Konfiguration mittels crypto-policies

Einheitlich geregelt

Krypto-Bibliotheken wie beispielsweise OpenSSL, NSS oder GnuTLS sind ein wichtiger Bestandteil eines jeden Linux-Systems. Mithilfe von Krypto-Regelwerken, auch crypto-policies genannt, können Administratoren festlegen, welche Einstellungen sie auf einem System verwenden möchten. Der Open-Source-Tipp zeigt, wie Sie mithilfe von crypto-policies eine einheitliche Konfiguration vornehmen und Policy-Module einsetzen, um vordefinierte Regelwerke zu erweitern und an die eigenen Bedürfnisse anzupassen.
Cloud-First-Strategien sind inzwischen die Regel und nicht mehr die Ausnahme und Workloads verlagern sich damit in die Cloud – auch Datenbanken. Dort geht es ... (mehr)

Kryptographische Bibliotheken stellen individuelle Implementierungen einer Vielzahl von Algorithmen und Protokollen zur Verfügung, die in diversen Standards zuvor definiert wurden. Hierzu zählen zum Beispiel SSL/TLS, S/MIME oder auch andere kryptographische Standards wie SSH oder OpenPGP. Hierfür sind Algorithmen für symmetrische und public-key-basierte Kryptographie, X.509, Hash-Funktionen und Zufallszahlengeneratoren notwendig.

Die verschiedenen Dienste auf einem System greifen für diverse Anwendungsfälle auf diese kryptographischen Algorithmen und Protokolle zurück. Möchte ein Benutzer beispielsweise eine Verbindung mittels SSH zu einem SSH-Server herstellen, handeln die beiden Kommunikationspartner genau aus, welche kryptographischen Algorithmen sie für die Verbindung einsetzen. Nun ist es aber vielleicht so, dass Sie als Betreiber des SSH-Servers bestimmte Algorithmen gar nicht mehr zulassen wollen, da diese mittlerweile veraltet sind und eventuell sogar bekannte Sicherheitslücken aufweisen. In einem solchen Fall können Sie in der Konfiguration des Servers nähere Angaben zu den Sicherheitseinstellungen vornehmen.

Im Beispiel des SSH-Servers bietet die OpenSSH-Konfigurationsdatei "/etc/ssh/ sshd_conf " die Option "Ciphers" an, mit der Sie die erlaubten Algorithmen für den Server festlegen. Die Hilfeseite, die Sie mittels man 5 sshd_config aufrufen, hält hierfür nähere Information bereit.

Das Problem dabei ist nun, dass Sie ähnliche Einstellungen gegebenenfalls auch für andere Services auf dem System verwenden wollen. Wenn Sie beispielsweise den Einsatz von DES (Data Encryption Standard) in der Konfiguration des SSH-Servers verbieten, dann ist es wahrscheinlich, dass Sie diesen Algorithmus auch nicht mehr für andere Dienste, wie etwa IPSec, verwenden möchten. Und genau hier kommen die sogenannten Krypto-Regelwerke, oder "crypto- policies", ins Spiel.

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2021