Rozdíly

Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.

--- navody:fc6bezpecnost [2006/09/25 20:30] – macky
+++ navody:fc6bezpecnost [2022/11/14 11:25] (aktuální) – upraveno mimo DokuWiki 127.0.0.1
@@ Řádek 11: / Řádek 11: @@
   * Ujistěte se, že je počítač uložen a bezpečném místě a že je zamezen přístup všem nepovolaným osobám - takto lze zabránit krádeži disku popř. vyjmutí baterie ze základní desky s cílem vymazat heslo chránící nastavení //BIOS//u.
   * Ujistěte se, že heslo, které je vyžadováno pro přístup do systému, není triviální. Vaše heslo by mělo mít minimálně osm znaků, obsahovat malá i velká písmena a číslice popř. také speciální znaky (např. @, #, $ apod.).
-  * Ujistěte se, že je zakázána interaktivní editace pro zavaděče //GRUB//. Zabráníte tak tomu, aby někdo modifikoval parametry jádra při jeho zavádění a získal tak práva superuživatele. Přečtěte si kapitolu [[navody:fc6bezpecnost#Zakázání interaktivní editace zavaděče GRUB]].
+  * Ujistěte se, že je zakázána interaktivní editace pro zavaděče //GRUB//. Zabráníte tak tomu, aby někdo modifikoval parametry jádra při jeho zavádění a získal tak práva superuživatele. Přečtěte si kapitolu [[navody:fc6grub#Zakázání interaktivní editace zavaděče GRUB]].
   * Ujistěte se, že je zákázáno prohlížení historie v módu konsole - takto lze zabránit, aby bylo možné prohlížet dříve spuštěné příkazy.  Přečtěte si kapitolu [[navody:fc6bezpecnost#Zakázání zobrazování historie v konzolovém módu]].
   * Ujistěte se, že je zakázána "trojkombinace" //Ctrl+Alt+Del// v módu konsole. Zabráníte tak tomu, aby bylo možné restartovat počítač bez potřebných oprávnění. Přečtěte si kapitolu [[navody:fc6bezpecnost#Zakázání restartování počítače pomocí Ctrl+Alt+Del v konzoli]].
@@ Řádek 19: / Řádek 19: @@
   * Nainstalujte firewall. Firewall sice nezaručuje absolutní bezpečnost, avšak představuje první linii obrany proti útokům ze sítě. Přečtěte si kapitolu [[navody:fc6nekomercni_aplikace#Instalace firewallu (Firestarter)]] a [[navody:fc6sit#Otevření/Uzavření portů]].
   * Otestujte míru "zranitelnosti" Vašeho systému. Vynikající aplikací k těmto účelům je //Nessus//, který provádí řadu testů zaměřených na známé bezpečnostní problémy. Přečtěte si kapitolu [[navody:fc6nekomercni_aplikace#Instalace aplikace pro testování bezpečnosti systému (Nessus)]].
-==== Zakázání interaktivní editace zavaděče GRUB ====
-  * Přečtěte si kapitolu [[navody:fc6obsah#Obecné poznámky].
-V příkazové řádce spusťte
-  grub
-nastavte šifrované heslo
-  grub> md5crypt
-  Password: ****** (Fedora)
-  Encrypted: $1$ZWnke0$1fzDBVjUcT1Mpdd4u/T961 (zakódované heslo)
-a opusťe //GRUB//
-  grub> quit
-Zazálohujte soubor ''menu.lst''
-  cp /boot/grub/menu.lst /boot/grub/menu.lst_backup
-a otevřete jej pomocí textového editoru
-  gedit /boot/grub/menu.lst
-V souboru ''menu.lst'' nalezněte sekci
-  ...
-  ## password ['--md5'] passwd
-  # If used in the first section of a menu file, disable all interactive editing
-  # control (menu entry editor and command-line) and entries protected by the
-  # command 'lock'
-  # e.g. password topsecret
-  #   password --md5 $1$gLhU0/$aW78kHK1QfV3P2b2znUoe/
-  # password topsecret
-  ...
-a pod ní vložte následující řádek
-  password --md5 $1$ZWnke0$1fzDBVjUcT1Mpdd4u/T961 (výše uvedené zakódované heslo)
-Dále v souboru ''menu.lst'' nalezněte sekci
-  ...
-  title		Fedora, kernel 2.6.10-5-386 (recovery mode)
-  root		(hd0,1)
-  kernel		/boot/vmlinuz-2.6.10-5-386 root=/dev/hda2 ro single
-  initrd		/boot/initrd.img-2.6.10-5-386
-  savedefault
-  boot
-  ...
-a nahraďte ji následujícími řádky
-  #title		Fedora, kernel 2.6.10-5-386 (recovery mode)
-  #root		(hd0,1)
-  #kernel		/boot/vmlinuz-2.6.10-5-386 root=/dev/hda2 ro single
-  #initrd		/boot/initrd.img-2.6.10-5-386
-  #savedefault
-  #boot
-**Poznámka:** Pomocí znaku (//#//) jste provedli tzv. "zakomentování" řádek. To znamená, že tyto řádky budou při interpretaci souboru ''menu.lst'' ignorovány.
-Uložte soubor ''menu.lst''.
 ==== Zakázání zobrazování historie v konzolovém módu ====
-  * Přečtěte si kapitolu [[navody:fc6obsah#Obecné poznámky].
+  * Přečtěte si kapitolu [[navody:fc6obsah#Obecné poznámky]].
   rm -f $HOME/.bash_history
@@ Řádek 93: / Řádek 28: @@
 ==== Zakázání restartování počítače pomocí Ctrl+Alt+Del v konzoli ====
-  * Přečtěte si kapitolu [[navody:fc6obsah#Obecné poznámky].
+  * Přečtěte si kapitolu [[navody:fc6obsah#Obecné poznámky]].
 Zazálohujte soubor ''inittab''
@@ Řádek 118: / Řádek 53: @@
 ==== Vynucené potvrzování pro přesun / přepsání souborů a adresářů ====
-  * Přečtěte si kapitolu [[navody:fc6obsah#Obecné poznámky].
-Zazálohujte konfigurační soubor ''bash.bashrc''.
-  cp /etc/bashrc /etc/bashrc_backup
-Otevřete tento soubor pomocí
-  gedit /etc/bashrc
-na jeho konec přidejte
-  alias rm='rm -i'
-  alias cp='cp -i'
-  alias mv='mv -i'
-a soubor uložte.
-**Poznámka: ** Tímto způsobem je ošetřen pouze případ, kdy uživatel zadá smazání více souborů pomocí ''rm'' z příkazové řádky. S výše definovaným aliasem bude třeba potvrdit smazání každého jednotlivého souboru.\\
-Mělo by se jednat o defaultní nastavení, a proto by nemělo být zapotřebí definovat výše uvedený alias.
-==== Zapnutí a vypnutí funkcí SELinux ====
-//SELinux// (**S**ecurity **E**nhanced **Linux**) zvyšuje bezpečnost vašeho systému //Fedora Core// a to tak, že omezuje množinu souborů, se kterými mohou aplikace pracovat a množinu úkonů, které mohou aplikace provádět.\\
-{{ selinux.png }}
-Tato omezení občas mohou způsobovat, že nelze do systému přidávat např. pluginy nebo ovladače, které nepocházejí se standardních repozitářů pro //Fedora Core//.
-//SELinux// má tři základní módy - ''Enforcing'' (Vynucovací), ''Permissive'' (Uvolněný), ''Disabled'' (Vypnutý). Všechny tři se dají nastavit prostřednictvím nabídky //Aplikace -> Prostředí -> Správa -> Úroveň zabezpečení a firewall//. V okně //Nastavení úrovně zabezpečení//, zvolte záložku //SELinux//. Jednotlivé módy je pak možné zvolit v roletkové nabídce položky //Nastavení SELinux//.
-Pokud jste měli //SELinux// vypnutý a zapnete jej, bude třeba systém restartovat a při startu systému počkat, až //SELinux// "označkuje" všechny soubory na disku.
-**Upozornění:** Pokud //SELinux// vypnete (Disabled), vystavujete se většímu riziku napadení vašeho systému.\\
-[[navody:fc6obsah|Hlavní stránka]]
-===== Bezpečnost =====
-==== Základní informace ====
   * Přečtěte si kapitolu [[navody:fc6obsah#Obecné poznámky]].
-Bezpečnost svého systému můžete výrazným způsobem zvýšit dodržováním několika vcelku jednoduchých pravidel. Zde jsou některá z nich.
-  * Ujistěte se, že //BIOS// Vašeho počítače je nastaven tak, aby jako první bootoval z pevného disku. Zabráníte tak tomu, aby někdo např. nabootoval //Linux// z //CD/DVD// mechaniky a získal tak práva superuživatele ke všem datům uloženým na Vašem disku.
-  * Ujistěte se, že //BIOS// je zabezpečen heslem. Tímto způsobem předejdete tomu, aby bylo možné triviálně změnit bootovací sekvenci jednotlivých zařízení.
-  * Ujistěte se, že je počítač uložen a bezpečném místě a že je zamezen přístup všem nepovolaným osobám - takto lze zabránit krádeži disku popř. vyjmutí baterie ze základní desky s cílem vymazat heslo chránící nastavení //BIOS//u.
-  * Ujistěte se, že heslo, které je vyžadováno pro přístup do systému, není triviální. Vaše heslo by mělo mít minimálně osm znaků, obsahovat malá i velká písmena a číslice popř. také speciální znaky (např. @, #, $ apod.).
-  * Ujistěte se, že je zakázána interaktivní editace pro zavaděče //GRUB//. Zabráníte tak tomu, aby někdo modifikoval parametry jádra při jeho zavádění a získal tak práva superuživatele. Přečtěte si kapitolu [[navody:fc6bezpecnost#Zakázání interaktivní editace zavaděče GRUB]].
-  * Ujistěte se, že je zákázáno prohlížení historie v módu konsole - takto lze zabránit, aby bylo možné prohlížet dříve spuštěné příkazy.  Přečtěte si kapitolu [[navody:fc6bezpecnost#Zakázání zobrazování historie v konzolovém módu]].
-  * Ujistěte se, že je zakázána "trojkombinace" //Ctrl+Alt+Del// v módu konsole. Zabráníte tak tomu, aby bylo možné restartovat počítač bez potřebných oprávnění. Přečtěte si kapitolu [[navody:fc6bezpecnost#Zakázání restartování počítače pomocí Ctrl+Alt+Del v konzoli]].
-  * Ujistěte se, že je v konzolovém módu nastaveno vynucené potvrzování pro přesun, přepsání souborů popř. adresářů. Tímto způsobem lze předejít nechtěnému přesunutí nebo přepsání souboru / adresáře. Přečtěte si kapitolu [[navody:fc6bezpecnost#Vynucené potvrzování pro přesun / přepsání souborů a adresářů]].
-  * Do systému se přihlašujte jako superuživatel pouze v případě, že je to nezbytně nutné. Pro standarní činnost se přihlašujte jako běžný uživatel. Předejte tak nechtěnému smazání / modifikaci systémových souborů a adresářů. Přečtěte si kapitolu [[navody:fc6uzivatele#Přidání, editace a mazání uživatelů a skupin]].
-  * Zakažte účet superuživatele a používejte namísto něj příkaz ''sudo''. Tento způsob poskytuje auditní stopu (''/var/log/auth.log''). Přečtěte si kapitolu [[navody:fc6uzivatele#Zakázání účtu superuživatele (root)]].
-  * Nainstalujte firewall. Firewall sice nezaručuje absolutní bezpečnost, avšak představuje první linii obrany proti útokům ze sítě. Přečtěte si kapitolu [[navody:fc6nekomercni_aplikace#Instalace firewallu (Firestarter)]] a [[navody:fc6sit#Otevření/Uzavření portů]].
-  * Otestujte míru "zranitelnosti" Vašeho systému. Vynikající aplikací k těmto účelům je //Nessus//, který provádí řadu testů zaměřených na známé bezpečnostní problémy. Přečtěte si kapitolu [[navody:fc6nekomercni_aplikace#Instalace aplikace pro testování bezpečnosti systému (Nessus)]].
-==== Zakázání interaktivní editace zavaděče GRUB ====
-  * Přečtěte si kapitolu [[navody:fc6obsah#Obecné poznámky].
-V příkazové řádce spusťte
-  grub
-nastavte šifrované heslo
-  grub> md5crypt
-  Password: ****** (Fedora)
-  Encrypted: $1$ZWnke0$1fzDBVjUcT1Mpdd4u/T961 (zakódované heslo)
-a opusťe //GRUB//
-  grub> quit
-Zazálohujte soubor ''menu.lst''
-  cp /boot/grub/menu.lst /boot/grub/menu.lst_backup
-a otevřete jej pomocí textového editoru
-  gedit /boot/grub/menu.lst
-V souboru ''menu.lst'' nalezněte sekci
-  ...
-  ## password ['--md5'] passwd
-  # If used in the first section of a menu file, disable all interactive editing
-  # control (menu entry editor and command-line) and entries protected by the
-  # command 'lock'
-  # e.g. password topsecret
-  #   password --md5 $1$gLhU0/$aW78kHK1QfV3P2b2znUoe/
-  # password topsecret
-  ...
-a pod ní vložte následující řádek
-  password --md5 $1$ZWnke0$1fzDBVjUcT1Mpdd4u/T961 (výše uvedené zakódované heslo)
-Dále v souboru ''menu.lst'' nalezněte sekci
-  ...
-  title		Fedora, kernel 2.6.10-5-386 (recovery mode)
-  root		(hd0,1)
-  kernel		/boot/vmlinuz-2.6.10-5-386 root=/dev/hda2 ro single
-  initrd		/boot/initrd.img-2.6.10-5-386
-  savedefault
-  boot
-  ...
-a nahraďte ji následujícími řádky
-  #title		Fedora, kernel 2.6.10-5-386 (recovery mode)
-  #root		(hd0,1)
-  #kernel		/boot/vmlinuz-2.6.10-5-386 root=/dev/hda2 ro single
-  #initrd		/boot/initrd.img-2.6.10-5-386
-  #savedefault
-  #boot
-**Poznámka:** Pomocí znaku (//#//) jste provedli tzv. "zakomentování" řádek. To znamená, že tyto řádky budou při interpretaci souboru ''menu.lst'' ignorovány.
-Uložte soubor ''menu.lst''.
-==== Zakázání zobrazování historie v konzolovém módu ====
-  * Přečtěte si kapitolu [[navody:fc6obsah#Obecné poznámky].
-  rm -f $HOME/.bash_history
-  touch $HOME/.bash_history
-  chmod 000 $HOME/.bash_history
-==== Zakázání restartování počítače pomocí Ctrl+Alt+Del v konzoli ====
-  * Přečtěte si kapitolu [[navody:fc6obsah#Obecné poznámky].
-Zazálohujte soubor ''inittab''
-  cp /etc/inittab /etc/inittab_backup
-a otevřete jej pomocí textového editoru
-  gedit /etc/inittab
-V souboru ''inittab'' nalezněte řádek
-  ...
-  ca:12345:ctrlaltdel:/sbin/shutdown -t1 -a -r now
-  ...
-nahraďte ho následujícím řádkem
-  #ca:12345:ctrlaltdel:/sbin/shutdown -t1 -a -r now
-a uložte soubor. Níže uvedeným příkazem načtěte opětovně soubor ''inittab''.
-  /sbin/telinit q
-==== Vynucené potvrzování pro přesun / přepsání souborů a adresářů ====
-  * Přečtěte si kapitolu [[navody:fc6obsah#Obecné poznámky].
 Zazálohujte konfigurační soubor ''bash.bashrc''.
@@ Řádek 293: / Řádek 74: @@
 Mělo by se jednat o defaultní nastavení, a proto by nemělo být zapotřebí definovat výše uvedený alias.
-==== Zapnutí a vypnutí funkcí SELinux ====
-//SELinux// (**S**ecurity **E**nhanced **Linux**) zvyšuje bezpečnost vašeho systému //Fedora Core// a to tak, že omezuje množinu souborů, se kterými mohou aplikace pracovat a množinu úkonů, které mohou aplikace provádět.\\
+==== SELinux ====
+SELinux (Security Enhanced Linux) zvyšuje bezpečnost Vašeho systému Fedora Core tak, že omezuje množinu souborů, se kterými mohou aplikace pracovat a množinu úkonů, které mohou tyto aplikace provádět. Bezpečnostní přínos SELinuxu tak spočívá v tom, že implementuje mechanismus kontroly přístupů. Více o //SELinux//u se dočtete v samostatné [[navody:fc6selinux|kapitole]].
-{{ selinux.png }}
-Tato omezení občas mohou způsobovat, že nelze do systému přidávat např. pluginy nebo ovladače, které nepocházejí se standardních repozitářů pro //Fedora Core//.
-//SELinux// má tři základní módy - ''Enforcing'' (Vynucovací), ''Permissive'' (Uvolněný), ''Disabled'' (Vypnutý). Všechny tři se dají nastavit prostřednictvím nabídky //Aplikace -> Prostředí -> Správa -> Úroveň zabezpečení a firewall//. V okně //Nastavení úrovně zabezpečení//, zvolte záložku //SELinux//. Jednotlivé módy je pak možné zvolit v roletkové nabídce položky //Nastavení SELinux//.
-Pokud jste měli //SELinux// vypnutý a zapnete jej, bude třeba systém restartovat a při startu systému počkat, až //SELinux// "označkuje" všechny soubory na disku.
-**Upozornění:** Pokud //SELinux// vypnete (Disabled), vystavujete se většímu riziku napadení vašeho systému.
 ===== =====
+[[navody:fc6obsah|Hlavní stránka]]