コンピュータを攻撃から保護する方法

チームの強化に入る前に、私がGentoo用に開発しているインストーラーは、すでにアルファ版前の段階にあることをお伝えしたいと思います😀これは、プロトタイプが他の人がテストできるほど堅牢であることを意味しますユーザーですが、同時にまだ長い道のりがあり、これらの段階（プレアルファ、アルファ、ベータ）からのフィードバックは、プロセスの重要な機能を定義するのに役立ちます🙂興味のある人のために…

https://github.com/ChrisADR/installer

。 私はまだ英語のみのバージョンを持っていますが、ベータ版ではすでにスペイン語の翻訳もあることを願っています（これは、Pythonのランタイム翻訳から学んでいるので、まだ発見することがたくさんあります）

硬化

私たちが話すとき 硬化、コンピュータシステムまたはシステムのネットワークへのアクセスを妨げるさまざまなアクションまたは手順を指します。 それがまさにそれがニュアンスと詳細に満ちた広大な主題である理由です。 この記事では、システムを保護する際に考慮すべき最も重要または推奨される事項のいくつかをリストします。これらの各ポイント以降、主題について詳しく説明することなく、最も重要なものから最も重要でないものへと移行しようとします。それはそれ自身の記事の主題になるでしょう。

物理的アクセス

これは間違いなくチームにとって最初で最も重要な問題です。攻撃者がチームに簡単に物理的にアクセスできる場合、それらはすでに失われたチームとしてカウントされる可能性があるためです。 これは、企業内の大規模なデータセンターとラップトップの両方に当てはまります。 この問題の主な保護手段のXNUMXつは、BIOSレベルのキーです。これが新しいと思われるすべての人にとって、誰かがのパラメータを変更したい場合は、この方法でBIOSの物理アクセスにキーを設定できます。ログインしてライブシステムからコンピュータを起動すると、簡単な作業ではありません。

これは基本的なことであり、本当に必要な場合は確かに機能します。ドアのセキュリティ「ガード」は物理的なアクセスを防ぐのに十分であると信じているため、これが問題にならないいくつかの会社に行ってきました。 。 しかし、もう少し進んだポイントに行きましょう。

LUKS

「攻撃者」がすでにコンピュータに物理的にアクセスしていると仮定します。次のステップは、既存のすべてのハードドライブとパーティションを暗号化することです。 LUKS（Linuxユニファイドキーセットアップ） これは暗号化仕様であり、特にLUKSではパーティションをキーで暗号化できます。このようにして、システムの起動時に、キーが不明な場合、パーティションをマウントまたは読み取ることができません。

パラノイア

確かに、「最大」レベルのセキュリティを必要とする人々がいます。これは、システムの最小の側面でさえも保護することにつながります。まあ、この側面はカーネルでピークに達します。 linuxカーネルは、ソフトウェアがハードウェアと対話する方法です。ソフトウェアがハードウェアを「認識」しないようにすると、機器に害を及ぼすことはありません。 例を挙げると、Windowsについて話すとき、ウイルスを伴う「危険な」USBがどれほど危険であるかは誰もが知っています。なぜなら、カーネルにタイプのみを認識させると、USBにはシステムに害を及ぼす可能性がある、または害を及ぼさないコードが含まれる可能性があるからです。私たちが望むusb（ファームウェア）の場合、他のタイプのUSBはチームによって単に無視されます。これは確かに少し極端なことですが、状況によっては機能する可能性があります。

サービス

サービスについて話すとき、最初に頭に浮かぶのは「監視」です。これは非常に重要なことです。攻撃者がシステムに入るときに最初に行うことのXNUMXつは、接続を維持することだからです。 システムでは、着信接続、特に発信接続の定期的な分析を実行することが非常に重要です。

Iptables

これで、iptablesについて聞いたことがあります。これは、カーネルレベルでデータの入力と終了のルールを生成できるツールです。これは確かに便利ですが、両刃の剣でもあります。 多くの人々は、「防火壁」を持つことで、システムへの出入りがすでにないことを信じていますが、真実から離れることはなく、多くの場合、これはプラセボ効果としてのみ機能します。 ファイアウォールはルールに基づいて機能することが知られており、ルールが「許可」されていると見なされるポートやサービスを介してデータを転送できるようにするために、これらをバイパスまたはだましてしまう可能性があります。これは創造性の問題です🙂

安定性とローリングリリース

さて、これは多くの場所や状況でかなり論争の的となる点ですが、私の見解を説明させてください。 ディストリビューションの安定したブランチの多くの問題を監視するセキュリティチームのメンバーとして、ユーザーのGentooマシンに存在する多くの脆弱性のほとんどすべてを認識しています。 現在、Debian、RedHat、SUSE、Ubuntuなどの多くのディストリビューションでも同じことが行われ、それらの反応時間は多くの状況によって異なる可能性があります。

明確な例に行きましょう。確かに、メルトダウン、スペクター、そして最近インターネット上を飛び交う一連のニュースについては誰もが聞いたことがあるでしょう。カーネルの最も「ローリングリリース」ブランチにはすでにパッチが適用されています。問題はそこにあります。これらの修正を古いカーネルに導入する場合、バックポートは確かに大変な作業です。 その後も、ディストリビューションの開発者がテストする必要があり、テストが完了すると、通常のユーザーのみが利用できるようになります。 これで何が欲しいですか？ ローリングリリースモデルでは、システムと、何かが失敗した場合にシステムを救済する方法について詳しく知る必要があるためですが、それは ブエノ、システムで絶対的な受動性を維持すると、管理者とユーザーの両方にいくつかの悪影響があるためです。

あなたのソフトウェアを知っている

これは管理時に非常に価値のある追加です。使用するソフトウェアのニュースを購読するだけで、セキュリティ通知を事前に知ることができます。このようにして、対応計画を作成すると同時に、どれだけの量を確認することができます。各ディストリビューションが問題を解決するには時間がかかります。企業への攻撃の70％以上が古いソフトウェアによって実行されるため、これらの問題に積極的に取り組むことをお勧めします。

反射

人々が硬化について話すとき、「保護された」チームはすべてに対する証拠であるとしばしば信じられており、これ以上の誤りはありません。 その文字通りの翻訳が示すように、 硬化 物事をより難しくすることを意味し、不可能ではありません...しかし、多くの人はこれがダークマジックとハニーポットなどの多くのトリックを伴うと考えています...これは追加ですが、ソフトウェアや言語を最新の状態に保つなどの最も基本的なことを行うことができない場合プログラミング...ファントムネットワークや対策を講じたチームを作成する必要はありません... PHP 4から5のバージョンを要求する企業をいくつか見たのでこれを言います（明らかに廃止されました）...今日では数千とは言わないまでも数百の欠陥があることが知られていますセキュリティが、会社が技術に追いつくことができないならば、彼らが残りをするならば、それは役に立たない。

また、私たち全員が無料またはオープンなソフトウェアを使用している場合、セキュリティバグに対する反応時間は通常非常に短く、独自のソフトウェアを扱っているときに問題が発生しますが、それは別の記事に残しておきます。

ここに来てくれてありがとう🙂ご挨拶