Napakahusay sa lahat, bago ipasok ang hardening ng iyong koponan, nais kong sabihin sa iyo na ang installer na aking binubuo para sa Gentoo ay nasa yugto na bago ang alpha 😀 nangangahulugan ito na ang prototype ay sapat na matatag upang masubukan ng ibang mga gumagamit , ngunit sa parehong oras ay may mahabang paraan pa rin, at ang feedback mula sa mga yugtong ito (pre-alpha, alpha, beta) ay makakatulong na tukuyin ang mga mahahalagang tampok ng proseso 🙂 Para sa mga interesado…
https://github.com/ChrisADR/installer
. Mayroon pa akong bersyon na Ingles lamang, ngunit sana para sa beta mayroon na rin itong pagsasalin sa Espanya (natututunan ko ito mula sa mga pagsasalin ng runtime sa sawa, kaya marami pa ang matutuklasan)
Tumitigas
Kapag makipag-usap namin tungkol sa tigas na tigas, tumutukoy kami sa maraming iba't ibang mga aksyon o pamamaraan na humahadlang sa pag-access sa isang computer system, o network ng mga system. Iyon ang tiyak kung bakit ito ay isang malawak na paksa na puno ng mga nuances at mga detalye. Sa artikulong ito ay ililista ko ang ilan sa pinakamahalaga o inirekumendang bagay na isasaalang-alang kapag pinoprotektahan ang isang system, susubukan kong pumunta mula sa pinaka-kritikal hanggang sa hindi gaanong kritikal, ngunit nang hindi gaanong natutunaw sa paksa dahil ang bawat isa sa mga ito Itinuturo ito ay magiging paksa ng isang sariling artikulo.
Pisikal na pag-access
Ito ay walang alinlangan na ang una at pinakamahalagang problema para sa mga koponan, dahil kung ang umaatake ay may madaling pisikal na pag-access sa koponan, mabibilang na sila bilang isang nawalang koponan. Totoo ito sa parehong malalaking data center at laptop sa loob ng isang kumpanya. Ang isa sa mga pangunahing hakbang sa proteksyon para sa problemang ito ay ang mga susi sa antas ng BIOS, para sa lahat ng mga bago sa kanya, posible na maglagay ng isang susi sa pisikal na pag-access ng BIOS, sa ganitong paraan kung may nais na baguhin ang mga parameter ng pag-login at simulan ang computer mula sa isang live na system, hindi ito magiging isang madaling trabaho.
Ngayon ito ay isang bagay na pangunahing at tiyak na gagana ito kung talagang kinakailangan, napunta ako sa maraming mga kumpanya kung saan hindi ito mahalaga, sapagkat naniniwala silang ang security na "guwardya" sa pintuan ay higit pa sa sapat upang maiwasan ang pisikal na pag-access. Ngunit makarating tayo sa isang bahagyang mas advanced na punto.
luho
Ipagpalagay na para sa isang segundo na ang isang "magsasalakay" ay nakakuha ng pisikal na pag-access sa computer, ang susunod na hakbang ay i-encrypt ang bawat umiiral na hard drive at pagkahati. LUKS (Pinag-isang Pag-setup ng Key ng Linux) Ito ay isang detalye ng pag-encrypt, bukod sa iba pang mga bagay na pinapayagan ng LUKS ng isang pagkahati na naka-encrypt ng isang susi, sa ganitong paraan, kapag nagsimula ang system, kung ang key ay hindi alam, ang pagkahati ay hindi maaaring mai-mount o mabasa.
Paranoya
Tiyak na may mga tao na nangangailangan ng isang "maximum" na antas ng seguridad, at hahantong ito sa pag-iingat kahit na ang pinakamaliit na aspeto ng system, aba, ang aspektong ito ay umabot sa rurok nito sa kernel. Ang linux kernel ay ang paraan kung saan makikipag-ugnay ang iyong software sa hardware, kung pipigilan mo ang iyong software na "makita" ang hardware, hindi ito makakasama sa kagamitan. Upang magbigay ng isang halimbawa, alam nating lahat kung gaano "mapanganib" ang USB na may mga virus kapag pinag-uusapan natin ang tungkol sa Windows, dahil tiyak na ang USB ay maaaring maglaman ng code sa Linux na maaaring o hindi maaaring makapinsala sa isang system, kung gagawin nating makilala lamang ng kernel ang uri ng usb (firmware) na gusto namin, ang anumang iba pang uri ng USB ay hindi papansinin ng aming koponan, isang bagay na tiyak na medyo matindi, ngunit maaari itong gumana depende sa mga pangyayari.
mga serbisyo
Kapag pinag-uusapan natin ang tungkol sa mga serbisyo, ang unang salita na nasa isip namin ay "pangangasiwa", at ito ay isang bagay na lubos na mahalaga, dahil ang isa sa mga unang bagay na ginagawa ng isang umaatake kapag pumapasok sa isang sistema ay upang mapanatili ang koneksyon. Ang pagsasagawa ng pana-panahong pag-aaral ng mga papasok at lalo na ang mga papalabas na koneksyon ay napakahalaga sa isang system.
iptables
Ngayon, narinig nating lahat ang tungkol sa mga iptable, ito ay isang tool na nagpapahintulot sa pagbuo ng mga panuntunan sa pagpasok at paglabas sa antas ng kernel, tiyak na kapaki-pakinabang ito, ngunit ito rin ay isang dobleng talim ng tabak. Maraming mga tao ang naniniwala na sa pagkakaroon ng "firewall" malaya na sila mula sa anumang uri ng pagpasok o paglabas mula sa system, ngunit wala nang malayo sa katotohanan, maaari lamang itong magsilbing epekto ng placebo sa maraming mga kaso. Alam na ang mga firewall ay gumagana batay sa mga panuntunan, at ang mga ito ay maaaring tiyak na lampasan o malinlang sa pagpapahintulot sa data na maihatid sa pamamagitan ng mga daungan at serbisyo kung saan isasaalang-alang ng mga patakaran na "pinapayagan", isang bagay lamang sa pagkamalikhain 🙂
Katatagan vs rolling-release
Ngayon ito ay lubos na isang mapagtatalunan point sa maraming mga lugar o sitwasyon, ngunit hayaan mo akong ipaliwanag ang aking pananaw. Bilang isang miyembro ng isang pangkat ng seguridad na nagbabantay sa maraming mga isyu sa matatag na sangay ng aming pamamahagi, alam ko ang marami, halos lahat ng mga kahinaan sa mga Gentoo machine ng aming mga gumagamit. Ngayon, ang mga pamamahagi tulad ng Debian, RedHat, SUSE, Ubuntu at marami pang iba ay dumaan sa parehong bagay, at ang kanilang mga oras ng reaksyon ay maaaring mag-iba depende sa maraming mga pangyayari.
Pumunta tayo sa isang malinaw na halimbawa, tiyak na narinig ng lahat ang tungkol sa Meltdown, Spectre at isang buong serye ng balita na lumipad sa paligid ng internet sa mga panahong ito, na, ang pinakahuling "rolling-release" na sangay ng kernel ay na-patch na, ang problema ay nakasalalay Sa pagdadala ng mga pag-aayos sa mas matatandang mga kernel, ang pag-backport ay tiyak na mahirap at masipag. Ngayon pagkatapos nito, kailangan pa rin silang subukin ng mga tagabuo ng pamamahagi, at kapag nakumpleto ang pagsubok, magagamit lamang ito sa mga normal na gumagamit. Ano ang gusto kong makuha dito? Sapagkat ang modelo ng pag-roll-release ay nangangailangan sa amin upang malaman ang tungkol sa system at mga paraan upang iligtas ito kung may isang bagay na nabigo, ngunit iyon mabuti, dahil ang pagpapanatili ng ganap na pagiging passivity sa system ay may maraming mga negatibong epekto para sa parehong administrator at mga gumagamit.
Alamin ang iyong software
Ito ay isang napakahalagang karagdagan kapag namamahala, ang mga bagay na kasing simple ng pag-subscribe sa balita ng software na ginagamit mo ay makakatulong sa iyo na malaman nang maaga ang mga paunawa sa seguridad, sa ganitong paraan makakabuo ka ng isang plano sa reaksyon at sa parehong oras makita kung gaano Ito ay tumatagal ng oras para sa bawat pamamahagi upang malutas ang mga problema, ito ay palaging mas mahusay na maging maagap sa mga isyung ito dahil higit sa 70% ng mga pag-atake sa mga kumpanya ay isinasagawa ng hindi napapanahong software.
Panganganinag
Kapag pinag-uusapan ng mga tao ang tungkol sa pagtitigas, madalas na pinaniniwalaan na ang isang "masisilong" na koponan ay patunay laban sa lahat, at wala nang masama. Tulad ng ipahiwatig ng literal na pagsasalin nito, tigas na tigas nagpapahiwatig na ginagawang mas mahirap ang mga bagay, HINDI imposible ... ngunit maraming beses na maraming tao ang nag-iisip na nagsasangkot ito ng madilim na mahika at maraming mga trick tulad ng honeypots ... ito ay isang karagdagang, ngunit kung hindi mo magagawa ang pinaka-pangunahing bagay tulad ng pagpapanatili ng isang software o na-update na programa sa wika ... hindi na kailangang lumikha ng mga phantom network at mga koponan na may mga countermeasure ... Sinasabi ko ito dahil nakita ko ang maraming mga kumpanya kung saan humingi sila ng mga bersyon ng PHP 4 hanggang 5 (halatang hindi na natuloy) ... mga bagay na ngayon ay kilala na may daan-daang kung hindi libu-libong mga seguridad ng mga bahid, ngunit kung ang kumpanya ay hindi makakasabay sa teknolohiya, walang silbi kung gagawin nila ang natitira.
Gayundin, kung lahat tayo ay gumagamit ng libre o bukas na software, ang oras ng reaksyon para sa mga error sa seguridad ay kadalasang medyo maikli, ang problema ay dumating kapag nakikipag-usap tayo sa pagmamay-ari na software, ngunit iniiwan ko iyon para sa isa pang artikulo na inaasahan ko ring magsulat sa lalong madaling panahon.
Maraming salamat sa pagpunta dito 🙂 mga pagbati
Napakahusay
Maraming salamat 🙂 pagbati
Ang pinaka gusto ko ay ang pagiging simple sa pagharap sa isyung ito, seguridad sa mga oras na ito. Salamat mananatili ako sa Ubuntu hangga't hindi ito lubhang nangangailangan sapagkat hindi ko sinasakop ang pagkahati na mayroon ako sa windows 8.1 sa sandali. Pagbati.
Kamusta norma, tiyak na ang mga koponan ng seguridad ng Debian at Ubuntu ay lubos na mabisa have Nakita ko kung paano nila pinangangasiwaan ang mga kaso sa isang kamangha-manghang bilis at tiyak na pinapaligtas nila ang kanilang mga gumagamit, kahit na kung ako ay nasa Ubuntu, pakiramdam ko medyo mas ligtas ako 🙂
Pagbati, at totoo, ito ay isang simpleng isyu ... ang seguridad higit sa isang madilim na sining ay isang bagay ng pinakamaliit na pamantayan 🙂
Maraming salamat sa iyong kontribusyon!
Napakainteres, lalo na ang bahagi ng paglabas ng Rolling.
Hindi ko ito isinasaalang-alang, ngayon ay kailangan kong pamahalaan ang isang server na may Gentoo upang makita ang mga pagkakaiba na mayroon ako kay Devuan.
Isang malaking pagbati at ps upang maibahagi ang entry na ito sa aking mga social network upang ang impormasyon na ito ay maabot sa mas maraming tao !!
Salamat sa iyo!
Maligayang pagdating sa iyo Alberto 🙂 Utang ako sa pagiging unang sumagot sa kahilingan ng nakaraang mga blog udos kaya pagbati at ngayon upang magpatuloy sa nakabinbing listahan upang sumulat 🙂
Kaya, ang paglalapat ng hardening na may multo doon, ay tulad ng pag-iwan sa pc na mas mahina laban sa kaso ng paggamit ng sanboxing halimbawa. Nagtataka, ang iyong kagamitan ay magiging mas ligtas laban sa multo ng mas kaunting mga layer ng seguridad na inilalapat mo ... kakaiba, tama ba?
ito ay nagpapaalala sa akin ng isang halimbawa na maaaring magpakita ng isang buong artikulo ... gamit ang -fsanitize = address sa tagatala ay maaaring ipalagay sa amin na ang naipon na software ay magiging mas "ligtas", ngunit walang maaaring maging malayo sa katotohanan, alam ko ang isang developer na sumubok ng isang Sa halip na gawin ito sa buong koponan ... ito ay naging mas madaling atake kaysa sa isa nang hindi gumagamit ng ASAN ... ang parehong naaangkop sa iba't ibang mga aspeto, gamit ang maling mga layer kapag hindi mo alam kung ano ang kanilang gawin, ay mas nakakasira kaysa sa hindi paggamit ng anumang bagay na hulaan sa tingin ko iyan ang isang bagay na dapat nating isaalang-alang lahat kapag sinusubukang protektahan ang isang sistema ... na magbabalik sa atin sa katotohanang hindi ito isang madilim na mahika, ngunit simpleng bait 🙂 salamat para sa iyong input
Para sa aking pananaw, ang pinakaseryoso na kahinaan na ipinapantay sa pisikal na pag-access at error ng tao, ay ang hardware pa rin, na iniiwan ang Meltdown at Spectre, dahil ang mga dating panahon na ito ay nakita bilang mga pagkakaiba-iba ng LoveLetter worm na sumulat ng code sa BIOS ng kagamitan. , tulad ng ilang mga bersyon ng firmware sa SSD na pinapayagan ang pagpapatupad ng malayuang code at ang pinakapangit mula sa aking pananaw ng Intel Management Engine, na kung saan ay isang kumpletong aberration para sa privacy at seguridad, sapagkat hindi na mahalaga kung ang kagamitan ay may pag-encrypt ng AES, pagkalito o anumang uri ng hardening, dahil kahit na naka-off ang computer ang IME ay magpapalipat sa iyo.
At sa kabaligtaran din ng isang Tinkpad X200 mula 2008 na gumagamit ng LibreBoot ay mas ligtas kaysa sa anumang kasalukuyang computer.
Ang pinakapangit na bagay tungkol sa sitwasyong ito ay wala itong solusyon, dahil alinman sa Intel, AMD, Nvidia, Gygabite o anumang kathang kilalang tagagawa ng hardware ay magpapalabas sa ilalim ng GPL o anumang iba pang libreng lisensya, ang kasalukuyang disenyo ng hardware, sapagkat bakit mamuhunan ng milyong dolyar para sa ibang mangopya ng totoong ideya.
Magandang kapitalismo.
Tunay na totoo Kra is maliwanag na ikaw ay may husay sa mga usapin sa seguridad 😀 sapagkat sa katunayan ang pagmamay-ari ng software at hardware ay isang bagay ng pag-aalaga, ngunit sa kasamaang palad laban doon ay may maliit na kinalaman tungkol sa "pagpapatigas", dahil tulad ng sinasabi mo, iyon ay isang bagay na makatakas sa halos lahat ng mga mortal, maliban sa mga nakakaalam ng programa at electronics.
Pagbati at salamat sa pagbabahagi 🙂
Napaka-kawili-wili, ngayon isang tutorial para sa bawat seksyon ay magiging mabuti xD
Sa pamamagitan ng paraan, gaano mapanganib kung maglalagay ako ng isang Raspberry Pi at buksan ang mga kinakailangang port upang magamit ang sarilingcloud o isang web server mula sa labas ng bahay?
Medyo interesado ako ngunit hindi ko alam kung magkakaroon ba ako ng oras upang suriin ang mga log ng pag-access, tingnan ang mga setting ng seguridad paminsan-minsan, atbp atbp ...
Mahusay na kontribusyon, salamat sa pagbabahagi ng iyong kaalaman.