von beaver » 05.03.2005, 03:09
dann geh ich auch mal ein bißchen mehr ins detail:
Gentoo Linux
betriebssystem / kernel: gentoo-dev-sources-2.6.10 rc6 mit diversen sicherheitspatches vom distributor
kernel ist natürlich selbst kompiliert, alles was nicht zum booten benötigt wird ist als modul kompiliert
(z. B. werden bei mir die usb treiber nicht beim systemstart geladen, sondern erst wenn ich ein usbdevice einstecke, enorme performacevorteile!!!)
alle ports sind von haus aus dicht weil ich (netzwerk)dienste nur explizit starte wenn ich diese benötige.
(bis auf dhcp). wenn ich längere zeit nicht vorm rechner sitze hab ich ein script, daß mir die verbindung zum router auch noch blockiert. so kann nichts passieren wenn ich mal nicht vorm rechner sitze.
alle pings von außen werden ignoriert.
mein rechner ist vom internet aus unsichtbar
dann noch diverse kernelseitige optimierungen zur netzweksicherheit und ein packetfilter zum filtern des netzwerkverkehrs.
weiters noch optimierungen an der fstab:
eingeschränkte zugriffsrechte auf die festplatten, /usr und /opt partitionen (äquivalent zum windows programmordner) sind readonly gemountet (es sei denn ich will gerade ein programm installieren, zum aufheben braucht man superuser rechte und root-passwort).
/tmp partition (für temporäre dateien) ist noexec und nodev gemountet (script-kiddies haben mit ihren scripten und bninaries keine chanze)
noexec ... scripte und und executables werden ausnahmslos verweigert
nodev ... partition darf sich nicht als device ausgeben (mit nem device könnte man diverse benutzerrechte umgehen)
zudem noch tägliche updates des gesamten systems inklusive der software ("emerge -avu world" erledigt das automatisch für mich)
2to: noch ein paar proxies verwenden.
dann geh ich auch mal ein bißchen mehr ins detail:
Gentoo Linux
betriebssystem / kernel: gentoo-dev-sources-2.6.10 rc6 mit diversen sicherheitspatches vom distributor
kernel ist natürlich selbst kompiliert, alles was nicht zum booten benötigt wird ist als modul kompiliert
(z. B. werden bei mir die usb treiber nicht beim systemstart geladen, sondern erst wenn ich ein usbdevice einstecke, enorme performacevorteile!!!)
alle ports sind von haus aus dicht weil ich (netzwerk)dienste nur explizit starte wenn ich diese benötige.
(bis auf dhcp). wenn ich längere zeit nicht vorm rechner sitze hab ich ein script, daß mir die verbindung zum router auch noch blockiert. so kann nichts passieren wenn ich mal nicht vorm rechner sitze.
alle pings von außen werden ignoriert.
mein rechner ist vom internet aus unsichtbar
dann noch diverse kernelseitige optimierungen zur netzweksicherheit und ein packetfilter zum filtern des netzwerkverkehrs.
weiters noch optimierungen an der fstab:
eingeschränkte zugriffsrechte auf die festplatten, /usr und /opt partitionen (äquivalent zum windows programmordner) sind readonly gemountet (es sei denn ich will gerade ein programm installieren, zum aufheben braucht man superuser rechte und root-passwort).
/tmp partition (für temporäre dateien) ist noexec und nodev gemountet (script-kiddies haben mit ihren scripten und bninaries keine chanze)
noexec ... scripte und und executables werden ausnahmslos verweigert
nodev ... partition darf sich nicht als device ausgeben (mit nem device könnte man diverse benutzerrechte umgehen)
zudem noch tägliche updates des gesamten systems inklusive der software ("emerge -avu world" erledigt das automatisch für mich)
2to: noch ein paar proxies verwenden.
