navody:fc5prirucka13

Rozdíly

Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.

Odkaz na výstup diff

Obě strany předchozí revize Předchozí verze
Následující verze		 Předchozí verze
navody:fc5prirucka13 [2006/06/25 18:20] mackynavody:fc5prirucka13 [2022/11/14 11:25] (aktuální) – upraveno mimo DokuWiki 127.0.0.1
Řádek 6: Řádek 6:
   * Přečtěte si kapitolu [[fc5prirucka#Obecné poznámky]].   * Přečtěte si kapitolu [[fc5prirucka#Obecné poznámky]].
  
-Bezpečnost svého systému můžvýrazným způsobem zvýšit dodržováním několika vcelku jednoduchým pravidel. Zde jsou některá z nich. +Bezpečnost svého systému můžete výrazným způsobem zvýšit dodržováním několika vcelku jednoduchých pravidel. Zde jsou některá z nich. 
-  * Ujistěte se, že BIOS Vašeho počítače je nastaven tak, aby jako první bootoval z pevného disku. Zabráníte tak tomu, aby někdo např. nabootoval Linux z CD/DVD mechaniky a získal tak práva superuživatele ke všem datům uloženým na Vašem disku. +  * Ujistěte se, že //BIOS// Vašeho počítače je nastaven tak, aby jako první bootoval z pevného disku. Zabráníte tak tomu, aby někdo např. nabootoval Linux z //CD/DVD// mechaniky a získal tak práva superuživatele ke všem datům uloženým na Vašem disku. 
-  * Ujistěte se, že BIOS je zabezpečen heslem. Tímto způsobem předejdete tomu, aby bylo možné triviálně změnit bootovací sekvenci jednotlivých zařízení. +  * Ujistěte se, že //BIOS// je zabezpečen heslem. Tímto způsobem předejdete tomu, aby bylo možné triviálně změnit bootovací sekvenci jednotlivých zařízení. 
-  * Ujistěte se, že počítač je uložen a bezpečném místě a že je zamezen přístup všem nepovolaným osobám - takto lze zabránit krádeži disku popř. vyjmutí baterie ze základní desky s cílem vymazat heslo chránící nastavení BIOSu.+  * Ujistěte se, že počítač je uložen a bezpečném místě a že je zamezen přístup všem nepovolaným osobám - takto lze zabránit krádeži disku popř. vyjmutí baterie ze základní desky s cílem vymazat heslo chránící nastavení //BIOS//u.
   * Ujistěte se, že heslo, které je vyžadováno pro přístup do systému, není triviální. Vaše heslo by mělo mít minimálně osm znaků a obsahovat malá i velká písmena a číslice popř. také speciální znaky (např. @, #, $ apod.).   * Ujistěte se, že heslo, které je vyžadováno pro přístup do systému, není triviální. Vaše heslo by mělo mít minimálně osm znaků a obsahovat malá i velká písmena a číslice popř. také speciální znaky (např. @, #, $ apod.).
-  * Ujistěte se, že je zakázána interaktivní editace pro zavaděče GRUB. Zabráníte tak tomu, aby někdo modifikoval parametry jádra při jeho zavádění a získal tak práva superuživatele. Přečtěte si kapitolu [[fc5prirucka13#Zakázání interaktivní editace zavaděče GRUB]].+  * Ujistěte se, že je zakázána interaktivní editace pro zavaděče //GRUB//. Zabráníte tak tomu, aby někdo modifikoval parametry jádra při jeho zavádění a získal tak práva superuživatele. Přečtěte si kapitolu [[fc5prirucka13#Zakázání interaktivní editace zavaděče GRUB]].
   * Ujistěte se, že je zákázáno prohlížení historie v módu konsole - takto lze zabránit, aby bylo možné prohlížet dříve spuštěné příkazy.  Přečtěte si kapitolu [[fc5prirucka13#Zakázání zobrazování historie v konzolovém módu]].   * Ujistěte se, že je zákázáno prohlížení historie v módu konsole - takto lze zabránit, aby bylo možné prohlížet dříve spuštěné příkazy.  Přečtěte si kapitolu [[fc5prirucka13#Zakázání zobrazování historie v konzolovém módu]].
   * Ujistěte se, že je zakázána "trojkombinace" //Ctrl+Alt+Del// v módu konsole. Zabráníte tak tomu, aby bylo možné restartovat počítač bez potřebných oprávnění. Přečtěte si kapitolu [[fc5prirucka13#Zakázání restartování počítače pomocí Ctrl+Alt+Del v konzoli]].   * Ujistěte se, že je zakázána "trojkombinace" //Ctrl+Alt+Del// v módu konsole. Zabráníte tak tomu, aby bylo možné restartovat počítač bez potřebných oprávnění. Přečtěte si kapitolu [[fc5prirucka13#Zakázání restartování počítače pomocí Ctrl+Alt+Del v konzoli]].
Řádek 17: Řádek 17:
   * Do systému se přihlašujte jako superuživatel pouze v případě, že je to nezbytně nutné. Pro standarní činnost se přihlašujte jako běžný uživatel. Předejte tak nechtěnému smazání / modifikaci systémových souborů a adresářů. Přečtěte si kapitolu [[fc5prirucka7#Přidání, editace a mazání uživatelů a skupin]].   * Do systému se přihlašujte jako superuživatel pouze v případě, že je to nezbytně nutné. Pro standarní činnost se přihlašujte jako běžný uživatel. Předejte tak nechtěnému smazání / modifikaci systémových souborů a adresářů. Přečtěte si kapitolu [[fc5prirucka7#Přidání, editace a mazání uživatelů a skupin]].
   * Zakažte účet superuživatele a používejte namísto něj příkaz //sudo//. Tento způsob poskytuje auditní stopu (/var/log/auth.log). Přečtěte si kapitolu [[fc5prirucka7#Zakázání účtu superuživatele (root)]].   * Zakažte účet superuživatele a používejte namísto něj příkaz //sudo//. Tento způsob poskytuje auditní stopu (/var/log/auth.log). Přečtěte si kapitolu [[fc5prirucka7#Zakázání účtu superuživatele (root)]].
-  * Nainstalujte firewall. Firewall sice nezaručuje absolutní bezpečnost, avšak představuje první linii obrany proti útokům ze sítě. Přečtěte si kapitolu [[fc5prirucka4#Instalace firewallu (Firestarter)]].+  * Nainstalujte firewall. Firewall sice nezaručuje absolutní bezpečnost, avšak představuje první linii obrany proti útokům ze sítě. Přečtěte si kapitolu [[fc5prirucka4#Instalace firewallu (Firestarter)]] a [[navody:fc5prirucka10#Otevření/Uzavření portů]].
   * Otestujte míru "zranitelnosti" Vašeho systému. Vynikající aplikací k těmto účelům je //Nessus//, který provádí řadu testů zaměřených na známé bezpečnostní problémy. Přečtěte si kapitolu [[fc5prirucka4#Instalace aplikace pro testování bezpečnosti systému (Nessus)]].   * Otestujte míru "zranitelnosti" Vašeho systému. Vynikající aplikací k těmto účelům je //Nessus//, který provádí řadu testů zaměřených na známé bezpečnostní problémy. Přečtěte si kapitolu [[fc5prirucka4#Instalace aplikace pro testování bezpečnosti systému (Nessus)]].
  
Řádek 33: Řádek 33:
   gedit /boot/grub/menu.lst   gedit /boot/grub/menu.lst
  
-V souboru //menu.lst// nalezněte sekci+V souboru ''menu.lst'' nalezněte sekci
  
   ...   ...
Řádek 49: Řádek 49:
   password --md5 $1$ZWnke0$1fzDBVjUcT1Mpdd4u/T961 (výše uvedené zakódované heslo)   password --md5 $1$ZWnke0$1fzDBVjUcT1Mpdd4u/T961 (výše uvedené zakódované heslo)
  
-V souboru //menu.lst// nalezněte sekci+V souboru ''menu.lst'' nalezněte sekci
  
   ...   ...
Řádek 69: Řádek 69:
   #boot   #boot
  
-pozn: Tímto jste provedli tzv. "zakomentování" řádek. To znamená, že tyto řádky budou při interpretaci souboru //menu.lst// ignorovány.+**Poznámka:** Tímto jste provedli tzv. "zakomentování" řádek. To znamená, že tyto řádky budou při interpretaci souboru ''menu.lst'' ignorovány.
  
-Uložte soubor //menu.lst//.+Uložte soubor ''menu.lst''.
  
 ==== Zakázání zobrazování historie v konzolovém módu ==== ==== Zakázání zobrazování historie v konzolovém módu ====
Řádek 86: Řádek 86:
   gedit /etc/inittab   gedit /etc/inittab
  
-V souboru //inittab// nalezněte řádek+V souboru ''inittab'' nalezněte řádek
  
   ...   ...
Řádek 99: Řádek 99:
  
   telinit q   telinit q
 +
 +==== Vynucené potvrzování pro přesun / přepsání souborů a adresářů ====
 +  * Přečtěte si kapitolu [[fc5prirucka#Obecné poznámky]].
 +
 +Zazálohujte konfigurační soubor ''bash.bashrc''.
 +
 +  cp /etc/bashrc /etc/bashrc_backup
 +
 +Otevřete tento soubor pomocí
 +
 +  gedit /etc/bashrc
 +
 +na jeho konec přidejte
 +
 +  alias rm='rm -i'
 +  alias cp='cp -i'
 +  alias mv='mv -i'
 +
 +a soubor uložte.
 +
 +**Poznámka: ** Tímto způsobem je ošetřen pouze případ, kdy uživatel zadá smazání více souborů pomocí ''rm'' z příkazové řádky. S výše definovaným aliasem bude třeba potvrdit smazání každého jednotlivého souboru.
 +
 +**Poznámka:** Mělo by se jednat o defaultní nastavení a proto by mělo být zapotřebí definovat výše uvedený alias.
 +
 +==== Zapnutí a vypnutí funkcí SELinux ====
 +
 +//SELinux// (**S**ecurity **E**nhanced **Linux**) zvyšuje bezpečnost vašeho systému //Fedora Core// a to tak, že omezuje množinu souborů, se kterými mohou aplikace pracovat a množinu úkonů, které mohou aplikace provádět.
 +
 +Tato omezení občas mohou způsobovat, že nelze do systému jednoduše přidávat např. pluginy nebo ovladače, které nepocházejí se standardních repozitářů pro //Fedora Core//.
 +
 +//SELinux// má tři základné módy - ''Enforcing'' (Vynucovací), ''Permissive'' (Uvolněný), ''Disabled'' (Vypnutý). Všechny tři se dají nastavit prostřednictvím nabídky //Aplikace -> Prostředí -> Správa -> Úroveň zabezpečení a firewall//. V okně //Nastavení úrovně zabezpečení//, zvolte záložku //SELinux//. Jednotlivé módy je pak možné zvolit v roletkové nabídce položky //Nastavení SELinux//.
 +
 +Pokud jste měli //SELinux// vypnutý a zapnete jej, bude třeba systém restartovat a při startu systému počkat, až //SELinux// "označkuje" všechny soubory na disku.
 +
 +**Upozornění:** Pokud //SELinux// vypnete (Disabled), vystavujete se většímu riziku napadení vašeho systému.
  
 ===== ===== ===== =====
 [[fc5prirucka|Hlavní stránka]] [[fc5prirucka|Hlavní stránka]]
  • Poslední úprava: 2022/11/14 10:10
  • (upraveno mimo DokuWiki)