Download securing-debian

Kapitel 4. Nach der Installation
72
Ein Systemadministrator muss bei einer großen Anzahl von Nutzern überprüfen, ob deren
Passwörter mit den lokalen Sicherheitsmaßstäben in Einklang stehen. Und wie überprüft man
das? Indem man versucht, sie wie ein Angreifer zu knacken, der Zugriff auf die gehashten
Passwörter hat (also auf die Datei /etc/shadow).
Ein Administrator kann john oder crack (beide benutzen Brute-Force (Rohe Gewalt)
zum Knacken von Passwörtern) zusammen mit einer passenden Wörterliste verwenden,
um die Passwörter der Nutzer zu überprüfen, und falls ein schlechtes Passwort entdeckt
wird, geeignete Schritte unternehmen. Sie können mit apt-cache search wordlist nach
Debian/GNU-Paketen suchen, die Wörterlisten enthalten, oder Sie besuchen die klassischen
Internetseiten mit Wörterlisten wie ftp://ftp.ox.ac.uk/pub/wordlists oder ftp://
ftp.cerias.purdue.edu/pub/dict.
4.10.15
Ausloggen von untätigen Nutzern
Untätige (idle) Nutzer stellen für gewöhnlich ein Sicherheitsproblem dar. Ein Nutzer kann
untätig sein, da er Mittagessen ist, oder weil eine entfernte Verbindung hängen blieb und nicht
wieder hergestellt wurde. Unabhängig von den Gründen können untätige Benutzer zu einer
Kompromittierung führen:
• weil die Konsole des Benutzers vielleicht nicht verriegelt ist und damit ein Eindringling
darauf zugreifen kann.
• weil ein Angreifer an eine schon beendete Netzwerkverbindung anknüpfen und Befehle
an die entfernte Shell schicken kann (das ist ziemlich einfach, wenn die entfernte Shell,
wie bei telnet, nicht verschlüsselt ist).
In einige entfernte System wurde sogar schon durch ein untätiges (und abgelöstes) screen
eingedrungen.
Die automatische Trennung von untätigen Benutzern ist gewöhnlich ein Teil der lokalen Sicherheitsregeln, die durchgesetzt werden müssen. Es gibt mehrere Wege, dies zu tun:
• Wenn die Shell des Benutzers die Bash ist, kann ein Systemadministrator TMOUT einen
Standardwert zuweisen (vergleich bash(1)). Das hat zur Folge, dass die Shell automatisch entferne, untätige Nutzer ausloggt. Beachten Sie, dass der Wert mit der -o-Option
gesetzt werden muss. Ansonsten wäre es den Nutzern möglich, ihn zu verändern (oder
zu löschen).
Installieren Sie timeoutd und konfigurieren Sie /etc/timeouts passend zu Ihren lokalen Sicherheitsrichtlinien. Der Daemon achtet auch untätige Nutzer und beendet ihre
Shells gegebenenfalls.
• Installieren Sie autolog und richten Sie es so ein, dass es untätige Nutzer entfernt.
Vorzugswürdige Methoden sind die Daemonen timeoutd und autolog, da letzten Endes
die Nutzer ihre Standardshell ändern können oder zu einer anderen (unbeschränkten) Shell
wechseln können, nachdem sie ihre Standardshell gestartet haben.