Na výročnom LinuxCone v roku 2015 sa tvorca jadra GNU/Linuxu Linus Torvalds podelil o svoje názory na bezpečnosť systému. Zdôraznil potrebu zmierniť vplyv prítomnosti určitých chýb kompetentnou ochranou tak, aby v prípade poruchy jedného komponentu problém prekrývala ďalšia vrstva.
V tomto článku sa pokúsime pokryť túto tému z praktického hľadiska:
7. Nainštalujte brány firewall
Nedávno sa objavila nová zraniteľnosť umožňujúca útoky DDoS na servery Linux. S verziou 3.6 sa koncom roka 2012 objavila chyba v jadre systému. Zraniteľnosť umožňuje hackerom vkladať vírusy do sťahovaných súborov, webových stránok a odhaľovať pripojenia Tor a hackovanie si nevyžaduje veľa úsilia – spoofing IP bude fungovať.Maximálne poškodenie šifrovaných pripojení HTTPS alebo SSH je prerušenie pripojenia, ale útočník môže do nechránenej prevádzky umiestniť nový obsah vrátane škodlivého softvéru. Na ochranu pred takýmito útokmi je vhodný firewall.
Zablokujte prístup pomocou brány firewall
Firewall je jedným z najdôležitejších nástrojov na blokovanie neželanej prichádzajúcej prevádzky. Odporúčame vám povoliť iba premávku, ktorú skutočne potrebujete, a všetko ostatné úplne zakázať.
Väčšina distribúcií Linuxu má ovládač iptables na filtrovanie paketov. Zvyčajne ho používajú skúsení používatelia a pre zjednodušenú konfiguráciu môžete použiť nástroje UFW v Debian / Ubuntu alebo FirewallD vo Fedore.
8. Vypnite nepotrebné služby
Odborníci z University of Virginia odporúčajú vypnúť všetky služby, ktoré nepoužívate. Niektoré procesy na pozadí sú nastavené na automatické načítanie a spúšťajú sa, kým sa systém nevypne. Ak chcete nakonfigurovať tieto programy, musíte skontrolovať init skripty. Služby je možné spustiť cez inetd alebo xinetd.Ak je váš systém nakonfigurovaný cez inetd, potom v súbore /etc/inetd.conf môžete upraviť zoznam programov "démonov" na pozadí; ak chcete zakázať načítanie služby, stačí umiestniť znak "#" na začiatok riadok, čím sa zmení zo spustiteľného súboru na komentár.
Ak systém používa xinetd, jeho konfigurácia bude v adresári /etc/xinetd.d. Každý adresárový súbor definuje službu, ktorú možno deaktivovať zadaním disable = yes, ako v tomto príklade:
Servisný prst (socket_type = čakanie na stream = žiadny používateľ = nikto server = /usr/sbin/in.fingerd vypnúť = áno)
Tiež stojí za to skontrolovať, či neexistujú trvalé procesy, ktoré nespravuje inetd alebo xinetd. Spúšťacie skripty môžete nakonfigurovať v adresároch /etc/init.d alebo /etc/inittab. Po vykonaní zmien spustite príkaz ako účet root.
/etc/rc.d/init.d/inet reštart
9. Server fyzicky chráňte
Neexistuje spôsob, ako sa úplne chrániť pred škodlivými útokmi fyzickým prístupom na server. Preto je potrebné zabezpečiť miestnosť, kde sa váš systém nachádza. Dátové centrá seriózne monitorujú bezpečnosť, obmedzujú prístup k serverom, inštalujú bezpečnostné kamery a prideľujú trvalé zabezpečenie.Pre vstup do dátového centra musia všetci návštevníci prejsť určitými fázami autentifikácie. Dôrazne sa tiež odporúča používať detektory pohybu vo všetkých oblastiach centra.
10. Chráňte server pred neoprávneným prístupom
Neautorizovaný prístupový systém alebo IDS zhromažďuje údaje o konfigurácii systému a súboroch a potom tieto údaje porovnáva s novými zmenami, aby zistil, či sú pre systém škodlivé.Napríklad nástroje Tripwire a Aide zhromažďujú databázu systémových súborov a chránia ich pomocou sady kľúčov. Psad sa používa na sledovanie podozrivých aktivít pomocou správ brány firewall.
Bro je navrhnutý tak, aby monitoroval sieť, sledoval podozrivé vzorce aktivity, zbieral štatistiky, vykonával systémové príkazy a generoval upozornenia. RKHunter možno použiť na ochranu pred vírusmi, najčastejšie rootkitmi. Táto pomôcka kontroluje váš systém, či neobsahuje známe zraniteľnosti, a dokáže identifikovať nebezpečné nastavenia v aplikáciách.
Záver
Vyššie uvedené nástroje a nastavenia vám pomôžu čiastočne ochrániť systém, no bezpečnosť závisí od vášho správania a pochopenia situácie. Bez pozornosti, opatrnosti a neustáleho sebaučenia nemusia všetky ochranné opatrenia fungovať.Podľa cvedetails.com bolo od roku 1999 v linuxovom jadre nájdených 1305 zraniteľností, z toho 68 v roku 2015. Väčšina z nich nenesie žiadne špeciálne problémy, sú označené ako lokálne a nízke a niektoré je možné vyvolať iba s odkazom na určité aplikácie alebo nastavenia operačného systému. V zásade sú čísla malé, ale jadro nie je celý OS. Zraniteľnosť sa nachádza v GNU Coreutils, Binutils, glibs a samozrejme v používateľských aplikáciách. Poďme analyzovať tie najzaujímavejšie.
ZRANITEĽNÉ SCHOPNOSTI V JADRE LINUXU
OS: Linux
Úroveň: Stredná, Nízka
vektor: Vzdialený
CVE: CVE-2015-3331, CVE-2015-4001, CVE-2015-4002, CVE-2015-4003
Využiť: koncept, https://lkml.org/lkml/2015/5/13/740, https://lkml.org/lkml/2015/5/13/744
Zraniteľnosť zistená v júni v jadre Linuxu až do 3.19.3 vo funkcii __driver_rfc4106_decrypt v súbore arch / x86 / crypto / aesni-intel_glue.c súvisí s implementáciou RFC4106 pre procesory x86 podporujúce rozšírenie inštrukčnej sady AES AES-NI (odporúčané Intel, Intel Advanced Encryption Standard Instructions) v niektorých prípadoch nesprávne vypočítava adresy vyrovnávacej pamäte. Ak je tunel IPsec nakonfigurovaný na používanie tohto režimu (algoritmus AES – CONFIG_CRYPTO_AES_NI_INTEL), táto chyba zabezpečenia môže viesť k poškodeniu pamäte, zlyhaniam a potenciálne vzdialenému spusteniu kódu CryptoAPI. A najzaujímavejšie je, že problém môže vzniknúť sám o sebe, pri úplne legálnej premávke, bez vonkajších zásahov. V čase zverejnenia bol problém odstránený.
V ovládači ozwpan pre Linux 4.0.5, ktorý má experimentálny stav, bolo identifikovaných päť zraniteľností, štyri z nich umožňujú útok DoS prostredníctvom zlyhania jadra odoslaním špeciálne vytvorených paketov. Problém súvisí s pretečením vyrovnávacej pamäte v dôsledku nesprávneho spracovania celých čísel so znamienkom, pri ktorom výpočet v memcpy medzi požadovanou_veľkosťou a offsetom vrátil záporné číslo, v dôsledku čoho sa údaje skopírujú do haldy.
Nachádza sa vo funkcii oz_hcd_get_desc_cnf v ovládačoch / staging / ozwpan / ozhcd.c a oz_usb_rx a oz_usb_handle_ep_data vo funkciách ovládačov / staging / ozwpan / ozusbsvc1.c. Pri iných zraniteľnostiach nastala situácia možného delenia 0, zacyklenie systému alebo možnosť čítania z oblastí mimo hraníc pridelenej vyrovnávacej pamäte.
Ovládač ozwpan, jeden z najnovších produktov Linuxu, môže byť prepojený s existujúcimi bezdrôtovými zariadeniami, ktoré sú kompatibilné s technológiou Ozmo Devices (Wi-Fi Direct). Poskytuje implementáciu hostiteľského radiča USB, ale trik je v tom, že namiesto fyzického pripojenia periférie komunikujú cez Wi-Fi. Ovládač prijíma sieťové pakety s typom (ethertype) 0x892e, potom ich analyzuje a prekladá do rôznych funkcií USB. Zatiaľ sa používa v ojedinelých prípadoch, takže sa dá deaktivovať vyložením modulu ozwpan.ko.
LINUX UBUNTU
OS: Linux Ubuntu 12.04-15.04 (kernel pred 15. júnom 2015)
Úroveň: Kritické
vektor: Miestne
CVE: CVE-2015-1328
Využiť: https://www.exploit-db.com/exploits/37292/
Kritická zraniteľnosť v systéme súborov OverlayFS vám umožňuje získať oprávnenia root na systémoch Ubuntu, ktoré umožňujú neprivilegovanému používateľovi pripojiť oddiely OverlayFS. Vo všetkých pobočkách Ubuntu 12.04-15.04 sa používajú predvolené nastavenia potrebné na zneužitie tejto zraniteľnosti. Samotný OverlayFS sa objavil v linuxovom jadre relatívne nedávno – počnúc 3.18-rc2 (2014), ide o vývoj SUSE, ktorý nahradí UnionFS a AUFS. OverlayFS vám umožňuje vytvoriť virtuálny viacvrstvový súborový systém, ktorý kombinuje viaceré časti iných súborových systémov.
FS je vytvorený zo spodnej a vrchnej vrstvy, z ktorých každá je pripojená k samostatným katalógom. Spodná vrstva sa používa iba na čítanie v adresároch akéhokoľvek súborového systému podporovaného v Linuxe, vrátane sieťových. Horná vrstva je zvyčajne zapisovateľná a prekrýva údaje spodnej vrstvy, ak sú súbory duplikované. Je žiadaný v Live distribúciách, kontajnerových virtualizačných systémoch a na organizovanie práce kontajnerov niektorých desktopových aplikácií. Priestory názvov používateľov vám umožňujú vytvárať vlastné sady ID používateľov a skupín v kontajneroch. Zraniteľnosť je spôsobená nesprávnou kontrolou prístupových práv pri vytváraní nových súborov v adresári základného súborového systému.
Ak bolo jadro zostavené s CONFIG_USER_NS = y (umožňujúce užívateľský menný priestor) a pripojiť FS_USERNS_MOUNT, OverlayFS môže byť pripojený bežným užívateľom v inom mennom priestore, vrátane tých, kde sú povolené operácie root. V tomto prípade operácie so súbormi s právami root, vykonávané v takýchto menných priestoroch, dostávajú rovnaké privilégiá pri vykonávaní akcií so základným FS. Preto môžete pripojiť ľubovoľnú sekciu súborového systému a zobraziť alebo upraviť ľubovoľný súbor alebo adresár.
V čase publikácie už bola dostupná aktualizácia jadra s pevným modulom Ubuntu OverlayFS. A ak je systém aktuálny, nemali by nastať žiadne problémy. V rovnakom prípade, keď aktualizácia nie je možná, ako dočasné opatrenie by ste mali prestať používať OverlayFS odstránením modulu overlayfs.ko.
ZRANITEĽNÉ STRÁNKY V KĽÚČOVÝCH APLIKÁCIÁCH
OS: Linux
Úroveň: Kritické
vektor: lokálne, vzdialené
CVE: CVE-2015-0235
Využiť: https://www.qualys.com/research/security-advisories/exim_ghost_bof.rb
Nebezpečná zraniteľnosť v štandardnej knižnici GNU glibc, ktorá je hlavnou súčasťou operačného systému Linux, a v niektorých verziách Oracle Communications Applications a Oracle Pillar Axiom, objavená počas auditu kódu hackermi zo spoločnosti Qualys. Dostal kódové meno GHOST. Pozostáva z pretečenia vyrovnávacej pamäte vo funkcii __nss_hostname_digits_dots (), ktorú funkcie glibc ako gethostbyname () a gethostbyname2 () (odtiaľ názov GetHOST) používajú na získanie názvu hostiteľa. Ak chcete zneužiť túto zraniteľnosť, aplikácia vykonávajúca preklad názvov prostredníctvom DNS musí spôsobiť pretečenie vyrovnávacej pamäte s neplatným argumentom názvu hostiteľa. To znamená, že teoreticky môže byť táto zraniteľnosť aplikovaná na akúkoľvek aplikáciu, ktorá do určitej miery využíva sieť. Dá sa volať lokálne aj na diaľku, umožňuje spúšťanie ľubovoľného kódu.
Najzaujímavejšie je, že chyba bola opravená v máji 2013, oprava bola predstavená medzi vydaniami glibc 2.17 a 2.18, ale problém nebol klasifikovaný ako bezpečnostná oprava, takže mu nevenovali pozornosť. V dôsledku toho boli mnohé distribúcie zraniteľné. Pôvodne sa uvádzalo, že úplne prvá zraniteľná verzia je 2.2 z 10. novembra 2000, ale existuje možnosť, že sa objaví až 2.0. Okrem iných zraniteľností boli ovplyvnené distribúcie RHEL / CentOS 5.x – 7.x, Debian 7 a Ubuntu 12.04 LTS. Opravy sú momentálne k dispozícii. Samotní hackeri navrhli nástroj, ktorý vysvetľuje podstatu zraniteľnosti a umožňuje vám skontrolovať váš systém. V Ubuntu 12.04.4 LTS je všetko v poriadku:
$ wget https: //goo.gl/RuunlE $ gcc gistfile1. c - o CVE - 2015 - 0235 $. / CVE - 2015 - 0235 nie je zraniteľný |
Kontrola systému na GHOST
Takmer okamžite bol vydaný modul k, ktorý vám umožňuje vzdialene spúšťať kód na x86 a x86_64 Linuxe s funkčným poštovým serverom Exim (s povoleným parametrom helo_try_verify_hosts alebo helo_verify_hosts). Neskôr sa objavili ďalšie implementácie, ako napríklad modul Metasploit na kontrolu blogu na WordPress.
O niečo neskôr, v roku 2015, boli v GNU glibc objavené tri ďalšie zraniteľnosti, ktoré umožňujú vzdialenému používateľovi vykonať útok DoS alebo prepísať pamäťové miesta mimo hranice zásobníka: CVE-2015-1472, CVE-2015-1473, CVE-2015- 1781.
OS: Linux (GNU Coreutils)
Úroveň: Nízka
vektor: Lokálne, vzdialené
CVE: CVE-2014-9471
Využiť: nie
GNU Coreutils je jedným z hlavných * nix balíkov, ktorý obsahuje takmer všetky základné nástroje (cat, ls, rm, date ...). Problém bol zistený v dátume. Chyba vo funkcii parse_datetime umožňuje vzdialenému útočníkovi bez účtu v systéme spôsobiť odmietnutie služby a prípadne spustiť ľubovoľný kód pomocou špeciálne vytvoreného reťazca dátumu pomocou časového pásma. Zraniteľnosť vyzerá takto:
$ touch ‘- dátum = TZ =” 123 “345” @ 1 “ Porucha segmentácie $ dátum - d ‘TZ =” Európa / Moskva ““ 00:00 + 1 hodina ““ Porucha segmentácie $ date ‘- dátum = TZ =” 123 “345” @ 1 “ * * * Chyba v `date ': free (): neplatný ukazovateľ: 0xbfc11414 * * * |
Zraniteľnosť v GNU Coreutils
Ak neexistuje žiadna chyba zabezpečenia, dostaneme správu o neplatnom formáte dátumu. Takmer všetci vývojári distribúcií Linuxu informovali o prítomnosti zraniteľnosti. Aktuálne je k dispozícii aktualizácia.
Normálny výstup opravených GNU Coreutils OS: Linux (grep 2.19-2.21)
Úroveň: Nízka
vektor: Miestne
CVE: CVE-2015-1345
Využiť: nie
V nástroji grep, ktorý sa používa na vyhľadávanie textu podľa vzoru, sa zriedkavo nachádzajú zraniteľné miesta. Tento nástroj je však často nazývaný inými programami vrátane systémových, takže prítomnosť zraniteľností je oveľa problematickejšia, ako sa zdá na prvý pohľad. Chyba vo funkcii bmexec_trans v kwset.c môže spôsobiť čítanie neinicializovaných údajov z oblasti mimo pridelenej vyrovnávacej pamäte alebo môže dôjsť k zlyhaniu aplikácie. Hacker to môže zneužiť vytvorením špeciálnej sady údajov, ktoré sa privádzajú do vstupu aplikácie pomocou grep -F. Aktuálne sú dostupné aktualizácie. Neexistujú žiadne exploity, ktoré by zneužívali zraniteľnosť alebo modul Metasploit.
ZRANITEĽNOSŤ V FREEBSD
OS: FreeBSD
Úroveň: Nízka
vektor: Lokálne, vzdialené
CVE: CVE-2014-0998, CVE-2014-8612, CVE-2014-8613
Využiť: https://www.exploit-db.com/exploits/35938/
V databáze CVE za rok 2015 nie je až tak veľa zraniteľností, presnejšie - iba šesť. Výskumníci z Core Exploit Writers Team našli na konci januára 2015 vo FreeBSD 8.4-10.x tri zraniteľnosti. CVE-2014-0998 súvisí s implementáciou ovládača konzoly VT (Newcons), ktorý poskytuje niekoľko virtuálnych terminálov povolených parametrom kern.vty = vt v /boot/loader.conf.
CVE-2014-8612 sa prejavil pri používaní SCTP a bol spôsobený chybou v kóde na kontrolu identifikátora streamu SCTP, ktorý implementuje zásuvky SCTP (lokálny port 4444). Spodný riadok je chyba nedostatku pamäte vo funkcii sctp_setopt () (sys / netinet / sctp_userreq.c). To dáva miestnemu neprivilegovanému používateľovi možnosť zapisovať alebo čítať 16 bitov údajov z pamäte jadra a zvýšiť svoje privilégiá v systéme, odhaliť citlivé údaje alebo ukončiť systém.
CVE-2014-8613 umožňuje spustenie dereferencovania nulového ukazovateľa pri spracovaní externe prijatého paketu SCTP, keď je nastavená možnosť SCTP soketu SCTP_SS_VALUE. Na rozdiel od predchádzajúcich, CVE-2014-8613 možno použiť na vzdialené spôsobenie zlyhania jadra odosielaním špeciálne vytvorených paketov. Vo FreeBSD 10.1 sa môžete chrániť nastavením premennej net.inet.sctp.reconfig_enable na 0, čím zakážete spracovanie blokov RE_CONFIG. Alebo jednoducho zakážte používanie pripojení SCTP aplikáciami (prehliadače, poštoví klienti atď.). Aj keď v čase zverejnenia už vývojári vydali aktualizáciu.
Štatistika zraniteľnosti FreeBSD ZRANITEĽNOSŤ V OPENSSL
OS: OpenSSL
Úroveň: Vzdialený
vektor: Miestne
CVE: CVE-2015-1793
Využiť: nie
V roku 2014 bola zistená kritická zraniteľnosť Heartbleed v OpenSSL, široko používanom kryptografickom balíku na prácu s SSL / TLS. Incident svojho času vyvolal masívnu kritiku kvality kódu a na jednej strane to viedlo k vzniku alternatív ako LibreSSL, na druhej strane sa samotní vývojári konečne pustili do práce.
Najlepší predajcovia zraniteľných miest Kritická zraniteľnosť bola objavená Adamom Langleym z Google a Davidom Benjaminom z BoringSSL. Zmeny vykonané v OpenSSL 1.0.1n a 1.0.2b viedli k tomu, že OpenSSL sa pokúšalo nájsť alternatívny reťazec overovania certifikátov, ak je prvý pokus o vytvorenie reťazca overovania dôveryhodnosti neúspešný. To vám umožní obísť postup overovania certifikátu a zorganizovať potvrdené spojenie pomocou falošného certifikátu, inými slovami, pokojne nalákať používateľa na falošné stránky alebo emailový server, alebo implementovať akýkoľvek MITM útok, kde sa používa certifikát.
Po zistení zraniteľnosti vydali vývojári 9. júla vydania 1.0.1p a 1.0.2d, v ktorých bol tento problém odstránený. Táto chyba zabezpečenia nie je dostupná vo verziách 0.9.8 alebo 1.0.0.
Linux.Encoder
Koniec jesene sa niesol v znamení objavenia sa množstva ransomvérových vírusov, najskôr Linux.Encoder.0, potom nasledovali modifikácie Linux.Encoder.1 a Linux.Encoder.2, ktoré infikovali viac ako 2500 stránok. Podľa antivírusových spoločností sa útok zameriava na servery Linux a FreeBSD s webovými stránkami bežiacimi na rôznych CMS - WordPress, Magento CMS, Joomla a ďalšie. Hackeri využívajú neidentifikovanú zraniteľnosť. Ďalej bol umiestnený shell skript (file error.php), pomocou ktorého sa vykonávali ďalšie akcie (cez prehliadač). Predovšetkým bol spustený trójsky kodér Linux.
Encoder, ktorý určil architektúru OS a spustil ransomvér. Kódovač bol spustený s právami webového servera (Ubuntu - www-data), čo úplne postačuje na šifrovanie súborov v adresári, kde sú uložené súbory a komponenty CMS. Šifrované súbory majú novú príponu .encrypted.
Ransomvér sa tiež pokúša obísť iné adresáre OS, ak sú práva nakonfigurované nesprávne, môže ísť za hranice webovej stránky. Potom bol do adresára uložený súbor README_FOR_DECRYPT.txt, ktorý obsahuje pokyny na dešifrovanie súborov a požiadavky hackera. V súčasnosti antivírusové spoločnosti predstavili nástroje, ktoré umožňujú dešifrovanie adresárov. Napríklad sada od Bitdefender. Musíte si však uvedomiť, že všetky nástroje určené na dešifrovanie súborov neodstraňujú shell kód a všetko sa môže opakovať.
Vzhľadom na to, že mnohí používatelia, ktorí vyvíjajú alebo experimentujú so správou webových stránok, si často inštalujú webový server na svoj domáci počítač, mali by ste sa obávať o bezpečnosť: blokovať prístup zvonku, aktualizovať softvér, experimentovať na VM. A samotná myšlienka môže byť v budúcnosti použitá na útoky na domáce systémy.
VÝKON
Komplexný softvér bez chýb fyzicky neexistuje, takže sa musíte zmieriť s tým, že zraniteľnosti budú neustále objavované. Ale nie všetky môžu byť skutočne problematické. A môžete sa chrániť jednoduchými krokmi: odstráňte nepoužívaný softvér, sledujte nové zraniteľné miesta a nezabudnite nainštalovať aktualizácie zabezpečenia, nakonfigurovať bránu firewall a nainštalovať antivírus. A nezabudnite na špeciálne technológie ako SELinux, ktoré si celkom poradia s kompromisom démona alebo používateľskej aplikácie.
Samozrejme, môžeme to povedať Linux viac bezpečné(chránené) ako Windows. Bezpečnosť v Linux vstavaný, a nie priskrutkovaný niekde na boku, ako je to implementované vo Windows. Bezpečnosť systémov Linux pokrýva oblasť od jadra po pracovnú plochu, ale je pravdepodobné, že hackeri poškodia váš domovský adresár (/home).
Vaše bajty fotografií, domácich videí, dokumentov a údajov o kreditnej karte alebo peňaženke sú najdrahšou informáciou v počítači. Samozrejme, Linux nie je náchylný na všetky druhy internetových červov a Windows vírusov. Útočníci však môžu nájsť spôsob, ako získať prístup k vašim údajom vo vašom domovskom adresári.
Keď ste si pred predajom pripravili starý počítač alebo pevný disk, naformátovali, myslíte si, že to bude stačiť? Existuje veľa moderných nástrojov na obnovu dát. Hacker môže ľahko obnoviť vaše údaje z pevného disku bez ohľadu na operačný systém, na ktorom ste pracovali.
Pri tejto téme si spomínam na skúsenosť jednej firmy s výkupom použitých počítačov a diskov. V rámci svojej činnosti vyniesli verdikt, že 90 % doterajších majiteľov ich počítačov sa pred predajom riadne nestaralo o čistenie pamäťových médií. A extrahovali veľmi starostlivé dátové bajty. Je dokonca strašidelné si predstaviť, že niekde v priehradkách na pevnom disku sú informácie, ktoré treba zadať do vašej internetovej banky alebo online peňaženky.
Začnite so základmi zabezpečenia Linuxu
Poďme k základom (), ktoré budú fungovať takmer pre každého 
Linuxové distribúcie.
Poďme zašifrovať súborový systém v Linuxe pre úplnejšie zabezpečenie Linuxu
Používateľské heslá problém nevyriešia, ak naozaj chcete, aby nikto nemohol čítať váš domovský adresár (/home) alebo konkrétnu veľkosť bajtu. Môžete to urobiť tak, že ani používateľ s najvyššími oprávneniami root nebude môcť vystrčiť nos.
Odstráňte citlivé súbory, aby ich nikto iný nemohol obnoviť
Ak sa rozhodnete predať alebo darovať svoj počítač alebo pamäťové médium, nepredpokladajte, že jednoduché formátovanie natrvalo odstráni vaše súbory. Do svojho Linuxového boxu si môžete nainštalovať nástroj bezpečného odstránenia, ktorý obsahuje nástroj srm na bezpečné odstraňovanie súborov.
Tiež nezabudnite na firewall dostupný v jadre Linuxu. Všetky distribúcie Linuxu obsahujú lptables, ktorý je súčasťou jadra. Lptables vám umožňuje filtrovať sieťové pakety. Samozrejme, môžete túto pomôcku nakonfigurovať v termináli. Ale táto metóda je nad sily mnohých, vrátane mňa. Takže ho nainštalujem a nakonfigurujem tak jednoducho, ako keby som hral hru.
Rovnako ako všetky operačné systémy, aj Linux má tendenciu hromadiť nevyžiadanú poštu pri spúšťaní rôznych aplikácií. A to nie je jeho chyba Linuxu, pretože rôzne aplikácie, ako sú prehliadače, textové editory a dokonca aj prehrávače videa, nefungujú na úrovni jadra a hromadia dočasné súbory. Môžete si nainštalovať pomôcku BleachBit na univerzálnu likvidáciu odpadu.
Anonymné surfovanie, skrytie vašej IP adresy je veľmi dôležité pre bezpečnosť vašej identity pod Linuxom
Na záver vám chcem povedať o anonymnom surfovaní po webe. Občas sa stane, že je potrebné, ako ja, keď potajomky od manželky navštevujem stránky s erotickým obsahom. Samozrejme som si robil srandu.
Pre útočníkov bude ťažké sa k vám dostať, ak nedokážu určiť vašu polohu. Stopy zakryjeme jednoduchou konfiguráciou dvoch utilít, ktoré spolupracujú, nazývané privoxy a tor.
Podľa môjho názoru, dodržiavanie a konfigurácia všetkých týchto pravidiel ochráni vás a váš počítač na 90 %.
P.S. Používam cloud s názvom dropbox. Ukladám do nej svoje staré aj nové, ešte nepublikované články. Je pohodlné mať prístup k svojim súborom odkiaľkoľvek na svete a na akomkoľvek počítači. Pri písaní článkov na webovú stránku v textovom editore ukladám svoje textové dokumenty s heslom a až potom ich nahrávam na server schránky. Nikdy by ste nemali zanedbávať zbytočné zabezpečenie, ktoré vám bude hrať len do karát.
Dátum zverejnenia: štvrtok 18.12.2008
preklad: Kovalenko A.M.
Dátum prevodu: 7.8.2009
Existuje všeobecné presvedčenie, že ak niekto prejde na používanie distribúcie Linuxu, ako je Ubuntu na stolnom počítači, bezpečnostné problémy sa vyriešia samé. Bohužiaľ, v skutočnosti sa to nedeje. Ako každý dnešný operačný systém, aj v Ubuntu existujú potenciálne ciele zneužitia. Pretečenie vyrovnávacej pamäte, pretečenie zásobníka, špinavý kód, chyby používateľov – a toto je neúplný zoznam hrozieb, v ktorých by sa dalo pokračovať. Aby ste čelili týmto a ďalším potenciálnym hrozbám, ukážem vám, ako postupovať podľa jednoduchých krokov, aby ste sa uistili, že na bezpečné ovládanie Ubuntu používate inteligentné stratégie.
Antivírusová ochrana?
Jednou z najčastejších kontroverzií je, či používať alebo nepoužívať antivírusovú ochranu na počítačoch so systémom Linux. Môj názor je, že rootkity a vírusy zamerané na Linux existujú. Na jednej strane sú bledým tieňom obrovského množstva exploitov zameraných na Microsoft Windows, čo jasne ukazuje, že klamlivý pocit bezpečia, ktorý z takýchto štatistík pramení, utlmuje ostražitosť ľudí.Na druhej strane, a to chcem zdôrazniť, myšlienka skenovania obsahu vášho počítača na nebezpečné vírusy je veľmi rozumná. Používanie vymeniteľných médií, jednotiek, e-mailov - každá z týchto akcií môže viesť k náhodnému prijatiu vírusov používateľmi systému Windows. Upozorňujeme, že nevolám pre zbytočné podozrievanie, ale upozorňujem na nebezpečenstvo každého užívateľa, ktorého domáca sieť je bez varovania prihlásený.
Preto vám musím dať radu, ktorá logicky vyplýva z vyššie uvedeného – pomocou nejakého programu (napríklad ClamAV) vykonajte týždennú antivírusovú kontrolu. Hoci dnes žijeme v prostredí počítačov so systémom Windows, vykonávanie týždenných kontrol je v skutočnosti dôležitou operáciou, ktorú by si mal každý nielen zapamätať, ale musí ju aj vykonať.
Ochrana pred škodlivým softvérom?
Stále existuje významná hrozba škodlivého softvéru. Z tohto hľadiska môže byť samo osebe veľkou pomocou odmietnutie inštalácie alebo spustenia neznámych aplikácií. Je veľmi nerozumné inštalovať podozrivý softvér, ktorý nepoznáte, na akúkoľvek platformu slepou inštaláciou novoobjaveného softvéru bez toho, aby ste ho najskôr preskúmali. Pretože, ako v prípade, že používa uzavretý programový kód, ani nebudete môcť zistiť, čo tento program s vaším počítačom vlastne robí.Články na túto tému:
- Uľahčenie skriptovania SSH a SFTP pomocou Pythonu
- Internetový obchod Firefox + Greasemonkey Turbocharge zo strany klienta
- Rozhranie príkazového riadka Linuxu pre začiatočníkov alebo strach z príkazového riadku Linuxu!
- Vzdialené grafické ovládanie počítača pre Linux, časť 3
Možnosti ochrany brány firewall
Rovnako ako pri akomkoľvek operačnom systéme, ktorý je v súčasnosti pripojený k internetu, aj v Ubuntu je použitie brány firewall nevyhnutnosťou. Pre používateľov Ubuntu to znamená používanie IPTables cez UFW (Uncomplicated Firewall).Je smutné, že myšlienka používania brány firewall, ako väčšina nápadov vynájdených inžiniermi, nie je bežnými používateľmi považovaná za „jednoduchú“, ale všetko preto, že brána firewall vyžaduje použitie príkazového riadku. Táto zjavná medzera v použiteľnosti viedla k vývoju GUI - Gufw.
Gufw poskytuje veľmi jednoduché zariadenie na povolenie / zakázanie nastavení IPTables vo všetkých moderných inštaláciách Ubuntu. Gufw vám tiež umožňuje ovládať port doslova „jedným kliknutím“ pomocou vopred nakonfigurovaných alebo pokročilých možností presmerovania portov.
Použitie tohto typu ochrany poskytne vhodnú úroveň zabezpečenia brány firewall takmer okamžite po prvom spustení. Bohužiaľ, samotný firewall nerobí nič s prevádzkou, ktorá prechádza vašou sieťou alebo dokonca internetom. Aby sme to zhrnuli, firewall je skôr „strážcom brány“ pri vchode ako „policajtom na motorke“, ktorý zachytáva potenciálne hrozby pre vašu sieť.
OpenVPN a OpenSSH
Napriek skutočnosti, že väčšina podnikových používateľov potrebuje na pripojenie k svojej podnikovej sieti používať OpenVPN, bol som sklamaný, že väčšina ľudí nevenuje pozornosť OpenSSH ako alternatíve pre domácich pracovníkov, ktorí sa potrebujú pripojiť k zabezpečeným sieťam bez VPN.Bez toho, aby som zachádzal do podrobností o implementácii týchto dvoch programov, poviem, že myšlienkou je, že používateľ sa môže bezpečne pripojiť k vzdialenému počítaču / serveru, pristupovať k vzdialeným zdieľaným zdrojom / e-mailom / dokumentom atď. bez toho, aby ste sa museli obávať, že jeho prevádzka nebude počas celej cesty (tam a späť) napadnutá útočníkom.
Pokiaľ ide o OpenVPN, tento softvér umožňuje podnikovým používateľom doma pripojiť sa k serveru virtuálnej súkromnej siete (VPN) ich spoločnosti čo najjednoduchšie. Odtiaľ môžu pristupovať k svojim pracovným počítačom, spravovať dokumenty alebo jednoducho kontrolovať poštu. Základom je, že pracovníci mimo miestnej kancelárie môžu bezpečne používať bezpečnostné protokoly, ktoré pracovníci IT zaviedli na pripojenie k podnikovej sieti zvonku, a to kdekoľvek mimo podnikovej siete, či už ide o domácu kanceláriu alebo akúkoľvek inú nezabezpečenú sieť.
Nastavenie pripojenia OpenVPN je jednoduché, stačí si nainštalovať balík network-manager-openvpn z vášho úložiska Ubuntu. Potom a po inštalácii ďalších závislostí stačí kliknúť na ikonu správcu siete a spustiť proces nastavenia VPN. S dnešným najnovším vydaním Ubuntu, 8.10 ( približne. prekladateľ: v čase prekladu článku je posledné stabilné vydanie Ubuntu 9.04), používatelia môžu používať pripojenia VPN ihneď po inštalácii operačného systému po ich predchádzajúcej konfigurácii.
Posilnenie vzdialenej a miestnej bezpečnosti
Teraz poďme domov. Osobne čiastočne využívam OpenSSH na pripojenie z domu k bezdrôtovej sieti vlastnej kaviarne. Používanie OpenSSH mi umožňuje pracovať s internetovými aplikáciami ako Evolution (e-mailový klient), Firefox (webový prehliadač) a podobne, ktoré by som inak v kaviarni na prenos informácií nepoužil.OpenSSH tiež poskytuje skvelý spôsob zdieľania súborov a priečinkov na počítačoch vo vašej lokálnej sieti. Avšak pomocou zdieľania spolu s No-IP ( približne. prekladač: služba, ktorá nahrádza dynamicky pridelenú IP adresu počítača trvalým názvom prístupným cez internet), môžete organizovať rovnaké zdieľanie súborov a priečinkov bez ohľadu na to, kde sa práve nachádzate. Zároveň, nech ste kdekoľvek, doma alebo na druhom konci sveta, získate rovnako spoľahlivé zdieľanie súborov.
Zhrňme si všetko vyššie uvedené. SSH a VPN sú virtuálne bezpečné mosty z počítača na server alebo z počítača do počítača. Nech sa tieto nástroje zdajú byť akokoľvek bezpečné, neznamená to, že keď prehliadate internet alebo posielate e-maily, dáta zostanú počas prenosu v bezpečí. Možno budete chcieť implementovať niektoré ďalšie funkcie SSL na používanie HTTPS na prehliadanie webu a zabezpečenie SSL pre tam a späť e-maily.
Zabezpečenie vášho počítača Ubuntu na lokálne použitie
Dnes jediné a možno najväčšie riziko pre bezpečnosť vášho počítača vo všeobecnosti leží medzi monitorom a stoličkou. Používatelia, najmä na zdieľaných počítačoch, spôsobujú viac problémov so zabezpečením ako akékoľvek vírusy alebo malvér, ktoré náhodne preniknú do vášho počítača.Keďže nemáme žiadnu kontrolu nad tým, čo robia ostatní používatelia na zdieľanom počítači, tu je niekoľko užitočných nástrojov a techník, ktoré vás najlepšie pripravia na reakciu na akékoľvek bezohľadné správanie ostatných používateľov.
Poradenstvo: Udržiavanie aktualizácií pod kontrolou... Neudržiavanie systému Ubuntu v aktuálnom stave je cesta vedúca k mnohým problémom v budúcnosti, je lepšie získať niekoľko chýb, ak vykonávate pravidelné aktualizácie. Na prvom mieste sú bezpečnostné aktualizácie.
Poradenstvo: Blokovanie ostatných používateľov... Okamžitú výhodu môžete získať skrytím predtým fungujúcej inštalácie Ubuntu pred menej skúseným členom rodiny alebo priateľom. Najlepším spôsobom, ako to dosiahnuť, je pridať obmedzený bežný používateľský účet pre všetkých ostatných, ktorí okrem vás pracujú na počítači. V ponuke správy používateľov a skupín pod vaším účtom superužívateľa jednoducho zakážte všetky možnosti, ktoré chcete deaktivovať pre novovytvorený obmedzený používateľský účet.
Poradenstvo: Zabezpečenie vášho domovského adresára... Viac kvôli utajeniu ako bezpečnosti, vyhnete sa bolestiam hlavy pri používaní šifrovania, môžete jednoducho a jednoducho zmeniť používateľské oprávnenia na prístup k adresáru, napríklad spustením chmod 0700 / home / $ USER v termináli. Predpokladajme, že iba vy máte na tomto počítači oprávnenia superužívateľa / root, nikto iný nemôže vidieť obsah vášho adresára. Ak je šifrovanie nevyhnutnosťou, existuje niekoľko skvelých NÁVODOV, z ktorých najlepšie je. Áno, je to veľmi ťažké.
Poradenstvo: OpenDNS pre základné filtrovanie obsahu... Jedným z najlepších spôsobov, ako zabrániť používateľom vášho systému Ubuntu v prístupe na stránky s potenciálne podvodným alebo škodlivým softvérom, je použiť OpenDNS. Zmenu nastavení DNS vo vašej sieti je možné vykonať na každom počítači samostatne aj na bráne fungujúcej ako smerovač.
Ubuntu je také bezpečné, ako si ho urobíte
Pomocou tipov, ktoré som uviedol vyššie, budete určite na ceste k bezpečnému používaniu Ubuntu. No napriek týmto usmerneniam sa vždy môžete dostať do problémov.Keďže Linux je skutočne veľmi výkonný systém, každý s právami superužívateľa by si mal byť vedomý toho, že existujú príkazy alebo skripty shellu, ktoré možno spustiť v termináli a spôsobiť značné škody pri spustení. Jedným typom takéhoto poškodenia je strata údajov.
A ešte jedna vec – namiesto toho, aby ste sa ponáhľali po fórach a hľadali riešenie problému, ktorý vznikol sám od seba, je lepšie pred spustením kódu, ktorý nepoznáte, vždy konzultovať dôveryhodný zdroj. Tento tip sám o sebe robí zázraky pri zabezpečení bezpečného používania Ubuntu.
Ďakujem za článok Datamation
A na zaistenie bezpečnosti oblasti okolo vášho skutočného domova je potrebná skutočná ochrana. Dom bude pred neoprávneným vstupom chránený kovovým pletivom natiahnutým po obvode pozemku.
Existuje všeobecný názor, že Linux sa vyznačuje slabou bezpečnosťou, keďže je distribuovaný bezplatne a vytvára ho obrovský tím roztrúsený po celom svete. Je to naozaj?
Linux je bezplatné jadro podobné Unixu, ktoré napísal Linus Torvalds (1991, Fínsko) s pomocou veľkého počtu dobrovoľníkov z celého internetu. Linux má všetky vlastnosti moderného unixového systému, vrátane skutočného multitaskingu, pokročilej správy pamäte a sieťovania. Väčšinu základných systémových komponentov Linux zdedil z projektu GNU, ktorého cieľom je vytvoriť bezplatný operačný systém s mikrojadrom (OS) s tvárou Unixu.
Linux bol vytvorený chaotickým tímom unixových expertov, hackerov a ešte viac podozrivých jednotlivcov, ktorí ho omylom chytili. Zatiaľ čo systém nevedomky odráža toto ťažké dedičstvo, a hoci proces zostavovania Linuxu vyzeral ako neorganizované úsilie dobrovoľníkov, systém je prekvapivo výkonný, spoľahlivý, rýchly a bezplatný.
Dnes existuje veľa rôznych linuxových distribúcií, distribúcií, ktoré možno rozdeliť na všeobecné a špecializované distribúcie (napríklad Linux Router – oklieštená linuxová distribúcia na vytvorenie lacného routera na základe starého PC a pod.). V tomto článku pod frázou<ОС Linux>máme na mysli distribúcie Linuxu na všeobecné použitie.
Väčšina jadra Linuxu je napísaná v jazyku C, čo uľahčuje portovanie systému na rôzne hardvérové architektúry. Oficiálne jadro Linuxu dnes beží na platformách Intel (začínajúc i386), Digital Alpha (64-bit), Motorolla 68k, Mips, PowerPC, Sparc, Sparc64, StrongArm. Linuxové jadro je schopné bežať na SMP multiprocesorových systémoch, čo zabezpečuje efektívne využitie všetkých procesorov. Vývojári Linuxu sa snažia dodržiavať štandardy POSIX a Open Group, čím zabezpečujú prenosnosť softvéru (softvéru) s inými platformami Unix.
Rozsah aplikácií pre Linux je veľmi široký: od vytvárania špeciálnych efektov vo filme<Титаник>James Cameron predtým, ako Intel v blízkej budúcnosti vytvoril internetové terminály založené na tomto OS. Samozrejme, jedným z dôvodov, prečo je Linux taký populárny, je to, že je zadarmo, čo určite znižuje náklady na produkty, na ktoré sa používa. Ale to nie je jediný bod. Hlavným dôvodom jeho popularity je to, že ide o skutočne výkonný a spoľahlivý viacužívateľský a multitaskingový OS.
Existuje všeobecný názor, že Linux sa vyznačuje slabou bezpečnosťou. Ale to je od základu nesprávne. Linux je duchovným dieťaťom globálneho internetu, a preto sa bezpečnosti pri jeho vývoji vždy venovala veľká pozornosť. Nie je náhodou, že pokiaľ ide o bezpečnosť, Linux sa vždy priaznivo odlišoval od mnohých moderných operačných systémov, vrátane mnohých komerčných verzií Unixu.
V súčasnosti sa na zaistenie bezpečnosti OS používajú dva hlavné prístupy: cez slabo zabezpečený OS<навешивается>na vylepšenie firewallu alebo firewallu, spolu s tuctom ďalších bezpečnostných nástrojov, je integrovaný na základnej úrovni systému.
Prvý prístup používa Microsoft a to potvrdzuje aj analýza najnovších verzií Windows NT. Vývojári Linuxu zvolili druhý prístup (kód brány firewall je od verzie 2.0 zabudovaný priamo do jadra Linuxu). Výsledkom je výkonný integrovaný ochranný systém. Tento článok je venovaný krátkemu oboznámeniu sa s týmto systémom.
Pri vytváraní systému ochrany pre akýkoľvek OS musíte jasne pochopiť, že v praxi nie je možné implementovať úplne bezpečný počítačový systém. Útočníkovi, ktorý sa snaží preniknúť do systému, je možné iba vytvárať ďalšie prekážky. Navyše objem a kvalita implementovaných nástrojov ochrany závisí od oblasti použitia Linuxu. Okrem toho je potrebné počítať s tým, že s nárastom počtu inštalovaných ochranných prostriedkov sa systém stáva čoraz viac nepriateľským voči bežnému užívateľovi. Hlavnou úlohou pri tvorbe bezpečnostného systému je preto nájsť bod rovnováhy, ktorý bude prijateľný pre politiku riadenia systému Linux.
Pri používaní ochranného systému je potrebné dodržiavať jednoduché pravidlá: neustále sledovať činnosť v systéme pomocou systémového denníka, udržiavať systém na najaktuálnejšej úrovni (inštalácia aktuálnych verzií softvéru, ktoré obsahujú záplaty napr. -nazývané bezpečnostné diery objavené počas prevádzky). V mnohých prípadoch je to viac než dostatočné na zabezpečenie primeranej úrovne bezpečnosti.
Na posúdenie účinnosti systému ochrany OS Linux je potrebné jasne pochopiť, aké hrozby môžu kyberzločinci implementovať na úrovni OS v konkrétnej situácii.
Útoky na úrovni OS
K veľkému počtu hackerských útokov dochádza na úrovni OS. Dá sa to vysvetliť veľmi jednoducho: po prelomení ochrany OS môže útočník získať prístup k akýmkoľvek sieťovým zdrojom (až do databáz).
Medzi neznalými ľuďmi existuje názor, že najefektívnejšie útoky na OS sú organizované pomocou najkomplexnejších nástrojov, ktoré využívajú najnovšie výdobytky vedy a techniky, a hacker musí byť programátor najvyššej kvalifikácie. Nie je to celkom pravda. Samozrejme, je dobré držať krok so všetkými novinkami v oblasti výpočtovej techniky. A vysoká kvalifikácia nie je nikdy zbytočná. Umením hackera však v žiadnom prípade nie je ničiť žiadneho, najviac<крутую>ochrana počítača. Útočník jednoducho potrebuje nájsť slabé miesto v konkrétnom obrannom systéme a využiť ho vo svoj prospech. Zároveň sa ukázalo, že najjednoduchšie metódy útoku nie sú horšie ako tie najsofistikovanejšie, pretože jednoduchý algoritmus zriedka generuje chyby a zlyhania.
Úspešnosť implementácie jedného alebo druhého algoritmu hackerského útoku v praxi do značnej miery závisí od architektúry a konfigurácie konkrétneho operačného systému - cieľa útoku. Pozrime sa, aké mechanizmy proti rôznym útokom sa používajú v OS Linux.
Tradičné bezpečnostné metódy Linuxu
Tradičné spôsoby ochrany OS súvisia najmä s fyzickou bezpečnosťou. Fyzická bezpečnosť je prvou úrovňou zabezpečenia, ktorá musí byť zabezpečená pre každý počítačový systém. Okrem toho k samozrejmým metódam zaistenia fyzickej bezpečnosti patria zámky na dverách, káble v krabiciach, uzavreté zásuvky stolov, video monitorovacie zariadenia atď. Na umocnenie týchto rokmi overených udalostí môžete použiť aj počítačové zámky rôznych dizajnov, ktorých hlavným účelom je z toho je nasledovný:
Predchádzanie krádeži vášho počítača a jeho komponentov;
Zabránenie možnosti reštartovania počítača neoprávnenými osobami, ako aj používanie vlastných diskov alebo iných periférnych zariadení;
Prerušenie počítača pri otvorení puzdra;
Blokovanie práce s klávesnicou a myšou.
Pri inštalácii systému Linux by ste si mali pozorne prečítať dokumentáciu systému BIOS. BIOS je najbližšia vrstva softvéru k hardvéru a mnoho zavádzačov Linuxu používa funkcie systému BIOS na ochranu pred škodlivým reštartom a manipuláciu so systémom Linux.
Niektoré zavádzače systému Linux vám umožňujú nastaviť heslo, ktoré sa zobrazí pri zavádzaní systému. Takže pri práci s LILO (Linux Loader) môžete použiť voľby (umožňuje vám nastaviť heslo pre bootstrapping) a (umožňuje spustenie po zadaní určitých možností ako odpoveď na výzvu LILO).
Z času na čas je potrebné opustiť počítač. V takýchto situáciách je užitočné uzamknúť konzolu, aby ste zabránili komukoľvek vidieť vaše meno a výsledky práce. Na vyriešenie tohto problému používa Linux programy xlock a vlock. Pomocou xlock je zablokovaný prístup pre displej X (pre obnovenie prístupu je potrebné zadať registračné heslo). Na rozdiel od xlocku vám vlock umožňuje blokovať činnosť jednotlivých (alebo všetkých) virtuálnych konzol linuxového stroja. Pri používaní týchto užitočných programov musíte jasne pochopiť, že nechránia pred reštartovaním alebo inými metódami prerušenia systému.
Väčšina metód, ktorými môže útočník získať prístup k zdrojom, vyžaduje reštart alebo vypnutie počítača. V tomto ohľade musíte byť veľmi seriózni pri akýchkoľvek známkach hackovania na skrinke aj vo vnútri počítača, aby ste zaznamenali a analyzovali všetky zvláštnosti a nezrovnalosti v systémovom denníku. V tomto prípade treba vychádzať zo skutočnosti, že každý zlodej sa vždy snaží zakryť stopy svojej prítomnosti. Ak chcete zobraziť systémový protokol, zvyčajne stačí skontrolovať obsah súborov syslog, správ, faillog a maillog v adresári / var / log. Je tiež užitočné nainštalovať skript rotácie protokolov alebo démona, ktorý ukladá protokoly do špecifikovanej hĺbky (nedávne distribúcie Red Hat na to používajú balík logrotate).
Niekoľko slov o lokálnej bezpečnosti systémov Linux. Zvyčajne zahŕňa dve veci: ochranu pred lokálnymi používateľmi a ochranu pred správcom systému. Nie je žiadnym tajomstvom, že získanie prístupu k účtom lokálnych používateľov je prvou úlohou, ktorú si útočník kladie pri pokuse preniknúť do systému. Ak neexistujú žiadne spoľahlivé prostriedky miestnej ochrany, potom môže útočník pomocou chýb v OS a / alebo nesprávne nakonfigurovaných služieb ľahko zmeniť autoritu smerom nahor, čo má vážne následky. Všeobecné pravidlá, ktoré sa musia dodržiavať na zvýšenie lokálnej bezpečnosti, sú nasledovné: udelenie minimálnej požadovanej úrovne privilégií; kontrola registrácie všetkých používateľov; včasné stiahnutie používateľských účtov. Majte na pamäti, že nečestné účty sú dokonalým odrazovým mostíkom na preniknutie do systému.
Vážne nebezpečenstvo pre systém Linux predstavuje aj neuvážené a nesprávne konanie administrátora. Správca by preto mal vždy pamätať na to, že neustála práca s účtom superužívateľa (root) je veľmi nebezpečný štýl (ako kompromis je lepšie použiť príkazy su alebo sudo). Práva superužívateľa by mal využívať len na riešenie konkrétnych úloh, v ostatných prípadoch sa odporúča použiť bežný používateľský účet. Okrem toho by mal správca pri vykonávaní zložitých príkazov používať režimy, ktoré nespôsobia stratu údajov. A posledná vec: správca nesmie zabudnúť na existenciu<троянских коней>, pretože programy tohto typu môžu pri spustení s právami superužívateľa vážne narušiť bezpečnostný systém. Aby ste tomu zabránili, je potrebné starostlivo sledovať proces inštalácie programov do počítača (najmä distribúcia RedHat umožňuje používanie digitálnych podpisov md5 a pgp na kontrolu integrity súborov rmp počas inštalácie systému).
Ochrana Linuxu pomocou hesiel
Analýza rizík na úrovni OS ukazuje, že najväčšie nebezpečenstvo predstavujú činy kyberzločincov spojené s krádežami alebo hádaním hesiel. Ochrana heslom by preto mala zaujímať popredné miesto v bezpečnostnom systéme akéhokoľvek operačného systému.
Ochrana heslom je oblasť, v ktorej sa Linux výrazne líši od mnohých komerčných verzií Unixu a iných operačných systémov, a to k lepšiemu.
Vo väčšine moderných implementácií Linuxu program passwd bráni používateľovi zadávať ľahko uhádnuteľné heslá varovaním pred možným nebezpečenstvom hesla (žiaľ, zadávanie hesla nie je blokované). Existuje mnoho programov na kontrolu stability súboru špecifického hesla na uhádnutie. Okrem toho ich s úspechom používajú správcovia systému aj crackeri. Najbežnejšími predstaviteľmi tejto triedy programov sú Crack a John Ripper. Stojí za zmienku, že tieto programy vyžadujú dodatočný čas procesora, ale táto strata je celkom opodstatnená - nahradenie slabých hesiel výrazne znižuje pravdepodobnosť preniknutia do systému.
Linux poskytuje ochranu heslom prostredníctvom troch hlavných mechanizmov:
1. Šifrovanie hesiel.
2. Mechanizmus<теневых паролей>.
3. Mechanizmus Pluggable Authentication Modules (PAM).
Stručne zvážime podstatu týchto mechanizmov.
Šifrovanie hesiel.
Linux tradične používa DES na šifrovanie hesiel. Zašifrované heslo je zvyčajne umiestnené v súbore / etc / passwd. Keď sa používateľ pokúsi prihlásiť do systému, ním zadané heslo sa zašifruje a potom sa porovná so záznamom v súbore hesiel. Ak sa nájde zhoda, systém udelí prístup. Program na šifrovanie hesiel používa jednosmerné šifrovanie (dosiahnuté tým, že samotné heslo je kľúčom na šifrovanie hesla). Bohužiaľ, DES je v súčasnosti zraniteľný voči útokom z výkonných počítačov (použitie brute-force alebo brute-force útokov vo väčšine prípadov vedie k hádaniu hesiel). Pre Linux boli preto okrem šifrovania vyvinuté dva výkonnejšie bezpečnostné mechanizmy.
Mechanizmus<теневых паролей>.
Podstata tohto mechanizmu je jednoduchá: súbor hesiel, dokonca aj zašifrovaný, je prístupný iba správcovi systému. Na tento účel sa umiestni do tieňového súboru / etc /, ktorý čítajú iba superužívatelia. Na implementáciu takejto schémy ochrany v systéme Linux sa používa sada softvérových nástrojov Shadow Suite. Vo väčšine distribúcií Linuxu je mechanizmus<теневых паролей>nie je predvolene povolené (možno okrem RedHat). Ale je to Linux, ktorý sa priaznivo vyznačuje prítomnosťou najnovšieho mechanizmu, pomocou ktorého môžete ľahko zorganizovať výkonný ochranný systém. Ide o technológiu zásuvného autentifikačného modulu (PAM).
mechanizmus PAM.
Bezpečnostné moduly sú množinou otvorených knižníc určených na vykonávanie množiny funkcií (zadávanie hesla alebo overovanie jeho pravosti). Každý program, ktorý používa bezpečnostný systém, môže používať moduly PAM a v dôsledku toho poskytnúť akúkoľvek úroveň zabezpečenia. Pri použití tohto najmodernejšieho mechanizmu sústreďuje programátor svoju pozornosť na riešenie aplikovaného problému. Nepotrebuje vymýšľať systém ochrany, pričom je zaručené aj to, že v tomto systéme nepoučuje<дыр>... Technológia PAM umožňuje implementovať niektoré nové možnosti pri vytváraní bezpečnostného systému: v bezpečnostných moduloch (MD5 a podobne) sa používajú neštandardné šifrovacie postupy; nastavenie obmedzení využívania systémových prostriedkov používateľmi (zabránenie iniciovania útokov ako napr<Отказ в обслуживании>); nastavenie povolenia pre jednotlivých používateľov registrovať sa len v pevných intervaloch a len z určitých terminálov alebo uzlov.
Dodatočné ochrany Linuxu
Ochrana dát.
Linux používa balík Tripwire na kontrolu integrity údajov, ktorá môže byť narušená lokálnymi aj sieťovými útokmi. Pri spustení vypočíta kontrolné súčty všetkých základných binárnych súborov a konfiguračných súborov a potom ich porovná s referenčnými hodnotami uloženými v špeciálnej databáze. Vďaka tomu má administrátor možnosť kontrolovať akékoľvek zmeny v systéme. Tripwire je vhodné umiestniť na disketu bez zápisu a spúšťať ju denne.
Samozrejme, že je užitočné uchovávať dáta na diskoch šifrované, aby sa zvýšila dôvernosť. Na zabezpečenie end-to-end šifrovania celého súborového systému Linux používa kryptografické súborové systémy CFS (Cryptographic File System) a TCFS (Transparent Cryptographic File System).
Ochrana displejov.
Ochrana grafického displeja je dôležitým bodom zabezpečenia systému. Je zameraná na vylúčenie možnosti zachytenia hesla, oboznámenie sa s informáciami zobrazenými na obrazovke atď. Na organizáciu tejto ochrany v systéme Linux sú k dispozícii nasledujúce nástroje:
Program xhost (umožňuje vám určiť, ktorí hostitelia majú povolený prístup k vášmu displeju);
Registrácia pomocou xdm (x display manager) - pre každého užívateľa je vygenerovaný 128-bitový kľúč (cookie);
Organizácia výmeny pomocou zabezpečeného shellu ssh (secure shell) - prúd nešifrovaných dát je vylúčený zo siete.
Okrem toho bol vyvinutý projekt GGI (Generic Graphics Interface) na organizáciu riadenia prístupu k video subsystému počítača v rámci Linuxu. Myšlienkou GGI je preniesť časť kódu, ktorý spracováva grafické adaptéry, do linuxového jadra. S GGI je prakticky nemožné spustiť falošné prihlasovacie programy na vašej konzole.
Ochrana siete. S napredovaním sieťových technológií sa otázky zabezpečenia siete stávajú čoraz dôležitejšími. Prax ukazuje, že často sú to sieťové útoky, ktoré sú najúspešnejšie. V moderných operačných systémoch sa preto ochrane siete venuje veľmi vážna pozornosť. Linux tiež používa niekoľko účinných nástrojov na zaistenie bezpečnosti siete:
Zabezpečené ssh shell, aby sa zabránilo útokom, ktoré využívajú analyzátory protokolov na získavanie hesiel;
programy Tcp_wrapper na obmedzenie prístupu k rôznym službám vo vašom počítači;
Sieťové skenery na identifikáciu slabých miest v počítači;
Tcpd démon na detekciu škodlivých pokusov o skenovanie portov (okrem tohto nástroja je užitočné pravidelne prezerať systémové protokolové súbory);
Šifrovací systém PGP (Pretty Good Privacy);
program Stelnet (zabezpečená verzia známeho programu telnet);
Qmail (zabezpečené doručovanie e-mailov);
Program Ipfwadm na konfiguráciu firewallov (firewall);
Režim kontroly hesiel vstupných pripojení pre systémy, ktoré umožňujú pripojenie cez externé dial-up komunikačné linky alebo lokálnu sieť.
Je povzbudzujúce poznamenať, že mnohé z týchto nástrojov sú súčasťou najnovších distribúcií Linuxu.
Záver
Linux je jedinečný operačný systém postavený na operačnom systéme Unix s dvadsaťpäťročnou históriou. Dnes je to snáď jediný príklad tak rozsiahlej a plodnej spolupráce špecialistov z celého sveta, ktoré spája internet. Preto je akýkoľvek subsystém tohto OS, vrátane subsystému ochrany, veľmi praktický a obsahuje veľa funkcií, z ktorých niektoré neboli dostatočne zohľadnené v tomto článku.
Napriek šialenej propagande riešení<от Microsoft>, OS rodiny Unix, vrátane Linuxu, sú čoraz rozšírenejšie a zachytávajú tie oblasti mikropočítačových aplikácií, pre ktoré je dôležitá spoľahlivosť systému ako celku, čo znamená nielen bezproblémovú prevádzku po dlhú dobu (mesiace a roky ), ale aj ochranu pred neoprávneným prístupom.
Linux vyvinul výkonný integrovaný bezpečnostný systém schopný zabezpečiť systémy fungujúce v rôznych prostrediach (od domácich počítačov po bankové systémy). Vďaka duchu vývoja Linuxu sa rôzne bezpečnostné záplaty objavujú oveľa rýchlejšie ako v komerčných operačných systémoch, a preto je Linux ideálnou platformou na budovanie spoľahlivých výpočtových systémov.
Odborníci na bezpečnosť OS veria, že budúcnosť spočíva v technológii pluggable authentication module (PAM) vyvinutej v Linuxe. Linux je opäť vpredu a čaká, kým ho bude nasledovať celý svet.