Компьютерді шабуылдардан қалай қорғауға болады

Барлығына өте жақсы, сіздің командаңыздың қатаюына кіріспес бұрын, мен сізге Gentoo үшін жасап жатқан қондырғы альфа кезеңіне дейін екенін айтқым келеді 😀 бұл прототиптің басқалармен сыналатындай мықты екенін білдіреді пайдаланушылар, бірақ сонымен бірге әлі көп жол бар, және осы кезеңдердің кері байланысы (альфа, альфа, бета) процестің маңызды ерекшеліктерін анықтауға көмектеседі interested Мүдделі адамдар үшін…

https://github.com/ChrisADR/installer

. Менде тек ағылшын тілінде ғана нұсқасы бар, бірақ бета нұсқасында оның испан тіліндегі аудармасы да бар деп үміттенемін (мен оны питондағы жұмыс уақытындағы аудармалардан үйренемін, сондықтан әлі де көп нәрсені табуға болады)

Қаттылық

Біз туралы сөйлескен кезде беріктендіру, біз компьютерлік жүйеге немесе жүйелер желісіне қол жеткізуге кедергі болатын көптеген әрекеттер мен процедураларға сілтеме жасаймыз. Нақ сондықтан да бұл нюанстар мен бөлшектерге толы кең тақырып. Бұл мақалада жүйені қорғау кезінде ескеру қажет кейбір маңызды немесе ұсынылатын нәрселерді тізбектемекпін, ең маңыздыдан ең кішіге ауысуға тырысамын, бірақ тақырыптың әрқайсысына берілгендіктен, көп нәрсеге терең бойламай-ақ қояйын. бұл мақаланың тақырыбы болады.

Физикалық қол жетімділік

Бұл командалар үшін бірінші және маңызды проблема екені сөзсіз, өйткені шабуылдаушыға командаға физикалық қол жетімділік оңай болса, оларды жоғалған команда ретінде санауға болады. Бұл ірі деректер орталықтарына да, компания ішіндегі ноутбуктарға да қатысты. Бұл проблеманы қорғаудың негізгі шараларының бірі - бұл BIOS деңгейіндегі кілттер, бұл жаңа болып көрінетін барлық адамдар үшін BIOS-ға физикалық қол жетімділіктің кілтін қоюға болады, егер біреу біреудің параметрлерін өзгерткісі келсе кіріп, компьютерді тірі жүйеден іске қосыңыз, бұл оңай жұмыс болмайды.

Енді бұл қарапайым нәрсе, егер бұл шынымен қажет болса, әрине жұмыс істейді, мен бұл маңызды емес бірнеше компанияларда болдым, өйткені олар есік алдындағы күзет «күзетшісі» физикалық қол жетімділікті болдырмау үшін жеткілікті деп санайды. . Бірақ сәл жетілдірілген нүктеге жетейік.

ЛЮКС

Бір секунд ішінде «шабуылдаушы» компьютерге физикалық қол жеткізді деп есептейік, келесі қадам - ​​бар қатты диск пен бөлімді шифрлау. LUKS (Linux бірыңғай кілтін орнату) Бұл LUKS шифрлаудың ерекшелігі, бөлімді кілтпен шифрлауға мүмкіндік береді, осылайша жүйе іске қосылғанда, егер кілт белгісіз болса, бөлімді орнату немесе оқу мүмкін емес.

Паранойя

Әрине, қауіпсіздіктің «максималды» деңгейіне мұқтаж адамдар бар, және бұл жүйенің ең кіші аспектілерін де қорғауға әкеледі, сонымен бірге бұл аспект ядрода өзінің шыңына жетеді. Linux ядросы - бұл сіздің бағдарламалық жасақтамаңыздың аппараттық құралдармен өзара әрекеттесу тәсілі, егер сіз бағдарламалық жасақтамаңыздың аппаратураны «көруіне» кедергі жасасаңыз, ол жабдыққа зиянын тигізбейді. Мысал келтіру үшін, біз Windows туралы әңгімелескенде, вирустардың USB-нің қаншалықты «қауіпті» екенін бәріміз білеміз, өйткені USB-де Linux-те жүйеге зиян келтіруі мүмкін немесе зиян тигізбейтін код болуы мүмкін, егер біз ядроны тек түрін танитын болсақ Біз қалайтын usb (микробағдарлама) туралы, кез-келген басқа USB түрін біздің команда назардан тыс қалдырады, бұл, әрине, біршама экстремалды, бірақ ол жағдайға байланысты жұмыс істей алады.

қызметтер

Қызметтер туралы айтатын болсақ, бірінші кезекте «қадағалау» сөзі келеді, ал бұл өте маңызды нәрсе, өйткені шабуылдаушы жүйеге кіру кезінде жасайтын бірінші нәрсе - бұл байланысты сақтау. Кіретін және әсіресе шығатын байланыстарға мерзімді талдау жүргізу жүйеде өте маңызды.

iptables

Iptables туралы бәріміз естідік, бұл ядро ​​деңгейінде деректерді енгізу және қалдыру ережелерін құруға мүмкіндік беретін құрал, бұл пайдалы, бірақ бұл сонымен қатар екі қырлы қылыш. Көптеген адамдар «брандмауэрдің» көмегімен жүйеге кірудің немесе шығудың кез-келген түрінен босатылған деп санайды, бірақ шындықтан басқа ештеңе жоқ, бұл көптеген жағдайларда плацебо әсері бола алады. Брандмауэр ережелер негізінде жұмыс істейтіні белгілі және оларды ережелер «рұқсат етілген» деп санайтын порттар мен қызметтер арқылы деректерді тасымалдауға мүмкіндік беру үшін оларды айналып өтуге немесе алдап алуға болады, бұл тек шығармашылыққа қатысты мәселе

Тұрақтылық прокатқа қарсы

Қазір бұл көптеген жерлерде немесе жағдайларда даулы мәселе, бірақ мен өз көзқарасымды түсіндіріп берейін. Біздің дистрибуциямыздың тұрақты филиалындағы көптеген мәселелерді бақылайтын қауіпсіздік тобының мүшесі ретінде мен Gentoo пайдаланушыларының көптеген осалдықтары туралы білемін. Енді Debian, RedHat, SUSE, Ubuntu және басқалары сияқты таратылымдар дәл осылай өтеді және олардың реакция уақыты көптеген жағдайларға байланысты өзгеруі мүмкін.

Нақты мысалға тоқталайық, әркім осы уақыттарда Meltdown, Spectre және бүкіл Интернетті шарлаған жаңалықтардың сериясын естіген, әрине, ядроның ең «ширатылатын» тармағы қазірдің өзінде қамтылған, мәселе сол жерде Бұл түзетулерді ескі ядроларға келтіру үшін, артқы бетке шығару қиын және қиын жұмыс. Енді осыдан кейін оларды тарату әзірлеушілері тексеруі керек, ал тестілеу аяқталғаннан кейін ол тек қарапайым пайдаланушыларға қол жетімді болады. Мен бұған не алғым келеді? Шығарылатын модель бізден жүйе туралы көбірек білуді және бірдеңе істен шықса, оны құтқарудың жолдарын талап етеді, бірақ солай жақсы, өйткені жүйеде абсолютті пассивтілікті сақтау әкімшіге де, пайдаланушыларға да бірнеше жағымсыз әсер етеді.

Бағдарламалық жасақтамаңызды біліңіз

Бұл басқарудағы өте құнды қосымша, сіз қолданатын бағдарламалық жасақтаманың жаңалықтарына жазылу сияқты қарапайым нәрселер сізге қауіпсіздік туралы ескертулерді алдын-ала білуге ​​көмектеседі, осылайша сіз реакция жоспарын құра аласыз және сонымен бірге оның қаншалықты көп болатынын біле аласыз. Мәселелерді шешу үшін әр тарату үшін уақыт қажет, бұл мәселелерде әрдайым белсенді болған жөн, өйткені компанияларға шабуылдардың 70% -дан астамы ескірген бағдарламалық жасақтамамен жасалады.

Рефлексия

Адамдар шыңдау туралы сөйлескенде, көбінесе «паналайтын» команда бәріне қарсы дәлел болып табылады, ал одан артық жалған ештеңе жоқ. Оның сөзбе-сөз аудармасы көрсеткендей, беріктендіру бұл жағдайды қиындатуды, мүмкін емес ЕМЕС дегенді білдіреді ... бірақ көптеген адамдар бұған қара магия мен бал аралары сияқты көптеген қулықтарды қажет етеді деп ойлайды ... бұл қосымша, бірақ егер сіз бағдарламалық жасақтаманы немесе тілді жаңарту сияқты қарапайым нәрселерді жасай алмасаңыз бағдарламалау ... елестер желілері мен қарсы шаралар қолданатын топтар құрудың қажеті жоқ ... Мұны мен бірнеше компанияларды көрдім, өйткені олар PHP 4-тен 5-ке дейінгі нұсқаларын сұрайды (тоқтатылған) ... бүгінде жүздеген, тіпті мыңдаған кемшіліктері бар нәрселер бар. қауіпсіздік, бірақ егер компания технологияға ілесе алмаса, қалғанын олар жасаса, пайдасыз.

Сонымен қатар, егер біз барлығымыз ақысыз немесе ашық бағдарламалық жасақтаманы қолданатын болсақ, қауіпсіздікке қатысты қателіктер үшін реакция уақыты өте аз болады, мәселе меншікті бағдарламалық жасақтамамен айналысқан кезде туындайды, бірақ мен оны жақын арада жазуға үміттенетін басқа мақалаға қалдырамын.

Мұнда келгеніңізге көп рахмет 🙂 сәлем!


Мақаланың мазмұны біздің ұстанымдарымызды ұстанады редакторлық этика. Қате туралы хабарлау үшін нұқыңыз Мұнда.

12 пікір, өз пікіріңізді қалдырыңыз

Пікіріңізді қалдырыңыз

Сіздің электрондық пошта мекен-жайы емес жарияланады. Міндетті өрістер таңбаланған *

*

*

  1. Деректерге жауапты: Мигель Анхель Гатан
  2. Деректердің мақсаты: СПАМ-ны басқару, түсініктемелерді басқару.
  3. Заңдылық: Сіздің келісіміңіз
  4. Деректер туралы ақпарат: заңды міндеттемелерді қоспағанда, деректер үшінші тұлғаларға жіберілмейді.
  5. Деректерді сақтау: Occentus Networks (ЕО) орналастырған мәліметтер базасы
  6. Құқықтар: Сіз кез-келген уақытта ақпаратты шектей, қалпына келтіре және жоя аласыз.

  1.   галопеладо дижо

    Excelente

    1.    ChrisADR дижо

      Сізге көп рахмет 🙂 сәлем!

  2.   норман дижо

    Маған қатты ұнайтыны - осы уақыттағы қауіпсіздік, осы мәселені шешудің қарапайымдылығы, рахмет, мен қазір Ubuntu-да боламын, өйткені ол өте қажет емес, өйткені мен қазіргі уақытта Windows 8.1-де орналасқан бөлімді алып жатқан жоқпын, сәлемдесу.

    1.    ChrisADR дижо

      Сәлеметсіз бе, норма, әрине, Debian және Ubuntu қауіпсіздік командалары өте тиімді 🙂 Мен олардың істерді қалайша керемет жылдамдықпен қарайтынын көрдім және олар өз қолданушыларын өздерін қауіпсіз сезінуіне мәжбүр етеді, егер мен Ubuntu-де болсам, мен өзімді қауіпсіз сезінер едім 🙂
      Сәлемдесу, және бұл қарапайым мәселе ... қара өнерден гөрі қауіпсіздік - бұл ең төменгі критерийлер мәселесі

  3.   Альберто Кардона дижо

    Сіздің үлесіңіз үшін көп рахмет!
    Өте қызықты, әсіресе Rolling шығарылымының бөлігі.
    Мен мұны ескермеген едім, енді Девуанмен айырмашылықтарымды көру үшін Gentoo-мен серверді басқаруым керек.
    Бұл жазбаны менің әлеуметтік желілерімде бөлісу үшін үлкен сәлем және хабарлама, бұл ақпарат адамдарға көбірек жетеді !!
    Gracias!

    1.    ChrisADR дижо

      Сіз Альбертоны қош келдіңіз 🙂 Мен алдыңғы блогтың сұрауына бірінші болып жауап бергенім үшін қарыздар болдым, сондықтан сәлем, енді жазуды күтіп тұрған тізіммен жалғастыру керек 🙂

  4.   Джолт2болт дижо

    Шынықтыруды спектрмен қолдану, мысалы, санбоксингті қолданған жағдайда компьютерді осал қалдырғанға ұқсайды. Бір қызығы, сіздің қауіпсіздігіңіз аз болған сайын, сіздің жабдықтарыңыз спектрге қарсы қауіпсіз болады ... қызық, иә?

    1.    ChrisADR дижо

      бұл маған бүкіл мақаланы ұсына алатын мысалды еске түсіреді ... -fsanitize = компилятордағы адресті қолдану бізді жинақталған бағдарламалық жасақтама «қауіпсіз» болады деп ойлауға мәжбүр етуі мүмкін, бірақ шындықтан алшақ ештеңе болмауы мүмкін, мен білемін мұны бүкіл командамен бірге жасаудың орнына тырысқан әзірлеуші ​​... АСАН-ны қолданбай шабуылдау оңайырақ болды ... дәл сол әртүрлі аспектілерде қолданылады, егер сіз олардың не екенін білмесеңіз, қате қабаттарды қолданыңыз ешнәрсені пайдаланбағаннан гөрі зияндырақ, менің ойымша жүйені қорғауға тырысқанда бәрін ескеру керек ... бұл бізді қараңғы сиқыр емес, жай ақылға сыйғызады 🙂 рахмет сіздің енгізуіңіз үшін

  5.   Кра дижо

    Менің көзқарасым бойынша, физикалық қол жетімділік пен адамның қателігімен теңестірілген ең маңызды осалдық - бұл Meltdown мен Specter-ті біржола қалдыратын аппараттық құрал, өйткені ежелгі уақыттан бері LoveLetter құртының нұсқалары жабдықтың BIOS-ында код жазғаны белгілі болды , өйткені SSD-дегі кейбір микробағдарламалық жасақтамалар кодты қашықтан орындауға мүмкіндік берді және менің көзқарасым бойынша Intel Management Engine - бұл құпиялылық пен қауіпсіздіктің толық ауытқуы, өйткені жабдықтың AES шифрлауы, обфусациясы немесе кез келген түрі маңызды емес. қатайту, өйткені компьютер өшірілген болса да, IME сізді бұрап алады.

    Сонымен қатар, парадоксальды түрде LibreBoot қолданатын 200 жылғы Tinkpad X2008 кез-келген қазіргі компьютерге қарағанда қауіпсізірек.

    Бұл жағдайдың ең жаман жері - оның шешімі жоқ, өйткені Intel, AMD, Nvidia, Gygabite немесе кез-келген орташа танымал жабдық өндірушілері GPL немесе басқа кез-келген басқа тегін лицензиямен, қолданыстағы жабдықтың дизайнымен шығарылмайды, өйткені неге инвестициялау керек шынайы идеяны көшіру үшін басқа адамға миллион доллар.

    Әдемі капитализм.

    1.    ChrisADR дижо

      Өте шынайы Кра security сіздің қауіпсіздік мәселелерін өте жақсы білетіндігіңіз айдан анық, өйткені іс жүзінде меншікті бағдарламалық жасақтама мен аппараттық құралдар қамқорлық мәселесі болып табылады, бірақ, өкінішке орай, бұған қарсы «қатаюға» байланысты аз нәрсе бар, өйткені сіз айтқандай, бұл бағдарламалау мен электрониканы білетіндерден басқа, барлық дерлік адамнан қашып құтылатын нәрсе.

      Сәлем және бөліскеніңіз үшін рақмет 🙂

  6.   аноним дижо

    Өте қызықты, енді әр бөлімге арналған оқулық жақсы болар еді xD

    Айтпақшы, мен Raspberry Pi-ді қойып, үйден тыс жерден өзімнің Cloud немесе веб-серверді пайдалану үшін қажетті порттарды ашсам, бұл қаншалықты қауіпті?
    Мені қатты қызықтырады, бірақ кіру журналдарын қарап шығуға, қауіпсіздік параметрлерін мезгіл-мезгіл қарап шығуға және т.с.с. уақыт табатынымды білмеймін ...

  7.   Шілде дижо

    Өте жақсы үлес, біліміңізбен бөліскеніңізге рахмет.