Bardzo dobrze dla wszystkich, zanim przejdę do hartowania swojego zespołu, chcę wam powiedzieć, że instalator, który rozwijam dla Gentoo jest już w fazie pre-alpha 😀 oznacza to, że prototyp jest wystarczająco solidny, aby mógł zostać przetestowany przez innych użytkowników, ale jednocześnie jest jeszcze długa droga, a informacje zwrotne z tych etapów (pre-alpha, alpha, beta) pomogą zdefiniować ważne cechy procesu 🙂 Dla zainteresowanych…
https://github.com/ChrisADR/installer
. Nadal mam wersję tylko angielską, ale mam nadzieję, że wersja beta ma już swoje hiszpańskie tłumaczenie (uczę się tego z tłumaczeń uruchomieniowych w Pythonie, więc wciąż jest wiele do odkrycia)
hartowanie
Kiedy mówimy o hartowanieodnosimy się do wielu różnych działań lub procedur, które utrudniają dostęp do systemu komputerowego lub sieci systemów. Dlatego jest to obszerny temat, pełen niuansów i szczegółów. W tym artykule wymienię niektóre z najważniejszych lub zalecanych rzeczy, które należy wziąć pod uwagę podczas ochrony systemu, postaram się przejść od najbardziej krytycznego do najmniej krytycznego, ale bez zagłębiania się w temat, ponieważ każdy z tych punktów byłby tematem własnego artykułu.
Dostęp fizyczny
To niewątpliwie pierwszy i najważniejszy problem dla drużyn, ponieważ jeśli napastnik ma łatwy fizyczny dostęp do drużyny, to już można go zaliczyć do przegranej. Dotyczy to zarówno dużych centrów danych, jak i laptopów w firmie. Jednym z głównych środków zabezpieczających ten problem są klawisze na poziomie BIOS-u, dla wszystkich, którym to brzmi nowocześnie, można włożyć klucz do fizycznego dostępu do BIOS-u, w ten sposób jeśli ktoś chce zmodyfikować parametry Zaloguj się i uruchom komputer z działającego systemu, nie będzie to łatwe zadanie.
Teraz jest to coś podstawowego i na pewno działa, jeśli jest to naprawdę wymagane, byłem w kilku firmach, w których to nie ma znaczenia, ponieważ uważają, że "strażnik" przy drzwiach jest więcej niż wystarczający, aby uniemożliwić fizyczny dostęp . Ale przejdźmy do nieco bardziej zaawansowanego punktu.
luksus
Załóżmy na sekundę, że „atakujący” uzyskał już fizyczny dostęp do komputera, następnym krokiem jest zaszyfrowanie każdego istniejącego dysku twardego i partycji. LUKS (Konfiguracja zunifikowanego klucza w systemie Linux) Jest to specyfikacja szyfrowania, między innymi LUKS umożliwia zaszyfrowanie partycji kluczem, w ten sposób przy starcie systemu, jeśli klucz nie jest znany, partycji nie można zamontować ani odczytać.
Paranoja
Z pewnością są ludzie, którzy potrzebują „maksymalnego” poziomu bezpieczeństwa, a to prowadzi do zabezpieczenia nawet najmniejszego aspektu systemu, cóż, ten aspekt osiąga szczyt w jądrze. Jądro Linuksa to sposób, w jaki oprogramowanie współdziała ze sprzętem. Jeśli uniemożliwiasz programowi „zobaczenie” sprzętu, nie będzie ono w stanie uszkodzić sprzętu. Aby podać przykład, wszyscy wiemy, jak „niebezpieczne” są USB z wirusami, kiedy mówimy o systemie Windows, ponieważ z pewnością USB może zawierać kod w Linuksie, który może, ale nie musi być szkodliwy dla systemu, jeśli sprawimy, że jądro rozpozna tylko typ USB (firmware), które chcemy, każdy inny typ USB zostałby po prostu zignorowany przez nasz zespół, co z pewnością jest nieco ekstremalne, ale może działać w zależności od okoliczności.
usługi
Kiedy mówimy o usługach, pierwszym słowem, które przychodzi na myśl, jest „nadzór” i jest to coś bardzo ważnego, ponieważ jedną z pierwszych rzeczy, które wykonuje atakujący po wejściu do systemu jest utrzymanie połączenia. Wykonywanie okresowych analiz połączeń przychodzących, a zwłaszcza wychodzących jest bardzo ważne w systemie.
iptables
Teraz wszyscy słyszeliśmy o iptables, jest to narzędzie, które pozwala generować reguły wprowadzania i wychodzenia danych na poziomie jądra, jest to z pewnością przydatne, ale jest również mieczem obosiecznym. Wiele osób uważa, że posiadając „zaporę ogniową”, są już wolni od jakichkolwiek wejść lub wyjść z systemu, ale nic nie jest dalsze od prawdy, w wielu przypadkach może to służyć jedynie jako efekt placebo. Wiadomo, że zapory działają w oparciu o reguły, a te z pewnością można ominąć lub oszukać, aby umożliwić przesyłanie danych przez porty i usługi, dla których reguły uznałyby to za „dozwolone”, to tylko kwestia kreatywności 🙂
Stabilność a uwalnianie ciągłe
W wielu miejscach i sytuacjach jest to dość kontrowersyjny punkt, ale pozwólcie mi wyjaśnić mój punkt widzenia. Jako członek zespołu ds. Bezpieczeństwa, który czuwa nad wieloma problemami w stabilnej gałęzi naszej dystrybucji, jestem świadomy wielu, prawie wszystkich luk w zabezpieczeniach maszyn Gentoo naszych użytkowników. Obecnie dystrybucje takie jak Debian, RedHat, SUSE, Ubuntu i wiele innych przechodzą przez to samo, a ich czasy reakcji mogą się różnić w zależności od wielu okoliczności.
Przejdźmy do jasnego przykładu, z pewnością każdy słyszał o Meltdown, Spectre i całej serii wiadomości, które krążyły ostatnio po Internecie, cóż, najbardziej "rozwijająca się" gałąź jądra jest już załatana, problem leży Wprowadzając te poprawki do starszych jąder, backportowanie jest z pewnością ciężką i ciężką pracą. Teraz nadal muszą zostać przetestowane przez twórców dystrybucji, a po zakończeniu testów będą dostępne tylko dla zwykłych użytkowników. Co chcę z tym uzyskać? Ponieważ model z kolejnymi wydaniami wymaga, abyśmy wiedzieli więcej o systemie i sposobach jego ratowania, jeśli coś się nie powiedzie, ale tak jest dobry, ponieważ zachowanie absolutnej pasywności w systemie ma szereg negatywnych skutków zarówno dla administratora, jak i dla użytkowników.
Poznaj swoje oprogramowanie
Jest to bardzo cenny dodatek w zarządzaniu, rzeczy tak proste, jak subskrybowanie wiadomości o używanym oprogramowaniu, mogą pomóc z wyprzedzeniem poznać ostrzeżenia bezpieczeństwa, w ten sposób można wygenerować plan reakcji i jednocześnie zobaczyć, ile Każda dystrybucja potrzebuje czasu, aby rozwiązać problemy, zawsze lepiej jest być proaktywnym w tych kwestiach, ponieważ ponad 70% ataków na firmy jest przeprowadzanych przy użyciu przestarzałego oprogramowania.
Odbicie
Kiedy ludzie mówią o hartowaniu, często uważa się, że „chroniony” zespół jest odporny na wszystko i nie ma nic bardziej fałszywego. Jak wskazuje dosłowne tłumaczenie, hartowanie oznacza utrudnianie rzeczy, a NIE niemożliwe ... ale wiele razy wiele osób myśli, że wiąże się to z czarną magią i wieloma sztuczkami, takimi jak honeypoty ... to jest dodatkowa, ale jeśli nie możesz zrobić najbardziej podstawowych rzeczy, takich jak aktualizowanie oprogramowania lub języka programowanie ... nie ma potrzeby tworzenia sieci fantomowych i zespołów ze środkami zaradczymi ... Mówię to, ponieważ widziałem kilka firm, które proszą o wersje PHP 4 do 5 (oczywiście wycofane) ... rzeczy, o których dziś wiadomo, że mają setki, jeśli nie tysiące błędów bezpieczeństwo, ale jeśli firma nie nadąża za technologią, nie ma sensu, jeśli zrobi resztę.
Ponadto, jeśli wszyscy używamy wolnego lub otwartego oprogramowania, czas reakcji na błędy bezpieczeństwa jest zwykle dość krótki, problem pojawia się, gdy mamy do czynienia z oprogramowaniem prawnie zastrzeżonym, ale zostawiam to na kolejny artykuł, który mam nadzieję wkrótce napisać.
Bardzo dziękuję za przybycie 🙂 pozdrawiam
Doskonały
Dziękuję bardzo 🙂 pozdrawiam
Najbardziej podoba mi się prostota radzenia sobie z tym problemem, bezpieczeństwo w tamtych czasach.Dziękuję, zostanę w Ubuntu tak długo, jak długo nie będzie to potrzebne, ponieważ nie zajmuję partycji, którą mam w tym momencie w Windows 8.1. Pozdrawiam.
Witaj norma, z pewnością zespoły bezpieczeństwa Debiana i Ubuntu są dość wydajne 🙂 Widziałem, jak radzą sobie ze sprawami z niesamowitą szybkością i na pewno sprawiają, że ich użytkownicy czują się bezpiecznie, przynajmniej gdybym był na Ubuntu, czułbym się trochę bezpieczniejszy 🙂
Pozdrowienia i prawda, to prosta sprawa ... bezpieczeństwo bardziej niż mroczna sztuka to kwestia minimalnych kryteriów 🙂
Dziękuję bardzo za pomoc!
Bardzo ciekawa, zwłaszcza część wydania Rolling.
Nie brałem tego pod uwagę, teraz muszę zarządzać serwerem z Gentoo, aby zobaczyć różnice, jakie mam z Devuanem.
Wielkie pozdrowienie i ps za udostępnienie tego wpisu w moich sieciach społecznościowych, aby ta informacja dotarła do większej liczby osób !!
Dzięki!
Nie ma za co Alberto 🙂 Byłem w długach za to, że jako pierwszy odpowiedziałem na prośbę poprzedniego bloga 🙂 więc pozdrawiam i kontynuuję z listą oczekujących na napisanie 🙂
Cóż, stosowanie utwardzania za pomocą widma na zewnątrz byłoby jak pozostawienie komputera bardziej podatnego na uszkodzenia na przykład w przypadku użycia sanboxingu. Co ciekawe, twój sprzęt będzie bezpieczniejszy przed widmem mniej warstw bezpieczeństwa, które zastosujesz ... ciekawy, prawda?
przypomina mi to przykład, który mógłby przedstawiać cały artykuł ... użycie -fsanitize = address w kompilatorze mogłoby spowodować, że pomyślelibyśmy, że skompilowane oprogramowanie będzie bardziej „bezpieczne”, ale nic nie może być dalsze od prawdy, znam programistę, który próbował Zamiast robić to z całą drużyną ... okazało się, że łatwiej jest zaatakować niż bez ASAN ... to samo dotyczy różnych aspektów, używanie złych warstw, gdy nie wiesz, co robią, jest bardziej szkodliwe niż nieużywanie czegokolwiek. coś, co wszyscy powinniśmy wziąć pod uwagę, próbując chronić system ... co prowadzi nas z powrotem do faktu, że to nie jest mroczna magia, a zwykły zdrowy rozsądek 🙂 dzięki za wkład
Z mojego punktu widzenia najpoważniejszą luką w zabezpieczeniach utożsamianą z fizycznym dostępem i błędem ludzkim jest nadal sprzęt, pozostawiając na boku Meltdown i Spectre, od dawna widać, że warianty robaka LoveLetter zapisały kod w BIOS-ie sprzęt, gdyż niektóre wersje firmware w SSD umożliwiały zdalne wykonanie kodu i najgorsze z mojego punktu widzenia Intel Management Engine, co jest całkowitą aberracją dla prywatności i bezpieczeństwa, bo nie ma już znaczenia czy sprzęt ma szyfrowanie AES, zaciemnianie lub wszelkiego rodzaju utwardzanie, ponieważ nawet jeśli komputer jest wyłączony, IME cię wkręci.
Paradoksalnie również Tinkpad X200 z 2008 roku korzystający z LibreBoot jest bezpieczniejszy niż jakikolwiek obecny komputer.
Najgorsze w tej sytuacji jest to, że nie ma rozwiązania, ponieważ ani Intel, AMD, Nvidia, Gygabite, ani żaden średnio znany producent sprzętu nie zamierza wydać na GPL ani jakiejkolwiek innej wolnej licencji, obecnego projektu sprzętu, bo po co inwestować milion dolarów dla kogoś innego, kto skopiuje prawdziwy pomysł.
Piękny kapitalizm.
Bardzo prawda Kra 🙂 oczywiste jest, że jesteś dość biegły w kwestiach bezpieczeństwa 😀 ponieważ w rzeczywistości oprogramowanie i sprzęt prawnie zastrzeżony są kwestią ostrożności, ale niestety w związku z tym niewiele można zrobić w sprawie „hartowania”, ponieważ, jak mówisz, to jest coś który wymyka się prawie wszystkim śmiertelnikom, z wyjątkiem tych, którzy znają się na programowaniu i elektronice.
Pozdrawiamy i dziękujemy za udostępnienie 🙂
Bardzo interesujące, teraz samouczek dla każdej sekcji byłby dobry xD
Swoją drogą, jak niebezpieczne jest to, że umieszczę Raspberry Pi i otworzę niezbędne porty, aby korzystać z owncloud lub serwera internetowego spoza domu?
Chodzi o to, że jestem dość zainteresowany, ale nie wiem, czy będę miał czas na przejrzenie logów dostępu, sprawdzenie od czasu do czasu ustawień zabezpieczeń itp.
Znakomity wkład i dziękujemy za podzielenie się wiedzą