Fedora Core Linux 5 Sicherheits- und Systemanpassungen


1. Einleitung

Dieser Text beschreibt, wie Linux Systeme aufgesetzt werden können, sodass sie den grundlegenden Sicherheitsanforderungen genügen. Dieser Text bezieht sich auf  Fedora Core Linux Version 5.

Dies ist keine genaue Beschreibung. Genauer gesagt wird eigentlich überhaupt sehr wenig beschrieben. Noch genauer gesagt ist es mehr eine Art „Checkliste“ denn irgend etwas anderes. Hintergrundinformationen finden Sie in den entsprechenden Dokumentationen genug, dies zeigt nur, wie Sie Ihren Rechner „so auf die Schnelle“ entsprechend konfigurieren können.

Es werden nur die Anpassungen nach der Installation beschrieben. Zur Installation selbst sei hier nichts gesagt (außer, dass man möglichst auf eine vollständige Installation verzichten und nur die notwendigen Komponenten auswählen soll).

Im Folgenden gehe ich (entgegen bisherigen Gepflogenheiten) außerdem davon aus, dass Sie als Standardsprache „Deutsch (Österreich)“ gewählt haben (und wir dies nun wieder halbwegs bereinigen müssen ... ).

2. Sicherheitsupdates

Gleich nach der Installation sollten Sie unbedingt sofort alle Sicherheitsupdates installieren. Eine Beschreibung dazu finden Sie unter  Red Hat und Fedora Core Linux Systemupdates.

3. Spracheinstellungen

Für Desktops und Workstations kann es durchaus sinnvoll sein, als Standardsprache „Deutsch (Österreich)“ zu wählen (damit gibt es beispielsweise weniger Probleme mit dem Eurozeichen).

Vielleicht soll auch Ihr Desktop auf deutsch erscheinen - Kommandozeilenprogramme sollten aber wirklich englisch bleiben, schon alleine aufgrund der unmöglichen und fehlerhaften deutschen Übersetzungen.

Zuerst deinstallieren Sie das RPM Paket man-pages-de, das bestenfalls zu Ihrer Verwirrung dient:

rpm -e man-pages-de

Nun editieren Sie die Datei /etc/sysconfig/i18n und setzen die folgenden Variablen:

LC_MESSAGES=C
LC_COLLATE=C
LC_CTYPE=C

Die Änderungen treten beim nächsten Systemstart in Kraft.

4. Firewalling

Lesen Sie dazu bitte die Anleitung im Text Linux Firewalling".

8. Zeitserver

Mit dem Dämon ntpd stellen Sie sicher, dass die Uhrzeit Ihres Systems korrekt ist, sie wird ständig jener von einem oder mehreren Zeitservern gelieferten angepasst. Dazu muss das Paket ntp installiert sein.

Wird bei der Erstinstallation von Fedora Core ein Zeitserver in der entsprechenden Eingabemaske angegeben, erübrigen sich die folgenden Schritte Gleiches gilt, wenn ihr Rechner die IP-Addresse über DHCP bezieht - dann werden die Zeitserver-Einstellungen automatisch erledigt. In den übrigen Fällen gehen Sie wie folgt vor:

Fügen Sie dazu in der Datei /etc/ntp.conf folgende Zeilen hinzu:

restrict 138.232.1.0 mask 255.255.255.0 nomodify
server time1.uibk.ac.at
server time2.uibk.ac.at

 

Der Inhalt der Datei /etc/ntp/step-tickers sollte wie folgt aussehen:

time1.uibk.ac.at
time2.uibk.ac.at

Für RedHat 7.x, 8.0 und 9 muss in der Datei /etc/sysconfig/ntpd zur Option OPTIONS die Zeichenkette -p /var/run/ntpd.pid hinzugefügt werdem, damit NTP auch eine PID Datei schreibt. Das Ergebnis sollte wie folgt aussehen:

OPTIONS="-U ntp -p /var/run/ntpd.pid"

Für Fedora Core ist dieser Schritt nicht mehr notwendig.

Der Port 123 zur Kommunikation mit den Zeitservern sollte bereits aufgrund der vorher erwähnten Firewall Konfiguration freigeschalten sein. Sie können daher nun die Zeitserver aktivieren und starten:

/sbin/chkconfig ntpd on
/sbin/service ntpd start

Nach einigen Minuten geben Sie den folgenden Befehl ein:

ntpq -c lpeers

Nun sollte die Synchronisation mit den Zeitservern erfolgreich sein. In diesem Fall steht links neben einem Zeitserver ein „*“, neben dem zweiten ein „+“. Das sollte Ihnen genügen. Sollten Sie noch Probleme haben, lesen Sie bitte die entsprechende Dokumentation.

9. Domain Name Service

Die Datei /etc/resolv.conf ist unter Umständen anzupassen. Sie sollte wie folgt aussehen:

domain uibk.ac.at
search uibk.ac.at
nameserver 138.232.1.4
nameserver 138.232.1.5
Auch dieser Schritt wird automatisch erledigt, falls ihr Rechner die IP-Addresse über DHCP bezieht.

10. cron und at

Wenn Sie cron und at aktiviert haben, dann sollten Sie die Benutzung auf bestimmte Benutzer einscchränken.

Erstellen Sie dazu die Dateien /etc/cron.allow und /etc/at.allow und tragen Sie dort die Benutzer ein, die einen crontab erstellen beziehungsweise einen at Befehl absetzen können. In dieser Datei wird jeweils einfach jeder Benutzername in einer eigenen Zeile eingetragen. Im einfachsten Fall sieht der Dateiinhalt also so aus:

root

Setzen Sie nun noch die Rechte für diese Dateien:

chmod 600 /etc/cron.allow
chmod 600 /etc/at.allow

Beachten Sie, dass mit /etc/cron.allow nur die Erstellung und Änderung der crontab Einträge kontrolliert wird. Bestehende Einträge beliebiger Benutzer werden daher weiterhin ausgeführt, können aber von diesen nicht mehr verändert werden.

11. syslog-ng

Aufgrund der größeren Flexibilität und der besseren Performance wird empfohlen, den Syslog Server auf syslog-ng umzustellen. Siehe dazu auch Der Syslog Server syslog-ng.

13. IPX Unterstützung

Damit Ihr System auch IPX spricht (und damit auf Novell Server zugreifen kann), müssen die Pakete ipxutils und ncpfs installiert sein. Dann tragen Sie in der Datei /etc/sysconfig/network Folgendes ein:

IPX="yes"
IPXINTERNALNETNUM="0"
IPXINTERNALNODENUM="0"
IPXAUTOPRIMARY="off"
IPXAUTOFRAME="off"

Die Datei /etc/sysconfig/network-scripts/ifcfg-eth0 sollte Folgendes beinhalten:

IPXPRIMARY_802_2="no"
IPXACTIVE_802_2="no"
IPXPRIMARY_802_3="yes"
IPXACTIVE_802_3="yes"
IPXPRIMARY_ETHERII="no"
IPXACTIVE_ETHERII="no"
IPXPRIMARY_SNAP="no"
IPXACTIVE_SNAP="no"

14. Pfad (PATH)

Die Pfadeinstellungen unter Red Hat Linux sind teils unglücklich, teils inkonsistent. Wir empfehlen daher, diesen wie folgt zu setzen:

Erstellen Sie die Datei /etc/profile.d/zzpath.sh mit folgendem Inhalt:

if [ -n "$UID" -a "$UID" = "0" ] ; then
PATH=/sbin:/bin:/usr/sbin:/usr/bin:/usr/bin/X11:/usr/local/sbin:/usr/local/bin
else
PATH=/usr/local/bin:/bin:/usr/bin:/usr/bin/X11:~/bin:
fi

INTERACTIVE=1

export INTERACTIVE PATH

Setzen Sie diese nun auf ausführbar:

chmod 755 /etc/profile.d/zzpath.sh

Fügen Sie noch der Datei /etc/bashrc folgende Zeile hinzu:

[[ "$INTERACTIVE" ]] || . /etc/profile.d/zzpath.sh

16. Diverse Anpassungen

Wird beim Sytstemneustart nicht in die grafische Oberfläche umgeschalten, so kann man in der Datei /etc/inittab die Zeile initdefault anpassen:

id:5:initdefault:

 

Mit telinit 5 kann man im Betrieb in den runlevel 5 (grafische Oberfläche) wechseln.

In der Datei /root/.bashrc sollten die alias Einträge für rm, mv und cp auskommentiert werden (mit „#“), da durch diese Einträge das Standard-Unix-Verhalten geändert wird:

# alias rm='rm -i'
# alias cp='cp -i'
# alias mv='mv -i'

Mails, die an root auf Ihrem System gehen, sollten Sie sich unbedingt an Ihre offizielle Mail Adresse weiterleiten lassen. Erstellen Sie dazu die Datei /root/.forward mit folgendem Inhalt:

meine.adresse@uibk.ac.at

meine.adresse@uibk.ac.at ist dabei natürlich durch Ihre Mail Adresse zu ersetzen.

17. KDE Desktop

Soll KDE anstelle von GNOME als Standard-Desktop verwendet werden, so sind in der Datei /etc/sysconfig/desktop folgende Werte einzutragen:

DESKTOP="KDE"
DISPLAYMANAGER="KDE"

18. XDMCP Server

Soll Ihr Rechner für andere Klienten als X, genauer als XDMCP Server dienen, müssen in Ihrer Firewall Konfiguration den Port 177 freigeben.

Dann ändern Sie die Datei /etc/kde/kdm/kdmrc so, dass in der Sektion „[Xdmcp]“ Folgendes steht:

Enable=true

Der Datei /etc/kde/kdm/Xaccess fügen Sie am Ende folgende Zeile an:

*

22. Applikationssoftware

Red Hat Linux beinhaltet aus lizenzrechtlichen Gründen keine MP3 Unterstützung (aber sehr wohl Ogg Vorbis). Sollten Sie dies benötigen, finden Sie unter http://freshrpms.net entsprechende Pakete für ogle, xine und xmms.

Eine große Sammlung von Software finden Sie unter http://freshmeat.net.

Bei der Suche nach wissenschaftlicher Software für Linux hilft die Seite Scientific Applications on Linux weiter.

Einige Software-Produkte finden Sie auch unter ftp://zid-luxinst.uibk.ac.at/mirror sowie unter ftp://zid-luxinst.uibk.ac.at/dist/addon.

23. Weiterführende Themen