Sangat baik untuk semua orang, sebelum memasuki pengerasan pasukan anda, saya ingin memberitahu anda bahawa pemasang yang saya buat untuk Gentoo sudah berada dalam fasa pra-alfa 😀 ini bermaksud bahawa prototaip cukup kuat untuk diuji oleh pengguna lain , tetapi pada masa yang sama masih ada jalan yang panjang, dan maklum balas dari peringkat ini (pra-alpha, alpha, beta) akan membantu menentukan ciri penting proses the Bagi mereka yang berminat…
https://github.com/ChrisADR/installer
. Saya masih mempunyai versi berbahasa Inggeris sahaja, tetapi semoga untuk beta, ia juga mempunyai terjemahan bahasa Sepanyolnya (saya belajar ini dari terjemahan runtime di python, jadi masih banyak yang boleh ditemui)
pengerasan
Apabila kita bercakap tentang pengerasan, kami merujuk kepada berbagai tindakan atau prosedur yang menghalangi akses ke sistem komputer, atau rangkaian sistem. Itulah sebabnya mengapa ia adalah subjek luas yang penuh dengan nuansa dan perincian. Dalam artikel ini saya akan menyenaraikan beberapa perkara yang paling penting atau disyorkan untuk diambil kira semasa melindungi sistem, saya akan cuba beralih dari yang paling kritikal ke yang paling kritikal, tetapi tanpa banyak membahas topik ini kerana masing-masing menunjukkan bahawa ia akan menjadi tajuk artikel sendiri.
Akses fizikal
Ini pasti masalah pertama dan paling penting bagi pasukan, kerana jika penyerang mempunyai akses fizikal yang mudah ke pasukan, mereka sudah boleh dikira sebagai pasukan yang kalah. Ini berlaku untuk kedua-dua pusat data dan komputer riba yang besar di dalam sebuah syarikat. Salah satu langkah perlindungan utama untuk masalah ini adalah kunci di peringkat BIOS, untuk semua orang yang terdengar baru ini, adalah mungkin untuk memasukkan kunci akses fizikal BIOS, dengan cara ini jika seseorang ingin mengubah log masuk dan mulakan komputer dari sistem langsung, ini bukan kerja yang mudah.
Sekarang ini adalah sesuatu yang asas dan pasti berfungsi jika benar-benar diperlukan, saya pernah berada di beberapa syarikat di mana ini tidak menjadi masalah, kerana mereka percaya bahawa "pengawal" keselamatan pintu lebih dari cukup untuk dapat mengelakkan akses fizikal . Tetapi mari sampai ke titik yang sedikit lebih maju.
LUKA
Andaikan sebentar bahawa "penyerang" telah memperoleh akses fizikal ke komputer, langkah seterusnya adalah menyulitkan setiap cakera keras dan partisi yang ada. LUKS (Persediaan Kunci Bersatu Linux) Ini adalah spesifikasi enkripsi, antara lain LUKS membenarkan partisi dienkripsi dengan kunci, dengan cara ini, ketika sistem dimulakan, jika kunci tidak diketahui, partisi tidak dapat dipasang atau dibaca.
Paranoia
Sudah tentu ada orang yang memerlukan tahap keselamatan "maksimum", dan ini membawa kepada melindungi bahkan aspek terkecil dari sistem, baik, aspek ini mencapai puncaknya di kernel. Kernel linux adalah cara perisian anda berinteraksi dengan perkakasan, jika anda menghalang perisian anda daripada "melihat" perkakasan, ia tidak akan dapat merosakkan peralatan. Untuk memberi contoh, kita semua tahu betapa "berbahaya" USB dengan virus ketika kita membicarakan Windows, kerana pastinya USB boleh mengandungi kod di Linux yang mungkin atau tidak berbahaya bagi sistem, jika kita membuat kernel hanya mengenali jenisnya dari usb (firmware) yang kita mahukan, jenis USB lain hanya akan diabaikan oleh pasukan kita, sesuatu yang pasti sedikit melampau, tetapi ia boleh berfungsi bergantung pada keadaan.
perkhidmatan
Ketika kita membicarakan perkhidmatan, kata pertama yang terlintas di fikiran adalah "pengawasan", dan ini adalah sesuatu yang sangat penting, kerana salah satu perkara pertama yang dilakukan penyerang ketika memasuki sistem adalah menjaga hubungan. Melakukan analisis berkala sambungan masuk dan terutama keluar sangat penting dalam sistem.
iptables
Sekarang, kita semua telah mendengar tentang iptables, ini adalah alat yang memungkinkan menghasilkan peraturan untuk memasukkan dan meninggalkan data di tingkat kernel, ini tentu berguna, tetapi juga pedang bermata dua. Ramai orang percaya bahawa dengan "firewall" mereka sudah bebas dari sebarang jenis pintu masuk atau keluar dari sistem, tetapi tidak ada yang lebih jauh dari kebenaran, ini hanya dapat berfungsi sebagai kesan plasebo dalam banyak kes. Telah diketahui bahawa firewall berfungsi berdasarkan peraturan, dan ini pasti dapat dilewati atau ditipu agar data dapat diangkut melalui port dan perkhidmatan yang mana peraturan tersebut akan menganggapnya "dibenarkan", itu hanya masalah kreativiti
Kestabilan vs pelepasan bergulir
Sekarang ini adalah perkara yang cukup diperdebatkan di banyak tempat atau situasi, tetapi izinkan saya menjelaskan pandangan saya. Sebagai ahli pasukan keselamatan yang mengawasi banyak masalah di bahagian stabil pengedaran kami, saya menyedari banyak, hampir semua kelemahan yang terdapat pada mesin Gentoo pengguna kami. Sekarang, pengedaran seperti Debian, RedHat, SUSE, Ubuntu dan banyak lagi melalui perkara yang sama, dan masa reaksi mereka boleh berbeza bergantung pada banyak keadaan.
Mari kita pergi ke contoh yang jelas, pasti semua orang telah mendengar tentang Meltdown, Spectre dan sebilangan besar berita yang telah tersebar di internet hari ini, baiklah, cabang kernel yang paling "dilancarkan" telah ditambal, masalahnya terletak Dalam membawa perbaikan itu ke kernel yang lebih tua, backporting tentu sukar dan sukar. Sekarang selepas itu, mereka masih harus diuji oleh pembangun distribusi, dan setelah pengujian selesai, hanya akan tersedia untuk pengguna biasa. Apa yang saya mahu dapatkan dengan ini? Kerana model peluncuran bergulir memerlukan kita mengetahui lebih banyak mengenai sistem dan cara-cara menyelamatkannya jika sesuatu gagal, tetapi itulah baik, kerana mengekalkan pasif mutlak dalam sistem mempunyai beberapa kesan negatif bagi pentadbir dan pengguna.
Ketahui perisian anda
Ini adalah penambahan yang sangat berharga ketika menguruskan, perkara-perkara semudah melanggan berita perisian yang anda gunakan dapat membantu anda mengetahui terlebih dahulu pemberitahuan keselamatan, dengan cara ini anda dapat menghasilkan rancangan reaksi dan pada masa yang sama melihat berapa banyak Memerlukan masa untuk setiap pengedaran untuk menyelesaikan masalah, selalu lebih baik bersikap proaktif dalam masalah ini kerana lebih dari 70% serangan terhadap syarikat dilakukan oleh perisian yang ketinggalan zaman.
Refleksi
Ketika orang bercakap tentang pengerasan, seringkali dipercayai bahawa pasukan "terlindung" adalah bukti terhadap segala sesuatu, dan tidak ada yang lebih palsu. Seperti yang ditunjukkan oleh terjemahan harfiahnya, pengerasan bermaksud membuat perkara menjadi lebih sukar, TIDAK mustahil ... tetapi banyak kali orang berpendapat bahawa ini melibatkan sihir gelap dan banyak tipu muslihat seperti honeypots ... ini adalah tambahan, tetapi jika anda tidak dapat melakukan perkara yang paling asas seperti menyimpan perisian atau pengaturcaraan yang dikemas kini bahasa ... tidak perlu membuat rangkaian dan pasukan hantu dengan tindakan balas ... Saya mengatakan ini kerana saya telah melihat beberapa syarikat di mana mereka meminta versi PHP 4 hingga 5 (jelas dihentikan) ... perkara-perkara yang hari ini diketahui mempunyai ratusan jika tidak beribu-ribu kekurangan keselamatan, tetapi jika syarikat itu tidak dapat mengikuti teknologi, tidak ada gunanya jika mereka melakukan yang lain.
Juga, jika kita semua menggunakan perisian bebas atau terbuka, masa reaksi untuk kesalahan keselamatan biasanya agak singkat, masalahnya timbul ketika kita berurusan dengan perisian proprietari, tetapi saya membiarkannya untuk artikel lain yang masih saya harap dapat segera ditulis.
Terima kasih banyak kerana sampai di sini 🙂 salam
Cemerlang
Terima kasih banyak 🙂 salam
Apa yang paling saya sukai adalah kesederhanaan ketika menangani masalah ini, keselamatan pada masa ini. Terima kasih saya akan tinggal di Ubuntu selagi ia tidak memerlukannya kerana saya tidak menempati partisi yang saya ada di windows 8.1 di sekejap.
Helo norma, tentunya pasukan keselamatan Debian dan Ubuntu cukup cekap 🙂 Saya telah melihat bagaimana mereka menangani kes dengan kelajuan yang luar biasa dan mereka pasti membuatkan penggunanya merasa selamat, sekurang-kurangnya jika saya berada di Ubuntu, saya akan merasa sedikit lebih selamat 🙂
Salam, dan benar, ini adalah masalah mudah ... keselamatan lebih daripada seni gelap adalah masalah kriteria minimum 🙂
Terima kasih banyak atas sumbangan anda!
Sangat menarik, terutamanya bahagian pelepasan Rolling.
Saya tidak memperhitungkannya, sekarang saya harus menguruskan pelayan dengan Gentoo untuk melihat perbezaan yang saya ada dengan Devuan.
Ucapan terima kasih dan salam untuk berkongsi entri ini di rangkaian sosial saya supaya maklumat ini menjangkau lebih banyak orang !!
Terima kasih!
Anda dipersilakan Alberto 🙂 Saya berhutang kerana menjadi yang pertama menjawab permintaan blog sebelumnya 🙂 jadi salam dan sekarang untuk meneruskan senarai menunggu keputusan untuk menulis 🙂
Nah, gunakan pengerasan dengan momok di luar sana, rasanya membiarkan komputer lebih rentan sekiranya penggunaan sanboxing misalnya. Anehnya, peralatan anda akan lebih selamat berbanding sekian banyak lapisan keselamatan yang anda pakai ... lucu, bukan?
ini mengingatkan saya pada satu contoh yang dapat menyajikan keseluruhan artikel ... menggunakan -fsanitize = alamat dalam penyusun dapat membuat kita berfikir bahawa perisian yang disusun akan lebih "selamat", tetapi tidak ada yang lebih jauh dari kebenaran, saya tahu pembangun yang mencuba Bukan daripada melakukannya dengan seluruh pasukan ... ternyata lebih mudah menyerang daripada satu tanpa menggunakan ASAN ... yang sama berlaku dalam pelbagai aspek, menggunakan lapisan yang salah apabila anda tidak tahu apa yang mereka lakukan, lebih merosakkan daripada tidak menggunakan apa-apa, saya rasa itulah sesuatu yang harus kita semua pertimbangkan ketika berusaha melindungi sistem ... yang membawa kita kembali kepada fakta bahawa ini bukan sihir gelap, tetapi akal sehat semata-mata 🙂 terima kasih untuk input anda
Pada pandangan saya, kerentanan yang paling serius yang disamakan dengan akses fizikal dan kesilapan manusia, masih merupakan perkakasan, meninggalkan Meltdown dan Specter, sejak zaman dahulu telah dilihat bahawa varian LoveLetter worm menulis kod di BIOS peralatan , kerana versi firmware tertentu pada SSD membenarkan pelaksanaan kod jarak jauh dan yang terburuk dari sudut pandangan saya Intel Management Engine, yang merupakan penyimpangan sepenuhnya untuk privasi dan keselamatan, kerana tidak lagi penting jika peralatan tersebut mempunyai enkripsi, penyamaran atau apa-apa jenis AES mengeras, kerana walaupun komputer dimatikan, IME akan merosakkan anda.
Dan juga secara paradoks Tinkpad X200 2008 yang menggunakan LibreBoot lebih selamat daripada komputer semasa.
Perkara terburuk mengenai keadaan ini ialah ia tidak mempunyai jalan penyelesaian, kerana Intel, AMD, Nvidia, Gygabite atau mana-mana pengeluar perkakasan yang terkenal akan dilancarkan di bawah GPL atau lesen percuma lain, reka bentuk perkakasan semasa, kerana mengapa melabur berjuta-juta dolar agar orang lain menyalin idea sebenarnya.
Kapitalisme yang indah.
Sangat benar Kra 🙂 terbukti bahawa anda cukup mahir dalam hal keselamatan 😀 kerana sebenarnya perisian dan perkakasan proprietari adalah perkara yang perlu diperhatikan, tetapi sayangnya menentangnya tidak banyak yang berkaitan dengan "pengerasan", kerana seperti yang anda katakan, itu adalah sesuatu yang melarikan diri dari hampir semua manusia, kecuali mereka yang tahu pengaturcaraan dan elektronik.
Salam dan terima kasih kerana berkongsi 🙂
Sangat menarik, sekarang tutorial untuk setiap bahagian akan menjadi xD yang baik
Ngomong-ngomong, betapa berbahayanya jika saya memasang Raspberry Pi dan membuka port yang diperlukan untuk menggunakan cloud sendiri atau pelayan web dari luar rumah?
Saya cukup berminat tetapi saya tidak tahu adakah saya akan mempunyai masa untuk menyemak log akses, melihat tetapan keselamatan dari semasa ke semasa, dan lain-lain ...
Sumbangan yang sangat baik, terima kasih kerana berkongsi pengetahuan anda.