Verschillen

Dit geeft de verschillen weer tussen de geselecteerde revisie en de huidige revisie van de pagina.

--- technische_naslag:sid:roer [2025/05/27 21:38] – michelle
+++ technische_naslag:sid:roer [2025/06/01 22:11] (huidige) – [Lynis] michelle
@@ Regel 285: / Regel 285: @@
 En klaar is Kees. Oh nee: **klaar is de oudste dochter van Kees!!**
-==== Hardening ====
+===== Hardening =====
-Geen daemon maar een check van mijn systeem: kan er qua veiligheid nog wat verbeterd worden?
+Nadat de functionaliteit erin zit mag er ook nog wel aan de veiligheid gedaan worden. Want Debian GNU/Linux is out-of-the-box wel aardig in elkaar gestoken maar het kan nog altijd beter!
-=== Lynis ===
+==== Lynis ====
-Een tooltje om de hardening van het systeem te scannen en met adviezen te komen. De versie in Debian GNU/Linux loopt achter dus een aparte repo toegevoegd:
+Een tooltje om de hardening van het systeem te scannen en met adviezen te komen. Geen daemon maar een check van mijn systeem: kan er qua veiligheid nog wat verbeterd worden? De versie in Debian GNU/Linux loopt achter dus een aparte repo toegevoegd, zoals beschreven op [[https://packages.cisofy.com/community/]]
 <code bash>
-root@roer:~# curl -fsSL https://packages.cisofy.com/keys/cisofy-software-public.key | sudo gpg --dearmor -o root@roer:~# echo "deb [arch=amd64,arm64 signed-by=/etc/apt/trusted.gpg.d/cisofy-software-public.gpg] https://packages.cisofy.com/community/lynis/deb/ stable main" | sudo tee /etc/apt/sources.list.d/cisofy-lynis.list
+root@roer:~# curl -fsSL https://packages.cisofy.com/keys/cisofy-software-public.key | sudo gpg --dearmor -o /etc/apt/trusted.gpg.d/cisofy-software-public.gpg
+root@roer:~# echo "deb [arch=amd64,arm64 signed-by=/etc/apt/trusted.gpg.d/cisofy-software-public.gpg] https://packages.cisofy.com/community/lynis/deb/ stable main" | sudo tee /etc/apt/sources.list.d/cisofy-lynis.list
 deb [arch=amd64,arm64 signed-by=/etc/apt/trusted.gpg.d/cisofy-software-public.gpg] https://packages.cisofy.com/community/lynis/deb/ stable main
 </code>
@@ Regel 306: / Regel 307: @@
 Een malware scanner had ik nog niet, dus.....
-=== rkhunter ===
+=== Extra packages ===
 <code bash>
-root@roer:~# sudo apt install rkhunter
+root@roer:~# sudo apt install rkhunter apt-show-versions debsums
 </code>
+=== Permissies ===
+<code bash>
+sudo chmod o-rwx /home/*
+</code>
+en in <code bash>/etc/login.defs</code> de UMASK op 027 gezet.
+=== Blacklist rare modules ===
+<code bash>
+michelle@lummel:~$ sudo cat /etc/modprobe.d/lynis-blacklist.conf
+install dccp /bin/true
+install sctp /bin/true
+install rds /bin/true
+install tipc /bin/true
+</code>
+=== Purge restanten van packages ===
+Er slingeren soms nog configuratie-bestanden en andere cruft rond van packages die allang niet meer op het systeem staan. Die herken je in de output van `dpkg -l` doordat ze beginnen met rc. Mik deze weg:
+<code bash>
+michelle@roer:~$ dpkg -l | grep ^rc | awk '{ print $2 }' | xargs echo " "
+  libpython3.10-minimal:amd64 linux-image-6.0.0-5-amd64 linux-image-6.0.0-6-amd64 linux-image-6.1.0-1-amd64 linux-image-6.1.0-10-amd64 linux-image-6.1.0-11-amd64 linux-image-6.1.0-12-amd64 linux-image-6.1.0-13-amd64 linux-image-6.1.0-14-amd64 linux-image-6.1.0-15-amd64 linux-image-6.1.0-16-amd64 linux-image-6.1.0-17-amd64 linux-image-6.1.0-18-amd64 linux-image-6.1.0-2-amd64 linux-image-6.1.0-20-amd64 linux-image-6.1.0-21-amd64 linux-image-6.1.0-22-amd64 linux-image-6.1.0-23-amd64 linux-image-6.1.0-25-amd64 linux-image-6.1.0-26-amd64 linux-image-6.1.0-27-amd64 linux-image-6.1.0-28-amd64 linux-image-6.1.0-29-amd64 linux-image-6.1.0-3-amd64 linux-image-6.1.0-30-amd64 linux-image-6.1.0-31-amd64 linux-image-6.1.0-32-amd64 linux-image-6.1.0-33-amd64 linux-image-6.1.0-34-amd64 linux-image-6.1.0-5-amd64 linux-image-6.1.0-6-amd64 linux-image-6.1.0-7-amd64 linux-image-6.1.0-9-amd64 python3.10-minimal
+  </code>
+==== AppArmor ====
+** ToDo **