Fachbereich Mathematik und Informatik, IT-Dienst
Was muss man beachten wenn man selbstadministrierte Linux-Rechner betreibt.
IT-staff arbeitsfähig auf selbstverwalteten Linux-Rechnern
Laut IT-Sicherheitsrichtlinie der FU muss sich IT-Staff als Administratoren auf den Rechnern anmelden können.Der/die für die Maschine Verantwortliche muss…
- seinen Account an
support@mi.fu-berlin.dekommunizieren (Nutzernamen, welcher das System betreuen wird) - Login für Admin-User per ssh-key sicherstellen (siehe unten).
- ssh
rootPasswort-Login verbieten - passwortlose Gast-Accounts unterbinden
- Datensicherung klären
- das System aktuell halten
- root-mails per
/etc/aliasesauf den Maschinen-Verantworlichen umleiten (mit vim oder nano die aliases bearbeiten und unter root: eigene Mail hinterlegen)
Anforderungen
- korrekte
/etc/resolv.conf- empfohlenimp.fu-berlin.deim Suchpfad - keine leeren Passworte
- vernünftige Passwort-Policy
- Liste der angebotenen Dienste (mit Portnummer) an
support@mi.fu-berlin.desenden- auth gegen FU oder selbst
- keine unnötigen Dienste anbieten
notwendige Programme
- Minimum:
sudo openssh-server rsync tmux vim wget dnsutils - sinnvolle Werkzeuge:
etckeeper hdparm htop iotop lsof lynx netcat-openbsd nmap smartmontools-
dlocate# falls es ein Debian oder Debian-Derivat ist
-
- optional aber sinnvoll:
-
libpam-krb5# um mit ZEDAT-Passworten zu authentisieren -
libpam-ldap,libnss-ldap# um unsere Gruppen und User zu nutzen
-
- auch noch ganz nett: wake on lan auf Desktop-Maschinen im BIOS einstellen
notwendige Dateien
Admin-keys und weitere wichtige Dateien liegen im Paketimp-admin-keys von unserem Repository:https://debian.imp.fu-berlin.de/ oder direkt als Paket https://debian.imp.fu-berlin.de/pool/main/i/imp-admin-keys/ . Darin enthalten sind
- /usr/local/home # admin-homes mit ssh-keys der Admins
- script das per adduser folgende Dateien bearbeitet:
- /etc/passwd
- /etc/shadow
- /etc/sudoers
- /etc/group # sinnvoll mit der aktuellen /etc/group vergleichen
Es reicht, wenn der ssh-Zugriff über diese keys aus dem 160.45.113.0/25er-Netz erlaubt wird.
cut-and-paste für Dummies
für Debian-basierte Systeme (Debian, *Ubuntu, Mint,...)
Als root auf der selbstadministrierten Maschine:
# ab hier bitte weiter mit bash sudo /bin/bash # signing keyring holen wget -O - https://debian.imp.fu-berlin.de/imp-debian-repo.asc | gpg --dearmor > /usr/share/keyrings/imp-debian-repo-keyring.gpg # Sources.list Datei anlegen echo "deb [ signed-by=/usr/share/keyrings/imp-debian-repo-keyring.gpg arch=amd64 ] http://debian.imp.fu-berlin.de/ stable main" >/etc/apt/sources.list.d/imp.list # Paketlisten aktualisieren apt-get update # admin-keys einfahren und noch fehlende Basis-Pakete installieren apt-get install imp-admin-keys
für nicht Debian-basierte Systeme
## absolutes Minimum an Programmen, hier in debian syntax # install sudo openssh-server rsync wget alien # temp-Verzeichnis zum sauberen Arbeiten # verschwindet nach dem nächsten Reboot mkdir /tmp/selfadmin cd /tmp/selfadmin # Debian Paket von unserem webserver holen # siehe https://debian.imp.fu-berlin.de/pool/main/i/imp-admin-keys/ # wandeln in ein tar archiv falls man debian pakete nicht installieren kann alien -t --scripts imp-admin-keys*.deb # tar dateien auspacken tar xvf imp-admin-keys*.tgz # admin-user generieren install/doinst.sh configure # passwortloses sudo für die Gruppe adm (die user haben kein Passwort) echo "%adm ALL = (ALL) NOPASSWD: ALL" > /etc/sudoers.d/99_admin-imp
Ab hier gibt es Tips für sinnvolle Ergänzungen:
# wichtige basisdienste apt-get install etckeeper smartmontools # weitere Werkzeuge apt-get install byobu dlocate hdparm htop iotop lsof lynx netcat-openbsd procps strace # Netzwerktools zur Diagnose apt-get install dnsutils ngrep nmap nmon tshark # unter vmware sollte diese paket installiert werden: apt-get install open-vm-tools
Sicherstellen der Aktualität des Debian-Systems
Automatische Updates oder per E-Mail informieren lassenLinks
- Debian CDs
- IT-Sicherheitsrichtlinie
- Drucken: https://www.zedat.fu-berlin.de/Tip4U_Print
- https://www.mi.fu-berlin.de/w/Tec/WebHome
- https://wiki.debian.org/UnattendedUpgrades
- https://packages.debian.org/de/apticron
- https://packages.debian.org/de/fail2ban http://de.wikipedia.org/wiki/Fail2ban # abwehr von passwort-cracker-angriffen