From

---

Current revision as of 12:12, 14 November 2007

Contents 1 Bezpieczeństwo 1.1 Jakie są podstawowe rzeczy, które powinienem wiedzieć o zabezpieczaniu swojego Ubuntu 1.2 Jak wyłączyć interaktywną kontrolę edycji menu GRUB 1.3 Jak wyłączyć pamiętanie poleceń wydanych w konsoli 1.4 Jak zablokować restart komputera przez Ctrl+Alt+Del w trybie konsolowym 1.5 Jak umożliwić szybkie usuwanie/nadpisywanie plików/folderów w trybie konsolowym

Bezpieczeństwo

Jakie są podstawowe rzeczy, które powinienem wiedzieć o zabezpieczaniu swojego Ubuntu

• Przeczytaj #Uwagi ogólne
• Upewnij się, czy dysk twardy jest pierwszy na liście uruchamiania w BIOSie
  • Nie dopuść intruzów do użycia Płyty Instalacyjnej Linux, dzięki której mogliby uzyskać dostęp do konta root
  • Nie dopuść intruzów do użycia LiveCD Linux (np. UBUNTU/KNOPPIX/MEPIS), które zezwoliłoby im na zniszczenie/przeglądanie/udostępnienie całego dysku
  • Nie dopuść intruzów do instalowania innych Systemów Operacyjnych
• Upewnij się, że masz ustawione hasło w BIOSie
  • Nie dopuść intruzów do zmiany w BIOS-ie dotyczącej kolejności uruchamiania urządzeń
• Upewnij się, że komputer stoi w bezpiecznym miejscu
  • Nie dopuść intruzów do wyjęcia z Twojego komputera dysku twardego, dzięki czemu mogliby, korzystając z innego komputera zniszczyć/przeglądać/udostępnić cały dysk twardy
  • Nie dopuść intruzów do wyjęcia baterii z płyty głównej, co spowodowałoby zresetowanie hasła BIOS-u
• Upewnij się, czy używane przez Ciebie hasła są trudne do odgadnięcia
  • Nie dopuść intruzów do złamania Twojego hasła korzystając z metod siłowych (np. przy użyciu John the Ripper)
  • Utwórz haslo składajace się przynajmniej z 8 znaków
  • Uzyj w haśle liter i cyfr oraz dużych i małych liter
  • Nie twórz haseł, które łatwo można odszukać w słownikach (zwłaszcza słów w językach: angielskim, niemieckim, francuskim, hiszpańskim)
• Upewnij sie że możliwość edycji GRUBa jest nieaktywna
• Nie dopuść intruzów do modyfikacji argumentów uruchamiania kernela, co pozwoliłoby im na dostęp do konta root
  • Przeczytaj #Jak wyłączyć interaktywną kontrolę edycji menu GRUB
• Upewnij się, czy w konsoli masz wyłączone pamiętanie wydanych poleceń
  • Nie dopuść intruzów do zobaczenia tychże poleceń
  • Przeczytaj #Jak wyłączyć pamiętanie poleceń wydanych w konsoli
• Upewnij się, że Ctrl+Alt+Del jest wyłączone podczas korzystania z konsoli
  • Nie dopuść intruzów do zrestartowania komputera korzystając z konsoli bez Twojej zgody
  • Przeczytaj #Jak wyłączyć Ctrl+Alt+Del by uniemożliwić restart komputera z poziomu konsoli
• Upewnij się, czy masz włączoną dodatkową opcję przy usuwaniu, kopiowaniu i przenoszeniu plików/folderów w konsoli
  • By zapobiec przypadkowemu usunięciu/nadpisaniu plików/folderów
  • Przeczytaj #Jak włączyć podpowiedź przed usunięciem/nadpisaniem plików/folderów w konsoli
• W codziennej pracy loguj się jako zwykły użytkownik
  • By zapobiec przypadkowej modyfikacji/skasowaniu systemowych plików/foderów
  • Przeczytaj #Jak dodawać/edytować/usuwać użytkowników
• Wyłącz konto użytkownika root - w zamian używaj polecenia "sudo"
  • By zredukować czas spędzany z uprawnieniami użytkownika root, co mogłoby zwiększyć ryzyko wykonania polecenia bez Twojej wiedzy czy przypadkowo
  • "Sudo" dostarcza bardziej użytecznej kontroli/sprawdzania śladów (/var/log/auth.log)
  • Przeczytaj #Jak wyłączyć konto root
• Zainstaluj Firewall
  • Firewall nie gwarantuje bezpieczeństwa ale w większości środowisk jest on pierwszą linią obrony przeciwko atakom sieciowym
  • Przeczytaj #Jak zainstalować Firewall (Firestarter)
• Wykonaj test podatności na atak
  • Nessus jest doskonałym narzędziem przeznaczonym do automatycznego testowania i odkrywania problemów związanych z bezpieczeństwem
  • Przeczytaj #Jak zainstalować Vulnerability Scanner (Nessus)

Jak wyłączyć interaktywną kontrolę edycji menu GRUB

• Przeczytaj #Uwagi ogólne

• Włącz to:

grub-md5-crypt 

Password: 
Retype password: 
$1$tumnZ1$xB/shuXs7MlawZXkLiBDV/

• Stwórz kopię bezpieczeństwa pliku konfiguracyjnego:

sudo cp /boot/grub/menu.lst /boot/grub/menu.lst_backup
gksudo gedit /boot/grub/menu.lst

• Znajdź poniższą sekcję

...
## password ['--md5'] passwd
# If used in the first section of a menu file, disable all interactive editing
# control (menu entry editor and command-line) and entries protected by the
# command 'lock'
# e.g. password topsecret
#   password --md5 $1$tumnZ1$xB/shuXs7MlawZXkLiBDV/
# password topsecret
...

• Dodaj poniższą linię poniżej znalezionej sekcji

password --md5 $1$tumnZ1$xB/shuXs7MlawZXkLiBDV/ (encrypted password above)

• Znajdź sekcję podobną do poniższego:

...
title		Ubuntu, kernel 2.6.10-5-386 (recovery mode)
root		(hd0,1)
kernel		/boot/vmlinuz-2.6.10-5-386 root=/dev/hda2 ro single
initrd		/boot/initrd.img-2.6.10-5-386
savedefault
boot
...

• Dodaj to między tytułem a linią roota:

...
title		Ubuntu, kernel 2.6.10-5-386 (recovery mode)
lock
root		(hd0,1)
...

• Zapisz plik

Jak wyłączyć pamiętanie poleceń wydanych w konsoli

• Przeczytaj #Uwagi ogólne
• Zaczerpnięte z Gentoo Wiki:

rm -f .bash_history
gedit ~/.bash_profile

• Dodaj do pliku:

export HISTFILESIZE=4
unset HISTFILE=5

# Wybierz liczbę zapamiętywanych linii, polecam wpisać 100.
export HISTSIZE=1

# Zignoruj zduplikowane linie:
export HISTCONTROL=ignoredups

Jak zablokować restart komputera przez Ctrl+Alt+Del w trybie konsolowym

• Przeczytaj #Uwagi ogólne

sudo cp /etc/inittab /etc/inittab_backup
gksudo gedit /etc/inittab

• Znajdź tę linię:

...
ca:12345:ctrlaltdel:/sbin/shutdown -t1 -a -r now
...

• Zastąp ją poniższą linią:

#ca:12345:ctrlaltdel:/sbin/shutdown -t1 -a -r now

• Zapisz plik

sudo telinit q

Jak umożliwić szybkie usuwanie/nadpisywanie plików/folderów w trybie konsolowym

• Przeczytaj #Uwagi ogólne

sudo cp /etc/bash.bashrc /etc/bash.bashrc_backup
gksudo gedit /etc/bash.bashrc

• Dodaj poniższe linie na końcu pliku:

alias rm='rm -i'
alias cp='cp -i'
alias mv='mv -i'

• Zapisz plik