Врло добро за све, пре него што уђем у ваш тим, желим вам рећи да је инсталатер који развијам за Гентоо већ у фази пре алфа 😀 то значи да је прототип довољно робустан да га други могу тестирати корисницима, али истовремено је још дуг пут и повратне информације из ових фаза (пре-алфа, алфа, бета) помоћи ће у дефинисању важних карактеристика процеса 🙂 За оне који су заинтересовани ...
https://github.com/ChrisADR/installer
. Још увек имам верзију само на енглеском, али надам се да и за бета има свој превод на шпански (ово учим из рунтиме превода у питхону, тако да има још много тога да се открије)
Отврдњавање
Када причамо каљење, позивамо се на велику разноликост радњи или процедура које ометају приступ рачунарском систему или мрежи система. Управо зато је то огромна тема пуна нијанси и детаља. У овом чланку ћу навести неке од најважнијих или препоручених ствари које треба узети у обзир приликом заштите система, покушаћу да пређем са најкритичнијег на најмање критично, али без да се упуштам много у тему с обзиром на то да свака од ових тачака био би предмет сопственог чланка.
Физички приступ
Ово је несумњиво први и најважнији проблем за тимове, јер ако нападач има лак физички приступ тиму, они се већ могу рачунати као изгубљени тим. То се односи и на велике центре података и на преносне рачунаре унутар компаније. Једна од главних мера заштите за овај проблем су кључеви на нивоу БИОС-а, за све оне којима ово звучи ново, могуће је ставити кључ физичког приступа БИОС-у, на овај начин ако неко жели да измени параметре пријавите се и покрените рачунар из активног система, то неће бити лак посао.
Сада је ово нешто основно и то сигурно функционише ако је заиста потребно, био сам у неколико компанија у којима то није важно, јер верују да је сигурносни "чувар" врата више него довољан да може да избегне физички приступ . Али, идемо на мало напреднију тачку.
ЛУКС
Претпоставимо на тренутак да је „нападач“ већ стекао физички приступ рачунару, следећи корак је шифровање сваког постојећег чврстог диска и партиције. ЛУКС (Линук Унифиед Кеи Сетуп) То је спецификација шифрирања, између осталог ЛУКС омогућава да се партиција шифрира кључем, на тај начин, када се систем покрене, ако кључ није познат, партиција се не може монтирати или прочитати.
Парноја
Свакако постоје људи којима је потребан „максимални“ ниво сигурности, а то доводи до заштите и најмањег аспекта система, па, овај аспект достиже врхунац у језгру. Линук језгро је начин на који ће ваш софтвер ступити у интеракцију са хардвером. Ако спречите да софтвер „види“ хардвер, неће моћи наштетити опреми. Дајући пример, сви знамо колико је УСБ са вирусима „опасан“ када говоримо о Виндовс-у, јер засигурно УСБ може садржати код у Линуку који може или не мора бити штетан за систем ако језгро препознамо само као тип од усб-а (фирмваре-а) који желимо, било који други тип УСБ-а наш тим би једноставно игнорисао, нешто сигурно мало екстремно, али могло би да функционише у зависности од околности.
услуге
Када говоримо о услугама, прва реч која нам падне на памет је „надзор“, а то је нешто прилично важно, јер је једна од првих ствари коју нападач чини приликом уласка у систем одржавање везе. Извођење периодичне анализе долазних и посебно одлазних веза је веома важно у систему.
Иптаблес
Сад смо сви чули за иптаблес, то је алат који вам омогућава да генеришете правила уноса и изласка података на нивоу језгра, ово је свакако корисно, али је и мач са две оштрице. Многи људи верују да су „заштитним зидом“ већ ослобођени било које врсте уласка или изласка из система, али ништа није даље од истине, ово у многим случајевима може послужити само као плацебо ефекат. Познато је да заштитни зидови раде на основу правила, а њих се сигурно може заобићи или преварити тако да омогуће пренос података кроз луке и услуге за које би правила сматрала да су „дозвољена“, ствар је само у креативности 🙂
Стабилност у односу на отпуштање
Ово је прилично спорно питање на многим местима или у ситуацијама, али дозволите ми да објасним своје становиште. Као члан безбедносног тима који надгледа многе проблеме у стабилној грани наше дистрибуције, свестан сам многих, готово свих рањивости које постоје на Гентоо машинама наших корисника. Сада дистрибуције попут Дебиана, РедХат-а, СУСЕ-а, Убунту-а и многих других пролазе кроз исту ствар, а њихова времена реакције могу варирати у зависности од многих околности.
Идемо на јасан пример, сигурно су сви чули за Мелтдовн, Спецтре и читав низ вести које су ових дана летеле по Интернету, па, већина "ваљаних" грана језгра је већ закрпана, проблем лежи У доношењу тих исправки на старија језгра, бацкпорт је сигурно напоран и напоран посао. Након тога, програмери дистрибуције морају још да их тестирају, а када се тестирање заврши, биће доступно само нормалним корисницима. Шта желим да добијем са овим? Јер модел отпуштања захтева да знамо више о систему и начинима за његово спасавање ако нешто закаже, али то јесте добар, јер одржавање апсолутне пасивности у систему има неколико негативних ефеката и за администратора и за кориснике.
Упознајте свој софтвер
Ово је веома драгоцен додатак приликом управљања, ствари једноставне попут претплате на вести о софтверу који користите могу вам помоћи да унапред знате безбедносне напомене, на тај начин можете да генеришете план реакције и истовремено видите колико Потребно је време да свака дистрибуција реши проблеме, увек је боље бити проактиван у тим питањима, јер више од 70% напада на компаније врши застарели софтвер.
Рефлекион
Када људи говоре о очвршћавању, често се верује да је „заштићени“ тим доказ против свега и нема ништа лажније. Као што његов дословни превод указује, каљење подразумева отежавање ствари, А НЕ немогуће ... али много пута многи људи мисле да то укључује мрачну магију и многе трикове као што су џезве ... ово је додатак, али ако не можете да направите најосновније ствари попут ажурирања софтвера или језика програмирање ... нема потребе за стварањем фантомских мрежа и тимова са противмерама ... кажем ово јер сам видео неколико компанија где траже верзије ПХП 4 до 5 (очигледно укинуто) ... ствари за које се данас зна да имају стотине, ако не и хиљаде мана сигурност, али ако компанија не може да прати технологију, бескорисно је ако уради остало.
Такође, ако сви користимо бесплатни или отворени софтвер, време реакције на безбедносне грешке је обично прилично кратко, проблем долази када имамо посла са заштићеним софтвером, али то остављам за други чланак који се и даље надам да ћу ускоро написати.
Пуно вам хвала што сте дошли овде 🙂 поздрав
Одличан
Велико хвала 🙂 поздрав
Највише ми се свиђа једноставност бављења овим питањем, сигурност у ово време.Хвала, остаћу у Убунтуу докле год ми није пријеко потребан јер тренутно не заузимам партицију коју имам у оперативном систему Виндовс 8.1.Поздрав.
Здраво норма, сигурно су Дебиан и Убунту сигурносни тимови прилично ефикасни 🙂 Видео сам како невероватно брзо раде на случајевима и сигурно чине да се корисници осећају сигурно, бар да сам на Убунтуу, осећао бих се мало сигурније 🙂
Поздрав, и истина, то је једноставно питање ... сигурност више од мрачне уметности ствар је минималних критеријума 🙂
Пуно вам хвала на доприносу!
Врло занимљиво, посебно део издања Роллинг.
Нисам то узео у обзир, сада морам да управљам сервером са Гентоо-ом да бих видео разлике које имам са Девуан-ом.
Велики поздрав и пс да поделите овај унос на својим друштвеним мрежама како би ове информације дошле до више људи !!
Хвала!
Нема на чему, Алберто 🙂 Дуговао сам што сам први одговорио на захтев претходног блога удос, тако да поздрављам и сада да наставим са тим списком на чекању да напишем 🙂
Па, примените очвршћавање са спектром, било би то као да рачунар оставите рањивијим у случају употребе санбокинга, на пример. Занимљиво је да ће ваша опрема бити сигурнија од сабласти што мање сигурносних слојева нанесете ... знатижељно, зар не
ово ме подсећа на пример који би могао представити читав чланак ... коришћење -фсанитизе = адресе у компајлеру могло би нас навести да мислимо да би компајлирани софтвер био „сигурнији“, али ништа не може бити даље од истине, знам програмер који је покушао уместо да то уради са целим тимом ... испоставило се да је лакше напасти него један без употребе АСАН-а ... исто се односи на различите аспекте, користећи погрешне слојеве када не знате шта они учинити, више штети него не користити ништа 😛 Претпостављам да је то нешто на шта бисмо сви требали узети у обзир када покушавамо заштитити систем ... што нас враћа на чињеницу да ово није мрачна магија, већ пуки здрав разум 🙂 хвала на вашем доприносу
По мом гледишту, најозбиљнија рањивост изједначена са физичким приступом и људским грешкама и даље је хардвер, остављајући Мелтдовн и Спецтре по страни, јер се од давнина видело да су верзије црва ЛовеЛеттер написале код у БИОС-у опреме, јер су одређене верзије фирмвера на ССД-у омогућавале даљинско извршавање кода и најгори са моје тачке гледишта Интел Манагемент Енгине, што је потпуна аберација за приватност и сигурност, јер више није важно да ли опрема има АЕС шифрирање, замагљивање или било какво очвршћавање, јер чак и ако је рачунар искључен, ИМЕ ће вас зезнути.
А парадоксално је и да је Тинкпад Кс200 из 2008. године који користи ЛибреБоот сигурнији од било ког тренутног рачунара.
Најгора ствар у овој ситуацији је што она нема решење, јер ни Интел, АМД, Нвидиа, Гигабите или било који умерено познати произвођач хардвера неће издати под ГПЛ или било којом другом бесплатном лиценцом, тренутни хардверски дизајн, јер зашто улагати милиона долара да неко други копира праву идеју.
Прелепи капитализам.
Врло истинито Кра 🙂 очигледно је да сте прилично вјешти у сигурносним питањима 😀 јер су у ствари власнички софтвер и хардвер ствар бриге, али нажалост против тога се мало може учинити у вези са „отврдњавањем“, јер као што кажете, је нешто што избегава готово све смртнике, осим оних који познају програмирање и електронику.
Поздрав и хвала на дељењу 🙂
Врло занимљиво, сада би туториал за сваки одељак био добар кД
Успут, колико је опасно ако ставим Распберри Пи и отворим потребне портове за коришћење сопственог облака или веб сервера изван куће?
Ја сам прилично заинтересован, али не знам да ли ћу имати времена да прегледам евиденције приступа, с времена на време проверим сигурносна подешавања итд, итд ...
Одличан допринос, хвала што сте поделили своје знање.