Ubuntu:Edgy RO/Security

From

< Ubuntu:Edgy RO(Difference between revisions)
Jump to: navigation, search

Current revision as of 12:22, 10 December 2006

Contents

Securitate

Care sunt principalele lucruri legate de securitate care trebuiesc ştiute despre Ubuntu

  • Citeşte #Note Generale
  • Asiguraţi-vă ca hard-discul este primul în secveţa de boot din BIOS
    • Pentru a preveni persoanele străine de la a folosi CD-ul de instalare Linux pentru a obţine drepturi de root
    • Pentru a preveni persoanele străine de la a folosi un CD Linux Live (ex. : UBUNTU/KNOPPIX/MEPIS) cu ajutorul cărora pot şterge/vizualiza/face share la întregul hard-disc.
    • Pentru a preveni persoanele străine de la a instala un alt sistem de operare
  • Asiguraţi-vă că accesul la BIOS se face doar pe baza unei parole
    • Pentru a preveni persoanele străine de la a modifica secvenţa de boot din BIOS
  • Asiguraţi-vă ca sistemul este într-un loc sigur
    • Pentru a preveni persoanele stăine de la a lua hard-discul petru a şterge/vizualiza conţinul folosind alt calculator
    • Pentru a preveni persoanele stăine de la a scoate bateria de pe placa de bază astfel înlăturând parola de acces la BIOS
  • Asiguraţi-vă că parolele folosite pe sistem nu pot fi ghicite cu uşurinţă
    • Pentru a preveni persoanele străine de la a încerca să spargă parola folosit atacuri "brute force" (ex. John the Ripper)
    • O parolă bună are minim 8 caractere
    • De asemenea este recomandat ca parolele să conţină un amestec de litere/numere, mari/mici
  • Asiguraţi-vă că editarea în mod interactiv din cadrul meniului GRUB este dezactivată
  • Asiguraţi-vă că listarea ultimelor comenzi efectuate în Consolă este dezactivată
  • Asiguraţi-vă că Ctrl+Alt+Del este dezactivat în cadrul consolei
  • Asiguraţi-vă că întrebarea de confirmare la ştergerea,copierea,mutarea fişierelor/folderelor este activată în cadrul consolei
  • Pentru utilizarea de zi cu zi autentificaţi-vă ca un utilizator normal
  • Dezactivaţi contul root, folosiţi în schimb "sudo"
    • Pentru a reduce timpul petrecut cu drepturi de root, şi astfel , implicit, de a reduce riscul executării greşite a unei comenzi care necesită astfel de drepturi
    • De asemenea "sudo" oferă şi o înregistrare mai bună a comnezilor efectuate (/var/log/auth.log)
    • Citeşte #Cum se dezactivează contul de root
  • Instalaţi un firewall
  • Efectuaţi teste de vulnerabilitate

Cum se dezactivează editarea în mod interactiv din cadrul meniului GRUB

  • Executaţi într-un terminal
grub-md5-crypt
Password: 
Retype password:
$1$tumnZ1$xB/shuXs7MlawZXkLiBDV/ (parola criptata)
  • Realizaţi o copie a fişierului de configurare
sudo cp /boot/grub/menu.lst /boot/grub/menu.lst_backup
sudo gedit /boot/grub/menu.lst
  • Găseşte această secţiune
...
## password ['--md5'] passwd
# If used in the first section of a menu file, disable all interactive editing
# control (menu entry editor and command-line) and entries protected by the
# command 'lock'
# ex. : password topsecret
#   password --md5 $1$gLhU0/$aW78kHK1QfV3P2b2znUoe/
# password topsecret
...
  • Adaugă următoarea linie imediat după ea
password --md5 $1$tumnZ1$xB/shuXs7MlawZXkLiBDV/ (criptarea parolei de mai sus)
  • Găseşte această secţiune
...
title		Ubuntu, kernel 2.6.10-5-386 (recovery mode)
root		(hd0,1)
kernel		/boot/vmlinuz-2.6.10-5-386 root=/dev/hda2 ro single
initrd		/boot/initrd.img-2.6.10-5-386
savedefault
boot
...
  • Adaugă "lock" între title şi root
...
title		Ubuntu, kernel 2.6.10-5-386 (recovery mode)
lock
root		(hd0,1)
...
  • Salvează fişierul editat anterior

Prin intermediul acestor schimbari consola grub va necesita parola pentru a edita liniile , iar modul de recuperare nu va funcţiona decât dacă este introdusă parola. Pentru a accesta celelalte opţiuni din cadrul meniului grub urmăriţi instrucţiunile din partea de jos a ecranului. Probabil acestea constau în apasarea tastei p urmată de introducerea parolei.

Cum se dezactivează listarea ultimelor comenzi efectuate în Consolă

rm -f .bash_history
gedit ~/.bash_profile
  • Adaugă următoarele linii:
export HISTFILESIZE=4
unset HISTFILE=5

# Aici setaţi numarul de comenzi salvate.
export HISTSIZE=1

# Astfel nu vor fi salvate comenzile duplicat una după cealaltă
export HISTCONTROL=ignoredups

Cum se dezactivază restartarea calculatorului la apăsarea Ctrl+Alt+Del în Consolă

sudo cp /etc/inittab /etc/inittab_backup
sudo gedit /etc/inittab
  • Găseşte această linie
...
ca:12345:ctrlaltdel:/sbin/shutdown -t1 -a -r now
...
  • Înlocuieşte-o cu linia următoare
#ca:12345:ctrlaltdel:/sbin/shutdown -t1 -a -r now
  • Salvează fişierul editat anterior
sudo telinit q

cum se activează întrebarea de confirmare înainte de ştergerea/suprascrierea fişierelor/folderelor în Consolă

sudo cp /etc/bash.bashrc /etc/bash.bashrc_backup
sudo gedit /etc/bash.bashrc
  • Adaugă următoarele linii conţinutului deja existent
alias rm='rm -i'
alias cp='cp -i'
alias mv='mv -i'
  • Salvează fişierul editat anterior

Cum se setează sistemul LoJack pentru laptop


Ce ?: Citat de pe Wikipedia: "LoJack este un sistem de monotorizare a vehiculelor care permite poliţiei să monotorizeze maşinile după ce au fost furate. Producatorul susţine o şansă de recuperare de 90% . Numele "LoJack" este un joc de cuvinte pornind de la "hijack," care semnifică furtul prin forţă a unei maşini."

De ce ?: Dacă laptopul este vreodată furat şi este conectat la Internet poţi afla de la ce IP s-a conectat şi apoi contacta autorităţile.

Cum ?:

  • Ai nevoie de un cont gratuit DNS de la un distribuitor . Aici vom folosi DynDNS.
sudo apt-get install ddclient 
  • Editează fişierul de configurare /etc/ddclient.conf
sudo gedit /etc/ddclient.conf
  • Astfel încat să arate cam aşa:
# Configuration file for ddclient generated by debconf
#
# /etc/ddclient.conf
pid=/var/run/ddclient.pid
protocol=dyndns2
use=web
server=members.dyndns.org
login=YourNameHere
password='YourPasswordHere'
YourHostNameHere.gotmyip.com
NOTE:
* Asigură-te că foloseşti metoda web de detecţie a IP-ului.
* Specifică propriul user în locul YourNameHere.
* Specifică propria parolă în loc de YourPasswordHere, asigurandu-vă că este scrisă între doua semne apostrof.
* Ultima linie trebuie să conţină DNS-ul pe care l-aţi primit.
  • Acum poţi porni daemon-ul ddclient, sau poţi aştepta până la următoarea restartare.
sudo /etc/init.d/ddclient start
  • DNS-ul ales ar trebui să fie updatat . Pentru a testa asta puteţi folosi comanda ping :
ping YourHostNameHere.gotmyip.com
Chiar dacă laptopul are un firewall care nu permite ping DNS ar trebui să se rezolve în adresa de IP a gataway-ului la care este conectat laptopul.
Acum nu mai rămâne decât să fure cineva laptop-ul.....

Referintă:

Personal tools
Sponsor
Going Tribal