BlogNávod ako kvalitne zabezpečiť PC s Linuxom
Návod ako kvalitne zabezpečiť PC s Linuxom
pre Admin 7th septembra 2015, 09:39
Linux Foundation zverejnila návod ako kvalitne zabezpečiť PC s Linuxom
Linux Foundation, organizácia zastrešujúca vývoj linuxového jadra a ďalšie dôležité linuxové projekty a iniciatívy, v uplynulých týždňoch zverejnila komplexný návod ako zabezpečiť pracovnú stanicu s operačným systémom Linux.Návod je primárne určený pre zaistenie bezpečnosti pracovných staníc IT administrátorov, z ktorých sa je typicky možné dostať do ďalších systémov IT infraštruktúry a ich zabezpečenie je tak mimoriadne dôležité.
Návod sa ale týka bežného používania týchto pracovných staníc ako PC na prácu aj zábavu a je tak aplikovateľný na ľubovoľné PC, u ktorého chce užívateľ dosiahnuť vysokú bezpečnosť proti útokom vrátane útokov s fyzickým prístupom k PC a ďalším hrozbám.Návod jednotlivé odporúčania delí do troch kategórií, zásadné pre zabezpečenie dobrej bezpečnosti, nepovinné ale prínosné a paranoidné.
Ako zásadné v súčasnosti označuje výber PC s podporou UEFI a SecureBoot, zabezpečenie vstupu do konfigurácie UEFI heslom a reálne použitie technológie SecureBoot dovoľujúcej len nabootovanie podpísaného a teda dôveryhodného kódu.Pri výbere distribúcie je nevyhnutnou požiadavka na podporu systému zabezpečenia typu Mandatory Access Controls alebo Role-Based Access Controls, konkrétne buď SELinux, AppArmor alebo GrSecurity / PaX. Tieto technológie aplikujú jemnejšiu kontrolu oprávnení najmä aplikácií a procesov a dovoľujú im pristupovať len k zdrojom, ktoré naozaj potrebujú pre svoje fungovanie.
Distribúcia tiež musí promptne vydávať bezpečnostné aktualizácie, balíčky podpisovať, zverejňovať bezpečnostné oznámenia, samozrejme podporovať UEFI a SecureBoot a podporovať šifrovanie celého disku pomocou štandardu LUKS.
Návod odporúča disk šifrovať, pričom heslo respektíve fráza pre šifrovanie, heslo pre vstup do konfigurácie UEFI a root heslo môžu byť rovnaké. Ako heslo odporúča voliť frázu minimálne z dvoch až troch slov, ktorých kombinácia sa nevyskytuje v bežnom jazyku, alebo reťazec náhodných znakov o dĺžke aspoň 10 až 12 písmen.Zásadné je zakázať firewire a thunderbolt moduly a mať blokované všetky prichádzajúce sieťové porty pomocou firewallu.
Pri browsovaní návod odporúča používať dva prehliadače. Firefox s viacerými rozšíreniami ako napríklad NoScript, Privacy Badger a HTTPS Everywhere na prácu a dôležité zabezpečené stránky a Chrome respektíve Chromium pre všetky ostatné stránky.
Dobrou praktikou je používanie tohto druhého prehliadača vo virtuálnom stroji.Návod odporúča používať manažéry hesiel pre vysokú kvalitu hesiel, najmä samostatné mimo prehliadača.Odporúčané je PC buď vypínať alebo hibernovať a nenechávať ho iba zaspaté. V takom prípade sú dáta v pamätiach a uskutočniť je možné tzv. Cold Boot útok, pri ktorom sa dajú dáta z pamätí prečítať ešte nejaký čas po vypnutí alebo rebootovaní stroja.
Jediným paranoidným odporúčaním v celom návode je oddeľovať všetky realizované činnosti do samostatných virtuálnych strojov, napríklad využívaním Qubes-OS.Bližšie informácie je možné nájsť v obsiahlom návode Linux Foundation.
https://github.com/lfit/itpol/blob/master/linux-workstation-security.md
Linux Foundation, organizácia zastrešujúca vývoj linuxového jadra a ďalšie dôležité linuxové projekty a iniciatívy, v uplynulých týždňoch zverejnila komplexný návod ako zabezpečiť pracovnú stanicu s operačným systémom Linux.Návod je primárne určený pre zaistenie bezpečnosti pracovných staníc IT administrátorov, z ktorých sa je typicky možné dostať do ďalších systémov IT infraštruktúry a ich zabezpečenie je tak mimoriadne dôležité.
Návod sa ale týka bežného používania týchto pracovných staníc ako PC na prácu aj zábavu a je tak aplikovateľný na ľubovoľné PC, u ktorého chce užívateľ dosiahnuť vysokú bezpečnosť proti útokom vrátane útokov s fyzickým prístupom k PC a ďalším hrozbám.Návod jednotlivé odporúčania delí do troch kategórií, zásadné pre zabezpečenie dobrej bezpečnosti, nepovinné ale prínosné a paranoidné.
Ako zásadné v súčasnosti označuje výber PC s podporou UEFI a SecureBoot, zabezpečenie vstupu do konfigurácie UEFI heslom a reálne použitie technológie SecureBoot dovoľujúcej len nabootovanie podpísaného a teda dôveryhodného kódu.Pri výbere distribúcie je nevyhnutnou požiadavka na podporu systému zabezpečenia typu Mandatory Access Controls alebo Role-Based Access Controls, konkrétne buď SELinux, AppArmor alebo GrSecurity / PaX. Tieto technológie aplikujú jemnejšiu kontrolu oprávnení najmä aplikácií a procesov a dovoľujú im pristupovať len k zdrojom, ktoré naozaj potrebujú pre svoje fungovanie.
Distribúcia tiež musí promptne vydávať bezpečnostné aktualizácie, balíčky podpisovať, zverejňovať bezpečnostné oznámenia, samozrejme podporovať UEFI a SecureBoot a podporovať šifrovanie celého disku pomocou štandardu LUKS.
Návod odporúča disk šifrovať, pričom heslo respektíve fráza pre šifrovanie, heslo pre vstup do konfigurácie UEFI a root heslo môžu byť rovnaké. Ako heslo odporúča voliť frázu minimálne z dvoch až troch slov, ktorých kombinácia sa nevyskytuje v bežnom jazyku, alebo reťazec náhodných znakov o dĺžke aspoň 10 až 12 písmen.Zásadné je zakázať firewire a thunderbolt moduly a mať blokované všetky prichádzajúce sieťové porty pomocou firewallu.
Pri browsovaní návod odporúča používať dva prehliadače. Firefox s viacerými rozšíreniami ako napríklad NoScript, Privacy Badger a HTTPS Everywhere na prácu a dôležité zabezpečené stránky a Chrome respektíve Chromium pre všetky ostatné stránky.
Dobrou praktikou je používanie tohto druhého prehliadača vo virtuálnom stroji.Návod odporúča používať manažéry hesiel pre vysokú kvalitu hesiel, najmä samostatné mimo prehliadača.Odporúčané je PC buď vypínať alebo hibernovať a nenechávať ho iba zaspaté. V takom prípade sú dáta v pamätiach a uskutočniť je možné tzv. Cold Boot útok, pri ktorom sa dajú dáta z pamätí prečítať ešte nejaký čas po vypnutí alebo rebootovaní stroja.
Jediným paranoidným odporúčaním v celom návode je oddeľovať všetky realizované činnosti do samostatných virtuálnych strojov, napríklad využívaním Qubes-OS.Bližšie informácie je možné nájsť v obsiahlom návode Linux Foundation.
https://github.com/lfit/itpol/blob/master/linux-workstation-security.md
Admin- Admin
- Počet príspevkov : 33
Join date : 15.07.2014 -
Povolenie tohoto fóra:
Nemôžete odpovedať na témy v tomto fóre.|
|
|