Ero sivun ”Tietoturva” versioiden välillä
Siirry navigaatioon
Siirry hakuun
p
linkkikorjausta; hosts.allow/deny-täydennystä
(Typo korjattu) |
LP (keskustelu | muokkaukset) p (linkkikorjausta; hosts.allow/deny-täydennystä) |
||
Rivi 3: | Rivi 3: | ||
Suurimmat riskit työpöytä-Linuxeissa ovat palvelujen säätö- tai ohjelmointivirheet (varo siis turhien palvelujen avaamista maailmalle) ja selainten tietoturva-aukot. Kannattaa huolehtia järjestelmän tärkeimmät päivitykset ajantasalle: Linuxeja koetelleet madot ovat hyödyntäneet ongelmia, jotka asianmukaisesti ylläpidetyissä asennuksissa oli korjattu aikoja sitten. | Suurimmat riskit työpöytä-Linuxeissa ovat palvelujen säätö- tai ohjelmointivirheet (varo siis turhien palvelujen avaamista maailmalle) ja selainten tietoturva-aukot. Kannattaa huolehtia järjestelmän tärkeimmät päivitykset ajantasalle: Linuxeja koetelleet madot ovat hyödyntäneet ongelmia, jotka asianmukaisesti ylläpidetyissä asennuksissa oli korjattu aikoja sitten. | ||
Lisävarmuuden tuomiseksi voi myös käyttää [[ | Lisävarmuuden tuomiseksi voi myös käyttää [[Palomuuri]]a (joka helpottaa palvelujen rajaamisen aiotuille käyttäjille), [[tcpwrappers]]ia (tavallaan palvelukohtainen palomuuri), SELinuxia ja [[IDS]]ia (hyökkäyksentunnistusjärjestelmiä). Kaksi ensinmainittua ovat helppoja ottaa käyttöön eivätkä vaikuta koneen tavalliseen käyttöön (ellei palomuuria säädä liian tiukaksi). | ||
<nowiki>*</nowiki>NIX-tyylisten järjestelmien vanhimpia tietoturvaetuja on [[root|pääkäyttäjän]] säästeliäs käyttö, jatka tätä perinnettä! Hyvä tapa olisi jättää pääkäyttäjäterminaali kokonaan avaamatta, ja hoitaa pääkäyttäjäoikeuksia vaativat hommat [[su]]:n tai [[sudo]]n avulla. | <nowiki>*</nowiki>NIX-tyylisten järjestelmien vanhimpia tietoturvaetuja on [[root|pääkäyttäjän]] säästeliäs käyttö, jatka tätä perinnettä! Hyvä tapa olisi jättää pääkäyttäjäterminaali kokonaan avaamatta, ja hoitaa pääkäyttäjäoikeuksia vaativat hommat [[su]]:n tai [[sudo]]n avulla. | ||
Rivi 70: | Rivi 70: | ||
Sama koskee [[CD-levy|CD-levyjen]] ja muitten irrotettavien medioitten autorun-ohjelmia: niitä ei yleensä ajeta ellei käyttäjä erikseen sitä pyydä. | Sama koskee [[CD-levy|CD-levyjen]] ja muitten irrotettavien medioitten autorun-ohjelmia: niitä ei yleensä ajeta ellei käyttäjä erikseen sitä pyydä. | ||
Vaikka CD-levyjen kautta ei viruksia juurikaan levitetä niin automaattikäynnistys on helppo tapa tehdä CD:stä [[ | Vaikka CD-levyjen kautta ei viruksia juurikaan levitetä niin automaattikäynnistys on helppo tapa tehdä CD:stä [[Haittaohjelmat#Troijan hevoset|Troijan hevonen]] (katso [[wikipedia:en:2005_Sony_BMG_CD_copy_prevention_scandal|Sonyn rootkit]]). | ||
===Binäärien ajaminen ja pakettien kautta leviävät virukset=== | ===Binäärien ajaminen ja pakettien kautta leviävät virukset=== | ||
Mitä siis tehdä, jos netistä löytyy (tai sähköpostissa tulee) ohjelma, jonka haluaa ajaa. Jos kyseessä on valmis ajettava tiedosto, riittää että tallettaa sen jonnekin, asettaa suoritusoikeudet ja ajaa sen: | Mitä siis tehdä, jos netistä löytyy (tai sähköpostissa tulee) ohjelma, jonka haluaa ajaa. Jos kyseessä on valmis ajettava tiedosto, riittää että tallettaa sen jonnekin, asettaa suoritusoikeudet ja ajaa sen: | ||
chmod a+x | chmod a+x troijan_hevonen | ||
./ | ./troijan_hevonen | ||
Ohjelmalla on yleensä kaikki samat oikeudet kuin sen käynnistäjälläkin, eli ellei ohjelmaan luota, se pitää vähintään ajaa tähän tarkoitukseen erikseen luodulla tunnuksella, mieluiten ei ollenkaan. | Ohjelmalla on yleensä kaikki samat oikeudet kuin sen käynnistäjälläkin, eli ellei ohjelmaan luota, se pitää vähintään ajaa tähän tarkoitukseen erikseen luodulla tunnuksella, mieluiten ei ollenkaan. | ||
Rivi 98: | Rivi 98: | ||
== TCP-wrapper == | == TCP-wrapper == | ||
TCP-wrapper on käyttöoikeuskirjasto, jolla voidaan määritellä monimutkaisempia sääntöjä, ketkä pääsevät mihinkin verkkopalveluun ottamaan yhteyttä. Komennolla ldd /polku/ohjelmistoon | grep libwrap voi tarkistaa tukeeko palvelinohjelma TCP-wrapperia. | [[tcpwrappers|TCP-wrapper]] on käyttöoikeuskirjasto, jolla voidaan määritellä monimutkaisempia sääntöjä, ketkä pääsevät mihinkin verkkopalveluun ottamaan yhteyttä. Komennolla ldd /polku/ohjelmistoon | grep libwrap voi tarkistaa tukeeko palvelinohjelma TCP-wrapperia. Palvelun voi myös jättää tcpd:n käynnistettäväksi yhteyskohtaisesti [[inetd]]:n kautta, jolloin tcpd huolehtii rajoituksista. | ||
Säännöt rakentuvat niin, että ensin pitää kieltää kaikki <tt> | Säännöt rakentuvat niin, että ensin pitää kieltää kaikki <tt>hosts.deny</tt>-tiedostossa ja sitten sallia yhteyksiä <tt>hosts.allow</tt>-tiedostossa (näin siis yleensä kotikoneella). | ||
Esimerkki perussäädöistä, joissa sallitaan vain . | Esimerkki perussäädöistä, joissa sallitaan yhteydenotto SSHD-palvelinohjelmistoon vain verkkotunnusten omalafka.fi ja jokinlafka.fi alaisista koneista. | ||
/etc/hosts.deny: | /etc/hosts.deny: | ||
ALL: ALL | |||
/etc/hosts.allow: | /etc/hosts.allow: | ||
sshd: .omalafka.fi | |||
sshd: .jokinlafka.fi EXCEPT UNKNOWN | |||
Nimien käyttö ip-osoitteiden sijaan aiheuttaa turvallisuusreiän: se, joka itse hallitsee omat nimipalvelimensa, voi asettaa koneen nimen haluamakseen. Ylläolevat säännöt kuitenkin riittävät automaattisten hyökkäysten torjumiseen, ainakin jollei omalafka.fi ole arvattavissa koneen oman nimen tms. perusteella. | Nimien käyttö ip-osoitteiden sijaan aiheuttaa turvallisuusreiän: se, joka itse hallitsee omat nimipalvelimensa, voi asettaa koneen nimen haluamakseen. Ylläolevat säännöt kuitenkin riittävät automaattisten hyökkäysten torjumiseen, ainakin jollei omalafka.fi ole arvattavissa koneen oman nimen tms. perusteella. EXCEPT UNKNOWN suojaa hyökkäysiltä vaatimalla yhteensopivuus ip-osoitteella saadun nimen ja tällä nimellä saadun ip-osoitteen välillä, mutta samalla yhteydet voivat estyä nimipalvelin- tai verkko-ongelmien takia. | ||
== Palomuuri == | == Palomuuri == |