Bezpečnost v Linuxu
 x   TIP: Přetáhni ikonu na hlavní panel pro připnutí webu

Bezpečnost v LinuxuBezpečnost v Linuxu

 

Bezpečnost v Linuxu

Google       11. 12. 2006       17 614×

Recenze knížky Bezpečnost v Linuxu – Prevence a odvracení napadení systému od Boba Toxena.

Vlastníte-li sami systém postavený na některé z distribucí GNU/Linuxu, tak pro vás nebude novinkou fakt, že Linux je bezpečný systém, a to již ze své podstaty. Jeho bezpečnostní model byl prověřen desetiletími vývoje, ve kterém obstál na výbornou. A proč tedy mít knihu, která se jeho bezpečností zabývá? Linuxový systém sice je bezpečný, ale velmi záleží na každém administrátorovi, nakolik ho otevře světu, případně si ho bude střežit a nedovolí nikomu ani ‚ň‘.

Základním předpokladem, který byste měli splňovat, než se pustíte do čtení této knihy, je množství znalostí alespoň na úrovni velmi zkušeného úživatele GNU/Linuxu. To proto, že kniha je určena především správcům linuxových systémů, u kterých se tato úroveň znalostí předpokládá automaticky.

Knižní zvyklosti

Kniha je pěkně a logicky uspořádána – nejprve se zabývá těmi nejkritičtějšími problémy (kterých je nejvíce) a postupně se dostává i k těm méně závažným. A poznat, který problém by se měl řešit nejdříve, vzhledem k nebezpečí, které skrývá, poznáte velmi snadno, podle stupně nebezpečí, které znázorňuje počet symbolů nebezpečí – lebek se zkříženými hnáty. Symbolů nebezpečí může být až pět (nejméně však jeden). Čím více, tím je daný problém nebezpečnější.

Struktura knihy

Kniha myslí na všechny administrátory. Nezapomíná ani na velmi zaneprázdněné správce, kteří kvůli velkému náporu starostí nemají příliš mnoho času, aby „ještě zabezpečovali systém“, a takových je v dnešní uspěchané době celkem značné množství… Avšak druhá část administrátorů, která se zabezpečování může věnovat naplno, bude mít také co dělat, neboť kniha má téměř tisíc velmi stránek plných hodnotných informací. Ty jsou vhodně rozděleny na čtyři základní celky:

I. Zabezpečení systému
II. Příprava na průnik do systému
III. Detekce případů vniknutí
IV. Odstraňování následků útoku

Část I – Zabezpečení systému

Tato v podstatě nejrozsáhlejší část knihy se věnuje problematice prevence úspěšného útoku a následného proniknutí do systému. Začíná celkovým pohledem na bezpečnost Linuxu a zmiňuje nejčastější příčiny a nejkritičtější služby, pomocí kterých se dá nabourat do cizího systému (viz náhled do knížky č. 1). Nejlépe zabezpečíte systém, pokud na něj budete nahlížet zvenčí – jako cracker, který si ho vybral za cíl svého útoku. Musíte hledat a najít všechny možné cesty, kudy se může záškodník vydat. Takový způsob nahlížení na bezpečnost je demonstrován hned na úvod, se všemi svými náležitostmi, včetně jednoho ukázového „útoku“.

Praxe zabezpečování však na sebe nenechá dlouho čekat – hned první praktická kapitola rozebírá běžné nedostatky zabezpečení. Rychlá náprava obvyklých problémů, jak zní název této kapitoly, se bude velmi hodit pro rychlé základní zabezpečení systému. Jako první je zmíněno sedm fatálních hříchů, které se stále dokola opakují a které mohou za velkou část průniků a poškozených systémů. Hesla jsou často velmi opomíjená a mnozí dokonce volí primitivní hesla (např. název firmy, ‚heslo‘, ‚123456‘ apod.) se slovy „něco tak jednoduchého nikoho nenapadne zkoušet. Možná ne, ale pokud dotyčný útočník použije při útoku na daný účet slovníkovou metodu louskání hesel, tak máte o neočekávaného (a především nežádaného) návštěvníka vystaráno. A to je jen jeden z vroubků, které se dají ve velkém množství systémů najít. Jen letmo vzpomenu i další témata této kapitoly: ochrana systému před omyly uživatelů, firewally, vypnutí nepotřebných služeb, správa softwaru.

Další kapitoly se zabývají neméně závažnou problematikou: nejčastějšími hackerskými průniky do systémů. Kromě klasické „síťové“ bezpečnosti (útoky na různá zařízení, odposlech, falešná komunikace, paketové bouře (viz náhled č. 4) nebezpečí běžných služeb…) se věnují také bezpečnosti fyzické. Mnozí možná zakroutíte hlavou, ale zručnému vetřelci staří necelých pět minut na vymontování pevného disku ze stolního počítače a z laptopu to stihne během minuty.

Nezůstane však jen u těchto „lehkých“ témat, ale zabrousíme i do oblastí náročnějších. Taje těžko odhalitelných, a především závažných problémů vám budou v tomto pokročilejším oddílu knížky rovněž odkryty. Nezůstanete ušetřeni ani přesvědčování, že je velmi důležité zavést pravidla – bezpečnostní politiku. Budete seznámeni s podrobnostmi, na které je dobré pamatovat (např. e-mailová politika, politika okamžité výměny zpráv apod.). Blízko k tomuto má i problematika „důvěřivosti“. Jak a kdy důvěřovat jiným počítačům. Málo systémů je naprosto izolovaných, proto je potřeba určit podmínky, které zajistí, nakolik se bude důvěřovat cizím systémům, se kterými náš systém komunikuje.

Za velmi hodnotné považuji i případové studie, kterým jsou věnovány celé dvě kapitoly. Každá studie, každý případ je podrobně popsán, vysvětlen, a navíc je u každého napsáno pár rad a ponaučení, jak by se dalo podobnému průniku předejít.

Část II – Příprava na průnik do systému

Kvalitní příprava systému může minimalizovat rozsah hrozícího poškození a zároveň napadený systém půjde podstatně rychleji vrátit do normálního provozu (často již během několika minut a nikoli až za několik hodin či dní). Mnozí administrátoři tuto oblast zabezpečení opomíjejí – říkají si, že když zalepí veškeré možné díry, kudy by mohl útočník vniknout do systému, tak budou mít vystaráno, ale není tomu tak – spíše naopak. V této části se naučíte pracovat s nástroji, jejichž jediným cílem je zvýšení bezpečnosti, „opevnění“ systému. Podrobně bude probráno SSH, VPN, PGP i GPG, správné nastavení firewallů, jejich omezení (co dělat nemohou), vytváření demilitarizované zóny (DMZ) a mnohá další témata.

Aby byl systém připraven na případný úspěšný průnik, měla by existovat minimálně jedna bezpečná záloha na bezpečném místě. Pokud se totiž útočníkovi podaří napáchat nějaké škody, bude již pozdě zálohovat… Oddíl věnující se zálohování tuto oblast nepodceňuje – zabývá se návrhem bezpečnostního záložního systému a jeho udržování v pohotovosti. Jako obvykle přináší autor i tentokrát řadu velmi užitečných rad z praxe.

Pro každého správce je užitečné si zkusit tzv. cvičný poplach – získané zkušenosti z těchto cvičení mohou značně ulehčit a především urychlit proces uvedení systému do opětovného provozu. Nezůstanou opomenuty ani techniky pro pozorování vlastního systému. Většinou se totiž jedná o stejné techniky, jaké používají crackeři, takže by se pravidelná kontrola systému popisovanými nástroji a technikami měla stát pro každého správce naprosto samozřejmou. Užitečná je i stať věnovaná systémům na detekci průniků.

Část III – Detekce případů vniknutí

Celá kniha se točí okolo snižování pravděpodobnosti, závažnosti a důsledků vniknutí do systému. Žádný systém není a ani nemůže být bezpečný na 100 % – to prostě už jen z podstaty věci nejde. Zhruba 10-20 % adminů zažije skutečný, úspěšný průnik do systému.
Tato část knihy má pouze dvě kapitoly, a to monitorování aktivit a vyhledávání odchylek od normálu. Monitoring je tu rozebrán dosti podrobně – k úspěšnému zabránění průniku se vám to může velmi hodit. Odchylky od „normálního“ stavu mohou lecčemu napovědět. Proto jsou velmi doporučovány pravidelné kontroly systému, např. promiskuitních síťových karet, hledání a analýza podezřelých souborů, příp. i porovnávání obsahu klíčových souborů.

Část IV – Odstraňování následků útoku

Nikdo z nás si asi nepřeje, aby zrovna náš systém byl napaden a úspěšně „zdolán“. Všichni bychom však na to měli být připraveni, protože až to přijde, tak bude pozdě se něco učit, hledat návody na rychlou obnovu systému apod. Pro názornou ukázku je v knížce otištěna tabulka s pěti různými, dobře známými servery a s číselnou výší škod, které by vznikly, kdyby byly jeden den mimo provoz.

Shrnutí

Kniha je psaná opravdu profesionálně, odbornost autora je vidět doslova na každé stránce. Pokročilý uživatel si krásně může vyladit svůj systém po bezpečnostní stránce a administrátor může být klidnější, když bude mít systém zabezpečený podle této knížky. Velmi hodnotné je rovněž přiložený CD-ROM, na kterém jsou k dispozici programy a skripty, které má na svědomí sám autor a které se přímo týkají probírané látky a na které se v kniha autor odkazuje. Nechybí ani oblíbené open-source bezpečnostní programy.

Tuto knihu bych doporučil každému, kdo se jen trochu více zajímá (nebo musí zajímat, tj. administrátoři linuxových systémů) o bezpečnost GNU/Linuxu. Rozhodně to není nic pro začátečníky, ale pro zběhlé linuxáky, kteří volbou této knihy rozhodně nic neztratí – mohou totiž jenom získat.

O autorovi

Bob Toxen vešel ve známost jako jeden ze 162 vývojářů Berkeley Unixu. Jako student se koncem sedmdesátých let naučil o bezpečnosti, když se mu podařilo proniknout do unixových systémů a úspěšně obelstil i mnohé věhlasné systémové administrátory. Byl jedním ze čtyř vývojářu, kteří stáli u zrodu prvního portu systému Linux na hardware Silicon Graphics a podařilo se mu nabourat jádro unixového systému s bezpečností podle stupně C2.

Bob byl architektem systému klient/server, pomocí něhož Kennedyho středisko vesmírných letů NASA komunikouje s 3 000 počítači, na kterých je uloženo 900 GB dokumentů týkajících se raketoplánů. Byl správcem unixových systémů v americkém počítačovém centru jedné z největších rejdařských společností na světě a byl architektem serveru, který ovládá oblíbené linuxové zařízení takzvaných síťových disků.

×Odeslání článku na tvůj Kindle

Zadej svůj Kindle e-mail a my ti pošleme článek na tvůj Kindle.
Musíš mít povolený příjem obsahu do svého Kindle z naší e-mailové adresy kindle@programujte.com.

E-mailová adresa (např. novak@kindle.com):

TIP: Pokud chceš dostávat naše články každé ráno do svého Kindle, koukni do sekce Články do Kindle.

1 názor  —  1 nový  
Hlasování bylo ukončeno    
0 hlasů
Google
Autor se věnuje tvorbě webových stránek, webdesignu a mezi další koníčky patří akvaristika a ježci. Nejvíce ze všeho se ale zajímá o GNU/Linux.

Nové články

Obrázek ke článku Stavebnice umělé inteligence 1

Stavebnice umělé inteligence 1

Článek popisuje první část stavebnice umělé inteligence. Obsahuje lineární a plošnou optimalizaci.  Demo verzi je možné použít pro výuku i zájmovou činnost. Profesionální verze je určena pro vývojáře, kteří chtějí integrovat popsané moduly do svých systémů.

Obrázek ke článku Hybridní inteligentní systémy 2

Hybridní inteligentní systémy 2

V technické praxi využíváme často kombinaci různých disciplín umělé inteligence a klasických výpočtů. Takovým systémům říkáme hybridní systémy. V tomto článku se zmíním o určitém typu hybridního systému, který je užitečný ve velmi složitých výrobních procesech.

Obrázek ke článku Jak vést kvalitně tým v IT oboru: Naprogramujte si ty správné manažerské kvality

Jak vést kvalitně tým v IT oboru: Naprogramujte si ty správné manažerské kvality

Vedení týmu v oboru informačních technologií se nijak zvlášť neliší od jiných oborů. Přesto však IT manažeři čelí výzvě v podobě velmi rychlého rozvoje a tím i rostoucími nároky na své lidi. Udržet pozornost, motivaci a efektivitu týmu vyžaduje opravdu pevné manažerské základy a zároveň otevřenost a flexibilitu pro stále nové výzvy.

Obrázek ke článku Síla týmů se na home office může vytrácet. Odborníci radí, jak z pracovních omezení vytěžit maximum

Síla týmů se na home office může vytrácet. Odborníci radí, jak z pracovních omezení vytěžit maximum

Za poslední rok se podoba práce zaměstnanců změnila k nepoznání. Především plošné zavedení home office, které mělo být zpočátku jen dočasným opatřením, je pro mnohé už více než rok každodenní realitou. Co ale dělat, když se při práci z domova ztrácí motivace, zaměstnanci přestávají komunikovat a dříve fungující tým se rozpadá na skupinu solitérů? Odborníci na personalistiku dali dohromady několik rad, jak udržet tým v chodu, i když pracovní podmínky nejsou ideální.

Hostujeme u Českého hostingu       ISSN 1801-1586       ⇡ Nahoru Webtea.cz logo © 20032024 Programujte.com
Zasadilo a pěstuje Webtea.cz, šéfredaktor Lukáš Churý