Zelo dobro vsem, preden se lotim utrjevanja vaše ekipe, vam želim povedati, da je namestitveni program, ki ga razvijam za Gentoo, že v fazi pred alfa 😀 to pomeni, da je prototip dovolj robusten, da ga lahko drugi preizkusijo uporabnikom, hkrati pa je še dolga pot in povratne informacije iz teh faz (pred alfa, alfa, beta) bodo pomagale opredeliti pomembne značilnosti postopka 🙂 Za zainteresirane ...
https://github.com/ChrisADR/installer
. Še vedno imam različico samo v angleščini, vendar upam, da ima za beta tudi prevod v španščino (tega se učim iz izvajalnih prevodov v pythonu, zato je treba še veliko odkriti)
Utrjevanje
Ko bomo govorili kaljenje, se sklicujemo na veliko različnih dejanj ali postopkov, ki ovirajo dostop do računalniškega sistema ali omrežja sistemov. Ravno zato je to obsežna tema, polna odtenkov in podrobnosti. V tem članku bom naštel nekaj najpomembnejših ali priporočenih stvari, ki jih je treba upoštevati pri zaščiti sistema, poskušal bom preiti od najbolj kritičnega do najmanj kritičnega, vendar brez poglabljanja v temo, saj se vsaka od teh poudarja, da bi bil predmet lastnega članka.
Fizični dostop
To je nedvomno prva in najpomembnejša težava ekip, saj če ima napadalec enostaven fizični dostop do ekipe, jo že lahko štejejo kot izgubljeno ekipo. To velja tako za velike podatkovne centre kot za prenosnike znotraj podjetja. Eden glavnih zaščitnih ukrepov za to težavo so ključi na ravni BIOS-a, za vse tiste, ki jim to zveni novo, je možno dati ključ do fizičnega dostopa do BIOS-a, če nekdo želi spremeniti parametre prijave in zagon računalnika iz aktivnega sistema, to ne bo lahko delo.
Zdaj je to nekaj osnovnega in zagotovo deluje, če je res potrebno, bil sem v več podjetjih, kjer to ni pomembno, ker menijo, da je varnostna "zaščita" vrat več kot dovolj, da se lahko izognemo fizičnemu dostopu . A pojdimo na nekoliko naprednejšo točko.
razkošje
Recimo za trenutek, da je "napadalec" že dobil fizični dostop do računalnika, je naslednji korak šifriranje vseh obstoječih trdih diskov in particij. LUKS (Linux Unified nastavitev tipk) To je specifikacija šifriranja, med drugim LUKS omogoča šifriranje particije s ključem, na ta način, ko se sistem zažene, če ključ ni znan, particije ni mogoče namestiti ali prebrati.
Paranoja
Zagotovo obstajajo ljudje, ki potrebujejo "maksimalno" raven varnosti, kar vodi k zaščiti tudi najmanjšega vidika sistema. No, ta vidik doseže svoj vrhunec v jedru. Jedro linux je način, na katerega bo vaša programska oprema sodelovala s strojno opremo. Če programski opremi preprečite, da bi "videla" strojno opremo, ne bo mogla škodovati opremi. Kot primer lahko vsi vemo, kako "nevarni" so USB z virusi, ko govorimo o operacijskem sistemu Windows, saj zagotovo USB lahko vsebuje kodo v Linuxu, ki je lahko škodljiva za sistem ali ne, če jedro prepozna samo tip usb (firmware), ki si ga želimo, bi naša ekipa katero koli drugo vrsto USB preprosto prezrla, nekaj zagotovo nekoliko ekstremnega, vendar bi lahko delovalo glede na okoliščine.
storitve
Ko govorimo o storitvah, prva beseda, ki mi pade na pamet, je "nadzor", in to je nekaj zelo pomembnega, saj je ena izmed prvih stvari, ki jo napadalci storijo ob vstopu v sistem, vzdrževanje povezave. Izvajanje periodične analize dohodnih in zlasti odhodnih povezav je v sistemu zelo pomembno.
iptables
Zdaj smo vsi že slišali za iptables, to je orodje, ki omogoča generiranje pravil vnosa in izstopa podatkov na ravni jedra, to je vsekakor koristno, je pa tudi dvorezen meč. Mnogi ljudje verjamejo, da z "požarnim zidom" nimajo nobenega vstopa ali izstopa iz sistema, vendar nič ni dlje od resnice, to lahko v mnogih primerih služi le kot učinek placeba. Znano je, da požarni zidovi delujejo na podlagi pravil, ki jih je vsekakor mogoče zaobiti ali pretentati, da omogočajo prenos podatkov skozi pristanišča in storitve, za katere bi pravila štela, da so "dovoljena", gre le za ustvarjalnost 🙂
Stabilnost in sprostitev
Zdaj je to v mnogih krajih ali situacijah precej sporno, vendar naj pojasnim svoje stališče. Kot član varnostne skupine, ki bdi nad številnimi težavami v stabilni veji naše distribucije, se zavedam številnih, skoraj vseh ranljivosti, ki obstajajo na strojih Gentoo naših uporabnikov. Zdaj distribucije, kot so Debian, RedHat, SUSE, Ubuntu in mnoge druge, gredo skozi isto stvar in njihovi reakcijski časi se lahko razlikujejo glede na številne okoliščine.
Pojdimo na jasen primer, zagotovo so vsi že slišali za Meltdown, Spectre in celo vrsto novic, ki so te dni letele po internetu, no, najbolj "valjana" veja jedra je že popravljena, težava je v tem Pri približevanju teh popravkov starejšim jedrom je backporting gotovo težko delo. Po tem jih morajo razvijalci distribucije še preizkusiti in ko bo testiranje končano, bo na voljo le običajnim uporabnikom. Kaj želim dobiti s tem? Ker model sprostitvenega sproščanja zahteva, da vemo več o sistemu in načinih, kako ga rešiti, če kaj odpove, vendar je tako Dobro, ker ima ohranjanje absolutne pasivnosti v sistemu več negativnih učinkov tako za skrbnika kot za uporabnike.
Spoznajte svojo programsko opremo
To je zelo dragocen dodatek pri upravljanju, tako preproste stvari, kot je naročanje na novice o programski opremi, ki jo uporabljate, vam lahko pomaga vnaprej vedeti varnostna obvestila, na ta način lahko ustvarite načrt reakcije in hkrati vidite, koliko Za rešitev vsake distribucije je potreben čas, vedno je bolje biti proaktiven pri teh vprašanjih, saj več kot 70% napadov na podjetja izvaja zastarela programska oprema.
Odsev
Ko ljudje govorijo o utrjevanju, se pogosto verjame, da je "zaščitena" ekipa dokaz proti vsem in nič bolj lažnega ni. Kot kaže njegov dobesedni prevod, kaljenje pomeni, da je stvari težje, NE pa nemogoče ... toda velikokrat mnogi mislijo, da gre za temno magijo in številne trike, kot so denimo lončki ... to je dodatek, če pa ne morete narediti najosnovnejših stvari, kot je obdržati programsko opremo ali jezikovno posodobljeno programiranje ... ni treba ustvarjati fantomskih omrežij in skupin s protiukrepi ... To rečem, ker sem videl več podjetij, kjer prosijo za različice PHP 4 do 5 (očitno ukinjene) ... stvari, ki danes znano je, da imajo na stotine, če ne tisoče pomanjkljivosti varnosti, če pa podjetje ne more slediti tehnologiji, je neuporabno, če storijo ostalo.
Če vsi uporabljamo brezplačno ali odprto programsko opremo, je reakcijski čas za varnostne napake običajno precej kratek, težava nastane, ko imamo opravka z lastniško programsko opremo, vendar to pustim za drug članek, ki ga vseeno upam, da bom kmalu napisal.
Najlepša hvala, da ste prišli sem 🙂 pozdrav
Odlično
Najlepša hvala 🙂 pozdrav
Najbolj všeč mi je preprostost pri reševanju tega vprašanja, varnost v teh časih. Hvala, da bom ostal v Ubuntuju, dokler ga ne potrebujem, ker ne zasedem particije, ki jo imam v oknu 8.1 ob trenutek. Lep pozdrav.
Pozdravljeni, norma, zagotovo sta varnostni ekipi za Debian in Ubuntu precej učinkoviti. 🙂 Videl sem, kako obravnavajo primere z neverjetno hitrostjo in zagotovo poskrbijo, da se njihovi uporabniki počutijo varne, vsaj če bi bil v Ubuntuju, bi se počutil nekoliko varneje
Lep pozdrav, res je, vprašanje je preprosto ... varnost bolj kot temna umetnost je stvar minimalnih meril 🙂
Najlepša hvala za vaš prispevek!
Zelo zanimivo, še posebej del izdaje Rolling.
Tega nisem upošteval, zdaj moram upravljati strežnik z Gentoo, da vidim razlike, ki jih imam z Devuanom.
Velik pozdrav in ps za skupno rabo tega vnosa v mojih socialnih omrežjih, da bodo te informacije dosegle več ljudi !!
Hvala!
Dobrodošli, Alberto 🙂 Dolžan sem bil, ker sem prvi odgovoril na prošnjo prejšnjega spletnega dnevnika 🙂 tako pozdrav in zdaj nadaljujem s tem čakajočim seznamom za pisanje 🙂
No, če bi uporabili kaljenje s spektrom, bi bilo, kot da bi pc pustili bolj ranljivega, na primer pri uporabi sanboxinga. Nenavadno je, da bo vaša oprema bolj varna pred spektrom, manj varnostnih slojev, ki jih uporabite ... radovedno, kajne?
to me spominja na primer, ki bi lahko predstavil celoten članek ... z uporabo -fsanitize = address in v prevajalniku bi lahko pomislili, da bi bila zbrana programska oprema bolj "varna", vendar nič ne more biti dlje od resnice, vem razvijalec, ki je poskusil Namesto da bi to storil s celotno ekipo ... izkazalo se je, da ga je lažje napasti kot tistega, ne da bi uporabil ASAN ... enako velja v različnih pogledih, pri čemer se uporabljajo napačni sloji, ko ne veste, kaj naredijo, je bolj škodljivo kot neuporaba ničesar. Mislim, da bi morali to upoštevati vsi, ko poskušamo zaščititi sistem ... kar nas vrne k dejstvu, da to ni temna magija, ampak zgolj zdrava pamet 🙂 hvala za vaš prispevek
Po mojem mnenju je najresnejša ranljivost, enačena s fizičnim dostopom in človeškimi napakami, še vedno strojna oprema, Meltdown in Spectre pa puščata ob strani, saj je bilo že v starih časih videti, da so različice črva LoveLetter zapisale kodo v BIOS opreme , saj so nekatere različice vdelane programske opreme na SSD omogočale oddaljeno izvajanje kode in najslabši z mojega vidika Intel Management Engine, ki je popolna odstopanja v zvezi z zasebnostjo in varnostjo, saj ni več pomembno, ali ima oprema šifriranje, zamegljenost ali kakršno koli vrsto AES strjevanja, kajti tudi če je računalnik izklopljen, vas bo IME zajebal.
In tudi paradoksalno je, da je Tinkpad X200 iz leta 2008, ki uporablja LibreBoot, varnejši od katerega koli trenutnega računalnika.
Najslabše v tej situaciji je, da nima rešitve, saj niti Intel, AMD, Nvidia, Gygabite ali kateri koli srednje znan proizvajalec strojne opreme ne bo izdal trenutne zasnove strojne opreme pod GPL ali katero koli drugo brezplačno licenco, kajti zakaj bi vlagali milijone dolarjev da nekdo drug kopira resnično idejo.
Čudovit kapitalizem.
Zelo resnično Kra 🙂 očitno je, da ste precej podkovani v varnostnih zadevah 😀, ker sta v resnici lastniška programska in strojna oprema skrb, a na žalost v zvezi s tem „utrjevanjem“ ni kaj dosti storiti, saj, kot pravite, to je tisto, kar uide skoraj vsem smrtnikom, razen tistim, ki poznajo programiranje in elektroniko.
Lep pozdrav in hvala za skupno rabo 🙂
Zelo zanimivo, zdaj bi bila vaja za vsak odsek dobra xD
Mimogrede, kako nevarno je, če dam Raspberry Pi in odprem vrata, potrebna za uporabo lastnega oblaka ali spletnega strežnika zunaj doma?
To me sicer zelo zanima, vendar ne vem, ali bom imel čas za pregled dnevnikov dostopa, občasno preverjanje varnostnih nastavitev itd itd ...
Odličen prispevek, hvala, ker ste delili svoje znanje.