對每個人都非常好,在加強您的團隊之前,我想告訴您,我為Gentoo開發的安裝程序已經處於預Alpha階段😀這意味著該原型足夠強大,可以被其他用戶測試,但同時還有很長的路要走,這些階段(pre-alpha,alpha,beta)的反饋將有助於定義流程的重要特徵🙂對於感興趣的人...
https://github.com/ChrisADR/installer
。 我仍然只有英文版本,但希望在Beta版中也已經有其西班牙語翻譯(我正在從python的運行時翻譯中學習,因此仍有很多發現)
硬化
當我們談論 硬化,我們指的是各種阻礙訪問計算機系統或系統網絡的動作或過程。 這就是為什麼它是一個充滿細微差別和細節的廣闊主題的原因。 在本文中,我將列出一些在保護系統時要考慮的最重要或推薦的事項,我將嘗試從最重要的事項轉變為最不重要的事項,但由於其中的每一項都沒有涉及太多主題指出這將是它自己的文章主題。
物理通道
對於團隊來說,這無疑是第一個也是最重要的問題,因為如果攻擊者可以輕鬆地與團隊進行物理接觸,那麼他們就可以算作失去的團隊了。 公司中的大型數據中心和便攜式計算機都是如此。 針對此問題的主要保護措施之一是在BIOS級別上使用密鑰,對於所有聽起來較新的用戶,都可以將密鑰用於BIOS的物理訪問,如果有人要修改登錄名,則可以這樣做並從實時系統啟動計算機,這並非易事。
現在這是基本的東西,如果確實需要,它肯定可以工作,我去過幾家公司都沒關係,因為他們認為門的安全“防護裝置”足以避免物理訪問。 但是,讓我們談談更高級的內容。
LUKS
假設有一秒鐘,“攻擊者”已經獲得了對計算機的物理訪問權,下一步是對每個現有的硬盤驅動器和分區進行加密。 盧克斯(Linux統一密鑰設置) 它是一個加密規範,除其他外,LUKS允許使用密鑰對分區進行加密,這樣,當系統啟動時,如果密鑰未知,則無法安裝或讀取該分區。
偏執狂
當然,有些人需要“最大”級別的安全性,這甚至可以保護系統的最小方面,這一方面在內核中達到了頂峰。 linux內核是您的軟件與硬件交互的方式,如果您阻止軟件“看到”硬件,則它將無法損害設備。 舉個例子,當我們談論Windows時,我們都知道帶病毒的USB有多“危險”,因為如果我們使內核僅識別類型,那麼USB肯定會包含Linux中可能對系統有害的代碼。對於我們想要的usb(固件)而言,我們團隊會完全忽略任何其他類型的USB,這確實有些極端,但是它可能會根據情況而起作用。
服務
當我們談論服務時,首先想到的是“監督”,這很重要,因為攻擊者進入系統時要做的第一件事就是保持連接。 在系統中,對傳入連接(尤其是傳出連接)進行定期分析非常重要。
iptables的
現在,我們都聽說過iptables,它是一個允許在內核級別生成用於輸入和離開數據的規則的工具,這固然有用,但它也是一把雙刃劍。 許多人認為,有了“防火牆”,他們已經不受系統的任何類型的進入或退出,但事實並非如此,這在許多情況下只能起到安慰劑的作用。 眾所周知,防火牆是基於規則工作的,可以繞開或誘騙這些防火牆,以允許數據通過規則認為允許的端口和服務進行傳輸,這只是創造力的問題
穩定性與滾動釋放
現在,在許多地方或情況下,這是一個頗有爭議的觀點,但讓我解釋一下我的觀點。 作為負責監視我們發行版穩定分支中許多問題的安全團隊的成員,我知道用戶的Gentoo機器上存在許多幾乎所有的漏洞。 現在,Debian,RedHat,SUSE,Ubuntu等發行版都經歷了同樣的事情,它們的響應時間可能會根據許多情況而有所不同。
讓我們看一個明確的例子,這幾天肯定每個人都聽說過Meltdown,Spectre和一系列在互聯網上流傳的新聞,好吧,內核中最“滾動發布”的分支已經被修補了,問題出在在將這些修補程序引入較舊的內核時,反向移植無疑是一項艱鉅的工作。 現在,它們仍然必須由發行版的開發人員進行測試,一旦測試完成,它將僅對普通用戶可用。 我想從中得到什麼? 因為滾動發布模型需要我們更多地了解系統以及在出現故障時如何對其進行挽救,但這就是 好,因為在系統中保持絕對被動性對管理員和用戶都有若干負面影響。
了解您的軟件
這在管理時是非常有價值的補充,訂閱您所使用的軟件的新聞之類的簡單操作可以幫助您提前了解安全注意事項,從而可以生成響應計劃並同時查看有多少每個發行版都需要花費一些時間來解決問題,因此主動解決這些問題總會更好,因為超過70%的公司攻擊是由過時的軟件進行的。
反射
當人們談論強化時,通常認為“受過庇護”的團隊可以證明一切,而沒有什麼比這更虛假了。 正如其直譯所示, 硬化 意味著使事情變得更加困難,並非並非不可能……但是很多時候,很多人認為這涉及到黑魔法和諸如蜜罐之類的許多技巧……這是附加的,但是如果您不能做最基本的事情,例如保留軟件或語言更新的編程...無需創建具有幻影的幻影網絡和團隊...之所以這樣說,是因為我見過多家公司要求提供PHP 4至5版本(顯然已經停產)...今天的事情眾所周知,它們具有數百甚至數千個缺陷的安全性,但是如果公司無法跟上技術發展的步伐,那麼其餘的工作就毫無用處。
另外,如果我們都在使用自由軟件或開放軟件,那麼對安全錯誤的反應時間通常會很短,當我們使用專有軟件時,問題就來了,但我將其留給我仍然希望盡快寫。
非常感謝您來到這裡🙂問候
EXCELENTE
非常感謝🙂
我最喜歡的是在這個時候處理此問題時的簡單性,安全性。謝謝您,只要我不佔用Windows 8.1上的分區,只要沒有迫切需要,我都會留在Ubuntu。片刻,問候。
您好,規範,Debian和Ubuntu安全團隊肯定是非常高效的🙂我已經看到他們以驚人的速度處理案件了,他們當然使用戶感到安全,至少在我使用Ubuntu的情況下,我會感到更加安全🙂
問候,是的,這確實是一個簡單的問題。安全性勝於一門黑手藝,這是最低標準🙂
非常感謝您的貢獻!
非常有趣,尤其是Rolling版本的一部分。
我沒有考慮到這一點,現在我必須使用Gentoo管理服務器,以查看與Devuan的區別。
致以誠摯的問候和ps,以便在我的社交網絡中分享此條目,以便使此信息傳播給更多人!
格拉西亞斯!
不客氣,阿爾貝托(Alberto)🙂我因第一個回答上一個博客的請求而負債累累🙂致以問候,現在繼續寫那個待定清單🙂
好吧,在那裡使用幽靈進行硬化處理,就好比在使用Sanboxing的情況下使PC更加脆弱。 奇怪的是,您的設備將在應用的安全層越少的情況下更安全,不會發臭……好笑,對嗎?
這讓我想起了一個可以呈現整篇文章的示例...在編譯器中使用-fsanitize = address可能使我們認為編譯後的軟件將更加“安全”,但事實並非如此,我知道一位嘗試過“而不是與整個團隊一起使用”的開發人員……事實證明,與不使用ASAN進行攻擊相比,它更容易受到攻擊……同樣適用於各個方面,當您不知道什麼時使用錯誤的層它們確實比沒有使用任何東西更具破壞性。我想這就是我們在嘗試保護系統時應該考慮的事情……這使我們回到了事實,這不是黑魔法,而僅僅是常識🙂感謝您的輸入
以我的觀點,與物理訪問和人為錯誤相當的最嚴重的漏洞仍然是硬件,而將Meltdown和Spectre放在了一邊,因為自古以來就已經看到LoveLetter蠕蟲的變體在設備的BIOS中編寫了代碼。 ,因為固態硬盤中的某些固件版本允許遠程執行代碼,從我的角度來看,最糟糕的是英特爾管理引擎,這是對隱私和安全性的完全反常,因為無論設備是否經過AES加密,混淆或其他任何形式都不再重要加固,因為即使關閉計算機,IME也會給您帶來麻煩。
同樣自相矛盾的是,使用LibreBoot的200 Tinkpad X2008比任何當前的計算機都更安全。
這種情況最糟糕的是,它沒有解決方案,因為英特爾,AMD,Nvidia,Gygabite或任何知名的硬件製造商都不會根據GPL或任何其他免費許可發布當前的硬件設計,因為為什麼要投資一百萬美元讓別人復制真實想法。
美麗的資本主義。
確實,您確實很精通安全性問題😀因為實際上專有軟件和硬件是您需要注意的問題,但是不幸的是,關於“強化”的工作很少,因為正如您所說,除了那些懂編程和電子學的人,幾乎所有凡人都逃脫了。
問候和感謝分享sharing
非常有趣,現在每個部分的教程都是不錯的xD
順便說一句,如果我放置Raspberry Pi並打開必要的端口以從家中使用owncloud或Web服務器有多危險?
就是我對此很感興趣,但是我不知道我是否有時間查看訪問日誌,不時檢查安全設置等等。
非常感謝您分享您的知識。