Shumë mirë për të gjithë, para se të futem në forcimin e ekipit tuaj, dua t'ju them se instaluesi që po zhvilloj për Gentoo tashmë është në fazën e tij para-alfa ... kjo do të thotë që prototipi është mjaft i fortë për t'u testuar nga të tjerët përdoruesit, por në të njëjtën kohë ka ende një rrugë të gjatë për të bërë, dhe reagimet nga këto faza (para-alfa, alfa, beta) do të ndihmojnë në përcaktimin e veçorive të rëndësishme të procesit 🙂 Për ata që janë të interesuar
https://github.com/ChrisADR/installer
. Unë ende kam versionin vetëm në anglisht, por shpresojmë që për beta tashmë të ketë përkthimin e tij spanjisht gjithashtu (unë jam duke e mësuar këtë nga përkthimet në kohën e duhur në python, kështu që ka akoma shumë për të zbuluar)
forcim
Kur flasim forcim, ne i referohemi një larmie të madhe veprimesh ose procedurash që pengojnë hyrjen në një sistem kompjuterik, ose rrjet të sistemeve. Pikërisht për këtë arsye është një temë e gjerë plot nuanca dhe detaje. Në këtë artikull unë do të rendis disa nga gjërat më të rëndësishme ose të rekomanduara për t'u marrë parasysh kur mbroni një sistem, do të përpiqem të kaloj nga më kritiket në më pak kritiket, por pa u thelluar shumë në temë pasi secila prej këtyre pikave do të ishte arsye për një artikull të vetin
Aksesi fizik
Ky është padyshim problemi i parë dhe më i rëndësishëm për ekipet, pasi që nëse sulmuesi ka qasje të lehtë fizike në ekip, ato tashmë mund të llogariten si një ekip i humbur. Kjo është e vërtetë si për qendrat e mëdha të të dhënave, ashtu edhe për laptopët brenda një kompanie. Një nga masat kryesore të mbrojtjes për këtë problem janë çelësat në nivelin BIOS, për të gjithë ata për të cilët kjo tingëllon e re, është e mundur të vendosni një çelës për qasjen fizike të BIOS, në këtë mënyrë nëse dikush dëshiron të modifikojë parametrat e identifikohuni dhe filloni kompjuterin nga një sistem i drejtpërdrejtë, nuk do të jetë një punë e lehtë.
Tani kjo është diçka themelore dhe sigurisht që funksionon nëse vërtet kërkohet, unë kam qenë në disa kompani ku kjo nuk ka rëndësi, sepse ata besojnë se "roje" e sigurisë së derës është më se e mjaftueshme për të qenë në gjendje të shmangë hyrjen fizike . Por le të shkojmë në një pikë pak më të përparuar.
FALEMINDERIT
Supozoni për një sekondë që një "sulmues" tashmë ka fituar qasje fizike në kompjuter, hapi tjetër është të kriptoni çdo hard disk dhe ndarje ekzistuese. LUKS (Konfigurimi i Çelësit të Unifikuar Linux) Isshtë një specifikim i kriptimit, ndër të tjera LUKS lejon që një ndarje të kriptohet me një çelës, në këtë mënyrë, kur fillon sistemi, nëse çelësi nuk dihet, ndarja nuk mund të montohet ose lexohet.
Paranojë
Sigurisht që ka njerëz që kanë nevojë për një nivel "maksimal" të sigurisë, dhe kjo çon në ruajtjen edhe të aspektit më të vogël të sistemit, mirëpo, ky aspekt arrin kulmin në bërthamë. Kerneli linux është mënyra në të cilën softueri juaj do të ndërveprojë me harduerin, nëse parandaloni që softueri juaj të "shohë" harduerin, ai nuk do të jetë në gjendje të dëmtojë pajisjet. Për të dhënë një shembull, të gjithë e dimë se sa e "rrezikshme" është USB me viruse kur flasim për Windows, sepse sigurisht që USB mund të përmbajë kod në Linux që mund të jetë i dëmshëm për një sistem, nëse bëjmë që kerneli të njohë vetëm llojin nga usb (firmware) që duam, çdo lloj tjetër USB thjesht do të injorohej nga ekipi ynë, diçka sigurisht pak ekstreme, por mund të funksionojë në varësi të rrethanave.
shërbimet
Kur flasim për shërbimet, fjala e parë që vjen në mendje është "mbikëqyrja", dhe kjo është diçka mjaft e rëndësishme, pasi një nga gjërat e para që një sulmues bën kur hyn në një sistem është të ruajë lidhjen. Kryerja e analizës periodike të lidhjeve hyrëse dhe veçanërisht dalëse është shumë e rëndësishme në një sistem.
Iptable
Tani, të gjithë kemi dëgjuar për iptables, është një mjet që ju lejon të gjeneroni rregulla të hyrjes dhe daljes së të dhënave në nivelin e bërthamës, kjo sigurisht që është e dobishme, por është gjithashtu një shpatë me dy tehe. Shumë njerëz besojnë se duke pasur "firewall" ata tashmë janë të lirë nga çdo lloj hyrje apo dalje nga sistemi, por asgjë nuk është më larg së vërtetës, kjo mund të shërbejë vetëm si efekt placebo në shumë raste. Dihet që firewall-et funksionojnë bazuar në rregulla, dhe këto sigurisht që mund të anashkalohen ose të mashtrohen duke lejuar që të dhënat të transportohen përmes porteve dhe shërbimeve për të cilat rregullat do ta konsideronin të "lejuara", kjo është thjesht një çështje e krijimtarisë ...
Stabiliteti vs lëshimi i rrotullimit
Tani kjo është një pikë mjaft e diskutueshme në shumë vende ose situata, por më lejoni të shpjegoj këndvështrimin tim. Si anëtar i një ekipi sigurie që vëzhgon shumë nga çështjet në degën e qëndrueshme të shpërndarjes sonë, unë jam i vetëdijshëm për shumë, pothuajse të gjitha dobësitë që ekzistojnë në makineritë e përdoruesve tanë Gentoo. Tani, shpërndarjet si Debian, RedHat, SUSE, Ubuntu dhe shumë të tjerë kalojnë të njëjtën gjë, dhe kohët e tyre të reagimit mund të ndryshojnë në varësi të shumë rrethanave.
Le të shkojmë në një shembull të qartë, me siguri të gjithë kanë dëgjuar për Meltdown, Spectre dhe një seri të tërë lajmesh që kanë fluturuar në internet këto ditë, mirë, dega më e "lëshimit të rrotullimit" të bërthamës është tashmë e arnuar, problemi qëndron Në sjelljen e atyre rregullimeve në bërthamat e vjetra, backporting është sigurisht punë e vështirë. Tani pas kësaj, ato ende duhet të testohen nga zhvilluesit e shpërndarjes dhe pasi të ketë përfunduar testimi, ai do të jetë në dispozicion vetëm për përdoruesit normalë. Çfarë dua të marr me këtë? Për shkak se modeli i lëshimit të rrotullimit kërkon që ne të dimë më shumë rreth sistemit dhe mënyrave për ta shpëtuar atë nëse diçka dështon, por kjo është mirë, sepse ruajtja e pasivitetit absolut në sistem ka disa efekte negative si për administratorin ashtu edhe për përdoruesit.
Di programin tënd
Kjo është një shtesë shumë e vlefshme kur menaxhoni, gjëra aq të thjeshta sa pajtimi në lajmet e softuerit që përdorni mund t'ju ndihmojnë të dini paraprakisht njoftimet e sigurisë, në këtë mënyrë ju mund të krijoni një plan reagimi dhe në të njëjtën kohë të shihni se sa Duhet kohë që çdo shpërndarje të zgjidhë problemet, është gjithmonë më mirë të jesh proaktiv në këto çështje, sepse më shumë se 70% e sulmeve ndaj kompanive kryhen nga softuerë të vjetëruar.
Reflektim
Kur njerëzit flasin për forcim, shpesh besohet se një ekip "i mbrojtur" është provë kundër gjithçkaje, dhe nuk ka asgjë më të rreme. Siç tregon përkthimi i saj fjalë për fjalë, forcim nënkupton bërjen e gjërave më të vështira, JO të pamundura ... por shumë herë shumë njerëz mendojnë se kjo përfshin magji të errët dhe shumë hile të tilla si vazot e mjaltit ... kjo është një shtesë, por nëse nuk mund të bëni gjërat më themelore si mbajtja e një programi ose gjuhe të azhurnuar programimi ... nuk ka nevojë për të krijuar rrjete fantastike dhe ekipe me kundërmasa ... Unë e them këtë sepse kam parë disa kompani ku ata kërkojnë versione të PHP 4 deri në 5 (dukshëm të ndërprera) ... gjëra që sot dihet se kanë qindra nëse jo mijëra të meta siguri, por nëse kompania nuk mund të ecë me teknologjinë, është e padobishme nëse ata bëjnë pjesën tjetër.
Gjithashtu, nëse të gjithë jemi duke përdorur softuer falas ose të hapur, koha e reagimit për gabime të sigurisë është zakonisht mjaft e shkurtër, problemi vjen kur kemi të bëjmë me softuer të pronarit, por këtë e lë për një artikull tjetër që ende shpresoj ta shkruaj së shpejti.
Faleminderit shumë për arritjen këtu ... përshëndetje
I shkëlqyer
Faleminderit shumë 🙂 përshëndetje
Ajo që më pëlqen më shumë është thjeshtësia kur merrem me këtë çështje, siguria në këto kohë. Faleminderit që do të qëndroj në Ubuntu për sa kohë që nuk është në nevojë të madhe, sepse nuk zë ndarjen që kam në dritaret 8.1 për momentin. Përshëndetje.
Përshëndetje norma, sigurisht që ekipet e sigurisë Debian dhe Ubuntu janë mjaft efikase 🙂 Unë kam parë se si ata trajtojnë rastet me një shpejtësi të mahnitshme dhe sigurisht që i bëjnë përdoruesit e tyre të ndjehen të sigurt, të paktën nëse do të isha në Ubuntu, do të ndihesha pak më e sigurt
Përshëndetje, dhe e vërtetë, është një çështje e thjeshtë ... siguria më shumë sesa një art i errët është çështje e kritereve minimale
Ju faleminderit shumë për kontributin tuaj!
Shumë interesante, veçanërisht pjesa e lëshimit të Rolling.
Nuk e kisha marrë parasysh atë, tani më duhet të menaxhoj një server me Gentoo për të parë ndryshimet që kam me Devuan.
Një urim i madh dhe ps për të shpërndarë këtë shënim në rrjetet e mia sociale në mënyrë që ky informacion të arrijë më shumë njerëz !!
Ju faleminderit!
Ju mirëpresim Alberto 🙂 Unë isha në borxh për të qenë i pari që iu përgjigj kërkesës së blogut të mëparshëm përshëndetje dhe tani për të vazhduar me atë listë në pritje për të shkruar
Epo, aplikimi i forcimit me spektër atje, do të ishte si ta linit kompjuterin më të prekshëm në rast të përdorimit të sanboxing për shembull. Çuditërisht, pajisjet tuaja do të jenë më të sigurta kundër spektrit aq më pak shtresa sigurie që aplikoni ... kurioz, apo jo?
kjo më kujton një shembull që mund të paraqesë një artikull të tërë ... përdorimi i -fsanitize = adresa në përpilues mund të na bëjë të mendojmë se programi i përpiluar do të ishte më "i sigurt", por asgjë nuk mund të ishte më larg së vërtetës, unë njoh një zhvillues i cili provoi një Në vend që ta bëjmë atë me të gjithë ekipin ... doli të ishte më e lehtë për të sulmuar sesa një pa përdorur ASAN ... e njëjta gjë vlen në aspekte të ndryshme, duke përdorur shtresa të gabuara kur nuk e dini se çfarë bëjnë, është më e dëmshme sesa të mos përdorni asgjë shkoj Unë mendoj se kjo është ajo diçka që të gjithë duhet ta kemi parasysh kur përpiqemi të mbrojmë një sistem ... i cili na kthen në faktin se kjo nuk është magji e errët, por thjesht sens i shëndoshë ... faleminderit për kontributin tuaj
Për këndvështrimin tim, cenueshmëria më serioze e barazuar me aksesin fizik dhe gabimin njerëzor, është akoma hardueri, duke lënë mënjanë Meltdown dhe Specter, që nga kohërat e vjetra është parë që variante të krimbit LoveLetter shkruanin kod në BIOS të pajisje, pasi disa versione të firmuerit në SSD lejuan ekzekutimin e kodit në distancë dhe më e keqja nga këndvështrimi im, Motor Management Intel, i cili është një devijim i plotë për privatësinë dhe sigurinë, sepse nuk ka më rëndësi nëse pajisjet kanë enkriptim AES, ngatërrim ose ndonjë lloj forcimi, sepse edhe nëse kompjuteri është i fikur IME do të të vidhosë.
Dhe gjithashtu në mënyrë paradoksale një Tinkpad X200 nga 2008 që përdor LibreBoot është më i sigurt se çdo kompjuter aktual.
Gjëja më e keqe në lidhje me këtë situatë është se ajo nuk ka zgjidhje, sepse as Intel, AMD, Nvidia, Gygabite apo ndonjë prodhues i pajisjes moderuar i njohur nuk do të lëshojë nën GPL ose ndonjë licencë tjetër falas, modelin aktual të pajisjes, sepse pse të investosh milion dollarë që dikush tjetër të kopjojë idenë e vërtetë.
Kapitalizëm i bukur.
Kra shumë e vërtetë 🙂 është e qartë që ju jeni mjaft të aftë në çështjet e sigurisë 😀 sepse në fakt softueri dhe hardueri i pronarit janë çështje kujdesi, por fatkeqësisht kundër kësaj ka shumë pak për të bërë në lidhje me “forcimin”, pasi siç thuani ju, kjo është diçka që u shpëton pothuajse të gjithë njerëzve, përveç atyre që dinë programim dhe elektronikë.
Përshëndetje dhe faleminderit për ndarjen
Shumë interesante, tani një udhëzues për secilin seksion do të ishte i mirë xD
Nga rruga, sa e rrezikshme është nëse vendos një Raspberry Pi dhe hap portet e nevojshme për të përdorur owncloud ose një server interneti nga jashtë shtëpisë?
Thatshtë se unë jam mjaft i interesuar, por nuk e di nëse do të kem kohë të rishikoj regjistrat e hyrjes, të shikoj rregullimet e sigurisë herë pas here, etj etj ...
Kontribut i shkëlqyeshëm, faleminderit për ndarjen e njohurive tuaja.