ࡱ;   !"#$%&'()*+,-./0123456789:;<=>?@ACDEFGHIJKLMNOPQRSTUVWXYZ[\]^_`abcdefghijklmnopqrstuvwxyz{|}~Root Entry  !r\V)䰱 PresentationStarImpress 5.0 wDdD!DmD DڎDDY@_UUDD4CtD+CDDD|ЃDSfxDocumentInfo  T1D 1@ {1 Info 0 Info 1 Info 2 Info 3 1@,<44Standard LIBIMBEDDED LIBIMBEDDED1,,,1SBX sb : Standard StarBASICSBX ARSBX AR SBX ARSBX OBc BasicLibrariesBasicLibrariesSBX ARSBX AR SBX ARSBX OBe DialogLibrariesDialogLibrariesSBX ARSBX AR SBX AR2c%bqqOh+'0 h t 272@{@k N@ YuU@d>XOutdevItemPool 1   )     &'()*+,-./06789:;UVWXYZ[\]c !"#$%&'()*+,-./0123456789:;<=>?@ABCDEFGHIJKLMNOPQRSTUVWXYZ[\]^_`abcdefghijklmnopqrstt      !"#$%&'()*+,-./0123456789:;<=>?@ABCDEFGHIJKLMNOPQRSTUVWXYZ[\]^_`abcdefd03r'@qyXX'4@Dashed 1X':@2XXXX&' @'X'E@xArrow X'E@Arrow X'.@,XXX'"@-,XX'@UXX'@xX@X@X'@vXX'b@D̙tXX X2XD'@@ Gradient 1ddX'2@ Hatching 1X'*@Bitmap 1BMvv(@@SD@x^SI 0 s\ z 46ZBn8x)1̔.<觔B+̄ ޢ40:prf |q]~+H~|WFMbP@aoCē[ȡz6~U{߃XFXNXVX^XfXnXvX~KK@ pXXMM"@ $XXNN"@ $XXOO"@I $XXPP"@w $XXQQ@ -XXUU@ *XVV2@ &XXXX  @ | '''' ' ''XXX X&X,XDXJXVXb @ :''''''' '' ''''XXX&X2X>XPX\XnX**<@"!!XXXX X&77L@!! ,,XXXX X&X,HH@f+'g*@'A' ' g*@'A' +'' g*@'A' +'' +'+''  g*<(@'+' g* @'1'+'' <(@' g*  <(@'#A' 1'+''!'''''''''%' <(@''g*  <(@'#g*  <(@'#A' 1'+''!'''''''''%'XXX>XhXXXXXXXXX.XXXff@&JJKKQQVV JJKKMMNNOOPPQQUUVV JJKKMMNNOOPPQQUUVV JJKKMMNNOOPPQQUUVVJJKKJJKKQQVVIIQQVVJJKK JJKK  JJKKMMNNOOPPQQUUVV  JJKKMMNNOOPPQQUUVV JJ KK  JJ KKMMNNOOPPQQUUVVJJ KKIIJJ KKJJ KKJJKKJJKKXX,XhXXXXXX.X@XRXXXXX*XBXTXf8x;;[{_2Rt7WwFf^ > h _  e e PLGMEditEngineItemPool F6fF0,5\* @z* @* @g* v3@ I "X2StarBats -"2StarBats -"2StarBats -"` ` 2StarBats -" 2StarBats -"2StarBats -"hh2StarBats -"2StarBats -"2StarBats -"pp2StarBats - "2StarBats -"2StarBats -"2StarBats -"` ` 2StarBats -" 2StarBats -"2StarBats -"hh2StarBats -"2StarBats -"2StarBats -"pp2StarBats - "2StarBatsN8"2StarBatsNd"g 2StarBatsNd"]` 2StarBatsNd"S 2StarBatsNd"S2StarBatsNd"Sh2StarBatsNd"S2StarBatsNd"S2StarBatsNd"Sp2StarBatsNd! "2StarBatsN*"2StarBats-"2StarBats-"` ` 2StarBats-" 2StarBats-"2StarBats-"hh2StarBats-"2StarBats-"2StarBats-"pp2StarBats- "2StarBatsNd"2StarBatsNd"g 2StarBatsNd"]` 2StarBatsNd"S 2StarBatsNd"S2StarBatsNddd"Sh2StarBatsNddd"S2StarBatsNddd"S2StarBatsNddd"Sp2StarBatsNddd H2StarBats d2StarBats dg 2StarBats d]` 2StarBats dS 2StarBatsdS2StarBats,,dSh2StarBatsdS2StarBatsdS2StarBats d "2StarBatsNd"2StarBatsNd"g 2StarBatsNd"]` 2StarBatsNd"S 2StarBatsNd"S2StarBatsN d"Sh2StarBatsNd"S2StarBatsNd"S2StarBatsN d"Sp2StarBatsN d "2StarBatsN-"2StarBats-"2StarBats-"` ` 2StarBats-" 2StarBats-"2StarBats-"hh2StarBats-"2StarBats-"2StarBats-"pp2StarBats-  d"}2StarBats -V 2StarBats K"2StarBats -` 2StarBats K"d 2StarBats -"d2StarBats dd-"dh2StarBats dd-"d2StarBats dd-"2StarBats-  "2StarBatsNd"2StarBatsN,"g 2StarBatsNd"]` 2StarBatsNd"S 2StarBatsNd"S2StarBatsNd"Sh2StarBatsNd"S2StarBatsNd"S2StarBatsNd"Sp2StarBatsNd   d}2StarBats KV 2StarBats K2StarBats K` 2StarBats Kd 2StarBats Kd2StarBats ddKdh2StarBats ddKd2StarBats ddKd2StarBats ddK   d2StarBats KV 2StarBats K2StarBats K` 2StarBats Kd 2StarBats Kd2StarBats ddKdh2StarBats ddKd2StarBats ddKd2StarBats ddKXXjXX" X~XXX&X"X&X+X&/ @>J@`JXX@K$ddddddgdddxdddYdddYs $dddY  ddd YD dddYDdddYDdddYD8ddd8YDXdddXYDxdddxYD!ddd!YDXX!X4XGX`XyXXXXXXX(XA<( n@ TL  XXXX X&X,X2X8X>XD (@jN StarSymbol!?-$ StarSymbol!?d" StarSymbol!?-  StarSymbolX!- StarSymbolX!?, StarSymbol!?K# StarSymbol!?K StarSymbol!?KXXIXXXX5XpX@')L@PddddddY|` ddd` YdddYdddYpdddpY ddd Y  ddd Y %ddd%Y 0*ddd0*YdddddddddV dddV ddddddddddd!Nddd###dd}d$dddY}'V dddV Y(dddYXX!X:XSXlXXXXXXXX(X;XNXaXtXXXXXA'@ |Qdddddddd dd  dd dd "ddddd#ddddXdXXX&X2X>XJXVXbXnXzX1'@Q7dX+'2@Q-XXXXX '@V, , , , , , , ", ', ,, 1, 6, ;, ~@, tE, jJ, `O, VT, LY, B^, 8c, =, 3, ) , , , , , #, (, -, 2, 7, <, A, F, K, P, U, Z, _, "O, E, ; , 1, ', , , #, ', ,, 1, 6, ;, @, E, J, O, T, Y, ^, , , , w, m, c, Y, O#, E(, ;-, 12, '7, <, A, F, J, O, T, Y, ^, , , , , , , , #, (, -, x2, n7, d<, ZA, PF, FK, a! Home~LT~TitelW > azxV4B1eZ#Click to edit the title text format Home~LT~Titel<( (@'DrObaSVDr&W )aVI(Home~LT~Gliederung 1W )aVI xV4B1Z %Click to edit the outline text formatHome~LT~Gliederung 1 <( (@'Second Outline LevelHome~LT~Gliederung 2 <( (@'Third Outline LevelHome~LT~Gliederung 3 <( (@'Fourth Outline LevelHome~LT~Gliederung 4<( (@'Fifth Outline LevelHome~LT~Gliederung 5<( (@'Sixth Outline LevelHome~LT~Gliederung 6<( (@'Seventh Outline LevelHome~LT~Gliederung 7<( (@' Eighth Outline LevelHome~LT~Gliederung 8<( (@' Ninth Outline LevelHome~LT~Gliederung 9<(  (@'  DrXXHomegg ^Home~LT~GliederungDrMP%JoeMQtDrML DrObSVDrTlc]SDUDQ DefaultTlDrObSVDrTlc]SDUDQ DefaultTlDrObSVDrTlc]SDUDQ DefaultTlDrObSVDr&5 B"0! Home~LT~Titel5 B"0nxV4B1YZClick to move the slide Home~LT~Titel<( (@'DrObSVDr& 3CG]# Home~LT~Notizen 3CG]wxV4B1bZClick to edit the notes formatHome~LT~Notizen<( (@'DrXXHomegg VHome~LT~GliederungDrPgcJoeMtQDrML8DrMD,DrXX Handoutsgg FHome~LT~GliederungDrPgKJoeM$mVTDrML8DrMD,DrObSVDrW > ac]SDUDQ ! Home~LT~TitelW > axV4B1ZSecuring Linux Home~LT~Titel<( (@'+'DrObSVDrW )aVIc]SDUDQ  Default,W )aVI xV4B1Z John KristoffDefaultg* <( (@'!1'+'   Defaultg* <( (@'!1'+' Defaultg* <( (@'!1'+' #http://condor.depaul.edu/~jkristof/Defaultg* <( (@'!1'+'# ##+1 312 362-5878Defaultg* <( (@'!1'+' DePaul UniversityDefaultg* <( (@'!1'+' Chicago, IL 60604Defaultg* <( (@'!1'+' DrXXgg JHome~LT~GliederungDrPgkJoeMQtDrML8DrMD,DrOb<SVDr&5 B0DrObJSVDr 3CG]c]SDUDQ # Home~LT~Notizen 3CG]kxV4B1VZClick to add notesHome~LT~Notizen<( (@'DrXXgg NHome~LT~GliederungDrPgvJoeM$mVTDrML8DrMD,DrObqSVDro Zac]SDUDQ ! Home~LT~Titelo ZaxV4B1ZStarting comments Home~LT~Titel<( (@'+'DrOb SVDrW aGc]SDUDQ ( Home~LT~Gliederung 1[W aG<xV4B1!Z2A mish-mash of mostly Linux-specific security tipsHome~LT~Gliederung 1g* <( (@'$223This is NOT a complete survey of all there is to doHome~LT~Gliederung 1g* <( (@'$33/Distro agnostic, but speaker mostly uses DebianHome~LT~Gliederung 1g* <( (@'$//2Maintain installation/change documentation offlineHome~LT~Gliederung 1g* <( (@'$22DrXXgg NHome~LT~GliederungDrPgmJoeMQtDrML8DrMD,DrOb<SVDr&5 B0DrObPSVDr 3CG]c]SDUDQ # Home~LT~Notizen 3CG]qxV4B1\ZClick to add notesHome~LT~Notizen<( (@''DrXXgg JHome~LT~GliederungDrPghJoeM$mVTDrML8DrMD,DrObuSVDro Zac]SDUDQ ! Home~LT~Titelo ZaxV4B1ZWhy or why not Linux? Home~LT~Titel<( (@'+'DrObSVDrW aGc]SDUDQ ( Home~LT~Gliederung 1W aGxV4B1ZLearning curve is usually highHome~LT~Gliederung 1g* <( (@'$7With a good initial install, re-installs should be rareHome~LT~Gliederung 1g* <( (@'$77.Reboots due to OS crashes should be infrequentHome~LT~Gliederung 1g* <( (@'$...Preventing a remote compromise is usually easyHome~LT~Gliederung 1g* <( (@'$..1Preventing local attacks can be nearly impossibleHome~LT~Gliederung 1g* <( (@'$11DrXXgg NHome~LT~GliederungDrPgmJoeMQtDrML8DrMD,DrOb<SVDr&5 B0DrObPSVDr 3CG]c]SDUDQ # Home~LT~Notizen 3CG]qxV4B1\ZClick to add notesHome~LT~Notizen<( (@''DrXXgg JHome~LT~GliederungDrPg@JoeM$mVTDrML8DrMD,DrObvSVDro Zac]SDUDQ ! Home~LT~Titelo ZaxV4B1ZInstallation decisions Home~LT~Titel<( (@'+'DrObSVDrW aGc]SDUDQ ( Home~LT~Gliederung 1 W aGxV4B1Z(Server, client, multiuser system, a mix?Home~LT~Gliederung 1g* <( (@'$((Which distribution?Home~LT~Gliederung 1g* <( (@'$!Will this be a multi-boot system?Home~LT~Gliederung 1g* <( (@'$!!/What remote services will be available, if any?Home~LT~Gliederung 1g* <( (@'$//DrXXgg NHome~LT~GliederungDrPgmJoeMQtDrML8DrMD,DrOb<SVDr&5 B0DrObPSVDr 3CG]c]SDUDQ # Home~LT~Notizen 3CG]qxV4B1\ZClick to add notesHome~LT~Notizen<( (@''DrXXgg JHome~LT~GliederungDrPg`JoeM$mVTDrML8DrMD,DrObSVDro Zac]SDUDQ ! Home~LT~Titelo ZaxV4B1Z Things to have before an install Home~LT~Titel<( (@'+'    DrOb}SVDrW aGc]SDUDQ ( Home~LT~Gliederung 1W aGxV4B1Z$Hardware details in hard copy formatHome~LT~Gliederung 1g* <( (@'$$$)IP addressing and DNS naming requirementsHome~LT~Gliederung 1g* <( (@'$))*Installation media or trusted remote sitesHome~LT~Gliederung 1g* <( (@'$**DrXXgg NHome~LT~GliederungDrPgmJoeMQtDrML8DrMD,DrOb<SVDr&5 B0 DrObPSVDr 3CG]c]SDUDQ # Home~LT~Notizen 3CG]qxV4B1\ZClick to add notesHome~LT~Notizen<( (@''DrXXgg JHome~LT~GliederungDrPgHJoeM$mVTDrML8DrMD,DrObuSVDro Zac]SDUDQ ! Home~LT~Titelo ZaxV4B1ZSecuring the hardware Home~LT~Titel<( (@'+'DrObSVDrW aGc]SDUDQ ( Home~LT~Gliederung 1)W aG xV4B1Z+Physical security is often the weakest linkHome~LT~Gliederung 1g* <( (@'$++%Limit physical access to the hardwareHome~LT~Gliederung 1g* <( (@'$%%Use BIOS passwordsHome~LT~Gliederung 1g* <( (@'$*Suggestion: use hardware code + secret keyHome~LT~Gliederung 2g* <( (@''**2After install, set hard drive to first boot deviceHome~LT~Gliederung 1g* <( (@'$224comment out the 'ca:ctrlaltdel' line in /etc/inittabHome~LT~Gliederung 1g* <( (@'$44DrXXgg NHome~LT~GliederungDrPgmJoeMQtDrML8DrMD,DrOb<SVDr&5 B0 DrObPSVDr 3CG]c]SDUDQ # Home~LT~Notizen 3CG]qxV4B1\ZClick to add notesHome~LT~Notizen<( (@''DrXXgg JHome~LT~GliederungDrPgXJoeM$mVTDrML8DrMD,DrObuSVDro Zac]SDUDQ ! Home~LT~Titelo ZaxV4B1ZPartitioning strategy Home~LT~Titel<( (@'+'DrObSVDrW aGc]SDUDQ ( Home~LT~Gliederung 19W aGxV4B1Z1By default, some distros put everything under '/'Home~LT~Gliederung 1g* <( (@'$111Its probably better not to, I recommend at least:Home~LT~Gliederung 1g* <( (@'$11/Home~LT~Gliederung 2g* <( (@''/usrHome~LT~Gliederung 2g* <( (@''/homeHome~LT~Gliederung 2g* <( (@''/varHome~LT~Gliederung 2g* <( (@''/tmpHome~LT~Gliederung 2g* <( (@''swapHome~LT~Gliederung 2g* <( (@''DrXXgg NHome~LT~GliederungDrPgmJoeMQtDrML8DrMD,DrOb<SVDr&5 B0 DrObPSVDr 3CG]c]SDUDQ # Home~LT~Notizen 3CG]qxV4B1\ZClick to add notesHome~LT~Notizen<( (@''DrXXgg JHome~LT~GliederungDrPgQJoeM$mVTDrML8DrMD,DrObpSVDro Zac]SDUDQ ! Home~LT~Titelo ZaxV4B1~ZPartition mounts Home~LT~Titel<( (@'+'DrOb~SVDrW aGc]SDUDQ ( Home~LT~Gliederung 1W aGxV4B1wZ,Options help limit unauthorized system abuseHome~LT~Gliederung 1g* <( (@'$,,.Options configured in /etc/fstab, for example:Home~LT~Gliederung 1g* <( (@'$..Home~LT~Gliederung 1g* <( (@'$#/dev/hda/ext3errors=remount-roHome~LT~Gliederung 1g* <( (@'$##    %/dev/hda2/usrext3defaults,ro,nodevHome~LT~Gliederung 1g* <( (@'$%% %*/dev/hda3/homeext3defaults,nodev,nosuidHome~LT~Gliederung 1g* <( (@'$** *0/dev/hda5/varext3defaults,nodev,nosuid,noexecHome~LT~Gliederung 1g* <( (@'$00 00/dev/hda6/tmpext3defaults,nodev,nosuid,noexecHome~LT~Gliederung 1g* <( (@'$00 0DrXXgg NHome~LT~GliederungDrPgmJoeMQtDrML8DrMD,DrOb<SVDr&5 B0DrObPSVDr 3CG]c]SDUDQ # Home~LT~Notizen 3CG]qxV4B1\ZClick to add notesHome~LT~Notizen<( (@''DrXXgg JHome~LT~GliederungDrPgFJoeM$mVTDrML8DrMD,DrObsSVDro Zac]SDUDQ ! Home~LT~Titelo ZaxV4B1ZThe LILO bootloader Home~LT~Titel<( (@'+'DrObpSVDrW aGc]SDUDQ ( Home~LT~Gliederung 1W aGxV4B1kZ+Configuration options set in /etc/lilo.confHome~LT~Gliederung 1g* <( (@'$++&File should be read/write only by rootHome~LT~Gliederung 1g* <( (@'$&&Some recommended options:Home~LT~Gliederung 1g* <( (@'$Home~LT~Gliederung 1g* <( (@'$,delay=# set to 0 if no other OSes existHome~LT~Gliederung 1g* <( (@'$,,  0restricted# boot-time options require passwordHome~LT~Gliederung 1g* <( (@'$00  ,password=# password for non-default bootHome~LT~Gliederung 1g* <( (@'$,, DrXXgg NHome~LT~GliederungDrPgmJoeMQtDrML8DrMD,DrOb<SVDr&5 B0DrObPSVDr 3CG]c]SDUDQ # Home~LT~Notizen 3CG]qxV4B1\ZClick to add notesHome~LT~Notizen<( (@''DrXXgg JHome~LT~GliederungDrPglJoeM$mVTDrML8DrMD,DrObsSVDro Zac]SDUDQ ! Home~LT~Titelo ZaxV4B1ZThe GRUB bootloader Home~LT~Titel<( (@'+'DrObSVDrW aGc]SDUDQ ( Home~LT~Gliederung 1W aGxV4B1Z)Configuration file is /boot/grub/menu.lstHome~LT~Gliederung 1g* <( (@'$))0Can be read by all, if paranoid restrict to rootHome~LT~Gliederung 1g* <( (@'$00Some recommended options:Home~LT~Gliederung 1g* <( (@'$Home~LT~Gliederung 1g* <( (@'$3password --md5 # boot options require passwordHome~LT~Gliederung 1g* <( (@'$33timeout # boot delayHome~LT~Gliederung 1g* <( (@'$   (lock# password protect insecure OSHome~LT~Gliederung 1g* <( (@'$((  DrXXgg NHome~LT~GliederungDrPgmJoeMQtDrML8DrMD,DrOb<SVDr&5 B0DrObPSVDr 3CG]c]SDUDQ # Home~LT~Notizen 3CG]qxV4B1\ZClick to add notesHome~LT~Notizen<( (@''DrXXgg JHome~LT~GliederungDrPg}JoeM$mVTDrML8DrMD,DrOboSVDro Zac]SDUDQ ! Home~LT~Titelo ZaxV4B1}ZStartup scripts Home~LT~Titel<( (@'+'DrOb)SVDrW aGc]SDUDQ ( Home~LT~Gliederung 1dW aGExV4B1&Z2Found in /etc/rc.d/init.d (/etc/init.d in Debian)Home~LT~Gliederung 1g* <( (@'$22/Links to init.d scripts found in /etc/rc<0-6>.dHome~LT~Gliederung 1g* <( (@'$//6/etc/inittab sets run level and startup scripts to runHome~LT~Gliederung 1g* <( (@'$660Know your run level and which scripts get loadedHome~LT~Gliederung 1g* <( (@'$00-Many scripts start network listening servicesHome~LT~Gliederung 1g* <( (@'$--3For security, the fewer services enabled the betterHome~LT~Gliederung 1g* <( (@'$33DrXXgg NHome~LT~GliederungDrPgmJoeMQtDrML8DrMD,DrOb<SVDr&5 B0DrObPSVDr 3CG]c]SDUDQ # Home~LT~Notizen 3CG]qxV4B1\ZClick to add notesHome~LT~Notizen<( (@''DrXXgg JHome~LT~GliederungDrPgJoeM$mVTDrML8DrMD,DrObxSVDro Zac]SDUDQ ! Home~LT~Titelo ZaxV4B1ZManaging startup scripts Home~LT~Titel<( (@'+'DrOb)SVDrW a_Ic]SDUDQ ( Home~LT~Gliederung 1dW a_IE xV4B1 Z )Use distro tools (chkconfig, update-rc.d)Home~LT~Gliederung 1g* <( (@'$)).Remove unncessary packages/software completelyHome~LT~Gliederung 1g* <( (@'$..Delete startup scripts/linksHome~LT~Gliederung 1g* <( (@'$1Rename links of startup scripts in your run levelHome~LT~Gliederung 1g* <( (@'$11Example startup scripts:Home~LT~Gliederung 1g* <( (@'$Home~LT~Gliederung 1g* <( (@'$,/etc/rc5.d/S80sendmail -> ../init.d/sendmailHome~LT~Gliederung 1g* <( (@'$,,&/etc/rc0.d/K20inetd -> ../init.d/inetdHome~LT~Gliederung 1g* <( (@'$&&)/etc/rc3.d/.s20apache -> ../init.d/apacheHome~LT~Gliederung 1g* <( (@'$))DrXXgg NHome~LT~GliederungDrPgmJoeMQtDrML8DrMD,DrOb<SVDr&5 B0DrObPSVDr 3CG]c]SDUDQ # Home~LT~Notizen 3CG]qxV4B1\ZClick to add notesHome~LT~Notizen<( (@''DrXXgg JHome~LT~GliederungDrPg8  JoeM$mVTDrML8DrMD,DrOb~SVDrW > ac]SDUDQ ! Home~LT~TitelW > axV4B1ZServices to consider disabling Home~LT~Titel<( (@'+'DrObSVDrW )5WIc]SDUDQ ( Home~LT~Gliederung 1 W )5WIxV4B1Z amd/autofsHome~LT~Gliederung 1g* <( (@'$  apache/httpdHome~LT~Gliederung 1g* <( (@'$  inetd/xinetdHome~LT~Gliederung 1g* <( (@'$  linuxconfHome~LT~Gliederung 1g* <( (@'$  lpdHome~LT~Gliederung 1g* <( (@'$namedHome~LT~Gliederung 1g* <( (@'$netfsHome~LT~Gliederung 1g* <( (@'$nfsHome~LT~Gliederung 1g* <( (@'$DrObSVDr7)aWIc]SDUDQ (Home~LT~Gliederung 1#7)aWIxV4B1ZnfslockHome~LT~Gliederung 1g* <( (@'$portmapHome~LT~Gliederung 1g* <( (@'$routedHome~LT~Gliederung 1g* <( (@'$rstat/ruser/rwall/rwhoHome~LT~Gliederung 1g* <( (@'$sendmailHome~LT~Gliederung 1g* <( (@'$smbdHome~LT~Gliederung 1g* <( (@'$snmpdHome~LT~Gliederung 1g* <( (@'$yp*Home~LT~Gliederung 1g* <( (@'$DrXXgg VHome~LT~GliederungDrPgmJoeMQtDrML8DrMD,DrOb<SVDr&5 B0DrObPSVDr 3CG]c]SDUDQ # Home~LT~Notizen 3CG]qxV4B1\ZClick to add notesHome~LT~Notizen<( (@''DrXXgg JHome~LT~GliederungDrPg$JoeM$mVTDrML8DrMD,DrOb~SVDro Zac]SDUDQ ! Home~LT~Titelo ZaxV4B1ZExaming listeners with netstat Home~LT~Titel<( (@'+'DrObSVDrW aGc]SDUDQ ( Home~LT~Gliederung 1W aGxV4B1Z netstat -tunaHome~LT~Gliederung 1g* <( (@'$  (ProtoLocal AddressForeign AddrStateHome~LT~Gliederung 1g* <( (@'$((!""##tcp0.0.0.0:220.0.0.0:*LISTENHome~LT~Gliederung 1g* <( (@'$ ##%tcp192.0.2.1:800.0.0.0:*LISTENHome~LT~Gliederung 1g* <( (@'$ %%-tcp192.0.2.1:22192.0.2.2:1024ESTABLISHEDHome~LT~Gliederung 1g* <( (@'$--!"%udp192.0.2.1:1230.0.0.0:*LISTENHome~LT~Gliederung 1g* <( (@'$%%DrXXgg NHome~LT~GliederungDrPgmJoeMQtDrML8DrMD,DrOb<SVDr&5 B0DrObPSVDr 3CG]c]SDUDQ # Home~LT~Notizen 3CG]qxV4B1\ZClick to add notesHome~LT~Notizen<( (@''DrXXgg JHome~LT~GliederungDrPg5JoeM$mVTDrML8DrMD,DrOb{SVDro Zac]SDUDQ ! Home~LT~Titelo ZaxV4B1ZExaming listeners with lsof Home~LT~Titel<( (@'+'DrObWSVDrW aGc]SDUDQ ( Home~LT~Gliederung 1W aGsxV4B1TZ lsof -ni +MHome~LT~Gliederung 1g* <( (@'$  COMMANDTYPENODENAMEHome~LT~Gliederung 1g* <( (@'$ ntpdIPv4UDP*:ntpHome~LT~Gliederung 1g* <( (@'$ ntpdIPv4UDP127.0.0.1:ntpHome~LT~Gliederung 1g* <( (@'$ ntpdIPv4UDP192.0.2.1:ntpHome~LT~Gliederung 1g* <( (@'$ -ntpdIPv4UDP127.0.0.1:1024->127.0.0.1:ntpHome~LT~Gliederung 1g* <( (@'$-- DrXXgg NHome~LT~GliederungDrPgmJoeMQtDrML8DrMD,DrOb<SVDr&5 B0DrObPSVDr 3CG]c]SDUDQ # Home~LT~Notizen 3CG]qxV4B1\ZClick to add notesHome~LT~Notizen<( (@''DrXXgg JHome~LT~GliederungDrPgLJoeM$mVTDrML8DrMD,DrOblSVDro Zac]SDUDQ ! Home~LT~Titelo ZaxV4B1zZ TCP Wrappers Home~LT~Titel<( (@'+'    DrOb}SVDrW aGc]SDUDQ ( Home~LT~Gliederung 1W aGxV4B1|Z/Access control and logging for network servicesHome~LT~Gliederung 1g* <( (@'$//-Use /etc/hosts.allow to permit services/hostsHome~LT~Gliederung 1g* <( (@'$--.Use /etc/hosts.deny to prohibit services/hostsHome~LT~Gliederung 1g* <( (@'$..*Common services protected by tcp_wrappers:Home~LT~Gliederung 1g* <( (@'$**!ftp, imap, pop, ssh, telnet, tftpHome~LT~Gliederung 2g* <( (@''!!DrXXgg NHome~LT~GliederungDrPgmJoeMQtDrML8DrMD,DrOb<SVDr&5 B0DrObPSVDr 3CG]c]SDUDQ # Home~LT~Notizen 3CG]qxV4B1\ZClick to add notesHome~LT~Notizen<( (@''DrXXgg JHome~LT~GliederungDrPgPJoeM$mVTDrML8DrMD,DrObvSVDro Zac]SDUDQ ! Home~LT~Titelo ZaxV4B1ZTFTP with TCP Wrappers Home~LT~Titel<( (@'+'DrObwSVDrW aGc]SDUDQ (Home~LT~Gliederung 1W aGxV4B1pZ# /etc/inetd.confHome~LT~Gliederung 1g* <( (@'$@tftpdgramudpwaitroot/usr/sbin/tcpd \ in.tftpd -s /tftpbootHome~LT~Gliederung 1g* <( (@'$@@ Home~LT~Gliederung 1g* <( (@'$# /etc/hosts.allowHome~LT~Gliederung 1g* <( (@'$!in.tftpd: 192.0.2.0/255.255.255.0Home~LT~Gliederung 1g* <( (@'$!!Home~LT~Gliederung 1g* <( (@'$# /etc/hosts.denyHome~LT~Gliederung 1g* <( (@'$ALL: ALLHome~LT~Gliederung 1g* <( (@'$DrXXgg NHome~LT~GliederungDrPgmJoeMQtDrML8DrMD,DrOb<SVDr&5 B0!DrObPSVDr 3CG]c]SDUDQ # Home~LT~Notizen 3CG]qxV4B1\ZClick to add notesHome~LT~Notizen<( (@''DrXXgg JHome~LT~GliederungDrPgsJoeM$mVTDrML8DrMD,DrObrSVDro Zac]SDUDQ ! Home~LT~Titelo ZaxV4B1ZLogging and syslog Home~LT~Titel<( (@'+'DrObSVDrW aGc]SDUDQ ( Home~LT~Gliederung 1W aGxV4B1ZLogs found in /var/logHome~LT~Gliederung 1g* <( (@'$2/etc/syslog.conf used to configure various optionsHome~LT~Gliederung 1g* <( (@'$22+/etc/logrotate.conf configures log rotationHome~LT~Gliederung 1g* <( (@'$++5tail -f /var/log/ to watch a log in realtimeHome~LT~Gliederung 1g* <( (@'$55.Get familiar with what are normal log messagesHome~LT~Gliederung 1g* <( (@'$..3Use a remote logging host if possible (syslog.conf)Home~LT~Gliederung 1g* <( (@'$33*.debug@loghost.example.comHome~LT~Gliederung 2g* <( (@''   DrXXgg NHome~LT~GliederungDrPgmJoeMQtDrML8DrMD,DrOb<SVDr&5 B0#DrObPSVDr 3CG]c]SDUDQ # Home~LT~Notizen 3CG]qxV4B1\ZClick to add notesHome~LT~Notizen<( (@''DrXXgg JHome~LT~GliederungDrPgJoeM$mVTDrML8DrMD,DrObtSVDro Zac]SDUDQ ! Home~LT~Titelo ZaxV4B1ZTime synchronization Home~LT~Titel<( (@'+'DrObSVDrW aGc]SDUDQ ( Home~LT~Gliederung 1W aGxV4B1Z&Use NTP to maintain precise timestampsHome~LT~Gliederung 1g* <( (@'$&&$Example /etc/ntp.conf configuration:Home~LT~Gliederung 1g* <( (@'$$$Home~LT~Gliederung 1g* <( (@'$@restrict default notrust nomodify noquery notrap \ nopeer ignoreHome~LT~Gliederung 1g* <( (@'$@@server Home~LT~Gliederung 1g* <( (@'$server Home~LT~Gliederung 1g* <( (@'$server Home~LT~Gliederung 1g* <( (@'$Frestrict 192.0.2.0 mask 255.255.255.0 nomodify \ noquery notrap nopeerHome~LT~Gliederung 1g* <( (@'$FFDrXXgg NHome~LT~GliederungDrPgmJoeMQtDrML8DrMD,DrOb<SVDr&5 B0%DrObPSVDr 3CG]c]SDUDQ # Home~LT~Notizen 3CG]qxV4B1\ZClick to add notesHome~LT~Notizen<( (@''DrXXgg JHome~LT~GliederungDrPgVJoeM$mVTDrML8DrMD,DrObuSVDro Zac]SDUDQ ! Home~LT~Titelo ZaxV4B1ZUser account security Home~LT~Titel<( (@'+'DrOb~SVDrW aGc]SDUDQ ( Home~LT~Gliederung 1W aGxV4B1yZ+Always use shadow passwords and MD5 hashingHome~LT~Gliederung 1g* <( (@'$++1Avoid root, use groups and sudo where appropriateHome~LT~Gliederung 1g* <( (@'$11-Disable unnecessary user accounts (e.g. uucp)Home~LT~Gliederung 1g* <( (@'$--Use long and strong passwordsHome~LT~Gliederung 1g* <( (@'$#Example password creation strategy:Home~LT~Gliederung 1g* <( (@'$##Home~LT~Gliederung 1g* <( (@'$4 score & 7 years ago our fathers brought 4th, upon this continent, a new nation, conceived in liberty, & dedicated 2 the propositionHome~LT~Gliederung 1g* <( (@'(   "#*+-./0459:BCDEFGJKPQRS\]_`fghijktuvwz{DrXXgg NHome~LT~GliederungDrPgmJoeMQtDrML8DrMD,DrOb<SVDr&5 B0'DrObPSVDr 3CG]c]SDUDQ # Home~LT~Notizen 3CG]qxV4B1\ZClick to add notesHome~LT~Notizen<( (@''DrXXgg JHome~LT~GliederungDrPg<JoeM$mVTDrML8DrMD,DrObySVDro Zac]SDUDQ ! Home~LT~Titelo ZaxV4B1ZUser command line history Home~LT~Titel<( (@'+'DrObSVDrW aGc]SDUDQ ( Home~LT~Gliederung 1W aG xV4B1Z 3Setup /etc/profile to make .bash_history permanent:Home~LT~Gliederung 1g* <( (@'$33Home~LT~Gliederung 1g* <( (@'$HISTFILE=~/.bash_historyHome~LT~Gliederung 1g* <( (@'(HISTSIZE=100000000000000000Home~LT~Gliederung 1g* <( (@'(HISTFILESIZE=10000000000000000Home~LT~Gliederung 1g* <( (@'(readonly=HISTFILEHome~LT~Gliederung 1g* <( (@'(readonly=HISTSIZEHome~LT~Gliederung 1g* <( (@'(readonly=HISTFILESIZEHome~LT~Gliederung 1g* <( (@'(%export HISTFILE HISTSIZE HISTFILESIZEHome~LT~Gliederung 1g* <( (@'(%%DrXXgg NHome~LT~GliederungDrPgmJoeMQtDrML8DrMD,DrOb<SVDr&5 B0)DrObPSVDr 3CG]c]SDUDQ # Home~LT~Notizen 3CG]qxV4B1\ZClick to add notesHome~LT~Notizen<( (@''DrXXgg JHome~LT~GliederungDrPgJoeM$mVTDrML8DrMD,DrOb{SVDro Zac]SDUDQ ! Home~LT~Titelo ZaxV4B1ZFile permission suggestions Home~LT~Titel<( (@'+'DrObSVDrW aGc]SDUDQ ( Home~LT~Gliederung 1W aGxV4B1Z*Set umask in .bash_profile to 0037 or 0077Home~LT~Gliederung 1g* <( (@'$***Restrict read/write access to system filesHome~LT~Gliederung 1g* <( (@'$**-Know the suid/sgid permissions on your systemHome~LT~Gliederung 1g* <( (@'$--find / -perm +4000Home~LT~Gliederung 2g* <( (@''find / -perm +2000Home~LT~Gliederung 2g* <( (@''3Use file attributes to your advantage, for example:Home~LT~Gliederung 1g* <( (@'$33$chattr +a /home//.bash_historyHome~LT~Gliederung 2g* <( (@''$$chattr +i /etc/inetd.confHome~LT~Gliederung 2g* <( (@''DrXXgg NHome~LT~GliederungDrPgmJoeMQtDrML8DrMD,DrOb<SVDr&5 B0+DrObPSVDr 3CG]c]SDUDQ # Home~LT~Notizen 3CG]qxV4B1\ZClick to add notesHome~LT~Notizen<( (@''DrXXgg JHome~LT~GliederungDrPgLJoeM$mVTDrML8DrMD,DrObhSVDro Zac]SDUDQ ! Home~LT~Titelo ZaxV4B1vZTripwire Home~LT~Titel<( (@'+'DrObSVDrW aGc]SDUDQ ( Home~LT~Gliederung 1:W aGxV4B1Z'File system integrity and auditing toolHome~LT~Gliederung 1g* <( (@'$''/Config/database tends to be customization-heavyHome~LT~Gliederung 1g* <( (@'$//+Run from a remote system or read-only mediaHome~LT~Gliederung 1g* <( (@'$++See 's sshtrip toolHome~LT~Gliederung 2g* <( (@'',Example config file entries for 1.x version:Home~LT~Gliederung 1g* <( (@'$,,Home~LT~Gliederung 1g* <( (@'$$/varR# default monitoring flagsHome~LT~Gliederung 1g* <( (@'$$$  ,/var/logL-i# for files that change oftenHome~LT~Gliederung 1g* <( (@'$,,   DrXXgg NHome~LT~GliederungDrPgmJoeMQtDrML8DrMD,DrOb<SVDr&5 B0-DrObPSVDr 3CG]c]SDUDQ # Home~LT~Notizen 3CG]qxV4B1\ZClick to add notesHome~LT~Notizen<( (@''DrXXgg JHome~LT~GliederungDrPgnJoeM$mVTDrML8DrMD,DrObdSVDro Zac]SDUDQ ! Home~LT~Titelo ZaxV4B1rZAIDE Home~LT~Titel<( (@'+'DrObSVDrW aGc]SDUDQ ( Home~LT~Gliederung 1W aGxV4B1Z5File system integrity and auditing tool like TripwireHome~LT~Gliederung 1g* <( (@'$55+Adds powerful regex capability for filespecHome~LT~Gliederung 1g* <( (@'$++Example config file entries:Home~LT~Gliederung 1g* <( (@'$Home~LT~Gliederung 1g* <( (@'$/varR# default flagsHome~LT~Gliederung 1g* <( (@'$     (/var/log/.*\.logp+n+u+g# for log filesHome~LT~Gliederung 1g* <( (@'$((1/var/log/.*\.log\.[0-9]# for archived log filesHome~LT~Gliederung 1g* <( (@'$11DrXXgg NHome~LT~GliederungDrPgmJoeMQtDrML8DrMD,DrOb<SVDr&5 B0/DrObPSVDr 3CG]c]SDUDQ # Home~LT~Notizen 3CG]qxV4B1\ZClick to add notesHome~LT~Notizen<( (@''DrXXgg JHome~LT~GliederungDrPgJoeM$mVTDrML8DrMD,DrObgSVDro Zac]SDUDQ ! Home~LT~Titelo ZaxV4B1uZrpm -Va Home~LT~Titel<( (@'+'DrObSVDrW aGc]SDUDQ ( Home~LT~Gliederung 1W aGxV4B1Z)Compare changes from package install timeHome~LT~Gliederung 1g* <( (@'$)).Examines size, MD5, ownership, timestamp, etc.Home~LT~Gliederung 1g* <( (@'$..Home~LT~Gliederung 1g* <( (@'$missing/root/.bash_profileHome~LT~Gliederung 1g* <( (@'$ S.5....T c/etc/logrotate.confHome~LT~Gliederung 1g* <( (@'$ ..?..... c /etc/sudoersHome~LT~Gliederung 1g* <( (@'$DrXXgg NHome~LT~GliederungDrPgmJoeMQtDrML8DrMD,DrOb<SVDr&5 B01DrObPSVDr 3CG]c]SDUDQ # Home~LT~Notizen 3CG]qxV4B1\ZClick to add notesHome~LT~Notizen<( (@''DrXXgg JHome~LT~GliederungDrPg,JoeM$mVTDrML8DrMD,DrObzSVDro Zac]SDUDQ ! Home~LT~Titelo ZaxV4B1ZUpdate system and software Home~LT~Titel<( (@'+'DrObSVDrW aGc]SDUDQ ( Home~LT~Gliederung 1W aGxV4B1ZRedHat has up2dateHome~LT~Gliederung 1g* <( (@'$Debian has aptHome~LT~Gliederung 1g* <( (@'$ Some prefer to build from sourceHome~LT~Gliederung 1g* <( (@'$  3Get on *-announce mailing lists for distro and appsHome~LT~Gliederung 1g* <( (@'$33DrXXgg NHome~LT~GliederungDrPgmJoeMQtDrML8DrMD,DrOb<SVDr&5 B03DrObPSVDr 3CG]c]SDUDQ # Home~LT~Notizen 3CG]qxV4B1\ZClick to add notesHome~LT~Notizen<( (@''DrXXgg JHome~LT~GliederungDrPgJoeM$mVTDrML8DrMD,DrObrSVDro Zac]SDUDQ ! Home~LT~Titelo ZaxV4B1ZVerifying software Home~LT~Titel<( (@'+'DrOb/SVDrW aGc]SDUDQ ( Home~LT~Gliederung 1jW aGKxV4B1*Z*Almost no one verifies downloaded softwareHome~LT~Gliederung 1g* <( (@'$***A few distros do some automated validationHome~LT~Gliederung 1g* <( (@'$***To validate MD5 hashes and PGP signatures:Home~LT~Gliederung 1g* <( (@'$**Home~LT~Gliederung 1g* <( (@'$md5sum Home~LT~Gliederung 1g* <( (@'$%gpg --key-server --recv-key Home~LT~Gliederung 1g* <( (@'$%%gpg --verify Home~LT~Gliederung 1g* <( (@'$DrXXgg NHome~LT~GliederungDrPgmJoeMQtDrML8DrMD,DrOb<SVDr&5 B05DrObPSVDr 3CG]c]SDUDQ # Home~LT~Notizen 3CG]qxV4B1\ZClick to add notesHome~LT~Notizen<( (@''DrXXgg JHome~LT~GliederungDrPgAJoeM$mVTDrML8DrMD,DrObSVDro Zac]SDUDQ ! Home~LT~Titelo ZaxV4B1Z Firewalling and packet filtering Home~LT~Titel<( (@'+'    DrObSVDrW aGc]SDUDQ ( Home~LT~Gliederung 1W aGxV4B1Z/Used to provide low level packet access controlHome~LT~Gliederung 1g* <( (@'$//1Can ensure unauthorized services are inaccessibleHome~LT~Gliederung 1g* <( (@'$11+All hosts should probably do some filteringHome~LT~Gliederung 1g* <( (@'$++.Example iptables config to block < 1024 ports:Home~LT~Gliederung 1g* <( (@'$..Home~LT~Gliederung 1g* <( (@'$/iptables -A INPUT -p tcp --dport 0:1023 -j DROPHome~LT~Gliederung 1g* <( (@'$///iptables -A INPUT -p udp --dport 0:1023 -j DROPHome~LT~Gliederung 1g* <( (@'$//iptables -A INPUT -j ACCEPTHome~LT~Gliederung 1g* <( (@'$DrXXgg NHome~LT~GliederungDrPgmJoeMQtDrML8DrMD,DrOb<SVDr&5 B07DrObPSVDr 3CG]c]SDUDQ # Home~LT~Notizen 3CG]qxV4B1\ZClick to add notesHome~LT~Notizen<( (@''DrXXgg JHome~LT~GliederungDrPg/JoeM$mVTDrML8DrMD,DrObySVDro Zac]SDUDQ ! Home~LT~Titelo ZaxV4B1ZUse SSH for remote access Home~LT~Titel<( (@'+'DrObSSVDrW aGc]SDUDQ ( Home~LT~Gliederung 1W aGoxV4B1NZ&Eliminates plain text from the networkHome~LT~Gliederung 1g* <( (@'$&&Use only SSH version 2Home~LT~Gliederung 1g* <( (@'$Can be used with TCP WrappersHome~LT~Gliederung 1g* <( (@'$(Replaces remote terminal access (TELNET)Home~LT~Gliederung 1g* <( (@'$((1Replaces file transfer and remote copy (ftp, rcp)Home~LT~Gliederung 1g* <( (@'$110Tunnel insecure protocols over an SSH connectionHome~LT~Gliederung 1g* <( (@'$00!e.g. pop3, smtp, nfs, telnet, ftpHome~LT~Gliederung 2g* <( (@''!!DrXXgg NHome~LT~GliederungDrPgmJoeMQtDrML8DrMD,DrOb<SVDr&5 B09DrObPSVDr 3CG]c]SDUDQ # Home~LT~Notizen 3CG]qxV4B1\ZClick to add notesHome~LT~Notizen<( (@''DrXXgg JHome~LT~GliederungDrPg+JoeM$mVTDrML8DrMD,DrObnSVDro Zac]SDUDQ ! Home~LT~Titelo ZaxV4B1|ZOpenSSH server Home~LT~Titel<( (@'+'DrObSVDrW aGc]SDUDQ ( Home~LT~Gliederung 1W aG xV4B1Z Requires OpenSSLHome~LT~Gliederung 1g* <( (@'$*Install OpenSSH using privilege separationHome~LT~Gliederung 1g* <( (@'$**-Some recommended sshd_config config settings:Home~LT~Gliederung 1g* <( (@'$--Home~LT~Gliederung 1g* <( (@'$ Protocol 2Home~LT~Gliederung 1g* <( (@'$  PermitRootLogin noHome~LT~Gliederung 1g* <( (@'$"AllowUsers Home~LT~Gliederung 1g* <( (@'$""%AllowGroup Home~LT~Gliederung 1g* <( (@'$%%Banner /etc/motdHome~LT~Gliederung 1g* <( (@'$DrXXgg NHome~LT~GliederungDrPgmJoeMQtDrML8DrMD,DrOb<SVDr&5 B0;DrObPSVDr 3CG]c]SDUDQ # Home~LT~Notizen 3CG]qxV4B1\ZClick to add notesHome~LT~Notizen<( (@''DrXXgg JHome~LT~GliederungDrPgIJoeM$mVTDrML8DrMD,DrObvSVDro Zac]SDUDQ ! Home~LT~Titelo ZaxV4B1ZMiscellaneous thoughts Home~LT~Titel<( (@'+'DrObSVDrW aGc]SDUDQ ( Home~LT~Gliederung 1)W aG xV4B1Z2For multiuser systems, consider a restricted shellHome~LT~Gliederung 1g* <( (@'$22Use chroot where possibleHome~LT~Gliederung 1g* <( (@'$Have nmap/nessus audits donesHome~LT~Gliederung 1g* <( (@'$,If someone really wants to get in, they willHome~LT~Gliederung 1g* <( (@'$,,DrXXgg NHome~LT~GliederungDrPgmJoeMQtDrML8DrMD,DrOb<SVDr&5 B0=DrObPSVDr 3CG]c]SDUDQ # Home~LT~Notizen 3CG]qxV4B1\ZClick to add notesHome~LT~Notizen<( (@''DrXXgg JHome~LT~GliederungDrPgIJoeM$mVTDrML8DrMD,DrObjSVDro Zac]SDUDQ ! Home~LT~Titelo ZaxV4B1xZ References Home~LT~Titel<( (@'+'    DrOb|SVDrW aGc]SDUDQ ( Home~LT~Gliederung 1W aGxV4B1uZ SANS Securing Linux Step-by-StepHome~LT~Gliederung 1g* <( (@'$  Somewhat datedHome~LT~Gliederung 2g* <( (@''Linux Administration HandbookHome~LT~Gliederung 1g* <( (@'$Prentice Hall ISBN: 0130084662Home~LT~Gliederung 2g* <( (@''Linux System SecurityHome~LT~Gliederung 1g* <( (@'$Prentice Hall ISBN: 0130470112Home~LT~Gliederung 2g* <( (@''Securing Debian Manual:Home~LT~Gliederung 1g* <( (@'$1www.debian.org/doc/manuals/securing-debian-howto/Home~LT~Gliederung 1g* <( (@'$11DrXXgg NHome~LT~GliederungDrPgmJoeMQtDrML8DrMD,DrOb<SVDr&5 B0?DrObPSVDr 3CG]c]SDUDQ # Home~LT~Notizen 3CG]qxV4B1\ZClick to add notesHome~LT~Notizen<( (@''DrXXgg JHome~LT~GliederungDrXXGeneric PrinterSGENPRTRtJobData 1 printer=Generic Printer orientation=Portrait copies=1 scale=0 margindajustment=0,0,0,0 colordepth=24 pslevel=0 colordevice=0 PPDContexData PageSize:A4 DrVwV SVDr SVDr:SVDr{{SVDrA LAYER_LAYOUT:SVDr{{SVDr#SVDr SVDr# SVDr0 SVDr1 SVDr3 SVDr4SVDr@SVDr SVDrD SVDrP SVDrQ DrHL DrHL DrHL Y@_U <( (@'$*Suggestion: use hardware code + secret keyHome~LT~Gliederung 2Root Entry!r\V)䰱CompObjEOle persist elements" SfxDocumentInfo uBasicManager2 4StarBASICSfxWindowsStandardJSfxStyleSheetstSummaryInformation( (StarDrawDocument3$B;