Vrlo dobro za sve, prije nego što uđem u otvrdnjavanje vašeg tima, želim vam reći da je instalacijski program koji razvijam za Gentoo već u predalfa fazi 😀 to znači da je prototip dovoljno robustan da ga drugi mogu testirati korisnicima, ali u isto vrijeme još je dug put i povratne informacije iz ovih faza (pre-alfa, alfa, beta) pomoći će u definiranju važnih karakteristika procesa 🙂 Za one koji su zainteresirani ...
https://github.com/ChrisADR/installer
. Još uvijek imam verziju samo na engleskom, ali nadam se da i za beta ima svoj prijevod na španjolski (ovo učim iz runtime prijevoda u pythonu, tako da još moram puno toga otkriti)
Otvrdnjavanje
Kada pričamo kaljenje, pozivamo se na veliku raznolikost radnji ili postupaka koji ometaju pristup računarskom sistemu ili mreži sistema. Upravo je to razlog zašto je riječ o širokoj temi prepunoj nijansi i detalja. U ovom članku navest ću neke od najvažnijih ili preporučenih stvari koje treba uzeti u obzir prilikom zaštite sustava, pokušat ću prijeći od najkritičnijeg do najmanje kritičnog, ali bez da se previše upuštam u temu budući da svaka od ovih točaka to bi bio predmet vlastitog članka.
Fizički pristup
Ovo je nesumnjivo prvi i najvažniji problem za timove, jer ako napadač ima lak fizički pristup timu, oni se već mogu računati kao izgubljena momčad. To se odnosi i na velike data centre i na laptope unutar kompanije. Jedna od glavnih mjera zaštite za ovaj problem su ključevi na nivou BIOS-a, za sve one kojima ovo zvuči novo, moguće je staviti ključ fizičkog pristupa BIOS-u, na taj način ako neko želi izmijeniti parametre prijavite se i pokrenite računar iz aktivnog sistema, to neće biti lak posao.
Sada je ovo nešto osnovno i to sigurno funkcionira ako je zaista potrebno, bio sam u nekoliko kompanija u kojima to nije važno, jer smatraju da je sigurnosni "čuvar" vrata više nego dovoljan da može izbjeći fizički pristup . Ali, idemo na malo napredniju točku.
LUXURY
Pretpostavimo na trenutak da je "napadač" već stekao fizički pristup računaru, sljedeći korak je šifriranje svakog postojećeg tvrdog diska i particije. LUKS (Linux Unified Key Setup) To je specifikacija šifriranja, između ostalog LUKS omogućava particiji da se šifrira ključem, na taj način, kada se sistem pokrene, ako ključ nije poznat, particija se ne može montirati ili čitati.
paranoja
Svakako postoje ljudi kojima je potreban "maksimalni" nivo sigurnosti, a to dovodi do zaštite i najmanjeg aspekta sistema, pa, ovaj aspekt dostiže svoj vrhunac u jezgri. Linux kernel je način na koji će vaš softver komunicirati s hardverom. Ako spriječite da softver "vidi" hardver, neće moći naštetiti opremi. Dajući primjer, svi znamo koliko je USB s virusima "opasan" kada govorimo o Windowsu, jer zasigurno USB može sadržavati kod u Linuxu koji može ili ne mora biti štetan za sistem, ako jezgru učinimo da prepoznaje samo tip od usba (firmware-a) koji želimo, bilo koji drugi tip USB-a naš bi tim jednostavno ignorirao, nešto sigurno malo ekstremno, ali moglo bi raditi ovisno o okolnostima.
usluge
Kada govorimo o uslugama, prva riječ koja mi padne na pamet je "nadzor", a to je nešto prilično važno, jer je jedna od prvih stvari koju napadač čini prilikom ulaska u sustav održavanje veze. Izvođenje periodične analize dolaznih i posebno odlaznih veza veoma je važno u sistemu.
iptables
Sad smo svi čuli za iptables, to je alat koji vam omogućuje generiranje pravila unosa i izlaska podataka na razini jezgre, ovo je svakako korisno, ali je i mač s dvije oštrice. Mnogi ljudi vjeruju da su posjedovanjem "zaštitnog zida" već oslobođeni bilo koje vrste ulaska ili izlaska iz sistema, ali ništa nije dalje od istine, ovo u mnogim slučajevima može poslužiti samo kao placebo efekt. Poznato je da zaštitni zidovi rade na temelju pravila, a njih se sigurno može zaobići ili prevariti tako da omoguće prijenos podataka kroz luke i usluge za koje bi pravila smatrala da su "dopuštena", samo je stvar kreativnosti 🙂
Stabilnost protiv otpuštanja
Ovo je prilično sporno pitanje na mnogim mjestima ili u situacijama, ali dopustite mi da objasnim svoje stajalište. Kao član sigurnosnog tima koji nadgleda mnoge probleme stabilne grane naše distribucije, svjestan sam mnogih, gotovo svih ranjivosti koje postoje na Gentoo mašinama naših korisnika. Sada distribucije poput Debiana, RedHat-a, SUSE-a, Ubuntu-a i mnogih drugih prolaze kroz istu stvar, a njihova vremena reakcije mogu varirati ovisno o mnogim okolnostima.
Idemo na jasan primjer, sigurno su svi čuli za Meltdown, Spectre i čitav niz vijesti koje su ovih dana letele po Internetu, pa, većina "valjanih" grana jezgre je već zakrpana, problem leži U donošenju tih ispravki na starije jezgre, backport je sigurno naporan i težak posao. Nakon toga, programeri distribucije moraju ih još testirati, a nakon završetka testiranja bit će dostupni samo normalnim korisnicima. Šta želim dobiti s ovim? Budući da model otpuštanja traži da znamo više o sistemu i načinima da ga spasimo ako nešto zakaže, ali to je tako dobro, jer održavanje apsolutne pasivnosti u sistemu ima nekoliko negativnih efekata i za administratora i za korisnike.
Upoznajte svoj softver
Ovo je vrlo dragocjen dodatak prilikom upravljanja, jednostavne stvari poput pretplate na vijesti o softveru koji koristite mogu vam pomoći da unaprijed znate sigurnosne napomene, na taj način možete generirati plan reakcije i istovremeno vidjeti koliko Potrebno je vrijeme da svaka distribucija riješi probleme, uvijek je bolje biti proaktivan u tim problemima, jer više od 70% napada na kompanije vrši zastarjeli softver.
Reflexión
Kad ljudi govore o otvrdnjavanju, često se vjeruje da je "zaštićeni" tim dokaz protiv svega i nema ništa lažnije. Kao što njegov doslovni prijevod ukazuje, kaljenje podrazumijeva otežavanje stvari, A NE nemoguće ... ali mnogo puta mnogi ljudi misle da to uključuje mračnu magiju i mnoge trikove poput lončića ... ovo je dodatak, ali ako ne možete učiniti najosnovnije stvari poput redovnog ažuriranja softvera ili jezika programiranje ... nema potrebe za stvaranjem fantomskih mreža i timova s protumjerama ... kažem to jer sam vidio nekoliko kompanija u kojima traže verzije PHP 4 do 5 (očito ukinuto) ... stvari za koje se danas zna da imaju stotine, ako ne i hiljade mana sigurnost, ali ako kompanija ne može pratiti tehnologiju, beskorisno je ako rade ostalo.
Također, ako svi koristimo besplatni ili otvoreni softver, vrijeme reakcije na sigurnosne greške je obično prilično kratko, problem dolazi kada imamo posla s vlasničkim softverom, ali to ostavljam za drugi članak koji se nadam da ću uskoro uskoro napisati.
Puno vam hvala što ste došli ovdje 🙂 pozdrav
Excelente
Puno vam hvala 🙂 pozdrav
Najviše mi se sviđa jednostavnost bavljenja ovim problemom, sigurnost u ovo doba.Hvala, ostaću u Ubuntuu sve dok mu nije prijeko potrebna jer trenutno ne zauzimam particiju koju imam u operativnom sistemu Windows 8.1. Pozdrav.
Pozdrav normalan, sigurno su sigurnosni timovi Debiana i Ubuntua prilično učinkoviti. Have Vidio sam kako nevjerovatno brzinom rješavaju slučajeve i sigurno čine da se njihovi korisnici osjećaju sigurno, barem da sam na Ubuntuu, osjećao bih se malo sigurnije 🙂
Pozdrav, istina, to je jednostavno pitanje ... sigurnost više od mračne umjetnosti stvar je minimalnih kriterija 🙂
Puno vam hvala na doprinosu!
Vrlo zanimljivo, posebno dio izdanja Rolling.
Nisam to uzeo u obzir, sada moram upravljati serverom sa Gentoo-om da vidim razlike koje imam sa Devuan-om.
Veliki pozdrav i ps da podijelim ovaj unos na mojim društvenim mrežama, tako da ove informacije dosegnu više ljudi !!
Hvala!
Nema na čemu, Alberto 🙂 Dugovao sam što sam prvi odgovorio na zahtjev prethodnog bloga udos pa pozdrav i nastavio s tim spiskom na čekanju nding
Pa, primjena očvršćavanja sa spektrom bilo bi isto kao da računalo ostavite ranjivijim u slučaju upotrebe sanboxinga, na primjer. Zanimljivo je da će vaša oprema biti sigurnija od bakra što manje sigurnosnih slojeva primijenite ... smiješno, zar ne?
ovo me podsjeća na primjer koji bi mogao predstaviti cijeli članak ... upotreba -fsanitize = adrese u kompajleru mogla bi nas natjerati da mislimo da bi kompajlirani softver bio "sigurniji", ali ništa nije dalje od istine, znam programera koji je pokušao Umjesto da to radim s cijelim timom ... ispostavilo se da je lakše napadati nego napadati bez upotrebe ASAN-a ... isto se primjenjuje u raznim aspektima, a korištenje pogrešnih slojeva kad ne znate što rade više šteti nego ne korištenje using Pretpostavljam da je to nešto o čemu bismo svi trebali razmišljati kada pokušavamo zaštititi sustav ... što nas vraća na činjenicu da ovo nije mračna magija, već puki zdrav razum 🙂 hvala na vašem doprinosu
S moje tačke gledišta, najozbiljnija ranjivost izjednačena sa fizičkim pristupom i ljudskom greškom i dalje je hardver, ostavljajući Meltdown i Spectre po strani, jer se od starih vremena vidjelo da su varijante crva LoveLetter napisale kôd u BIOS-u opreme, jer su određene verzije firmvera na SSD-u omogućavale daljinsko izvršavanje koda i najgori sa moje tačke gledišta Intel Management Engine, što je potpuna aberacija za privatnost i sigurnost, jer više nije važno ima li oprema AES enkripciju, zamagljivanje ili bilo koju vrstu otvrdnjavanja, jer čak i ako je računar isključen, IME će vas zeznuti.
A paradoksalno je i da je Tinkpad X200 iz 2008. godine koji koristi LibreBoot sigurniji od bilo kojeg trenutnog računara.
Najgora stvar u ovoj situaciji je što nema rješenje, jer ni Intel, AMD, Nvidia, Gygabite ili bilo koji umjereno poznati proizvođač hardvera neće izdati pod GPL ili bilo kojom drugom besplatnom licencom, trenutni hardverski dizajn, jer zašto ulagati miliona dolara da bi neko drugi kopirao pravu ideju.
Prekrasan kapitalizam.
Vrlo istinito Kra 🙂 očito je da ste prilično vješti u sigurnosnim pitanjima 😀 jer su u stvari vlasnički softver i hardver stvar brige, ali nažalost protiv toga se malo može učiniti u vezi sa „otvrdnjavanjem“, jer kako kažete, to je nešto to pobjegne gotovo svim smrtnicima, osim onima koji poznaju programiranje i elektroniku.
Pozdrav i hvala na podjeli 🙂
Vrlo zanimljivo, sada bi tutorial za svaki odjeljak bio dobar xD
Usput, koliko je opasno ako stavim Raspberry Pi i otvorim potrebne portove za upotrebu vlastitog oblaka ili web servera izvan kuće?
Da, prilično sam zainteresiran, ali ne znam hoću li imati vremena pregledati pristupne zapisnike, povremeno pogledati sigurnosne postavke itd. Itd ...
Odličan doprinos, hvala što ste podijelili svoje znanje.