Veľmi dobré pre všetkých, skôr ako vstúpite do posilnenia vášho tímu, chcem vám povedať, že inštalátor, ktorý vyvíjam pre Gentoo, je už v pre-alfa fáze 😀 to znamená, že prototyp je dostatočne robustný na to, aby ho mohli testovať ostatní používatelia. , ale zároveň je pred nami ešte dlhá cesta a spätná väzba z týchto etáp (pre-alfa, alfa, beta) pomôže definovať dôležité vlastnosti procesu 🙂 Pre záujemcov ...
https://github.com/ChrisADR/installer
. Stále mám iba anglickú verziu, ale dúfajme, že pre beta verziu už má aj svoj španielsky preklad (učím sa to z runtime prekladov v pythone, takže je stále čo objavovať)
kalenie
Keď o tom hovoríme kalenie, označujeme veľké množstvo akcií alebo postupov, ktoré bránia v prístupe k počítačovému systému alebo sieti systémov. Práve preto je to rozsiahla téma plná odtieňov a detailov. V tomto článku uvediem zoznam najdôležitejších alebo odporúčaných vecí, ktoré je potrebné zohľadniť pri ochrane systému, pokúsim sa prejsť od najkritickejšieho k najmenej kritickému, ale bez toho, aby som sa hlbšie venoval tejto téme, pretože každá z nich poukazuje na to, že by bol predmetom vlastného článku.
Fyzický prístup
Toto je bezpochyby prvý a najdôležitejší problém tímov, pretože ak má útočník ľahký fyzický prístup k tímu, môžu sa už počítať ako stratené tímy. To platí pre veľké dátové centrá aj notebooky v rámci spoločnosti. Jedným z hlavných ochranných opatrení pri riešení tohto problému sú kľúče na úrovni systému BIOS. Pre všetkých, pre ktorých to znie ako nové, je možné vložiť kľúč k fyzickému prístupu do systému BIOS, týmto spôsobom, ak chce niekto upraviť parametre prihlásenia a spustenie počítača zo živého systému, nebude to ľahká práca.
Teraz je to niečo základné a určite to funguje, ak je to naozaj potrebné, bol som vo viacerých spoločnostiach, kde to nevadí, pretože sa domnievajú, že bezpečnostný „strážca“ dverí je viac než dosť na to, aby sa mohli vyhnúť fyzickému prístupu . Poďme však k trochu pokročilejšiemu bodu.
luxus
Predpokladajme na chvíľu, že „útočník“ už získal fyzický prístup k počítaču, ďalším krokom je šifrovanie každého existujúceho pevného disku a oddielu. LUKS (Nastavenie jednotného kľúča systému Linux) Je to špecifikácia šifrovania, okrem iného LUKS umožňuje šifrovanie oddielu kľúčom. Týmto spôsobom pri štarte systému, ak kľúč nie je známy, nemožno oddiel pripojiť alebo prečítať.
Paranoja
Určite existujú ľudia, ktorí potrebujú „maximálnu“ úroveň zabezpečenia, čo vedie k zabezpečeniu aj toho najmenšieho aspektu systému. Tento aspekt dosahuje v jadre svoj vrchol. Linuxové jadro je spôsob, akým bude váš softvér interagovať s hardvérom. Ak zabránite tomu, aby váš softvér „videl“ hardvér, nebude schopný poškodiť zariadenie. Uvedieme príklad, všetci vieme, aké „nebezpečné“ je USB s vírusmi, keď hovoríme o Windows, pretože USB môže v Linuxe obsahovať kód, ktorý môže alebo nemusí byť pre systém škodlivý, ak jadro rozpozná iba typ z USB (firmvéru), ktorý chceme, akýkoľvek iný typ USB by náš tím jednoducho ignoroval, čo je určite trochu extrémne, ale mohlo by to fungovať podľa okolností.
služby
Keď hovoríme o službách, prvé slovo, ktoré nás napadne, je „dohľad“, a to je niečo celkom dôležité, pretože jednou z prvých vecí, ktoré útočník urobí pri vstupe do systému, je udržiavanie spojenia. Pravidelné analyzovanie prichádzajúcich a najmä odchádzajúcich spojení je v systéme veľmi dôležité.
iptables
Teraz sme všetci počuli o iptables, jedná sa o nástroj, ktorý umožňuje generovať pravidlá vstupu a výstupu údajov na úrovni jadra, čo je určite užitočné, ale je to aj meč s dvoma hranami. Mnoho ľudí verí, že vďaka tomu, že majú „bránu firewall“, už nemajú žiadny typ vstupu alebo výstupu zo systému, ale nič nie je ďalej od pravdy, môže to v mnohých prípadoch slúžiť iba ako placebo efekt. Je známe, že brány firewall fungujú na základe pravidiel, ktoré sa dajú určite obísť alebo oklamať, aby umožňovali prenos údajov cez prístavy a služby, pre ktoré by ich pravidlá považovali za „povolené“, je to len otázka kreativity 🙂
Stabilita vs.
Teraz je to na mnohých miestach alebo v rôznych situáciách dosť sporný bod, dovoľte mi však vysvetliť môj názor. Ako člen bezpečnostného tímu, ktorý dohliada na veľa problémov v stabilnej vetve našej distribúcie, som si vedomý mnohých, takmer všetkých zraniteľností, ktoré existujú na počítačoch Gentoo našich používateľov. Teraz distribúcie ako Debian, RedHat, SUSE, Ubuntu a mnoho ďalších prechádzajú rovnakou vecou a ich reakčné časy sa môžu líšiť v závislosti od mnohých okolností.
Poďme na jasný príklad, určite každý už počul o Meltdown, Spectre a celej sérii noviniek, ktoré v dnešnej dobe obleteli internet, no, väčšina „roll-release“ vetiev jadra je už opravená, problém spočíva Pri prinášaní týchto opráv do starších jadier je backportovanie určite tvrdá a tvrdá práca. Teraz potom ich ešte musia testovať vývojári distribúcie a po dokončení testovania bude k dispozícii iba pre bežných používateľov. Čo tým chcem získať? Pretože model s postupným uvoľňovaním vyžaduje, aby sme vedeli viac o systéme a spôsoboch záchrany, ak niečo zlyhá, ale to je tak dobrý, pretože udržiavanie absolútnej pasivity v systéme má niekoľko negatívnych účinkov pre správcu aj používateľov.
Poznajte svoj softvér
Toto je veľmi cenný doplnok pri správe, rovnako jednoduché ako prihlásenie na odber noviniek o softvéri, ktorý používate, vám pomôže vopred poznať bezpečnostné oznámenia, týmto spôsobom môžete vygenerovať reakčný plán a zároveň zistiť, koľko Riešenie problémov s každou distribúciou si vyžaduje čas, vždy je lepšie byť v týchto otázkach proaktívny, pretože viac ako 70% útokov na spoločnosti je vykonávaných zastaraným softvérom.
Odraz
Keď sa hovorí o otužovaní, často sa verí, že „chránený“ tím je dôkazom všetkého a nie je tu nič falošnejšie. Ako naznačuje jeho doslovný preklad, kalenie znamená sťažiť, NIE znemožniť ... ale mnohokrát si mnoho ľudí myslí, že to zahŕňa temnú mágiu a veľa trikov, ako napríklad honeypoty ... toto je doplnok, ale ak nemôžete robiť tie najzákladnejšie veci, ako je napríklad údržba softvéru alebo jazykovo aktualizované programovanie ... nie je potrebné vytvárať fantómové siete a tímy s protiopatreniami ... hovorím to preto, lebo som už videl niekoľko spoločností, kde požadujú verzie PHP 4 až 5 (samozrejme prerušené) ... veci, ktoré dnes Je známe, že majú stovky, ak nie tisíce chýb zabezpečenia, ale ak spoločnosť nedokáže držať krok s technológiou, je zbytočné, ak robia zvyšok.
Pokiaľ tiež všetci používame slobodný alebo otvorený softvér, reakčný čas na chyby zabezpečenia je zvyčajne dosť krátky, problém nastáva, keď máme do činenia s proprietárnym softvérom, ale to už nechávam na ďalší článok, ktorý dúfam, že čoskoro napíšem.
Ďakujem pekne, že ste sa sem dostali 🙂 pozdravujem
Vynikajúca
Dakujem pekne 🙂 pozdravujem
Najviac sa mi páči jednoduchosť pri riešení tohto problému, bezpečnosť v dnešnej dobe. Ďakujem, že zostanem v Ubuntu, pokiaľ to nebude nevyhnutne potrebné, pretože neobsadzujem oddiel, ktorý mám v systéme Windows 8.1 na moment. Zdravím vás.
Ahoj norma, určite sú bezpečnostné tímy Debianu a Ubuntu celkom efektívne 🙂 Videl som, ako zvládajú prípady úžasnou rýchlosťou a určite vďaka nim sa ich používatelia cítia bezpečne, aspoň keby som bol na Ubuntu, cítil by som sa trochu bezpečnejšie 🙂
Zdravím, a je to jednoduchá záležitosť ... bezpečnosť viac ako temné umenie je otázkou minimálnych kritérií 🙂
Ďakujeme pekne za príspevok!
Veľmi zaujímavé, hlavne časť vydania Rolling.
Nebral som to do úvahy, teraz musím spravovať server s Gentoo, aby som videl rozdiely, ktoré mám s Devuanom.
Veľké pozdravenie a zdieľanie tohto záznamu v mojich sociálnych sieťach, aby sa tieto informácie dostali k ďalším ľuďom !!
Vďaka!
Nemáte začo Alberto 🙂 Bol som dlžný za to, že som prvý, kto odpovedal na žiadosť predchádzajúceho blogu, takže pozdravujem a teraz pokračujem v písaní tohto zoznamu čakajúcich 🙂
Aplikácia vytvrdzovania pomocou strašidla by bola ako keby ste nechali počítač zraniteľnejší napríklad v prípade použitia sanboxingu. Je zaujímavé, že vaše vybavenie bude bezpečnejšie proti strašidlu tým menej bezpečnostných vrstiev, ktoré použijete ... zvedavé, že?
toto mi pripomína príklad, ktorý by mohol predstaviť celý článok ... použitie -fsanitize = address v kompilátore nás môže prinútiť myslieť si, že kompilovaný softvér by bol „bezpečnejší“, ale nič nemôže byť ďalej od pravdy, poznám vývojár, ktorý sa pokúsil Namiesto toho, aby to robil s celým tímom ... ukázalo sa, že je ľahšie napadnúť ako jedného bez použitia ASANu ... to isté platí v rôznych aspektoch, keď použijete nesprávne vrstvy, keď neviete, čo používajú robiť, je škodlivejšie ako nepoužívať nič, myslím, že to je to, čo by sme mali všetci brať do úvahy pri pokuse o ochranu systému ... čo nás privádza späť k tomu, že nejde o temnú mágiu, ale iba o zdravý rozum 🙂 vďaka pre váš vstup
Z môjho pohľadu je najzávažnejšou zraniteľnosťou, ktorá sa rovná fyzickému prístupu a ľudskej chybe, stále hardvér, takže Meltdown a Spectre nechávame bokom, pretože za starých čias sa to považovalo za varianty červu LoveLetter, ktorý do BIOSu zariadenia zapísal kód , keďže niektoré verzie firmvéru na SSD umožňovali vzdialené vykonávanie kódu a najhoršie z môjho pohľadu je Intel Management Engine, čo je úplná aberácia ochrany súkromia a bezpečnosti, pretože už nezáleží na tom, či má zariadenie šifrovanie AES, zahmlievanie alebo akýkoľvek druh kalenia, pretože aj keď je počítač vypnutý, editor IME vás priskrutkuje.
A tiež paradoxne je Tinkpad X200 z roku 2008, ktorý používa LibreBoot, bezpečnejší ako akýkoľvek súčasný počítač.
Najhoršie na tejto situácii je, že nemá žiadne riešenie, pretože ani Intel, AMD, Nvidia, Gygabite ani žiadny stredne známy výrobca hardvéru nevydá pod licenciou GPL alebo inou bezplatnou licenciou súčasný dizajn hardvéru, pretože prečo investovať milióny dolárov aby niekto iný kopíroval skutočnú myšlienku.
Krásny kapitalizmus.
Veľmi pravdivo, Kra 🙂 je zrejmé, že ovládaš dosť dobre v bezpečnostných otázkach prop, pretože v skutočnosti je proprietárny softvér a hardvér otázkou starostlivosti, ale bohužiaľ proti tomu nie je veľa spoločného s „vytvrdením“, pretože ako hovoríš, to je niečo, čo uniká takmer všetkým smrteľníkom, okrem tých, ktorí vedia programovanie a elektroniku.
Zdravím a ďakujem za zdieľanie 🙂
Veľmi zaujímavé, teraz by bol návod pre každú sekciu dobrý xD
Mimochodom, aké nebezpečné je, keď vložím Raspberry Pi a otvorím porty potrebné na použitie cloudu alebo webového servera mimo domov?
Je to tým, že ma to dosť zaujíma, ale neviem, či budem mať čas skontrolovať protokoly prístupu, pozrieť sa občas na nastavenia zabezpečenia atď ...
Vynikajúci príspevok, ďakujeme za zdieľanie vašich vedomostí.