Ubuntu:Edgy RO/Security

From

< Ubuntu:Edgy RO

Revision as of 12:22, 10 December 2006 by ThunderM (Talk | contribs)

(diff) ← Older revision | Current revision (diff) | Newer revision → (diff)

Jump to: navigation, search

Securitate

Care sunt principalele lucruri legate de securitate care trebuiesc ştiute despre Ubuntu

Citeşte #Note Generale
Asiguraţi-vă ca hard-discul este primul în secveţa de boot din BIOS
- Pentru a preveni persoanele străine de la a folosi CD-ul de instalare Linux pentru a obţine drepturi de root
- Pentru a preveni persoanele străine de la a folosi un CD Linux Live (ex. : UBUNTU/KNOPPIX/MEPIS) cu ajutorul cărora pot şterge/vizualiza/face share la întregul hard-disc.
- Pentru a preveni persoanele străine de la a instala un alt sistem de operare
Asiguraţi-vă că accesul la BIOS se face doar pe baza unei parole
- Pentru a preveni persoanele străine de la a modifica secvenţa de boot din BIOS
Asiguraţi-vă ca sistemul este într-un loc sigur
- Pentru a preveni persoanele stăine de la a lua hard-discul petru a şterge/vizualiza conţinul folosind alt calculator
- Pentru a preveni persoanele stăine de la a scoate bateria de pe placa de bază astfel înlăturând parola de acces la BIOS
Asiguraţi-vă că parolele folosite pe sistem nu pot fi ghicite cu uşurinţă
- Pentru a preveni persoanele străine de la a încerca să spargă parola folosit atacuri "brute force" (ex. John the Ripper)
- O parolă bună are minim 8 caractere
- De asemenea este recomandat ca parolele să conţină un amestec de litere/numere, mari/mici
Asiguraţi-vă că editarea în mod interactiv din cadrul meniului GRUB este dezactivată
- Pentru a preveni persoanele străine de la a modifica argumentele de pornire a kernelului pentru a obţine drepturi de root
- Citeşte #Cum se dezactivează editarea în mod interactiv din cadrul meniului GRUB
Asiguraţi-vă că listarea ultimelor comenzi efectuate în Consolă este dezactivată
- Pentru a preveni persoanele străine de la a vedea ultimele comenzi efectuate
- Citeşte #Cum se dezactivează listarea ultimelor comenzi efectuate în Consolă
Asiguraţi-vă că Ctrl+Alt+Del este dezactivat în cadrul consolei
- Pentru a preveni persoanele străine de la a restarta sistemul din consolă dacă nu au permisiunea
- Citeşte #Cum se dezactivază restartarea calculatorului la apăsarea Ctrl+Alt+Del în Consolă
Asiguraţi-vă că întrebarea de confirmare la ştergerea,copierea,mutarea fişierelor/folderelor este activată în cadrul consolei
- Pentru a preveni ştergerea/suprascrierea accidentală a fişierelor/folderelor
- Citeşte #cum se activează întrebarea de confirmare înainte de ştergerea/suprascrierea fişierelor/folderelor în Consolă
Pentru utilizarea de zi cu zi autentificaţi-vă ca un utilizator normal
- Pentru a preveni ştergerea/modificarea accidentală a fişierelor/folderelor de sistem
- Citeşte #Cum se adaugă/editează/şterg utilizatori
Dezactivaţi contul root, folosiţi în schimb "sudo"
- Pentru a reduce timpul petrecut cu drepturi de root, şi astfel , implicit, de a reduce riscul executării greşite a unei comenzi care necesită astfel de drepturi
- De asemenea "sudo" oferă şi o înregistrare mai bună a comnezilor efectuate (/var/log/auth.log)
- Citeşte #Cum se dezactivează contul de root
Instalaţi un firewall
- Un firewall nu garantează securitatea sistemului însă reprezintă prima linie de apărare în faţa atacurilor venite dintr-o reţea
- Citeşte #Cum se instalează un Firewall (Firestarter)
Efectuaţi teste de vulnerabilitate
- Nessus este o unealtă foarte bună pentru testarea şi descoperirea unor breşe de securitate
- Citeşte #Cum se instalează un scanner de breşe de securitate (Nessus)

Cum se dezactivează editarea în mod interactiv din cadrul meniului GRUB

Citeşte #Note Generale

Executaţi într-un terminal

grub-md5-crypt
Password: 
Retype password:
$1$tumnZ1$xB/shuXs7MlawZXkLiBDV/ (parola criptata)

Realizaţi o copie a fişierului de configurare

sudo cp /boot/grub/menu.lst /boot/grub/menu.lst_backup
sudo gedit /boot/grub/menu.lst

Găseşte această secţiune

...
## password ['--md5'] passwd
# If used in the first section of a menu file, disable all interactive editing
# control (menu entry editor and command-line) and entries protected by the
# command 'lock'
# ex. : password topsecret
#   password --md5 $1$gLhU0/$aW78kHK1QfV3P2b2znUoe/
# password topsecret
...

Adaugă următoarea linie imediat după ea

password --md5 $1$tumnZ1$xB/shuXs7MlawZXkLiBDV/ (criptarea parolei de mai sus)

Găseşte această secţiune

...
title		Ubuntu, kernel 2.6.10-5-386 (recovery mode)
root		(hd0,1)
kernel		/boot/vmlinuz-2.6.10-5-386 root=/dev/hda2 ro single
initrd		/boot/initrd.img-2.6.10-5-386
savedefault
boot
...

Adaugă "lock" între title şi root

...
title		Ubuntu, kernel 2.6.10-5-386 (recovery mode)
lock
root		(hd0,1)
...

Salvează fişierul editat anterior

Prin intermediul acestor schimbari consola grub va necesita parola pentru a edita liniile , iar modul de recuperare nu va funcţiona decât dacă este introdusă parola. Pentru a accesta celelalte opţiuni din cadrul meniului grub urmăriţi instrucţiunile din partea de jos a ecranului. Probabil acestea constau în apasarea tastei p urmată de introducerea parolei.

Cum se dezactivează listarea ultimelor comenzi efectuate în Consolă

Citeşte #Note Generale

Instrucţiuni luate de pe Gentoo Wiki:

rm -f .bash_history
gedit ~/.bash_profile

Adaugă următoarele linii:

export HISTFILESIZE=4
unset HISTFILE=5

# Aici setaţi numarul de comenzi salvate.
export HISTSIZE=1

# Astfel nu vor fi salvate comenzile duplicat una după cealaltă
export HISTCONTROL=ignoredups

Cum se dezactivază restartarea calculatorului la apăsarea Ctrl+Alt+Del în Consolă

Citeşte #Note Generale

sudo cp /etc/inittab /etc/inittab_backup
sudo gedit /etc/inittab

Găseşte această linie

...
ca:12345:ctrlaltdel:/sbin/shutdown -t1 -a -r now
...

Înlocuieşte-o cu linia următoare

#ca:12345:ctrlaltdel:/sbin/shutdown -t1 -a -r now

Salvează fişierul editat anterior

sudo telinit q

cum se activează întrebarea de confirmare înainte de ştergerea/suprascrierea fişierelor/folderelor în Consolă

Citeşte #Note Generale

sudo cp /etc/bash.bashrc /etc/bash.bashrc_backup
sudo gedit /etc/bash.bashrc

Adaugă următoarele linii conţinutului deja existent

alias rm='rm -i'
alias cp='cp -i'
alias mv='mv -i'

Salvează fişierul editat anterior

Cum se setează sistemul LoJack pentru laptop

Citeşte #Note Generale
Citeşte #Cum se adaugă noi arhive
Citeşte #Cum se alocă un Hostname unui sistem care are IP dinamic folosind serviciul gratuit DynDNS

Ce ?: Citat de pe Wikipedia: "LoJack este un sistem de monotorizare a vehiculelor care permite poliţiei să monotorizeze maşinile după ce au fost furate. Producatorul susţine o şansă de recuperare de 90% . Numele "LoJack" este un joc de cuvinte pornind de la "hijack," care semnifică furtul prin forţă a unei maşini."

De ce ?: Dacă laptopul este vreodată furat şi este conectat la Internet poţi afla de la ce IP s-a conectat şi apoi contacta autorităţile.

Cum ?:

Ai nevoie de un cont gratuit DNS de la un distribuitor . Aici vom folosi DynDNS.

Instalează ddclient. În cadrul secţiunii #Cum se alocă un Hostname unui sistem care are IP dinamic folosind serviciul gratuit DynDNS a fost instalat pachetul ipcheck, însă aici vom folosi ddclient deoarece poate primi IP-ul de la o sursă externă şi nu numai de la adaptorul de reţea.

sudo apt-get install ddclient

Editează fişierul de configurare /etc/ddclient.conf

sudo gedit /etc/ddclient.conf

Astfel încat să arate cam aşa:

# Configuration file for ddclient generated by debconf
#
# /etc/ddclient.conf
pid=/var/run/ddclient.pid
protocol=dyndns2
use=web
server=members.dyndns.org
login=YourNameHere
password='YourPasswordHere'
YourHostNameHere.gotmyip.com

NOTE:

* Asigură-te că foloseşti metoda web de detecţie a IP-ului.

* Specifică propriul user în locul YourNameHere.

* Specifică propria parolă în loc de YourPasswordHere, asigurandu-vă că este scrisă între doua semne apostrof.

* Ultima linie trebuie să conţină DNS-ul pe care l-aţi primit.