navody:f7bezpecnost

Rozdíly

Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.

Odkaz na výstup diff

Obě strany předchozí revize Předchozí verze
navody:f7bezpecnost [2007/08/31 18:48] mackynavody:f7bezpecnost [2022/11/14 11:25] (aktuální) – upraveno mimo DokuWiki 127.0.0.1
Řádek 1: Řádek 1:
 +[[navody:f7obsah|Hlavní stránka]]
  
 +
 +===== Bezpečnost =====
 +
 +{{:navody:48x48:apps:icon-security-keys.png }} Obecně jsou unixové systémy v porovnání s //OS Windows// považovány za bezpečnější. Velice často je poukazováno na absenci virů. Pravdou však zůstává, že bezpečnost systému je dána především přístupem jeho správce. Následující kapitola obsahuje několik jednoduchých rad, které Vám umožní zvýšit bezpečnost Vašeho systému.
 +
 +==== Základní informace ====
 +Bezpečnost svého systému můžete výrazným způsobem zvýšit dodržováním několika vcelku jednoduchých pravidel. Zde jsou některá z nich.
 +  * Ujistěte se, že //BIOS// Vašeho počítače je nastaven tak, aby jako první bootoval z pevného disku. Zabráníte tak tomu, aby někdo např. nabootoval //Linux// z //CD/DVD// mechaniky a získal tak práva superuživatele ke všem datům uloženým na Vašem disku.
 +  * Ujistěte se, že //BIOS// je zabezpečen heslem. Tímto způsobem předejdete tomu, aby bylo možné triviálně změnit bootovací sekvenci jednotlivých zařízení.
 +  * Ujistěte se, že je počítač uložen a bezpečném místě a že je zamezen přístup všem nepovolaným osobám - takto lze zabránit krádeži disku popř. vyjmutí baterie ze základní desky s cílem vymazat heslo chránící nastavení //BIOS//u.
 +  * Ujistěte se, že heslo, které je vyžadováno pro přístup do systému, není triviální. Vaše heslo by mělo mít minimálně osm znaků, obsahovat malá i velká písmena a číslice popř. také speciální znaky (např. @, #, $ apod.).
 +  * Ujistěte se, že je zakázána interaktivní editace pro zavaděče //GRUB//. Zabráníte tak tomu, aby někdo modifikoval parametry jádra při jeho zavádění a získal tak práva superuživatele. Přečtěte si kapitolu [[navody:f7grub#Zakázání interaktivní editace zavaděče GRUB]].
 +  * Ujistěte se, že je zákázáno prohlížení historie v módu konsole - takto lze zabránit, aby bylo možné prohlížet dříve spuštěné příkazy.  Přečtěte si kapitolu [[navody:f7bezpecnost#Zakázání zobrazování historie v konzolovém módu]].
 +  * Ujistěte se, že je zakázána "trojkombinace" //Ctrl+Alt+Del// v módu konsole. Zabráníte tak tomu, aby bylo možné restartovat počítač bez potřebných oprávnění. Přečtěte si kapitolu [[navody:f7bezpecnost#Zakázání restartování počítače pomocí Ctrl+Alt+Del v konzoli]].
 +  * Ujistěte se, že je v konzolovém módu nastaveno vynucené potvrzování pro přesun, přepsání souborů popř. adresářů. Tímto způsobem lze předejít nechtěnému přesunutí nebo přepsání souboru / adresáře. Přečtěte si kapitolu [[navody:f7bezpecnost#Vynucené potvrzování pro přesun / přepsání souborů a adresářů]].
 +  * Do systému se přihlašujte jako superuživatel pouze v případě, že je to nezbytně nutné. Pro standarní činnost se přihlašujte jako běžný uživatel. Předejte tak nechtěnému smazání / modifikaci systémových souborů a adresářů. Přečtěte si kapitolu [[navody:f7uzivatele#Přidání, editace a mazání uživatelů a skupin]].
 +  * Zakažte účet superuživatele a používejte namísto něj příkaz ''sudo''. Tento způsob poskytuje auditní stopu (''/var/log/auth.log''). Přečtěte si kapitolu [[navody:f7uzivatele#Zakázání účtu superuživatele (root)]].
 +  * Nainstalujte firewall. Firewall sice nezaručuje absolutní bezpečnost, avšak představuje první linii obrany proti útokům ze sítě. Přečtěte si kapitolu [[navody:f7nekomercni_aplikace_internet#Instalace firewallu (Firestarter)]] a [[navody:f7sit#Otevření / uzavření portů]].
 +  * Otestujte míru "zranitelnosti" Vašeho systému. Vynikající aplikací k těmto účelům je //Nessus//, který provádí řadu testů zaměřených na známé bezpečnostní problémy. Přečtěte si kapitolu [[navody:f7nekomercni_aplikace_internet#Instalace aplikace pro testování bezpečnosti systému (Nessus)]].
 +
 +==== Zakázání zobrazování historie v konzolovém módu ====
 +  * Přečtěte si kapitolu [[navody:f7obsah#Obecné poznámky]].
 +
 +Historie příkazů zadaných do příkazové řádky se ukládá do souboru ''.bash_history'' v domovském adresáři uživatele. Následující příkazy tento soubor smazají, vytvoří místo něj nový prázdný soubor a následně odeberou všechna práva, která se k tomuto souboru váží.
 +
 +  rm -f $HOME/.bash_history
 +  touch $HOME/.bash_history
 +  chmod 000 $HOME/.bash_history
 +
 +==== Zakázání restartování počítače pomocí Ctrl+Alt+Del v konzoli ====
 +  * Přečtěte si kapitolu [[navody:f7obsah#Obecné poznámky]].
 +
 +Zazálohujte soubor ''inittab''
 +
 +  cp /etc/inittab /etc/inittab_backup
 +
 +a otevřete jej pomocí textového editoru
 +
 +  gedit /etc/inittab
 +
 +V souboru ''inittab'' nalezněte řádek
 +
 +  ...
 +  ca:12345:ctrlaltdel:/sbin/shutdown -t1 -a -r now
 +  ...
 +
 +nahraďte ho následujícím řádkem
 +
 +  #ca:12345:ctrlaltdel:/sbin/shutdown -t1 -a -r now
 +
 +a uložte soubor. Níže uvedeným příkazem načtěte opětovně soubor ''inittab''.
 +
 +  /sbin/telinit q
 +
 +==== Vynucené potvrzování pro přesun / přepsání souborů a adresářů ====
 +  * Přečtěte si kapitolu [[navody:f7obsah#Obecné poznámky]].
 +
 +Zazálohujte konfigurační soubor ''bash.bashrc''.
 +
 +  cp /etc/bashrc /etc/bashrc_backup
 +
 +Otevřete tento soubor pomocí
 +
 +  gedit /etc/bashrc
 +
 +na jeho konec přidejte
 +
 +  alias rm='rm -i'
 +  alias cp='cp -i'
 +  alias mv='mv -i'
 +
 +a soubor uložte.
 +
 +==== SELinux ====
 +//SELinux// (Security Enhanced Linux) zvyšuje bezpečnost Vašeho systému //Fedora// tak, že omezuje množinu souborů, se kterými mohou aplikace pracovat a množinu úkonů, které mohou tyto aplikace provádět. Bezpečnostní přínos //SELinux//u tak spočívá v tom, že implementuje mechanismus kontroly přístupů. Více o //SELinux//u se dočtete v samostatné [[navody:f7selinux|kapitole]].
 +
 +===== =====
 +[[navody:f7obsah|Hlavní stránka]]