samo-opusteno Linux OS
Pages: 1
Relativna sigurnost u Linux-u By: NiKooLaa Date: Novembar 28, 2010, 13:33:58
Linux jeste relativno sigurniji po default-u od Windows-a, ali nije potpuno siguran. Ne treba se zaljuljkivati sa osećajem sigurnosti u Linux-u. Stvarnost je drukčija.

Svakom napadaču je najbitnije kad dobije pristup u sistem, da dobije root šifru.

A kad dobije šifru može svašta da radi, da instališe Rootkit-ove, promeni ELF fajle tako da prvo izvrše njihov kod pa tek onda kod od programa koji je inficiran. Mogu menjati i logovanje, da izbrišu sve svoje tragove. U /var/log/messages i ostalim fajlama nećete naći ništa što je sumnjivo. Može koristiti vaš kompjuter za napada na druge kompjutere...

Zbog toga poželjna je jaka šifra za administratora i korisnika, od 10 do 15 znakova sa velikim, malim slovima, brojevima, znakovima interpunkcije, menjati je svakog 2 do 4 meseca.
Tecnocrat, koliko često menjati šifre.

Jaka šifra je velika zaštita sistema, administratora i korisnika!

su
passwd
passwd user

Virusa ima i za Linux, nije samo Windows ugrožen. Google, Linux malware, Heise online, Warnung von Linux Viren, Erkennung des Virus Linux/Rst-B, Antivirus solutions for Linux...

Takođe ima i Rootkit-ova, Trojanaca, Malware.

Linux Trojan gets closer look...

Mnogo je bitno instalisati najnovije pakete u kojima su ispravljene greške.
Preko kojih je mogao napadač eventualno da dobije root pristup.

Na primer za moju Distribuciju postoji
Gentoo GLSA, to je jedna lista koja navodi sve poznate propuste programa.

Linux Compatible vodi između ostalih novosti i listu poznatih propusta u programima pojedinih glavnih Distribucija.

U Gentoo-u komanda

glsa-check -f affected

proverava koje sve greške postoje u instalisanim programima, i ako ih ima pokušava da instališe update.

To se kod mene izvršava automatski svaki dan. Verovatno i druge Distribucije imaju nešto slično.

Treba zaštiti sa OpenPGP elektronsku poštu i Internet Messaging. Što da drugi znaju šta vi pišete?

Poželjno je postaviti zaštitni zid, napadači ne znaju da li se koristi Windows ili Linux. Oni jednostavno skeniraju statičke i dinamičke IP adrese po svim poznatim Port-ovima. Pa šta nađu otvoreno.


Kernel ima odličan zaštitni zid, a to je Iptables / Netfilter.

U konfiguraciji Kernel-a sve opcije uključiti pod

Networking / Networking options / Network packet filtering framework (Netfilter)

Nije verovatno sve potrebno, ali tu od viška glava ne boli.

Nije umetnost sve zabraniti i dozvoljavati samo ono što je potrebno. Ima tu finesa ali osnova je laka. Ovo je tema za sebe i već je dovoljno objašnjena.

Postoje GUI za zaštitni zid kao Guarddog, KMyFirewall, FW Builder...

Ali u njih ne treba biti siguran, prave pravila za Iptables, izvršavaju ih automatski (ako se namesti). Meni se dešavalo da su Port-ovi bili zatvoreni iako sam ih u GUI-u otvorio.

Primer, sve je zabranjeno. A vi hoćete poslati elektronsku poštu, ne možete a u /var/log/messages (možda u drugim Distribucijama je neka druga fajla) piše, otprilike, da je pokušan saobraćaj na

SMTP 25 TCP
SMTPS SSL 465 TCP
POP3 110 TCP
POP3S SSL 995 TCP
NNTP 119 TCP

Port-ovima ali da je onemogućen.

Znači propustite te Port-ove i moći ćete koristiti elektronsku poštu. Tako uradite za svaku aplikaciju koja vam je potrebna.

Treba znati da napadači znaju koji se Port-ovi koriste za najvažnije programe. Pa je poželjno u konfiguracijama svih programa, ako to dopuštaju, da se ti Port-ovi promene u više vrednosti (više od 50000 na primer).

U /etc/services je napisano koji programi koriste per default koji Port.

Većinom su napadi upereni na na Port 22 TCP, a to je SSH. Ako to uspeju treba im još samo da probiju šifru. Treba zabraniti preko SSH-a root pristup na kompjuter.

Za ovo sve ne postoje GUI, već se mora raditi u konzoli

Što bude veća baza korisnika Linux-a to će biti i veća želja Hacker-a da više obrate pažnju na Linux te da i njega usreće sa više virus-a i ostalih stvari sa kojima usrećuju Windows korisnike.

Što bolja i ažurnija zaštita to je teže napadačima.
Odg: Relativna sigurnost u Linux-u By: MarkoKg Date: Januar 12, 2011, 19:57:42
Sigurnosti Linux mreža i servera

Kompjuterske i mrežne tehnologije ušle su u novu eru 1988. godine kada se pojavio „Internet crv” Roberta Morrisa mlađeg. Pre tog događaja, Internet i računarstvo su bili u prilično mirnom i bezbednom periodu. Ozbiljni bezbednosni incidenti najčešće su se sastojali u tome što bi neko dobio administratorski pristup i čitao poštu drugih korisnika, a i to samo da bi dokazao da može to da uradi.

U stvari, Morrisov crv je prouzrokovao malo stvarne štete, ali je značajno povećao svest o bezbednosti na Internetu. Kao rezultat svega toga, nastao je izvestan broj odličnih alatki za sistemske administratore, kao i formalna organizacija koja se bavi ovakvim incidentima.

Kao što se može videti iz izveštaja o kompjuterskom kriminalu CSI/FBI Computer Crime Survev (april 2001), 91% organizacija je imalo bezbednosne probleme od aprila 2000. godine do aprila 2001. Zanimljivo je napomenuti da do ovako zabrinjavajuće situacije nije došlo zbog pomanjkanja instalirane bezbednosne tehnologije, pošto najmanje 95% ispitivanih koristi alatke kao što su komercijalne zaštitne barijere. Najmanje što možemo zaključiti na osnovu tih podataka jeste da zaštitne barijere same po sebi nisu dovoljna zaštita od napadača.
Šta je sigurnost?

Sigurnost je proces održavanja prihvatljivog nivoa rizika. Znači, sigurnost je proces, a ne završno stanje, tj. nije konačni proizvod. Organizacija ili institucija ne može se smatrati “sigurnom” ni u jednom trenutku posle izvršene poslednje provere usklađenosti s vlastitim sigurnosnim pravilima. Rukovodioci koji shvataju koncept po kome je sigurnost proces održavanja prihvatljivog, tj. razumnog nivoa rizika, verovatno će odrediti vreme i resurse koji su potrebni da se ti zahtevi i odgovornosti ostvare.

Kada se kaže da je sigurnost proces, onda se misli na činjenicu da se sigurnost ne može kupiti kao proizvod ili usluga, već da je to proces u kome se koriste različiti proizvodi i usluge, procedure i pravila, ali se smatra i to da postoje drugi bitni elementi kao što su edukacija, podizanje svesti i stalno praćenje stanja u ovoj oblasti. Ostvarivanje sigurnosti takođe podrazumeva održavanje sistema u stanju prihvatljivog rizika, tj. kompromis između potrebnih ulaganja i smanjenja mogućnosti da nastane šteta koje se tim ulaganjem postiže.

Dakle, kada se govori o sigurnosti i zaštiti informacionih sistema i mreža, nekoliko principa danas važe kao osnovni postulati.

* Sigurnost je proces. Sigurnost nije proizvod, usluga ili procedura, već skup koji ih sadrži – uz još mnogo elemenata i mera koje se stalno sprovode.
* Ne postoji apsolutna sigurnost.
* Uz različite metode zaštite, treba imati u vidu i ljudski faktor, sa svim slabostima.

Uopšteno govoreći, veće ulaganje u sigurnost smanjuje izloženost sistema ili računarske mreže riziku. S druge strane, ono izlaže vlasnika sistema ili računarske mreže većim troškovima i smanjuje profitabilnost. Zato je veoma značajno da se odredi tačka u kojoj se postiže ravnoteža između ulaganja u sigurnost i postignutih efekata.

Treba takođe imati u vidu sledeće: kao i u drugim sistemima i oblastima, sigurnosni mehanizmi ili procedure vrlo često smanjuju udobnost rada ili pogoršavaju performanse sistema. Kratkoročno gledano, to može negativno uticati na opšte efekte rada; dugoročno, ove mere pozitivno utiču na uspeh u radu, to jest, na profit komercijalnih organizacija. To se ogleda i kroz materijalne pokazatelje, i kroz pokazatelje koji nisu direktno materijalni, kao što su rast ili gubitak reputacije tj. ugleda, zavisno od toga da li se dešavaju ili ne dešavaju incidenti.

Najvažniji faktori uspeha su sledeći:

* aktivnosti koje se odnose na ceo sigurnosni proces moraju biti zasnovane na zahtevima posla i moraju ih voditi poslovna rukovodstva;
1. neophodno je dobro razumeti rizike od potencijalnih pretnji i ranjivosti sistema;
2. osnovni koncepti zaštite moraju biti izloženi svim rukovodiocima i zaposlenima kako bi svi shvatili koliko je zaštita važna;

* kompanijska ili insitucionalna uputstva za primenu pravila i standarda zaštite moraju se dostaviti svim zaposlenima i svim saradnicima koji nisu stalno zaposleni.

Sigurnost kao proces zasniva se na četiri osnovna koraka: procena, zaštita, otkrivanje i odgovor. U ovom modelu, neki autori koriste izraz planiranje (engl. planning) umesto izraza izraza procenjivanje, i sprečavanje ili prevencija (engl. prevention), a ne zaštita.

1. Procena (engl. assessment). Procena je priprema za ostale tri komponente. Smatra se posebnom akcijom, zato što je u vezi s pravilima, procedurama, pravnom i drugom regulativom, određivanjem budžeta i drugim upravljačkim dužnostima, i još je povezana s tehničkom procenom stanja sigurnosti. Greška u proceni bilo kog od ovih elemenata, može naškoditi svim operacijama koje slede.
2. Zaštita (engl. protection). Zaštita, tj. sprečavanje ili prevencija, podrazumeva primenu protivmera kako bi se smanjila mogućnost ugrožavanja sistema. Ukoliko zaštita zakaže, primenjuje se sledeći korak – otkrivanje.
3. Otkrivanje (engl. detection). Otkrivanje, ili detekcija predstavlja proces identifikacije upada, tj. povrede sigurnosnih pravila ili incidenata koji se odnose na sigurnost. Neki autori definišu incident kao svaki “nezakonit, neovlašćen ili neprihvatljiv postupak koji je preduzet, a odnosi se na računarski sistem ili mrežu”.
4. Odgovor (engl. response). Odgovor ili reakcija predstavlja proces oporavka, tj. lečenja posledica upada. U aktivnosti reakcije spadaju postupci “zakrpi i nastavi”, ili “goni i sudi”. Ranije se na prvo mesto stavljalo oporavljanje funkcionalnosti oštećenih resursa, kao što je korišćenje rezervnih kopija podataka za vraćanje sistema u stanje pre izvršenog napada. U novije vreme sve češće se koriste pravna sredstva (sudski proces protiv onoga ko ugrožava sigurnost), među koja spada prethodno prikupljanje dokaza metodama digitalne forenzike pomoću kojih se potkrepljuje tužba.

Sigurnosni ciljevi

Poverljivost, celovitost (integritet) i raspoloživost čine takozvano “veliko trojstvo” sigurnosti. Na engleskom jeziku, skraćenica za ova tri termina je CIA (Confidentiality, Integrity, Availability), što se poklapa sa akronimom koji se koristi za najpoznatiju američku obaveštajnu agenciju.

Ovaj koncept predstavlja tri fundamentalna principa informacione sigurnosti. Sve što se odnosi na sigurnost informacija i mehanizme obezbeđenja, zatim sve pretnje, ranjivosti i sigurnosni procesi, predmet su procenjivanja prema ova tri (CIA) kriterijuma.

* Poverljivost (engl. confidentiality). Koncept poverljivosti obuhvata pokušaje da se spreči namerno ili nenamerno neovlašćeno otkrivanje sadržaja poruka. Poverljivost se može izgubiti na mnogo načina, kao što su namerno otkrivanje privatnih podataka u vlasništvu kompanije ili, recimo, pogrešnim definisanjem i sprovođenjem prava pristupa mreži.
* Integritet (celovitost, engl. integrity). U okviru sigurnosti informacija, koncept integriteta obezbeđuje sledeće:
* podatke ne smeju menjati neovlašćena lica ili procesi
* ovlašćena lica ili procesi ne smeju obavljati neovlašćene promene podataka
* podaci su interno i eksterno konsistentni, što znači da su interni podaci međusobno konsistentni u svim potcelinama (delovima), kao i s realnim svetom, tj. spoljnim okruženjem.
* Raspoloživost (engl. availability). U okviru sigurnosti informacija, koncept raspoloživosti obezbeđuje da odgovarajuće osoblje pouzdano i pravovremeno može da pristupa podacima ili računarskim resursima. Drugim rečima, raspoloživost označava da su sistemi podignuti i da rade kao što je predviđeno. Osim toga, ovaj koncept garantuje da funkcionišu sigurnosne usluge koje zahtevaju stručnjaci za sigurnost.

Klasifikovanje informacija

Jedan od najbitnijih koncepata politike zaštite informacija jeste koncept vlasništva. Ovim konceptom se obezbeđuje da svi računarski resursi – glavni informacioni entiteti (informacioni podsistemi, baze podataka, uređaji, datoteke, prenosni putevi) – moraju imati vlasnika, tj. nekoga ko je zadužen za njih. Vlasnik treba da:

* klasifikuje informacije u jednu od raspoloživih klasa
* deklariše ko može da pristupi podacima
* bude odgovoran za podatke i za njihovu zaštitu.

Informacije koje su proizvedene ili se obrađuju u nekoj organizaciji, moraju biti klasifikovane u skladu s tim koliko je bitno da ne budu izgubljene ili otkrivene (obelodanjene). Vlasnici podataka su odgovorni za definisanje nivoa osetljivosti. Ovaj pristup omogućava da upravljanje sigurnošću bude izvedeno kako treba, saglasno šemi klasifikacije. Postoji nekoliko pristupa klasifikaciji tajnosti informacija. Broj, nazivi i karakteristike klasa informacija zavise od namene (komercijalne organizacije, državne institucije, vojska, policija) i od zemlje u kojoj se koriste. Značajan uticaj na klasifikaciju imaju pravni sistem i regulativa zemlje.

Klasifikovanje tajnosti informacija

Prema jednoj od dominantnih klasifikacija, karakterističnoj za zemlje koje svoje metode zaštite definišu na bazi predinformatičkog doba, informacije se dele u četiri osnovne klase: javne, interne, poverljive i tajne informacije.

1. Javne informacije. Podaci nisu poverljivi i mogu postati javni bez ikakvih štetnih posledica po kompaniju. Integritet podataka nije važan za ovu klasu informacija. Nedostupnost usluga zbog napada zlonamernog napadača, prihvatljivo je opasna. Primeri: usluge ispitivanja bez poverljivih podataka ili neke javne usluge pružanja informacija.
2. Interne informacije. Interni pristup je selektivan. Klasifikacioni nivo treba da bude napisan na dokumentima. Preventivno bi trebalo sprečiti javno objavljivanje ovih podataka (interni podaci ne bi trebalo da se iznose van kompanije), iako neki od njih mogu biti namenjeni za javno objavljivanje. Primer: podaci u razvojnim grupama, produkcioni javni servisi, radni dokumenti i projekti, interni telefonski imenici.
3. Poverljive informacije. U ovu klasu spadaju kompanijski poverljivi podaci koji su zaštićeni od spoljašnjeg pristupa. Računski centri sadrže poverljive podatke. Računari moraju da budu u prostorijama koje se zaključavaju. Dokumenti se takođe čuvaju pod ključem. Sadržaj dokumenta se mora šifrovati ukoliko se prenose preko Interneta. Kada više nisu potrebni, dokumenti se uništavaju. Pristup poverljivim podacima može prouzrokovati značajan finansijski gubitak za datu kompaniju, doneti dobitak konkurentskoj kompaniji, smanjiti poverenje korisnika usluga ili potrošača proizvoda. Primer: podaci o platama, podaci o zaposlenima, projektna dokumentacija, računovodstveni podaci, poverljivi ugovori.
4. Tajne informacije. Neovlašćen spoljašnji ili unutrašnji pristup ovim podacima mogao bi biti poguban za preduzeće ili instituciju. Integritet podataka je izuzetno važan. Ovim podacima trebalo bi da sme pristupati izuzetno malo ljudi i pri tom moraju da se poštuju veoma stroga pravila. Podatke bi trebalo čuvati u šifrovanom obliku ili u uređajima s hardverskom zaštitom. Osim toga, potrebno je zaključavati prostorije u kojima se čuvaju tajni podaci. Primer: vojni podaci, podaci o reorganizaciji, o većim finansijskim transakcijama i dr.

Metode zaštite

Za metode zaštite takođe postoji nekoliko pristupa i podela. S vremenom ove klasifikacije evoluiraju i menjaju se kako se razvijaju tehnologije i primene računarskih sistema i mreža. Prema nekim autorima, postoje četiri grupe metoda zaštite:

1. kriptografske metode
2. programske metode
3. organizacione metode i
4. fizičke metode.

Kao što je već rečeno, kontrola pristupa je sigurnosna usluga kojom se dozvoljava objektu proverenog identiteta da koristi određene usluge sistema, tj. Određuje ko ima pravo da pristupi resursima i na kakav način. Za kontrolu pristupa u opštem smislu, najčešće važi sledeće:

* kontrola pristupa je obavezna i neizostavna;
* svi korisnici moraju biti ovlašćeni da bi mogli da pristupe nekom objektu;
* svi korisnici mogu da prava nad objektima koji njima pripadaju dodele drugim korisnicima;
* korisnici sistema ne smeju neovlašćeno da upotrebljavaju tuđa prava niti da menjaju tuđa prava nad entitetima koji im ne pripadaju.

Različiti aspekti zaštite

Aspekti zaštite se vrlo često definišu u odnosu na položaj mehanizama zaštite u računarskom ili informacionom sistemu ili računarskoj mreži. Pod ovim se često podrazumevaju sledeći nivoi:

* Zaštita na nivou aplikacije. Zaštita na nivou aplikacije može da obuhvati, na primer, sledeće elemente: softversku zaštitu aplikacije (recimo, zaštitu od prekoračenja bafera), izolovanje bitnih aplikacija na namenskim serverima i umreženim računarima, primenu specifičnih protokola (na primer, kriptografski zaštićenog protokola SSH umesto nezaštićenog protokola Telnet).
* Zaštita na nivou operativnog sistema. Kada se govori o zaštiti na nivou operativnog sistema, ulazi se u veoma složeno i obimno područje koje na neki način dotiče sve slojeve operativnog sistema. Zaštita na nivou operativnog sistema obuhvata i vezu operativni sistem – aplikacije, kao i odnos prema mrežnoj arhitekturi tj. vezama sa drugim sistemima.

Prema nekim preporukama, minimalna zaštita obuhvata: blokiranje nepotrebnih servisa (finger, ftp, telnet), obezbeđivanje sveobuhvatne i obavezne kontrole pristupa na nivou korisnika, obezbeđivanje integriteta softvera koji čini operativni sistem (većina sigurnosnih napada usmerena je na operativne sisteme bez primenjenih zakrpa, pa je zato potrebno redovno ažurirati sve elemente sistema ).

Da li je Linux bezbedan?

Linux nije bezbedan. Nijedan operativni sistem koji komunicira preko mreže nije bezbedan. Ako vam je zaista neophodna apsolutna, potpuna, neprobojna bezbednost treba vam znatan prazan prostor izmedu računara i bilo kog drugog uređaja.

Na razvoju Linuxa radi velika zajednica programera. Oni se razlikuju po iskustvu i obraćanju pažnje na detalje i poznavanju sistema i njegovih međuzavisnosti. Kao rezultat toga, čak i najkorisniji programi pisani s najboljom namerom mogu sadržati ogromne bezbednosne propuste. S druge strane, pošto je izvorni kod Linuxa dostupan svima, hiljade ljudi može analizirati svaki red programa u potražnji za mogućom pretnjom po bezbednost. Veruje se da se na ovakav način postiže mnogo veća bezbednost nego u zatvorenim operativnim sistemima, gde samo ograničen broj ljudi ima priliku da pažljivo pregleda kod u potrazi za propustima.

Međutim, pretpostavka da se bezbednost u Linuxu zbog toga povećava vremenom nije tačna. Sistemski softver postaje sve složeniji, hakeri postaju sve bolji i bolje organizovani, a računari se sve dublje povezuju preko Interneta. Bezbednost je bitka koja traje i u kojoj nema pobednika.

Važna pitanja bezbednosti

Filtriranje paketa

Ako se sistem pod Linuxom povezuje na mrežu koja ima pristup Internetu, potrebno je da se između sistema pod Linuxom i spoljnog sveta postavi usmerivač ili zaštitna barijera koja će filtrirati pakete. Umesto toga, Linuxom možete da konfigurišetefiltriranje paketa na sistemu pomoću komande iptables. Filtar bi trebalo da propušta samo saobraćaj koji služi za osnovne usluge koje sistem pod Linuxom treba da pruža.

Nepotrebne usluge

Razne verzije Linuxa znatno se razlikuju po mrežnim uslugama koje su podrazumevano uključene prilikom instalacije.Usluge koje nisu zaista neophodne treba isključiti. Osnovna provera podrazumeva da inetd pokreće samo neophodne servise.

Programske zakrpe

Svi veći distributeri Linuxa redovno objavljuju bezbednosne softverske pakete. Zakrpe za distribuciju i pakete se moraju sto pre i redovno instalirati. U trenutku pojavljivanja zakrpa hakeri verovatno već neko vreme znaju za taj propust.

Pravljenje rezervnih kopija

Redovna izrada rezervnih kopija svih sistema je obavezna da bi sistem mogao efikasno da se oporavi posle eventualnog bezbednosnog incidenta.

Lozinke

Svaki nalog mora da ima lozinku i ona ne sme da bude jednostavna za pogađanje. Nije bezbedno slati lozinke u tekstualnom obliku preko Interneta, pa je za daljinski pristup sistemu, neophodno korišćenje SSH ili nekog drugog naprednog sistem za proveru identiteta.

Budnost

Da bi sistem bio bezbedan neophodno je svakodnevno nadziranje zdravlja sistema, mrežne veze, tabele procesa i opšteg stanja. Bezbednosni problemi obično počinju kao mali i brzo rastu, pa je dobro što pre otkriti anomaliju.

Opšte preporuke

· Ne postavljati na sistem datoteke koje bi mogle da budu zanimljive hakerima ili radoznalim službenicima. Poslovne tajne, podaci o zaposlenima, rezultatima izbora itd. moraju se oprezno koristiti ako su na mreži. Šifrovanje takvih podataka pružiće znatno veći stepen bezbednosti od prostog sprečavanja neovlašćenih korisnika da pristupe podacima.

· Ne ostavljati mesta na sistemu na kojima bi hakeri mogli da naprave upad i koriste ga kao svoj. Hakeri često provale u neki sistem i zatim ga koriste kao polaznu tačku za upade u druge sisteme. FTP direktorijumi u koje svako sa anonimnim pristup može da upisuje podatke, grupni nalozi i nalozi sa loše izabranim lozinkama omogućavaju takve aktivnosti.

· Postavljanje klopki za otkrivanje upade i pokušaje upada je dobra praksa. Alatke kao što su wire, tcpd i crack su od velike pomoći prilikom predviđanja mogućih problema.

· Praćenje izveštaja koje prave bezbednosne alatke je dobra praksa. Bezazlen problem koji je zanemaren u jednom izveštaju može prerasti u katastrofu u sledećem.

· Potrebno je znati što više o bezbednosti sistema pod Linuxom. Praktično obrazovanje korisnika i zdrav razum najvažniji su činioci bezbednosti.

· Svakodnevna kontrola sistema za neobičnim aktivnostima je dobra praksa. Neophodno je ispitivanje svega što izgleda neobično, kao što su čudne poruke u zapisnicima aktivnosti ili aktivnosti na nekom nalogu (više aktivnosti, aktivnost u čudno vreme).

Kako se ugrožava bezbednost

Većina bezbednosnih problema se javljaju kao posledica jednog od sledećih uzroka:

· Ljudski faktor: Korisnici (i administratori) računarskog sistema najčešće su najslabije karike u bezbednosnom lancu.

· Greške u softveru: Tokom godina su otkrivene bezbrojne bezbednosne greške u Linuxu (uključujući i nezavisne programe, komercijalne i besplatne). Koristeći sitne greške u programiranju ili kontekstne zavisnosti, hakeri mogu da prevare Linux da uradi šta god oni žele.

· Otvorena vrata: Veliki broj programa može se konfigurisati tako da budu bezbedni. Nažalost, podrazumevana konfiguracija često je nedovoljno bezbedna. Hakeri često dobijaju pristup sistemu koristeći osobine softvera koje bi se u drugim okolnostima smatrale poželjnim: nalozi bez lozinki, diskovi dostupni svima i iste lozinke na više računara samo su neke od njih. Jedan od najvažnijih postupaka zaštite sistema jeste provera da li su nenamerno ostavljena otvorena vrata za hakere.

Provera i izbor lozinki

Stalno treba proveravati da li je za svako korisničko ima definisana lozinka. Pseudokorisnici poseduju datoteke, ali nikada ne prijavljuju za rad na sistem. Na primer, takav korisnik je daemon.

Komanda je pogodna za pronalaženje nepostojećih lozinki

perl -F: -ane ‘print if not $F[1];’ /etc/shadow

Linux omogućava korisnicima da sami biraju svoje lozinke. Mada je to velika prednost, ona je uzrok mnogih bezbednosnih problema. Prilikom dodeljivanja korisničkih imena trebalo bi korisnicima dati uputstva kako da izaberu dobru lozinku. Neophodno je dati upozorenje da se ne koriste imena ili inicijali, ime deteta ili bračnog druga ili bilo koju reč koja se može naći u rečniku . Lozinke koje su izvedene iz ličnih podataka kao što je broj telefona ili adresa takođe se lako pogađaju.

Lozinke bi trebalo da imaju najmanje osam znakova i trebalo bi da sadrže brojeve, znakove interpunkcije i velika i mala slova.

DNS i sigurnost

Održavanje DNS informacija o svim računarima na mreži svežim može pomoći u povećavanju sigurnosti. U slučaju povezivanja neodobrenog računara na mrežu lako ga je prepoznati po nedostatku DNS zapisa. Mnoge se usluge mogu konfigurisati da ne prihvaćaju veze s računarima koji nemaju dobre DNS zapise.

Identd

identd je mali program koji vodi računa o tome koji korisnik koristi koju TCP uslugu, a zatim to prijavljuje onima koji to traže. Ako identd nije kompromitovan, onda udaljenim računarima govori korisničko ime ili UID korisnika koji koriste TCP usluge. Tako je omogućeno administratorima udaljenih sistema da znaju identite lokalnog korisnika koji je pokušao upad na njihov sistem. Ako identd nije aktivan na sistemu nephodna je provera logova da bi se saznalo ko je zlonamerni korisnik.

Nmap

Postoji više ražnih softverskih paketa za skeniranje sistema i mreža na osnovu portova i usluga. Oni proveravaju ciljni računar tako što pokušavaju da ostvare konekciju po svim portovima i tako saznaju koje usluge nude. Na osnovu tih informacija moguće je naći ranjivi računar. Nmap je najpoznatiji.

Nmap je port skener. Može biti konfigurisan za laganu, srednju ili temeljnu proveru na računaru ili mreži računara.

Ip tabele

Uređaji projektovani za usmeravanje i filtriranje paketa (kao što je Ciscov PIX) najbolje su zaštitne barijere. Medutim, za kućnu mrežu ili firmu bez sredstava za kupovinu odgovarajućeg hardvera, zaštitna barijera pod Linuxom bolja je nego da ne postoji zaštitna barijera.

U generaciji jezgra Linuxa 2.4 uveden je nov mehanizam obrade paketa Netfilter. Alatka iptables, koja se koristi za upravljanje mehanizmom Netfilter, ekvivalent je komande ipchains, koja se koristila u jezgrima Linuxa verzije 2.2. Alatka iptables na mrežne pakete primenjuje uređene „lance” pravila. Grupe lanaca čine „tabele” i koriste se za obradu pojedinih vrsta saobraćaja.

Tabela filter sadrži tri podrazumevana lanca. Svaki paket koji jezgro obraduje šalje se kroz jedan od tih lanaca. Pravila u lancu FORWARD primenjuju se na sve pakete koji se sa mrežnog interfejsa prosleđuju drugom mrežnom interfejsu. Pravila u lancima INPUT i OUTPUT primenjuju se, redom, na saobraćaj koji se prima na lokalnom računaru ili se sa njega šalje. Ova tri standardna lanca obično su sve što vam treba za primenu zaštiline barijere između dva mrežna interfejsa.

Osim tabele filter, alatka iptables obraduje i tabele nat i mangle. Tabela nat sadrži lance pravila koji upravljaju prevođenjem mrežnih adresa. Tabela mangle sadrži lance koji menjaju sadržaj mrežnih paketa izvan konteksta NAT-a i filtriranja paketa. Iako je tabela mangle korisna za specijalnu obradu paketa, kao što je promena dužine života paketa, ona se u većini mreža uglavnom ne koristi.

Svako pravilo lanca ima klauzulu koja definiše šta se radi sa odgovarajućim paketima. Kada se pronađe odgovarajuće pravilo, primenjuje se na paket, a ostala pravila se zanemaruju. Mada su mnogi ciljevi interno definisani, kao cilj pravila moguće je navesti neki drugi lanac.

Ciljevi koji se mogu koristiti u tabeli filter su ACCEPT, DROP, REJECT, LOG, MIRROR, QUEUE, REDIRECT, RETURN i ULOG.

ACCEPT omogućava paketima da nastave svojim putem. DROP i REJECT odbacuju pakete. DROP briše paket neprimetno, dok REJECT šalje ICMP poruku o grešci. LOG omogućava jednostavno pra-ćenje provere paketa, a ULOG nudi detaljniju evidenciju.

REDIRECT preusmerava pakete preko posrednika umesto da ih pusti da slobodno nastave svojim putem. Ova mogućnost se može upotrebiti da bi se celokupan Web saobraćaj propustio kroz zastupnike kao što je Squid. RETURN predstavlj kraj lanca i odgovara iskazu return u pozivu procedure. Klauzula MIRROR međusobno zamenjuje IP adrese izvora i cilja paketa pre nego što ga pošalje. Konačno, QUEUE predaje pakete lokalnim korisničkim programima preko modula u jezgru.

Zaštitna barijera pod Linuxom najčešće se realizuje kao niz komandi programa iptables unutar pokretačkog skripta. Komande obično imaju jedan od sledećih oblika:

iptables -F ime-lanca

iptables -P ime-lanca cilj

iptables -A ime-lanca -i interfejs -j cilj

Prvi oblik (-F) briše iz lanca sva pravila. Drugi oblik (-P) definiše podrazumevani postupak (tj. cilj) lanca. Preporučujemo klauzulu DROP kao podrazumevani cilj lanca. Treći oblik (-A) dodaje pravilo na kraj lanca. Ako pomoću opcije -t ne definišete tabelu, komande će biti primenjene na lance u tabeli filter. Opcija -i primenjuje pravilo na navedeni interfejs, a -j definiše cilj.