Salutare tuturor, înainte de a începe să vă întăriți echipa, vreau să vă spun că programul de instalare pe care îl dezvolt pentru Gentoo este deja în faza pre-alfa 😀 asta înseamnă că prototipul este suficient de robust pentru a fi testat de alți utilizatori, dar la în același timp, este încă un drum lung de parcurs, iar feedback-ul din aceste etape (pre-alfa, alfa, beta) va ajuta la definirea unor caracteristici importante despre proces 🙂 Pentru cei interesați...
https://github.com/ChrisADR/installer
. Mai am versiunea exclusiv în engleză, dar sper că până la versiunea beta am deja și traducerea în spaniolă (învăț asta din traducerile runtime în python, așa că mai sunt multe de descoperit)
călire
Când vorbim întărire, ne referim la o mare varietate de acțiuni sau proceduri care fac dificil accesul la un sistem informatic sau la o rețea de sisteme. Tocmai de aceea este un subiect vast plin de nuanțe și detalii. În acest articol voi enumera câteva dintre cele mai importante sau recomandate lucruri de care trebuie să țin cont atunci când protejez un sistem, voi încerca să trec de la cele mai critice la cele mai puțin critice, dar fără să aprofundez prea mult subiectul deoarece fiecare dintre aceste puncte Ar face obiectul propriului articol.
Acces fizic
Aceasta este, fără îndoială, prima și cea mai importantă problemă pentru echipe, deoarece dacă atacantul are acces fizic ușor la echipă, aceasta poate fi deja socotită ca o echipă pierdută. Acest lucru este valabil atât în centrele de date mari, cât și pe laptopurile din cadrul unei companii. Una dintre principalele măsuri de protecție pentru această problemă sunt cheile la nivel de BIOS, pentru toți cei cărora acest lucru sună nou, este posibil să se pună o cheie pentru accesul fizic al BIOS-ului, în acest fel dacă cineva dorește să modifice parametrii de autentificare și pornire a computerului dintr-un sistem live nu va fi o treabă ușoară.
Acum, acest lucru este de bază și cu siguranță funcționează dacă este într-adevăr necesar, am fost în mai multe companii unde acest lucru nu contează, pentru că ei cred că „garda” de securitate de la ușă este mai mult decât suficient pentru a împiedica accesul fizic. Dar să trecem la un punct puțin mai avansat.
luxos
Să presupunem pentru o secundă că un „atacator” a obținut deja acces fizic la computer, următorul pas este să criptezi fiecare hard disk și partiție existentă. LUKS (Configurare cheie unificată Linux) Este o specificație de criptare, printre altele LUKS permite criptarea unei partiții cu o cheie, în acest fel, la pornirea sistemului dacă cheia nu este cunoscută, partiția nu poate fi montată sau citită.
Paranoia
Cu siguranță există oameni care au nevoie de un nivel „maxim” de securitate, iar asta duce la protejarea chiar și a celui mai mic aspect al sistemului, ei bine, acest aspect atinge apogeul în kernel. Nucleul Linux este modul în care software-ul tău va interacționa cu hardware-ul, dacă împiedici software-ul tău să „vadă” hardware-ul, acesta nu va putea dăuna computerului. Ca să dau un exemplu, știm cu toții cât de „periculoase” sunt USB-urile cu viruși atunci când vorbim despre Windows, deoarece USB-urile pot conține cu siguranță cod în Linux care poate fi sau nu dăunător unui sistem, dacă facem ca nucleul să recunoască doar tipul USB (firmware) pe care ni-l dorim, orice alt tip de USB ar fi pur și simplu ignorat de echipamentele noastre, ceva cu siguranță cam extrem, dar ar putea funcționa în funcție de circumstanțe.
servicii
Când vorbim despre servicii, primul cuvânt care ne vine în minte este „monitorizare”, iar acest lucru este destul de important, deoarece unul dintre primele lucruri pe care le face un atacator când intră într-un sistem este menținerea conexiunii. Efectuarea de analize periodice a conexiunilor de intrare și mai ales de ieșire este foarte importantă într-un sistem.
iptables
Acum, am auzit cu toții despre iptables, este un instrument care vă permite să generați reguli de intrare și ieșire a datelor la nivel de kernel, acest lucru este cu siguranță util, dar este și o sabie cu două tăișuri. Mulți oameni cred că, având „firewall”, sunt acum liberi de orice tip de intrare sau ieșire din sistem, dar nimic mai departe de adevăr, acest lucru poate servi doar ca efect placebo în multe cazuri. Se știe că firewall-urile funcționează pe baza unor reguli, iar acestea cu siguranță pot fi ocolite sau păcălite pentru a permite transportul datelor prin porturi și servicii pentru care regulile ar considera că este „permis”, este doar o chestiune de creativitate :)
Stabilitate vs eliberare prin rulare
Acum, acesta este un punct destul de controversat în multe locuri sau situații, dar permiteți-mi să explic punctul meu de vedere. Ca membru al unei echipe de securitate care se ocupă de multe dintre problemele din ramura stabilă a distribuției noastre, sunt conștient de multe, aproape toate vulnerabilitățile care există pe mașinile Gentoo ale utilizatorilor noștri. Acum, distribuțiile precum Debian, RedHat, SUSE, Ubuntu și multe altele trec prin același lucru, iar timpii lor de reacție pot varia în funcție de multe circumstanțe.
Să mergem la un exemplu clar, cu siguranță toată lumea a auzit de Meltdown, Spectre și o serie întreagă de știri care au zburat pe internet în aceste zile, ei bine, cea mai „rolling-release” ramură a nucleului este deja patch-ată, problema constă În transportarea acestor remedieri la nucleele anterioare, cu siguranță „backporting” este o muncă grea și dificilă. Acum, după aceea, acestea mai trebuie testate de dezvoltatorii distribuției, iar odată ce testarea a fost finalizată, va fi disponibilă doar pentru utilizatorii normali. Ce vreau să obțin cu asta? Deoarece modelul cu lansare rulantă ne cere să știm mai multe despre sistem și despre modalitățile de a-l salva dacă ceva eșuează, dar asta este bine, deoarece menținerea pasivității absolute în sistem are mai multe efecte negative atât pentru cei care îl gestionează, cât și pentru utilizatori.
Cunoaște-ți software-ul
Acesta este un plus foarte valoros atunci când gestionați, lucruri la fel de simple precum abonarea la știrile software-ului pe care îl utilizați vă pot ajuta să cunoașteți din timp notificările de securitate, în acest fel puteți genera un plan de reacție și în același timp să vedeți cât de mult este necesită timp pentru ca fiecare distribuție să rezolve problemele, este întotdeauna mai bine să fii proactiv în aceste probleme deoarece mai mult de 70% din atacurile asupra companiilor sunt efectuate de software neactualizat.
Reflecție
Când oamenii vorbesc despre întărire, ei cred adesea că echipamentele „adăpostite” sunt sigure și nu există nimic mai fals. După cum indică traducerea sa literală, întărire Implică a face lucrurile mai dificile, NU imposibile... dar de multe ori mulți oameni cred că asta implică magie neagră și multe trucuri precum honeypots... acesta este un suplimentar, dar dacă nu poți face cel mai elementar lucru precum păstrarea software-ului sau un limbaj actualizat de programare...nu este nevoie sa creezi retele fantoma si echipe cu contramasuri...Spun asta pentru ca am vazut cateva firme unde cer versiuni de PHP 4 la 5 (evident intrerupte)... lucruri despre care se știe astăzi că au sute, dacă nu mii de defecte de securitate, dar dacă compania nu poate ține pasul cu ritmul tehnologiei, nu are rost să faci altceva.
În plus, dacă folosim cu toții software gratuit sau deschis, timpul de reacție pentru erorile de securitate este de obicei destul de scurt, problema vine atunci când avem de-a face cu software proprietar, dar voi lăsa asta pentru un alt articol pe care încă sper să îl scriu în curând.
Vă mulțumesc foarte mult că ați venit până aici 🙂 salutări
Excelent
Mulțumesc frumos 🙂 salutări
Ceea ce imi place cel mai mult este simplitatea in a trata acest subiect, securitatea in aceste vremuri.Va multumesc, voi ramane pe Ubuntu atata timp cat nu este de extrema necesitate deoarece nu ocup partitia pe care o am pentru Windows 8.1 la moment.Salutări.
Bună Norma, cu siguranță echipele de securitate Debian și Ubuntu sunt destul de eficiente 🙂 Am văzut cum gestionează cazurile cu o viteză surprinzătoare și cu siguranță îi fac pe utilizatori să se simtă în siguranță, cel puțin dacă aș fi pe Ubuntu, m-aș simți puțin mai în siguranță 🙂
Salutari, si adevarat, este un subiect simplu... securitatea, mai mult decat o arta intunecata, este un subiect de criterii minime 🙂
Vă mulțumesc foarte mult pentru contribuția dvs.!
Foarte interesant, mai ales partea Rolling release.
Nu ținem cont de asta, acum trebuie să gestionez un server cu Gentoo pentru a vedea diferențele pe care le am cu Devuan.
Salutări și vă rog să distribuiți această postare pe rețelele mele de socializare pentru ca această informație să ajungă la mai mulți oameni!!
Vă mulţumim!
Cu drag Alberto 🙂 Am fost îndatorat că am fost primul care a răspuns la cererea anterioară de blog 🙂 așa că salutări și acum să continui cu acea listă de lucruri de făcut pentru a scrie 🙂
Ei bine, aplicarea întăririi cu Spectre acolo ar fi ca și cum ar lăsa PC-ul mai vulnerabil în cazul utilizării sanboxing-ului, de exemplu. În mod curios, echipamentul tău va fi mai sigur împotriva spectrului cu cât vei aplica mai puține straturi de securitate... curios, nu?
Asta îmi amintește de un exemplu care ar putea prezenta un articol întreg... folosirea -fsanitize=address în compilator ne-ar putea face să credem că software-ul compilat ar fi mai „sigur”, dar nimic mai departe de adevăr, știu un dezvoltator care a încercat un timp făcând-o cu toată echipa... s-a dovedit a fi mai ușor să ataci decât unul fără să folosești ASAN... același lucru se aplică în diverse aspecte, folosind straturi greșite când nu știi ce fac ei , este mai dăunător decât să nu folosim nimic 😛 Bănuiesc că acesta este un lucru pe care ar trebui să-l luăm cu toții în considerare atunci când încercăm să protejăm un sistem... ceea ce ne readuce la faptul că aceasta nu este magie neagră, ci simplu bun simț 🙂 mulțumesc pentru contributia ta
Din punctul meu de vedere, cea mai gravă vulnerabilitate în comparație cu accesul fizic și eroarea umană continuă să fie hardware-ul, lăsând Meltdown și Spectre deoparte, din cele mai vechi timpuri s-a văzut cum variantele viermelui LoveLetter scriau cod în BIOS-ul echipamentului. , precum anumite versiuni de firmware pe SSD permiteau executarea codului de la distanță și cel mai rău din punctul meu de vedere este Intel Management Engine, care este o aberație completă pentru confidențialitate și securitate, pentru că nu mai contează dacă echipamentul are criptare AES, ofuscare sau orice tip de întărire, pentru că chiar dacă dispozitivul este oprit, IME-ul o să te încurce.
Și, de asemenea, în mod paradoxal, un Tinkpad X200 din 2008 care folosește LibreBoot este mai sigur decât orice dispozitiv actual.
Cel mai rău lucru la această situație este că nu are nicio soluție, pentru că nici Intel, AMD, Nvidia, Gygabite sau niciun producător de hardware moderat cunoscut nu va lansa actualul design hardware sub GPL sau orice altă licență gratuită, pentru că de ce să investești? Milioane de dolari pentru ca altcineva să-ți copieze ideea, nu?
Frumos capitalism.
Foarte adevărat Kra 🙂 este evident că ai o bună stăpânire a problemelor de securitate 😀 pentru că într-adevăr software-ul și hardware-ul proprietar sunt o chestiune de îngrijire, dar, din păcate împotriva asta, nu este nimic de făcut în ceea ce privește „întărirea”, deoarece așa cum spui, asta este ceva care scapă aproape tuturor muritorilor, cu excepția celor care cunosc programare și electronică.
Salutări și mulțumiri pentru distribuire 🙂
Foarte interesant, acum un tutorial pentru fiecare secțiune ar fi frumos xD
Apropo, cât de periculos este dacă pun un Raspberry Pi și deschid porturile necesare pentru a folosi owncloud sau un server web din afara casei?
Sunt destul de interesat dar nu stiu daca voi avea timp sa revad jurnalele de acces, sa ma uit din cand in cand la configuratia de securitate, etc etc...
Contribuție excelentă, mulțumesc pentru împărtășirea cunoștințelor tale.