Mycket bra för alla, innan jag går in i härdningen av ditt team, vill jag berätta att installationsprogrammet som jag utvecklar för Gentoo redan är i sin pre-alfa-fas 😀 det betyder att prototypen är tillräckligt robust för att testas av andra användare , men samtidigt är det fortfarande en lång väg att gå, och återkopplingen från dessa steg (pre-alfa, alfa, beta) kommer att hjälpa till att definiera viktiga funktioner i processen 🙂 För intresserade ...
https://github.com/ChrisADR/installer
. Jag har fortfarande den enda engelska versionen, men förhoppningsvis för beta har den redan sin spanska översättning också (jag lär mig detta från runtime-översättningarna i python, så det finns fortfarande mycket att upptäcka)
härdning
När vi pratar om härdning, vi hänvisar till en mängd olika åtgärder eller procedurer som hindrar åtkomst till ett datorsystem eller nätverk av system. Det är just därför det är ett stort ämne fullt av nyanser och detaljer. I den här artikeln kommer jag att lista några av de viktigaste eller rekommenderade sakerna att ta hänsyn till när jag skyddar ett system, jag kommer att försöka gå från det mest kritiska till det minst kritiska, men utan att fördjupa mig mycket i ämnet eftersom var och en av dessa påpekar att det skulle vara föremål för en egen artikel.
Fysisk tillgång
Detta är utan tvekan det första och viktigaste problemet för lag, eftersom om angriparen har lätt fysisk tillgång till laget kan de redan räknas som ett förlorat lag. Detta gäller både stora datacenter och bärbara datorer inom ett företag. En av de viktigaste skyddsåtgärderna för detta problem är nycklarna på BIOS-nivå, för alla som det låter nytt för är det möjligt att sätta en nyckel till BIOS: s fysiska åtkomst, på detta sätt om någon vill ändra parametrar för inloggning och starta datorn från ett live system, blir det inte ett enkelt jobb.
Nu är detta något grundläggande och det fungerar verkligen om det verkligen krävs, jag har varit i flera företag där detta inte spelar någon roll, för de tror att säkerhetsvakt vid dörren är mer än tillräckligt för att förhindra fysisk åtkomst. Men låt oss komma till en lite mer avancerad punkt.
LUKS
Antag för en sekund att en "angripare" redan har fått fysisk åtkomst till datorn, nästa steg är att kryptera varje befintlig hårddisk och partition. LUKS (Linux Unified Key Setup) Det är en krypteringsspecifikation, bland annat LUKS tillåter att en partition krypteras med en nyckel, på detta sätt, när systemet startar, om nyckeln inte är känd, kan partitionen inte monteras eller läsas.
Paranoia
Visst finns det människor som behöver en "maximal" säkerhetsnivå, och detta leder till att skydda även den minsta aspekten av systemet, ja, den här aspekten når sin topp i kärnan. Linux-kärnan är det sätt på vilket din programvara kommer att interagera med hårdvaran. Om du hindrar din programvara från att "se" hårdvaran kan den inte skada utrustningen. För att ge ett exempel vet vi alla hur "farlig" USB med virus är när vi pratar om Windows, för USB kan verkligen innehålla kod i Linux som kan eller inte kan vara skadligt för ett system, om vi bara gör att kärnan känner igen typen av USB (firmware) som vi vill ha, skulle alla andra typer av USB helt enkelt ignoreras av vårt team, något som verkligen är extremt, men det kan fungera beroende på omständigheterna.
tjänster
När vi pratar om tjänster är det första ordet som kommer att tänka på "övervakning", och detta är något ganska viktigt, eftersom en av de första sakerna som en angripare gör när man går in i ett system är att upprätthålla anslutningen. Att utföra periodiska analyser av inkommande och särskilt utgående anslutningar är mycket viktigt i ett system.
iptables
Nu har vi alla hört talas om iptables, det är ett verktyg som låter dig generera datainmatnings- och utgångsregler på kärnnivå, det här är verkligen användbart, men det är också ett tveeggat svärd. Många tror att genom att ha "brandväggen" är de fria från alla typer av in- eller utträde från systemet, men ingenting är längre ifrån sanningen, detta kan bara fungera som en placeboeffekt i många fall. Det är känt att brandväggar fungerar baserat på regler, och dessa kan säkert kringgås eller luras för att tillåta data att transporteras genom hamnar och tjänster för vilka reglerna anser att de är "tillåtna", det är bara en fråga om kreativitet 🙂
Stabilitet vs rullande release
Det här är en ganska omstridd punkt på många ställen eller situationer, men låt mig förklara min synvinkel. Som medlem i ett säkerhetsteam som övervakar många av problemen i vår stabila gren är jag medveten om många, nästan alla sårbarheter som finns på våra användares Gentoo-maskiner. Nu går distributioner som Debian, RedHat, SUSE, Ubuntu och många andra igenom samma sak, och deras reaktionstider kan variera beroende på många omständigheter.
Låt oss gå till ett tydligt exempel, alla har säkert hört talas om Meltdown, Spectre och en hel serie nyheter som har flög runt på internet dessa dagar, ja, den mest "rullande release" -grenen av kärnan är redan lappad, problemet ligger När du fixar dessa korrigeringar till äldre kärnor är backporting verkligen hårt och hårt arbete. Nu efter det måste de fortfarande testas av utvecklarna av distributionen, och när testningen är klar kommer den bara att vara tillgänglig för vanliga användare. Vad vill jag få med det här? Eftersom roll-release-modellen kräver att vi vet mer om systemet och sätt att rädda det om något misslyckas, men det är bra, eftersom att upprätthålla absolut passivitet i systemet har flera negativa effekter för både administratören och användarna.
Känn din programvara
Detta är ett mycket värdefullt tillskott när du hanterar saker så enkelt som att prenumerera på nyheterna om programvaran du använder kan hjälpa dig att känna till säkerhetsmeddelandena på förhand, på detta sätt kan du skapa en reaktionsplan och samtidigt se hur mycket Det tar tid för varje distribution att lösa problemen, det är alltid bättre att vara proaktiv i dessa frågor eftersom mer än 70% av attackerna på företag utförs av föråldrad programvara.
Reflektion
När folk pratar om härdning tror man ofta att ett "skyddat" team är ett bevis mot allt, och det finns inget mer falskt. Som dess bokstavliga översättning indikerar, härdning innebär att göra saker svårare, INTE omöjligt ... men många gånger tycker många att detta innebär mörk magi och många knep som honungspottar ... det här är ett tillägg, men om du inte kan göra de mest grundläggande sakerna som att hålla en programvara eller språkuppdaterad programmering ... det finns inget behov av att skapa fantomenätverk och team med motåtgärder ... Jag säger detta eftersom jag har sett flera företag där de ber om versioner av PHP 4 till 5 (uppenbarligen avbrutna) ... saker som idag är kända för att ha hundratals om inte tusentals brister, men om företaget inte kan följa med tekniken är det värdelöst om de gör resten.
Om vi alla använder gratis eller öppen programvara är reaktionstiden för säkerhetsfel vanligtvis ganska kort, problemet uppstår när vi har att göra med egen programvara, men jag lämnar den till en annan artikel som jag fortfarande hoppas kunna skriva snart.
Tack så mycket för att du kom hit 🙂 hälsningar
Utmärkt
Tack så mycket 🙂 hälsningar
Det som jag gillar mest är enkelheten när jag hanterar den här frågan, säkerhet i dessa tider. Tack. Jag kommer att stanna i Ubuntu så länge det inte är i stort behov eftersom jag inte ockuperar den partition som jag har vid Windows 8.1 på ögonblick. hälsningar.
Hej Norm, säkerligen är säkerhetslagen för Debian och Ubuntu ganska effektiva 🙂 Jag har sett hur de hanterar ärenden i en fantastisk hastighet och de får verkligen sina användare att känna sig säkra, åtminstone om jag var på Ubuntu skulle jag känna mig lite säkrare 🙂
Hälsningar, och sant, det är en enkel fråga ... säkerhet mer än en mörk konst är en fråga om minimikriterier 🙂
Tack så mycket för ditt bidrag!
Mycket intressant, särskilt delen av Rolling-utgåvan.
Jag hade inte tagit hänsyn till det, nu måste jag hantera en server med Gentoo för att se skillnaderna jag har med Devuan.
En stor hälsning och ps att dela denna post i mina sociala nätverk så att denna information når fler människor !!
Tack!
Du är välkommen Alberto 🙂 var i skuld för att vara den första som svarade på förra bloggens begäran 🙂 så hälsningar och nu fortsätta med den väntande listan för att skriva 🙂
Tja, att applicera härdning med spöken där ute, skulle vara som att lämna datorn mer sårbar vid exempelvis användning av sanboxing. Märkligt nog kommer din utrustning att vara säkrare mot spöken ju mindre säkerhetslager du använder ... roligt, eller hur?
detta påminner mig om ett exempel som kan presentera en hel artikel ... att använda -fsanitize = adress i kompilatorn kan få oss att tro att den kompilerade programvaran skulle vara säkrare, men ingenting kan vara längre ifrån sanningen, jag vet en utvecklare som försökte en I stället för att göra det med hela teamet ... det visade sig vara lättare att attackera än en utan att använda ASAN ... detsamma gäller i olika aspekter, med fel lager när du inte vet vad de gör det, är mer skadligt än att inte använda någonting, jag antar att det är något vi alla bör tänka på när vi försöker skydda ett system ... vilket leder oss tillbaka till det faktum att detta inte är mörk magi utan bara sunt förnuft 🙂 tack för din inmatning
Enligt min åsikt är den allvarligaste sårbarheten som likställs med fysisk åtkomst och mänskliga fel fortfarande hårdvaran, vilket lämnar Meltdown och Spectre åt sidan, eftersom man sedan tidigare har sett att varianter av LoveLetter-masken skrev kod i BIOS för utrustningen , eftersom vissa firmwareversioner i SSD tillät fjärrkörning av koden och det värsta ur min synvinkel Intel Management Engine, vilket är en fullständig avvikelse för sekretess och säkerhet, eftersom det inte längre betyder något om utrustningen har AES-kryptering, fördunkling eller något slag av härdning, för även om datorn är avstängd kommer IME att skruva på dig.
Och paradoxalt nog är en Tinkpad X200 från 2008 som använder LibreBoot säkrare än någon aktuell dator.
Det värsta med denna situation är att den inte har någon lösning, för varken Intel, AMD, Nvidia, Gygabite eller någon måttligt känd hårdvarutillverkare kommer att släppa under GPL eller någon annan gratis licens, den nuvarande hårdvarudesignen, för varför investera miljoner dollar för någon annan att kopiera den sanna idén.
Vacker kapitalism.
Mycket sant Kra 🙂 det är uppenbart att du är ganska skicklig i säkerhetsfrågor 😀 eftersom faktiskt egen mjukvara och hårdvara är en fråga om vård, men tyvärr mot det finns det lite att göra med "härdning", eftersom du säger, det är något som rymmer nästan alla dödliga, utom de som kan programmering och elektronik.
Hälsningar och tack för att ni delar 🙂
Mycket intressant, nu skulle en handledning för varje avsnitt vara bra xD
Förresten, hur farligt är det om jag placerar en Raspberry Pi och öppnar nödvändiga portar för att använda owncloud eller en webbserver utanför hemmet?
Det är att jag är ganska intresserad men jag vet inte om jag kommer att ha tid att granska åtkomstloggar, kontrollera säkerhetsinställningarna då och då, etc etc ...
Utmärkt bidrag, tack för att du delar din kunskap.