Dokumentacija Sigurnost

Izvor: HrOpenWiki
Inačica od 17:57, 12. ožujka 2011. koju je unio/unijela Shrike (razgovor | doprinosi)

Skoči na: orijentacija, traži

UVOD

U današnje vrijeme kada broj Windows virusa prešao 1 000 000 (milijun), a internet sam za sebe postaje sve nesigurniji i nesigurniji, postavlja se pitanje koliko je zapravo sigurno naše računalo na kojem se vrti Linux, koja god da mu distribucija. Kada govorimo o sigurnosti moramo prihvatiti jednu neizbježnu činjenicu, a to je da je 100% sigurno računalo iznimno teško postići. Konkretno primjer Sigurnog Računala (tm) je ono koje zadovoljava slijedeće uvjete:

  1. Nije spojeno na internet.
  2. Nitko ga ne koristi.
  3. Zaključano je u sefu sa lokotom.
  4. U sobi su tri gladna dobermana.

Znači, zaključujemo da nema sigurnog računala, niti se 100% sigurnost može postići. Svatko tko tvrdi drugačije leže kao Sanader. Konkretno, sigurnost je inverzno proporcionalna jednostavnosti korištenja bilo kojeg operacijskog sustava. U grubo, sigurnosne rizike možemo postaviti u tri bitne skupine (koje se često isprepliću):

  1. Problemi koji vrebaju sa interneta.
  2. Problemi vezani za programe koji su instalirani.
  3. Ljudski faktor

Treća stavka je ona najopasnija. Razlog tome je da ljudi žele imati računalo podešeno što jednostavnijem korištenju, ali to znači da je sigurnosna razina izrazito nisko. Vrijedi i obrat po kontrapoziciji: što je sigurnost veća to je teže koristiti računalo. Pristup sigurnosti kojem se mora težiti je: Sigurnosna razina mora biti prilagođena realnoj potrebi. Ovaj tekst je edukativne prirode i ima eksplorativni pristup toj istoj edukaciji. To znači da neke stvari poput točnog postupka konfiguriranja programa i korištenja raznih tehnologija namjerno nisu opisani kako bi čitaoc sam otišao na internet (www.google.com) i proučio ono što je potrebno. Razlog zašto smatram ovo superiornim je taj što se sigurnosti računala ne može pristupiti na način da se u10 minuta pročita članak sa vikipedije i dodatno smatram da svatko tko čeka da mu netko drugi riješi problem ima preveliki ego i zaslužuje sve što mu se desi.


ZAŠTO SE BRINUTI O SIGURNOSTI SVOG RAČUNALA?

Vjerojatno se pitate zašto bi uopće osigurali svoje računalo? Pa vi nemate ništa što bi itko htio! Ovo nije istina. Vi imate računalo spojeno na internet što može pretvoriti vaše računalo u zombija ili proxy. Ovo prvo znači da će vaše računalo biti jedno od mnogih koje će se iskoristiti u napadu na neku web stranicu, primjerice neke vladine agencije ili firme ili portala u smislu prevencije rada istih. U drugom slučaju, da vaše računalo postane proxy, znači da vaš PC služi kao neizravna metoda napada neke treće osobe.

Primjerice, neka maliciozna osoba može preuzeti vaše računalo, a time i vaš identitet preko IP adrese te napasti neku metu po želji, sa time da će svi tragovi voditi do vas. Znači da napad na neku banku i puno ukradenih novaca ili održavanje pedofilske stranice mogu biti direktno povezani sa vama. Bi li rekli policiji onda: "Ja nemam ništa što drugi žele!".

Postoji još jedna situacija u kojoj je kritično imati sigurno računalo. U slučaju poslovnog računala ili računala u nekoj firmi vi imate povjerljive podatke. Ne smijete dopustiti da vam netko trivijalno jednostavno uzme sve poslovne podatke i planove. Evo konkretnog primjera kako sam preuzeo kontrolu nad linux i windows računalom u slučaju fizičkog pristupa. Riječ je o Windows 7 i Ubuntu OS-ovima. Oba OS-a su imali samo jednog korisnika sa limitiranim pristupom računalu preko kojeg se više osoba logira. Nitko nema mogućnosti ikakvih promjena u sustavu ili instalaciju programa.

Linux: restartam računalo i tokom GRUB boot logina pritišćem e i na kraju "linux" linije dodajem riječ "single". Ovo za posljedicu ima da me računalo direktno prebacilo u root shell account bez zahtjeva šifre (dobio sam administratorski pristup). Sada mogu dati bilo kakve ovlasti standardnom računu preko kojeg se logiram, dodati druge korisnike ili bilo što što želim. Rješenje sigurnosnog problema: enkripcija diska, šifra na BIOS i GRUB šifra.

Windows: Bootam računalo sa Linux live CD-a i instaliram program chntpw. Montiram Windows particiju i preko chntpw programa mijenjam ovlasti korisnika po želji iz "Limited account" u "Administrator". Restartam računalo u Windows i radim što želim bez ograničenja. Rješenje sigurnosnog problema: enkripcija diska, šifra na BIOS.



UPUTE i SMJERNICE

NAJBITNIJA ČETIRI SAVJETA


  1. Koristite firewall na routeru od DSL-a i Linuxov iptables bazirani firewall (Firestarter ili guarddog)
  2. Koristete enkripciju diska ili barem enkripciju važnih podataka. Pornjava nije važan podatak.
  3. Koristite neki od MLS/MAC sustava: SElinux, TOMOYO ili apparmor.
  4. Redoviti automatizirani backup



Lokalno računalo

Kompletna enkripcija diska je obavezatna stvar. Ovo štiti vaše računalo od ljudi koji imaju fizički pristup. Ovo nije pretjeran savjet, kao što gornja priča ilustrira. Uvijek imajte sve sigurnosne zakrpe instalirane na računalu. Linux je hvala bogu besplatan sustav i nema izlike. Također se sigurnosne zakrpe lagano instaliraju (1 klik). Nema izlike. Nikada, ali nikada ne raditi kao root korisnik. Uvijek koristite klasični UNIX ograničeni korisnik. To osigurava da potencijalni malware neće moć naškoditi sustavu. Za root potrebe koristite sudo ili su.

Obavezno radite sigurnosnu pohranu svih podataka (backup). Stavljajte sve na USB stick ili eksterni disk, NE na DVD/CD. DVD/CD je optička tehnologija koja se pokazala kao neadekvatna za backup je već nakon godine dana postoji visoka vjerojatnost da podatci neće biti čitljivi. Backup mediji MORA biti enkriptiran i držan pod ključem! Backup je najbolji ako je automatiziran jer ljudskoj ljenosti nema kraja. Dedicirani disk/USB stick i CRON job koji svakih nekoliko dana radi novi backup (znači ne prepisuje preko starog, već stvara kompletno novu kopiju) koji bi najzgodnije bilo raditi preko "delta" baziranog kopiranja. Pogledajte program koji se zove rsync i backup alate bazirane na njemu.

Kod stvaranja šifre za mail, kućno računalo ,... niti u ludilu nakon tuluma, nadrogiran i udaren u glavu nakon šake lexaurina ne koristiti šifre tipa: ja, datum rođenja, ime ljubimaca, imena djece, žene, ljubavnice, ljubavnika, cure, ili bilo koje normalne riječi iz bilo kojeg jezika.

Šifre su nasumični niz znakova, slova i brojeva uključujući. Nemojte koristiti specijalne znakove tipa “!(%$?!.

  • Primjer dobre šifre: G9erZd45Ql
  • Primjer loše šifre: quantum ili anita ili đuro.

Dobra šifra se može napraviti i lako zapamtiti:


Mrci7yo ====== My rusty car is 7 years old

2emBp1ib ===== 2 elephants make BAD pets, 1 is better

Nemojte davati ekstra prava na mape (foldere) kada nije potrebno imati ta prava. Konkretno, osigurajte da niti jedan korisnik ne može pogledati niti jedan drugi folder u /home osim vlastitog. Znači, ako je korisnik shrike, postoji datoteka /home/shrike i korisnik kao takav mora imati samo pravo vidjeti sadržaj tog foldera, ne i foldee drugih korisnika unutar /home direktorija. Pročitajte manual od chmod i chown programa. (U terminal ukucaj "man chmod" i "man chown" bez navodnika)


Multi Level Security

Zanimati će vas SElinux, apparmor i TOMOYO. SElinux je stvoren od strane NSA (National Security Agency) i predstavlja metodu osiguranja računala dostatnu za vojsku, CIA-u i slične organizacije.

Apparmor i TOMOYO su jednostavnije verzije Mandatory Access Control osiguranja. Konkretno ova tri sustava rade tako da stave dodatne restrikcije na programe koji se izvršavaju na računalu. Štos je u tome da se većina expolita programa (recimo Firefox) svodi na to da se program sa sigurnosnom rupom natjera da napravi nešto što uopće ne treba raditi ili mu nije svrha. MAC sustavi zapravo ograničavaju programe da rade takve stvari i dozvoljavaju samo ono što trebaju moć raditi. Konkretno, ukoliko je, recimo, TOMOYO dobro konfiguriran, nema veze što se pojavio exploit koji daje root ovlasti preko firefoxa. TOMOYO neće dozvoliti takve radnje jer nije potrebno Firefoxu koristiti naredbe tipa "su" ili igrati se sa sistemskim fajlovima.

SElinux, apparmor i TOMOYO se nalaze u kernelu. Ukoliko imate Fedoru imat će te i grafičko sučelje za SElinux te vam preporučam da ga konfigurirate. U ostalim slučajevima preporučam TOMOYO.

SVAKAKO INSTALIRAJTE I KONFIGURIRAJTE JEDAN OD OVIH ALATA.


Programi za ojačavanje sigurnosti

  • guarddog - KDE/qt firewall sa naprednim opcijama i filterima. Preporuke naprednijim korisnicima.
  • firestarter - GNOME/GTK++ firewall koji ima skrominiji set opcija, ali je zato lakše za koristiti.
  • bastille - aplikacija koja ojačava Linux sigurnost tako da zaustavlja nepotrebne servise ili mijenja njihove konfiguracije. Bastille sve radi interaktivno pa će te znati točno što se napravilo i malo se educirati.
  • tripwire - Tripwire je program koji stvara bazu podataka o instaliranim sistemskim datotekama i programima. Baza su zapravo kriptografski potpisi datoteka i ostali opisi. Kada se program pokrene, on napravi inicijalnu bazu i uspoređuje ju svaki idući put sa trenutnim stanjem. Ovime se postiže uvid u sve promjene na sustavu, te se može brže i lakše uvidjeti koje su promjene nastale. Ovo je iznimno korisno kod infekcija, namjernog mijenjanja sigurnosnih postavka (od nekog tko ima fizički pristup računalu ili sa mreže) ili čak moguće drugih grešaka na sustavu. Ovo je svakako program o kojem treba razmisliti.
  • snort - Snort je program za mrežnu analizu (Intrusion Detection System). On provjerava promet te traži tipične napade na IP razini ili preko programa. Traži sve neobične događaje i konkretne tipične situacije u sumnjivim okolnostima. Ovaj program je super zgodan za DSL računala. Lagano se konfigurira i koristi.Sposoban je primjetiti nmap analize, netBIOS zahtjeve, CGI napade i ostalo.
  • chkrootkit - provjerava da li postoji rootkit na računalu
  • GnuPG - Program za sigurnu komunikaciju i pohranjivanje. Ima dvije svrhe, prva je enkripcija podataka a druga je digitalno potpisivanje. Podržava DSA, RSA, Elgamal, AES (sa 128, 192, i 256 bitni ključevi), 3DES, Blowfish, CAST5, Twofish, MD5, RIPEMD/160, SHA-1, SHA-256, SHA-384, and SHA-512.

Dodatne informacije

Originalni dokument iz kojeg je ovo kopirano (od istog autora): 

Mediji:Linux sigurnost.pdf

--Shrike 12:14, 11. ožujka 2011. (UTC)

Dobavljeno iz "http://wiki.open.hr/w/index.php?title=Dokumentacija_Sigurnost&oldid=10814"