Zabezpečenie počítača
16.03.2011 09:50
Zabezpečenie počítača
- MS Windows
1. pravidelne aktualizovaný operačný systém. Microsoft pravidelne v mesačných intervaloch vydáva opravy bezpečnostných, ale aj iných chýb svojich operačných systémov a ostatných produktov. Môžete si zvoliť aktualizáciu automatickú, resp. ručne spúšťanú cez stránky Windows Update, resp. Microsoft Update. Viaceré opravy riešia skutočne závažné bezpečnostné problémy!
2. zapnutý a správne nakonfigurovaný firewall (program riadiaci sieťovú komunikáciu počítača smerom dnu i von): bud ten priamo z MS Windows XP (ak máte XP, aj keď treba povedať, že tento integrovaný firewall nie je celkom spoľahlivý…), alebo výrobok tretích strán, z kvalitných bezplatných napr.: Comodo Firewall and Antivirus, Comodo Firewallalebo Outpost Security Suite Free;
3. antivírový program, ktorý má pravidelne aktualizovanú databázu vírusov, napr.: NOD32, alebo AVG. Z bezplatných verzií antivírusov je možné použiť napr. Microsoft Security Essentials, AVG Free Edition,Comodo Firewall and Antivirus, Comodo Antivirus alebo avast! Home Edition;
4. antimalware - program na odstraňovanie nebezpečného kódu (malware - škodlivý kód, ktorý na pozadí vykonáva nekalé aktivity, napr. monitoruje prácu a odosiela informácie o nej, využíva výpočtový výkon počítača a jeho pripojenie do siete na prenos nelegálnych dát a posielanie spamov, atď.), napr.: Comodo BOClean Anti-Malware aleboAd-Aware;
5. ak je to možné, používanie alternatívnych aplikácií k aplikáciám, ktoré predstavujú bezpečnostné riziko: Mozilla Firefox alebo Opera miesto Internet Explorera, Mozilla Thunderbird alebo The Bat miesto Outlook/Outlook Express, ... Odkazy na viaceré z nich sa nachádajú na informačnej stránke o slobodnom softvéri;
6. nepracovať s právami administrátora systému! Pri bežnej práci je treba vždy byť prihlásený cez účet, ktorý má obmedzené práva v rámci operačného systému, t.j. práva bežného užívateľa, nie administrátora. Operačný systém na základe prístupových práv priradených bežnému užívateľovi bráni vykonať také kroky, ktoré by mali fatálny dopad na funkčnosť a bezpečnosť systému. Takto je možné eliminovať veľmi veľa nebezpečného kódu, ktorý by sme omylom, resp. nevedomky spustili pri práci napr. s disketou, CD, na stránkach internetu a pod.;
7. vytvárať pravidelné zálohy dát. To, čo je najcennejšie na počítači, sú dáta. Treba si vytvoriť prax pravidelne zálohovať a zvoliť primeraný spôsob, ako dáta nielen zálohovať, ale zároveň zálohy aj bezpečne uložiť. Pre osobný počítač stačí používať jednoduché metódy, napr.: napaľovanie na CD, zálohovanie po sieti, na druhý disk, USB kľúč a pod.
GNU/Linux
Situácia je pre používateľov GNU/Linuxu u väčšiny distribúcií podstatne jednoduchšia: hneď po inštalácii je štandardne nakonfigurovaný a zapnutý firewall; pri inštalácii je vytvorený užívateľský účet s obmedzenými právami a jednoduchšie je jeho využívanie aj pri následnej konfigurácii systému; vnútorná architektúra systému jasne oddeľuje užívateľský priestor od priestoru a práv roota; vzhľadom na zverejnené zdrojové kódy systému je opravených veľa chýb v systéme, ktoré v uzatvorenom kóde MS Windows na opravu ešte čakajú; vzhľadom na nižšiu rozšírenosť tohoto systému existuje menej škodlivého kódu, ktorý je napísaný pre GNU/Linux a poznajúc vnútro a architektúru obidvoch spomínaných systémov, dovolíme si tvrdiť, že GNU/Linux má, resp. konverguje ku kvalitnejšiemu kódu a celkovej realizácii operačného systému.
Aj napriek uvedeným skutočnostiam pripomíname nasledovné kroky zabezpečenia GNU/Linux:
1. pravidelne aktualizovaný operačný systém. Každá distribúcia obsahuje konkrétny nástroj na aktualizáciu operačného systému a inštalovanie nových programov. Naviac - vychádzajúc z filozofie unixových systémov, proces aktualizácie je možné elegantne zautomatizovať. Aktualizovať treba, aj tu platí, že viaceré opravy riešia skutočne závažné bezpečnostné problémy!
2. zapnutý a správne nakonfigurovaný firewall. Štandardnou súčasťou GNU/Linux je paketový filter iptables, ktorý je po inštalácii zapnutý a nakonfigurovaný. Ak by sme následne firewall rekonfigurovali, treba si dať pozor, ako ho nastavíme;
3. aktualizovať aplikácie, v ktorých je objavená bezpečnostná chyba a ktoré tak predstavujú bezpečnostné riziko. Ak máme správne nakonfigurovaný aktualizačný nástroj a nainštalované aplikácie z inštalačných balíčkov danej distribúcie (resp. repozitárov aplikácie), aktualizácia aplikácií je vykonávaná automaticky spolu s aktualizáciou operačného systému;
4. nepracovať s právami root-a (administrátora) systému! Pri bežnej práci je treba byť vždy prihlásený cez účet, ktorý má obmedzené práva v rámci operačného systému, t.j. práva bežného užívateľa, nie root-a. Operačný systém na základe prístupových práv priradených bežnému užívateľovi bráni vykonať také kroky, ktoré by mali fatálny dopad na funkčnosť a bezpečnosť systému. Zároveň sa naučiť využívať pre zásahy, ktoré vyžadujú práva root-a, nástroje su a sudo (ak daná distribúcia GNU/Linux neponúka grafické nástroje umožňujúce potrebné navýšenie privilégiíí pre administratívne zásahy do systému);
5. vytvárať pravidelné zálohy dát. To, čo je najcennejšie na počítači, sú dáta. Treba si vytvoriť prax pravidelne zálohovať a zvoliť primeraný spôsob, ako dáta nielen zálohovať, ale zároveň zálohy aj bezpečne uložiť. Pre osobný počítač stačí používať jednoduché metódy, napr.: napaľovanie na CD, zálohovanie po sieti, na druhý disk, USB kľúč a pod. Z podstaty systému unixového typu GNU/Linux bez ďalších špeciálnych programov ponúka viaceré alternatívy, akým spôsobom a čo zálohovať, resp. ako zautomatizovať zálohovanie.
__________Ochutnávka niečoho viac;-)__________
x1. vypnutie služieb (daemon, system service), ktoré nie sú použité:
- špecifikovanie runlevels, ktoré sú používané a služieb, ktoré sú štartované (/etc/inittab, ls /etc/rcX.d/ - X=runlevel, chkconfig,...);
- špecifikácia služieb, ktoré sú nepotrebné a ich vypnutie (úprava rcX.d adresárov, chkconfig,...).
x2. sieťová bezpečnosť
- "nmap -v -sS -O" - zistenie a analýza otvorených portov -> následná rekonfigurácia firewallu (najčastejšie iptables);
- nessus - zistenie a analýza bezpečnostných rizík a dier;
x3. nedávať local access na počítači rôznym užívateľom, ktorí by sa pripájali vzdialenie cez sieť (login shell /sbin/nologin...). A ak je vážny dôvod local access dať, povoliť len šifrovaný prístup na server, zvyčajne cez ssh a s využitím niektorej z možností pre chroot.
x4. nastavenia ssh (zmeny v /etc/ssh/sshd_config):
- Port xyz - zmena TCP portu služby ssh (nezabudnúť povoliť port aj na firewalle:-)
- Protocol 2 - povolí len ssh verzie 2;
- PermitRootLogin no - nepovolí root login cez ssh;
- MaxAuthTries 1 - počet pokusov prihlásenia: 1, potom sa treba znovu pripojiť;
- AllowGroups skupina - povolí ssh prihlásenie len užívateľom z konkrétnej skupiny;
- LoginGraceTime 1m - zruší neautentifikované pripojenie po minúte spojenia.
x5. zabezpečenie pripájaných súborových systémov nastavením parametrov nosuid, nodev, noexec (v /etc/fstab narozdiel od defaults: rw, suid, dev, exec, auto, nouser, async):
- /var - nosuid,nodev,noexec (ak je /var na samostatnom oddieli)
- /home - nosuid,nodev (ak je /home na samostatnom oddieli)
- /usr - nodev (ak je /usr na samostatnom oddieli)
- /xyz - nosuid,nodev,noexec (xyz - nejaký disk len s dátami)