Πολύ καλό σε όλους, πριν μπω στη σκλήρυνση της ομάδας σας, θέλω να σας πω ότι το πρόγραμμα εγκατάστασης που αναπτύσσω για το Gentoo βρίσκεται ήδη στη φάση προ-άλφα 😀 αυτό σημαίνει ότι το πρωτότυπο είναι αρκετά ισχυρό για να δοκιμαστεί από άλλους χρήστες, αλλά ταυτόχρονα υπάρχει ακόμη πολύς δρόμος και τα σχόλια από αυτά τα στάδια (προ-άλφα, άλφα, beta) θα βοηθήσουν στον καθορισμό σημαντικών χαρακτηριστικών της διαδικασίας 🙂 Για όσους ενδιαφέρονται…
https://github.com/ChrisADR/installer
. Έχω ακόμα την έκδοση μόνο για Αγγλικά, αλλά ελπίζω ότι για την έκδοση beta έχει ήδη την ισπανική μετάφρασή της (το μαθαίνω από τις μεταφράσεις χρόνου εκτέλεσης στο python, οπότε υπάρχουν πολλά ακόμα να ανακαλύψω)
Βαφή μέταλλου
Όταν μιλάμε σκλήρυνση, αναφερόμαστε σε μια μεγάλη ποικιλία ενεργειών ή διαδικασιών που εμποδίζουν την πρόσβαση σε ένα σύστημα υπολογιστή ή σε δίκτυο συστημάτων. Γι 'αυτό ακριβώς είναι ένα τεράστιο θέμα γεμάτο αποχρώσεις και λεπτομέρειες. Σε αυτό το άρθρο πρόκειται να απαριθμήσω μερικά από τα πιο σημαντικά ή προτεινόμενα πράγματα που πρέπει να ληφθούν υπόψη κατά την προστασία ενός συστήματος, θα προσπαθήσω να πάω από το πιο κρίσιμο στο λιγότερο κρίσιμο, αλλά χωρίς να εμβαθύνω πολύ στο θέμα, αφού καθένα από αυτά τα σημεία θα ήταν λόγος για ένα δικό του άρθρο.
Φυσική πρόσβαση
Αυτό είναι αναμφίβολα το πρώτο και πιο σημαντικό πρόβλημα για τις ομάδες, καθώς εάν ο επιτιθέμενος έχει εύκολη φυσική πρόσβαση στην ομάδα, μπορεί ήδη να μετρηθεί ως χαμένη ομάδα. Αυτό ισχύει τόσο για τα μεγάλα κέντρα δεδομένων όσο και για φορητούς υπολογιστές σε μια εταιρεία. Ένα από τα κύρια μέτρα προστασίας για αυτό το πρόβλημα είναι τα κλειδιά σε επίπεδο BIOS, για όλους εκείνους στους οποίους ακούγεται νέο, είναι δυνατό να τοποθετήσετε ένα κλειδί για τη φυσική πρόσβαση του BIOS, με αυτόν τον τρόπο εάν κάποιος θέλει να τροποποιήσει τις παραμέτρους του συνδεθείτε και ξεκινήστε τον υπολογιστή από ένα ζωντανό σύστημα, δεν θα είναι εύκολη δουλειά.
Τώρα αυτό είναι κάτι βασικό και σίγουρα λειτουργεί αν είναι πραγματικά απαραίτητο, έχω πάει σε πολλές εταιρείες όπου αυτό δεν έχει σημασία, επειδή πιστεύουν ότι ο «προφυλακτήρας» της πόρτας είναι κάτι παραπάνω από αρκετό για να μπορεί να αποφύγει τη φυσική πρόσβαση . Αλλά ας φτάσουμε σε λίγο πιο προχωρημένο σημείο.
ΤΥΧΕΣ
Ας υποθέσουμε ότι για ένα δευτερόλεπτο ότι ένας "εισβολέας" έχει ήδη αποκτήσει φυσική πρόσβαση στον υπολογιστή, το επόμενο βήμα είναι να κρυπτογραφήσει κάθε υπάρχοντα σκληρό δίσκο και διαμέρισμα. LUKS (Εγκατάσταση ενοποιημένου κλειδιού Linux) Πρόκειται για προδιαγραφή κρυπτογράφησης, μεταξύ άλλων το LUKS επιτρέπει σε ένα διαμέρισμα να κρυπτογραφείται με ένα κλειδί, με αυτόν τον τρόπο, όταν το σύστημα ξεκινά, εάν το κλειδί δεν είναι γνωστό, το διαμέρισμα δεν μπορεί να τοποθετηθεί ή να διαβαστεί.
Παράνοια
Σίγουρα υπάρχουν άνθρωποι που χρειάζονται ένα «μέγιστο» επίπεδο ασφάλειας, και αυτό οδηγεί στη διαφύλαξη ακόμη και της μικρότερης πτυχής του συστήματος, λοιπόν, αυτή η πτυχή φτάνει στο αποκορύφωμά της στον πυρήνα. Ο πυρήνας linux είναι ο τρόπος με τον οποίο το λογισμικό σας θα αλληλεπιδράσει με το υλικό, εάν αποτρέψετε το λογισμικό σας να "δει" το υλικό, δεν θα είναι σε θέση να βλάψει τον εξοπλισμό. Για να δώσουμε ένα παράδειγμα, όλοι γνωρίζουμε πόσο «επικίνδυνο» είναι το USB με ιούς όταν μιλάμε για Windows, γιατί σίγουρα το USB μπορεί να περιέχει κώδικα στο Linux που μπορεί ή όχι να είναι επιβλαβές για ένα σύστημα, εάν κάνουμε τον πυρήνα να αναγνωρίζει μόνο τον τύπο του usb (firmware) που θέλουμε, οποιοσδήποτε άλλος τύπος USB θα αγνοούσε απλώς από την ομάδα μας, κάτι σίγουρα λίγο ακραίο, αλλά θα μπορούσε να λειτουργήσει ανάλογα με τις περιστάσεις.
υπηρεσίες
Όταν μιλάμε για υπηρεσίες, η πρώτη λέξη που έρχεται στο μυαλό είναι η «επίβλεψη» και αυτό είναι κάτι πολύ σημαντικό, αφού ένα από τα πρώτα πράγματα που κάνει ένας εισβολέας όταν εισέρχεται σε ένα σύστημα είναι να διατηρήσει τη σύνδεση. Η εκτέλεση περιοδικής ανάλυσης εισερχόμενων και ιδιαίτερα εξερχόμενων συνδέσεων είναι πολύ σημαντική σε ένα σύστημα.
Iptables
Τώρα, όλοι έχουμε ακούσει για τα iptables, είναι ένα εργαλείο που σας επιτρέπει να δημιουργήσετε κανόνες εισόδου και εξόδου δεδομένων σε επίπεδο πυρήνα, αυτό είναι σίγουρα χρήσιμο, αλλά είναι επίσης ένα δίκοπο σπαθί. Πολλοί άνθρωποι πιστεύουν ότι με το «τείχος προστασίας» είναι ήδη απαλλαγμένοι από οποιοδήποτε είδος εισόδου ή εξόδου από το σύστημα, αλλά τίποτα δεν είναι μακράν της αλήθειας, αυτό μπορεί να χρησιμεύσει μόνο ως εφέ εικονικού φαρμάκου σε πολλές περιπτώσεις. Είναι γνωστό ότι τα τείχη προστασίας λειτουργούν βάσει κανόνων και αυτά σίγουρα μπορούν να παρακαμφθούν ή να παραπλανηθούν ώστε να επιτρέπεται η μεταφορά δεδομένων μέσω λιμένων και υπηρεσιών για τις οποίες οι κανόνες θα το θεωρούσαν «επιτρεπόμενο», είναι απλώς θέμα δημιουργικότητας 🙂
Σταθερότητα έναντι κυκλοφορίας-απελευθέρωσης
Τώρα αυτό είναι αρκετά αμφιλεγόμενο σε πολλά μέρη ή καταστάσεις, αλλά επιτρέψτε μου να εξηγήσω την άποψή μου. Ως μέλος μιας ομάδας ασφαλείας που παρακολουθεί πολλά από τα ζητήματα στον σταθερό κλάδο της διανομής μας, γνωρίζω πολλά, σχεδόν όλα τα τρωτά σημεία των μηχανών Gentoo των χρηστών μας. Τώρα, διανομές όπως το Debian, το RedHat, το SUSE, το Ubuntu και πολλά άλλα περνούν από το ίδιο πράγμα και οι χρόνοι αντίδρασης τους μπορεί να διαφέρουν ανάλογα με πολλές περιστάσεις.
Ας πάμε σε ένα ξεκάθαρο παράδειγμα, σίγουρα όλοι έχουν ακούσει για το Meltdown, το Specter και μια ολόκληρη σειρά ειδήσεων που έχουν μεταφερθεί στο Διαδίκτυο αυτές τις μέρες, καλά, ο πιο «κυλιόμενος» κλάδος του πυρήνα έχει ήδη επιδιορθωθεί, το πρόβλημα έγκειται Φέρνοντας αυτές τις διορθώσεις σε παλαιότερους πυρήνες, το backporting είναι σίγουρα σκληρό και σκληρό. Τώρα μετά από αυτό, πρέπει ακόμη να δοκιμαστούν από τους προγραμματιστές της διανομής και μόλις ολοκληρωθεί ο έλεγχος, θα είναι διαθέσιμος μόνο σε κανονικούς χρήστες. Τι θέλω να κάνω με αυτό; Επειδή το μοντέλο κυκλοφορίας κυκλοφορίας απαιτεί από εμάς να γνωρίζουμε περισσότερα για το σύστημα και τρόπους για να το σώσουμε εάν κάτι αποτύχει, αλλά αυτό είναι καλός, επειδή η διατήρηση της απόλυτης παθητικότητας στο σύστημα έχει πολλά αρνητικά αποτελέσματα τόσο για τον διαχειριστή όσο και για τους χρήστες.
Γνωρίστε το λογισμικό σας
Αυτή είναι μια πολύτιμη προσθήκη κατά τη διαχείριση, πράγματα τόσο απλά όσο η εγγραφή στις ειδήσεις του λογισμικού που χρησιμοποιείτε μπορεί να σας βοηθήσει να γνωρίζετε εκ των προτέρων τις ειδοποιήσεις ασφαλείας, με αυτόν τον τρόπο μπορείτε να δημιουργήσετε ένα σχέδιο αντίδρασης και ταυτόχρονα να δείτε πόσα Χρειάζεται χρόνος για κάθε διανομή για την επίλυση των προβλημάτων, είναι πάντα καλύτερο να είμαστε προληπτικοί σε αυτά τα ζητήματα, επειδή πάνω από το 70% των επιθέσεων σε εταιρείες πραγματοποιούνται από ξεπερασμένο λογισμικό.
Αντανάκλαση
Όταν οι άνθρωποι μιλούν για σκλήρυνση, πιστεύεται συχνά ότι μια «προστατευμένη» ομάδα είναι απόδειξη απέναντι σε όλα, και δεν υπάρχει τίποτα πιο ψεύτικο. Όπως δείχνει η κυριολεκτική μετάφρασή του, σκλήρυνση συνεπάγεται ότι τα πράγματα γίνονται πιο δύσκολα, ΟΧΙ αδύνατα ... αλλά πολλές φορές πολλοί πιστεύουν ότι αυτό συνεπάγεται σκοτεινή μαγεία και πολλά κόλπα όπως τα honeypots ... αυτό είναι ένα επιπλέον, αλλά αν δεν μπορείτε να κάνετε τα πιο βασικά πράγματα όπως η ενημέρωση λογισμικού ή γλώσσας προγραμματισμός ... δεν υπάρχει ανάγκη δημιουργίας φανταστικών δικτύων και ομάδων με αντίμετρα ... Το λέω αυτό επειδή έχω δει πολλές εταιρείες όπου ζητούν εκδόσεις PHP 4 έως 5 (προφανώς διακοπεί) ... πράγματα που σήμερα είναι γνωστό ότι έχουν εκατοντάδες, αν όχι χιλιάδες ελαττώματα ασφάλεια, αλλά εάν η εταιρεία δεν μπορεί να συμβαδίσει με την τεχνολογία, είναι άχρηστο αν κάνουν τα υπόλοιπα.
Επίσης, εάν όλοι χρησιμοποιούμε δωρεάν ή ανοιχτό λογισμικό, ο χρόνος αντίδρασης για σφάλματα ασφαλείας είναι συνήθως αρκετά μικρός, το πρόβλημα έρχεται όταν ασχολούμαστε με ιδιόκτητο λογισμικό, αλλά το αφήνω για ένα άλλο άρθρο που ελπίζω να γράψω σύντομα.
Σας ευχαριστώ πολύ που φτάσατε εδώ 🙂 χαιρετισμούς
Άριστη
Ευχαριστώ πολύ 🙂 χαιρετισμούς
Αυτό που μου αρέσει περισσότερο είναι η απλότητα κατά την αντιμετώπιση αυτού του ζητήματος, η ασφάλεια σε αυτές τις στιγμές. Σας ευχαριστώ που θα μείνω στο Ubuntu για όσο διάστημα δεν έχει απόλυτη ανάγκη, επειδή δεν καταλαμβάνω το διαμέρισμα που έχω αυτήν τη στιγμή στα Windows 8.1.
Γεια σας norma, σίγουρα οι ομάδες ασφαλείας του Debian και του Ubuntu είναι αρκετά αποτελεσματικές 🙂 Έχω δει πώς χειρίζονται θήκες με εκπληκτική ταχύτητα και σίγουρα κάνουν τους χρήστες τους να αισθάνονται ασφαλείς, τουλάχιστον αν ήμουν στο Ubuntu, θα ένιωθα λίγο πιο ασφαλής 🙂
Χαιρετισμούς, και αλήθεια, είναι ένα απλό ζήτημα ... η ασφάλεια περισσότερο από μια σκοτεινή τέχνη είναι θέμα ελάχιστων κριτηρίων 🙂
Σας ευχαριστώ πολύ για τη συμβολή σας!
Πολύ ενδιαφέρον, ειδικά το μέρος της κυκλοφορίας Rolling.
Δεν το είχα λάβει υπόψη, τώρα πρέπει να διαχειριστώ έναν διακομιστή με το Gentoo για να δω τις διαφορές που έχω με τον Devuan.
Ένας μεγάλος χαιρετισμός και ps για να μοιραστώ αυτήν την καταχώρηση στα κοινωνικά μου δίκτυα, ώστε αυτές οι πληροφορίες να φτάσουν σε περισσότερους ανθρώπους !!
Ευχαριστώ!
Είστε ευπρόσδεκτοι Alberto 🙂 Ήμουν στο χρέος που ήμουν ο πρώτος που απάντησε στο αίτημα από το προηγούμενο blog 🙂 οπότε χαιρετίσματα και τώρα για να συνεχίσω με αυτήν την εκκρεμή λίστα για να γράψετε 🙂
Λοιπόν, η εφαρμογή σκλήρυνσης με φάσμα εκεί έξω, θα ήταν σαν να αφήσετε τον υπολογιστή πιο ευάλωτο σε περίπτωση χρήσης του sanboxing για παράδειγμα. Περιέργως, ο εξοπλισμός σας θα είναι πιο ασφαλής έναντι των φασμάτων όσο λιγότερα επίπεδα ασφαλείας εφαρμόζετε ... αστείο, έτσι;
Αυτό μου θυμίζει ένα παράδειγμα που θα μπορούσε να παρουσιάσει ένα ολόκληρο άρθρο ... χρησιμοποιώντας -fsanitize = διεύθυνση στο μεταγλωττιστή θα μπορούσε να μας κάνει να σκεφτούμε ότι το μεταγλωττισμένο λογισμικό θα ήταν πιο "ασφαλές", αλλά τίποτα δεν θα μπορούσε να είναι πιο μακριά από την αλήθεια, ξέρω έναν προγραμματιστή που δοκίμασε Αντί να το κάνουμε με ολόκληρη την ομάδα ... αποδείχθηκε ευκολότερο να επιτεθεί από ένα χωρίς να χρησιμοποιήσουμε ASAN ... το ίδιο ισχύει σε διάφορες πτυχές, χρησιμοποιώντας τα λάθος στρώματα όταν δεν ξέρετε τι κάνουν, είναι πιο επιζήμιο από το να μην χρησιμοποιήσετε τίποτα, υποθέτω ότι αυτό είναι που κάτι που όλοι πρέπει να σκεφτούμε όταν προσπαθούμε να προστατεύσουμε ένα σύστημα ... που μας φέρνει πίσω στο γεγονός ότι αυτό δεν είναι μια σκοτεινή μαγεία, αλλά μια απλή κοινή λογική 🙂 ευχαριστώ για τη συμβολή σας
Κατά την άποψή μου, η πιο σοβαρή ευπάθεια που ισοδυναμεί με φυσική πρόσβαση και ανθρώπινο σφάλμα, είναι ακόμα το υλικό, αφήνοντας το Meltdown και το Specter στην άκρη, από παλιά, έχει παρατηρηθεί ότι παραλλαγές του worm LoveLetter έγραψαν κώδικα στο BIOS του εξοπλισμού, καθώς ορισμένες εκδόσεις υλικολογισμικού στο SSD επέτρεψαν την απομακρυσμένη εκτέλεση κώδικα και το χειρότερο από την άποψή μου, η Intel Management Engine, η οποία αποτελεί πλήρη παρέκκλιση για το απόρρητο και την ασφάλεια, επειδή δεν έχει πλέον σημασία εάν ο εξοπλισμός διαθέτει κρυπτογράφηση AES συσκότιση ή οποιοδήποτε είδος σκλήρυνσης, επειδή ακόμη και αν ο υπολογιστής είναι απενεργοποιημένος, το IME θα σας βιδώσει.
Και παράδοξα, ένα Tinkpad X200 από το 2008 που χρησιμοποιεί LibreBoot είναι ασφαλέστερο από οποιονδήποτε τρέχοντα υπολογιστή.
Το χειρότερο πράγμα σε αυτήν την κατάσταση είναι ότι δεν έχει καμία λύση, γιατί ούτε η Intel, η AMD, η Nvidia, η Gygabite ή κάποιος μέτρια γνωστός κατασκευαστής υλικού πρόκειται να κυκλοφορήσει με την GPL ή οποιαδήποτε άλλη δωρεάν άδεια, την τρέχουσα σχεδίαση υλικού, γιατί γιατί να επενδύσετε εκατομμύρια δολάρια για κάποιον άλλο να αντιγράψει την πραγματική ιδέα
Όμορφος καπιταλισμός.
Πολύ αληθινό Kra 🙂 είναι προφανές ότι είστε αρκετά ικανοί σε θέματα ασφαλείας 😀 επειδή στην πραγματικότητα το ιδιοκτησιακό λογισμικό και το υλικό είναι θέμα φροντίδας, αλλά δυστυχώς δεν υπάρχει τίποτα να κάνουμε με την «σκλήρυνση», καθώς όπως λέτε, αυτό είναι κάτι που δραπετεύει σχεδόν όλους τους θνητούς, εκτός από εκείνους που γνωρίζουν προγραμματισμό και ηλεκτρονικά.
Χαιρετισμούς και ευχαριστώ που μοιραστήκατε 🙂
Πολύ ενδιαφέρον, τώρα ένα σεμινάριο για κάθε ενότητα θα ήταν καλό xD
Παρεμπιπτόντως, πόσο επικίνδυνο είναι αν βάλω ένα Raspberry Pi και ανοίξω τις απαραίτητες θύρες για να χρησιμοποιήσω το δικό σαςcloud ή έναν διακομιστή web από έξω από το σπίτι;
Ενδιαφέρομαι αρκετά, αλλά δεν ξέρω αν θα έχω χρόνο να ελέγξω τα αρχεία καταγραφής πρόσβασης, να κοιτάξω τις ρυθμίσεις ασφαλείας κατά καιρούς, κ.λπ.
Εξαιρετική συνεισφορά, ευχαριστώ που μοιραστήκατε τις γνώσεις σας.