4. január 2019 - 16:04 poslal Peter Šantavý
- Abstrakt
Zabezpečenie počítača a bezpečnosť informačných technológií vo všeobecnosti je komplexný a stály proces, ktorý sprevádza využívanie týchto technológií v každodennej praxi.
Vzhľadom na zameranie stránok o webhostingu Christ-Net.Sk cieľom tejto stránky nie je podať ucelený pohľad na danú problematiku, ale skôr ponúknuť jednoduchý návod, ako zabezpečiť počítač proti pokusom o prienik, proti vírusom, spyware a pod. Samozrejme okrem toho, čo je nižšie uvedené, dá sa v zabezpečovaní počítača pokračovať do ďaleko väčšej hĺbky, čo však vyžaduje už hlbšie znalosti z problematiky bezpečnosti informačných technológií. I napriek tomu postupy uvedené na tejto stránke predstavujú solídny rámec pre štandardné zabezpečenie počítača.
- Pre všetky platformy doporučujeme šifrovanie diskov:
VeraCrypt: softvér na šifrovanie diskov počítača (multiplatformný: MS Windows, Mac OS X, GNU/Linux).
Oficiálna stránka VeraCrypt
Nástroje systémovej podpory šifrovania diskov v rámci jednotlivých operačných systémov:
GNU/Linux - LUKS, dm-crypt,...
MS Windows - Bitlocker
MacOS X - FileVault
MS Windows
1. pravidelne aktualizovaný operačný systém. Microsoft pravidelne v mesačných intervaloch vydáva opravy bezpečnostných, ale aj iných chýb svojich operačných systémov a ostatných produktov. Môžete si zvoliť aktualizáciu automatickú, resp. ručne spúšťanú cez stránky Windows Update, resp. Microsoft Update. Viaceré opravy riešia skutočne závažné bezpečnostné problémy!
2. zapnutý a správne nakonfigurovaný firewall (program riadiaci sieťovú komunikáciu počítača smerom dnu i von): bud ten priamo z MS Windows (pri MS Windows XP treba povedať, že integrovaný firewall nie je celkom spoľahlivý…), alebo výrobok tretích strán, z kvalitných bezplatných napr.: Comodo Firewall and Antivirus, Comodo Firewall alebo Outpost Security Suite Free;
3. antivírový program, ktorý má pravidelne aktualizovanú databázu vírusov, napr.: NOD32, alebo AVG. Z bezplatných verzií antivírusov je možné použiť napr. Microsoft Security Essentials, AVG Free Edition, Comodo Firewall and Antivirus, Comodo Antivirus alebo avast! Home Edition;
4. antimalware - program na odstraňovanie nebezpečného kódu (malware - škodlivý kód, ktorý na pozadí vykonáva nekalé aktivity, napr. monitoruje prácu a odosiela informácie o nej, využíva výpočtový výkon počítača a jeho pripojenie do siete na prenos nelegálnych dát a posielanie spamov, atď.), napr.: Comodo BOClean Anti-Malware alebo Ad-Aware;
5. ak je to možné, používanie alternatívnych aplikácií k aplikáciám, ktoré predstavujú bezpečnostné riziko: Mozilla Firefox alebo Opera miesto Internet Explorera, Mozilla Thunderbird alebo The Bat miesto Outlook/Outlook Express, ... Odkazy na viaceré z nich sa nachádajú na informačnej stránke o slobodnom softvéri;
6. neinštalovanie, resp. odinštalovanie nepotrebných aplikácií. Kazdá aplikácia môže v sebe niesť potencionálne riziko vzhľadom na bezpečnosť, resp. funkcionalitu systému. Minimalizovaním počtu aplikácií sa toto riziko znižuje.
7. pravidelná aktualizácia aplikácií. Podobne ako operačný systém, aj aplikácie môžu obsahovať chyby, ktoré sú veľmi často zneužívané pri prienuku do počítača (napr. chyby vo webovom prehliadači, Adobe Reader, MS Office, Java a pod.). Pravidelnými aktualizáciami je možné minimalizovať bezpečnostné riziko pre počítač.
8. nepracovať s právami administrátora systému! Pri bežnej práci je treba vždy byť prihlásený cez účet, ktorý má obmedzené práva v rámci operačného systému, t.j. práva bežného užívateľa, nie administrátora. Operačný systém na základe prístupových práv priradených bežnému užívateľovi bráni vykonať také kroky, ktoré by mali fatálny dopad na funkčnosť a bezpečnosť systému. Takto je možné eliminovať veľmi veľa nebezpečného kódu, ktorý by sme omylom, resp. nevedomky spustili pri práci napr. s disketou, CD, na stránkach internetu a pod.;
9. vytvárať pravidelné zálohy dát. To, čo je najcennejšie na počítači, sú dáta. Treba si vytvoriť prax pravidelne zálohovať a zvoliť primeraný spôsob, ako dáta nielen zálohovať, ale zároveň zálohy aj bezpečne uložiť. Pre osobný počítač stačí používať jednoduché metódy, napr.: napaľovanie na CD, zálohovanie po sieti, na druhý disk, USB kľúč a pod.
__________Ďalšie informácie__________
Desatoro počítačovej bezpečnosti Microsoftu.
__________Prenosné aplikácie__________
Vhodné na kontrolu počítača, pričom nemusia byť nainštalované.
Sophos Virus Removal Tool
ClamWin Portable
Spybot
Mac OS X
1. miesto konkrétnych krokov pre zabezpečenie počítačov Apple s operačným systémom Mac OS X uvádzame odkaz na niekoľko bezpečnostných rád na známom portáli NakedSecurity prevádzkovanom bezpečnostnou spoločnosťou Sophos:
Mac OS X Security Tips
2. a samozrejme doporučujeme vytváranie pravidelnej zálohy dát. To, čo je najcennejšie na počítači, sú dáta. Treba si vytvoriť prax pravidelne zálohovať a zvoliť primeraný spôsob, ako dáta nielen zálohovať, ale zároveň zálohy aj bezpečne uložiť. Na počítačoch s Mac OS X môžeme využiť vstavaný Time Machine, alternatívne stačí používať jednoduché metódy, napr.: napaľovanie na CD, zálohovanie po sieti, na druhý disk, USB kľúč a pod.
GNU/Linux
Situácia je pre používateľov GNU/Linuxu u väčšiny distribúcií podstatne jednoduchšia:
- hneď po inštalácii je štandardne nakonfigurovaný a zapnutý firewall;
- pri inštalácii je vytvorený užívateľský účet s obmedzenými právami a jednoduchšie je jeho využívanie aj pri následnej konfigurácii systému;
- vnútorná architektúra systému jasne oddeľuje užívateľský priestor od priestoru a práv roota;
- vzhľadom na zverejnené zdrojové kódy systému je opravených veľa chýb v systéme, ktoré v uzatvorenom kóde MS Windows na opravu ešte čakajú;
- vzhľadom na technologickú rôznorodosť jednotlivých distribúcií GNU/Linuxu je oveľa ťažšie vytvoriť škodlivý kód, ktorý by bol funkčný na všetkých distribúciách, resp. aspoň na väčšine z nich;
- vzhľadom na nižšiu rozšírenosť tohoto systému existuje menej škodlivého kódu, ktorý je napísaný pre GNU/Linux;
- poznajúc vnútro a architektúru obidvoch spomínaných systémov, dovolíme si tvrdiť, že GNU/Linux má, resp. konverguje ku kvalitnejšiemu kódu a celkovej realizácii operačného systému.
Aj napriek uvedeným skutočnostiam pripomíname nasledovné kroky zabezpečenia GNU/Linux:
1. pravidelne aktualizovaný operačný systém. Každá distribúcia obsahuje konkrétny nástroj na aktualizáciu operačného systému a inštalovanie nových programov. Naviac - vychádzajúc z filozofie unixových systémov, proces aktualizácie je možné elegantne zautomatizovať. Aktualizovať treba, aj tu platí, že viaceré opravy riešia skutočne závažné bezpečnostné problémy!
2. zapnutý a správne nakonfigurovaný firewall. Štandardnou súčasťou GNU/Linux je paketový filter iptables, ktorý je po inštalácii zapnutý a nakonfigurovaný. Ak by sme následne firewall rekonfigurovali, treba si dať pozor, ako ho nastavíme;
3. aktualizovať aplikácie, v ktorých je objavená bezpečnostná chyba a ktoré tak predstavujú bezpečnostné riziko. Ak máme správne nakonfigurovaný aktualizačný nástroj a nainštalované aplikácie z inštalačných balíčkov danej distribúcie (resp. repozitárov aplikácie), aktualizácia aplikácií je vykonávaná automaticky spolu s aktualizáciou operačného systému;
4. nepracovať s právami root-a (administrátora) systému! Pri bežnej práci je treba byť vždy prihlásený cez účet, ktorý má obmedzené práva v rámci operačného systému, t.j. práva bežného užívateľa, nie root-a. Operačný systém na základe prístupových práv priradených bežnému užívateľovi bráni vykonať také kroky, ktoré by mali fatálny dopad na funkčnosť a bezpečnosť systému. Zároveň sa naučiť využívať pre zásahy, ktoré vyžadujú práva root-a, nástroje su a sudo (ak daná distribúcia GNU/Linux neponúka grafické nástroje umožňujúce potrebné navýšenie privilégií pre administratívne zásahy do systému);
5. vytvárať pravidelné zálohy dát. To, čo je najcennejšie na počítači, sú dáta. Treba si vytvoriť prax pravidelne zálohovať a zvoliť primeraný spôsob, ako dáta nielen zálohovať, ale zároveň zálohy aj bezpečne uložiť. Pre osobný počítač stačí používať jednoduché metódy, napr.: napaľovanie na CD, zálohovanie po sieti, na druhý disk, USB kľúč a pod. Z podstaty systému unixového typu GNU/Linux bez ďalších špeciálnych programov ponúka viaceré alternatívy, akým spôsobom a čo zálohovať, resp. ako zautomatizovať zálohovanie.
__________Ochutnávka niečoho viac;-)__________
x1. vypnutie služieb (daemon, system service), ktoré nie sú použité:
- špecifikovanie runlevels, ktoré sú používané a služieb, ktoré sú štartované (/etc/inittab, ls /etc/rcX.d/ - X=runlevel, chkconfig,...);
- špecifikácia služieb, ktoré sú nepotrebné a ich vypnutie (úprava rcX.d adresárov, chkconfig,...).
x2. sieťová bezpečnosť
- "nmap -v -sS -O" - zistenie a analýza otvorených portov -> následná rekonfigurácia firewallu (najčastejšie iptables);
- nessus - zistenie a analýza bezpečnostných rizík a dier;
x3. nedávať local access na počítači rôznym užívateľom, ktorí by sa pripájali vzdialenie cez sieť (login shell /sbin/nologin...). A ak je vážny dôvod local access dať, povoliť len šifrovaný prístup na server, zvyčajne cez ssh a s využitím niektorej z možností pre chroot.
x4. nastavenia ssh (zmeny v /etc/ssh/sshd_config):
- Port xyz - zmena TCP portu služby ssh (nezabudnúť povoliť port aj na firewalle:-)
- Protocol 2 - povolí len ssh verzie 2;
- PermitRootLogin no - nepovolí root login cez ssh;
- MaxAuthTries 1 - počet pokusov prihlásenia: 1, potom sa treba znovu pripojiť;
- AllowGroups skupina - povolí ssh prihlásenie len užívateľom z konkrétnej skupiny;
- LoginGraceTime 1m - zruší neautentifikované pripojenie po minúte spojenia.
x5. zabezpečenie pripájaných súborových systémov nastavením parametrov nosuid, nodev, noexec (v /etc/fstab narozdiel od defaults: rw, suid, dev, exec, auto, nouser, async):
- /var - nosuid,nodev,noexec (ak je /var na samostatnom oddieli)
- /home - nosuid,nodev (ak je /home na samostatnom oddieli)
- /usr - nodev (ak je /usr na samostatnom oddieli)
- /xyz - nosuid,nodev,noexec (xyz - nejaký disk len s dátami)
xX. ...a tak môžme pokračovať ďalej;-)
__________Ďalšie informácie__________
Greg KH: hints on how to check your machine for intrusion
Zabezpečenie súkromia na internete
Hodnotné informácie súvisiace so zabezpečením súkromia na internete sú uvedené v článku Zajistěte si soukromí při surfování na internetu.
Informácie o zabezpečení elektronickej pošty (e-maily) sú uvedené na stránke Bezpečné e-maily.
Ďalšie informácie a odkazy na zdroje o on-line bezpečnosti sú uvedené v texte SK Cert - Rady pre verejnosť.
Informácie a základné rady pre zabezpečenie domáceho routera (zariadenia, prostredníctvom ktorého je domáca sieť a je počítače pripojené do internetu) sú uvedené na stránkach CSIRT.CZ (Český národný bezpečnostný tím pre riešenie počítačových bezpečnostných incidenov).