コンピュータを攻撃から保護する方法

チームの強化に入る前に、私がGentoo用に開発しているインストーラーは、すでにアルファ版前の段階にあることをお伝えしたいと思います😀これは、プロトタイプが他の人がテストできるほど堅牢であることを意味しますユーザーですが、同時にまだ長い道のりがあり、これらの段階(プレアルファ、アルファ、ベータ)からのフィードバックは、プロセスの重要な機能を定義するのに役立ちます🙂興味のある人のために…

https://github.com/ChrisADR/installer

。 私はまだ英語のみのバージョンを持っていますが、ベータ版ではすでにスペイン語の翻訳もあることを願っています(これは、Pythonのランタイム翻訳から学んでいるので、まだ発見することがたくさんあります)

硬化

私たちが話すとき 硬化、コンピュータシステムまたはシステムのネットワークへのアクセスを妨げるさまざまなアクションまたは手順を指します。 それがまさにそれがニュアンスと詳細に満ちた広大な主題である理由です。 この記事では、システムを保護する際に考慮すべき最も重要または推奨される事項のいくつかをリストします。これらの各ポイント以降、主題について詳しく説明することなく、最も重要なものから最も重要でないものへと移行しようとします。それはそれ自身の記事の主題になるでしょう。

物理的アクセス

これは間違いなくチームにとって最初で最も重要な問題です。攻撃者がチームに簡単に物理的にアクセスできる場合、それらはすでに失われたチームとしてカウントされる可能性があるためです。 これは、企業内の大規模なデータセンターとラップトップの両方に当てはまります。 この問題の主な保護手段のXNUMXつは、BIOSレベルのキーです。これが新しいと思われるすべての人にとって、誰かがのパラメータを変更したい場合は、この方法でBIOSの物理アクセスにキーを設定できます。ログインしてライブシステムからコンピュータを起動すると、簡単な作業ではありません。

これは基本的なことであり、本当に必要な場合は確かに機能します。ドアのセキュリティ「ガード」は物理的なアクセスを防ぐのに十分であると信じているため、これが問題にならないいくつかの会社に行ってきました。 。 しかし、もう少し進んだポイントに行きましょう。

LUKS

「攻撃者」がすでにコンピュータに物理的にアクセスしていると仮定します。次のステップは、既存のすべてのハードドライブとパーティションを暗号化することです。 LUKS(Linuxユニファイドキーセットアップ) これは暗号化仕様であり、特にLUKSではパーティションをキーで暗号化できます。このようにして、システムの起動時に、キーが不明な場合、パーティションをマウントまたは読み取ることができません。

パラノイア

確かに、「最大」レベルのセキュリティを必要とする人々がいます。これは、システムの最小の側面でさえも保護することにつながります。まあ、この側面はカーネルでピークに達します。 linuxカーネルは、ソフトウェアがハードウェアと対話する方法です。ソフトウェアがハードウェアを「認識」しないようにすると、機器に害を及ぼすことはありません。 例を挙げると、Windowsについて話すとき、ウイルスを伴う「危険な」USBがどれほど危険であるかは誰もが知っています。なぜなら、カーネルにタイプのみを認識させると、USBにはシステムに害を及ぼす可能性がある、または害を及ぼさないコードが含まれる可能性があるからです。私たちが望むusb(ファームウェア)の場合、他のタイプのUSBはチームによって単に無視されます。これは確かに少し極端なことですが、状況によっては機能する可能性があります。

サービス

サービスについて話すとき、最初に頭に浮かぶのは「監視」です。これは非常に重要なことです。攻撃者がシステムに入るときに最初に行うことのXNUMXつは、接続を維持することだからです。 システムでは、着信接続、特に発信接続の定期的な分析を実行することが非常に重要です。

Iptables

これで、iptablesについて聞いたことがあります。これは、カーネルレベルでデータの入力と終了のルールを生成できるツールです。これは確かに便利ですが、両刃の剣でもあります。 多くの人々は、「防火壁」を持つことで、システムへの出入りがすでにないことを信じていますが、真実から離れることはなく、多くの場合、これはプラセボ効果としてのみ機能します。 ファイアウォールはルールに基づいて機能することが知られており、ルールが「許可」されていると見なされるポートやサービスを介してデータを転送できるようにするために、これらをバイパスまたはだましてしまう可能性があります。これは創造性の問題です🙂

安定性とローリングリリース

さて、これは多くの場所や状況でかなり論争の的となる点ですが、私の見解を説明させてください。 ディストリビューションの安定したブランチの多くの問題を監視するセキュリティチームのメンバーとして、ユーザーのGentooマシンに存在する多くの脆弱性のほとんどすべてを認識しています。 現在、Debian、RedHat、SUSE、Ubuntuなどの多くのディストリビューションでも同じことが行われ、それらの反応時間は多くの状況によって異なる可能性があります。

明確な例に行きましょう。確かに、メルトダウン、スペクター、そして最近インターネット上を飛び交う一連のニュースについては誰もが聞いたことがあるでしょう。カーネルの最も「ローリングリリース」ブランチにはすでにパッチが適用されています。問題はそこにあります。これらの修正を古いカーネルに導入する場合、バックポートは確かに大変な作業です。 その後も、ディストリビューションの開発者がテストする必要があり、テストが完了すると、通常のユーザーのみが利用できるようになります。 これで何が欲しいですか? ローリングリリースモデルでは、システムと、何かが失敗した場合にシステムを救済する方法について詳しく知る必要があるためですが、それは ブエノ、システムで絶対的な受動性を維持すると、管理者とユーザーの両方にいくつかの悪影響があるためです。

あなたのソフトウェアを知っている

これは管理時に非常に価値のある追加です。使用するソフトウェアのニュースを購読するだけで、セキュリティ通知を事前に知ることができます。このようにして、対応計画を作成すると同時に、どれだけの量を確認することができます。各ディストリビューションが問題を解決するには時間がかかります。企業への攻撃の70%以上が古いソフトウェアによって実行されるため、これらの問題に積極的に取り組むことをお勧めします。

反射

人々が硬化について話すとき、「保護された」チームはすべてに対する証拠であるとしばしば信じられており、これ以上の誤りはありません。 その文字通りの翻訳が示すように、 硬化 物事をより難しくすることを意味し、不可能ではありません...しかし、多くの人はこれがダークマジックとハニーポットなどの多くのトリックを伴うと考えています...これは追加ですが、ソフトウェアや言語を最新の状態に保つなどの最も基本的なことを行うことができない場合プログラミング...ファントムネットワークや対策を講じたチームを作成する必要はありません... PHP 4から5のバージョンを要求する企業をいくつか見たのでこれを言います(明らかに廃止されました)...今日では数千とは言わないまでも数百の欠陥があることが知られていますセキュリティが、会社が技術に追いつくことができないならば、彼らが残りをするならば、それは役に立たない。

また、私たち全員が無料またはオープンなソフトウェアを使用している場合、セキュリティバグに対する反応時間は通常非常に短く、独自のソフトウェアを扱っているときに問題が発生しますが、それは別の記事に残しておきます。

ここに来てくれてありがとう🙂ご挨拶


記事の内容は、次の原則に準拠しています。 編集倫理。 エラーを報告するには、 ここで.

12コメント、あなたのコメントを残してください

コメントを残す

あなたのメールアドレスが公開されることはありません。 必須フィールドには付いています *

*

*

  1. データの責任者:MiguelÁngelGatón
  2. データの目的:SPAMの制御、コメント管理。
  3. 正当化:あなたの同意
  4. データの伝達:法的義務がある場合を除き、データが第三者に伝達されることはありません。
  5. データストレージ:Occentus Networks(EU)がホストするデータベース
  6. 権利:いつでも情報を制限、回復、削除できます。

  1.   ガロペラド

    EXCELENTE

    1.    クリスADR

      どうもありがとうございました🙂ご挨拶

  2.   ノーマン

    私が最も気に入っているのは、この問題に対処する際のシンプルさ、この時代のセキュリティです。現在Windows 8.1にあるパーティションを占有していないため、緊急に必要とされない限り、Ubuntuにとどまります。ご挨拶。

    1.    クリスADR

      こんにちはノルマ、確かにDebianとUbuntuのセキュリティチームは非常に効率的です🙂彼らが驚くべき速度でケースを処理する方法を見てきました、そして彼らは確かに彼らのユーザーを安全に感じさせます、少なくとも私がUbuntuにいたなら、私はもう少し安全だと感じます🙂
      挨拶、そして本当です、それは単純な問題です...ダークアート以上のセキュリティは最小基準の問題です🙂

  3.   アルベルトカルドナ

    ご協力ありがとうございました!
    特にローリングリリースの一部は非常に興味深いものです。
    私はそれを考慮していませんでした。今度は、Gentooでサーバーを管理して、Devuanとの違いを確認する必要があります。
    この情報がより多くの人々に届くように、私のソーシャルネットワークでこのエントリを共有するための大きな挨拶とps!
    ありがとうございます!

    1.    クリスADR

      どういたしましてアルベルト🙂前のブログからのリクエストに最初に答えたのは借金でした🙂だから挨拶し、今度はその保留中のリストを続けて書きます🙂

  4.   Jolt2ボルト

    さて、そこにスペクターで硬化を適用します。たとえば、sanboxingを使用する場合、PCをより脆弱なままにしておくようなものです。 不思議なことに、あなたの機器は、あなたが適用するセキュリティ層が少ないほど、幽霊に対してより安全になります...好奇心が強いですよね?

    1.    クリスADR

      これは、記事全体を提示できる例を思い出させます...コンパイラで-fsanitize = addressを使用すると、コンパイルされたソフトウェアがより「安全」であると思われる可能性がありますが、真実から離れることはできません。チーム全体でそれを行う代わりに... ASANを使用しない場合よりも攻撃しやすいことが判明しました...同じことがさまざまな側面に当てはまり、何をしているのかわからないときに間違ったレイヤーを使用すると、何も使用しないよりもダメージが大きくなります😛それはシステムを保護しようとするときに私たち全員が考慮すべきこと...これはダークマジックではなく、単なる常識であるという事実に私たちを戻します🙂あなたの入力に感謝します

  5.   クラ

    私の見解では、物理的なアクセスと人為的エラーと同等の最も深刻な脆弱性は依然としてハードウェアであり、MeltdownとSpectreは別として、昔からLoveLetterワームの亜種がのBIOSでコードを記述したと見なされていました。 SSDの特定のファームウェアバージョンではリモートコードの実行が可能であり、私の観点からは最悪のIntel Management Engineでした。これは、機器にAES暗号化があるかどうかは問題ではなくなったため、プライバシーとセキュリティの完全な異常です。コンピュータの電源がオフになっていても、IMEがあなたを台無しにするので、難読化またはあらゆる種類の硬化。

    また、逆説的に、LibreBootを使用する200年のTinkpad X2008は、現在のどのコンピューターよりも安全です。

    この状況で最悪なのは、解決策がないことです。Intel、AMD、Nvidia、Gygabite、または中程度に知られているハードウェアメーカーのいずれも、GPLまたはその他の無料ライセンス(現在のハードウェア設計)でリリースする予定がないためです。他の誰かが本当の考えをコピーするための百万ドル。

    美しい資本主義。

    1.    クリスADR

      非常に真実のクラ🙂あなたがセキュリティの問題に非常に熟練していることは明らかです😀実際には独自のソフトウェアとハ​​ードウェアは注意の問題ですが、残念ながらそれに対して「硬化」に関してはほとんど関係がありません。あなたが言うように、それは何かですそれは、プログラミングと電子機器を知っている人を除いて、ほとんどすべての人間を免れます。

      共有してくれてありがとう🙂

  6.   匿名の

    非常に興味深いので、各セクションのチュートリアルは良いxDになります

    ちなみに、Raspberry Piを置いて、家の外からowncloudやWebサーバーを使用するために必要なポートを開くと、どれほど危険ですか?
    非常に興味があるのですが、アクセスログを確認したり、セキュリティ設定を時々確認したりする時間があるかどうかはわかりません...

  7.   7月

    あなたの知識を共有してくれてありがとう、素晴らしい貢献。