Ero sivun ”Tietoturva” versioiden välillä

Linux.fista
Siirry navigaatioon Siirry hakuun
Rivi 1: Rivi 1:
== Rant ==
== Rant ==
Tietoturvassa on monesti kysymys asenteista, tosin onneksi Linuxille on erittäin vähän viruksia, spywarea ja muuta [http://www.microsoft.com Windows-roskaa.]
Tietoturvassa on monesti kysymys asenteista, tosin onneksi Linuxille on erittäin vähän viruksia ja spywarea.


Kannattaa silti huolehtia järjestelmän tärkeimmät päivitykset ajantasalle. Lisävarmuuden tuomiseksi voi myös käyttää [[Palomuurit|palomuuria]], tcp-wrapperia, SELinuxia ja IDSia (eli hyökkäyksentunnistusjärjestelmiä).
Kannattaa silti huolehtia järjestelmän tärkeimmät päivitykset ajantasalle. Lisävarmuuden tuomiseksi voi myös käyttää [[Palomuurit|palomuuria]], tcp-wrapperia, SELinuxia ja IDSia (eli hyökkäyksentunnistusjärjestelmiä).

Versio 16. helmikuuta 2006 kello 02.13

Rant

Tietoturvassa on monesti kysymys asenteista, tosin onneksi Linuxille on erittäin vähän viruksia ja spywarea.

Kannattaa silti huolehtia järjestelmän tärkeimmät päivitykset ajantasalle. Lisävarmuuden tuomiseksi voi myös käyttää palomuuria, tcp-wrapperia, SELinuxia ja IDSia (eli hyökkäyksentunnistusjärjestelmiä).

Käyttöjärjestelmän päivittäminen

Kaikista käyttöjärjestelmistä löytyy ajoittain ohjelmointivirheitä, jotka heikentävät koneen turvallisuutta. Valmistajat julkaisevat päivityksiä jotka korjaavat virheet, mutta päivitysten asentaminen on käyttäjän vastuulla. Linuxin tapauksessa tarvittavat toimenpiteet riippuvat jonkin verran siitä, minkä valmistajan jakelupaketti on käytössä.

Alla on annettu ohjeet yleisimpien jakeluiden päivittämiseen. Mikäli käytössäsi niin vanha jakelu että valmistajalta ei enää saa siihen tietoturvapäivityksiä lainkaan, on koko järjestelmä syytä päivittää uudempaan versioon.

Käyttöoikeushallinta

Oleellista Linuxin tietoturvassa on käyttöoikeushallinta. Pääkäyttäjänä (root) ei pidä tehdä mitään paitsi silloin kun on ehdoton pakko. Koska pääkäyttäjä ohittaa kaikki käyttöoikeustarkistukset, sillä on mahdollista tehdä erittäin paljon tuhoa.

Esimerkki Microsoft Windows -käyttöjärjestelmän tunteville: Jos yrität alustaa osion, jolla Windows on asennettuna, samalla kun käytät sitä, et voi näin tehdä, koska Windows ei siihen pysty/ei anna tehdä. Mutta samalla kun käytät Linuxia, on sinun myös mahdollista sotkea käyttöjärjestelmälevysi, koska Linux ei aseta tällaisia rajoituksia pääkäyttäjälle.

Pääkäyttäjällä tehtävät ylläpito-operaatiot suoritetaan ylläkuvatun kaltaisten riskien vuoksi yleensä sudo -ohjelmalla. Sudo tallentaa lokitiedostoon joka kerta kuka sitä käytti ja mitä tämä suoritti.

Onkin hyvä luoda itselleen ns. normaali käyttäjätunnus ja antaa sille normaaliin käyttöön tarvittavat oikeudet. Esimerkiksi Debianissa normaalikäyttäjälle annetaan yleensä oikeudet video, audio, floppy ja dialout-ryhmiin, jolloin oikeudet riittävät mikserin, televisiokorttien/webkameroiden, levykkeiden ja sarjaportin käyttöön. Muitakin oikeuksia voidaan antaa ja ottaa pois käyttötarpeen mukaan.

Lisäksi kiintolevyille voi tehdä osioita joille pääsevät ainoastaan tietyt käyttäjät.

SELinux ja GRSecurity

SELinux on patchi ("korjaus") joka mahdollistaa tarkemman auditoinnin ("turvallisuustarkastelut") järjestelmän suorittamien toimenpiteiden suhteen. Lähes kaikille tapahtumille on mahdollista määrittää "turvatasot". NSA on kehittänyt SELinuxin, jonka takia voidaankin olettaa sen täyttävän erittäin korkean turvallisuusluokituksen.

Säädettävyyden mukana tulee vaikeus; kuka jaksaa säätää kaiken pilkkua viilaten? Tämä on SELinuxin suurin ongelma: sen käyttöönotto on erittäin työläs.

SELinux on 2.6-sarjan kernelissä ("ytimessä") mukana ja sen kehitys tapahtuu ytimen ohessa. 2.4-sarjalaisiin tämä on saatavissa erillisenä patch-settinä ("korjaussarjana").

GRSecurity on kilpaileva "tuote" joka ei ole mukana valtavirrassa, mutta se tekijän mukaan mahdollistaa vielä suuremmat tietoturvatason säädöt.

Molemmat tuotteet ovat hyödyllisiä jos niille on tarvetta. Yleensä pärjätään normaaleillakin turva-asetuksilla, mutta vaihtoehdot ovat hyväksi.

TCP-wrapper

TCP-wrapper on käyttöoikeuskirjasto, jolla voidaan määritellä monimutkaisempia sääntöjä, ketkä pääsevät mihinkin verkkopalveluun ottamaan yhteyttä. Komennolla ldd /polku/ohjelmistoon | grep libwrap voi tarkistaa tukeeko palvelin-ohjelma TCP-wrapperia.

Säännöt rakentuvat niin, että ensin pitää kieltää kaikki hosts.deny tiedostossa ja sitten sallia yhteyksiä hosts.allow tiedostossa.

Esimerkki perussäädöistä, joissa sallitaan vain .fi verkko-osoitteiden yhteydenotto SSHD-palvelinohjelmistoon.

/etc/hosts.deny: SSHD: ALL

/etc/hosts.allow SSHD: .fi

Palomuuri

Useimmiten verkkoon liitettävät laitteet on syytä suojata palomuurilla. Linux-palomuureista tietoutta löytyy Palomuurit-artikkelista.

Virustorjunta

Linuxille on tehty todella vähän viruksia, mutta esim. Windows-järjestelmien sähköpostia liikuttavissa palvelimissa tai tiedostosäilöissä voi olla tarpeen käyttää virustorjuntaa. Aiheesta lisää sivulla Virustorjunta.