1.5. Dinge, die noch geschrieben werden müssen (FIXME/TODO)

Dieses Kapitel beschreibt die Dinge, welche in diesem Handbuch noch verbessert werden müssen. Einige Abschnitte beinhalten FIXME- oder TODO-Markierungen, in denen beschrieben wird, welche Dinge fehlen (oder welche Aufgaben erledigt werden müssen). Der Zweck dieses Kapitels ist es, die Dinge, die zukünftig in dieses Handbuch aufgenommen werden könnten, und die Verbesserungen, die durchgeführt werden müssen (oder bei denen es interessant wäre, sie einzufügen) zu beschreiben.

Wenn Sie glauben, dass Sie Hilfe leisten könnten, den auf dieser Liste aufgeführten Punkten (oder solchen im Text) abzuhelfen, setzen Sie sich mit dem Hauptautor (siehe Abschnitt 1.1, „Autoren“) in Verbindung.

Dieses Dokument muss noch auf Grundlage der aktuellen Debian-Veröffentlichung aktualisiert werden. Die Standardkonfiguration einiger Pakete muss angepasst werden, da sie verändert wurden, seitdem dieses Dokument geschrieben wurde.
Expand the incident response information, maybe add some ideas derived from Red Hat's Security Guide's chapter on incident response.
Write about remote monitoring tools (to check for system availability) such as monit, daemontools and mon. See Sysamin Guide.
Prüfen, ob ein Abschnitt zu schreiben ist, wie man auf Debian basierende Netzgeräte erstellt (mit Informationen etwa zum Basissystem, equivs und FAI)
Check if this site has relevant info not yet covered here.
Add information on how to set up a laptop with Debian, look here.
Informationen, wie man unter Debian GNU/Linux eine Firewall aufsetzt, hinzufügen. Der Firewalls betreffende Abschnitt orientiert sich derzeit an Einzelplatz-Systemen (die keine anderen Systeme schützen müssen); auch auf das Testen der Installation eingehen.
Hinzufügen, wie man eine Proxy-Firewall unter Debian GNU/Linux aufsetzt, unter der Angabe, welche Pakete Proxy-Dienste anbieten (zum Beispiel xfwp, ftp-proxy, redir, smtpd, dnrd, jftpgw, oops, pdnsd, perdition, transproxy, tsocks). Sollte zu der Anleitung mit weiteren Informationen verweisen. Erwähnenswert ist, dass zorp jetzt Teil von Debian ist und eine Proxy-Firewall ist (und auch der Programmautor Debian-Pakete zur Verfügung stellt).
Informationen über die Service-Konfiguration mit file-rc
Alle Referenzen und URLs prüfen und die nicht mehr verfügbaren aktualisieren oder entfernen
Informationen über möglichen Ersatz (unter Debian) für häufig eingesetzte Server, die bei eingeschränktem Funktionsumfang nützlich sind, hinzufügen. Beispiele:
- lokaler Lpr mit Cups (Paket)?
- Lrp in der Ferne mit Lpr
- bind mit dnrd/maradns
- apache mit dhttpd/thttpd/wn (tux?)
- exim/sendmail mit ssmtpd/smtpd/postfix
- squid mit tinyproxy
- ftpd mit oftpd/vsftp
- …
Mehr Informationen über sicherheitsrelevante Patches des Kernels unter Debian einschließlich der oben aufgeführten und insbesondere, wie man diese Patches unter einem Debian-System benutzt
- Erkennung von Eindringlingen (Linux Intrusion Detection kernel-patch-2.4-lids)
- Linux Trustees (im Paket trustees)
- NSA Enhanced Linux
- linux-patch-openswan
- …
Details, wie man unnötige Netzwerkdienste deaktiviert (abgesehen von inetd), dies ist teilweise Teil des Härtungsprozesses, könnte aber etwas ausgeweitet werden
Informationen über Passwort-Rotation, was sehr nah mit Sicherheitsrichtlinien (Policies) zusammenhängt
Sicherheitsrichtlinie und die Aufklärung der Benutzer über die Sicherheitsrichtlinie
Mehr über tcpwrapper und Wrapper im Allgemeinen?
hosts.equiv und andere wichtige Sicherheitslöcher
Probleme bei der Dateifreigabe wie z.B. mit Samba und NFS?
suidmanager/dpkg-statoverrides
lpr und lprng
Abschalten der GNOME-IP-Dinge
Talk about pam_chroot (see http://lists.debian.org/debian-security/2002/05/msg00011.html) and its usefulness to limit users. Introduce information related to
→ https://web.archive.org/web/20031204060940/http://www.securityfocus.com/infocus/1575
. pdmenu, for example is available in Debian (whereas flash is not).
Darüber reden, Dienste mit einer chroot-Umgebung zu versehen, mehr Informationen dazu unter http://www.linuxfocus.org/English/January2002/article225.shtml
Programme erwähnen, die Chroot-Gefängnisse (chroot jails) herstellen. compartment und chrootuid warten noch in Incoming. Einige andere (makejail, jailer) könnten ebenfalls eingeführt werden.
Mehr Informationen über Software zur Analyse von Protokoll-Dateien (log-Dateien, logs; zum Beispiel logcheck und logcolorise)
»Fortgeschrittenes« Routing (Traffic-Regelungen sind sicherheitsrelevant)
Zugang über ssh so einschränken, dass man nur bestimmte Befehle ausführen kann
Benutzung von dpkg-statoverride
Sichere Möglichkeiten, um mehreren Benutzern den Zugriff auf einen CD-Brenner zu erlauben
Sichere Wege, um Töne zusammen mit graphischer Darstellung über ein Netzwerk zu leiten (so dass die Töne eines X-Clients über die Sound-Hardware eines X-Servers abgespielt werden)
Absichern von Web-Browsern
Aufsetzen von ftp über ssh
Benutzung von verschlüsselten Loopback-Dateisystemen
encrypting the entire file system.
Steganographie-Werkzeuge
Aufsetzen einer PKA für eine Organisation
Einsatz von LDAP zur Verwaltung der Benutzer. Es gibt ein HOWTO zu ldap+kerberos für Debian auf http://www.bayour.com von Turbo Fredrikson.
Wie man Informationen mit begrenztem Nutzen wie z.B. /usr/share/doc oder /usr/share/man auf Produktivsystemen entfernt (jawohl, security by obscurity)
Mehr Informationen über lcap, die sich auf die README-Datei des Pakets stützen (gut, die Datei ist noch nicht vorhanden, vergleiche http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=169465) und diesen Artikel der LWN: http://lwn.net/1999/1202/kernel.php3
Add Colin's article on how to setup a chroot environment for a full sid system (https://web.archive.org/web/20030204012846/https://people.debian.org/~walters/chroot.html).
Informationen darüber hinzufügen, wie man mehrere snort-Sensoren in einem System betreibt (prüfe die Fehlerberichte zu snort)
Informationen hinzufügen, wie man einen Honigtopf (honeypot) einrichtet (honeyd)
Darstellung der Situation von FreeSwan (verwaist) und OpenSwan. Der Abschnitt über VPN muss überarbeitet werden.
Einen gesonderten Abschnitt über Datenbanken hinzufügen, ihre Standardwerte und, wie man den Zugriff absichert
Einen Abschnitt über den Nutzen von virtuellen Servern (wie Xen u.a.) hinzufügen
Erklären, wie Programme zur Überprüfung der Integrität verwendet werden (AIDE, integrit oder samhain). Die Grundlagen sind einfach und könnten sogar einige Verbesserungen der Konfiguration erklären.