under the above conditions for modified versions, except that this permission notice may be included in translations approved by the Free Software Foundation instead of in the originalEnglish. i Contents 1 Introduction 1 1.1 Authors . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 1.2 Wheretogetthemanual(andavailableformats) . . . . . . . . . . . . . . . . . . . 2 1.3 Organizationalnotes/feedback . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 1.4 Priorknowledge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 1.5 Thingsthatneedtobewritten(FIXME/TODO) . . . . . . . . . . . . . . . . . . . . 3 1.6 Changelog/History . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 1.6.1 Version3.14(March2009) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 1.6.2 Version3.13(Februrary2008) . . . . . . . . . . . . . . . . . . . . . . . . . . 7 1.6.3 Version3.12(August2007) . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 1.6.4 Version3.11(January2007) . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 1.6.5 Version3.10(November2006) . . . . . . . . . . . . . . . . . . . . . . . . . . 8 1.6.6 Version3.9(October2006) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 1.6.7 Version3.8(July2006) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 1.6.8 Version3.7(April2006) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 1.6.9 Version3.6(March2006) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 1.6.10 Version3.5(November2005) . . . . . . . . . . . . . . . . . . . . . . . . . . 10 1.6.11 Version3.4(August-September2005) . . . . . . . . . . . . . . . . . . . . . 11 1.6.12 Version3.3(June2005) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 1.6.13 Version3.2(March2005) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 1.6.14 Version3.1(January2005) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 1.6.15 Version3.0(December2004). . . . . . . . . . . . . . . . . . . . . . . . . . . 13 1.6.16 Version2.99(March2004) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 CONTENTS ii 1.6.17 Version2.98(December2003) . . . . . . . . . . . . . . . . . . . . . . . . . . 14 1.6.18 Version2.97(September2003) . . . . . . . . . . . . . . . . . . . . . . . . . . 14 1.6.19 Version2.96(August2003) . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 1.6.20 Version2.95(June2003) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 1.6.21 Version2.94(April2003) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 1.6.22 Version2.93(March2003) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 1.6.23 Version2.92(February2003) . . . . . . . . . . . . . . . . . . . . . . . . . . 15 1.6.24 Version2.91(January/February2003) . . . . . . . . . . . . . . . . . . . . . 16 1.6.25 Version2.9(December2002). . . . . . . . . . . . . . . . . . . . . . . . . . . 16 1.6.26 Version2.8(November2002) . . . . . . . . . . . . . . . . . . . . . . . . . . 16 1.6.27 Version2.7(October2002) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 1.6.28 Version2.6(September2002) . . . . . . . . . . . . . . . . . . . . . . . . . . 17 1.6.29 Version2.5(September2002) . . . . . . . . . . . . . . . . . . . . . . . . . . 17 1.6.30 Version2.5(August2002) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 1.6.31 Version2.4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 1.6.32 Version2.3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 1.6.33 Version2.3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 1.6.34 Version2.2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 1.6.35 Version2.1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 1.6.36 Version2.0 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 1.6.37 Version1.99 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 1.6.38 Version1.98 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 1.6.39 Version1.97 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 1.6.40 Version1.96 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 1.6.41 Version1.95 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 1.6.42 Version1.94 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 1.6.43 Version1.93 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 1.6.44 Version1.92 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 1.6.45 Version1.91 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 1.6.46 Version1.9 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 1.6.47 Version1.8 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 CONTENTS iii 1.6.48 Version1.7 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 1.6.49 Version1.6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 1.6.50 Version1.5 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 1.6.51 Version1.4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 1.6.52 Version1.3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 1.6.53 Version1.2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 1.6.54 Version1.1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 1.6.55 Version1.0 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 1.7 Creditsandthanks! . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 2 Beforeyoubegin 31 2.1 Whatdoyouwantthissystemfor? . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 2.2 Beawareofgeneralsecurityproblems . . . . . . . . . . . . . . . . . . . . . . . . . 31 2.3 HowdoesDebianhandlesecurity? . . . . . . . . . . . . . . . . . . . . . . . . . . . 34 3 Beforeandduringtheinstallation 35 3.1 ChooseaBIOSpassword . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 3.2 Partitioningthesystem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 3.2.1 Chooseanintelligentpartitionscheme . . . . . . . . . . . . . . . . . . . . 35 3.3 DonotplugtotheInternetuntilready . . . . . . . . . . . . . . . . . . . . . . . . . 37 3.4 Setarootpassword . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 3.5 ActivateshadowpasswordsandMD5passwords . . . . . . . . . . . . . . . . . . 38 3.6 Runtheminimumnumberofservicesrequired . . . . . . . . . . . . . . . . . . . . 38 3.6.1 Disablingdaemonservices . . . . . . . . . . . . . . . . . . . . . . . . . . . 39 3.6.2 Disablinginetdoritsservices . . . . . . . . . . . . . . . . . . . . . . . . . 41 3.7 Installtheminimumamountofsoftwarerequired . . . . . . . . . . . . . . . . . . 41 3.7.1 RemovingPerl . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43 3.8 ReadtheDebiansecuritymailinglists . . . . . . . . . . . . . . . . . . . . . . . . . 45 4 Afterinstallation 47 4.1 SubscribetotheDebianSecurityAnnouncemailinglist . . . . . . . . . . . . . . . 47 4.2 Executeasecurityupdate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48 CONTENTS iv 4.2.1 Securityupdateoflibraries . . . . . . . . . . . . . . . . . . . . . . . . . . . 49 4.2.2 Securityupdateofthekernel . . . . . . . . . . . . . . . . . . . . . . . . . . 50 4.3 ChangetheBIOS(again) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51 4.4 SetaLILOorGRUBpassword . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51 4.5 Disablerootpromptontheinitramfs . . . . . . . . . . . . . . . . . . . . . . . . . . 52 4.6 Removerootpromptonthekernel . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 4.7 Restrictingconsoleloginaccess . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 4.8 Restrictingsystemrebootsthroughtheconsole . . . . . . . . . . . . . . . . . . . . 54 4.9 Mountingpartitionstherightway . . . . . . . . . . . . . . . . . . . . . . . . . . . 54 4.9.1 Setting/tmpnoexec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56 4.9.2 Setting/usrread-only . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56 4.10 Providingsecureuseraccess . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 4.10.1 Userauthentication: PAM . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 4.10.2 Limitingresourceusage: thelimits.conffile . . . . . . . . . . . . . . . 59 4.10.3 Userloginactions: edit/etc/login.defs . . . . . . . . . . . . . . . . . 61 4.10.4 Restrictingftp: editing/etc/ftpusers . . . . . . . . . . . . . . . . . . . 63 4.10.5 Usingsu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63 4.10.6 Usingsudo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63 4.10.7 Disallowremoteadministrativeaccess . . . . . . . . . . . . . . . . . . . . . 63 4.10.8 Restrictingusers’saccess . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64 4.10.9 Userauditing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64 4.10.10Reviewinguserprofiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66 4.10.11Settingusersumasks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66 4.10.12Limitingwhatuserscansee/access . . . . . . . . . . . . . . . . . . . . . . 67 4.10.13Generatinguserpasswords . . . . . . . . . . . . . . . . . . . . . . . . . . . 69 4.10.14Checkinguserpasswords . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69 4.10.15Loggingoffidleusers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70 4.11 Usingtcpwrappers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70 4.12 Theimportanceoflogsandalerts . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72 4.12.1 Usingandcustomizinglogcheck . . . . . . . . . . . . . . . . . . . . . . . 72 4.12.2 Configuringwherealertsaresent . . . . . . . . . . . . . . . . . . . . . . . 73 CONTENTS v 4.12.3 Usingaloghost . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74 4.12.4 Logfilepermissions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74 4.13 Addingkernelpatches . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75 4.14 Protectingagainstbufferoverflows . . . . . . . . . . . . . . . . . . . . . . . . . . . 77 4.14.1 Kernelpatchprotectionforbufferoverflows . . . . . . . . . . . . . . . . . 78 4.14.2 Testingprogramsforoverflows . . . . . . . . . . . . . . . . . . . . . . . . . 78 4.15 Securefiletransfers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78 4.16 Filesystemlimitsandcontrol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78 4.16.1 Usingquotas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78 4.16.2 Theext2filesystemspecificattributes(chattr/lsattr) . . . . . . . . . . . . . 79 4.16.3 Checkingfilesystemintegrity . . . . . . . . . . . . . . . . . . . . . . . . . . 81 4.16.4 Settingupsetuidcheck . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81 4.17 Securingnetworkaccess . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82 4.17.1 Configuringkernelnetworkfeatures . . . . . . . . . . . . . . . . . . . . . . 82 4.17.2 Configuringsyncookies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83 4.17.3 Securingthenetworkonboot-time . . . . . . . . . . . . . . . . . . . . . . . 83 4.17.4 Configuringfirewallfeatures . . . . . . . . . . . . . . . . . . . . . . . . . . 87 4.17.5 Disablingweak-endhostsissues . . . . . . . . . . . . . . . . . . . . . . . . 87 4.17.6 ProtectingagainstARPattacks . . . . . . . . . . . . . . . . . . . . . . . . . 88 4.18 Takingasnapshotofthesystem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89 4.19 Otherrecommendations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91 4.19.1 Donotusesoftwaredependingonsvgalib . . . . . . . . . . . . . . . . . . 91 5 Securingservicesrunningonyoursystem 93 5.1 Securingssh . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94 5.1.1 Chrootingssh . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95 5.1.2 Sshclients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96 5.1.3 Disallowingfiletransfers . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96 5.1.4 Restricingaccesstofiletransferonly . . . . . . . . . . . . . . . . . . . . . . 96 5.2 SecuringSquid . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96 5.3 SecuringFTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98 CONTENTS vi 5.4 SecuringaccesstotheXWindowSystem . . . . . . . . . . . . . . . . . . . . . . . 99 5.4.1 Checkyourdisplaymanager . . . . . . . . . . . . . . . . . . . . . . . . . . 100 5.5 Securingprintingaccess(thelpdandlprngissue) . . . . . . . . . . . . . . . . . . 100 5.6 Securingthemailservice . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102 5.6.1 ConfiguringaNullmailer . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102 5.6.2 Providingsecureaccesstomailboxes . . . . . . . . . . . . . . . . . . . . . 103 5.6.3 Receivingmailsecurely . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104 5.7 SecuringBIND. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104 5.7.1 Bindconfigurationtoavoidmisuse . . . . . . . . . . . . . . . . . . . . . . 105 5.7.2 ChangingBIND’suser . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107 5.7.3 Chrootingthenameserver . . . . . . . . . . . . . . . . . . . . . . . . . . . 109 5.8 SecuringApache . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111 5.8.1 Disablingusersfrompublishingwebcontents . . . . . . . . . . . . . . . . 112 5.8.2 Logfilespermissions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112 5.8.3 Publishedwebfiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112 5.9 Securingfinger . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112 5.10 Generalchrootandsuidparanoia . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113 5.10.1 Makingchrootedenvironmentsautomatically . . . . . . . . . . . . . . . . 114 5.11 Generalcleartextpasswordparanoia . . . . . . . . . . . . . . . . . . . . . . . . . . 114 5.12 DisablingNIS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114 5.13 SecuringRPCservices . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115 5.13.1 DisablingRPCservicescompletely . . . . . . . . . . . . . . . . . . . . . . . 115 5.13.2 LimitingaccesstoRPCservices . . . . . . . . . . . . . . . . . . . . . . . . . 116 5.14 Addingfirewallcapabilities . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116 5.14.1 Firewallingthelocalsystem . . . . . . . . . . . . . . . . . . . . . . . . . . . 116 5.14.2 Usingafirewalltoprotectothersystems . . . . . . . . . . . . . . . . . . . 117 5.14.3 Settingupafirewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117 6 AutomatichardeningofDebiansystems 127 6.1 Harden . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127 6.2 BastilleLinux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128 CONTENTS vii 7 DebianSecurityInfrastructure 131 7.1 TheDebianSecurityTeam . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131 7.2 DebianSecurityAdvisories . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132 7.2.1 Vulnerabilitycrossreferences . . . . . . . . . . . . . . . . . . . . . . . . . . 132 7.2.2 CVEcompatibility . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133 7.3 DebianSecurityBuildInfrastructure . . . . . . . . . . . . . . . . . . . . . . . . . . 134 7.3.1 Developer’sguidetosecurityupdates . . . . . . . . . . . . . . . . . . . . . 135 7.4 PackagesigninginDebian . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138 7.4.1 Thecurrentschemeforpackagesignaturechecks . . . . . . . . . . . . . . 138 7.4.2 Secureapt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139 7.4.3 Perdistributionreleasecheck . . . . . . . . . . . . . . . . . . . . . . . . . . 140 7.4.4 ReleasecheckofnonDebiansources . . . . . . . . . . . . . . . . . . . . . . 153 7.4.5 Alternativeper-packagesigningscheme . . . . . . . . . . . . . . . . . . . 153 8 SecuritytoolsinDebian 155 8.1 Remotevulnerabilityassessmenttools . . . . . . . . . . . . . . . . . . . . . . . . . 155 8.2 Networkscannertools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156 8.3 Internalaudits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157 8.4 Auditingsourcecode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157 8.5 VirtualPrivateNetworks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157 8.5.1 PointtoPointtunneling . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158 8.6 PublicKeyInfrastructure(PKI) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159 8.7 SSLInfrastructure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159 8.8 Antivirustools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160 8.9 GPGagent . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161 9 Developer’sBestPracticesforOSSecurity 163 9.1 Bestpracticesforsecurityreviewanddesign . . . . . . . . . . . . . . . . . . . . . 163 9.2 Creatingusersandgroupsforsoftwaredaemons . . . . . . . . . . . . . . . . . . . 164 CONTENTS viii 10 Beforethecompromise 169 10.1 Keepyoursystemsecure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169 10.1.1 Trackingsecurityvulnerabilities . . . . . . . . . . . . . . . . . . . . . . . . 169 10.1.2 Continuouslyupdatethesystem . . . . . . . . . . . . . . . . . . . . . . . . 170 10.1.3 Avoidusingtheunstablebranch . . . . . . . . . . . . . . . . . . . . . . . . 173 10.1.4 Securitysupportforthetestingbranch . . . . . . . . . . . . . . . . . . . . 174 10.1.5 AutomaticupdatesinaDebianGNU/Linuxsystem . . . . . . . . . . . . . 175 10.2 Doperiodicintegritychecks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176 10.3 SetupIntrusionDetection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177 10.3.1 Networkbasedintrusiondetection . . . . . . . . . . . . . . . . . . . . . . . 177 10.3.2 Hostbasedintrusiondetection . . . . . . . . . . . . . . . . . . . . . . . . . 178 10.4 Avoidingroot-kits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178 10.4.1 LoadableKernelModules(LKM) . . . . . . . . . . . . . . . . . . . . . . . . 178 10.4.2 Detectingroot-kits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178 10.5 Genius/ParanoiaIdeas—whatyoucoulddo . . . . . . . . . . . . . . . . . . . . . 180 10.5.1 Buildingahoneypot . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181 11 Afterthecompromise(incidentresponse) 183 11.1 Generalbehavior . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183 11.2 Backingupthesystem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184 11.3 ContactyourlocalCERT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184 11.4 Forensicanalysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185 11.4.1 Analysisofmalware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186 12 FrequentlyaskedQuestions(FAQ) 187 12.1 SecurityintheDebianoperatingsystem . . . . . . . . . . . . . . . . . . . . . . . . 187 12.1.1 IsDebianmoresecurethanX? . . . . . . . . . . . . . . . . . . . . . . . . . 187 12.1.2 There are many Debian bugs in Bugtraq. Does this mean that it is very vulnerable? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188 12.1.3 DoesDebianhaveanycertificationrelatedtosecurity? . . . . . . . . . . . 189 12.1.4 ArethereanyhardeningprogramsforDebian? . . . . . . . . . . . . . . . 189 12.1.5 IwanttorunXYZservice,whichoneshouldIchoose? . . . . . . . . . . . 189
The list of books you might like
