Labai gerai visiems, prieš įsitraukdamas į jūsų komandos grūdinimą, noriu jums pasakyti, kad diegimo programa, kurią kuriu „Gentoo“, jau yra prieš-alfa fazėje. vartotojų, tačiau tuo pačiu metu dar reikia nueiti ilgą kelią, o šių etapų (prieš alfa, alfa, beta) atsiliepimai padės apibrėžti svarbias proceso ypatybes those Tiems, kurie domisi ...
https://github.com/ChrisADR/installer
. Aš vis dar turiu tik anglišką versiją, bet tikiuosi, kad beta versijos versijoje jau yra ir vertimas į ispanų kalbą (aš to mokausi iš „Python“ vykdymo laiko vertimų, todėl dar daug ką galima atrasti)
Grūdinimas
Kai mes kalbame apie grūdinimas, mes kalbame apie daugybę veiksmų ar procedūrų, trukdančių prieigai prie kompiuterinės sistemos ar sistemų tinklo. Būtent todėl tai yra didžiulė niuansų ir detalių tema. Šiame straipsnyje aš išvardysiu keletą svarbiausių ar rekomenduojamų dalykų, į kuriuos reikia atsižvelgti apsaugant sistemą, pabandysiu pereiti nuo kritiškiausio iki mažiausiai kritinio, tačiau nesigilindamas į temą, nes kiekvienas iš šių dalykų punktų, tai būtų jo paties straipsnio tema.
Fizinė prieiga
Tai neabejotinai yra pirmoji ir svarbiausia komandų problema, nes jei užpuolikas turi lengvą fizinę prieigą prie komandos, jie jau gali būti laikomi prarasta komanda. Tai pasakytina apie didelius duomenų centrus ir nešiojamus kompiuterius įmonėje. Viena iš pagrindinių šios problemos apsaugos priemonių yra raktai BIOS lygiu. Visiems tiems, kuriems tai skamba naujai, galima įdėti raktą į fizinę prieigą prie BIOS, tokiu būdu, jei kas nors nori pakeisti prisijungimo parametrus ir paleiskite įrangą iš veikiančios sistemos, tai nebus lengvas darbas.
Dabar tai yra kažkas pagrindinio ir tai tikrai veikia, jei to tikrai reikia. Aš buvau keliose įmonėse, kur tai nesvarbu, nes jie mano, kad prie durų esančio apsaugos „sargybinio“ yra daugiau nei pakankamai, kad būtų išvengta fizinės prieigos. Bet pereikime prie šiek tiek pažangesnio taško.
prabanga
Tarkime, kad sekundę „užpuolikas“ jau įgijo fizinę prieigą prie kompiuterio, kitas žingsnis yra užšifruoti kiekvieną esamą standųjį diską ir skaidinį. LUKS („Linux Unified Key“ sąranka) Tai yra šifravimo specifikacija, be kita ko, LUKS leidžia skaidinį užšifruoti raktu, tokiu būdu paleidus sistemą, jei raktas nežinomas, skaidinio negalima prijungti ar perskaityti.
Paranoja
Be abejo, yra žmonių, kuriems reikalingas „maksimalus“ saugumo lygis, o tai apsaugo net ir mažiausią sistemos aspektą. Na, šis aspektas pasiekia viršūnę branduolyje. „Linux“ branduolys yra būdas, kuriuo jūsų programinė įranga sąveikauja su aparatine įranga. Jei neleisite programinei įrangai „matyti“ aparatūros, ji negalės pakenkti įrangai. Pateikiant pavyzdį, mes visi žinome, koks „pavojingas“ yra USB virusų virusas, kai kalbame apie „Windows“, nes USB tikrai gali turėti „Linux“ kodą, kuris sistemai gali ir nepakenkti, jei priverčiame branduolį atpažinti tik tipą usb (programinės aparatinės įrangos), kurių norime, bet kokio kito tipo USB mūsų komanda tiesiog ignoruotų, kas tikrai yra šiek tiek ekstremalu, tačiau tai gali veikti priklausomai nuo aplinkybių.
paslaugos
Kai kalbame apie paslaugas, pirmas į galvą ateinantis žodis yra „priežiūra“, ir tai yra kažkas gana svarbaus, nes vienas iš pirmųjų dalykų, kuriuos užpuolikas daro įeidamas į sistemą, yra palaikyti ryšį. Sistemoje labai svarbu atlikti periodinę gaunamų ir ypač išeinančių ryšių analizę.
„Iptables“
Dabar mes visi girdėjome apie „iptables“, tai yra įrankis, leidžiantis generuoti duomenų įvedimo ir išėjimo taisykles branduolio lygiu, tai tikrai naudinga, tačiau tai taip pat yra dviašmenis kardas. Daugelis žmonių mano, kad turėdami „užkardą“ jie jau nėra laisvi nuo bet kokio tipo patekimo ar išėjimo iš sistemos, tačiau nieko nėra toliau nuo tiesos, daugeliu atvejų tai gali būti tik placebo efektas. Yra žinoma, kad ugniasienės veikia pagal taisykles, ir jas tikrai galima apeiti arba apgauti leidžiant duomenis gabenti per uostus ir paslaugas, kurių taisyklės laikytų „leidžiamais“, tai tik kūrybiškumo klausimas matter
Stabilumas, palyginti su riedėjimu
Dabar tai yra gana ginčytinas klausimas daugelyje vietų ar situacijų, bet leiskite man paaiškinti savo požiūrį. Būdamas saugos komandos, stebinčios daugelį problemų mūsų stabiliame platinimo skyriuje, narys, žinau daugelį, beveik visų mūsų vartotojų „Gentoo“ mašinų pažeidžiamumų. Dabar tokie platinimai kaip „Debian“, „RedHat“, „SUSE“, „Ubuntu“ ir daugelis kitų išgyvena tą patį dalyką, o jų reakcijos laikas gali skirtis priklausomai nuo daugelio aplinkybių.
Eikime prie aiškaus pavyzdžio, tikrai visi yra girdėję apie „Meltdown“, „Spectre“ ir visą naujienų seriją, kuri šiomis dienomis skriejo internete, na, jau užlopyta pati „ridenamiausia-atleidžianti“ branduolio šaka, problema slypi Teikiant tuos pataisymus į senesnius branduolius, atsarginė kopija yra tikrai sunkus ir sunkus darbas. Dabar po to juos vis tiek turi išbandyti platinimo kūrėjai, o kai testavimas bus baigtas, jis bus prieinamas tik įprastiems vartotojams. Ką aš noriu su tuo gauti? Kadangi riedėjimo paleidimo modelis reikalauja daugiau žinoti apie sistemą ir jos gelbėjimo būdus, jei kažkas nepavyksta, tačiau taip yra geras, nes absoliutaus pasyvumo palaikymas sistemoje turi keletą neigiamų padarinių tiek administratoriui, tiek vartotojams.
Žinokite savo programinę įrangą
Tai labai vertingas priedas tvarkant. Paprasti dalykai, pvz., Užsiprenumeravus naujienas apie naudojamą programinę įrangą, gali padėti iš anksto žinoti saugos pranešimus, tokiu būdu galite sukurti reakcijos planą ir tuo pačiu pamatyti, kiek Kiekvienam paskirstymui reikia laiko, kad išspręstų problemas, visada geriau imtis iniciatyvos sprendžiant šiuos klausimus, nes daugiau nei 70% atakų prieš įmones įvyksta pasenusi programinė įranga.
Atspindys
Kai žmonės kalba apie grūdinimąsi, dažnai manoma, kad „priglausta“ komanda yra visko įrodymas ir nėra nieko daugiau melagingo. Kaip rodo jo pažodinis vertimas, grūdinimas reiškia, kad viskas tampa sunkiau, NE neįmanoma ... bet daug kartų daugelis žmonių mano, kad tai susiję su tamsiąja magija ir daugybe gudrybių, pavyzdžiui, medaus puodais ... tai yra papildomas dalykas, tačiau jei negalite atlikti elementariausių dalykų, pvz., laikyti programinę įrangą ar atnaujintas kalbų programavimas ... nereikia kurti fantominių tinklų ir komandų su atsakomosiomis priemonėmis ... Aš tai sakau, nes mačiau kelias įmones, kuriose jie prašo PHP 4–5 versijų (akivaizdžiai nutraukta) ... dalykų, kurie šiandien yra žinoma, kad turi šimtus, jei ne tūkstančius, saugumo trūkumų, tačiau jei įmonė negali neatsilikti nuo technologijų, tai nenaudinga, jei jie daro visa kita.
Be to, jei visi naudojame nemokamą ar atvirą programinę įrangą, saugumo klaidų reakcijos laikas paprastai yra gana trumpas, problema kyla tada, kai turime reikalų su patentuota programine įranga, tačiau palieku tai kitam straipsniui, kurį vis dar tikiuosi parašyti netrukus.
Labai ačiū, kad atvykote čia, sveikinimai
Puikus
Labai ačiū 🙂 sveikinimai
Man labiausiai patinka paprastumas sprendžiant šią problemą, saugumas šiais laikais. Ačiū, aš liksiu „Ubuntu“ tol, kol to nereikia, nes neužimsiu skirsnio, kurį turiu „Windows 8.1“, akimirka.Sveikinimai.
Sveiki, norma, tikrai „Debian“ ir „Ubuntu“ saugos komandos yra gana efektyvios. Mačiau, kaip jie tvarko bylas nuostabiu greičiu, ir jie tikrai priverčia savo vartotojus jaustis saugiai, bent jau jei būčiau „Ubuntu“, jausčiausi šiek tiek saugesnė 🙂
Sveikinimai ir tiesa, tai yra paprastas klausimas ... saugumas daugiau nei tamsus menas yra minimalių kriterijų klausimas matter
Labai ačiū už jūsų indėlį!
Labai įdomu, ypač „Rolling“ leidimo dalis.
Aš į tai neatsižvelgiau, dabar turiu valdyti serverį su „Gentoo“, kad galėčiau pamatyti skirtumus, kuriuos turiu su „Devuan“.
Didelis sveikinimas ir ps pasidalinti šiuo įrašu mano socialiniuose tinkluose, kad ši informacija pasiektų daugiau žmonių !!
Ačiū!
Sveiki, Alberto 🙂 Aš buvau skolingas už tai, kad pirmasis atsakiau į ankstesnio tinklaraščio užklausą 🙂 taigi sveikinu ir dabar tęskite tą laukiantį sąrašą, kad galėtumėte rašyti 🙂
Na, pritaikykite grūdinimą šmėkla, tai būtų tarsi palikti kompiuterį labiau pažeidžiamą, jei, pavyzdžiui, būtų naudojamas sanbox. Įdomu, kad jūsų įranga bus saugesnė nuo šmėklos, tuo mažiau apsaugos sluoksnių pritaikysite ... įdomu, tiesa?
tai man primena pavyzdį, kuris galėtų pateikti visą straipsnį ... naudojant -fsanitize = adresą kompiliatoriuje, galime priversti mus galvoti, kad sukompiliuota programinė įranga bus „saugesnė“, bet niekas negali būti toliau nuo tiesos, žinau kūrėjas, kuris išbandė „Užuot tai daręs su visa komanda ... pasirodė lengviau užpulti nei vieną nenaudojant ASAN ... tas pats pasakytina ir apie įvairius aspektus, naudojant netinkamus sluoksnius, kai nežinai, kas jie daro daugiau žalos nei nenaudoja nieko, manau, kad tai yra kažkas, ką turėtume apsvarstyti bandydami apsaugoti sistemą. jūsų indėlis
Mano požiūriu, rimčiausias pažeidžiamumas, prilyginamas fizinei prieigai ir žmogaus klaidoms, vis dar yra aparatinė įranga, paliekant „Meltdown“ ir „Spectre“ nuo senų laikų, nes senais laikais buvo pastebėta, kad „LoveLetter“ kirmino variantai kodą įrašė į BIOS. įranga, nes tam tikros SSD programinės aparatinės įrangos versijos leido vykdyti nuotolinį kodo vykdymą, o mano požiūriu blogiausia - „Intel Management Engine“, o tai yra visiškas nukrypimas nuo privatumo ir saugumo, nes nebėra svarbu, ar įranga turi AES šifravimą, apgaubimas ar bet koks grūdinimas, nes net jei kompiuteris bus išjungtas, IME jus įsuks.
Paradoksalu, tačiau 200 m. „Tinkpad X2008“, naudojanti „LibreBoot“, yra saugesnė nei bet kuris dabartinis kompiuteris.
Blogiausia šioje situacijoje yra tai, kad ji neturi sprendimo, nes nei „Intel“, nei „AMD“, „Nvidia“, „Gygabite“, nei bet kuris vidutiniškai žinomas aparatūros gamintojas nesiruošia išleisti pagal GPL ar bet kurią kitą nemokamą licenciją, dabartinį aparatūros dizainą, nes kam investuoti milijonus dolerių kad kažkas kitas nukopijuotų tikrąją idėją.
Gražus kapitalizmas.
Labai teisinga Kra 🙂 akivaizdu, kad jūs esate pakankamai įgudęs saugumo klausimais 😀, nes iš tikrųjų nuosavybės teise priklausanti programinė ir aparatinė įranga yra rūpestis, bet, deja, prieš tai mažai ką reikia padaryti dėl „grūdinimo“, nes, kaip jūs sakote, yra kažkas, kas išvengia beveik visų mirtingųjų, išskyrus tuos, kurie žino programavimą ir elektroniką.
Sveikinimai ir ačiū už pasidalinimą 🙂
Labai įdomu, dabar kiekvieno skyriaus pamoka būtų gera xD
Beje, kaip pavojinga, jei įdėsiu „Raspberry Pi“ ir atidarysiu reikalingus prievadus, kad galėčiau naudoti „owncloud“ ar interneto serverį ne namuose?
Tai, kad man tai labai įdomu, bet aš nežinau, ar turėsiu laiko peržiūrėti prieigos žurnalus, laikas nuo laiko patikrinti saugos nustatymus ir pan.
Puikus indėlis, ačiū už pasidalinimą savo žiniomis.