-
Notifications
You must be signed in to change notification settings - Fork 59
Security Hardening de
Dieser Leitfaden bietet praxisnahe Schritte, um die Sicherheit Ihres MiniOS-Systems zu erhöhen. Da MiniOS ein Live-System ist, liegt der Schwerpunkt auf dem Schutz von Benutzerdaten auf persistenten Speichermedien und der Kontrolle des Zugriffs auf das laufende System. Die Standardeinstellungen sind auf bequeme, portable Nutzung ausgelegt, bieten jedoch nicht in allen Szenarien optimalen Schutz. Die folgenden Empfehlungen helfen Ihnen, das System für mehr Sicherheit zu konfigurieren.
Standardmäßig führt MiniOS einen automatischen Login ohne Passwort durch. Dies ist praktisch für den portablen Einsatz, kann aber in bestimmten Situationen ein Sicherheitsrisiko darstellen.
Standard-Anmeldedaten:
-
Benutzer:
live/evil -
Root:
root/toor
Vor der Konfiguration von Passwörtern wird empfohlen, einen verschlüsselten Passwort-Hash zu erzeugen:
<a id="the-command-will-prompt-you-to-enter-a-password-and-output-the-hash"></a>
# The command will prompt you to enter a password and output the hash
mkpasswd -m yescrypt
<a id="example-output-yj9tlong-hashspigfup"></a>
# Example output: $y$j9T$...(long hash)...$Spig/F.uPSie können Passwörter auf zwei Arten setzen: Es wird dringend empfohlen, verschlüsselte Passwörter zu verwenden.
Wichtig: Das Setzen von Passwörtern und Benutzerparametern über Boot-Parameter und Konfigurationsdateien wirkt nur beim ersten Systemstart. Danach können Passwörter nur noch mit den Standardmethoden von Linux geändert werden (passwd, sudo passwd).
Fügen Sie im Boot-Menü (GRUB für UEFI oder SYSLINUX für BIOS) folgende Parameter zur Kernel-Befehlszeile hinzu:
Für verschlüsselte Passwörter (empfohlen):
user-password-crypted='$y$j9T$...(hash).../'
root-password-crypted='$y$j9T$...(hash).../'
Für Klartext-Passwörter (nicht empfohlen):
user-password='your_password'
root-password='root_password'
Wichtig: Klartext-Passwörter sind in der Kernel-Befehlszeile sichtbar und können von anderen Systembenutzern ausgelesen werden.
Bearbeiten Sie die Datei minios/config.conf im Root-Verzeichnis des USB-Sticks:
Für verschlüsselte Passwörter:
LIVE_USER_PASSWORD_CRYPTED="$y$j9T$...(hash).../"
LIVE_ROOT_PASSWORD_CRYPTED="$y$j9T$...(hash).../"
Für Klartext-Passwörter:
LIVE_USER_PASSWORD="your_password"
LIVE_ROOT_PASSWORD="root_password"
Nach dem ersten Systemstart können Passwörter mit den Standard-Linux-Befehlen geändert werden:
<a id="change-current-user-password"></a>
# Change current user password
passwd
<a id="change-root-user-password-requires-sudo"></a>
# Change root user password (requires sudo)
sudo passwd root
<a id="change-specific-user-password-requires-sudo"></a>
# Change specific user password (requires sudo)
sudo passwd usernameNachdem Sie Passwörter gesetzt haben, deaktivieren Sie den automatischen Login, um eine Authentifizierung zu erzwingen:
noautologin
LIVE_CONFIG_CMDLINE="components noautologin"
Teilweise Deaktivierung des Autologins:
-
nox11autologin– deaktiviert nur den grafischen Autologin (Login-Manager verlangt Authentifizierung) -
nottyautologin– deaktiviert nur den Konsolen-Autologin (bereits standardmäßig deaktiviert)
Standardmäßig verfügt der Benutzer live sowohl in der Konsole (sudo) als auch in grafischen Anwendungen (über polkit) über uneingeschränkte Administratorrechte ohne Passwortabfrage. Dies ist für den Live-Betrieb bequem, kann aber für erhöhte Sicherheit angepasst werden.
Um eine Passworteingabe bei Verwendung von sudo zu verlangen, führen Sie nach dem Systemstart aus:
<a id="change-rule-to-require-password"></a>
# Change rule to require password
echo "live ALL=(ALL:ALL) ALL" | sudo tee /etc/sudoers.d/liveDanach wird bei sudo-Befehlen das Benutzerpasswort abgefragt.
Damit grafische Administrationsprogramme nach einem Passwort fragen, entfernen Sie die polkit-Regel:
sudo rm /usr/share/polkit-1/rules.d/sudo_on_live.rulesAnschließend fordern Software-Installer, Systemeinstellungen und andere grafische Administrationsprogramme ein Passwort an.
Für maximale Sicherheit können Sie sudo und Root-Zugriff komplett deaktivieren:
Über Boot-Parameter:
noroot
Über Konfigurationsdatei:
LIVE_CONFIG_NOROOT=true
Auswirkung: Der Befehl sudo funktioniert nicht mehr, Root-Login ist deaktiviert und keine administrativen Aktionen sind möglich.
Warum SSH standardmäßig aktiviert ist: MiniOS ist als Rettungs- und Diagnosesystem für die Wartung defekter Hardware konzipiert. SSH ist mit großzügigen Einstellungen aktiviert, um Fernzugriff zu ermöglichen, wenn das lokale Display nicht verfügbar oder defekt ist oder beim Arbeiten mit Headless-Systemen.
Aktuelle SSH-Einstellungen:
- SSH-Dienst ist aktiviert und startet automatisch
- Root-Login per SSH ist erlaubt
- Passwort-Authentifizierung ist aktiviert
Sicherheitsaspekte: Diese Konfiguration birgt Risiken in unsicheren Netzwerken, ist aber für den Rettungseinsatz notwendig.
Wenn kein Fernzugriff benötigt wird, deaktivieren Sie SSH komplett:
Über Boot-Parameter:
disable-services=ssh,avahi-daemon
Über Konfigurationsdatei:
DISABLE_SERVICES=ssh,avahi-daemon
Falls SSH benötigt wird, sichern Sie den Zugriff mit folgenden Methoden ab:
Verwenden Sie die oben beschriebenen Methoden zur Passwortvergabe.
Legen Sie authorized_keys-Dateien im Root-Verzeichnis des USB-Sticks ab:
-
authorized_keys.root– für den Root-Benutzer -
authorized_keys.live– für den Live-Benutzer -
authorized_keys.username– für andere Benutzer
Eine Systemkomponente kopiert diese beim Systemstart automatisch in die Home-Verzeichnisse.
Bearbeiten Sie nach dem Systemstart die SSH-Konfiguration:
sudo nano /etc/ssh/sshd_config.d/minios.confPassen Sie die Einstellungen auf sicherere Werte an:
PermitRootLogin no
PasswordAuthentication no
PubkeyAuthentication yes
Starten Sie den SSH-Dienst neu:
sudo systemctl restart sshWichtig: Testen Sie den SSH-Zugang per Schlüssel immer, bevor Sie die Passwort-Authentifizierung deaktivieren.
MiniOS ist vollständig kompatibel mit Secure Boot, da der Standard-Debian-Kernel mit signierten Bootloadern verwendet wird. Secure Boot schützt vor Schadsoftware vor dem Systemstart (Bootkits) und wird für erhöhte Sicherheit empfohlen.
Für physischen Schutz richten Sie im BIOS/UEFI Ihres Computers ein Passwort ein, um zu verhindern, dass Unbefugte von anderen Geräten booten oder Boot-Einstellungen ändern.
🌐 Languages
📋 About MiniOS
🚀 Installation
⚙️ Configuration
🛡️ Administration
🛠️ Development
📋 Über MiniOS
🚀 Installation
- Schnellstartanleitung
- Hardware-Kompatibilität
- MiniOS Installation
- MiniOS Installer
- USB-Erstellungstools
⚙️ Konfiguration
🛡️ Administration
🛠️ Entwicklung
📋 Acerca de MiniOS
🚀 Instalación
- Guía de Inicio Rápido
- Compatibilidad de Hardware
- Instalando MiniOS
- Instalador de MiniOS
- Herramientas para Crear USB
⚙️ Configuración
- Menús de Arranque
- Parámetros de Arranque
- Archivo de Configuración
- Parámetros de live-config
- Gestión de Sesiones
🛡️ Administración
- Lista de Paquetes
- Gestión del Kernel
- Endurecimiento de Seguridad
- Optimización de Rendimiento
- Virtualización
🛠️ Desarrollo
📋 À propos de MiniOS
🚀 Installation
- Guide de démarrage rapide
- Compatibilité matérielle
- Installation de MiniOS
- Programme d’installation MiniOS
- Outils de création USB
⚙️ Configuration
- Menus de démarrage
- Paramètres de démarrage
- Fichier de configuration
- Paramètres live-config
- Gestion de session
🛡️ Administration
- Liste des paquets
- Gestion du noyau
- Renforcement de la sécurité
- Optimisation des performances
- Virtualisation
🛠️ Développement
📋 Tentang MiniOS
🚀 Instalasi
- Panduan Mulai Cepat
- Kompatibilitas Perangkat Keras
- Menginstal MiniOS
- Installer MiniOS
- Alat Pembuatan USB
⚙️ Konfigurasi
🛡️ Administrasi
🛠️ Pengembangan
📋 Informazioni su MiniOS
🚀 Installazione
- Guida Rapida
- Compatibilità Hardware
- Installazione di MiniOS
- Installatore MiniOS
- Strumenti per Creare USB
⚙️ Configurazione
🛡️ Amministrazione
- Elenco Pacchetti
- Gestione Kernel
- Rafforzamento della Sicurezza
- Ottimizzazione Prestazioni
- Virtualizzazione
🛠️ Sviluppo
📋 Sobre o MiniOS
🚀 Instalação
- Guia de Início Rápido
- Compatibilidade de Hardware
- Instalando o MiniOS
- Instalador do MiniOS
- Ferramentas de Criação de USB
⚙️ Configuração
- Menus de Boot
- Parâmetros de Boot
- Arquivo de Configuração
- Parâmetros live-config
- Gerenciamento de Sessão
🛡️ Administração
- Lista de Pacotes
- Gerenciamento de Kernel
- Reforço de Segurança
- Otimização de Desempenho
- Virtualização
🛠️ Desenvolvimento
📋 О MiniOS
🚀 Установка
- Краткое руководство
- Совместимость с оборудованием
- Установка MiniOS
- Установщик MiniOS
- Инструменты для создания USB
⚙️ Конфигурация
🛡️ Администрирование
🛠️ Разработка