Kõigile väga hea, enne oma meeskonna karastumisele jõudmist tahan teile öelda, et Gentoo jaoks arendatav installer on juba alfa-eelses faasis 😀 see tähendab, et prototüüp on piisavalt tugev, et seda saaksid teised testida kasutajad, kuid samal ajal on veel pikk tee minna ja nende etappide (alfa-eelne, alfa-, beeta-) tagasiside aitab määratleda protsessi olulisi jooni 🙂 Huvilistele ...
https://github.com/ChrisADR/installer
. Mul on endiselt ainult ingliskeelne versioon, kuid loodetavasti on beetaversiooni jaoks juba olemas ka hispaaniakeelne tõlge (ma õpin seda pythoni käitustõlgetest, nii et seal on veel palju avastada)
Karastamine
Kui me räägime karastamine, osutame paljudele toimingutele või protseduuridele, mis takistavad juurdepääsu arvutisüsteemile või süsteemivõrgule. Just seetõttu on see tohutult nüansse ja detaile täis objekt. Selles artiklis loetlen mõned kõige olulisemad või soovitatavad asjad, mida süsteemi kaitsmisel arvestada, proovin minna kõige kriitilisemast kõige vähem kriitiliseks, kuid teemasse palju süvenemata, kuna kõik need punktid see oleks omaette artikli teema.
Füüsiline juurdepääs
See on meeskondade jaoks kahtlemata esimene ja kõige olulisem probleem, sest kui ründajal on meeskonnale lihtne füüsiline juurdepääs, võib teda lugeda juba kaotatud meeskonnaks. See kehtib nii ettevõtte suurte andmekeskuste kui ka sülearvutite kohta. Selle probleemi üheks peamiseks kaitsemeetmeks on võtmed BIOS-i tasemel. Kõigile neile, kellele see kõlab uuena, on võimalik panna BIOS-i füüsilise juurdepääsu võti sel viisil, kui keegi soovib muuta logige sisse ja käivitage arvuti reaalses süsteemis, see ei ole lihtne töö.
Nüüd on see midagi põhilist ja see kindlasti töötab, kui seda tõesti nõutakse. Olen olnud mitmes ettevõttes, kus see pole oluline, sest nad usuvad, et ukse turva "valvur" on füüsilise juurdepääsu vältimiseks enam kui piisav . Kuid jõuame veidi arenenuma punktini.
luksus
Oletame, et hetkeks on "ründaja" juba arvutile füüsilise juurdepääsu saanud, järgmine samm on iga olemasoleva kõvaketta ja sektsiooni krüptimine. LUKS (Linuxi ühendatud võtme seadistamine) See on krüpteerimise spetsifikatsioon, muu hulgas võimaldab LUKS partitsiooni krüptida võtmega, sel viisil, kui süsteem käivitub, kui võtit ei teata, ei saa partitsiooni ühendada ega lugeda.
Paranoia
Kindlasti on inimesi, kes vajavad "maksimaalset" turvalisuse taset ja see viib ka süsteemi väikseima aspekti kaitsmiseni, noh, see aspekt jõuab tuuma tippu. Linuxi tuum on viis, kuidas teie tarkvara riistvaraga suhtleb. Kui takistate tarkvaral riistvara "nägemist", ei saa see seadmeid kahjustada. Näitena võib öelda, et me kõik teame, kui "ohtlik" on viirustega USB, kui me räägime Windowsist, sest USB võib kindlasti Linuxis sisaldada koodi, mis võib süsteemile kahjulik olla või mitte, kui me paneme kerneli tuvastama ainult tüübi usb-st (püsivara), mida me tahame, ignoreeriks mis tahes muud tüüpi USB-sid meie meeskond, see on kindlasti natuke ekstreemne, kuid see võib sõltuvalt asjaoludest toimida.
teenused
Kui räägime teenustest, on esimene sõna, mis pähe tuleb, "järelevalve" ja see on midagi üsna olulist, kuna ründaja süsteemi sisenemisel on üks esimesi asju ühenduse hoidmine. Sissetulevate ja eriti väljuvate ühenduste perioodilise analüüsi teostamine on süsteemis väga oluline.
iptables
Nüüd oleme kõik kuulnud iptables-ist, see on tööriist, mis võimaldab teil tuuma tasandil genereerida andmete sisestamise ja väljumise reegleid, see on kindlasti kasulik, kuid see on ka kahe teraga mõõk. Paljud inimesed usuvad, et "tulemüüri" olemasolu korral on neil juba igasugune sisenemine või süsteemist väljumine, kuid miski pole tõest kaugemal, see võib paljudel juhtudel toimida ainult platseeboefektina. On teada, et tulemüürid töötavad reeglite alusel ja neist saab kindlasti mööda hiilida või petta, võimaldades andmeid transportida sadamate ja teenuste kaudu, mille puhul reeglid peaksid seda lubatuks, see on lihtsalt loovuse küsimus 🙂
Püsivus vs veerev vabastamine
Nüüd on see paljudes kohtades või olukordades üsna vaieldav, kuid lubage mul oma seisukohta selgitada. Turvameeskonna liikmena, kes jälgib paljusid probleeme meie jaotuse stabiilses harus, olen teadlik paljudest, peaaegu kõigist meie kasutajate Gentoo masinates esinevatest haavatavustest. Nüüd läbivad levitused nagu Debian, RedHat, SUSE, Ubuntu ja paljud teised sama asja ning nende reaktsiooniajad võivad varieeruda sõltuvalt paljudest asjaoludest.
Läheme selge näite juurde, kindlasti on kõik kuulnud Meltdowni, Spectre'i ja terve rea uudiseid, mis on tänapäeval Internetis ringi lennanud, noh, tuuma kõige “rullivam-vabastavam” haru on juba lapitud, probleem peitub Nende paranduste vanematesse tuumadesse viimisel on backporting kindlasti raske ja raske töö. Nüüd pärast seda peavad neid levitamise arendajad veel testima ja kui testimine on lõpule jõudnud, on see saadaval ainult tavakasutajatele. Mida ma sellega saada tahan? Kuna jooksvalt vabastatav mudel nõuab, et me teaksime rohkem süsteemi ja selle päästmise viiside kohta, kui midagi ebaõnnestub, siis see on nii hea, sest süsteemi absoluutse passiivsuse säilitamisel on nii administraatorile kui ka kasutajatele mitmeid negatiivseid mõjusid.
Tunne oma tarkvara
See on haldamisel väga väärtuslik täiendus, nii lihtsad asjad nagu teie kasutatava tarkvara uudiste tellimine võivad aidata teil turvateateid ette teada, nii saate luua reageerimiskava ja samal ajal näha, kui palju Iga levitamine võtab probleemide lahendamiseks aega, alati on parem olla ennetav nendes küsimustes, sest üle 70% rünnakutest ettevõtete vastu teostab aegunud tarkvara.
Peegeldus
Kui inimesed räägivad karastumisest, arvatakse sageli, et "varjatud" meeskond on tõend kõige vastu ja pole midagi valet enam. Nagu selle sõnasõnaline tõlge näitab, karastamine tähendab asjade keerulisemaks muutmist, MITTE võimatuks ... kuid mitu korda arvavad paljud, et see hõlmab tumedat maagiat ja paljusid trikke, näiteks kärjepotte ... see on täiendav, kuid kui te ei saa teha kõige elementaarsemaid asju, näiteks tarkvara või keele värskendamine programmeerimine ... pole vaja luua vastumeetmetega fantoomvõrke ja meeskondi ... Ma ütlen seda seetõttu, et olen näinud mitut ettevõtet, kus nad küsivad PHP 4–5 versioone (ilmselt katkestatud) ... asju, millel on tänapäeval teadaolevalt sadu kui mitte tuhandeid vigu turvalisus, kuid kui ettevõte ei jõua tehnoloogiaga sammu pidada, on kasutu, kui nad teevad ülejäänu.
Samuti, kui me kõik kasutame tasuta või avatud tarkvara, on turvavigade reageerimisaeg tavaliselt üsna lühike, probleem tekib siis, kui tegemist on varalise tarkvaraga, kuid jätan selle veel ühe artikli juurde, mille loodan siiski varsti kirjutada.
Suur aitäh siia jõudmise eest 🙂 tervitused
Suurepärane
Suur aitäh 🙂 tervitused
Mulle meeldib kõige rohkem selle küsimuse käsitlemise lihtsus, turvalisus nendel aegadel. Tänan, et jään Ubuntu niikaua, kuni seda pole hädasti vaja, sest ma ei hõivata Windows 8.1 juures praegu olevat partitsiooni. Tervitused.
Tere, normaalselt, Debiani ja Ubuntu turvameeskonnad on üsna tõhusad 🙂 Olen näinud, kuidas nad juhtumeid hämmastava kiirusega käsitlevad ja kindlasti panevad nad oma kasutajad end turvaliselt tundma, vähemalt kui ma oleksin Ubuntus, tunneksin end veidi kindlamalt 🙂
Tervitused ja tõsi, see on lihtne teema ... turvalisus rohkem kui tume kunst on miinimumkriteeriumide küsimus 🙂
Suur aitäh panuse eest!
Väga huvitav, eriti Rollingu väljalaske osa.
Ma polnud seda arvesse võtnud, nüüd pean haldama Gentoo serverit, et näha erinevusi, mis mul Devuaniga on.
Suur tervitus ja ps selle sissekande jagamiseks minu sotsiaalvõrgustikes, et see teave jõuaks rohkemate inimesteni !!
Aitäh!
Olete oodatud Alberto 🙂 Mul oli võlgu selle eest, et vastasin esimesena eelmise ajaveebi päringule 🙂 nii et tervitused ja jätkake kirjutamise ootel loendiga
Noh, rakendage kõvastumist tondiga seal, see oleks nagu jätaks arvuti haavatavamaks näiteks sanboxingu kasutamise korral. Kummalisel kombel on teie varustus ohutum, kui vähem turvakihte rakendate ... naljakas, eks?
see tuletab mulle meelde näidet, mis võiks esitada terve artikli ... -fsanitize = aadressi kasutamine kompilaatoris võib panna meid mõtlema, et kompileeritud tarkvara oleks "turvalisem", kuid miski ei saa tõest kaugemal olla. Ma tean arendajat, kes proovis Selle asemel, et teha seda kogu meeskonnaga ... osutus lihtsamalt rünnata kui ühte ilma ASAN-i kasutamata ... sama kehtib ka erinevates aspektides, valede kihtide kasutamine, kui te ei tea, mida nad teevad, on kahjulikum kui mitte midagi kasutada, see on vist midagi, mida me kõik peaksime süsteemi kaitsmisel arvesse võtma ... mis viib meid tagasi tõsiasja juurde, et see pole tume maagia, vaid lihtsalt terve mõistus 🙂 aitäh teie panuse eest
Minu arvates on kõige tõsisem füüsilise juurdepääsu ja inimlike eksimustega samaväärne haavatavus ikkagi riistvara, mis jätab Meltdowni ja Spectre'i kõrvale, sest vanasti on seda peetud ussi LoveLetter variantideks, mis kirjutas koodi BIOS-i seadmed, kuna teatud püsivara versioonid SSD-s võimaldasid koodi kaugkäivitamist ja minu silmis halvim on Inteli haldusmootor, mis on täielik kõrvalekalle privaatsuse ja turvalisuse osas, sest pole enam oluline, kas seadmel on AES-krüptimine, ähmastamine või igasugune karastamine, sest isegi kui arvuti on välja lülitatud, hakkab IME teid kruvima.
Paradoksaalsel kombel on ka LibreBooti kasutav 200. aasta Tinkpad X2008 turvalisem kui mis tahes praegune arvuti.
Halvim asi selles olukorras on see, et sellel pole lahendust, sest ei Intel, AMD, Nvidia, Gygabite ega ükski mõõdukalt tuntud riistvaratootja ei kavatse GPL-i või mõne muu tasuta litsentsi, praeguse riistvarakujunduse kaudu välja anda, sest miks investeerida miljonit dollarit kellegi teise jaoks, et see tõelise idee kopeerida.
Ilus kapitalism.
Väga õige Kra 🙂 on ilmne, et olete turvaküsimustes üsna osav 😀, sest tegelikult on patenteeritud tarkvara ja riistvara hooldamise küsimus, kuid kahjuks pole selle vastu „kõvendamist” vähe teha, sest nagu te ütlete, on see midagi see pääseb peaaegu kõigist surelikest, välja arvatud need, kes teavad programmeerimist ja elektroonikat.
Tervitused ja tänud jagamise eest 🙂
Väga huvitav, nüüd oleks iga jaotise õpetus hea xD
Muide, kui ohtlik see on, kui ma panen Raspberry Pi ja avan vajalikud pordid, et oma kodust väljaspool oma veebis või veebiserverit kasutada?
See on minu huvi üsna suur, aga ma ei tea, kas mul on aega juurdepääsulogisid üle vaadata, aeg-ajalt turvaseadeid vaadata jne jne ...
Suurepärane panus, aitäh oma teadmiste jagamise eest.