Ero sivun ”Tietoturva” versioiden välillä
(→Rant) |
|||
Rivi 13: | Rivi 13: | ||
Pääkäyttäjällä tehtävät ylläpito-operaatiot suoritetaan ylläkuvatun kaltaisten riskien vuoksi yleensä sudo -ohjelmalla. Sudo tallentaa logiin joka kerta, kuka sitä käytti, ja mitä tämä suoritti. | Pääkäyttäjällä tehtävät ylläpito-operaatiot suoritetaan ylläkuvatun kaltaisten riskien vuoksi yleensä sudo -ohjelmalla. Sudo tallentaa logiin joka kerta, kuka sitä käytti, ja mitä tämä suoritti. | ||
Onkin hyvä luoda itselleen ns. normaali käyttäjätunnus ja antaa sille normaaliin käyttöön tarvittavat oikeudet. Esimerkiksi Debianissa normaalikäyttäjälle annetaan yleensä oikeudet video,audio,disk ja tty-ryhmiin, jolloin oikeudet riittävät mikserin, televisiokorttien/webkameroiden, levykkeiden ja sarjaportin käyttöön. Muitakin oikeuksia voidaan antaa ja ottaa pois käyttötarpeen mukaan. | |||
Lisäksi kiintolevyille voi tehdä osioita joille pääsee ainoastaan tietyt käyttäjät. | |||
== SELinux ja GRSecurity == | == SELinux ja GRSecurity == |
Versio 29. huhtikuuta 2005 kello 16.11
Rant
Linux-tietoturvaopas. Tietoturvassa on monesti kysymys asenteista, tosin onneksi Linuxille on erittäin vähän viruksia, spywarea ja muuta Windows-roskaa.
Kannattaa silti huolehtia järjestelmän tärkeimmät päivitykset ajantasalle. Lisävarmuuden tuomiseksi voi myös käyttää palomuuria, tcp-wrapperia, SELinuxia ja IDSia (eli hyökkäyksentunnistusjärjestelmiä).
Käyttöoikeushallinta
Oleellista Linuxin tietoturvassa on käyttöoikeushallinta. Pääkäyttäjänä (root) ei pidä tehdä mitään paitsi silloin kun on ehdoton pakko. Koska pääkäyttäjä ohittaa kaikki käyttöoikeustarkistukset, sillä on mahdollista tehdä erittäin paljon tuhoa.
Esimerkki Microsoft Windows -käyttöjärjestelmän tunteville
Jos yrität alustaa osion, jolla Windows on asennettuna, samalla kun käytät sitä, et voi näin tehdä, koska Windows ei siihen pysty/ei anna tehdä. Mutta samalla kun käytät Linuxia, on sinun myös mahdollista sotkea käyttöjärjestelmälevysi, koska Linux ei aseta tällaisia rajoituksia pääkäyttäjälle.
Pääkäyttäjällä tehtävät ylläpito-operaatiot suoritetaan ylläkuvatun kaltaisten riskien vuoksi yleensä sudo -ohjelmalla. Sudo tallentaa logiin joka kerta, kuka sitä käytti, ja mitä tämä suoritti.
Onkin hyvä luoda itselleen ns. normaali käyttäjätunnus ja antaa sille normaaliin käyttöön tarvittavat oikeudet. Esimerkiksi Debianissa normaalikäyttäjälle annetaan yleensä oikeudet video,audio,disk ja tty-ryhmiin, jolloin oikeudet riittävät mikserin, televisiokorttien/webkameroiden, levykkeiden ja sarjaportin käyttöön. Muitakin oikeuksia voidaan antaa ja ottaa pois käyttötarpeen mukaan.
Lisäksi kiintolevyille voi tehdä osioita joille pääsee ainoastaan tietyt käyttäjät.
SELinux ja GRSecurity
SELinux on patchi ("korjaus") joka mahdollistaa tarkemman auditoinnin ("turvallisuustarkastelut") järjestelmän suorittamien toimenpiteiden suhteen. Lähes kaikille tapahtumille on mahdollista määrittää "turvatasot". NSA on kehittänyt SELinuxin ja voimme olettaa että se täyttää siis erittäin korkean turvaluokituksen.
Säädettävyyden mukana tulee vaikeus; Kuka jaksaa säätää kaiken pilkkua viilaten. Tämä on SELinuxin suurin ongelma, sen käyttöönotto on erittäin työläs.
SELinux on 2.6 sarjan kernelissä ("ytimessä") mukana ja sen kehitys tapahtuu siinä ohessa. 2.4 sarjalaisiin tämä on saatavissa erillaisina patch-settinä ("korjaussarjoina").
GRSecurity on kilpaileva "tuote" joka ei ole mukana valtavirrassa, mutta se tekijän mukaan mahdollistaa vielä suuremmat tietoturva-tason säädöt.
Molemmat tuotteet ovat hyödyllisiä jos niille on tarvetta. Yleensä pärjätään normaaleillakin turva-asetuksilla. On hyvä että on olemassa vaihtoehtoja.
TCP-wrapper
TCP-wrapper on käyttöoikeuskirjasto, jolla voidaan määritellä monimutkaisempia sääntöjä, ketkä pääsevät mihinkin verkkopalveluun ottamaan yhteyttä. Komennolla ldd /polku/ohjelmistoon voi tarkistaa tukeeko palvelin-ohjelma TCP-wrapperia.
Säännöt rakentuvat niin, että ensin pitää kieltää kaikki hosts.deny tiedostossa ja sitten sallia yhteyksiä hosts.allow tiedostoon.
Esimerkki perussäädöistä, joissa sallitaan vain .fi verkko-osoitteiden yhteydenotto SSHD-palvelinohjelmistoon.
/etc/hosts.deny: SSHD: ALL
/etc/hosts.allow SSHD: .fi