Conas do ríomhaire a chosaint ar ionsaithe

An-mhaith do gach duine, sula dtéann mé i gcruachás d’fhoireann, ba mhaith liom a rá leat go bhfuil an suiteálaí atá á fhorbairt agam do Gentoo ina chéim réamh-alfa cheana féin 😀 ciallaíonn sé seo go bhfuil an fréamhshamhla láidir go leor chun go ndéanfaidh daoine eile tástáil air. úsáideoirí, ach ag an am céanna tá bealach fada le dul fós, agus cuideoidh an t-aiseolas ó na céimeanna seo (réamh-alfa, alfa, béite) le gnéithe tábhachtacha den phróiseas a shainiú 🙂 Dóibh siúd ar spéis leo…

https://github.com/ChrisADR/installer

. Tá an leagan Béarla amháin agam fós, ach tá súil agam don béite go bhfuil a aistriúchán Spáinnis aige cheana féin (táim ag foghlaim é seo ó na haistriúcháin runtime i python, mar sin tá go leor le fáil amach fós)

Crua

Nuair a labhair muid faoi cruachan, déanaimid tagairt do réimse leathan gníomhartha nó nósanna imeachta a chuireann bac ar rochtain ar chóras ríomhaireachta, nó ar líonra córas. Sin é an fáth go díreach gur ábhar fairsing é atá lán de nuances agus sonraí. San alt seo, beidh mé ag liostáil cuid de na rudaí is tábhachtaí nó molta le cur san áireamh agus córas á chosaint, féachfaidh mé le dul ón rud is criticiúla go dtí an ceann is lú criticiúil, ach gan mórán a phlé san ábhar ó gach ceann de na pointí seo bheadh ​​sé ina ábhar d’alt féin.

Rochtain fhisiciúil

Gan amhras is í seo an chéad fhadhb is tábhachtaí d’fhoirne, mar má tá rochtain fhisiciúil éasca ag an ionsaitheoir ar an bhfoireann, is féidir iad a áireamh mar fhoireann caillte cheana féin. Tá sé seo fíor maidir le hionaid mhóra sonraí agus ríomhairí glúine laistigh de chuideachta. Ceann de na príomhbhearta cosanta don fhadhb seo is ea na heochracha ar leibhéal BIOS, dóibh siúd go léir a bhfuil sé seo nua dóibh, is féidir eochair a chur le rochtain fhisiciúil an BIOS, ar an mbealach seo más mian le duine paraiméadair na a mhodhnú logáil isteach agus an ríomhaire a thosú ó chóras beo, ní obair éasca a bheidh ann.

Anois is rud bunúsach é seo agus is cinnte go n-oibríonn sé má tá sé ag teastáil i ndáiríre, bhí mé i roinnt cuideachtaí nach mbaineann tábhacht leis seo, toisc go gcreideann siad go bhfuil “garda” slándála an dorais níos mó ná go leor chun a bheith in ann rochtain fhisiciúil a sheachaint . Ach déanaimis pointe beagán níos airde a bhaint amach.

LUCS

Cuir i gcás soicind go bhfuil rochtain fhisiciúil ar an ríomhaire cheana féin ag “ionsaitheoir”, is é an chéad chéim eile gach tiomántán crua agus deighilt atá ann a chriptiú. LUKS (Socrú Eochair Aontaithe Linux) Is sonraíocht criptithe é, i measc rudaí eile ceadaíonn LUKS deighilt a chriptiú le heochair, ar an mbealach seo, nuair a thosaíonn an córas, mura bhfuil an eochair ar eolas, ní féidir an laindéal a chur suas nó a léamh.

Paranoia

Cinnte tá daoine ann a dteastaíonn leibhéal slándála "uasta" uathu, agus mar thoradh air seo tá fiú an ghné is lú den chóras a chosaint, bhuel, sroicheann an ghné seo a buaic sa eithne. Is é an t-eithne linux an bealach a ndéanfaidh do bhogearraí idirghníomhú leis na crua-earraí, má choisceann tú ar do bhogearraí na crua-earraí a “fheiceáil”, ní bheidh sé in ann dochar a dhéanamh don trealamh. Chun sampla a thabhairt, tá a fhios againn go léir cé chomh “contúirteach” atá USB le víris nuair a labhraímid faoi Windows, mar is cinnte go bhféadfadh cód i Linux a bheith i USB a d’fhéadfadh a bheith díobhálach do chóras nó nach bhféadfadh, mura ndéanaimid an t-eithne ach an cineál a aithint. de usb (firmware) a theastaíonn uainn, ní dhéanfadh ár bhfoireann neamhaird ar aon chineál eile USB, rud cinnte rud beag foircneach, ach d’fhéadfadh sé oibriú ag brath ar na cúinsí.

seirbhísí

Nuair a labhraímid faoi sheirbhísí, is é an chéad fhocal a thagann chun cuimhne ná “maoirseacht”, agus is rud an-tábhachtach é seo, ós rud é gurb é ceann de na chéad rudaí a dhéanann ionsaitheoir agus é ag dul isteach i gcóras ná an nasc a choinneáil. Tá sé an-tábhachtach i gcóras anailís thréimhsiúil a dhéanamh ar naisc atá ag teacht isteach agus go háirithe naisc atá ag dul as oifig.

iptables

Anois, chuala muid go léir faoi iptables, is uirlis é a cheadaíonn rialacha iontrála agus imeachta sonraí ag leibhéal eithne, is cinnte go bhfuil sé seo úsáideach, ach is claíomh le dhá thaobh é freisin. Creideann go leor daoine go bhfuil siad saor ó aon chineál iontrála nó imeachta ón gcóras cheana féin tríd an “mballa dóiteáin” a bheith acu, ach nach bhfuil aon rud níos faide ón bhfírinne, ní fhéadfaidh sé seo ach éifeacht phlaicéabó a úsáid i go leor cásanna. Tá sé ar eolas go n-oibríonn ballaí dóiteáin bunaithe ar rialacha, agus is cinnte gur féidir iad seo a sheachthreorú nó a thriail chun ligean do shonraí a iompar trí chalafoirt agus sheirbhísí a mheasfadh na rialacha go bhfuil siad “ceadaithe”, is ceist chruthaitheachta amháin é 🙂

Cobhsaíocht vs scaoileadh rollta

Anois is pointe conspóideach é seo i go leor áiteanna nó cásanna, ach lig dom mo dhearcadh a mhíniú. Mar bhall d’fhoireann slándála a fhéachann ar go leor de na saincheisteanna sa bhrainse cobhsaí dár ndáileadh, is eol dom go leor, beagnach gach ceann de na leochaileachtaí atá ann ar mheaisíní Gentoo ár n-úsáideoirí. Anois, téann dáiltí cosúil le Debian, RedHat, SUSE, Ubuntu agus go leor eile tríd an rud céanna, agus féadann a n-amanna freagartha a bheith éagsúil ag brath ar go leor cúinsí.

Téimid chuig sampla soiléir, is cinnte gur chuala gach duine faoi Meltdown, Specter agus sraith iomlán nuachta a d’eitil timpeall ar an idirlíon na laethanta seo, bhuel, tá an brainse is “scaoileadh-rollta” den eithne paiste cheana féin, luíonn an fhadhb Agus na socruithe sin á dtabhairt chuig eithne níos sine, is cinnte gur obair chrua agus chrua í an aisphortáil. Anois ina dhiaidh sin, ní mór d’fhorbróirí an dáilte iad a thástáil fós, agus a luaithe a bheidh an tástáil críochnaithe, ní bheidh sí ar fáil ach do ghnáthúsáideoirí. Cad ba mhaith liom a fháil leis seo? Toisc go n-éilíonn an tsamhail scaoileadh rollta go mbeidh níos mó eolais againn ar an gcóras agus ar bhealaí chun é a tharrtháil má theipeann ar rud éigin, ach .i maith, toisc go bhfuil roinnt éifeachtaí diúltacha ag an riarthóir agus ag na húsáideoirí araon ar éighníomhaíocht iomlán a choinneáil sa chóras.

Bíodh eolas agat ar do bhogearraí

Is breisiú an-luachmhar é seo agus tú ag bainistiú, is féidir le rudaí chomh simplí le liostáil le nuacht na mbogearraí a úsáideann tú cabhrú leat na fógraí slándála a bheith ar eolas agat roimh ré, ar an mbealach seo is féidir leat plean imoibrithe a ghiniúint agus ag an am céanna a fheiceáil cé mhéid Tógann sé tamall ar gach dáileadh na fadhbanna a réiteach, is fearr i gcónaí a bheith réamhghníomhach sna saincheisteanna seo toisc go ndéanann bogearraí atá as dáta níos mó ná 70% d’ionsaithe ar chuideachtaí.

Machnamh

Nuair a labhraíonn daoine faoi chruasú, creidtear go minic go bhfuil foireann “dhídeanach” ina cruthúnas i gcoinne gach rud, agus níl aon rud níos bréagaí. Mar a léiríonn a aistriúchán liteartha, cruachan tugann sé le tuiscint go mbeadh sé níos deacra rudaí a dhéanamh, NÍL dodhéanta ... ach is iomaí uair a shíleann go leor daoine go bhfuil draíocht dhorcha i gceist leis seo agus go leor cleasanna ar nós potaí meala ... is rud breise é seo, ach mura féidir leat na rudaí is bunúsaí a dhéanamh mar bhogearra nó teanga a choinneáil cothrom le dáta ríomhchlárú ... ní gá líonraí agus foirne fánaíochta a chruthú le frithbhearta ... Deirim é seo toisc go bhfaca mé roinnt cuideachtaí ina n-iarrann siad leaganacha de PHP 4 go 5 (scortha ar ndóigh) ... rudaí ar eol dóibh inniu go bhfuil na céadta mura mílte locht orthu slándáil, ach mura féidir leis an gcuideachta coinneáil suas leis an teicneolaíocht, tá sé neamhúsáidte má dhéanann siad an chuid eile.

Chomh maith leis sin, má táimid go léir ag úsáid bogearraí saor in aisce nó oscailte, is gnách go mbíonn an t-am freagartha d’earráidí slándála an-ghearr, tagann an fhadhb nuair a bhíonn muid ag plé le bogearraí dílseánaigh, ach fágaim é sin d’alt eile a bhfuil súil agam fós a scríobh go luath.

Go raibh míle maith agat as teacht anseo 🙂 beannachtaí


Cloíonn ábhar an ailt lenár bprionsabail eitic eagarthóireachta. Chun earráid a thuairisciú cliceáil anseo.

12 trácht, fág mise

Fág do thrácht

Ní thabharfar do sheoladh r-phoist a fhoilsiú.

*

*

  1. Freagrach as na sonraí: Miguel Ángel Gatón
  2. Cuspóir na sonraí: SPAM a rialú, bainistíocht trácht.
  3. Legitimation: Do thoiliú
  4. Na sonraí a chur in iúl: Ní chuirfear na sonraí in iúl do thríú páirtithe ach amháin trí oibleagáid dhlíthiúil.
  5. Stóráil sonraí: Bunachar sonraí arna óstáil ag Occentus Networks (EU)
  6. Cearta: Tráth ar bith is féidir leat do chuid faisnéise a theorannú, a aisghabháil agus a scriosadh.

  1.   galloped a dúirt

    Den scoth

    1.    ChrisADR a dúirt

      Go raibh míle maith agat 🙂 beannachtaí

  2.   Norman a dúirt

    Is é an rud is mó a thaitníonn liom ná an tsimplíocht agus mé ag déileáil leis an gceist seo, slándáil sna hamanna seo. Go raibh maith agat fanfaidh mé in Ubuntu fad nach mbeidh géarghá leis mar níl an deighilt atá agam ag fuinneoga 8.1 i láthair na huaire. Beannachtaí.

    1.    ChrisADR a dúirt

      Dia duit norma, cinnte go bhfuil foirne slándála Debian agus Ubuntu éifeachtach go leor 🙂 Chonaic mé an chaoi a láimhseálann siad cásanna ar luas iontach agus is cinnte go mbraitheann siad sábháilte dá n-úsáideoirí, ar a laghad dá mbeinn ar Ubuntu, bhraithfinn rud beag níos sábháilte 🙂
      Beannachtaí, agus fíor, is ceist shimplí í ... is í an tslándáil níos mó ná ealaín dhorcha ná íoschritéir 🙂

  3.   Alberto cardona a dúirt

    Go raibh míle maith agat as do chuidiú!
    An-suimiúil, go háirithe an chuid den eisiúint Rolling.
    Níor chuir mé sin san áireamh, anois caithfidh mé freastalaí le Gentoo a bhainistiú chun na difríochtaí atá agam le Devuan a fheiceáil.
    Beannacht mhór agus ps chun an iontráil seo a roinnt ar mo líonraí sóisialta ionas go sroichfidh an fhaisnéis seo níos mó daoine !!
    Go raibh maith agat!

    1.    ChrisADR a dúirt

      Tá fáilte romhat Alberto 🙂 Bhí mé i bhfiacha as a bheith ar an gcéad duine a d’fhreagair an t-iarratas ón mblag roimhe greet mar sin beannachtaí agus anois leanúint ar aghaidh leis an liosta sin atá ar feitheamh le scríobh 🙂

  4.   Bolt2bolt a dúirt

    Bhuel, trí chruas a chur i bhfeidhm le specter amuigh ansin, bheadh ​​sé cosúil leis an ríomhaire a fhágáil níos leochailí ar eagla go n-úsáidfí bosca bruscair mar shampla. Aisteach go leor, beidh do threalamh níos sábháilte i gcoinne specter na lú sraitheanna slándála a chuireann tú i bhfeidhm ... aisteach, ceart?

    1.    ChrisADR a dúirt

      cuireann sé seo i gcuimhne dom sampla a d’fhéadfadh alt iomlán a chur i láthair ... trí úsáid a bhaint as -fsanitize = d’fhéadfadh seoladh sa tiomsaitheoir a chur ina luí orainn go mbeadh na bogearraí tiomsaithe níos “slán”, ach ní fhéadfadh aon rud a bheith níos faide ón bhfírinne, tá aithne agam ar fhorbróir a thriail a In áit é a dhéanamh leis an bhfoireann iomlán ... bhí sé níos éasca ionsaí a dhéanamh ná ceann gan ASAN a úsáid ... tá an rud céanna i bhfeidhm i ngnéithe éagsúla, agus na sraitheanna míchearta á n-úsáid nuair nach bhfuil a fhios agat cad a dhéanann siad, is mó an dochar ná gan aon rud a úsáid using Buille faoi thuairim mé sin rud ba cheart dúinn uile a mheas agus muid ag iarraidh córas a chosaint ... a thugann ar ais dúinn nach draíocht dhorcha é seo, ach ciall choiteann 🙂 go raibh maith agat as d’ionchur

  5.   Kra a dúirt

    Is é mo thuairim gurb é an leochaileacht is tromchúisí atá cothrom le rochtain fhisiciúil agus earráid dhaonna, na crua-earraí fós, rud a fhágann Meltdown agus Specter ar leataobh, ó shin i leith chonacthas gur scríobh leaganacha den worm LoveLetter cód i BIOS an trealamh, mar gur cheadaigh leaganacha áirithe firmware in SSD cód iargúlta a fhorghníomhú agus an ceann is measa ó mo thaobh Inneall Bainistíochta Intel, atá ag laghdú go hiomlán maidir le príobháideacht agus slándáil, toisc nach mbaineann sé le hábhar a thuilleadh má tá criptiú AES ag an trealamh, obfuscation nó cruaite de chineál ar bith, mar gheall ar fiú má dhéantar an ríomhaire a mhúchadh beidh an IME ag dul i gcion ort.

    Agus go paradóideach freisin tá Tinkpad X200 2008 a úsáideann LibreBoot níos sábháilte ná aon ríomhaire reatha.

    Is é an rud is measa faoin gcás seo ná nach bhfuil aon réiteach air, toisc nach bhfuil Intel, AMD, Nvidia, Gygabite ná aon mhonaróir crua-earraí measartha aitheanta ag dul a scaoileadh faoi GPL nó faoi aon cheadúnas saor in aisce eile, an dearadh crua-earraí reatha, mar gheall ar an gcúis a infheistiú milliún dollar do dhuine eile an fíor-smaoineamh a chóipeáil.

    Caipitleachas álainn.

    1.    ChrisADR a dúirt

      Fíor fíor Kra 🙂 is léir go bhfuil tú líofa go leor i gcúrsaí slándála 😀 toisc gur ábhar cúraim iad bogearraí dílseánaigh agus crua-earraí i ndáiríre, ach ar an drochuair ina choinne sin níl mórán le déanamh maidir le “cruaite”, mar mar a déarfá, is rud é sin a éalaíonn beagnach gach mortal, seachas iad siúd a bhfuil eolas acu ar ríomhchlárú agus leictreonaic.

      Beannachtaí agus buíochas as roinnt 🙂

  6.   Anonymous a dúirt

    An-suimiúil, anois bheadh ​​xD maith teagaisc do gach roinn

    Dála an scéil, cé chomh contúirteach atá sé má chuirim Sú craobh Pí agus na calafoirt riachtanacha a oscailt chun owncloud nó freastalaí gréasáin a úsáid ón taobh amuigh den bhaile?
    Is é atá i gceist agam go bhfuil suim agam ann, ach níl a fhios agam an mbeidh am agam athbhreithniú a dhéanamh ar logaí rochtana, na socruithe slándála a sheiceáil ó am go ham, srl srl ...

  7.   Iúil a dúirt

    Ranníocaíocht den scoth, go raibh maith agat as do chuid eolais a roinnt.

bool (fíor)