Verschillen

Dit geeft de verschillen weer tussen de geselecteerde revisie en de huidige revisie van de pagina.

--- technische_naslag:sid:roer [2025/05/26 22:47] – michelle
+++ technische_naslag:sid:roer [2025/06/01 22:11] (huidige) – [Lynis] michelle
@@ Regel 278: / Regel 278: @@
 ##server 10.8.0.0 255.255.255.0
 server 192.168.3.0 255.255.255.0
-##push "dhcp-option DNS 192.168.1.1"
+push "dhcp-option DNS 192.168.1.1"
 push "route 192.168.1.0 255.255.255.0"
-push "redirect-gateway def1 bypass-dhcp"
+##push "redirect-gateway def1 bypass-dhcp"
 </code>
 En klaar is Kees. Oh nee: **klaar is de oudste dochter van Kees!!**
+===== Hardening =====
+Nadat de functionaliteit erin zit mag er ook nog wel aan de veiligheid gedaan worden. Want Debian GNU/Linux is out-of-the-box wel aardig in elkaar gestoken maar het kan nog altijd beter!
+==== Lynis ====
+Een tooltje om de hardening van het systeem te scannen en met adviezen te komen. Geen daemon maar een check van mijn systeem: kan er qua veiligheid nog wat verbeterd worden? De versie in Debian GNU/Linux loopt achter dus een aparte repo toegevoegd, zoals beschreven op [[https://packages.cisofy.com/community/]]
+<code bash>
+root@roer:~# curl -fsSL https://packages.cisofy.com/keys/cisofy-software-public.key | sudo gpg --dearmor -o /etc/apt/trusted.gpg.d/cisofy-software-public.gpg
+root@roer:~# echo "deb [arch=amd64,arm64 signed-by=/etc/apt/trusted.gpg.d/cisofy-software-public.gpg] https://packages.cisofy.com/community/lynis/deb/ stable main" | sudo tee /etc/apt/sources.list.d/cisofy-lynis.list
+deb [arch=amd64,arm64 signed-by=/etc/apt/trusted.gpg.d/cisofy-software-public.gpg] https://packages.cisofy.com/community/lynis/deb/ stable main
+</code>
+Daarna een scan draaien:
+<code bash>
+root@roer:~# sudo lynis audit system
+</code>
+Een malware scanner had ik nog niet, dus.....
+=== Extra packages ===
+<code bash>
+root@roer:~# sudo apt install rkhunter apt-show-versions debsums
+</code>
+=== Permissies ===
+<code bash>
+sudo chmod o-rwx /home/*
+</code>
+en in <code bash>/etc/login.defs</code> de UMASK op 027 gezet.
+=== Blacklist rare modules ===
+<code bash>
+michelle@lummel:~$ sudo cat /etc/modprobe.d/lynis-blacklist.conf
+install dccp /bin/true
+install sctp /bin/true
+install rds /bin/true
+install tipc /bin/true
+</code>
+=== Purge restanten van packages ===
+Er slingeren soms nog configuratie-bestanden en andere cruft rond van packages die allang niet meer op het systeem staan. Die herken je in de output van `dpkg -l` doordat ze beginnen met rc. Mik deze weg:
+<code bash>
+michelle@roer:~$ dpkg -l | grep ^rc | awk '{ print $2 }' | xargs echo " "
+  libpython3.10-minimal:amd64 linux-image-6.0.0-5-amd64 linux-image-6.0.0-6-amd64 linux-image-6.1.0-1-amd64 linux-image-6.1.0-10-amd64 linux-image-6.1.0-11-amd64 linux-image-6.1.0-12-amd64 linux-image-6.1.0-13-amd64 linux-image-6.1.0-14-amd64 linux-image-6.1.0-15-amd64 linux-image-6.1.0-16-amd64 linux-image-6.1.0-17-amd64 linux-image-6.1.0-18-amd64 linux-image-6.1.0-2-amd64 linux-image-6.1.0-20-amd64 linux-image-6.1.0-21-amd64 linux-image-6.1.0-22-amd64 linux-image-6.1.0-23-amd64 linux-image-6.1.0-25-amd64 linux-image-6.1.0-26-amd64 linux-image-6.1.0-27-amd64 linux-image-6.1.0-28-amd64 linux-image-6.1.0-29-amd64 linux-image-6.1.0-3-amd64 linux-image-6.1.0-30-amd64 linux-image-6.1.0-31-amd64 linux-image-6.1.0-32-amd64 linux-image-6.1.0-33-amd64 linux-image-6.1.0-34-amd64 linux-image-6.1.0-5-amd64 linux-image-6.1.0-6-amd64 linux-image-6.1.0-7-amd64 linux-image-6.1.0-9-amd64 python3.10-minimal
+  </code>
+==== AppArmor ====
+** ToDo **