Здравейте на всички, преди да започнем да закаляваме екипа ви, искам да ви кажа, че инсталаторът, който разработвам за Gentoo, вече е в своята пре-алфа фаза това означава, че прототипът е достатъчно здрав, за да бъде тестван от други потребители, но при същевременно има още дълъг път и обратната връзка от тези етапи (пред-алфа, алфа, бета) ще помогне да се определят важни характеристики за процеса За тези, които се интересуват...
https://github.com/ChrisADR/installer
. Все още имам версията само на английски, но се надявам, че за бета версията вече има и своя испански превод (научавам това от превода по време на изпълнение в python, така че има още много за откриване)
закалка
Когато говорим за това закалка, ние се позоваваме на голямо разнообразие от действия или процедури, които възпрепятстват достъпа до компютърна система или мрежа от системи. Точно затова е обширна тема, пълна с нюанси и подробности. В тази статия ще изброя някои от най-важните или препоръчителни неща, които трябва да се вземат предвид при защита на системата, ще се опитам да премина от най-критичните към най-малко критичните, но без да задълбавам много в темата, тъй като всяка от тези точки тя би била предмет на собствена статия.
Физически достъп
Това несъмнено е първият и най-важен проблем за отборите, тъй като ако нападателят има лесен физически достъп до отбора, те вече могат да се броят като загубен отбор. Това важи както за големите центрове за данни, така и за лаптопите в рамките на една компания. Една от основните мерки за защита на този проблем са ключовете на ниво BIOS, за всички, за които това звучи ново, е възможно да се постави ключ за физическия достъп на BIOS, по този начин, ако някой иска да модифицира параметри за влизане и стартиране на компютъра от активна система, това няма да е лесна работа.
Сега това е нещо основно и със сигурност работи, ако наистина се изисква, бил съм в няколко компании, където това няма значение, тъй като те вярват, че охранителят на вратата е повече от достатъчен, за да предотврати физически достъп. Но нека стигнем до малко по-напреднала точка.
ЛУКС
Да предположим за секунда, че „нападател“ вече е получил физически достъп до компютъра, следващата стъпка е да шифрова всеки съществуващ твърд диск и дял. LUKS (Настройка на унифициран ключ за Linux) Това е спецификация за криптиране, наред с други неща LUKS позволява даден дял да бъде криптиран с ключ, по този начин, когато системата стартира, ако ключът не е известен, дялът не може да бъде монтиран или прочетен.
Параноя
Със сигурност има хора, които се нуждаят от "максимално" ниво на сигурност и това води до защита дори на най-малкия аспект на системата, добре, този аспект достига своя връх в ядрото. Ядрото на Linux е начинът, по който вашият софтуер ще взаимодейства с хардуера, ако предотвратите софтуера да „види“ хардуера, той няма да може да навреди на оборудването. За да дадем пример, всички знаем колко опасен е USB с вируси, когато говорим за Windows, защото със сигурност USB може да съдържа код в Linux, който може или не може да бъде вреден за системата, ако накараме ядрото да разпознава само типа от usb (фърмуер), който искаме, всеки друг тип USB просто ще бъде игнориран от нашия екип, нещо със сигурност малко екстремно, но може да работи в зависимост от обстоятелствата.
услуги
Когато говорим за услуги, първата дума, която идва на ум е „надзор“ и това е нещо доста важно, тъй като едно от първите неща, които атакуващият прави при влизане в система, е да поддържа връзката. Извършването на периодичен анализ на входящите и особено изходящите връзки е много важно в системата.
iptables
Всички сме чували за iptables, това е инструмент, който ви позволява да генерирате правила за въвеждане и изход на данни на ниво ядро, това със сигурност е полезно, но също така е нож с две остриета. Много хора вярват, че като имат "защитна стена", те вече са свободни от всякакъв вид влизане или излизане от системата, но нищо не може да бъде по-далеч от истината, това може да служи само като плацебо ефект в много случаи. Известно е, че защитните стени работят въз основа на правила и те със сигурност могат да бъдат заобиколени или измамени, за да позволят данните да бъдат транспортирани през портове и услуги, за които правилата биха ги считали за „разрешени“, това е просто въпрос на креативност
Стабилност срещу освобождаване при търкаляне
Сега това е доста спорен въпрос на много места или ситуации, но нека да обясня своята гледна точка. Като член на екип по сигурността, който следи за много от проблемите в стабилния клон на нашата дистрибуция, аз съм наясно с много, почти всички уязвимости, които съществуват на машините Gentoo на нашите потребители. Сега дистрибуции като Debian, RedHat, SUSE, Ubuntu и много други преминават през едно и също нещо и времето им на реакция може да варира в зависимост от много обстоятелства.
Нека да отидем на ясен пример, със сигурност всички са чували за Meltdown, Spectre и цяла поредица от новини, които обикалят интернет тези дни, е, най-„разтърсващото“ разклонение на ядрото вече е закърпено, проблемът се крие Довеждайки тези корекции към по-старите ядра, backporting със сигурност е тежка и упорита работа. След това те все още трябва да бъдат тествани от разработчиците на дистрибуцията и след като тестването приключи, то ще бъде достъпно само за нормални потребители. Какво искам да получа с това? Тъй като моделът с подвижно освобождаване изисква да знаем повече за системата и начините за нейното спасяване, ако нещо се провали, но това е така добър, тъй като поддържането на абсолютна пасивност в системата има няколко негативни ефекта както за администратора, така и за потребителите.
Познайте вашия софтуер
Това е много ценно допълнение при управлението, неща, които са толкова прости, колкото да се абонирате за новините на софтуера, който използвате, могат да ви помогнат да знаете предварително предупрежденията за сигурност, по този начин можете да генерирате план за реакция и в същото време да видите колко Отнема време на всяко разпространение, за да реши проблемите, винаги е по-добре да бъдете проактивни в тези проблеми, защото повече от 70% от атаките срещу компании се извършват от остарял софтуер.
Размисъл
Когато хората говорят за втвърдяване, често се смята, че „защитеният“ екип е доказателство срещу всичко и няма нищо по-фалшиво. Както показва неговият буквален превод, закалка предполага да направим нещата по-трудни, НЕ невъзможни ... но много пъти много хора мислят, че това включва тъмна магия и много трикове като медни съдове ... това е допълнително, но ако не можете да направите най-основните неща като поддържане на софтуер или езиково актуализирано програмиране ... няма нужда да се създават фантомни мрежи и екипи с контрамерки ... Казвам това, защото съм виждал няколко компании, в които искат версии на PHP 4 до 5 (очевидно прекратени) ... неща, които днес Известно е, че имат стотици, ако не и хиляди недостатъци на сигурността, но ако компанията не може да се справи с технологиите, е безполезно, ако направи останалото.
Освен това, ако всички използваме безплатен или отворен софтуер, времето за реакция при грешки в сигурността обикновено е доста кратко, проблемът идва, когато имаме работа със собствен софтуер, но оставям това за друга статия, която все пак се надявам да напиша скоро.
Благодаря ви много, че стигнахте дотук поздрави
Отличен
Много благодаря 🙂 поздрави
Това, което най-много ми харесва, е простотата при справяне с този проблем, сигурността в тези времена. Благодаря, че ще остана в Ubuntu, стига да няма остра нужда, защото не заемам дяла, който имам в windows 8.1 в момент.Поздрави.
Здравейте норма, със сигурност екипите за сигурност на Debian и Ubuntu са доста ефективни 🙂 Виждал съм как се справят със случаите с невероятна скорост и със сигурност карат потребителите си да се чувстват в безопасност, поне ако бях на Ubuntu, щях да се чувствам малко по-сигурен 🙂
Поздрави и вярно, това е прост въпрос ... сигурността повече от тъмното изкуство е въпрос на минимални критерии 🙂
Благодаря ви много за вашия принос!
Много интересно, особено частта от Rolling release.
Не бях взел това предвид, сега трябва да управлявам сървър с Gentoo, за да видя разликите, които имам с Devuan.
Голям поздрав и ps за споделяне на този запис в моите социални мрежи, така че тази информация да достигне до повече хора !!
Благодаря ви!
Добре дошъл, Алберто 🙂 Бях в дълг, защото първи отговорих на искането на предишния блог 🙂 така че поздрави и сега да продължа със списъка на чакащите да напиша 🙂
Е, приложете втвърдяване с призрак там, би било като да оставите компютъра по-уязвим в случай на използването на sanboxing например. Любопитното е, че вашето оборудване ще бъде по-безопасно срещу призрак, колкото по-малко защитни слоеве прилагате ... любопитно, нали?
това ми напомня на пример, който може да представи цяла статия ... използването на -fsanitize = адрес в компилатора може да ни накара да мислим, че компилираният софтуер ще бъде по-"сигурен", но нищо не може да бъде по-далеч от истината, познавам разработчик, който е опитал Вместо да го правите с целия екип ... оказа се, че е по-лесно да атакувате, отколкото един, без да използвате ASAN ... същото се прилага в различни аспекти, използването на грешни слоеве, когато не знаете какво правят, е по-вредно, отколкото да не използвате нищо. нещо, което всички трябва да вземем предвид, когато се опитваме да защитим система ... което ни връща към факта, че това не е тъмна магия, а просто здрав разум 🙂 благодаря за вашия принос
За моята гледна точка, най-сериозната уязвимост, приравнена на физическия достъп и човешката грешка, все още е хардуерът, оставяйки Meltdown и Spectre настрана, тъй като от стари времена се вижда, че варианти на червея LoveLetter пишат код в BIOS на оборудване, тъй като някои версии на фърмуера в SSD позволяват дистанционно изпълнение на код и най-лошата от моя гледна точка Intel Management Engine, което е пълно отклонение за поверителността и сигурността, защото вече няма значение дали оборудването има AES криптиране, замъгляване или всякакъв вид втвърдяване, защото дори компютърът да е изключен, IME ще ви прецака.
И парадоксално, но Tinkpad X200 от 2008 г., който използва LibreBoot, е по-безопасен от всеки настоящ компютър.
Най-лошото в тази ситуация е, че тя няма решение, защото нито Intel, AMD, Nvidia, Gygabite или който и да е умерено известен производител на хардуер няма да пусне под GPL или друг безплатен лиценз, настоящия хардуерен дизайн, защото защо да инвестираме милиони долари някой друг да копира истинската идея.
Красив капитализъм.
Много вярно Kra 🙂 очевидно е, че сте доста владеещ проблемите на сигурността 😀, защото всъщност собственият софтуер и хардуер са въпрос на грижи, но за съжаление малко може да се направи по отношение на „втвърдяването“, тъй като както казвате, това е нещо това успява да избяга от почти всички смъртни, с изключение на тези, които познават програмирането и електрониката.
Поздрави и благодарности за споделянето 🙂
Много интересно, сега урок за всеки раздел би бил добър xD
Между другото, колко опасно е, ако сложа Raspberry Pi и отворя необходимите портове, за да използвам owncloud или уеб сървър извън дома?
Това е, че съм доста заинтересован, но не знам дали ще имам време да прегледам регистрационните файлове за достъп, да проверявам настройките за сигурност от време на време и т.н. и т.н. ...
Отличен принос, благодаря за споделянето на вашите знания.