Vrlo dobro za sve, prije nego što uđem u otvrdnjavanje vašeg tima, želim vam reći da je instalacijski program koji razvijam za Gentoo već u svojoj predalfa fazi 😀 to znači da je prototip dovoljno robustan da ga drugi mogu testirati korisnicima, ali istodobno je još uvijek dug put i povratne informacije iz ovih faza (pre-alfa, alfa, beta) pomoći će u definiranju važnih značajki procesa 🙂 Za one koji su zainteresirani ...
https://github.com/ChrisADR/installer
. Još uvijek imam verziju samo na engleskom, ali nadam se da za beta već ima i svoj prijevod na španjolski (učim to iz runtime prijevoda u pythonu, tako da još moram puno toga otkriti)
kaljenje
Kad pričamo kaljenje, pozivamo se na veliku raznolikost radnji ili postupaka koji ometaju pristup računalnom sustavu ili mreži sustava. Upravo je to razlog zašto je riječ o širokoj temi prepunoj nijansi i detalja. U ovom ću članku nabrojati neke od najvažnijih ili preporučenih stvari koje treba uzeti u obzir prilikom zaštite sustava, pokušat ću prijeći od najkritičnijeg do najmanje kritičnog, ali bez da se puno upuštam u temu budući da svaka od njih ističe da bi to bio predmet vlastitog članka.
Fizički pristup
To je nedvojbeno prvi i najvažniji problem za momčadi, jer ako napadač ima lak fizički pristup timu, oni se već mogu računati kao izgubljena momčad. To vrijedi i za velike podatkovne centre i za prijenosna računala unutar tvrtke. Jedna od glavnih mjera zaštite za ovaj problem su ključevi na razini BIOS-a, za sve one kojima ovo zvuči novo, moguće je staviti ključ fizičkog pristupa BIOS-u, na taj način ako netko želi izmijeniti parametre prijave i pokrenite računalo iz aktivnog sustava, to neće biti lak posao.
Sada je ovo nešto osnovno i zasigurno djeluje ako je to zaista potrebno, bio sam u nekoliko tvrtki u kojima to nije važno, jer smatraju da je sigurnosni "čuvar" vrata više nego dovoljan da može izbjeći fizički pristup . No, krenimo na malo napredniju točku.
SREĆA
Pretpostavimo na trenutak da je "napadač" već dobio fizički pristup računalu, sljedeći je korak šifriranje svakog postojećeg tvrdog diska i particije. LUKS (Postavljanje objedinjenog ključa za Linux) To je specifikacija šifriranja, između ostalog LUKS omogućuje da se particija šifrira ključem, na taj način, kada se sustav pokrene, ako ključ nije poznat, particija se ne može montirati ili čitati.
Parnoja
Svakako postoje ljudi kojima je potrebna "maksimalna" razina sigurnosti, a to dovodi do zaštite i najmanjeg aspekta sustava, pa, ovaj aspekt doseže svoj vrhunac u jezgri. Linux kernel je način na koji će vaš softver komunicirati s hardverom. Ako spriječite da softver "vidi" hardver, neće moći naštetiti opremi. Dajući primjer, svi znamo koliko je USB s virusima "opasan" kada govorimo o Windowsu, jer zasigurno USB može sadržavati kod u Linuxu koji može ili ne mora biti štetan za sustav, ako jezgru učinimo da prepoznaje samo vrstu od usba (firmware-a) koji želimo, bilo koji drugi tip USB-a naš bi tim jednostavno ignorirao, nešto sigurno malo ekstremno, ali moglo bi raditi ovisno o okolnostima.
usluge
Kada govorimo o uslugama, prva riječ koja mi padne na pamet je "nadzor", a to je nešto prilično važno, jer je jedna od prvih stvari koju napadač čini prilikom ulaska u sustav održavanje veze. Provođenje povremene analize dolaznih i posebno odlaznih veza vrlo je važno u sustavu.
Iptable
Sad smo svi čuli za iptables, to je alat koji omogućuje generiranje pravila za unos i ostavljanje podataka na razini jezgre, ovo je svakako korisno, ali je i mač s dvije oštrice. Mnogi ljudi vjeruju da su "vatrozidom" već oslobođeni bilo koje vrste ulaska ili izlaska iz sustava, ali ništa nije dalje od istine, ovo u mnogim slučajevima može poslužiti samo kao placebo efekt. Poznato je da vatrozidi rade na temelju pravila, a njih se zasigurno može zaobići ili prevariti tako da omoguće prijenos podataka kroz luke i usluge za koje bi pravila smatrala da su "dopuštena", samo je stvar kreativnosti 🙂
Stabilnost u odnosu na otpuštanje
Ovo je prilično sporno pitanje na mnogim mjestima ili u situacijama, ali dopustite mi da objasnim svoje stajalište. Kao član sigurnosnog tima koji nadgleda mnoge probleme stabilne grane naše distribucije, svjestan sam mnogih, gotovo svih ranjivosti koje postoje na Gentoo strojevima naših korisnika. Sada distribucije poput Debiana, RedHat-a, SUSE-a, Ubuntu-a i mnogih drugih prolaze kroz istu stvar, a njihova vremena reakcije mogu se razlikovati ovisno o mnogim okolnostima.
Idemo na jasan primjer, sigurno su svi čuli za Meltdown, Spectre i čitav niz vijesti koje su ovih dana letjele internetom, pa, većina "valjanih" grana jezgre je već zakrpana, problem leži U donošenju tih popravaka na starije jezgre, backport je sigurno naporan posao. Nakon toga, programeri distribucije moraju ih još testirati, a nakon završetka testiranja bit će dostupni samo normalnim korisnicima. Što želim dobiti s ovim? Budući da model valjanog otpuštanja zahtijeva da znamo više o sustavu i načinima da ga spasimo ako nešto zakaže, ali to je tako dobro, jer održavanje apsolutne pasivnosti u sustavu ima nekoliko negativnih učinaka i za administratora i za korisnike.
Upoznajte svoj softver
Ovo je vrlo dragocjen dodatak prilikom upravljanja, jednostavne stvari poput pretplate na vijesti o softveru koji koristite mogu vam pomoći da unaprijed znate sigurnosne obavijesti, na taj način možete generirati plan reakcije i istodobno vidjeti koliko Potrebno je vrijeme da svaka distribucija riješi probleme, uvijek je bolje biti proaktivan u tim problemima jer više od 70% napada na tvrtke izvodi zastarjeli softver.
Odraz
Kad ljudi govore o otvrdnjavanju, često se vjeruje da je "zaštićeni" tim dokaz protiv svega i nema ništa lažnije. Kao što njegov doslovni prijevod ukazuje, kaljenje podrazumijeva otežavanje stvari, A NE nemoguće ... ali mnogo puta mnogi ljudi misle da to uključuje mračnu magiju i mnoge trikove kao što su lončići ... ovo je dodatak, ali ako ne možete učiniti najosnovnije stvari poput držanja softvera ili jezično ažurirano programiranje ... nema potrebe za stvaranjem fantomskih mreža i timova s protumjerama ... kažem to jer sam vidio nekoliko tvrtki u kojima traže verzije PHP 4 do 5 (očito ukinuto) ... stvari koje danas poznato je da imaju stotine, ako ne i tisuće nedostataka, ali ako tvrtka ne može pratiti tehnologiju, beskorisno je ako učini ostalo.
Također, ako svi koristimo besplatni ili otvoreni softver, vrijeme reakcije na sigurnosne pogreške obično je prilično kratko, problem dolazi kada imamo posla s vlasničkim softverom, ali to ostavljam za drugi članak koji se nadam da ću uskoro uskoro napisati.
Puno vam hvala što ste došli 🙂 pozdrav
Izvrstan
Veliko hvala 🙂 pozdrav
Najviše mi se sviđa jednostavnost bavljenja ovim problemom, sigurnost u ovo doba. Hvala, ostat ću u Ubuntuu sve dok mu prijeko ne treba jer ne zauzimam particiju koju imam u sustavu Windows 8.1 na trenutak.Pozdrav.
Pozdrav, norma, sigurno su sigurnosni timovi Debiana i Ubuntua prilično učinkoviti. Seen Vidio sam kako nevjerojatnom brzinom rješavaju slučajeve i sigurno čine da se korisnici osjećaju sigurno, barem da sam na Ubuntuu, osjećao bih se malo sigurnije 🙂
Pozdrav, i istina, to je jednostavno pitanje ... sigurnost više od mračne umjetnosti stvar je minimalnih kriterija 🙂
Puno vam hvala na doprinosu!
Vrlo zanimljivo, posebno dio izdanja Rolling.
Nisam to uzeo u obzir, sada moram upravljati serverom s Gentooom kako bih vidio razlike koje imam s Devuanom.
Veliki pozdrav i ps da podijelim ovaj unos na svojim društvenim mrežama, tako da ove informacije dođu do više ljudi !!
Gracias!
Nema na čemu, Alberto 🙂 Dugovao sam što sam prvi odgovorio na zahtjev prethodnog bloga 🙂 pa pozdrav i sada da nastavim s tim popisom na čekanju to
Pa, primjenjivanje kaljenja sa spektrom vani bilo bi poput ostavljanja računala ranjivijim u slučaju upotrebe sanboxinga, na primjer. Zanimljivo je da će vaša oprema biti sigurnija od bakra što manje sigurnosnih slojeva primijenite ... smiješno, zar ne?
ovo me podsjeća na primjer koji bi mogao predstaviti cijeli članak ... upotreba -fsanitize = adresa u u kompajleru mogla bi nas natjerati da mislimo da bi kompilirani softver bio "sigurniji", ali ništa ne može biti dalje od istine, znam programer koji je pokušao Umjesto da to učini s cijelim timom ... ispalo je lakše napadati nego napadati bez ASAN-a ... isto se primjenjuje u raznim aspektima, koristeći pogrešne slojeve kad ne znate što čine, štetnije je nego ne koristiti ništa 😛 Pretpostavljam da je to nešto na što bismo svi trebali uzeti u obzir kada pokušavamo zaštititi sustav ... što nas vraća na činjenicu da ovo nije mračna magija, već puki zdrav razum 🙂 hvala na vaš unos
S moje točke gledišta, najozbiljnija ranjivost izjednačena s fizičkim pristupom i ljudskom pogreškom i dalje je hardver, ostavljajući Meltdown i Spectre po strani, jer se od davnina vidjelo da su inačice crva LoveLetter napisale kôd u BIOS-u opreme , budući da su određene verzije firmvera na SSD-u omogućile daljinsko izvršavanje koda i najgore s mog gledišta Intel Management Engine, što je potpuna aberacija za privatnost i sigurnost, jer više nije važno ima li oprema AES enkripciju, prikrivanje ili bilo koju vrstu otvrdnjavanja, jer čak i ako je računalo isključeno, IME će vas zeznuti.
A paradoksalno je i da je Tinkpad X200 iz 2008. godine koji koristi LibreBoot sigurniji od bilo kojeg trenutnog računala.
Najgora stvar u ovoj situaciji je što nema rješenje, jer niti Intel, AMD, Nvidia, Gygabite niti bilo koji umjereno poznati proizvođač hardvera neće izdati pod GPL-om ili bilo kojom drugom besplatnom licencom, trenutni dizajn hardvera, jer zašto ulagati milijune dolara da netko drugi kopira pravu ideju.
Lijepi kapitalizam.
Vrlo istinito Kra 🙂 očito je da ste prilično vješti u sigurnosnim pitanjima 😀 jer su zapravo vlasnički softver i hardver stvar brige, ali nažalost protiv toga nema puno veze s „otvrdnjavanjem“, jer kao što kažete, to je nešto što izbjegava gotovo sve smrtnike, osim onih koji poznaju programiranje i elektroniku.
Pozdrav i hvala na dijeljenju 🙂
Vrlo zanimljivo, sada bi tutorial za svaki odjeljak bio dobar xD
Usput, koliko je opasno ako stavim Raspberry Pi i otvorim potrebne priključke za upotrebu vlastitog oblaka ili web poslužitelja izvan kuće?
Da, prilično sam zainteresiran, ali ne znam hoću li imati vremena pregledati pristupne zapisnike, povremeno pogledati sigurnosne postavke itd. Itd ...
Izvrstan doprinos, hvala što ste podijelili svoje znanje.