1.  Fysische veiligheid

Hoeveel veiligheidsmaatregelen je ook treft, ze kunnen allemaal omzeild worden indien de aanvaller fysische toegang heeft tot je pc. Zorg er dus voor dat je hardware niet gewoonweg bereikbaar is voor jan en alleman. Bijvoorbeeld kan je je pc in een gesloten serverkast plaatsen. Het sluiten van je pc-kast is ook een goed idee. Om de hoogste veiligheid te verkrijgen is het het best dat je je BIOS instelt om enkel van HD te kunnen booten. Maw schakel booten van floppy en CD-ROM uit. Voor de paranoide mensen is het instellen van een BIOS- en bootpaswoord ook aangeraden. BIOS paswoorden zijn vooral aangeraden bij laptopgebruikers.

1.  Daemon/Service Planning

Documenteer welke services er op de pc moeten of zullen draaien. Dit zal je helpen in het opstellen van een goed partitioneerschema voor je systeem. Het zal tevens je ID strategy (Intrusion Detection - Inbraakpoging detectie) vereenvoudigen.

Natuurlijk is het bijhouden van de gedocumenteerde informatie niet noodzakelijk indien je maar 1 of enkele pc's hebt en je de enige bent die er gebruik van maakt.

Bijvoorbeeld:

Vraag: De computer moet als firewall dienen. Welke services zou het moeten draaien?

Antwoord: geeneen, behalve misschien ssh.

Documenteer dit en noteer tevens de huidige versie van SSH - dat zal je helpen met het onderhoud van je systeem indien iemand een veiligheidsprobleem vindt in sshd. Dit zal je tevens helpen met het beoordelen van wie wel en niet toegang moet krijgen tot dat systeem.

1.  Partitioneringsschema's

Gouden regels:

• Elke directorie waarnaartoe een gebruiker kan schrijven (/home, /tmp en /var in de meeste gevallen) dienen op een aparte partitie te komen waarop disk quota's ingesteld worden. Portage maakt gebruik van /var/tmp om broncode te compileren dus deze partitie moet groot genoeg zijn. Dit vermindert het risico dat een gebruiker je "/" mountpoint opvult.
• Elke directoriestructuur waar je niet-distibutie software in wil installeren moet op een aparte partitie komen. Volgens de File Hierarchy Standard (Engels, Standaard voor bestandsstructuur) zijn deze directories /opt of /usr/local. Indien deze aparte partities zijn zullen zij dus niet verwijderd worden indien je het systeem opnieuw installeert, wat de kans op extra downtime van je systeem vermindert.
• Probeer statische data op zijn eigen partitie te plaatsen, en mount deze partitie read-only (alleen-lezen). Indien je echt paranoide bent kan je deze data proberen te branden op alleen-lezen-media zoals CD-ROMs.

1.  De root gebruiker

De rootgebruiker is de meest belangrijke maar tevens kwetsbare gebruiker van je systeem en dient niet gebruikt te worden tenzij dit absoluut noodzakelijk is. Indien een aanvaller root-toegang tot je systeem verkregen heeft kan je niets meer van je systeem vertrouwen, en moet je deze dus herinstalleren. Compleet. Inclusief de voordien vermelde niet-distributie software, ook al staat deze op een aparte partitie.

De gouden regels aangaande de root-gebruiker:

• Maak altijd een gebruiker aan voor algemeen gebruik van je systeem. Indien nodig voeg je deze gebruiker toe aan de wheel-groep zodat deze kan su'en naar root.
• Draai nooit X of andere gewone gebruikersapplicaties als root.
• Gebruik altijd volledige padnamen indien je werkt als root. Het is immers mogelijk om root andere applicaties te doen draaien dan dat hij wenst. Bijvoorbeeld indien iemand met jouw gebruiker's PATH-variabele geknoeid heeft, en je gebruiker gaat naar root dmv su ipv su -, dan maakt de root gebruik van die gebruiker zijn PATH en niet die van de root-gebruiker zelf.
• Indien een gebruiker enkel een klein scala aan commando's dient uit te voeren als root, overweeg dan het gebruik van sudo, maar wees voorzichtig bij het configureren!
• Laat nooit een root-terminal open staan.

Gentoo heeft een algemene veiligheidsmaatregel tegen gebruikers die proberen te su'en. De default instellingen van PAM laten immers niet toe dat gebruikers die geen lid zijn van de wheel-groep kunnen su'en.

1.  Beleidsverklaringen (Policies)

Er zijn verschillende redenen waarom beleidsverklaringen nodig zijn.

• Je kan niet verklaren dat je netwerk veilig is zonder een definitie te geven van "veilig".
• Het is bijna onmogelijk om potentiele aanvallers vast te grijpen, netwerkproblemen op te lossen of audit's uit te voeren zonder dat je je netwerktraffic bekijkt of in private homedirectories van gebruikers neust. En aangezien dergelijke controles illegaal zijn zonder dat de gebruiker dit goedgekeurd heeft, en ongeveer 60% van alle aanvallen van binnenin de organisatie komen, is het belangrijk dat je een wakend oog hebt en een beleid opstelt.
• Je kan niet verwachten van je gebruikers dat ze aan veiligheid denken, indien je hen nooit uitlegt waarom en hoe ze zich moeten beschermen tegen zichzelf of andere collega's.
• Goede regels en netwerkdocumentatie zijn altijd positief, onafhankelijk van de situatie.
• De politie of het federaal rechtssysteem kan je niet helpen met het vatten van de aanvaller indien ze niet weten hoe je netwerk in elkaar zit of welke services je aanbiedt.
• Wat zal je doen als er een aanval succesvol uitgevoerd werd? Je moet definieren wat je dan zal doen en wie je ervan op de hoogte houdt. Ga je de politie of een CERT team bij elke mogelijke poging al contacteren? Ze zullen je niet serieus nemen...

Deze zaken zouden je duidelijk moeten gemaakt hebben waarom beleidsverklaringen belangrijk zijn bij systemen met meer dan 1 gebruiker en waarom je je gebruikers moet informeren.

Een beleidsverklaring is een document (of meerdere documenten) met antwoorden op vragen zoals wie, waar, waarom en wat. Elke gebruiker op je systeem/netwerk zou dat document moeten lezen, begrijpen en ondertekenen. Het is belangrijk dat je de tijd neemt om de gebruikers te helpen met het interpreteren van je beleidsverklaring en met het waarom van het ondertekenen, alsook met de repercussies indien ze tegen het beleid in gaan (dit moet tevens in de beleidsverklaring staan). Dit moet minstens 1 keer per jaar herhaald worden, niet enkel omdat het beleid kan veranderen, maar tevens als herinnering voor de gebruikers.

De meeste onderdelen van een beleidsverklaring kunnen direct op het besturingssysteem toegepast worden of via firewalls, maar andere kunnen dan weer niet geautomatiseerd worden.

1.  Veiligheidsbeleid

Een veiligheidsbeleid is eigenlijk een verzameling van regels die voor de veiligheid van je netwerk of systeem instaan. Het is een document die informatie bevat aangaande de computers, het netwerk, de paswoorden, de e-mail-regels, hoe je gebruikers zich al dan niet moeten gedragen, wat er moet gedaan worden indien er een al-dan-niet succesvolle aanval is geweest, hoe computers geinstalleerd worden, hoe het infrastructuur eruit moet zien etc...

Een veiligheidsbeleid moet op zijn minst de volgende onderwerpen aansnijden:

• Aanvaardbaar gebruik.
• • Schermbeveiligingen
  • Paswoordonderhoud
  • Downloaden van software
  • Kennisgeving van "spionering"
  • Gebruik van anti-virus software
  • etc.
• Gebruik van belangrijke, gevoelige informatie (eender welke vorm: telefoon, fax, papier, digitaal, ...).
• • Overzichtelijk bureau en documenten achter slot en grendel
  • Afsluiten van pc's alvorens de zaal/kamer te verlaten
  • Gebruik van encryptie
  • Gebruik van sleutels en uitwisseling met vertrouwde collega's
  • Gebruik van gevoelige informatie tijdens transport of reis
• Gebruik van computermateriaal tijdens transport of reis
• • Gebruik van laptop in hotels, conferenties, ...

Het beleid voor IT-mensen kan verschillen van die van gewone gebruikers.

Het veiligheidsbeleid kan zeer groot worden, en belangrijke informatie kan gemakkelijk vergeten worden. De IT-mensen hun beleid kan informatie bevatten die geheim is voor de gewone gebruiker, dus is het belangrijk om je beleidsverklaringen te splitsen in kleinere documenten; bijvoorbeeld "Aanvaardbaar gebruik", "Paswoord gebruik", "E-mail beleid", "Werken vanuit andere locaties", ...

Voorbeelden van beleidsverklaringen kan je vinden op De SANS Policy Project (Engels). Indien je een klein netwerk hebt en je denkt dat deze beleidsverklaringen iets te uitgebreid zijn kan je misschien eens kijken naar RFC2196 wat een website's beveiligingsgids is.