Sangat baik untuk semuanya, sebelum mulai memperkuat tim Anda, saya ingin memberitahu Anda bahwa penginstal yang saya kembangkan untuk Gentoo sudah dalam fase pra-alfa 😀 ini berarti prototipe tersebut cukup kuat untuk diuji oleh orang lain pengguna, tetapi pada saat yang sama jalan masih panjang, dan masukan dari tahapan ini (pra-alfa, alfa, beta) akan membantu menentukan fitur penting dari proses tersebut 🙂 Bagi mereka yang tertarik ...
https://github.com/ChrisADR/installer
. Saya masih memiliki versi bahasa Inggris saja, tapi mudah-mudahan untuk versi beta sudah ada terjemahan bahasa Spanyolnya juga (Saya belajar ini dari terjemahan runtime di python, jadi masih banyak yang bisa ditemukan)
pengerasan
Saat kita bicarakan pengerasan, kami mengacu pada berbagai macam tindakan atau prosedur yang menghalangi akses ke sistem komputer, atau jaringan sistem. Itulah mengapa ini adalah subjek yang sangat luas yang penuh dengan nuansa dan detail. Pada artikel ini saya akan membuat daftar beberapa hal yang paling penting atau direkomendasikan untuk dipertimbangkan saat melindungi sistem, saya akan mencoba untuk beralih dari yang paling kritis ke yang paling tidak kritis, tetapi tanpa mempelajari banyak subjek karena masing-masing poin ini itu akan menjadi alasan untuk artikelnya sendiri.
Akses fisik
Ini tidak diragukan lagi merupakan masalah pertama dan terpenting bagi tim, karena jika penyerang memiliki akses fisik yang mudah ke tim, mereka sudah dapat dihitung sebagai tim yang kalah. Hal ini berlaku untuk pusat data besar dan laptop dalam sebuah perusahaan. Salah satu langkah perlindungan utama untuk masalah ini adalah kunci di tingkat BIOS, untuk semua yang ini terdengar baru, dimungkinkan untuk meletakkan kunci ke akses fisik BIOS, dengan cara ini jika seseorang ingin mengubah parameter login dan memulai komputer dari sistem langsung, itu bukan pekerjaan yang mudah.
Sekarang ini adalah sesuatu yang mendasar dan pasti berfungsi jika benar-benar diperlukan, saya telah berada di beberapa perusahaan di mana ini tidak masalah, karena mereka percaya bahwa "penjaga" keamanan pintu lebih dari cukup untuk dapat menghindari akses fisik . Tapi mari kita ke poin yang sedikit lebih maju.
KEMEWAHAN
Misalkan untuk sesaat bahwa "penyerang" telah memperoleh akses fisik ke komputer, langkah selanjutnya adalah mengenkripsi setiap hard drive dan partisi yang ada. LUKS (Pengaturan Kunci Terpadu Linux) Ini adalah spesifikasi enkripsi, antara lain LUKS memungkinkan suatu partisi dienkripsi dengan kunci, dengan cara ini, ketika sistem dimulai, jika kunci tidak dikenal, partisi tidak dapat dipasang atau dibaca.
Paranoia
Tentu saja ada orang yang membutuhkan tingkat keamanan "maksimum", dan ini mengarah pada pengamanan bahkan aspek terkecil dari sistem, nah, aspek ini mencapai puncaknya di kernel. Kernel linux adalah cara dimana perangkat lunak Anda akan berinteraksi dengan perangkat keras, jika Anda mencegah perangkat lunak Anda untuk "melihat" perangkat keras, itu tidak akan dapat merusak peralatan. Sebagai contoh, kita semua tahu betapa "berbahayanya" USB dengan virus ketika kita berbicara tentang Windows, karena tentunya USB dapat berisi kode di Linux yang mungkin atau mungkin tidak berbahaya bagi suatu sistem, jika kita membuat kernel hanya mengenali jenisnya USB (firmware) yang kami inginkan, jenis USB lain apa pun akan diabaikan begitu saja oleh tim kami, sesuatu yang agak ekstrim, tetapi dapat berfungsi tergantung pada situasinya.
layanan
Ketika kita berbicara tentang layanan, kata pertama yang muncul di pikiran adalah "pengawasan", dan ini adalah sesuatu yang cukup penting, karena salah satu hal pertama yang dilakukan penyerang saat memasuki sistem adalah menjaga koneksi. Melakukan analisis berkala terhadap koneksi masuk dan keluar sangat penting dalam sebuah sistem.
iptables
Sekarang, kita semua telah mendengar tentang iptables, ini adalah alat yang memungkinkan Anda untuk menghasilkan entri data dan aturan keluar pada tingkat kernel, ini tentu saja berguna, tetapi juga merupakan pedang bermata dua. Banyak orang percaya bahwa dengan memiliki "firewall" mereka sudah bebas dari semua jenis masuk atau keluar dari sistem, tetapi tidak ada yang lebih dari kebenaran, ini hanya dapat berfungsi sebagai efek plasebo dalam banyak kasus. Diketahui bahwa firewall bekerja berdasarkan aturan, dan ini pasti dapat dilewati atau ditipu agar data dapat diangkut melalui pelabuhan dan layanan yang menurut aturan akan dianggap "diizinkan", ini hanya masalah kreativitas 🙂
Stabilitas vs rilis bergulir
Sekarang ini adalah poin yang cukup diperdebatkan di banyak tempat atau situasi, tapi izinkan saya menjelaskan sudut pandang saya. Sebagai anggota tim keamanan yang mengawasi banyak masalah di cabang stabil distribusi kami, saya mengetahui banyak, hampir semua kerentanan yang ada di mesin Gentoo pengguna kami. Sekarang, distribusi seperti Debian, RedHat, SUSE, Ubuntu dan banyak lainnya mengalami hal yang sama, dan waktu reaksinya dapat bervariasi tergantung pada banyak keadaan.
Mari kita lihat contoh yang jelas, pasti semua orang telah mendengar tentang Meltdown, Spectre dan seluruh rangkaian berita yang tersebar di internet akhir-akhir ini, nah, cabang paling "rolling-release" dari kernel sudah ditambal, masalahnya terletak Dalam membawa perbaikan tersebut ke kernel lama, backporting tentu saja merupakan kerja keras dan kerja keras. Sekarang setelah itu, mereka masih harus diuji oleh pengembang distribusi, dan setelah pengujian selesai, itu hanya akan tersedia untuk pengguna biasa. Apa yang ingin saya dapatkan dengan ini? Karena model rilis-bergulir mengharuskan kami untuk mengetahui lebih banyak tentang sistem dan cara-cara untuk menyelamatkannya jika ada yang gagal, tetapi kenyataannya memang demikian bueno, karena mempertahankan kepasifan absolut dalam sistem memiliki beberapa efek negatif bagi administrator dan pengguna.
Ketahui perangkat lunak Anda
Ini adalah tambahan yang sangat berharga saat mengelola, hal-hal sederhana seperti berlangganan berita perangkat lunak yang Anda gunakan dapat membantu Anda mengetahui pemberitahuan keamanan sebelumnya, dengan cara ini Anda dapat membuat rencana reaksi dan pada saat yang sama melihat seberapa banyak Setiap distribusi membutuhkan waktu untuk menyelesaikan masalah, selalu lebih baik bersikap proaktif dalam masalah ini karena lebih dari 70% serangan terhadap perusahaan dilakukan oleh perangkat lunak usang.
Refleksi
Ketika orang berbicara tentang pengerasan, sering kali diyakini bahwa tim yang "terlindung" adalah bukti terhadap segalanya, dan tidak ada yang lebih palsu. Seperti yang ditunjukkan oleh terjemahan literalnya, pengerasan menyiratkan membuat segalanya lebih sulit, BUKAN tidak mungkin ... tetapi banyak kali banyak orang berpikir bahwa ini melibatkan sihir gelap dan banyak trik seperti honeypots ... ini adalah tambahan, tetapi jika Anda tidak dapat melakukan hal-hal paling mendasar seperti memperbarui perangkat lunak atau bahasa pemrograman ... tidak perlu membuat jaringan bayangan dan tim dengan tindakan pencegahan ... Saya mengatakan ini karena saya telah melihat beberapa perusahaan di mana mereka meminta versi PHP 4 hingga 5 (jelas dihentikan) ... hal-hal yang saat ini diketahui memiliki ratusan bahkan ribuan kekurangan keamanan, tetapi jika perusahaan tidak dapat mengikuti perkembangan teknologi, tidak ada gunanya jika mereka melakukan sisanya.
Juga, jika kita semua menggunakan perangkat lunak bebas atau terbuka, waktu reaksi untuk kesalahan keamanan biasanya cukup singkat, masalahnya muncul ketika kita berurusan dengan perangkat lunak berpemilik, tetapi saya tinggalkan itu untuk artikel lain yang masih saya harap bisa segera tulis.
Terima kasih banyak sudah sampai di sini 🙂 salam
Unggul
Terima kasih banyak 🙂 salam
Yang paling saya suka adalah kesederhanaan dalam menangani masalah ini, keamanan di zaman sekarang.Terima kasih saya akan tetap di Ubuntu selama tidak terlalu membutuhkan karena saya tidak menempati partisi yang saya miliki di windows 8.1 saat ini.
Halo norma, yang pasti tim keamanan Debian dan Ubuntu cukup efisien 🙂 Saya telah melihat bagaimana mereka menangani kasing dengan kecepatan luar biasa dan mereka pasti membuat penggunanya merasa aman, setidaknya jika saya menggunakan Ubuntu, saya akan merasa sedikit lebih aman 🙂
Salam, dan benar, ini adalah masalah sederhana ... keamanan lebih dari seni gelap adalah masalah kriteria minimum 🙂
Terima kasih banyak atas kontribusi Anda!
Sangat menarik, terutama bagian dari rilis Rolling.
Saya tidak memperhitungkannya, sekarang saya harus mengelola server dengan Gentoo untuk melihat perbedaan yang saya miliki dengan Devuan.
Salam dan ps untuk membagikan entri ini di jejaring sosial saya sehingga informasi ini menjangkau lebih banyak orang !!
Gracias!
Sama-sama Alberto 🙂 Saya berhutang budi karena menjadi yang pertama menjawab permintaan dari blog sebelumnya 🙂 jadi salam kenal dan sekarang lanjutkan dengan daftar tunggu untuk menulis 🙂
Nah, menerapkan pengerasan dengan momok di luar sana, akan seperti membuat pc lebih rentan dalam kasus penggunaan sanboxing misalnya. Anehnya, peralatan Anda akan lebih aman dari momok semakin sedikit lapisan keamanan yang Anda terapkan ... lucu, bukan?
ini mengingatkan saya pada sebuah contoh yang dapat menyajikan keseluruhan artikel ... menggunakan -fsanitize = alamat di dalam kompiler dapat membuat kita berpikir bahwa perangkat lunak yang dikompilasi akan lebih "aman", tetapi tidak ada yang lebih jauh dari kebenaran, saya tahu seorang pengembang yang mencoba Alih-alih melakukannya dengan seluruh tim ... ternyata lebih mudah menyerang daripada tanpa menggunakan ASAN ... hal yang sama berlaku di berbagai aspek, menggunakan lapisan yang salah ketika Anda tidak tahu apa mereka melakukannya, lebih merusak daripada tidak menggunakan apa pun. Kurasa itulah sesuatu yang harus kita pertimbangkan ketika mencoba melindungi sistem ... yang membawa kita kembali ke fakta bahwa ini bukan sihir gelap, tetapi akal sehat belaka 🙂 terima kasih atas masukan anda
Untuk sudut pandang saya, kerentanan paling serius yang disamakan dengan akses fisik dan kesalahan manusia, masih perangkat keras, meninggalkan Meltdown dan Spectre, sejak dulu telah terlihat bahwa varian worm LoveLetter menulis kode di BIOS peralatan, karena versi firmware tertentu dalam SSD memungkinkan eksekusi kode jarak jauh dan yang terburuk dari sudut pandang saya adalah Intel Management Engine, yang merupakan penyimpangan lengkap untuk privasi dan keamanan, karena tidak lagi menjadi masalah jika peralatan memiliki enkripsi AES, kebingungan atau segala jenis pengerasan, karena meskipun komputer dimatikan IME akan mengacaukan Anda.
Dan secara paradoks, Tinkpad X200 dari tahun 2008 yang menggunakan LibreBoot lebih aman daripada komputer mana pun saat ini.
Hal terburuk tentang situasi ini adalah tidak ada solusi, karena baik Intel, AMD, Nvidia, Gygabite atau pabrikan perangkat keras yang cukup dikenal akan merilis di bawah GPL atau lisensi gratis lainnya, desain perangkat keras saat ini, karena mengapa berinvestasi jutaan dolar bagi orang lain untuk meniru ide sebenarnya.
Kapitalisme yang indah.
Benar sekali Kra 🙂 terbukti bahwa Anda cukup ahli dalam masalah keamanan 😀 karena pada kenyataannya perangkat lunak dan perangkat keras berpemilik adalah masalah perawatan, tetapi sayangnya tidak banyak yang bisa dilakukan sehubungan dengan "pengerasan", karena seperti yang Anda katakan, itu adalah sesuatu yang luput dari hampir semua manusia, kecuali mereka yang tahu pemrograman dan elektronik.
Salam dan terima kasih sudah berbagi 🙂
Sangat menarik, sekarang tutorial untuk setiap bagian xD bagus
Ngomong-ngomong, seberapa berbahaya jika saya meletakkan Raspberry Pi dan membuka port yang diperlukan untuk menggunakan owncloud atau server web dari luar rumah?
Saya cukup tertarik tetapi saya tidak tahu apakah saya akan punya waktu untuk meninjau log akses, melihat pengaturan keamanan dari waktu ke waktu, dll ...
Kontribusi luar biasa, terima kasih telah membagikan pengetahuan Anda.