Dieses Dokument muss noch auf Grundlage der aktuellen Debian-Veröffentlichung aktualisiert werden. Die Standardkonfiguration einiger Pakete muss angepasst werden, da sie verändert wurden, seitdem dieses Dokument geschrieben wurde.
Prüfen, ob ein Abschnitt zu schreiben ist, wie man auf Debian basierende Netzgeräte erstellt (mit Informationen etwa zum Basissystem, equivs und FAI)
Informationen, wie man unter Debian GNU/Linux eine Firewall aufsetzt, hinzufügen. Der Firewalls betreffende Abschnitt orientiert sich derzeit an Einzelplatz-Systemen (die keine anderen Systeme schützen müssen); auch auf das Testen der Installation eingehen.
Hinzufügen, wie man eine Proxy-Firewall unter Debian GNU/Linux aufsetzt, unter der Angabe, welche Pakete Proxy-Dienste anbieten (zum Beispiel xfwp, ftp-proxy, redir, smtpd, dnrd, jftpgw, oops, pdnsd, perdition, transproxy, tsocks). Sollte zu der Anleitung mit weiteren Informationen verweisen. Erwähnenswert ist, dass zorp jetzt Teil von Debian ist und eine Proxy-Firewall ist (und auch der Programmautor Debian-Pakete zur Verfügung stellt).
Informationen über die Service-Konfiguration mit file-rc
Alle Referenzen und URLs prüfen und die nicht mehr verfügbaren aktualisieren oder entfernen
Informationen über möglichen Ersatz (unter Debian) für häufig eingesetzte Server, die bei eingeschränktem Funktionsumfang nützlich sind, hinzufügen. Beispiele:
lokaler Lpr mit Cups (Paket)?
Lrp in der Ferne mit Lpr
bind mit dnrd/maradns
apache mit dhttpd/thttpd/wn (tux?)
exim/sendmail mit ssmtpd/smtpd/postfix
squid mit tinyproxy
ftpd mit oftpd/vsftp
…
Mehr Informationen über sicherheitsrelevante Patches des Kernels unter Debian einschließlich der oben aufgeführten und insbesondere, wie man diese Patches unter einem Debian-System benutzt
Details, wie man unnötige Netzwerkdienste deaktiviert (abgesehen von inetd
), dies ist teilweise Teil des Härtungsprozesses, könnte aber etwas ausgeweitet werden
Informationen über Passwort-Rotation, was sehr nah mit Sicherheitsrichtlinien (Policies) zusammenhängt
Sicherheitsrichtlinie und die Aufklärung der Benutzer über die Sicherheitsrichtlinie
Mehr über tcpwrapper und Wrapper im Allgemeinen?
hosts.equiv
und andere wichtige Sicherheitslöcher
Probleme bei der Dateifreigabe wie z.B. mit Samba und NFS?
suidmanager/dpkg-statoverrides
lpr und lprng
Abschalten der GNOME-IP-Dinge
Programme erwähnen, die Chroot-Gefängnisse (chroot jails) herstellen. compartment und chrootuid warten noch in Incoming. Einige andere (makejail, jailer) könnten ebenfalls eingeführt werden.
Mehr Informationen über Software zur Analyse von Protokoll-Dateien (log-Dateien, logs; zum Beispiel logcheck und logcolorise)
»Fortgeschrittenes« Routing (Traffic-Regelungen sind sicherheitsrelevant)
Zugang über ssh
so einschränken, dass man nur bestimmte Befehle ausführen kann
Benutzung von dpkg-statoverride
Sichere Möglichkeiten, um mehreren Benutzern den Zugriff auf einen CD-Brenner zu erlauben
Sichere Wege, um Töne zusammen mit graphischer Darstellung über ein Netzwerk zu leiten (so dass die Töne eines X-Clients über die Sound-Hardware eines X-Servers abgespielt werden)
Absichern von Web-Browsern
Aufsetzen von ftp über ssh
Benutzung von verschlüsselten Loopback-Dateisystemen
Verschlüsselung eines ganzen Dateisystems
Steganographie-Werkzeuge
Aufsetzen einer PKA für eine Organisation
Einsatz von LDAP zur Verwaltung der Benutzer. Es gibt ein HOWTO zu ldap+kerberos für Debian auf
http://www.bayour.com von Turbo Fredrikson.
Wie man Informationen mit begrenztem Nutzen wie z.B. /usr/share/doc
oder /usr/share/man
auf Produktivsystemen entfernt (jawohl, security by obscurity)
Informationen darüber hinzufügen, wie man mehrere snort
-Sensoren in einem System betreibt (prüfe die Fehlerberichte zu snort)
Informationen hinzufügen, wie man einen Honigtopf (honeypot) einrichtet (honeyd)
Darstellung der Situation von FreeSwan (verwaist) und OpenSwan. Der Abschnitt über VPN muss überarbeitet werden.
Einen gesonderten Abschnitt über Datenbanken hinzufügen, ihre Standardwerte und, wie man den Zugriff absichert
Einen Abschnitt über den Nutzen von virtuellen Servern (wie Xen u.a.) hinzufügen
Erklären, wie Programme zur Überprüfung der Integrität verwendet werden (AIDE, integrit oder samhain). Die Grundlagen sind einfach und könnten sogar einige Verbesserungen der Konfiguration erklären.