compaq:
Za prvé je důležité si uvědomit, jak se může někdo dostat k vašim citlivým datům
1) fyzicky (uklízečka)
2) elektronicky (kdejakej software/cracker/hacker přes internet či infranet)
3) socioútor (dáte mu ho vy)
1) po základní instalaci máte Ubuntu nastaveno tak, že po zapnutí a najetí všehovšudy (zjednodušeně Bios/bootování/grub/log) skončíte u části, kdy musíte zadat login a heslo (kvalitní pokud možno). První věc je nechat si jen účty které potřebujete a dobře je zabezpečit kvalitním heslem. Pak se Vám dál nikdo nedostane.
Ohledně zabezpečení GRUBu se moc nevyznám, ale nebude to nic složitého. Určitě půjde grub nějak zabezpečit, nebo dokonce ho obejít a natvrdo nastavit určité věci bez možnosti při startu nějak s grubem manipulovat. Minimálně je jednoduché a primitivní v menu.lst upravit grubáckou tabulku kde si na začátku vybíráte systém. Je tam i čas jak dlouho má počkat než vybere předchozí volbu a bude tam určitě plno zajímavých nastavovátek. (nastavit to dle vašich potřeb nebude určitě nic těžkého, ten konfigurák je dobře popsán)
Bootování, tedy odkud má najet systém. ať už z harddisku, z mechaniky či ze sítě.. Toto vše se pro jakýkoliv systém nastavuje v BiIOSu. Tzn. vlezte do biosu a budete tam mít, že prvně pro boot se má zkontrolovat mechanika a pak až disky. Nechte tam jenom disky a zaheslujte si bios.
Když se tedy nikdo nedostane do biosu, nebude moci povolit bootování z liveCD a tedy systém bude bootovat jen z harddisku. Každý pak okrouhá na logovacím přihlášení.. Za pár milionů let to prorazí to je jasné. :-) Ale každý takovýto útok budete mít v systému detekován a zalogován. Když budete chtít, systém Vám bude pomocí skriptíku po startu hlásit, že byl tehdy a tehdy zapnut a někdo se zkoušel lognout atd.. Nebo se do logů budete moci podívat sám. V tom je krása Linuxu, všechno vykecá. :-D
Problém biosu a vůbec fyzického přístupu je, že vám stačí šroubovák. Bios se dá na základní desce vyresetovat a tím se útočník do biosu dostane. Ale to byste pak poznal. (bios by neměl vaše nastavené heslo) Další věc jak to celé obejít je připojit přímo disk k jinému počítači, třeba notebooku s nastartovaným systémem přes usb externí rozhraní. Nemusí se ani nějak vyšroubovávat, jen se vymění kšanda a zajistí se napájení. (Windows je na tom samozřejmě v tomto případě úplně nastejno a je jedno jestli má nějaký zvláštní oddíl pro přístup) Pak má ona uklizečka s notebookem/PDA s potřebnými kabílky Váš disk jako na dlani a může si s tím dělat co chce, i když bude zašifrován.
(jde oto, že když by šlo tvrdé na tvrdé a někdo by o Váš obsah disku opravdu hodně stál, naklonuje/nakopíruje si (jako klonování CD) celý obsah Vašeho disku v nezměněné podobě, odnese si to aniž byste si něčeho všiml a pak s onou kopií může provádět co uzná za vhodné dokud z toho nedostane co potřebuje.)
Ale jde to ztížit a znepříjemnit.
- Zašifrovat disk. Tzn. nikdo se nedostane přímo k datům pokud nerozšifruje disk, což může trvat docela dlouho :-) pokud se tedy nebude oto snažit USA vláda s jejich podzemníma komplexama s nadupanýma počítačema nebo se k tomu někdo nepokusí zneužít SETI@home a trochu si to čekání nezkrátí..
- Výměnný disk. Co někde není, nikdo neukradne. :-) Můžete jej dát do firemního trezoru nebo vzít domů. Zde je ale problém, že když o to bude někdo stát tak vykrade trezor. Ale s kombinací se šifrováním už je to docela fine. To s tím odnášením domů je fine dokud Vás někde nepřepadne, nezabije a neokrade...
- Pracovat se vzdáleným souborovým systémem. Tedy nemít data na disku, ale někde v síti.
Ale záleží na vašich požadavcích..
2) Nejlepší bezpečnostní opatření proti elektronickému útoku je nebýt připojený. :-) Pokud tedy budete mít vypnutý počítač a nebudete připojen a nepůjde systém najet přes ethernet atd., tak jste v pohodě... Obecně v tomto je Linux mnohem bezpečnější a když se někdo vyzná, tak do Windows by mohlo být lehčí se dostat. Jsou tam i vrátka přímo od vlády USA. Vyplývá to ze zákona, že musejí mít do systému přístup, když se tento systém exportuje.
Zde zapadá vše ohledně děr v systému atd.. Dobré je zde nasadit firewall. A hlavně pravidelně aktualizovat vše. Což je ale v Linuxu díky balíčkovacím systémům velmi jednoduché.
3) Tak jako tak, u elektronického přístupu je nejdůležitější opět dobré heslo, neklikat na vše co má kozy a trochu se věnovat zabezpečení.. Nejjednodušeji se data získávají tak, že oně požádáte. ;-) Většina děr v systému jsou tedy zapříčiněna samotným uživatelem a tyto cesty jsou nejpoužívanější.
Shrnuto a podtrženo:
Základ jako zablokovat a nastavit BIOS, udělat si dobré heslo, nastavit systém, udělat firewall a pravidelně aktualizovat zvládne každý. Popřípadě šifrovat data či přímo oddíl na disku.
Pokud však Vám jde o 95% jistotu, že Vás konkurence o data nepřipraví, můžete nasadit nějaké extremnější řešení spolu s obrácením se na nějakou profesionální firmu, která se zabývá podporou os (RedHat apod..) a která s tímto má dozajista značné zkušenosti a budete mít jistotu, že i když pracujete, tak vám zrovna nikdo nic nekrade... Pravděpodobně Vás i nějak poučí atd...
PS: a přiznejme si, pokud vám jde o data v hodnotě několika stovek tisíc, nehledě na další následky a případné vyčíslení škody, tak částka investovaná do zabezpečení a bezpečnostní politiky je přijatelná.