Wiki source code of RangeeOS - Sicherheitsguide
Version 4.2 by Tobias Wintrich on 2022/10/14 11:28
Show last authors
| author | version | line-number | content |
|---|---|---|---|
| 1 | Unser Rangee OS Thin Client Betriebssystem ist bereits in seiner Standardkonfiguration ein sehr sicheres System. Bisher sind keine Angriffe bekannt bei denen unser System als Einfallstor für Hacker und andere Eindringe genutzt wurde. | ||
| 2 | |||
| 3 | Dennoch ist es möglich, das System über die Standardeinstellungen Hinaus wieter abzusichern und vor potentiellen Angriffen zu schützen. Dieser Artikel enthält eine Übersicht einiger Sicherheitsrelevanter Einstellungen. | ||
| 4 | |||
| 5 | = RangeeOS = | ||
| 6 | |||
| 7 | == Fastboot deaktivieren == | ||
| 8 | |||
| 9 | Wenn der Fastboot Modus auf dem Gerät aktiviert ist, wird das Betriebssystem auf die Festplatte des Clients entpackt und dadurch bis zum nächsten Update dauerhaft Änderbar. Durch deaktivieren des Fastboot stellen Sie sicher, dass am System keine dauerhaften Änderungen vorgenommen werden können. | ||
| 10 | |||
| 11 | Sie können die Verwendung von Fastboot unter {{status title="KOMMBOX"/}} → {{status title="WERKZEUGE"/}} → {{status title="BOOT-KONFIGURATION"/}} mit der Option** "Aktiviere RangeeOS Fastboot" **steuern. | ||
| 12 | |||
| 13 | [[image:Fastboot-Deaktivieren.png||height="183" width="600"]] | ||
| 14 | |||
| 15 | = Samba-Dienst deaktivieren = | ||
| 16 | |||
| 17 | SMB wir häufiger als potentielles Einfallstor verwendet. Auf dem Rangee OS können Sie SMB vollständig deaktivieren. | ||
| 18 | |||
| 19 | [[RangeeOS - Samba-Dienst deaktivieren>>doc:HowTos.RangeeOS - Samba-Dienst deaktivieren.WebHome]] | ||
| 20 | |||
| 21 | {{info}} | ||
| 22 | Durch Deaktivieren des Samba Dienstes sind follgende Features nicht mehr verfügbar: | ||
| 23 | |||
| 24 | * Mitgliedschaft innerhalb einer Domäne | ||
| 25 | (Nutzung der Benutzeranmeldung über eine Domäne ist weierhin möglich) | ||
| 26 | * Verwendung von SMB Netzwerkdruckern | ||
| 27 | * Freigabe von lokal angeschlossenen Drucker über SMB | ||
| 28 | * Freigabe von Dateien/Drucker per SMB | ||
| 29 | {{/info}} | ||
| 30 | |||
| 31 | == SSH-Dienst deaktivieren == | ||
| 32 | |||
| 33 | Sie können den SSH Dienst auf den Geräten unter {{status title="KOMMBOX"/}}(% id="cke_bm_3642S" style="display:none" %) (%%) → {{status title="Remote-Administration"/}} mit der Option **"SSH"** steuern. | ||
| 34 | |||
| 35 | == Herstellerzugang deaktivieren == | ||
| 36 | |||
| 37 | {{info}} | ||
| 38 | Der Herstellerzugriff ermöglich uns keinerlei Zugriff über Firewallgrenzen hinweg. Das heißt damit wir uns auf ein Gerät verbinden können, müssen wir uns bereits mit anderen Fernwartungstools in Ihr Netzwerk eingeladen worden sein. | ||
| 39 | {{/info}} | ||
| 40 | |||
| 41 | Der Herstellerzugrang besteht in unserem RangeeOS aus einem **"root"** Zugang über Passwort und SSH-Key. Die entsprechenden Login informationen werden bei uns unter Verschluss gehalten und nicht nach außen kommuniziert. Der Zugang ermöglich unseren Support Mitarbeiten den Zugriff auf ein Linux Terminal und wird zu Debugzwecken verwendet. | ||
| 42 | |||
| 43 | Sie können den Herstellerzugang auf den Geräten unter {{status title="KOMMBOX"/}}(% id="cke_bm_3642S" style="display:none" %) (%%) → {{status title="Remote-Administration"/}} mit der Option **"Herstellerzugang"** steuern. | ||
| 44 | |||
| 45 | == VNC-Zugriff steuern / deaktivieren == | ||
| 46 | |||
| 47 | Sie können den Zugriff per VNC (% id="cke_bm_2705S" style="display:none" %) (%%)unter {{status title="KOMMBOX"/}}(% id="cke_bm_3642S" style="display:none" %) (%%) → {{status title="Remote-Administration"/}} unter der Überschirft **"VNC"** konfigurieren. | ||
| 48 | |||
| 49 | Insofern Sie den VNC Zugriff nutzen möchten, wird Empfohlen hier ein **"Passwort"** zu vergeben und den Benutzer den zugrif per VNC über **"Verhalten bei externem Verbindungsaufbau über VNC"** bestätigen zu lassen. | ||
| 50 | |||
| 51 | Wenn Sie den VNC zugriff nicht benötigen können Sie Ihn über die Option **"Remote-Zugriff über VNC" **steuern. | ||
| 52 | |||
| 53 | [[image:grafik.png||height="253" width="600"]] | ||
| 54 | |||
| 55 | == TCMS Zertifikat verifizieren == | ||
| 56 | |||
| 57 | Unter (% id="cke_bm_4161S" style="display:none" %) (%%) {{status title="KOMMBOX"/}}(% id="cke_bm_3642S" style="display:none" %) (%%) → {{status title="Remote-Administration"/}} (% id="cke_bm_4211S" style="display:none" %) (%%)→ {{status title="TCMS-Einstellungen"/}} finden Sie die Option** "HTTPS-Zertifikat verifizieren"**.** **Ist diese Option aktiviert, wird das HTTPS Zertifikat des TCMS auf Gültigkeit überprüft. | ||
| 58 | |||
| 59 | (% class="box warningmessage" %) | ||
| 60 | ((( | ||
| 61 | Hierzu ist es erforderlich ein verifizierbares Zertifikat auf dem TCMS zu installieren. Und dem Austeller dieses Zertifikats zu Vertrauen. | ||
| 62 | Siehe hierzu: | ||
| 63 | [[Kommbox- bzw. TCMS Webserver Zertifikat austauschen>>doc:HowTos.Allgemein - Kommbox- bzw\. TCMS Webserver Zertifikat austauschen.WebHome]] huhu | ||
| 64 | [[Zertifikate Installieren>>doc:Handbuecher.Handbuch11.Kapitel 3 - Administration des Clients.3\.K\. Tools.3\.K\.I\. Zertifikate.WebHome]] | ||
| 65 | ))) |