Faceți căutări pe acest blog

sâmbătă, 5 noiembrie 2011

Măsuri elementare de securitate Linux

 Faptul că GNU/ Linux este renumit pentru securitatea sa se datorează în cea mai mare măsură creatorilor și dezvoltatorilor distribuțiilor Linux, dar și utilizatorii pot contribui decisiv. Există diverse metode, unele nu mi se par foarte utile (mi se pare infantilă chestia cu evitarea logării direct în X server pentru mașini la care nu are nimeni altcineva acces fizic...), în continuare îmi voi prezenta punctul de vedere personal... Chiar dacă cele ce urmează par să se potrivească mai mult pentru calculatoare folosite ca server, sau la serviciu, pot fi utile oricui, indiferent că avem desktop sau laptop/ netbook. Deocamdată ne vom axa pe chestiile low-level, lăsând deoparte iptables, fail2ban sau alte aplicații ce ar putea provoca migrene începătorilor.


  PAROLĂ CONT USER/ ROOT
 Cea mai puternică măsură de siguranță este și cea mai banală: parola atribuită conturilor de utilizatori. Parola folosită ar trebui să îndeplinească câteva condiții:
1- să fie formată din cât mai multe caractere;
2- să NU fie ceva banal, personal (nume, dată naștere, PIN, CNP, adresă, combinație de astfel de date, etc), și preferabil să nu fie un cuvânt din dicționar;
4- să fie formată din caractere diverse: litere (minuscule ȘI majuscule), cifre și caractere non- alfanumerice (celelalte caractere de pe tastatură: $ , . : ” ? # ^ !, etc);
4- să fie secretă, o parolă cunoscută și de alții nu ne ajută cu nimic, oricât de complicată ar fi;
5- să fie schimbată periodic, pentru orice eventualitate;
6- să fie UNICĂ, nu folosiți aceeași parolă pentru contul de utilizator și contul de root, nu folosiți o singură parolă pentru orice (conturi utilizator/ root, conturi pe forumuri, site-uri, arhive/ directoare criptate, etc);
7- să fie reținută, memorată de utilizator.

 Mda, se pare că ultimul punct poate da ceva bătăi de cap... Evident că putem nota undeva parola, dar asta este nesigur și cam neproductiv. :D
 În continuare voi prezenta o metodă asemănătoare celei folosite de mine pentru a-mi alege parolele, metodă ce nu respectă toate regulile anterioare, mai exact este vorba de un cuvânt din dicționar, dar care prezintă avantajul de a putea fi memorată, în ciuda dificultății. În primul rând aleg un cuvânt din dicționar, cât mai lung, mai rar folosit în vorbirea curentă și preferabil fără litere repetate. Un cuvânt care nu trebuie să aibă legătură cu profesia, pasiunile sau preocupările noastre!
 Ok, să dăm un exemplu: dezoxiribonucleic (17 caractere).
 Acum avem câteva posibilități:
1- eliminăm vocalele (a, e, i, o, u, acestea constituie un punct slab) din cuvînt, va rămâne dzxrbnclc (9 caractere, în această formă cred că-i destul de bunișoară pentru un cont de user fără drept de sudo...), la care adăugăm cifre și simboluri și înlocuim câteva minuscule cu majuscule:
#2dZX%3.1rBN0cLC; (avem iarăși 17 caractere);
2- folosim ”stilul” de scriere leet, înlocuind anumite litere cu cifre (1=i, 3=e, 4=t, 5=s, 7=z= L, 0=o, etc), adăugând câteva simboluri și scriind cu majuscule 2-3 litere, eventual în loc de majuscule putem forma noi cu ajutorul caracterelor Slash, Backslash, etc (M= /\/\, W= \/\/= \^/, A=/-\= /\, Z= 7_, șamd; recomand literele mai puțin folosite ca q, w, x, y, z) :
!D3z0x1r1&b0nuc731C;.
3- putem înlocui literele cu cifra ce are inițiala acea literă (0= Zero= z, 1= Unu= u, 2= Doi= d, 3= Trei= t, 4= Patru= p, șamd), plus ceva majuscule și simboluri:
2e08xIR  ib8915lEi5  (este un singur cuvânt, după majusculele IR sunt două spații, tasta Space poate fi folosită...).
 ATENȚIE: nu utilizați diacritice (ă, â, î, ș, ț) la parole, nu veți putea tasta aceste caractere în terminalul tty! Decât dacă vă setați tty pentru diacritice: http://stressat.blogspot.ro/2012/10/personalizare-tty.html
 Dacă nu folosiți sudo, parola de utilizator poate fi și ceva mai simplă, dar în cazul utilizării sudo, parola de user trebuie să fie una serioasă!

 În fine, sunt convins că prea puțini ar aplica o asemenea metodă, dar putem avea o parolă decentă destul de simplu, folosim 4 taste numerice, 1, 3, 5 și 7 (folosim una, sărim peste una), o dată apăsăm tastele simplu, a doua oară apăsăm Shift și tastele respective, plus câteva litere, a pentru început, Z pentru finalul parolei și între cele două modalități de folosire a tastelor chiar Shift (evident se pot modifica multe, tastele numerice, ordinea apăsării lor, literele, etc, ideea e să ne folosim imaginația pentru a crea o parolă suficient de dificil de spart, dar ușor de reținut și tastat):
a1357Shift!#%&Z
 Combinația de litere, cifre și simboluri este oricum mult mai serioasă decât chestii stupide precum george1987 (george fiind numele utilizatorului, numele contului de utilizator, 1987 data de naștere, ca să dau un exemplu)...


 BLOCARE SESIUNE
 Ok, să zicem că avem setată o parolă adevărată, tot ce mai trebuie să facem este să ne comportăm cu puțin bun simț: dacă părăsim calculatorul blocăm sesiunea (în Kde cu combinația de taste Ctrl+ Alt+ L, iar pentru deblocare trebuie dată parola de utilizator), nu tastăm parola când altcineva se uită la noi, nu divulgăm parola nimănui, și alte chestii similare.



 PAROLĂ BIOS
 În cazul în care alte persoane au acces fizic la calculatorul nostru, parola este insuficientă! Oricine poate porni o sesiune live (de pe un cd, dvd sau stick USB) și astfel poate afla datele noastre sau poate modifica orice parolă... :(
 Împotriva acestei posibilități este suficient să setăm în BIOS ca boot-area să se facă DOAR de pe hard disk, și apoi să punem parolă BIOS-ului așa încât să nu se poată intra în BIOS și modifica setările.
 La pornirea calculatorului intrăm în BIOS apăsând tasta DEL (sau în funcție de placa de bază F11, F12, etc, întotdeauna apare un mesaj în care se specifică tasta respectivă) și căutăm secțiunea Security (sau Password sau ceva similar), punem parola dorită, salvăm și ieșim din BIOS.
 Există două tipuri de parole: User password, care e legată doar de permisiunea de a umbla în BIOS (și a schimba de exemplu dispozitivul de pe care se va boota) și Superviser password, care controlează atât accesul la Bios, cât și, foarte important, pornirea calculatorului... De ce este acest aspect important? Dintr-un motiv simplu, chiar dacă mulți utilizatori nu știu de el, există un cont de utilizator chiar mai ”șmecher” decât contul root: contul Single: Single User Mode... Pentru a intra în sistem ca utilizator Single, la boot-are:
1- selectăm kernelul;
2- apăsăm tasta e (E minuscul, astfel edităm intrarea);
3- selectăm linia ce începe cu cuvântul kernel (de obicei e a doua linie);
4- apăsăm e pentru a edita;
5- adăugăm la sfârșitul liniei litera S sau cuvântul Single;
6- apăsăm Enter;
7- apăsăm b pentru a boota sistemul, astfel ne logăm ca root chiar în propriul sistem, fără să știm parola de root. Este util pentru repararea sistemului sau în cazul uitării parolei, este periculos dacă altcineva are acces fizic la mașina noastră... :(
 În unele distribuții este chiar mult mai simplu de intrat ca Single User, în timpul boot-ării în partea de jos a ecranului primim o linie de genul: ”F3 Kernel options”. Apăsând tasta F3 edităm imediat linia kernelului, ajunge să-i adăugăm la coadă S sau Single și să apăsăm Enter pentru a ne loga în Single User Mode.
 Putem lua unele măsuri împotriva logării în Single User Mode fără parolă, de exemplu adăugând în /etc/inittab linia următoare:
su:S:wait:/sbin/sulogin
 După adăugarea acestei linii, la orice încercare de logare ca user Single se va cere parola de root. Caz în care ar fi indicat să reținem parola de root...

Parola din BIOS se poate anula dacă în loc de parola veche nu mai punem alta, ci doar lăsăm caseta goală, salvăm și ieșim.
 O posibilă problemă ar putea fi uitarea parolei puse contului root sau la BIOS, coroborată cu imposibilitatea pornirii sistemului în sesiune live sau Single User Mode pentru a schimba parola uitată. Dacă pățim așa ceva, trebuie să resetăm BIOS-ul scoțând pentru câteva secunde (10-15 s) bateria BIOS-ului de pe placa de bază (seamănă cu o monedă metalică, are ceva mai mult de 1 cm în diametru). În acest mod setările BIOS-ului revin la valorile implicite, deci fără parolă.

 Nu uitați niciodată că utilizatorul este ÎNTOTDEAUNA cea mai slabă verigă a angrenajului!!!

Un comentariu:

  1. pana la urma si Linux-ul are ceva probleme de securitate,daca iti pui mintea cu el...dar dupa cum ai spus si este perfect valabil nu numai în linux,utilizatorul este vinovatul principal pentru toate necazurile care apar in procesul de utilizare a masinariei.
    Felicitari pentru munca pe care o depui aici dar si pe forumul ubuntu!

    RăspundețiȘtergere

Back to top