navody:fc6bezpecnost

Hlavní stránka

Bezpečnost

Základní informace

Bezpečnost svého systému můžete výrazným způsobem zvýšit dodržováním několika vcelku jednoduchých pravidel. Zde jsou některá z nich.

  • Ujistěte se, že BIOS Vašeho počítače je nastaven tak, aby jako první bootoval z pevného disku. Zabráníte tak tomu, aby někdo např. nabootoval Linux z CD/DVD mechaniky a získal tak práva superuživatele ke všem datům uloženým na Vašem disku.
  • Ujistěte se, že BIOS je zabezpečen heslem. Tímto způsobem předejdete tomu, aby bylo možné triviálně změnit bootovací sekvenci jednotlivých zařízení.
  • Ujistěte se, že je počítač uložen a bezpečném místě a že je zamezen přístup všem nepovolaným osobám - takto lze zabránit krádeži disku popř. vyjmutí baterie ze základní desky s cílem vymazat heslo chránící nastavení BIOSu.
  • Ujistěte se, že heslo, které je vyžadováno pro přístup do systému, není triviální. Vaše heslo by mělo mít minimálně osm znaků, obsahovat malá i velká písmena a číslice popř. také speciální znaky (např. @, #, $ apod.).
  • Ujistěte se, že je zakázána interaktivní editace pro zavaděče GRUB. Zabráníte tak tomu, aby někdo modifikoval parametry jádra při jeho zavádění a získal tak práva superuživatele. Přečtěte si kapitolu Zakázání interaktivní editace zavaděče GRUB.
  • Ujistěte se, že je zákázáno prohlížení historie v módu konsole - takto lze zabránit, aby bylo možné prohlížet dříve spuštěné příkazy. Přečtěte si kapitolu Zakázání zobrazování historie v konzolovém módu.
  • Ujistěte se, že je zakázána „trojkombinace“ Ctrl+Alt+Del v módu konsole. Zabráníte tak tomu, aby bylo možné restartovat počítač bez potřebných oprávnění. Přečtěte si kapitolu Zakázání restartování počítače pomocí Ctrl+Alt+Del v konzoli.
  • Ujistěte se, že je v konzolovém módu nastaveno vynucené potvrzování pro přesun, přepsání souborů popř. adresářů. Tímto způsobem lze předejít nechtěnému přesunutí nebo přepsání souboru / adresáře. Přečtěte si kapitolu Vynucené potvrzování pro přesun / přepsání souborů a adresářů.
  • Do systému se přihlašujte jako superuživatel pouze v případě, že je to nezbytně nutné. Pro standarní činnost se přihlašujte jako běžný uživatel. Předejte tak nechtěnému smazání / modifikaci systémových souborů a adresářů. Přečtěte si kapitolu Přidání, editace a mazání uživatelů a skupin.
  • Zakažte účet superuživatele a používejte namísto něj příkaz sudo. Tento způsob poskytuje auditní stopu (/var/log/auth.log). Přečtěte si kapitolu Zakázání účtu superuživatele (root).
  • Nainstalujte firewall. Firewall sice nezaručuje absolutní bezpečnost, avšak představuje první linii obrany proti útokům ze sítě. Přečtěte si kapitolu Instalace firewallu (Firestarter) a Otevření/Uzavření portů.
  • Otestujte míru „zranitelnosti“ Vašeho systému. Vynikající aplikací k těmto účelům je Nessus, který provádí řadu testů zaměřených na známé bezpečnostní problémy. Přečtěte si kapitolu Instalace aplikace pro testování bezpečnosti systému (Nessus).

Zakázání zobrazování historie v konzolovém módu

rm -f $HOME/.bash_history
touch $HOME/.bash_history
chmod 000 $HOME/.bash_history

Zakázání restartování počítače pomocí Ctrl+Alt+Del v konzoli

Zazálohujte soubor inittab 

cp /etc/inittab /etc/inittab_backup

a otevřete jej pomocí textového editoru 

gedit /etc/inittab

V souboru inittab nalezněte řádek 

...
ca:12345:ctrlaltdel:/sbin/shutdown -t1 -a -r now
...

nahraďte ho následujícím řádkem 

#ca:12345:ctrlaltdel:/sbin/shutdown -t1 -a -r now

a uložte soubor. Níže uvedeným příkazem načtěte opětovně soubor inittab. 

/sbin/telinit q

Vynucené potvrzování pro přesun / přepsání souborů a adresářů

Zazálohujte konfigurační soubor bash.bashrc. 

cp /etc/bashrc /etc/bashrc_backup

Otevřete tento soubor pomocí 

gedit /etc/bashrc

na jeho konec přidejte 

alias rm='rm -i'
alias cp='cp -i'
alias mv='mv -i'

a soubor uložte.

Poznámka: Tímto způsobem je ošetřen pouze případ, kdy uživatel zadá smazání více souborů pomocí rm z příkazové řádky. S výše definovaným aliasem bude třeba potvrdit smazání každého jednotlivého souboru.
Mělo by se jednat o defaultní nastavení, a proto by nemělo být zapotřebí definovat výše uvedený alias.

SELinux

SELinux (Security Enhanced Linux) zvyšuje bezpečnost Vašeho systému Fedora Core tak, že omezuje množinu souborů, se kterými mohou aplikace pracovat a množinu úkonů, které mohou tyto aplikace provádět. Bezpečnostní přínos SELinuxu tak spočívá v tom, že implementuje mechanismus kontroly přístupů. Více o SELinuxu se dočtete v samostatné kapitole.

Hlavní stránka

  • Poslední úprava: 2022/11/14 12:25
  • autor: 127.0.0.1