Очень хорошо всем, прежде чем приступить к укреплению вашей команды, я хочу сказать вам, что установщик, который я разрабатываю для Gentoo, уже находится на стадии пре-альфа 😀 это означает, что прототип достаточно надежен для тестирования другими пользователями. , но в то же время предстоит пройти еще долгий путь, и отзывы на этих этапах (пре-альфа, альфа, бета) помогут определить важные особенности процесса 🙂 Для заинтересованных…
https://github.com/ChrisADR/installer
. У меня все еще есть версия только на английском языке, но, надеюсь, для бета-версии у нее уже есть испанский перевод (я узнаю это из переводов времени выполнения на python, так что еще многое предстоит открыть)
Закаливание
Когда мы говорим о упрочнение, мы говорим о большом количестве действий или процедур, которые препятствуют доступу к компьютерной системе или сети систем. Именно поэтому это обширная тема, полная нюансов и деталей. В этой статье я собираюсь перечислить некоторые из наиболее важных или рекомендуемых вещей, которые следует учитывать при защите системы, я постараюсь перейти от наиболее критических к наименее критическим, но не вдаваясь в подробности, поскольку каждая из этих указывает, что это будет предметом отдельной статьи.
Физический доступ
Это, несомненно, первая и самая важная проблема для команд, поскольку, если у атакующего есть легкий физический доступ к команде, они уже могут считаться проигравшей командой. Это справедливо как для крупных центров обработки данных, так и для ноутбуков внутри компании. Одной из основных мер защиты от этой проблемы являются ключи на уровне BIOS, для всех тех, кому это кажется новым, можно поставить ключ для физического доступа к BIOS, таким образом, если кто-то захочет изменить логин и запустить компьютер из живой системы, это будет непростая задача.
Это что-то базовое, и это, безусловно, работает, если это действительно необходимо. Я был в нескольких компаниях, где это не имело значения, потому что они считают, что «охранника» двери более чем достаточно, чтобы избежать физического доступа. . Но давайте перейдем к более сложному вопросу.
LUKS
Предположим на секунду, что «злоумышленник» уже получил физический доступ к компьютеру, следующим шагом будет шифрование каждого существующего жесткого диска и раздела. ЛУКС (Настройка единого ключа Linux) Это спецификация шифрования, среди прочего LUKS позволяет зашифровать раздел с помощью ключа, таким образом, при запуске системы, если ключ неизвестен, раздел не может быть смонтирован или прочитан.
Паранойя
Конечно, есть люди, которым нужен «максимальный» уровень безопасности, и это приводит к защите даже самого маленького аспекта системы, ну, этот аспект достигает своего пика в ядре. Ядро linux - это способ взаимодействия вашего программного обеспечения с оборудованием. Если вы запретите своему программному обеспечению "видеть" оборудование, оно не сможет нанести вред оборудованию. Чтобы привести пример, мы все знаем, насколько «опасен» USB с вирусами, когда мы говорим о Windows, потому что USB, безусловно, может содержать код в Linux, который может или не может быть вредным для системы, если мы заставим ядро распознавать только тип USB (прошивки), который мы хотим, любой другой тип USB просто игнорируется нашей командой, что, конечно, немного экстремально, но это может работать в зависимости от обстоятельств.
Услуги
Когда мы говорим об услугах, первое, что приходит на ум, - это «надзор», и это очень важно, поскольку одно из первых действий злоумышленника при входе в систему - поддержание соединения. Периодический анализ входящих и особенно исходящих соединений очень важен в системе.
iptables
Теперь мы все слышали об iptables, это инструмент, который позволяет генерировать правила для ввода и вывода данных на уровне ядра, это, безусловно, полезно, но это также палка о двух концах. Многие люди считают, что, имея «брандмауэр», они уже свободны от любого типа входа или выхода из системы, но это далеко от истины, во многих случаях это может служить только эффектом плацебо. Известно, что брандмауэры работают на основе правил, и их, безусловно, можно обойти или обмануть, чтобы разрешить передачу данных через порты и службы, для которых правила будут считать это «разрешенным», это просто вопрос творчества.
Стабильность против скользящего выпуска
Это довольно спорный момент во многих местах или ситуациях, но позвольте мне объяснить свою точку зрения. Как член группы безопасности, которая следит за многими проблемами в стабильной ветви нашего дистрибутива, я знаю многие, почти все уязвимости, существующие на машинах Gentoo наших пользователей. Теперь дистрибутивы, такие как Debian, RedHat, SUSE, Ubuntu и многие другие, проходят через то же самое, и время их реакции может варьироваться в зависимости от многих обстоятельств.
Давайте перейдем к наглядному примеру, наверняка каждый слышал о Meltdown, Spectre и целой серии новостей, которые облетели Интернет в эти дни, ну, самая "скользящая" ветвь ядра уже исправлена, проблема заключается в При внесении этих исправлений в старые ядра обратное портирование, безусловно, является тяжелой и тяжелой работой. Теперь после этого они все еще должны быть протестированы разработчиками дистрибутива, и после завершения тестирования оно будет доступно только обычным пользователям. Что я хочу этим получить? Поскольку модель скользящего выпуска требует, чтобы мы знали больше о системе и способах ее спасения, если что-то выйдет из строя, но это Буэно, потому что поддержание абсолютной пассивности в системе имеет несколько негативных последствий как для администратора, так и для пользователей.
Знай свое программное обеспечение
Это очень ценное дополнение при управлении, такие простые вещи, как подписка на новости программного обеспечения, которое вы используете, может помочь вам заранее узнать уведомления о безопасности, таким образом вы можете создать план реакции и в то же время увидеть, сколько Каждому дистрибутиву требуется время для решения проблем, всегда лучше проявлять инициативу в этих вопросах, потому что более 70% атак на компании осуществляются с использованием устаревшего программного обеспечения.
Отражение
Когда говорят о закалке, часто думают, что «защищенная» команда устойчива против всего, и нет ничего более лживого. Как указывает его дословный перевод, упрочнение подразумевает усложнение, НЕ невозможное ... но часто многие люди думают, что это связано с темной магией и множеством уловок, таких как приманки ... это дополнительное, но если вы не можете выполнять самые простые вещи, такие как сохранение программного обеспечения или обновленный язык программирования ... нет необходимости создавать фантомные сети и команды с контрмерами ... Я говорю это, потому что я видел несколько компаний, где они просят версии PHP с 4 по 5 (очевидно, прекращенные) ... вещи, которые сегодня известны сотни, если не тысячи недостатков в безопасности, но если компания не может идти в ногу с технологиями, бесполезно, если они сделают все остальное.
Кроме того, если мы все используем бесплатное или открытое программное обеспечение, время реакции на ошибки безопасности обычно довольно короткое, проблема возникает, когда мы имеем дело с проприетарным программным обеспечением, но я оставляю это для другой статьи, которую я все еще надеюсь написать в ближайшее время.
Большое спасибо, что попали сюда 🙂 привет
Отличный
Большое спасибо 🙂 привет
Что мне больше всего нравится, так это простота решения этой проблемы, безопасность в настоящее время. Спасибо, я останусь в Ubuntu до тех пор, пока она не будет в крайней нужде, потому что я не занимаю раздел, который у меня есть в Windows 8.1 в момент ... привет.
Привет, Норма, безусловно, команды безопасности Debian и Ubuntu довольно эффективны 🙂 Я видел, как они обрабатывают дела с поразительной скоростью, и они, безусловно, заставляют своих пользователей чувствовать себя в безопасности, по крайней мере, если бы я был на Ubuntu, я бы чувствовал себя немного в большей безопасности 🙂
Приветствую, и правда, это простой вопрос ... безопасность больше, чем темное искусство, это вопрос минимальных критериев 🙂
Большое спасибо за ваш вклад!
Очень интересно, особенно часть релиза Rolling.
Я не учел это, теперь мне нужно управлять сервером с Gentoo, чтобы увидеть различия, которые у меня есть с Devuan.
Большое приветствие и ps, чтобы поделиться этой записью в моих социальных сетях, чтобы эта информация достигла большего количества людей !!
Спасибо!
Добро пожаловать, Альберто 🙂 Я был в долгу за то, что первым ответил на запрос в предыдущем блоге 🙂 так что привет, а теперь продолжаю писать этот ожидающий список 🙂
Что ж, применение упрочнения с помощью Spectre было бы похоже на то, чтобы сделать ПК более уязвимым, например, в случае использования санбоксинга. Любопытно, что чем меньше слоев безопасности вы применяете, тем безопаснее будет ваше оборудование от призраков ... любопытно, правда?
это напоминает мне пример, в котором может быть представлена вся статья ... использование -fsanitize = address в компиляторе может заставить нас думать, что скомпилированное программное обеспечение будет более "безопасным", но я знаю, что ничто не может быть дальше от истины разработчик, который попробовал вместо того, чтобы делать это всей командой ... оказалось, что атаковать проще, чем одного без использования ASAN ... то же самое применимо в разных аспектах, используя неправильные слои, когда вы не знаете они делают, это более разрушительно, чем ничего не использовать, я думаю, это то, что мы все должны учитывать при попытке защитить систему ... что возвращает нас к тому факту, что это не темная магия, а просто здравый смысл 🙂 спасибо за ваш вклад
На мой взгляд, наиболее серьезной уязвимостью, приравниваемой к физическому доступу и человеческой ошибке, остается оборудование, не говоря уже о Meltdown и Spectre, с давних времен было замечено, что варианты червя LoveLetter записывали код в BIOS оборудования. , поскольку определенные версии прошивки на SSD допускают удаленное выполнение кода и, что хуже всего, с моей точки зрения, Intel Management Engine, что является полным нарушением конфиденциальности и безопасности, поскольку больше не имеет значения, имеет ли оборудование шифрование AES, обфускацию или что-либо еще. упрочнения, потому что, даже если компьютер выключен, IME вас облажает.
И, как это ни парадоксально, Tinkpad X200 2008 года, использующий LibreBoot, безопаснее любого современного компьютера.
Хуже всего в этой ситуации то, что у нее нет решения, потому что ни Intel, ни AMD, ни Nvidia, ни Gygabite, ни какой-либо умеренно известный производитель оборудования не собирается выпускать под GPL или любой другой бесплатной лицензией текущий дизайн оборудования, потому что зачем вкладывать миллионы долларов чтобы кто-то другой скопировал истинную идею.
Красивый капитализм.
Совершенно верно Kra очевидно, что вы достаточно разбираетесь в вопросах безопасности 😀 потому что на самом деле проприетарное программное обеспечение и оборудование - это вопрос заботы, но, к сожалению, с этим мало что можно сделать в отношении «усиления защиты», поскольку, как вы говорите, это это то, что ускользает от почти всех смертных, кроме тех, кто разбирается в программировании и электронике.
Приветствую и спасибо, что поделились 🙂
Очень интересно, теперь было бы хорошо по туториалу по каждому разделу xD
Между прочим, насколько опасно, если я поставлю Raspberry Pi и открою необходимые порты для использования owncloud или веб-сервера извне дома?
Это мне очень интересно, но я не знаю, успею ли я просматривать журналы доступа, время от времени проверять настройки безопасности и т. Д. И т. Д.
Отличный вклад, спасибо за то, что поделились своими знаниями.