Template:Ubuntu-gr:Edgy/Security

From

Jump to: navigation, search

Contents

Ασφάλεια

Ποιά είναι τα βασικά πράγματα που πρέπει να ξέρετε σχετικά με την ασφάλεια του Ubuntu σας

  • Διαβάστε τις #Γενικές σημειώσεις
  • Βεβαιωθείτε ότι ο σκληρός δίσκος είναι πρώτος στη σειρά εκκίνησης (boot-up sequence) του BIOS:
    • Έτσι εμποδίζετε την μη εξουσιοδοτημένη απόκτηση πρόσβασης υπερχρήστη στο σύστημα με χρήση κάποιου CD εγκατάστασης Linux.
    • Έτσι εμποδίζετε τη χρήση Linux Live CD (π.χ. UBUNTU/KNOPPIX/MEPIS) το οποίο επιτρέπει την καταστροφή/περιήγηση/κοινή χρήση των περιεχομένων ολόκληρου του σκληρού δίσκου.
    • Εμποδίζετε την εγκατάσταση κάποιου άλλου λειτουργικού συστήματος.
  • Βεβαιωθείτε ότι προστατεύετε τις ρυθμίσεις του BIOS με κωδικό:
    • Έτσι εμποδίζετε την αλλαγή της σειράς εκκίνησης του BIOS.
  • Βεβαιωθείτε ότι ο υπολογιστής είναι τοποθετημένος σε ασφαλή θέση:
    • Έτσι εμποδίζετε μη εξουσιοδοτημένα άτομα να αφαιρέσουν το σκληρό δίσκο του υπολογιστή και έτσι να έχουν τη δυνατότητα να καταστρέψουν/δουν/κοινοποιήσουν τα περιεχόμενα του δίσκου συνδέοντάς τον σε ένα άλλο υπολογιστή.
    • Έτσι εμποδίζετε μη εξουσιοδοτημένα άτομα να αφαιρέσουν την μπαταρία της μητρικής κάρτας του υπολογιστή απενεργοποιώντας έτσι την προστασία του BIOS με κωδικό.
  • Βεβαιωθείτε ότι είναι δύσκολο για τρίτους να μαντέψουν ή να βρουν στην τύχη τους κωδικούς που χρησιμοποιείτε στο σύστημα.
    • Έτσι εμποδίζετε μη εξουσιοδοτημένα άτομα να "σπάσουν" το αρχείο κωδικών χρησιμοποιώντας "επιθέσεις ωμής βίας" (brute force attacks) (π.χ. John the Ripper).
    • Δημιουργείστε κωδικούς με ελάχιστο μήκος 8 χαρακτήρες.
    • Δημιουργείστε κωδικούς με ανάμιξη χαρακτήρων/αριθμών/σημείων στίξης, και πεζών/κεφαλαίων.
    • Μην δημιουργείτε κωδικούς που περιέχουν μόνο μια ή έναν τυπικό συνδυασμό λέξεων που μπορούν να βρεθούν σε λεξικά βασικών γλωσσών (αγγλικά, γερμανικά, γαλλικά, ισπανικά...).
  • Βεβαιωθείτε ότι η δυνατότητα επεξεργασίας των παραμέτρων εκκίνησης από το μενού του GRUB είναι απενεργοποιημένη:
  • Βεβαιωθείτε ότι η προβολή του ιστορικού εντολών είναι απενεργοποιημένη σε κατάσταση κονσόλας.
  • Βεβαιωθείτε ότι ο συνδυασμός πλήκτρων Ctrl+Alt+Del είναι απενεργοποιημένος σε κατάσταση κονσόλας:
  • Βεβαιωθείτε ότι η παράμετρος αλληλεπιδραστικότητας (interactive option) είναι ενεργή για τη διαγραφή, αντιγραφή και μετακίνηση αρχείων/φακέλλων σε κατάσταση κονσόλας:
  • Για καθημερινή χρήση, να συνδέεστε στο σύστημα ως κανονικός χρήστης:
  • Απενεργοποιήστε το λογαριασμό του υπερχρήστη, χρησιμοποιήστε την εντολή "sudo" αντί αυτού.
  • Εγκαταστήστε ένα Firewall:
  • Πραγματοποιήστε ελέγχους για προβλήματα ασφάλειας (vulnerability test)

Πως να απενεργοποιήσετε τη δυνατότητα επεξεργασίας του μενού του GRUB κατά την εκκίνηση

  • Τρέξτε την εντολή: 
grub-md5-crypt 

Password: 
Retype password: 
$1$tumnZ1$xB/shuXs7MlawZXkLiBDV/
  • Κρατήστε ένα αντίγραφο ασφάλειας του αρχείου ρυθμίσεων του GRUB: 
sudo cp /boot/grub/menu.lst /boot/grub/menu.lst_backup
gksudo gedit /boot/grub/menu.lst
  • Εντοπίστε την ακόλουθη περιοχή στο κείμενο: 
...
## password ['--md5'] passwd
# If used in the first section of a menu file, disable all interactive editing
# control (menu entry editor and command-line) and entries protected by the
# command 'lock'
# e.g. password topsecret
#   password --md5 $1$tumnZ1$xB/shuXs7MlawZXkLiBDV/
# password topsecret
...
  • Προσθέστε την ακόλουθη γραμμή ακριβώς από κάτω: 
password --md5 $1$tumnZ1$xB/shuXs7MlawZXkLiBDV/ (encrypted password above)
  • Εντοπίστε τα χωρία που μοιάζουν με το παρακάτω (προσέξτε τη φράση 'recovery mode' και τη λέξη 'single'): 
...
title		Ubuntu, kernel 2.6.10-5-386 (recovery mode)
root		(hd0,1)
kernel		/boot/vmlinuz-2.6.10-5-386 root=/dev/hda2 ro single
initrd		/boot/initrd.img-2.6.10-5-386
savedefault
boot
...
  • Προσθέστε τη λέξη 'lock' μεταξύ των γραμμών 'title' και 'root': 
...
title		Ubuntu, kernel 2.6.10-5-386 (recovery mode)
lock
root		(hd0,1)
...
  • Αποθηκεύστε το αρχείο.

Με τον παραπάνω τρόπο η κονσόλα του GRUB θα απαιτεί την εισαγωγή κωδικού προκειμένου να επεξεργαστείτε τις παραμέτρους εκκίνησης, και δεν θα εκκινεί το σύστημα σε κατάσταση ανάκτησης (recovery mode) αν δεν εισάγετε τον κωδικό. Για να αποκτήσετε πρόσβαση στις υπόλοιπες επιλογές του μενού του GRUB κατά την εκκίνηση, ακολουθήστε τις οδηγίες που βρίσκονται στο κάτω μέρος της οθόνης. Συνήθως θα πρέπει να πατήσετε το πλήκτρο 'p' και να εισάγετε τον κωδικό.

Πως να απενεργοποιήσετε την προβολή του ιστορικού εντολών σε κατάσταση κονσόλας 

rm -f .bash_history
gedit ~/.bash_profile
  • Προσθέστε τα ακόλουθα: 
export HISTFILESIZE=4
unset HISTFILE=5

# Change this to a reasonable number of lines to save, I like to save only 100.
export HISTSIZE=1

# Ignores duplicate lines next to each other
export HISTCONTROL=ignoredups

Αυτό θα απενεργοποιήσει το ιστορικό εντολών του κελύφους Bash για τον χρήστη, διατηρώντας ενεργοποιημένο το ιστορικό πληκτρολόγησης και ανάκλησης, θέτοντας μέγιστο όριο για το ιστορικό ανάκλησης τις 100 γραμμές. Έτσι επίσης δεν θα καταγράφονται διπλές γραμμές.

Πως να απενεργοποιήσετε τη δυνατότητα επανεκκίνησης του υπολογιστή από κονσόλα με το συνδυασμό πλήκτρων Ctrl-Alt-Del 

sudo cp /etc/inittab /etc/inittab_backup
gksudo gedit /etc/inittab
  • Εντοπίστε αυτή τη γραμμή: 
...
ca:12345:ctrlaltdel:/sbin/shutdown -t1 -a -r now
...
  • Αντικαταστήστε τη με την ακόλουθη γραμμή (προσοχή στο χαρακτήρα '#' στην αρχή της γραμμής): 
#ca:12345:ctrlaltdel:/sbin/shutdown -t1 -a -r now
  • Αποθηκεύστε το αρχείο: 
sudo telinit q

Πως να ενεργοποιήσετε την ερώτηση επιβεβαίωσης πριν τη διαγραφή ή αντικατάσταση αρχείων ή φακέλων σε κατάσταση κονσόλας 

sudo cp /etc/bash.bashrc /etc/bash.bashrc_backup
gksudo gedit /etc/bash.bashrc
  • Προσθέστε τις ακόλουθες γραμμές στο τέλος του αρχείου: 
alias rm='rm -i'
alias cp='cp -i'
alias mv='mv -i'
  • Αποθηκεύστε το αρχείο.

Πως να εγκαταστήσετε ένα σύστημα LoJack για το laptop σας


Τι είναι: Απόσπασμα από τη Wikipedia: "Το LoJack είναι ένα σύστημα για τον εντοπισμό οχημάτων που επιτρέπει στην αστυνομία να εντοπίζει αυτοκίνητα που έχουν κλαπεί. Ο κατασκευαστής ισχυρίζεται ποσοστό επιτυχούς εντοπισμού 90%. Το όνομα "LoJack" αποτελεί ένα λογοπαίγνιο με τη λέξη "hijack", που σημαίνει βίαιη κλοπή οχήματος."

Γιατί: Αν το laptop σας κλαπεί και στη συνέχεια συνδεθεί στο διαδίκτυο, θα είστε σε θέση να ανακαλύψετε με ποια διεύθυνση IP συνδέθηκε και να ενημερώσετε τις αρχές για τον εντοπισμό του.

Πως:

  • Δημιουργήστε έναν δωρεάν λογαριασμό δυναμικού IP σε έναν από τους πολλούς παρόχους που υπάρχουν. Σε αυτό το παράδειγμα θα χρησιμοποιήσουμε το DynDNS. 
sudo apt-get install ddclient
  • Ανοίξτε το αρχείο ρυθμίσεων /etc/ddclient.conf στον αγαπημένο σας επεξεργαστή κειμένου (emacs, gedit, kedit, vi, ...) 
sudo emacs /etc/ddclient.conf
  • Κάντε το να μοιάζει με το παρακάτω: 
# Configuration file for ddclient generated by debconf
#
# /etc/ddclient.conf
pid=/var/run/ddclient.pid
protocol=dyndns2
use=web
server=members.dyndns.org
login=YourNameHere
password='YourPasswordHere'
YourHostNameHere.gotmyip.com
ΣΗΜΕΙΩΣΗ:
* Βεβαιωθείτε ότι χρησιμοποιείτε τη μέθοδο εντοπισμού IP μέσω web.
* Αντικαταστήστε με το δικό σας όνομα χρήστη τη λέξη YourNameHere.
* Αντικαταστήστε με το δικό σας κωδικό τη λέξη YourPasswordHere, βεβαιωθείτε ότι το περικλείετε σε μονά εισαγωγικά (single quotes).
* Η τελευταία γραμμή πρέπει να αναφέρει το όνομα υπολογιστή (hostname) που καταχωρίσατε στον πάροχο της υπηρεσίας δυναμικού IP.
  • Επανεκκινήστε το δαίμονα ddclient, ή περιμένετε μέχρι την επόμενη επανεκκίνηση του συστήματος. 
sudo /etc/init.d/ddclient start
  • Το όνομα υπολογιστή (hostname) που καταχωρίσατε στον πάροχο της υπηρεσίας δυναμικού IP θα πρέπει να ενημερωθεί. Μπορείτε να το δοκιμάσετε με την εντολή ping: 
ping YourHostNameHere.gotmyip.com
Ακόμα και αν το laptop σας προστατεύεται από firewall που απορρίπτει τα ping το hostname θα πρέπει να αντιστοιχείται IP της δικτυακή πύλης (gateway) στην οποία είναι συνδεδεμένο το laptop σας.
Το μόνο που μένει τώρα είναι να κλέψει κάποιος το laptop σας.....

Αναφορές:

Retrieved from "http://ubuntuguide.org/wiki/Template:Ubuntu-gr:Edgy/Security"
Personal tools
DONATE