|
|
Rivi 29: |
Rivi 29: |
|
| |
|
| == Käyttöoikeuksien hallinta == | | == Käyttöoikeuksien hallinta == |
| Olennainen osa Linux-tietoturvaa on mahdollisuus rajoittaa käyttäjien oikeuksia järjestelmään. Käyttöoikeuksien hallinta suoritetaan tiedostojärjestelmän, käyttäjätunnusten ja käyttöoikeusryhmien avulla. Tässä pyritään selvittämään kuinka jokainen kotikäyttäjä voi hyötyä usean käyttäjän palvelinympäristöön tarkoitetuista tekniikoista. Hyvä periaate tässäkin on, että kaikki mikä ei ole välttämätöntä on kiellettyä. | | Olennainen osa Linux-tietoturvaa on mahdollisuus rajoittaa [[käyttäjä|käyttäjien]] oikeuksia [[tiedostojärjestelmä|tiedostojärjestelmään]]. Käyttöoikeuksien hallinta suoritetaan käyttäjien ja käyttäjäryhmien avulla, joilla rajoitetaan ohjelmien oikeuksia käsitellä tiedostojärjestelmää. Lisäksi Linuxin [[Linuxin hakemistorakenne|hakemistorakenteessa]] määritetään tarkkaan hakemistojen [[tiedoston oikeudet|käyttöoikeudet]] niiden tarkoituksen ja käyttöoikeuksien mukaan. |
|
| |
|
| === Käyttäjät ja ryhmät ===
| | Linuxin tietoturvaa parantaa tavallisen- ja pääkäyttäjän erottaminen toisistaan. Pääkäyttäjällä eli erityisellä [[käyttäjä|root-tunnuksella]], on kaikki oikeudet käyttöjärjestelmään ja näin myös suurin riski vahingoittaa käyttöjärjestelmää. Tavallisen käyttäjän oikeudet taas ovat hyvin rajoitetut, mahdollistaen kuitenkin normaalin päivittäisen toiminnan kuten (lisää linkit näille sivuille)dokumenttien kirjoittamiseen ja musiikin kuuntelemiseen. |
| Linux-järjestelmässä jokaisella käyttäjällä on henkilökohtainen käyttäjätunnus ja salasana, mikä liitetään yhteen tai useampaan käyttöoikeusryhmään. Ryhmien perusteella määrätään mikä on käyttäjälle sallittua järjestelmässä. Käyttäjät voidaan jakaa karkeasti kahteen ryhmään tehtäviensä perusteella:
| |
|
| |
|
| * Tavallinen käyttäjä (ryhmät esim. "users, audio, video", tunnus "matti")
| | Vaikka kotikäyttäjälle kahden käyttäjätunnuksen ja salasanan muistaminen kuulostaa absurdilta, on se ehdottomasti helpoin keino parantaa henkilökohtaista tietoturvaa. Esimerkiksi virusten ja haittaohjelmien levittäminen internetissä on helppoa ja ohjelmien virheiden vuoksi sellainen voi joutua myös omalle koneelle. Käyttämällä aina rajoitettua käyttäjätunnusta vähennät huomattavasti riskiä sotkea koko käyttöjärjestelmää. |
| ** Internetissä surffaileminen, sähköpostin lukeminen
| |
| ** Dokumenttien kirjoittaminen, kuvien käsitteleminen
| |
| ** Elokuvien katsominen, musiikin kuunteleminen
| |
| ** ''EI ohjelmien asentaminen tai järjestelmän asetusten muuttaminen''
| |
|
| |
|
| * Pääkäyttäjä (ryhmä "root", tunnus "root")
| | Siis ohje yksinkertaistettuna: |
| ** Käyttäjäoikeuksien hallinta, hakemistojen ja kiintolevyjen käyttöoikeuksien hallinta
| |
| ** Ohjelmien asentaminen ja poistaminen
| |
| ** Käyttöjärjestelmän asetusten muuttaminen
| |
| ** Kiintolevyjen formatointi, osiointi, kuten Windows-osion poistaminen
| |
| ** Linuxin täydellinen rikkominen
| |
| ** ''EI elokuvien katsominen tai netissä surffaileminen''
| |
|
| |
|
| Tavalliselta käyttäjältä "matti" on siis estetty kaikki toiminnot mitkä saattaisivat vahingoittaa itse järjestelmää. Vastavuoroisesti pääkäyttäjällä, vakiintunut käyttäjätunnus on "root", on täydellinen hallinta järjestelmään. Tämä käsittää myös täydellisen mahdollisuuden rikkoa järjestelmä, formatoida kiintolevy, asentaa viruksia tai muita haittaohjelmia.
| | # Kirjaudu sisään aina tavallisen "matti"-käyttäjän tunnuksilla, mikäli se ei ole välttämätöntä! |
| | # Älä lisää normaalille käyttäjätunnukselle oikeuksia, mitä et välttämättä tarvitse |
| | # Käytä ohjelmien asennukseen ja järjestelmän asennukseen erityistä root-tunnusta, ja vain siihen |
| | # Jos vieras ohjelma vaatii pääkäyttäjän tunnusta tai salasanaa, mieti kahdesti onko ohjelma välttämätön! |
|
| |
|
| Vaikka järjestelmän pääkäyttäjä ja normaalikäyttäjä voivat todellisuudessa olla yksi ja sama henkilö, on tietoturvan kannalta edullista käyttää päivittäiseen käyttöön rajoitettuja käyttöoikeuksia. Näin vähennät huomattavasti riskiä sotkea Linuxia vahingossa.
| | Suorittaaksesi ohjelman pääkäyttäjän tunnuksilla sinun ei tarvitse kirjautua ulos järjestelmästä. Konsolissa ohjelman voi suorittaa pääkäyttäjän oikeuksilla komennoilla [[su]] ja [[sudo]]. |
|
| |
|
| Siis ohje lyhyesti:
| | [[Työpöytäympäristö|Työpöytäympäristöistä]] löytyy vastaavat ohjelmat myös graafisena. [[Gnome|Gnomessa]] sudo-komentoa vastaa [[gksudo]] ja [[KDE|KDE:ssä]] [[ksud]]. Esimerkiksi Ubuntussa Synaptic-paketinhallinnan käynnistäminen kysyy pääkäyttäjän salasanan automaattisesti, käyttäen kyseistä [[gksudo]]-ohjelmaa. |
| | |
| # Käytä Linuxia aina tavallisen käyttäjän tunnuksilla, mikäli se ei ole välttämätöntä!
| |
| # Lisää käyttöoikeudet
| |
| # Käytä root-tunnusta vain ja ainoastaan asentaessa ohjelmaa tai muuttaessa asetuksia.
| |
| # Jos vieras ohjelma vaatii pääkäyttäjän tunnusta, mieti kahdesti onko ohjelma välttämätön!
| |
| | |
| === Miksi nähdä vaivaa? ===
| |
| Internet mahdollistaa virusten ja haittaohjelmien tehokkaan levittämisen. Ohjelmat tuskin koskaan ovat täydellisen virheettömiä ja ohjelmavirheiden kautta myös haittaohjelmat saattavat päätyä koneelle ilman käyttäjän huomaamista.
| |
| | |
| Monelle Windows-käyttäjälle on käynyt, että virus sotkee käyttöjärjestelmän ja uudelleenasentaminen on välttämätöntä. Miksi? Koska Windows oletuksena antaa käyttäjälle täydet oikeudet järjestelmään ja näin vahingossa tai tietämättä käynnistetty haittaohjelma pääsee sotkemaan koko käyttöjärjestelmän.
| |
| | |
| Linux-järjestelmissä perinteinen lähtökohta on erilainen. Mieluummin vaaditaan pääkäyttäjän tunnus ja salasala kaikkiin käyttöjärjestelmän muutoksiin, kuin asennetaan vahingossa viruksia tai haittaohjelmia.
| |
| | |
| Kannattaa muistaa, että tietoturva on aina kompromissi käytettävyyden ja suojausmenetelmien välillä.
| |
| | |
| === Helpottavia ohjeita ja komentoja===
| |
| | |
| Käyttääksesi pääkäyttäjän tunnusta esimerkiksi asentaaksesi ohjelman, sinun ei tarvitse kirjautua ulos järjestelmästä vaan tarkoitukseen käytetään apuohjelmaa millä jokin toinen ohjelma voidaan suorittaa pääkäyttäjän oikeuksilla.
| |
| | |
| Työpöytäympäristöissä (Gnome, KDE) on omat graafiset ohjelmansa (gksudo, ksud) jotka kysyvät root-käyttäjän salasanan ja suorittavat ohjelman pääkäyttäjän oikeuksilla. Esimerkiksi Ubuntussa Synaptic-paketinhallinnan käynnistäminen kysyy pääkäyttäjän salasanan automaattisesti.
| |
| | |
| Komennot konsoliin. Kaikki kysyvät root-tunnuksen salasanan ja tallentavat toiminnon järjestelmän lokeihin.
| |
| | |
| {|width=100% border=0
| |
| |bgcolor=#f0f0f0|sudo KOMENTO
| |
| |bgcolor=#f0f0f0|Suorittaa KOMENNON pääkäyttäjän oikeuksilla
| |
| |-----
| |
| |bgcolor=#f0f0f0|su
| |
| |bgcolor=#f0f0f0|Käynnistää uuden kuoren (shell) pääkäyttäjän oikeuksilla
| |
| |-----
| |
| |bgcolor=#f0f0f0|su -c KOMENTO
| |
| |bgcolor=#f0f0f0|Suorittaa KOMENNON pääkäyttäjän oikeuksilla
| |
| |}
| |
| | |
| | |
| Katso myös (lisää linkit näille sivuille):
| |
| | |
| * Käyttäjien hallinta
| |
| * Tiedostojärjestelmä
| |
| * Ohjeita komentoihin
| |
|
| |
|
| == SELinux ja GRSecurity == | | == SELinux ja GRSecurity == |