Toto je starší verze dokumentu!
Bezpečnost
Základní informace
- Přečtěte si kapitolu Obecné poznámky.
Bezpečnost svého systému může výrazným způsobem zvýšit dodržováním několika vcelku jednoduchým pravidel. Zde jsou některá z nich.
- Ujistěte se, že BIOS Vašeho počítače je nastaven tak, aby jako první bootoval z pevného disku. Zabráníte tak tomu, aby někdo např. nabootoval Linux z CD/DVD mechaniky a získal tak práva superuživatele ke všem datům uloženým na Vašem disku.
- Ujistěte se, že BIOS je zabezpečen heslem. Tímto způsobem předejdete tomu, aby bylo možné triviálně změnit bootovací sekvenci jednotlivých zařízení.
- Ujistěte se, že počítač je uložen a bezpečném místě a že je zamezen přístup všem nepovolaným osobám - takto lze zabránit krádeži disku popř. vyjmutí baterie ze základní desky s cílem vymazat heslo chránící nastavení BIOSu.
- Ujistěte se, že heslo, které je vyžadováno pro přístup do systému, není triviální. Vaše heslo by mělo mít minimálně osm znaků a obsahovat malá i velká písmena a číslice popř. také speciální znaky (např. @, #, $ apod.).
- Ujistěte se, že je zakázána interaktivní editace pro zavaděče GRUB. Zabráníte tak tomu, aby někdo modifikoval parametry jádra při jeho zavádění a získal tak práva superuživatele. Přečtěte si kapitolu Zakázání interaktivní editace zavaděče GRUB.
- Ujistěte se, že je zákázáno prohlížení historie v módu konsole - takto lze zabránit, aby bylo možné prohlížet dříve spuštěné příkazy. Přečtěte si kapitolu Zakázání zobrazování historie v konzolovém módu.
- Ujistěte se, že je zakázána „trojkombinace“ Ctrl+Alt+Del v módu konsole. Zabráníte tak tomu, aby bylo možné restartovat počítač bez potřebných oprávnění v konzoli. Přečtěte si kapitolu Zakázání restartování počítače pomocí Ctrl+Alt+Del v konzoli.
- Ujistěte se, že je v konzolovém módu nastaveno vynucené potvrzování pro přesun, přepsání souborů popř. adresářů. Tímto způsobem lze předejít nechtěnému přesunutí nebo přepsání souboru / adresáře. Přečtěte si kapitolu Vynucené potvrzování pro přesun / přepsání souborů a adresářů.
- Do systému se přihlašujte jako superuživatel pouze v případě, že je to nezbytně nutné. Pro standarní činnost se přihlašujte jako běžný uživatel. Předejte tak nechtěnému smazání / modifikaci systémových souborů a adresářů. Přečtěte si kapitolu Přidání, editace a mazání uživatelů a skupin.
- Zakažte účet superuživatele a používejte namísto něj příkaz sudo. Tento způsob poskytuje auditní stopu (/var/log/auth.log). Přečtěte si kapitolu Zakázání účtu superuživatele (root).
- Nainstalujte firewall. Firewall sice nezaručuje absolutní bezpečnost, avšak představuje první linii obrany proti útokům ze sítě. Přečtěte si kapitolu Instalace Firewallu (Firestarter).
- Otestujte míru „zranitelnosti“ Vašho systému. Vynikající aplikací k těmto účelům je Nessus, který provádí řadu testů zaměřených na známé bezpečnostní problémy. Přečtěte si kapitolu Instalace aplikace pro testování bezpečnosti systému (Nessus)
(pozn. v původním materiálu neexistuje odkaz).
Zakázání interaktivní editace zavaděče GRUB
- Přečtěte si kapitolu Obecné poznámky.
grub
grub> md5crypt
Password: ****** (Fedora) Encrypted: $1$ZWnke0$1fzDBVjUcT1Mpdd4u/T961 (zakódované heslo) grub> quit
cp /boot/grub/menu.lst /boot/grub/menu.lst_backup gedit /boot/grub/menu.lst
V souboru menu.lst nalezněte sekci
... ## password ['--md5'] passwd # If used in the first section of a menu file, disable all interactive editing # control (menu entry editor and command-line) and entries protected by the # command 'lock' # e.g. password topsecret # password --md5 $1$gLhU0/$aW78kHK1QfV3P2b2znUoe/ # password topsecret ...
a ní vložte následující řádek
password --md5 $1$ZWnke0$1fzDBVjUcT1Mpdd4u/T961 (výše uvedené zakódované heslo)
V souboru menu.lst nalezněte sekci
... title Fedora, kernel 2.6.10-5-386 (recovery mode) root (hd0,1) kernel /boot/vmlinuz-2.6.10-5-386 root=/dev/hda2 ro single initrd /boot/initrd.img-2.6.10-5-386 savedefault boot ...
a nahraďte ji následujícími řádky
#title Fedora, kernel 2.6.10-5-386 (recovery mode) #root (hd0,1) #kernel /boot/vmlinuz-2.6.10-5-386 root=/dev/hda2 ro single #initrd /boot/initrd.img-2.6.10-5-386 #savedefault #boot
pozn: Tímto jste provedli tzv. „zakomentování“ řádek. To znamená, že tyto řádky budou při interpretaci souboru menu.lst ignorovány.
Uložte soubor menu.lst.
Zakázání zobrazování historie v konzolovém módu
- Přečtěte si kapitolu Obecné poznámky.
rm -f $HOME/.bash_history touch $HOME/.bash_history chmod 000 $HOME/.bash_history
Zakázání restartování počítače pomocí Ctrl+Alt+Del v konzoli
- Přečtěte si kapitolu Obecné poznámky.
cp /etc/inittab /etc/inittab_backup gedit /etc/inittab
V souboru inittab nalezněte řádek
... ca:12345:ctrlaltdel:/sbin/shutdown -t1 -a -r now ...
nahraďte ho následujícím řádkem
#ca:12345:ctrlaltdel:/sbin/shutdown -t1 -a -r now
a uložte soubor.
telinit q