[[fc5prirucka|Hlavní stránka]] ===== Bezpečnost ===== ==== Základní informace ==== * Přečtěte si kapitolu [[fc5prirucka#Obecné poznámky]]. Bezpečnost svého systému můžete výrazným způsobem zvýšit dodržováním několika vcelku jednoduchých pravidel. Zde jsou některá z nich. * Ujistěte se, že //BIOS// Vašeho počítače je nastaven tak, aby jako první bootoval z pevného disku. Zabráníte tak tomu, aby někdo např. nabootoval Linux z //CD/DVD// mechaniky a získal tak práva superuživatele ke všem datům uloženým na Vašem disku. * Ujistěte se, že //BIOS// je zabezpečen heslem. Tímto způsobem předejdete tomu, aby bylo možné triviálně změnit bootovací sekvenci jednotlivých zařízení. * Ujistěte se, že počítač je uložen a bezpečném místě a že je zamezen přístup všem nepovolaným osobám - takto lze zabránit krádeži disku popř. vyjmutí baterie ze základní desky s cílem vymazat heslo chránící nastavení //BIOS//u. * Ujistěte se, že heslo, které je vyžadováno pro přístup do systému, není triviální. Vaše heslo by mělo mít minimálně osm znaků a obsahovat malá i velká písmena a číslice popř. také speciální znaky (např. @, #, $ apod.). * Ujistěte se, že je zakázána interaktivní editace pro zavaděče //GRUB//. Zabráníte tak tomu, aby někdo modifikoval parametry jádra při jeho zavádění a získal tak práva superuživatele. Přečtěte si kapitolu [[fc5prirucka13#Zakázání interaktivní editace zavaděče GRUB]]. * Ujistěte se, že je zákázáno prohlížení historie v módu konsole - takto lze zabránit, aby bylo možné prohlížet dříve spuštěné příkazy. Přečtěte si kapitolu [[fc5prirucka13#Zakázání zobrazování historie v konzolovém módu]]. * Ujistěte se, že je zakázána "trojkombinace" //Ctrl+Alt+Del// v módu konsole. Zabráníte tak tomu, aby bylo možné restartovat počítač bez potřebných oprávnění. Přečtěte si kapitolu [[fc5prirucka13#Zakázání restartování počítače pomocí Ctrl+Alt+Del v konzoli]]. * Ujistěte se, že je v konzolovém módu nastaveno vynucené potvrzování pro přesun, přepsání souborů popř. adresářů. Tímto způsobem lze předejít nechtěnému přesunutí nebo přepsání souboru / adresáře. Přečtěte si kapitolu [[fc5prirucka13#Vynucené potvrzování pro přesun / přepsání souborů a adresářů]]. * Do systému se přihlašujte jako superuživatel pouze v případě, že je to nezbytně nutné. Pro standarní činnost se přihlašujte jako běžný uživatel. Předejte tak nechtěnému smazání / modifikaci systémových souborů a adresářů. Přečtěte si kapitolu [[fc5prirucka7#Přidání, editace a mazání uživatelů a skupin]]. * Zakažte účet superuživatele a používejte namísto něj příkaz //sudo//. Tento způsob poskytuje auditní stopu (/var/log/auth.log). Přečtěte si kapitolu [[fc5prirucka7#Zakázání účtu superuživatele (root)]]. * Nainstalujte firewall. Firewall sice nezaručuje absolutní bezpečnost, avšak představuje první linii obrany proti útokům ze sítě. Přečtěte si kapitolu [[fc5prirucka4#Instalace firewallu (Firestarter)]] a [[navody:fc5prirucka10#Otevření/Uzavření portů]]. * Otestujte míru "zranitelnosti" Vašeho systému. Vynikající aplikací k těmto účelům je //Nessus//, který provádí řadu testů zaměřených na známé bezpečnostní problémy. Přečtěte si kapitolu [[fc5prirucka4#Instalace aplikace pro testování bezpečnosti systému (Nessus)]]. ==== Zakázání interaktivní editace zavaděče GRUB ==== * Přečtěte si kapitolu [[fc5prirucka#Obecné poznámky]]. grub grub> md5crypt Password: ****** (Fedora) Encrypted: $1$ZWnke0$1fzDBVjUcT1Mpdd4u/T961 (zakódované heslo) grub> quit cp /boot/grub/menu.lst /boot/grub/menu.lst_backup gedit /boot/grub/menu.lst V souboru ''menu.lst'' nalezněte sekci ... ## password ['--md5'] passwd # If used in the first section of a menu file, disable all interactive editing # control (menu entry editor and command-line) and entries protected by the # command 'lock' # e.g. password topsecret # password --md5 $1$gLhU0/$aW78kHK1QfV3P2b2znUoe/ # password topsecret ... a ní vložte následující řádek password --md5 $1$ZWnke0$1fzDBVjUcT1Mpdd4u/T961 (výše uvedené zakódované heslo) V souboru ''menu.lst'' nalezněte sekci ... title Fedora, kernel 2.6.10-5-386 (recovery mode) root (hd0,1) kernel /boot/vmlinuz-2.6.10-5-386 root=/dev/hda2 ro single initrd /boot/initrd.img-2.6.10-5-386 savedefault boot ... a nahraďte ji následujícími řádky #title Fedora, kernel 2.6.10-5-386 (recovery mode) #root (hd0,1) #kernel /boot/vmlinuz-2.6.10-5-386 root=/dev/hda2 ro single #initrd /boot/initrd.img-2.6.10-5-386 #savedefault #boot **Poznámka:** Tímto jste provedli tzv. "zakomentování" řádek. To znamená, že tyto řádky budou při interpretaci souboru ''menu.lst'' ignorovány. Uložte soubor ''menu.lst''. ==== Zakázání zobrazování historie v konzolovém módu ==== * Přečtěte si kapitolu [[fc5prirucka#Obecné poznámky]]. rm -f $HOME/.bash_history touch $HOME/.bash_history chmod 000 $HOME/.bash_history ==== Zakázání restartování počítače pomocí Ctrl+Alt+Del v konzoli ==== * Přečtěte si kapitolu [[fc5prirucka#Obecné poznámky]]. cp /etc/inittab /etc/inittab_backup gedit /etc/inittab V souboru ''inittab'' nalezněte řádek ... ca:12345:ctrlaltdel:/sbin/shutdown -t1 -a -r now ... nahraďte ho následujícím řádkem #ca:12345:ctrlaltdel:/sbin/shutdown -t1 -a -r now a uložte soubor. telinit q ==== Vynucené potvrzování pro přesun / přepsání souborů a adresářů ==== * Přečtěte si kapitolu [[fc5prirucka#Obecné poznámky]]. Zazálohujte konfigurační soubor ''bash.bashrc''. cp /etc/bashrc /etc/bashrc_backup Otevřete tento soubor pomocí gedit /etc/bashrc na jeho konec přidejte alias rm='rm -i' alias cp='cp -i' alias mv='mv -i' a soubor uložte. **Poznámka: ** Tímto způsobem je ošetřen pouze případ, kdy uživatel zadá smazání více souborů pomocí ''rm'' z příkazové řádky. S výše definovaným aliasem bude třeba potvrdit smazání každého jednotlivého souboru. **Poznámka:** Mělo by se jednat o defaultní nastavení a proto by mělo být zapotřebí definovat výše uvedený alias. ==== Zapnutí a vypnutí funkcí SELinux ==== //SELinux// (**S**ecurity **E**nhanced **Linux**) zvyšuje bezpečnost vašeho systému //Fedora Core// a to tak, že omezuje množinu souborů, se kterými mohou aplikace pracovat a množinu úkonů, které mohou aplikace provádět. Tato omezení občas mohou způsobovat, že nelze do systému jednoduše přidávat např. pluginy nebo ovladače, které nepocházejí se standardních repozitářů pro //Fedora Core//. //SELinux// má tři základné módy - ''Enforcing'' (Vynucovací), ''Permissive'' (Uvolněný), ''Disabled'' (Vypnutý). Všechny tři se dají nastavit prostřednictvím nabídky //Aplikace -> Prostředí -> Správa -> Úroveň zabezpečení a firewall//. V okně //Nastavení úrovně zabezpečení//, zvolte záložku //SELinux//. Jednotlivé módy je pak možné zvolit v roletkové nabídce položky //Nastavení SELinux//. Pokud jste měli //SELinux// vypnutý a zapnete jej, bude třeba systém restartovat a při startu systému počkat, až //SELinux// "označkuje" všechny soubory na disku. **Upozornění:** Pokud //SELinux// vypnete (Disabled), vystavujete se většímu riziku napadení vašeho systému. ===== ===== [[fc5prirucka|Hlavní stránka]]