Heel goed voor iedereen, voordat ik in de verharding van je team ga, wil ik je vertellen dat het installatieprogramma dat ik aan het ontwikkelen ben voor Gentoo zich al in de pre-alfafase bevindt 😀 dit betekent dat het prototype robuust genoeg is om door anderen te worden getest gebruikers, maar tegelijkertijd is er nog een lange weg te gaan, en de feedback van deze fasen (pre-alfa, alfa, bèta) zal helpen bij het definiëren van belangrijke kenmerken van het proces 🙂 Voor geïnteresseerden ...
https://github.com/ChrisADR/installer
. Ik heb nog steeds de Engelstalige versie, maar hopelijk heeft het voor de bèta ook al een Spaanse vertaling (ik leer dit van runtime-vertalingen in Python, dus er is nog veel te ontdekken)
Verharding
Als we het over hebben verhardingverwijzen we naar een grote verscheidenheid aan acties of procedures die de toegang tot een computersysteem of netwerk van systemen belemmeren. Precies daarom is het een enorm onderwerp vol nuances en details. In dit artikel ga ik een aantal van de belangrijkste of aanbevolen dingen opsommen waarmee je rekening moet houden bij het beschermen van een systeem. punten zou het onderwerp zijn van een eigen artikel.
Fysieke toegang
Dit is ongetwijfeld het eerste en belangrijkste probleem voor teams, want als de aanvaller gemakkelijk fysieke toegang heeft tot het team, kunnen ze al worden geteld als een verloren team. Dit geldt zowel voor grote datacenters als voor laptops binnen een bedrijf. Een van de belangrijkste beschermingsmaatregelen voor dit probleem zijn de sleutels op BIOS-niveau, voor iedereen voor wie dit nieuw klinkt, is het mogelijk om op deze manier een sleutel te plaatsen voor de fysieke toegang tot het BIOS, op deze manier als iemand de parameters van inloggen en het starten van de apparatuur vanuit een live systeem, het zal geen gemakkelijke klus zijn.
Nu is dit iets basaals en het werkt zeker als het echt nodig is, ik ben in verschillende bedrijven geweest waar dit niet uitmaakt, omdat ze geloven dat de bewaker van de deur meer dan voldoende is om fysieke toegang te kunnen vermijden . Maar laten we naar een iets geavanceerder punt gaan.
luxe
Stel voor een seconde dat een "aanvaller" al fysieke toegang tot de computer heeft gekregen, dan is de volgende stap het versleutelen van elke bestaande harde schijf en partitie. LUKS (Linux Unified Key-instelling) Het is een coderingsspecificatie, onder andere staat LUKS toe dat een partitie wordt gecodeerd met een sleutel, op deze manier kan de partitie bij het opstarten van het systeem, als de sleutel niet bekend is, niet worden gemount of gelezen.
Paranoia
Er zijn zeker mensen die een "maximaal" beveiligingsniveau nodig hebben, en dit leidt tot het beschermen van zelfs het kleinste aspect van het systeem, nou, dit aspect bereikt zijn hoogtepunt in de kernel. De linux-kernel is de manier waarop uw software zal interageren met de hardware. Als u voorkomt dat uw software de hardware "ziet", zal het de apparatuur niet kunnen beschadigen. Om een voorbeeld te geven, we weten allemaal hoe "gevaarlijk" USB met virussen is als we het hebben over Windows, want USB kan zeker code bevatten in Linux die al dan niet schadelijk is voor een systeem, als we de kernel alleen het type laten herkennen van usb (firmware) die we willen, zou elk ander type USB eenvoudigweg door ons team worden genegeerd, iets zeker een beetje extreem, maar het zou kunnen werken afhankelijk van de omstandigheden.
diensten
Als we het over services hebben, is het eerste woord dat in ons opkomt "supervisie", en dit is iets heel belangrijks, aangezien een van de eerste dingen die een aanvaller doet bij het betreden van een systeem, de verbinding onderhouden. Het periodiek analyseren van inkomende en vooral uitgaande verbindingen is erg belangrijk in een systeem.
iptables
Nu hebben we allemaal gehoord over iptables, het is een tool waarmee je regels voor het invoeren en afsluiten van gegevens op kernelniveau kunt genereren, dit is zeker handig, maar het is ook een tweesnijdend zwaard. Veel mensen geloven dat ze door de "firewall" vrij zijn van elke vorm van in- of uitgang uit het systeem, maar niets is minder waar, dit kan in veel gevallen alleen als een placebo-effect dienen. Het is bekend dat firewalls werken op basis van regels, en deze kunnen zeker worden omzeild of misleid om gegevens te laten transporteren via havens en diensten waarvoor de regels het als 'toegestaan' beschouwen, het is gewoon een kwestie van creativiteit 🙂
Stabiliteit versus rollende release
Dit is op veel plaatsen of situaties nogal een omstreden punt, maar laat me mijn standpunt uitleggen. Als lid van een beveiligingsteam dat waakt over veel van de problemen in de stabiele tak van onze distributie, ben ik me bewust van vele, bijna alle kwetsbaarheden die bestaan op de Gentoo-machines van onze gebruikers. Nu gaan distributies zoals Debian, RedHat, SUSE, Ubuntu en vele anderen door hetzelfde, en hun reactietijden kunnen variëren afhankelijk van veel omstandigheden.
Laten we naar een duidelijk voorbeeld gaan, iedereen heeft vast wel eens gehoord over Meltdown, Spectre en een hele reeks nieuws die tegenwoordig over het internet is gevlogen, nou, de meest "rollende release" -tak van de kernel is al gepatcht, het probleem ligt Door die fixes naar oudere kernels te brengen, is backporting zeker hard en moeilijk werk. Nu daarna moeten ze nog worden getest door de ontwikkelaars van de distributie, en zodra het testen is voltooid, is deze alleen beschikbaar voor normale gebruikers. Wat wil ik hiermee krijgen? Omdat het rolling-release-model vereist dat we meer weten over het systeem en manieren om het te redden als er iets niet lukt, maar dat is het goed, omdat het handhaven van absolute passiviteit in het systeem verschillende negatieve effecten heeft voor zowel de beheerder als de gebruikers.
Ken uw software
Dit is een zeer waardevolle toevoeging bij het beheer, dingen die zo eenvoudig zijn als het abonneren op het nieuws van de software die u gebruikt, kunnen u helpen om van tevoren de beveiligingsmededelingen te kennen, op deze manier kunt u een reactieplan genereren en tegelijkertijd zien hoeveel Het kost tijd voor elke distributie om de problemen op te lossen, het is altijd beter om proactief te zijn in deze problemen omdat meer dan 70% van de aanvallen op bedrijven worden uitgevoerd door verouderde software.
Reflection
Wanneer mensen het hebben over verharding, wordt vaak aangenomen dat een "beschermd" team tegen alles bestand is, en er is niets meer onwaar. Zoals de letterlijke vertaling aangeeft, verharding impliceert dingen moeilijker maken, NIET onmogelijk ... maar vaak denken veel mensen dat dit donkere magie en veel trucs zoals honeypots met zich meebrengt ... dit is een extra, maar als je de meest basale dingen niet kunt doen, zoals het houden van software of taal bijgewerkt programmeren ... het is niet nodig om fantoomnetwerken en teams met tegenmaatregelen te creëren ... Ik zeg dit omdat ik verschillende bedrijven heb gezien waar ze om versies van PHP 4 tot 5 vroegen (uiteraard stopgezet) ... dingen die vandaag staan erom bekend honderden, zo niet duizenden beveiligingsproblemen te hebben, maar als het bedrijf de technologie niet kan bijhouden, is het nutteloos als ze de rest doen.
Als we allemaal gratis of open software gebruiken, is de reactietijd voor beveiligingsfouten meestal vrij kort, het probleem doet zich voor als we te maken hebben met propriëtaire software, maar dat laat ik achter voor een ander artikel dat ik nog steeds hoop binnenkort te schrijven.
Heel erg bedankt dat je hier bent 🙂 groeten
Uitstekende staat
Heel erg bedankt 🙂 groeten
Wat ik het leukst vind, is de eenvoud bij het omgaan met dit probleem, de veiligheid in deze tijden. Dank u, ik blijf in Ubuntu zolang het niet dringend nodig is, want ik bezet de partitie die ik heb bij Windows 8.1 bij de moment. Groeten.
Hallo norma, de beveiligingsteams van Debian en Ubuntu zijn zeker behoorlijk efficiënt 🙂 Ik heb gezien hoe ze zaken met een verbazingwekkende snelheid afhandelen en ze geven hun gebruikers zeker een veilig gevoel, tenminste als ik op Ubuntu zat, zou ik me een beetje veiliger voelen 🙂
Gegroet, en waar, het is een simpele kwestie ... beveiliging is meer dan een duistere kunst een kwestie van minimumcriteria 🙂
Hartelijk dank voor uw bijdrage!
Heel interessant, vooral het deel van de Rolling release.
Ik had daar geen rekening mee gehouden, nu moet ik een server beheren met Gentoo om de verschillen te zien die ik heb met Devuan.
Een grote groet en ps om dit bericht op mijn sociale netwerken te delen zodat deze informatie meer mensen bereikt !!
Dank je wel!
Graag gedaan Alberto 🙂 Ik zat in de schulden omdat ik de eerste was die antwoord gaf op het verzoek van de vorige blog 🙂 dus groeten en nu om verder te gaan met die lopende lijst om te schrijven 🙂
Welnu, het toepassen van hardening met spook daarbuiten, zou hetzelfde zijn als de pc kwetsbaarder maken in het geval van het gebruik van bijvoorbeeld sanboxing. Vreemd genoeg is uw apparatuur veiliger tegen spook naarmate u minder beveiligingslagen aanbrengt ... grappig, toch?
dit doet me denken aan een voorbeeld dat een heel artikel zou kunnen presenteren ... het gebruik van -fsanitize = adres in de compiler zou ons kunnen doen denken dat de gecompileerde software "veiliger" zou zijn, maar niets is minder waar, ik weet het een ontwikkelaar die het probeerde In plaats van het met het hele team te doen ... het bleek gemakkelijker aan te vallen dan zonder ASAN te gebruiken ... hetzelfde geldt voor verschillende aspecten, met de verkeerde lagen als je niet weet wat dat doen ze, is schadelijker dan niets gebruiken 😛 Ik denk dat we dat allemaal in overweging moeten nemen als we een systeem proberen te beschermen ... wat ons terugbrengt naar het feit dat dit geen duistere magie is, maar gewoon gezond verstand 🙂 bedankt voor je invoer
Naar mijn mening is de meest ernstige kwetsbaarheid die wordt gelijkgesteld met fysieke toegang en menselijke fouten nog steeds de hardware, waarbij Meltdown en Spectre buiten beschouwing worden gelaten, aangezien het sinds oude tijden werd gezien als varianten van de LoveLetter-worm die code schreef in het BIOS van de apparatuur , aangezien bepaalde firmwareversies op SSD het uitvoeren van externe code mogelijk maakten en het ergste vanuit mijn oogpunt de Intel Management Engine, wat een complete afwijking is voor privacy en veiligheid, omdat het niet langer uitmaakt of de apparatuur AES-codering, verduistering of welke soort dan ook heeft van verharding, want zelfs als de computer is uitgeschakeld, gaat de IME je neuken.
En paradoxaal genoeg is een Tinkpad X200 uit 2008 die LibreBoot gebruikt veiliger dan welke huidige computer dan ook.
Het ergste van deze situatie is dat het geen oplossing heeft, omdat noch Intel, AMD, Nvidia, Gygabite of een redelijk bekende hardwarefabrikant het huidige hardware-ontwerp onder GPL of een andere gratis licentie zal uitbrengen, want waarom zou je miljoenen dollars investeren? voor iemand anders om het ware idee te kopiëren.
Prachtig kapitalisme.
Heel waar Kra 🙂 het is duidelijk dat je behoorlijk bedreven bent in beveiligingsaangelegenheden 😀 want in feite zijn propriëtaire software en hardware een kwestie van zorg, maar helaas is er weinig te maken met 'hardening', aangezien zoals je zegt, dat is iets dat bijna alle stervelingen ontsnapt, behalve degenen die verstand hebben van programmeren en elektronica.
Groeten en bedankt voor het delen 🙂
Heel interessant, nu zou een tutorial voor elke sectie een goede xD zijn
Trouwens, hoe gevaarlijk is het als ik een Raspberry Pi plaats en de nodige poorten open om owncloud of een webserver van buitenaf te gebruiken?
Het is dat ik behoorlijk geïnteresseerd ben, maar ik weet niet of ik tijd zal hebben om de toegangslogboeken te bekijken, de beveiligingsinstellingen van tijd tot tijd te bekijken, enz. Enz.
Uitstekende bijdrage, bedankt voor het delen van je kennis.