तपाइँको कम्प्युटरलाई कसरी आक्रमणबाट जोगाउने

सबैलाई धेरै राम्रो छ, तपाईंको टोलीको कडाईमा पस्नु भन्दा पहिले, म तपाईंलाई भन्न चाहन्छु कि मैले जेन्टुको लागि विकास गर्दैछु स्थापनाकर्ता पहिले नै यसको पूर्व-अल्फा चरणमा छ 😀 यसको मतलब प्रोटोटाइप अरूले परीक्षण गर्न पर्याप्त बलियो छ। प्रयोगकर्ताहरू, तर एकै समयमा अझै धेरै लामो बाटोहरू बाँकी छ, र यी चरणहरूबाट प्राप्त प्रतिक्रिया (पूर्व-अल्फा, अल्फा, बीटा) प्रक्रियाको महत्त्वपूर्ण सुविधाहरू परिभाषित गर्न मद्दत गर्दछ interested इच्छुकहरूका लागि…

https://github.com/ChrisADR/installer

। मसँग अझै अ English्ग्रेजी-मात्र संस्करण छ, तर आशा छ कि बीटाको लागि यससँग पहिले नै यसको स्पेनिश अनुवाद पनि छ (म यसलाई अजगरमा रनटाइम अनुवादहरूबाट सिक्दैछु, त्यसैले त्यहाँ अझै धेरै कुरा पत्ता लागेको छ)।

कडा गर्दै

जब हामी कुरा गर्छौं उछाल, हामी कार्यहरू वा प्रक्रियाहरूको एक महान विविधता सन्दर्भ गर्छौं जुन एक कम्प्युटर प्रणाली, वा प्रणालीको नेटवर्कमा पहुँच बाधित छ। ठ्याक्कै यो हो किन यो बारीका बारीहरू र विवरणहरूले भरिएको एक विशाल विषय हो। यस लेखमा म प्रणाली को रक्षा गर्दा ध्यानमा लिनको लागि सबैभन्दा महत्त्वपूर्ण वा सिफारिश गरिएका चीजहरूको सूची दिदैछु, म सबैभन्दा महत्वपूर्णबाट कम्तीमा आलोचनात्मकमा जान खोज्ने छु, तर यी बिन्दुहरुमा यस विषयमा धेरै खोज्नु बिना। यो आफ्नै लेखको विषय हुनेछ।

शारीरिक पहुँच

निस्सन्देह यो टोलीका लागि पहिलो र सबैभन्दा महत्त्वपूर्ण समस्या हो, यदि आक्रमणकर्तासँग टिममा सजीलो शारीरिक पहुँच छ भने, तिनीहरू पहिले नै हराएको टिमको रूपमा गणना गर्न सकिन्छ। यो दुबै ठूला डाटा केन्द्रहरू र कम्पनी भित्र ल्यापटपको सम्बन्धमा सही हो। यस समस्याको लागि मुख्य सुरक्षा उपायहरू मध्ये एक BIOS स्तरमा कुञ्जीहरू हुन्, ती सबै जसलाई यो नयाँ लाग्दछ, BIOS को भौतिक पहुँचको लागि एउटा साँचो राख्न सम्भव छ, यदि कसैले यसका मापदण्डहरू परिमार्जन गर्न चाहन्छ भने लाइभ प्रणालीबाट लगइन गर्नुहोस् र कम्प्युटर सुरू गर्नुहोस्, यो सजिलो काम हुनेछैन।

अब यो आधारभूत कुरा हो र यसले निश्चित रूपमा काम गर्दछ यदि यसलाई वास्तवमा आवश्यक छ भने, म धेरै कम्पनीहरूमा छु जहाँ यसको कुनै फरक पर्दैन, किनभने तिनीहरू विश्वास गर्छन् कि ढोकाको सुरक्षा "गार्ड" शारीरिक पहुँचबाट बच्न सक्षम हुन पर्याप्त छ। । तर केहि अलि बढी उन्नत बिन्दुमा जाऔं।

लुक्स

मानौं एक सेकेन्डको लागि कि "आक्रमणकर्ता" ले कम्प्युटरमा भौतिक पहुँच प्राप्त गरिसकेको छ, अर्को चरण भनेको प्रत्येक अवस्थित हार्ड ड्राइभ र विभाजन इन्क्रिप्ट गर्नु हो। LUKS (लिनक्स एकीकृत कुञ्जी सेटअप) यो एक ईन्क्रिप्शन विशिष्टिकरण हो, अन्य चीजहरूको बीचमा LUKS ले विभाजनलाई कुञ्जीसँग ईन्क्रिप्ट गर्न अनुमति दिन्छ, यस तरिकामा, जब सिस्टम सुरू हुन्छ, कुञ्जी थाहा छैन भने, विभाजन माउन्ट वा पढ्न सकिदैन।

Paranoia

निश्चित रूपमा त्यहाँ व्यक्तिहरू छन् जुन सुरक्षाको "अधिकतम" स्तर चाहिन्छ, र यसले प्रणालीको साना सानो पक्षलाई पनि रक्षा गर्दछ, राम्रोसँग, यो पक्ष कर्नेलको चरम शिखरमा पुग्छ। लिनक्स कर्नेल एउटा तरिका हो जुन तपाईंको सफ्टवेयरले हार्डवेयरसँग अन्तर्क्रिया गर्दछ, यदि तपाईंले सफ्टवेयरलाई हार्डवेयर "हेराई" गर्नबाट रोक्नुभयो भने, यसले उपकरणलाई हानी गर्न सक्नेछैन। एउटा उदाहरण दिन हामी विन्डोजको बारेमा कुरा गर्ने बित्तिकै "खतरनाक" USB कसरी हुन्छ भनेर हामी सबैलाई थाहा छ किनकि युएसबीले लिनक्समा कोड समावेश गर्न सक्दछ जुन प्रणालीलाई हानिकारक हुन सक्छ वा नहुन सक्छ, यदि हामीले कर्नेललाई मात्र प्रकार पहिचान गर्यौं भने। युएसबी (फर्मवेयर) को जुन हामी चाहन्छौं, कुनै पनि अन्य प्रकारको यूएसबीलाई केवल हाम्रो टोलीले बेवास्ता गर्दछ, केहि निश्चित रूपमा थोरै चरम, तर यसले परिस्थितिहरूको आधारमा काम गर्न सक्दछ।

हाम्रो बारेमा

जब हामी सेवाहरूको बारेमा कुरा गर्छौं, पहिलो शब्द जुन दिमागमा आउँछ "सुपरिवेक्षण" हो, र यो एकदम महत्त्वपूर्ण कुरा हो किनभने प्रणालीमा प्रवेश गर्ने क्रममा आक्रमणकारीले गर्ने पहिलो कुरा यो सम्बन्ध कायम राख्नु हो। आगमन र विशेष गरी बहिर्गमन जडानहरूको आवधिक विश्लेषण प्रदर्शन प्रणालीमा धेरै महत्त्वपूर्ण छ।

iptables

अब हामीले आईपटेबलको बारेमा सबै सुनेका छौं, यो एक उपकरण हो जसले तपाईंलाई कर्नेल स्तरमा डाटा एन्ट्री र एक्जिट नियमहरू उत्पन्न गर्न अनुमति दिन्छ, यो अवश्य उपयोगी छ, तर यो पनि दोहोरो तरवार हो। धेरै व्यक्तिहरू विश्वास गर्छन् कि "फायरवाल" पाएर तिनीहरू पहिले नै कुनै पनि प्रकारको प्रवेश वा प्रणालीबाट बाहिर निस्किन्छन्, तर सत्यबाट केही पनि हुँदैन, यसले धेरै केसहरूमा प्लेसबो प्रभावको रूपमा मात्र काम गर्न सक्छ। यो ज्ञात छ कि फायरवालहरूले नियमहरूमा आधारित काम गर्दछ, र यी निश्चित रूपमा बाइपास वा ट्र्याक गर्न सकिन्छ डाटालाई बन्दरगाह र सेवाहरूको माध्यमबाट सार्नका लागि नियमहरूले यसलाई "अनुमति" मान्दछन्, यो केवल रचनात्मकताको कुरा हो 🙂

स्थिरता बनाम रोलिंग-रिलीज

अब यो धेरै स्थानहरु वा परिस्थितिहरु मा काफी विवादास्पद बिन्दु हो, तर मलाई मेरो दृष्टिकोण बुझाउन दिनुहोस्। हाम्रो वितरणको स्थिर शाखामा धेरै मुद्दाहरू हेर्ने सुरक्षा टोलीको सदस्यको रूपमा, म धेरै जसो हाम्रो प्रयोगकर्ताहरूको गेन्टु मेशिनमा अवस्थित सबै भेद्यताहरू बारे सजग छु। अब, डेबियन, रेडहाट, सुस, उबन्टु र अन्य धेरै जस्तै वितरणहरू एउटै चीजमा जान्छन्, र तिनीहरूको प्रतिक्रिया समय धेरै परिस्थितिहरूमा फरक पर्न सक्छ।

हामी एक स्पष्ट उदाहरणमा जाऔं, पक्कै पनि सबैले यस दिनको इन्टरनेटको वरिपरि मेल्टडाउन, स्प्याक्टर र सम्पूर्ण समाचारहरू सुनेका छन्, ठीक छ, कर्नेलको सबैभन्दा "रोलिling-रिलीज" शाखा पहिले नै प्याच गरिएको छ, समस्या निहित छ। पुरानो कर्नेलमा ती समाधानहरू ल्याउँदा, ब्याकपोर्टि certainly पक्कै कडा र कडा परिश्रम हो। अब त्यस पछि, ती अझै पनि वितरणको विकासकर्ताहरूले परीक्षण गर्नुपर्नेछ, र एकपटक परीक्षण समाप्त भएपछि, यो सामान्य प्रयोगकर्ताहरूलाई मात्र उपलब्ध हुनेछ। यसका साथ म के पाउन चाहन्छु? किनभने रोलि release-रिलिज मोडेलले हामीलाई प्रणाली र यसको उद्धार गर्ने तरिकाहरू केहि बढी असफल हुने बारे बढी जान्न आवश्यक गर्दछ, तर त्यो हो राम्रो, किनकि प्रणालीमा निरपेक्ष passivity कायम गर्न दुबै प्रशासक र प्रयोगकर्ताहरूका लागि धेरै नकारात्मक प्रभावहरू छन्।

तपाइँको सफ्टवेयर जान्नुहोस्

यो प्रबन्ध गर्दा यो धेरै मूल्यवान थप हो, सफ्टवेयरको तपाईले प्रयोग गर्ने समाचारको सदस्यता लिने जत्तिकै सरल चीजहरूले तपाईंलाई सुरक्षा सूचनाहरू पहिल्यै जान्न मद्दत गर्न सक्छ, यस तरीकाले तपाईं प्रतिक्रिया योजना उत्पन्न गर्न सक्नुहुनेछ र उहि समयमा हेर्नुहोस् कति समस्याहरूको समाधानका लागि प्रत्येक वितरणको लागि समय लिन्छ, यी मुद्दाहरूमा सक्रिय हुनु सधैं राम्रो हुन्छ किनकि कम्पनीहरूमा 70०% भन्दा बढी आक्रमणहरू पुरानो सफ्टवेयरबाट गरिन्छ।

प्रतिबिम्ब

जब व्यक्तिहरू सख्तको बारेमा कुरा गर्छन्, अक्सर यो विश्वास गरिन्छ कि "आश्रय" टीम सबै चीजको बिरूद्ध सबूत हो, र त्यहाँ अझ बढी गलत छैन। जसरी यसको शाब्दिक अनुवादले स indicates्केत गर्दछ, उछाल चीजहरूलाई अझ गाह्रो बनाउँदछ, असंभव छैन ... तर धेरै पटक धेरै मानिसहरूले सोच्दछन् कि यसमा कालो जादू र धेरै ट्रिकहरू छन् जस्तै हनीपोट्स ... यो एक अतिरिक्त हो, तर यदि तपाईं सफ्टवेयर वा भाषा अपडेट गर्ने जस्ता आधारभूत चीजहरू गर्न सक्नुहुन्न भने। प्रोग्रामिंग ... प्रेत नेटवर्क र काउन्टरमेजरहरूको साथ टोलीहरू सिर्जना गर्न आवश्यक छैन ... म यो भन्छु किनकि मैले धेरै कम्पनीमा देखेको छु जहाँ उनीहरूले पीएचपी to देखि 4 को संस्करणका लागि सोध्छन् (स्पष्ट रूपमा रोकिन्छ) ... जुन चीजहरू आज सयौं हुन जान्छ यदि हजारौं त्रुटिहरू छैनन् भने। सुरक्षा, तर यदि कम्पनीले प्रविधिको साथ राख्न सक्दैन भने, यो काम नलाग्ने छ यदि तिनीहरूले बाँकी काम गरे।

साथै, यदि हामी सबै नि: शुल्क वा खुला सफ्टवेयर प्रयोग गर्दैछौं भने, सुरक्षा बगहरूको लागि प्रतिक्रिया समय प्राय: छोटो हुन्छ, समस्या आउँछ जब हामी स्वामित्व सफ्टवेयरसँग व्यवहार गर्दैछौं, तर म त्यो अर्को लेखको लागि छोड्दछु जुन म अझै पनि लेख्न चाहान्छु।

यहाँ आउनु भएकोमा धेरै धेरै धन्यबाद - बधाई छ


लेखको सामग्री हाम्रो सिद्धान्तहरूको पालना गर्दछ सम्पादकीय नैतिकता। त्रुटि क्लिक गर्न रिपोर्ट गर्नुहोस् यहाँ.

२ टिप्पणीहरू, तपाइँको छोड्नुहोस्

तपाइँको टिप्पणी छोड्नुहोस्

तपाईंको ईमेल ठेगाना प्रकाशित हुनेछैन।

*

*

  1. डाटाका लागि उत्तरदायी: मिगुएल gelन्गल ग्याटन
  2. डाटाको उद्देश्य: नियन्त्रण स्पाम, टिप्पणी प्रबन्धन।
  3. वैधानिकता: तपाईंको सहमति
  4. डाटाको सञ्चार: डाटा कानुनी बाध्यता बाहेक तेस्रो पक्षलाई सूचित गरिने छैन।
  5. डाटा भण्डारण: डाटाबेस ओसीन्टस नेटवर्क (EU) द्वारा होस्ट गरिएको
  6. अधिकार: कुनै पनि समयमा तपाईं सीमित गर्न सक्नुहुनेछ, पुन: प्राप्ति र तपाईंको जानकारी मेटाउन।

  1.   galloped भन्यो

    excelente

    1.    क्रिसएडीआर भन्यो

      धेरै धेरै धन्यबाद - बधाई छ

  2.   norman भन्यो

    मलाई सबैभन्दा मन पर्ने कुरा भनेको यस मुद्दासँग व्यवहार गर्दा सरलता हो, यस समयमा सुरक्षा। धन्यवाद म उबन्टुमा रहन्छु जबसम्म यसको आवश्यकता पर्दैन किनकि मैले अहिले विन्डोज 8.1.१ मा भएको विभाजनलाई कब्जा गरेको छैन। अभिवादन।

    1.    क्रिसएडीआर भन्यो

      नमस्कार नॉर्मा, निश्चित रूपमा डेबियन र उबुन्टु सुरक्षा टोलीहरू एकदम कुशल छन् 🙂 मैले हेरें कि उनीहरूले कसरी अद्भुत गतिमा केसहरू सम्हाल्छन् र उनीहरू निश्चित रूपमा आफ्ना प्रयोगकर्ताहरूलाई सुरक्षित महसुस गराउँदछन्, यदि कम्तिमा म उबुन्टुमा थिएँ भने म अझै थोरै सुरक्षित महसुस गर्थें 🙂
      अभिवादन, र सत्य यो एक साधारण मुद्दा हो ... अन्धकार कला भन्दा सुरक्षा सुरक्षा न्यूनतम मापदण्डको कुरा हो 🙂

  3.   अल्बर्टो कार्डोना भन्यो

    तपाईको योगदानका लागि धेरै धेरै धन्यबाद!
    धेरै चाखलाग्दो, विशेष गरी रोलि release रिलिजको अंश।
    मैले यो कुरालाई ध्यानमा लिएको छैन, अब मैले गेन्टुको साथ सर्वर व्यवस्थापन गर्नुपर्नेछ मैले देवनुनसँगको भिन्नताहरू हेर्नका लागि।
    मेरो सामाजिक नेटवर्कमा यो प्रविष्टि साझेदारी गर्न एक ठूलो अभिवादन र PS यो जानकारी अधिक व्यक्तिमा पुग्दछ ताकि !!
    धन्यवाद!

    1.    क्रिसएडीआर भन्यो

      तपाईलाई स्वागत छ अल्बर्टो the पहिलेको ब्लगबाट अनुरोधको जवाफ दिन पहिलो भएकोमा म answerणमा थिएँ 🙂 त्यसैले अभिवादन छ र अब लेख्न बाँकी रहेको सूचीसँग जारी राख्न continue

  4.   jolt2bolt भन्यो

    ठीक छ, त्यहाँ स्प्याटरको साथ हार्डनिंग लागू गर्नु भनेको उदाहरणको लागि स्यानबक्सि ofको प्रयोगको मामलामा पीसीलाई बढी कमजोर छोड्नु जस्तै हो। उत्सुकतापूर्वक, तपाइँका उपकरणहरू कम सुरक्षा तहहरू तपाइँले लागू गर्न खोज्नुहुन्छ बिरूद्ध सुरक्षित हुनेछ: हास्यास्पद, सही?

    1.    क्रिसएडीआर भन्यो

      यसले मलाई एक उदाहरणको सम्झना दिलाउँदछ जुन सम्पूर्ण लेख प्रस्तुत गर्दछ ... कम्पाइलरमा -fsanitize = ठेगाना प्रयोग गरेर हामीलाई यो सोच्न लगाउन सक्छ कि कम्पाइल गरिएको सफ्टवेयर बढी "सुरक्षित" हुनेछ, तर सत्यबाट केही पनि हुन सक्दैन, म एक विकासकर्तालाई चिन्छु जसले एक प्रयास गरे सम्पूर्ण टोलीसँग यो गर्नुको सट्टा ... यो ASAN प्रयोग नगरी एक भन्दा बढि आक्रमण गर्न सकियो ... समान पक्षहरुमा विभिन्न पक्षहरुमा लागू हुन्छ, गलत तहहरु प्रयोग गर्दा जब उनीहरुले के गर्छन् भन्ने कुरा थाहा छैन, केहि प्रयोग नगर्नु भन्दा बढी हानिकारक छ मलाई लाग्छ कि त्यो के हो केहि चीज जुन हामी सबैले प्रणाली सुरक्षाको लागि प्रयास गर्दा विचार गर्नुपर्दछ ... जसले हामीलाई यो तथ्यमा फर्काउँछ कि यो अँध्यारो जादू होईन, तर केवल सामान्य ज्ञान - तपाईंको इनपुटको लागि धन्यवाद

  5.   क्रा भन्यो

    मेरो दृष्टिकोणको लागि, सब भन्दा गम्भीर जोखिम शारीरिक पहुँच र मानव त्रुटि सँग मिल्दोजुल्दो छ, अझै हार्डवेयर हो, मेल्टडाउन र स्पेक्टरलाई पन्छाउँदै, पुरानो समयदेखि देखिएको छ कि लवलेटर कीराको भेरियन्ट्सको BIOS मा कोड लेख्छ। उपकरण, एसएसडीमा केहि फर्मवेयर संस्करणहरूले रिमोट कोड कार्यान्वयनको अनुमति दिए र मेरो दृष्टिकोणबाट सबैभन्दा खराब इन्टेल प्रबन्धन इञ्जिन, जो गोपनीयता र सुरक्षाको लागि पूर्ण विकृति हो, किनकि यसले उपकरणको एईएस ईन्क्रिप्शन छ भने यसले केही फरक पार्दैन, ओब्फुसकेसन वा कुनै पनि प्रकारको सख्त, किनभने कम्प्युटर बन्द छ भने पनि IME ले तपाईंलाई पक्रन गइरहेको छ।

    र विरोधाभासपूर्ण रूपमा टिन्कप्याड X200 २०० from जुन लिब्रेबुट प्रयोग गर्दछ कुनै पनि हालको कम्प्युटर भन्दा सुरक्षित छ।

    यस अवस्थाको सबैभन्दा नराम्रो कुरा यो हो कि यसको कुनै समाधान छैन, किनकि न त इन्टेल, एएमडी, एनविडिया, गिगाबाइट वा कुनै पनि मध्यम ज्ञात हार्डवेयर निर्माता GPL वा कुनै अन्य निःशुल्क इजाजतपत्र, वर्तमान हार्डवेयर डिजाइन अन्तर्गत रिलीज हुँदैछ, किन कि लगानी गर्नुहोस् अरू कसैलाई सत्य विचार नक्कल गर्नका लागि मिलियन डलर।

    सुन्दर पूंजीवाद।

    1.    क्रिसएडीआर भन्यो

      धेरै सत्य Kra - यो स्पष्ट छ कि तपाईं सुरक्षा मामिलामा एकदम प्रवीण हुनुहुन्छ - किनकि वास्तवमा स्वामित्व सफ्टवेयर र हार्डवेयर हेरचाहको कुरा हो, तर दुर्भाग्यवस यसको बिरूद्ध त्यहाँ "सख्त" सम्बन्धमा गर्न को लागी थोरै छ, किनकि तपाईले भनेको जस्तै, त्यो केहि हो। प्रोग्रामिंग र इलेक्ट्रोनिक्स जान्नेहरू बाहेक बाहेक प्राय सबै मर्तहरू निस्कन्छन्।

      बधाई छ र साझा को लागी धन्यवाद 🙂

  6.   अज्ञात भन्यो

    धेरै चाखलाग्दो, अब प्रत्येक सेक्सनका लागि ट्यूटोरियल राम्रो XD हुनेछ

    खैर, यो कत्ति खतरनाक छ यदि मैले रास्पबेरी पाई राखें र आवश्यक पोर्टहरू खोल्नको लागि घरबाट बाहिरबाट आफ्नै क्लोउड वा वेब सर्भर प्रयोग गरें?
    यो हो कि मँ धेरै इच्छुक छु तर मलाई थाहा छैन यदि मसँग लग लगहरू समीक्षा गर्न समय लाग्ने छु, समय समयमा सुरक्षा सेटिंग्समा हेर्नुहोस्, आदि।

  7.   जुलाई भन्यो

    उत्कृष्ट योगदान, तपाइँको ज्ञान साझा को लागी धन्यवाद।