Bezpieczny Linux - jak utwardzić system
Pojawienie się nowego serwera w infrastrukturze rodzi potrzebę zapewnienia mu odpowiedniego poziomu bezpieczeństwa. Jednym ze stosowanych rozwiązań jest "wpięcie" go w siatkę zewnętrznych mechanizmów ochronnych. Często jednak zapomina się o sprawach najprostszych, takich jak utwardzenie (hardening) systemu operacyjnego. Dzięki takiej operacji nie tylko zwiększymy poziom bezpieczeństwa serwera, lecz także podniesiemy jego wydajność.
Na początek
Polecamy:
Zobacz też:
Jeszcze przed instalacją systemu możemy zabezpieczyć dostęp do parametrów konfiguracyjnych BIOS hasłem, a po jej zakończeniu wyłączyć możliwość uruchamiania systemu z nośników zewnętrznych. Jeżeli kontrola dostępu fizycznego jest na odpowiednio wysokim poziomie, będzie to trudne do przełamania zabezpieczenia.
W trakcie instalacji systemu operacyjnego przechodzimy przez kilka etapów, które mogą stanowić kolejne kroki utwardzania. Jednym z pierwszych jest podział na partycje. Oprócz wymaganej partycji "/" (root) zaleca się utworzenie osobnych partycji przynajmniej dla:
- katalogu tymczasowego (/tmp),
- katalogu tymczasowego (/tmp),
- katalogów profili użytkowników (/home),
- partycji rozruchowej (/boot),
- katalogu tzw. danych zmiennych (/var) - tutaj umieszczane są np. dane audytowe, wszelkiego rodzaju logi, bazy danych, kolejki pocztowe,
- katalogu programów i kodu źródłowego (/usr),
a jeżeli planujemy instalację oprogramowania niestandardowego - przyda się partycja /opt.
Czasami trudno jest z góry przewidzieć wielkość i liczbę wszystkich partycji, dlatego warto skorzystać z mechanizmu LVM (Logical Volume Manager), który zapewnia elastyczność w alokacji miejsca przeznaczonego na każdą z nich. Atrybuty samych partycji zostaną omówione dalej.
Często już na etapie instalowania można przypisać hasło menedżerowi rozruchowemu GRUB (GRand Unified Bootloader), co poza hasłem w BIOS-ie utrudni zmianę parametrów rozruchowych systemu, a także wejście w tryb Single User. Dla przypomnienia, "runlevel 1" lub tryb Single User dają dostęp z uprawnieniami użytkownika root do zasobów komputera bez konieczności podawania hasła. Aby wykorzystać jego możliwości, konieczny jest dostęp konsolowy do systemu, np. poprzez port SERIAL, interfejs DRAC/iLO. Jeśli jednak celem jest destabilizacja systemu, to wywołanie go z poziomu CLI może spowodować odłączenie serwera od sieci. Tryb Single User może zostać wywołany albo podczas restartu systemu i edycję parametrów rozruchowych z poziomu menedżera rozruchowego (np. w GRUB - dodanie wartości "1" na końcu linii "kernel"), albo poprzez użytkownika posiadającego odpowiednie uprawnienia poleceniem /sbin/init 1. O ile z pierwszym przypadkiem można sobie poradzić, ustawiając hasło w menedżerze rozruchowym (por. ramka), o tyle drugi jest trochę bardziej uciążliwy. Teoretycznie normalny użytkownik nie powinien móc go wywołać. Problem w tym, że np. błędna konfiguracja SUDO lub przypisanie zbyt wielu praw w inny sposób może spowodować, że użytkownikowi się to uda. Aby ochronić się przed wejściem w Single User z poziomu powłoki systemu, można posłużyć się małym fortelem. W pliku odpowiadającym za inicjalizację systemu (wywoływanym zaraz po załadowaniu jądra) - /etc/inittab należy dodać linię:
su:S:wait:/sbin/sulogin bezpośrednio nad wpisem
id:[numer poziomu - z reguły 3 lub 5]:initdefault
To spowoduje, że wywołanie init 1 co prawda się powiedzie, ale użytkownik przed skorzystaniem z jego zalet będzie musiał dodatkowo podać hasło roota.
Komentarze (9)
podałeś złą ścieżkę... oto poprawna: /etc/ssh/sshd_config
@tad "Czyli jeżeli mam linuksa to jestem bezpieczny ale muszę zrobić wiele aby to bylo prawdziwą prawdą." Czyli jeżeli masz windowsa to nie jesteś bezpieczny, i nie musisz robić niewiele, żeby to było zakłamanym kłamstwem.
To juz lepiej pozostać przy serwerach i stacjach MS Windows, tylko przejść na współczesne wersje.
@ccc: Autor artykułu został podany. Zgłaszając tak poważne zarzuty wypada podać źródło. @phi zgodnie z informacją po tekstem to nie jest pełna wersja artykułu. Zapraszamy do lektury pełnej wersji.
selinux nie jest dostępny we wszystkich dystrybucjach, dlatego pewnie napisali ogólnikowo..
Heh, nieskładne tłumaczenie zlepka kilku poradników sprzed 10 lat - odkąd to Computer World publikuje materiały jako "swoje", bez wskazania ich źródła, hę?
A gdzie nosuid/noexec na partycjach? Gdzie strojenie SELinux/Apparmor? Gdzie kontrola spójności (tripwire)? Gdzie narzędzia audytowe? To dopiero początek.
Kto to pisał/tłumaczył? Informacje z poprzedniej epoki.
Czyli jeżeli mam linuksa to jestem bezpieczny ale muszę zrobić wiele aby to bylo prawdziwą prawdą.
- Prawo Moore’a zagrożone?
- Bezpieczeństwo WiFi - bezprzewodowe testy penetracyjne
- Wirtualizacja: obsługa SMB na czterech U
- Prawdziwe powody powstania Microsoft Open Technologies
- Open source: zmierzch ery GPL? Nie do końca...
- ROVER - prosty sposób na słabość BGP?
- Zaawansowane stacje Wi-Fi Ruckus Wireless
- Rozstanie z Javą nie będzie proste
- Google Drive uwypukla słabe strony publicznych chmur obliczeniowych
- Serwery "zombie" w centrum danych
Reklama
Huawei celuje w rynek biznesowy
Huawei nieustannie rozwija się jako dostawca infrastruktury dla branży telekomunikacyjnej. W tym roku chiński koncern zamierza umocnić swoją pozycję również na rynku rozwiązań Enterprise.
Polecane
Koniec Windows XP początkiem problemów?
Microsoft oficjalnie potwierdził, że za dwa lata definitywnie zakończy się era Windows XP - systemu operacyjnego,...
Spokój i luz administratora
Wymagania wobec pracowników działów IT rosną proporcjonalnie do stopnia rozwoju teleinformatyki. Oczekuje się, że...