133 lines
3.0 KiB
Markdown
133 lines
3.0 KiB
Markdown
# MYP Platform - Sicherheitsdokumentation
|
|
|
|
## Übersicht
|
|
Diese Dokumentation beschreibt die Sicherheitsmaßnahmen der MYP Platform, insbesondere für den Kiosk-Modus.
|
|
|
|
## Kiosk-Sicherheit
|
|
|
|
### Passwort-Schutz
|
|
- **Deaktivierungspasswort**: `744563017196A`
|
|
- Das Passwort ist als sicherer Hash gespeichert
|
|
- Fehlgeschlagene Versuche werden protokolliert
|
|
|
|
### Systemhärtung
|
|
- Kernel-Parameter für erhöhte Sicherheit
|
|
- Firewall-Konfiguration
|
|
|
|
### Überwachung
|
|
- Audit-Logs für Systemzugriffe
|
|
- Monitoring verdächtiger Prozesse
|
|
- Integritätsprüfung des Dateisystems
|
|
- Benachrichtigungen bei Sicherheitsereignissen
|
|
|
|
## Netzwerksicherheit
|
|
|
|
### Firewall-Regeln
|
|
```bash
|
|
# Eingehende Verbindungen
|
|
Port 22 (SSH)
|
|
Port 80 (HTTP) - Für Web-Interface
|
|
Port 443 (HTTPS) - Für sichere Verbindungen
|
|
|
|
# Ausgehende Verbindungen
|
|
Nur notwendige Dienste erlaubt
|
|
```
|
|
|
|
### Rate Limiting
|
|
- Login-Versuche: 5 pro Minute
|
|
- API-Aufrufe: 200 pro Tag, 50 pro Stunde
|
|
- Automatische IP-Sperrung bei Missbrauch
|
|
|
|
## Authentifizierung
|
|
|
|
### Session-Management
|
|
- Sichere Session-Cookies
|
|
- Automatische Abmeldung nach Inaktivität
|
|
- CSRF-Schutz für alle Formulare
|
|
|
|
## Datenschutz
|
|
|
|
### Verschlüsselung
|
|
- Passwörter mit bcrypt gehashed
|
|
- HTTPS für alle Verbindungen
|
|
- Sichere Cookie-Einstellungen
|
|
|
|
### Logging
|
|
- Keine sensiblen Daten in Logs
|
|
- Strukturierte Logs für Audit-Zwecke
|
|
- Automatische Log-Rotation
|
|
|
|
## Wartung
|
|
|
|
### Regelmäßige Aufgaben
|
|
- Sicherheitsupdates installieren
|
|
- Log-Dateien überprüfen
|
|
- Backup-Integrität testen
|
|
- Benutzerkonten auditieren
|
|
|
|
### Monitoring-Befehle
|
|
```bash
|
|
# System-Status
|
|
systemctl status myp-kiosk
|
|
systemctl status myp-backend
|
|
|
|
# Logs überprüfen
|
|
journalctl -u myp-kiosk -f
|
|
tail -f /var/log/myp/security.log
|
|
```
|
|
|
|
## Incident Response
|
|
|
|
### Bei Sicherheitsvorfällen
|
|
1. System isolieren (Netzwerk trennen)
|
|
2. Logs sichern
|
|
3. Forensische Analyse
|
|
4. System neu aufsetzen
|
|
5. Sicherheitsmaßnahmen verstärken
|
|
|
|
## Compliance
|
|
|
|
### Standards
|
|
- ISO 27001 Informationssicherheit
|
|
- DSGVO Datenschutz
|
|
- Mercedes-Benz IT-Sicherheitsrichtlinien
|
|
|
|
### Audit-Anforderungen
|
|
- Monatliche Sicherheitsberichte
|
|
- Jährliche Penetrationstests
|
|
- Kontinuierliche Vulnerability-Scans
|
|
|
|
## Konfiguration
|
|
|
|
### Sicherheitsparameter
|
|
```python
|
|
# Flask-Konfiguration
|
|
SECRET_KEY = "zufälliger-256-bit-schlüssel"
|
|
SESSION_COOKIE_SECURE = True
|
|
SESSION_COOKIE_HTTPONLY = True
|
|
SESSION_COOKIE_SAMESITE = 'Lax'
|
|
|
|
# Rate Limiting
|
|
RATELIMIT_STORAGE_URL = "redis://localhost:6379"
|
|
RATELIMIT_DEFAULT = "200 per day, 50 per hour"
|
|
```
|
|
|
|
### Systemparameter
|
|
```bash
|
|
# Kernel-Härtung
|
|
net.ipv4.conf.all.send_redirects = 0
|
|
net.ipv4.conf.default.send_redirects = 0
|
|
net.ipv4.conf.all.accept_redirects = 0
|
|
net.ipv4.conf.default.accept_redirects = 0
|
|
```
|
|
|
|
## Troubleshooting
|
|
|
|
### Häufige Probleme
|
|
1. **Kiosk startet nicht**: Service-Status prüfen
|
|
2. **Passwort funktioniert nicht**: Hash-Integrität überprüfen
|
|
3. **Netzwerk blockiert**: Firewall-Regeln kontrollieren
|
|
|
|
---
|
|
|
|
**WICHTIG**: Diese Dokumentation enthält sicherheitskritische Informationen und darf nur autorisierten Personen zugänglich gemacht werden. |