جيد جدًا للجميع ، قبل الدخول في تشديد فريقك ، أريد أن أخبرك أن المثبت الذي أقوم بتطويره لـ Gentoo هو بالفعل في مرحلة ما قبل ألفا ، وهذا يعني أن النموذج الأولي قوي بما يكفي ليتم اختباره من قبل الآخرين المستخدمين ، ولكن في الوقت نفسه لا يزال هناك طريق طويل لنقطعه ، وستساعد التعليقات من هذه المراحل (ما قبل ألفا ، ألفا ، بيتا) في تحديد الميزات المهمة للعملية 🙂 للمهتمين ...
https://github.com/ChrisADR/installer
. لا يزال لدي الإصدار باللغة الإنجليزية فقط ، ولكن آمل أن يكون للنسخة التجريبية بالفعل ترجمتها الإسبانية أيضًا (أتعلم هذا من ترجمات وقت التشغيل في Python ، لذلك لا يزال هناك الكثير لاكتشافه)
تصلب
عندما نتحدث عن تصلب، نشير إلى مجموعة كبيرة ومتنوعة من الإجراءات أو الإجراءات التي تعيق الوصول إلى نظام الكمبيوتر أو شبكة الأنظمة. هذا هو بالضبط سبب كونه موضوعًا شاسعًا مليئًا بالفروق الدقيقة والتفاصيل. في هذه المقالة ، سأقوم بإدراج بعض الأشياء الأكثر أهمية أو الموصى بها التي يجب مراعاتها عند حماية نظام ما ، وسأحاول الانتقال من الأكثر أهمية إلى الأقل أهمية ، ولكن دون الخوض كثيرًا في الموضوع نظرًا لأن كل نقطة من هذه النقاط سيكون سببًا لمقال خاص به
الوصول المادي
هذه بلا شك المشكلة الأولى والأكثر أهمية بالنسبة للفرق ، لأنه إذا كان لدى المهاجم وصول مادي سهل إلى الفريق ، فيمكن اعتباره بالفعل فريقًا ضائعًا. هذا صحيح بالنسبة لمراكز البيانات الكبيرة وأجهزة الكمبيوتر المحمولة داخل الشركة. تتمثل إحدى تدابير الحماية الرئيسية لهذه المشكلة في المفاتيح على مستوى BIOS ، بالنسبة لكل من يبدو هذا جديدًا بالنسبة لهم ، من الممكن وضع مفتاح للوصول المادي إلى BIOS ، بهذه الطريقة إذا أراد شخص ما تعديل معلمات تسجيل الدخول وبدء تشغيل الكمبيوتر من نظام مباشر ، لن تكون مهمة سهلة.
الآن هذا شيء أساسي وهو يعمل بالتأكيد إذا كان مطلوبًا حقًا ، لقد كنت في العديد من الشركات حيث لا يهم هذا ، لأنهم يعتقدون أن "حارس" الباب أكثر من كافٍ لتتمكن من تجنب الوصول المادي . لكن دعونا ننتقل إلى نقطة أكثر تقدمًا قليلاً.
LUKS
لنفترض لثانية أن "المهاجم" قد حصل بالفعل على وصول فعلي إلى الكمبيوتر ، فإن الخطوة التالية هي تشفير كل محرك أقراص ثابت موجود وقسم. لوك (إعداد مفتاح Linux الموحد) إنها إحدى مواصفات التشفير ، من بين أشياء أخرى ، يسمح LUKS بتشفير القسم باستخدام مفتاح ، وبهذه الطريقة ، عندما يبدأ النظام ، إذا كان المفتاح غير معروف ، فلا يمكن تثبيت القسم أو قراءته.
جنون العظمة
بالتأكيد هناك أشخاص يحتاجون إلى مستوى "أقصى" من الأمان ، وهذا يؤدي إلى حماية حتى أصغر جوانب النظام ، حسنًا ، يصل هذا الجانب إلى ذروته في النواة. نواة لينوكس هي الطريقة التي يتفاعل بها برنامجك مع الأجهزة ، إذا منعت برنامجك من "رؤية" الأجهزة ، فلن يتمكن من إلحاق الضرر بالمعدات. لإعطاء مثال ، نعلم جميعًا مدى "خطورة" USB مع الفيروسات عندما نتحدث عن Windows ، لأنه بالتأكيد يمكن أن يحتوي USB على رمز في Linux قد يكون أو لا يكون ضارًا لنظام ما ، إذا جعلنا النواة تتعرف فقط على النوع من USB (البرامج الثابتة) التي نريدها ، سيتم ببساطة تجاهل أي نوع آخر من USB من قبل فريقنا ، وهو أمر بالغ الصعوبة بالتأكيد ، ولكنه قد يعمل حسب الظروف.
الخدمات
عندما نتحدث عن الخدمات ، فإن الكلمة الأولى التي تتبادر إلى الذهن هي "الإشراف" ، وهذا شيء مهم للغاية ، لأن من أول الأشياء التي يقوم بها المهاجم عند دخوله إلى النظام هو الحفاظ على الاتصال. يعد إجراء تحليل دوري للاتصالات الواردة والصادرة على وجه الخصوص أمرًا مهمًا للغاية في النظام.
إيبتبلس
الآن ، لقد سمعنا جميعًا عن iptables ، إنها أداة تسمح لك بإنشاء قواعد إدخال وخروج البيانات على مستوى النواة ، وهذا بالتأكيد مفيد ، ولكنه أيضًا سيف ذو حدين. يعتقد الكثير من الناس أنه من خلال وجود "جدار الحماية" يكونون بالفعل خاليين من أي نوع من الدخول أو الخروج من النظام ، ولكن لا شيء أبعد عن الحقيقة ، يمكن أن يكون هذا بمثابة تأثير وهمي في كثير من الحالات. من المعروف أن جدران الحماية تعمل على أساس القواعد ، ويمكن بالتأكيد تجاوزها أو خداعها للسماح بنقل البيانات عبر الموانئ والخدمات التي تعتبرها القواعد "مسموحًا بها" ، إنها مجرد مسألة إبداع 🙂
الاستقرار مقابل الإصدار المتداول
الآن هذه نقطة خلافية في العديد من الأماكن أو المواقف ، لكن اسمحوا لي أن أشرح وجهة نظري. بصفتي عضوًا في فريق الأمان الذي يراقب العديد من المشكلات في الفرع الثابت لتوزيعنا ، فأنا على دراية بالعديد من نقاط الضعف الموجودة على أجهزة Gentoo الخاصة بمستخدمينا ، وتقريبًا جميعهم. الآن ، تمر توزيعات مثل Debian و RedHat و SUSE و Ubuntu والعديد من التوزيعات الأخرى بنفس الشيء ، ويمكن أن تختلف أوقات رد فعلها وفقًا للعديد من الظروف.
دعنا نذهب إلى مثال واضح ، بالتأكيد قد سمع الجميع عن Meltdown و Specter وسلسلة كاملة من الأخبار التي تم نشرها عبر الإنترنت هذه الأيام ، حسنًا ، تم تصحيح أكثر فرع "إصدار متداول" من النواة بالفعل ، تكمن المشكلة في إحضار هذه الإصلاحات إلى النواة القديمة ، فإن backporting هو بالتأكيد عمل شاق وشاق. الآن بعد ذلك ، لا يزال يتعين عليهم اختبارها من قبل مطوري التوزيع ، وبمجرد اكتمال الاختبار ، سيكون متاحًا فقط للمستخدمين العاديين. ماذا أريد أن أحصل على هذا؟ لأن نموذج الإصدار المتداول يتطلب منا معرفة المزيد عن النظام وطرق إنقاذه في حالة فشل شيء ما ، ولكن هذا هو جيد، لأن الحفاظ على السلبية المطلقة في النظام له العديد من الآثار السلبية لكل من المسؤول والمستخدمين.
تعرف على برنامجك
هذه إضافة قيّمة جدًا عند الإدارة ، أشياء بسيطة مثل الاشتراك في أخبار البرنامج الذي تستخدمه يمكن أن تساعدك على معرفة إشعارات الأمان مسبقًا ، وبهذه الطريقة يمكنك إنشاء خطة رد فعل وفي نفس الوقت معرفة مقدارها يستغرق كل توزيع وقتًا لحل المشكلات ، ومن الأفضل دائمًا أن تكون استباقيًا في هذه المشكلات لأن أكثر من 70٪ من الهجمات على الشركات يتم تنفيذها بواسطة برامج قديمة.
انعكاس
عندما يتحدث الناس عن التصلب ، غالبًا ما يُعتقد أن الفريق "المحمي" هو دليل ضد كل شيء ، ولا يوجد شيء أكثر خطأ. كما تشير ترجمته الحرفية ، تصلب يعني جعل الأمور أكثر صعوبة ، وليست مستحيلة ... ولكن في كثير من الأحيان يعتقد الكثير من الناس أن هذا ينطوي على السحر الأسود والعديد من الحيل مثل مواضع الجذب ... هذه ميزة إضافية ، ولكن إذا لم تتمكن من القيام بالأشياء الأساسية مثل تحديث البرنامج أو اللغة البرمجة ... ليست هناك حاجة لإنشاء شبكات وهمية وفرق ذات إجراءات مضادة ... أقول هذا لأنني رأيت العديد من الشركات حيث يطلبون إصدارات من PHP 4 إلى 5 (من الواضح أنه توقف) ... أشياء معروفة اليوم بها مئات إن لم يكن الآلاف من العيوب الأمان ، ولكن إذا لم تستطع الشركة مواكبة التكنولوجيا ، فلا فائدة من قيامها بالباقي.
أيضًا ، إذا كنا نستخدم جميعًا برامج مجانية أو مفتوحة ، فعادةً ما يكون وقت رد الفعل للأخطاء الأمنية قصيرًا جدًا ، وتأتي المشكلة عندما نتعامل مع برنامج احتكاري ، لكنني أترك ذلك لمقال آخر ما زلت آمل أن أكتبه قريبًا.
شكرا جزيلا على حضورك إلى هنا 🙂 تحياتي
ممتاز
شكرا جزيلا 🙂 تحياتي
أكثر ما يعجبني هو البساطة عند التعامل مع هذه المشكلة ، والأمن في هذه الأوقات. شكرًا لك ، سأبقى في Ubuntu طالما أنها ليست في حاجة ماسة لأنني لا أشغل القسم الذي لدي في Windows 8.1 في الوقت الحالي. تحياتي.
مرحبًا نورما ، بالتأكيد فرق أمان Debian و Ubuntu فعالة جدًا 🙂 لقد رأيت كيف يتعاملون مع الحالات بسرعة مذهلة وهم بالتأكيد يجعلون مستخدميهم يشعرون بالأمان ، على الأقل إذا كنت على Ubuntu ، سأشعر بمزيد من الأمان 🙂
تحياتي ، وصحيح ، إنها قضية بسيطة ... الأمن أكثر من الفن المظلم هو مسألة معايير دنيا 🙂
شكرا جزيلا على مساهمتكم لك!
مثير جدا للاهتمام ، لا سيما جزء من إصدار Rolling.
لم أكن قد أخذت ذلك في الحسبان ، والآن يتعين علي إدارة خادم مع Gentoo لمعرفة الاختلافات بيني وبين Devuan.
تحية كبيرة وملاحظة مشاركة هذا الإدخال في شبكات التواصل الاجتماعي الخاصة بي حتى تصل هذه المعلومات إلى المزيد من الأشخاص !!
بفضل!
مرحبًا بك ألبرتو كنت مدينًا لكوني أول من أجاب على الطلب من المدونة السابقة 🙂 لذا تحياتي والآن نواصل كتابة هذه القائمة المعلقة
حسنًا ، تطبيق التقوية مع وجود شبح ، سيكون مثل ترك الكمبيوتر أكثر ضعفًا في حالة استخدام sanboxing على سبيل المثال. من الغريب أن أجهزتك ستكون أكثر أمانًا ضد الشبح كلما قلت طبقات الأمان التي تطبقها ... مضحك ، أليس كذلك؟
هذا يذكرني بمثال يمكن أن يقدم مقالة كاملة ... باستخدام -fsanitize = address في المترجم قد يجعلنا نعتقد أن البرنامج المترجم سيكون أكثر "أمانًا" ، لكن لا شيء أبعد عن الحقيقة ، أعرف مطورًا حاول بدلاً من القيام بذلك مع الفريق بأكمله ... اتضح أن الهجوم أسهل من هجوم واحد دون استخدام ASAN ... الأمر نفسه ينطبق في جوانب مختلفة ، استخدام الطبقات الخاطئة عندما لا تعرف ماذا يفعلون ، هو أكثر ضررًا من عدم استخدام أي شيء ، أعتقد أن هذا هو ما شيء يجب علينا جميعًا مراعاته عند محاولة حماية نظام ما ... وهو ما يعيدنا إلى حقيقة أن هذا ليس سحرًا غامضًا ، ولكنه مجرد حس عام شكرًا على مساهمتك
بالنسبة لوجهة نظري ، فإن أخطر ثغرة أمنية مرتبطة بالوصول المادي والخطأ البشري ، لا تزال الأجهزة ، تاركة Meltdown و Specter جانبًا ، منذ العصور القديمة ، لوحظ أن متغيرات من دودة LoveLetter كتبت رمزًا في BIOS المعدات ، نظرًا لأن بعض إصدارات البرامج الثابتة في SSD تسمح بتنفيذ التعليمات البرمجية عن بُعد والأسوأ من وجهة نظري هو محرك إدارة Intel ، وهو انحراف كامل للخصوصية والأمان ، لأنه لم يعد مهمًا إذا كان الجهاز يحتوي على تشفير AES ، التعتيم أو أي نوع من التصلب ، لأنه حتى إذا تم إيقاف تشغيل الكمبيوتر ، فإن محرر أسلوب الإدخال سيؤدي إلى إفسادك.
ومن المفارقات أيضًا أن جهاز Tinkpad X200 2008 الذي يستخدم LibreBoot أكثر أمانًا من أي كمبيوتر حالي.
أسوأ شيء في هذا الموقف هو أنه لا يوجد لديه حل ، لأنه لن يتم إصدار Intel أو AMD أو Nvidia أو Gygabite أو أي شركة مصنّعة للأجهزة المعروفة إلى حد ما بموجب GPL أو أي ترخيص مجاني آخر ، تصميم الأجهزة الحالي ، لسبب الاستثمار مليون دولار لشخص آخر لنسخ الفكرة الحقيقية.
رأسمالية جميلة.
Kra صحيح جدًا 🙂 من الواضح أنك بارع جدًا في الأمور الأمنية 😀 لأنه في الواقع تعتبر البرامج والأجهزة المملوكة ملكية فكرية ، ولكن لسوء الحظ لا يوجد الكثير لتفعله فيما يتعلق بـ "التصلب" ، لأنه كما قلت ، هذا شيء يفلت من جميع البشر تقريبًا ، باستثناء أولئك الذين يعرفون البرمجة والإلكترونيات.
تحياتي وشكرا على المشاركة 🙂
مثير جدا للاهتمام ، الآن البرنامج التعليمي لكل قسم سيكون xD جيد
بالمناسبة ، ما مدى خطورة أن أضع Raspberry Pi وفتحت المنافذ الضرورية لاستخدام سحابة خاصة أو خادم ويب من خارج المنزل؟
أنا مهتم تمامًا ولكني لا أعرف ما إذا كان لدي الوقت لمراجعة سجلات الوصول ، وإلقاء نظرة على إعدادات الأمان من وقت لآخر ، وما إلى ذلك ...
مساهمة ممتازة ، شكرا لتقاسم معرفتك.