Autor Téma: Máte tipy na zvýšení bezpečnosti Ubuntu? (Přečteno 10153 krát)

arrange · « **kdy:** 17 Září 2010, 10:22:45 »

Pro mnoho lidí bude toto téma možná zbytečné ("Linux je bezpečný", "Ubuntu má v defaultu nastavenou bezpečnou politiku" atd), ale chtěl bych dát dohromady pár tipů pro uživatele Ubuntu, kteří mají zájem zlepšit odolnost svého systému (klidně jim třeba říkejte paranoici) nebo sebe samého

.
Tipy mohou být konkrétní (změňte parametr ten a ten), nebo i obecnější (jak se bránit phishingu, hesla apod.) Měly by být asi směrovány na mírně pokročilé až pokročilé uživatele.

Snad by se hodil i nějaký souhrn dát později na wiki, takže bude fajn, když vaše tipy budou mít nějakou strukturu, i když ne povinně

Třeba:

název
popis problému, proč důležité
návod pro Ubuntu
výhody, nevýhody daného postupu, tipu
příklady zneužití dané slabiny v historii
odkazy, linky

brdokoky · « **Odpověď #1 kdy:** 17 Září 2010, 11:48:38 »

Super napad. Napriklad

1. Encriptacia home

2. Zbytocne neintstalovat vsetko co pride do cesty.

3. Pouzivanie password managera.

4. Vytvorenie encryptovanej virtualnej particii.

5. Firewall UFW alebo GUFW

6. BetterPrivacy, Cookie safe pre firefox.

7. Vytvorenie profilov pre firefox.

No trocha paranoje nikdy neuskodi

Rover623 · « **Odpověď #2 kdy:** 17 Září 2010, 13:08:19 »

Zapnout si ten non-execute parametr v BIOSu počítače v nastavení procesoru (většina desek s Intelem to má defaultně vypnuté,protože Windows s tím mají problém),ale u Linuxu se hodí to zapnout,jinak lze procesoru podstrčit instrukci která si vezme 100% výkonu,systém při tom téměř zamrzne a hlavně vykonává přednostně pouze tuhle instrukci,ale proces stejně jede jen pod přihlášeným uživatelem,takže riziko je celkem malé

Marp · « **Odpověď #3 kdy:** 17 Září 2010, 18:27:57 »

Nejlepší nápad na bezpečnost jakéhokoliv počítače s jakýmkoliv OS je nepřipojovat ho na net a je to

Michal "The_M" Chlup · « **Odpověď #4 kdy:** 17 Září 2010, 18:40:01 »

Citace: marp 17 Září 2010, 18:27:57

Nejlepší nápad na bezpečnost jakéhokoliv počítače s jakýmkoliv OS je nepřipojovat ho na net a je to

No, jenže to ho neochrání před samotným uživatlem

Proto bych spíše doporučil nechat počítač zabalený v krabici

Marp · « **Odpověď #5 kdy:** 17 Září 2010, 19:09:34 »

Citace: Michal "The_M" Chlup 17 Září 2010, 18:40:01

Citace: marp 17 Září 2010, 18:27:57
Nejlepší nápad na bezpečnost jakéhokoliv počítače s jakýmkoliv OS je nepřipojovat ho na net a je to

No, jenže to ho neochrání před samotným uživatlem Proto bych spíše doporučil nechat počítač zabalený v krabici

Taky dobrá rada

... já být ministrem vnitra, tak bych zakázal internet i počítače i mobily a vlastně všechny technologie... vždyť v jeskyni bylo tak fajn

Martin Kiklhorn · « **Odpověď #6 kdy:** 17 Září 2010, 19:20:50 »

nápad na téma dobrý, nicméně do tipů/triků až nějaký souhrn bez nesmylů.

Übermensch · « **Odpověď #7 kdy:** 17 Září 2010, 20:27:35 »

Citace: brdokoky 17 Září 2010, 11:48:38

1. Encriptacia home

Není to pomalé? Co když mám v domovském adresáři desítky gigabajtů filmů?

Tomáš Břinčil · « **Odpověď #8 kdy:** 17 Září 2010, 22:04:50 »

dm_crpyt, LUKS, AES, cbc-essiv, sha:256

Postup? Ten kdo na to má ať si projde články na rootu, dávat step by step návod pro začátečníky by mohlo být kontraproduktivní v tom smyslu, že člověk musí vědět co se stane, když vypadne disk, nebo se něco špatně zapíše atd.

Co se týče výkonu, tak tady jsou grafy i s přístupovou dobou:
http://ubuntu.tomasbrincil.cz/RAID/

Mám tři disky:

1TB [500GB RAID1 - disk1]&[500GB RAID0 - disk1]
1TB [500GB RAID1 - disk2]&[500GB RAID0 - disk2]
500GB - [500GB RAID0 - disk3]

Tedy celkově:
RAID 1 s dvěma "disky" o kapacitě: 500GB
RAID 0 s třemi "disky" o kapacitě: 1,5TB

Šifrovaný je každý /dev/mdx.
A kdo že je paranoidní?

arrange · « **Odpověď #9 kdy:** 17 Září 2010, 22:27:25 »

Díky snoumen za konečně použitelný příspěvek

Mám k tomu idiotský dotaz, anžto nepoužívám: k čemu je to dobré? Respektive, v tvém konkrétním případě, proti čemu to má chránit? Chápal bych to na notebooku, který obsahuje vysoce citlivá data, a který je pravidelně vypínán, ale jinak?

Tomáš Břinčil · « **Odpověď #10 kdy:** 17 Září 2010, 22:58:16 »

No nevim jak to má většina lidí s velkými disky, ale asi takhle. Fotek mám < 100GB, ostatních věcí max 10GB. Zbytek?
Pokud budu pouze stahovat filmy, tak ok, ale jestliže po mně někdo půjde, tak v ruce budou mít minimálně logy, jak něco sdílím a jakejkoliv warez potom je důkaz.
Šifruju tedy z jednoho prostého důvodu, až si jednou přijde Policie ČR pro disky, že něco sdílím, tak místo mlácení kladivem do disku
(nebudu odpovídat, jestli jsem měl vždy blízko PC kladivo a byl připraven mařit vyšetřování trestného činu

)
odevzdám disky a na notebooku si vydržim, než to vzdají a vrátí mi je

arrange · « **Odpověď #11 kdy:** 17 Září 2010, 23:05:55 »

Aha, takže ta případná policie pěkně hačne a počká, až si vypneš počítač, aby mohla vybrat ty disky? Nebylo by lepší si to zkopírovat z běžícího systému?
A - hypoteticky, neznám žádný konkrétní případ - nebudou policii stačit logy od ISP nebo něco podobného?

Tomáš Břinčil · « **Odpověď #12 kdy:** 17 Září 2010, 23:09:09 »

Nevim neřešim, sedim na veřejce a uploaduju co se dá.
Tohle je prostě pro mě jako paranoika lepší pocit bezpečí.
Shred je pomalej.
Ani tak najde o to vypnutí PC, stačí aby vytrhli disky a při zapnutí se před dešifrováním hlavního RAIDu systém ptá na heslo, bez toho disky vůbec nepřipojí.

mka · « **Odpověď #13 kdy:** 18 Září 2010, 00:02:16 »

Máte tipy na zvýšení bezpečnosti Ubuntu?

Nezapínat počítač.

Firzen · « **Odpověď #14 kdy:** 18 Září 2010, 01:03:22 »

Citace: Tomáš Břinčil as snouman.net 17 Září 2010, 22:58:16

No nevim jak to má většina lidí s velkými disky, ale asi takhle. Fotek mám < 100GB, ostatních věcí max 10GB. Zbytek?
Pokud budu pouze stahovat filmy, tak ok, ale jestliže po mně někdo půjde, tak v ruce budou mít minimálně logy, jak něco sdílím a jakejkoliv warez potom je důkaz.
Šifruju tedy z jednoho prostého důvodu, až si jednou přijde Policie ČR pro disky, že něco sdílím, tak místo mlácení kladivem do disku
(nebudu odpovídat, jestli jsem měl vždy blízko PC kladivo a byl připraven mařit vyšetřování trestného činu )
odevzdám disky a na notebooku si vydržim, než to vzdají a vrátí mi je

Vůbec nejlepší obrana je všude rozhlašovat, že něco sdílíš.

Armus69 · « **Odpověď #15 kdy:** 18 Září 2010, 08:28:34 »

Třeba naučit se konfigurovat apparmor profily a upravit ho pro provozovaný soft. Ale hlavně asi používat mozek a RTFM. :-))))))

Übermensch · « **Odpověď #16 kdy:** 20 Září 2010, 20:11:30 »

V Thunderbirdu a Firefoxu je možnost použít master password chránící uložená hesla. Při každé nové relaci je uživatel požádán o autorizaci. Fakt užitečná věcička.

Thunderbird: Úpravy → Předvolby → Bezpečnost → Uložená hesla → Použít hlavní heslo
Firefox: Úpravy → Předvolby → Zabezpečení → Použít hlavní heslo

arrange · « **Odpověď #17 kdy:** 20 Září 2010, 20:22:35 »

To je spíš tip na snížení bezpečnosti

1. Hesla, která předtím v počítači uložena nebyla (předpokládám), tam teď jsou, i když šifrovaná (soubor signons.sqlite).
2. Také v případě zadání master hesla se pak už znovu zadávat nemusí, a případnému útočníkovi stačí otevřít stránku, na které se uživatel přihlašuje, a heslo se mu tam vyplní automaticky i s uživ. jménem...

Aplikace na hacknutí uložených hesel (samozřejmě čím složitější heslo, tím delší běh):
http://securityxploded.com/firemaster.php

Übermensch · « **Odpověď #18 kdy:** 20 Září 2010, 20:50:21 »

To je fakt. Já bych ta hesla nejraději zakázal.

arrange · « **Odpověď #19 kdy:** 21 Září 2010, 09:16:19 »

Ještě doplněk, protože v tom pův. příspěvku jsem dostatečně nezdůraznil všechny možné varianty, takže Lelkoun má v určitých případech pravdu (sorry...):
jestli si svá přístupová hesla k (webovým, mailovým) účtům ve FF a TB ukládáte, tak je samozřejmě vždy lepší (=bezpečnější) master password aktivovat. Jinak jsou uložena na disku nešifrovaná, a má k nim přístup kdokoli bez nutnosti dešifrovat je.

DuckD · « **Odpověď #20 kdy:** 21 Září 2010, 15:50:00 »

WIKI - Bezpečnost

Rostislav Mikolaš · « **Odpověď #21 kdy:** 21 Září 2010, 21:35:17 »

Když se nezkušený uživatel pokouší nainstalovat jakoukoliv aplikaci ať už pomocí Centra softwaru či pomocí správce Synaptic nemá prakticky žádnou informaci o potenciální (ne) bezpečnosti tohoto balíku. Bohužel nedokážu odhadnout ani posoudit, zda by bylo možné nějakým způsobem z tohoto hlediska klasifikovat tyto instalované balíky a tuto informaci uživateli zobrazit. Tady bych nechal prostor zkušeným, aby sami navrhli nějaké "zásadní" rozdělení, co já vím třeba podle toho jak aplikace přistupuje ke službám OS, či s jakými právy, či kde si co ukládá, či co je schopna nabourat. Třeba by ona (ne) bezpečnost mohla být nějak hierarchicky odvozována podle toho, jaké podpůrné balíky musí ana aplikace nainstalovat. Jaký je váš názor ? Bylo by něco takového vůbec principiálně možné ?

Michal "The_M" Chlup · « **Odpověď #22 kdy:** 21 Září 2010, 21:43:39 »

Citace: Rostislav Mikolaš 21 Září 2010, 21:35:17

...

Pokud se nemýlím, tak například u Mintu se (alespoň u aktualizací) zobrazuje "důvěryhodnost" ve stupnici od 1 do 5, přičemž 5tku se již nedoporučuje instalovat.

mka · « **Odpověď #23 kdy:** 21 Září 2010, 22:51:04 »

Citace: Rostislav Mikolaš 21 Září 2010, 21:35:17

Když se nezkušený uživatel pokouší nainstalovat jakoukoliv aplikaci ať už pomocí Centra softwaru či pomocí správce Synaptic nemá prakticky žádnou informaci o potenciální (ne) bezpečnosti tohoto balíku. Bohužel nedokážu odhadnout ani posoudit, zda by bylo možné nějakým způsobem z tohoto hlediska klasifikovat tyto instalované balíky a tuto informaci uživateli zobrazit. Tady bych nechal prostor zkušeným, aby sami navrhli nějaké "zásadní" rozdělení, co já vím třeba podle toho jak aplikace přistupuje ke službám OS, či s jakými právy, či kde si co ukládá, či co je schopna nabourat. Třeba by ona (ne) bezpečnost mohla být nějak hierarchicky odvozována podle toho, jaké podpůrné balíky musí ana aplikace nainstalovat. Jaký je váš názor ? Bylo by něco takového vůbec principiálně možné ?

Můj názor je takový, že tak trochu plácáš nesmysly.
I kdyby sis nainstaloval nějakou hodně poťouchlou aplikaci, tak bez práv roota by stejně měla být víceméně bezzubá. Linux prostě nejsou widle, kde si jakýkoliv program může dělat, co ho napadne. Navíc se tu už něco psalo o tom, jak se dostávají aplikace do oficiálních distribucí, takže...
Ale co, ať žije paranoia :-)

arrange · « **Odpověď #24 kdy:** 21 Září 2010, 23:21:12 »

co já vím třeba podle toho jak aplikace přistupuje ke službám OS, či s jakými právy, či kde si co ukládá, či co je schopna nabourat.
Není z toho popisu moc jasné, jakým způsobem by měla daná klasifikace probíhat, ale teoreticky je možné oddělit aplikace, které např. spouští démony, instalují initskripty, otevírají porty, obsahují spustitelné soubory se suid právy apod. Jestli jsou takové aplikace automaticky nebezpečnější, těžko říct - asi záleží spíš na zranitelnosti (množství bugů, obecná používanost) a nepostradatelnosti pro běh systému nebo příkladně běh firmy. To se těžko obecně posoudí.
Také je otázka, jestli by uživatel byl schopen detailnější informace k programu náležitě vyhodnotit, a pokud ano, pokud by pak nebylo pro něj jednodušší se mrknout do zdroje

Takže testovací otázka: jaká je důvěryhodnost těchto aplikací (1-5): firefox, gdm, apparmor? Příp. proč?

I kdyby sis nainstaloval nějakou hodně poťouchlou aplikaci, tak bez práv roota by stejně měla být víceméně bezzubá. Linux prostě nejsou widle, kde si jakýkoliv program může dělat, co ho napadne.
S tím bych si dovolil nesouhlasit. Člověk většinou instaluje s právy roota, takže "poťouchlá aplikace" si může nastavit (třeba pomocí postinst skriptu) víceméně cokoli. Pak si díky právům roota může právě dělat, co chce. To je velká síla a zároveň zranitelnost Linuxu - pro roota prakticky (mimo dejme tomu kernel, který je ale také možno měnit) neexistují restrikce.