navody:fc6bezpecnost

Rozdíly

Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.

Odkaz na výstup diff

Obě strany předchozí revize Předchozí verze
navody:fc6bezpecnost [2007/03/10 10:04] mackynavody:fc6bezpecnost [2022/11/14 12:25] (aktuální) – upraveno mimo DokuWiki 127.0.0.1
Řádek 1: Řádek 1:
 +[[navody:fc6obsah|Hlavní stránka]]
  
 +===== Bezpečnost =====
 +
 +==== Základní informace ====
 +  * Přečtěte si kapitolu [[navody:fc6obsah#Obecné poznámky]].
 +
 +Bezpečnost svého systému můžete výrazným způsobem zvýšit dodržováním několika vcelku jednoduchých pravidel. Zde jsou některá z nich.
 +  * Ujistěte se, že //BIOS// Vašeho počítače je nastaven tak, aby jako první bootoval z pevného disku. Zabráníte tak tomu, aby někdo např. nabootoval //Linux// z //CD/DVD// mechaniky a získal tak práva superuživatele ke všem datům uloženým na Vašem disku.
 +  * Ujistěte se, že //BIOS// je zabezpečen heslem. Tímto způsobem předejdete tomu, aby bylo možné triviálně změnit bootovací sekvenci jednotlivých zařízení.
 +  * Ujistěte se, že je počítač uložen a bezpečném místě a že je zamezen přístup všem nepovolaným osobám - takto lze zabránit krádeži disku popř. vyjmutí baterie ze základní desky s cílem vymazat heslo chránící nastavení //BIOS//u.
 +  * Ujistěte se, že heslo, které je vyžadováno pro přístup do systému, není triviální. Vaše heslo by mělo mít minimálně osm znaků, obsahovat malá i velká písmena a číslice popř. také speciální znaky (např. @, #, $ apod.).
 +  * Ujistěte se, že je zakázána interaktivní editace pro zavaděče //GRUB//. Zabráníte tak tomu, aby někdo modifikoval parametry jádra při jeho zavádění a získal tak práva superuživatele. Přečtěte si kapitolu [[navody:fc6grub#Zakázání interaktivní editace zavaděče GRUB]].
 +  * Ujistěte se, že je zákázáno prohlížení historie v módu konsole - takto lze zabránit, aby bylo možné prohlížet dříve spuštěné příkazy.  Přečtěte si kapitolu [[navody:fc6bezpecnost#Zakázání zobrazování historie v konzolovém módu]].
 +  * Ujistěte se, že je zakázána "trojkombinace" //Ctrl+Alt+Del// v módu konsole. Zabráníte tak tomu, aby bylo možné restartovat počítač bez potřebných oprávnění. Přečtěte si kapitolu [[navody:fc6bezpecnost#Zakázání restartování počítače pomocí Ctrl+Alt+Del v konzoli]].
 +  * Ujistěte se, že je v konzolovém módu nastaveno vynucené potvrzování pro přesun, přepsání souborů popř. adresářů. Tímto způsobem lze předejít nechtěnému přesunutí nebo přepsání souboru / adresáře. Přečtěte si kapitolu [[navody:fc6bezpecnost#Vynucené potvrzování pro přesun / přepsání souborů a adresářů]].
 +  * Do systému se přihlašujte jako superuživatel pouze v případě, že je to nezbytně nutné. Pro standarní činnost se přihlašujte jako běžný uživatel. Předejte tak nechtěnému smazání / modifikaci systémových souborů a adresářů. Přečtěte si kapitolu [[navody:fc6uzivatele#Přidání, editace a mazání uživatelů a skupin]].
 +  * Zakažte účet superuživatele a používejte namísto něj příkaz ''sudo''. Tento způsob poskytuje auditní stopu (''/var/log/auth.log''). Přečtěte si kapitolu [[navody:fc6uzivatele#Zakázání účtu superuživatele (root)]].
 +  * Nainstalujte firewall. Firewall sice nezaručuje absolutní bezpečnost, avšak představuje první linii obrany proti útokům ze sítě. Přečtěte si kapitolu [[navody:fc6nekomercni_aplikace#Instalace firewallu (Firestarter)]] a [[navody:fc6sit#Otevření/Uzavření portů]].
 +  * Otestujte míru "zranitelnosti" Vašeho systému. Vynikající aplikací k těmto účelům je //Nessus//, který provádí řadu testů zaměřených na známé bezpečnostní problémy. Přečtěte si kapitolu [[navody:fc6nekomercni_aplikace#Instalace aplikace pro testování bezpečnosti systému (Nessus)]].
 +
 +==== Zakázání zobrazování historie v konzolovém módu ====
 +  * Přečtěte si kapitolu [[navody:fc6obsah#Obecné poznámky]].
 +
 +  rm -f $HOME/.bash_history
 +  touch $HOME/.bash_history
 +  chmod 000 $HOME/.bash_history
 +
 +==== Zakázání restartování počítače pomocí Ctrl+Alt+Del v konzoli ====
 +  * Přečtěte si kapitolu [[navody:fc6obsah#Obecné poznámky]].
 +
 +Zazálohujte soubor ''inittab''
 +
 +  cp /etc/inittab /etc/inittab_backup
 +
 +a otevřete jej pomocí textového editoru
 +
 +  gedit /etc/inittab
 +
 +V souboru ''inittab'' nalezněte řádek
 +
 +  ...
 +  ca:12345:ctrlaltdel:/sbin/shutdown -t1 -a -r now
 +  ...
 +
 +nahraďte ho následujícím řádkem
 +
 +  #ca:12345:ctrlaltdel:/sbin/shutdown -t1 -a -r now
 +
 +a uložte soubor. Níže uvedeným příkazem načtěte opětovně soubor ''inittab''.
 +
 +  /sbin/telinit q
 +
 +==== Vynucené potvrzování pro přesun / přepsání souborů a adresářů ====
 +  * Přečtěte si kapitolu [[navody:fc6obsah#Obecné poznámky]].
 +
 +Zazálohujte konfigurační soubor ''bash.bashrc''.
 +
 +  cp /etc/bashrc /etc/bashrc_backup
 +
 +Otevřete tento soubor pomocí
 +
 +  gedit /etc/bashrc
 +
 +na jeho konec přidejte
 +
 +  alias rm='rm -i'
 +  alias cp='cp -i'
 +  alias mv='mv -i'
 +
 +a soubor uložte.
 +
 +**Poznámka: ** Tímto způsobem je ošetřen pouze případ, kdy uživatel zadá smazání více souborů pomocí ''rm'' z příkazové řádky. S výše definovaným aliasem bude třeba potvrdit smazání každého jednotlivého souboru.\\
 +Mělo by se jednat o defaultní nastavení, a proto by nemělo být zapotřebí definovat výše uvedený alias.
 +
 +
 +==== SELinux ====
 +SELinux (Security Enhanced Linux) zvyšuje bezpečnost Vašeho systému Fedora Core tak, že omezuje množinu souborů, se kterými mohou aplikace pracovat a množinu úkonů, které mohou tyto aplikace provádět. Bezpečnostní přínos SELinuxu tak spočívá v tom, že implementuje mechanismus kontroly přístupů. Více o //SELinux//u se dočtete v samostatné [[navody:fc6selinux|kapitole]].
 +
 +===== =====
 +[[navody:fc6obsah|Hlavní stránka]]