Gentoo Logo

1.  Securitatea Fizică

Nu contează câte protecţii implementaţi, pentru că acestea pot fi uşor dejucate de un atacator ce deţine acces fizic la maşina dvs. În ciuda acestora, există un număr de măsuri de precauţie ce pot fi aplicate pentru a oferi un grad de securitate împotriva atacatorilor ce deţin acces fizic la maşina dvs. Plasarea sistemelor dvs. hardware într-un loc încuiat previne ca atacatorul să îl deconecteze şi să îl sustragă. Încuierea maşinii este, de asemenea, o idee bună pentru a vă asigura faptul că atacatorul nu va pleca împreună cu discul dvs. Pentru a preveni un atacator să boot-eze de pe alt disc, şi să vă modifice permisiunile şi restricţiile de login, încercaţi să setaţi discul ca primul dispozitiv de boot din BIOS şi să setaţi o parola pentru BIOS. Este, de asemenea, important să setaţi o parolă de boot pentru LILO sau GRUB, pentru a preveni un utilizator cu caracter maliţios în a-şi obţine accesul complet în sistemul dvs. Aceasta este acoperită mai în detaliu în Capitolul 3, la (Setarea unei parole pentru GRUB) şi and Setarea unei parole pentru LILO.

1.  Planificarea Aplicaţiilor Daemon/Serviciilor

Începeţi prin documentarea serviciilor pe care această maşină ar trebui să le ruleze. Aceasta vă va ajuta să compuneţi o schemă de partiţionare mai bună pentru sistemul dvs. şi să vă permită să vă planificaţi măsurile de securitate. Bineînţeles, acest lucru nu este necesar dacă maşina serveşte unui scop simplu, cum ar fi un desktop sau un firewall dedicat. În aceste cazuri, nu ar trebui să rulaţi nici un serviciu, exceptând, poate, sshd.

Această listă poate fi utilizată pentru a ajuta administrarea sistemului. Prin păstrarea unei liste curente a informaţiilor despre versiuni, vă va fi mult mai uşor să păstraţi totul la zi dacă o vulnerabilitate este descoperită pentru una din aplicaţiile dvs. daemon.

1.  Scheme de Partiţionare

Reguli de partiţionare:

  • Orice structură de directoare în care un utilizator de sistem ar trebui să poată scrie (spre ex. /home, /tmp) ar trebui să se afle pe o partiţie separată şi să utilizaţi cotele de disc. Aceasta reduce riscul ca utilizatorul să vă umple întregul sistem de fişiere. Portage utilizează /var/tmp pentru a compila fişierele, deci acea partiţie trebuie să fie mare.
  • Orice structură de directoare pe care plănuiţi să instalaţi aplicaţii ce nu aparţin distribuţiei ar trebui să se afle pe o partiţie separată. Conform Standardului Ierarhiei Fişierelor, acesta este /opt sau /usr/local. Dacă acestea sunt partiţii separate, nu vor fi şterse în momentul reinstalării sistemului.
  • Pentru o mai bună securitate, datele statice pot fi stocate pe o partiţie separată ce este mount-ată doar pentru citire (read-only). Pentru cei cu adevărat paranoici, încercaţi să utilizaţi medii doar citibile, cum ar fi mediile CDROM.

1.  Utilizatorul root

Utilizatorul 'root' este cel mai vital utilizator din sistem şi nu trebuie folosit în nici un scop decât atunci când este neapărat necesar. Dacă un atacator obţine acces root, singura modalitate prin care mai puteţi avea încredere în sistem este reinstalarea.

Reguli de aur pentru 'root'

  • Întotdeauna creaţi un utilizator de sistem pentru întrebuinţarea zilnică şi, dacă acest utilizator necesită acces la root, adăugaţi utilizatorul în grupul 'wheel'. Aceasta face posibil ca un utilizator obişnuit să efectueze su pentru root.
  • Niciodată nu rulaţi X sau orice altă aplicaţie ca root. root ar trebui să fie utilizat doar în cazul în care absolut necesar acest lucru; dacă există o vulnerabilitate în aplicaţia ce rulează ca utilizator, un atacator obţine doar acces utilizator. Dar, dacă aplicaţie rulează ca root, atacatorul obţine acces root.
  • Întotdeauna utilizaţi căi absolute în timp ce sunteţi autentificat ca root (sau întotdeauna folosiţi su -, ce înlocuieşte variabilele de mediu ale utilizatorului cu cele pentru root, în timp ce sunteţi sigur că variabila PATH pentru root conţine doar directoare protejate, cum ar fi /bin şi /sbin). Este posibil să fie păcălit utilizatorul root în rularea unei alte aplicaţii decât cea care o doreşte. Dacă variabila PATH a utilizatorului root este protejată sau acesta utilizează numai căi absolute, ne putem asigura că această problemă nu se va întâmpla.
  • Dacă un utilizator doreşte să ruleze doar câteva comenzi ca root, în locul acţiunilor obişnuite ale utilizatorului root, luaţi în considerare utilizarea sudo în loc. Trebuie doar să fiţi atenţi cui daţi acces, de asemenea.
  • Niciodată nu părăsiţi terminalul când sunteţi autentificaţi ca root.

Gentoo are o protecţie implicită împotriva utilizatorilor de sistem obişnuiţi ce încearcă să execute su către root. Setările PAM implicite necesită ca un utilizator să fie membru al grupului "wheel" pentru a putea efectua su.

1.  Politici de Securitate

Există mai multe motive pentru care trebuie să concepeţi o politică de securitate pentru sistemele şi reţeaua dvs.

  • O politică solidă vă permite să conturaţi securitatea ca un "sistem" decât doar un set de diferite caracteristici. Spre exemplu, fără o politică, un administrator poate decide să închidă accesul telnet, pentru că transmite parole necriptate, dar să lase deschis accesul ftp, ce deţine aceeaşi slăbiciune. O politică bună de securitate vă permite să identificaţi măsurile ce merită aplicate şi cele care nu.
  • Pentru a diagnostica problemele, conduce audituri sau depista intruşii, este posibil să trebuiască să interceptaţi traficul prin reţea, să inspectaţi istoricul autentificărilor şi comenzilor utilizatorilor şi să analizaţi directoarele home. Fără ca dvs. să conturaţi aceste acţiuni prin tipărire şi să îi înştiinţaţi pe utilizatori despre ele, acestea pot fi chiar ilegale şi vă pot pune pe dvs. în pericol.
  • Conturile de utilizator compromise reprezintă unele din cele mai comune ameninţări securităţii unui sistem. Fără a explica utilizatorilor importanţa securităţii şi cum să practice o securitate solidă (spre ex. să nu-şi scrie parolele pe un bilet Post-It lipit pe biroul acestora), este foarte puţin probabil că dvs. veţi putea spera în securizarea conturilor de utilizator.
  • O reţea şi structură de sisteme bine documentată vă va ajuta, alături de examinatorii juridici pentru aplicarea legilor, dacă sunt necesari, în urmărirea intruziunii şi identificarea punctelor slabe după fapt. Un afiş despre "probleme" pentru politica de securitate, prin care să afirmaţi că sistemul dvs. este o reţea privată şi orice acces neautorizat este interzis, vă vor ajuta să asiguraţi posibilitatea de a acţiona în judecată un intrus, după ce este prins.

Nevoia unei securităţi solide este, sperăm, acum, mult mai clară.

Politica efectivă, este un document, sau mai multe documente, ce evidenţiază caracteristicile reţelei şi ale sistemului (cum ar fi serviciile oferite), utilizarea acceptabilă şi utilizarea interzisă, "practici solide" de securitate, şi aşa mai departe. Toţi utilizatorii ar trebui înştiinţaţi atât de politica dvs. de securitate, cât şi de modificările aduse acesteia în vederea actualizării. Este important să vă acordaţi timp pentru a ajuta utilizatorii despre politica dvs., precum şi motivul pentru care politica trebuie semnată sau ce se întâmplă dacă acţionează împotriva politicii (politica trebuie să precizeze şi acest aspect). Aceasta trebuie repetată o dată pe an, deoarece politica se poate modifica (dar şi ca o reamintire a politicii utilizatorului).

Notă: Creaţi politici ce sunt uşor de citit şi foarte precise pentru fiecare subiect.

O politică de securitate ar trebui să conţină, cel puţin, următoarele subiecte:

  • Utilizare acceptabilă
    • Aplicaţii Screen saver
    • Manipularea parolei
    • Descărcarea şi instalarea aplicaţiilor
    • Informaţii ce menţionează că utilizatorii sunt monitorizaţi
    • Utilizarea de aplicaţii anti-virus
  • Manipularea informaţiei sensibile (în orice formă scrisă, hârtie sau format digital)
    • Curăţarea biroului şi încuierea informaţiilor confidenţiale
    • Oprirea sistemului PC înainte de a părăsi spaţiul
    • Utilizarea encripţiei
    • Manipularea cheilor colegilor de încredere
    • Manipularea materialului confidenţial în călătorii
  • Manipularea echipamentului de calculator în călătorii
    • Manipularea sistemului laptop în călătorii şi staţionările la hoteluri

Utilizatori diferiţi pot necesita nivele sau tipuri diferite de acces, deci politica dvs. poate varia în acest pentru a acoperi toate aceste situaţii.

Politica de securitate poate deveni foarte mare în conţinut, iar informaţiile vitale pot fi uşor uitate. Politica pentru personalul IT poate conţine informaţii ce sunt confidenţiale pentru utilizatorul obişnuit, fiind vitală împărţirea acesteia în mai multe politici mai mici; spre ex. Politica de Utilizare Acceptabilă, Politica pentru parole, Politica pentru Mesageria Electronică şi Politica pentru Accesul la Distanţă.

Puteţi găsi exemple de politici de securitate la Proiectul de Politici de Securitate al SANS. Dacă aveţi o reţea mică şi consideraţi că aceste politici sunt prea elaborate, ar trebui să consultaţi Site-ul Manualului de Securitate.

Actualizat la 31 Mai 2005

Donate to support our development efforts.

Copyright 2001-2012 Gentoo Foundation, Inc. Questions, Comments? Contact us.