Bociek PLD - Pisarz
I. Informacje podstawowe
Wprowadzenie
Zasoby sieciowe PLD
Historia powstania naszego logo
II. Instalacja
Instalacja przy użyciu chroota
Aktualizacje
III. Podręcznik użytkownika
Podstawy
Zasoby systemu
IV. Podręcznik administratora
Zarządzanie pakietami
Bootloader
Kernel i urządzenia
Konfiguracja systemu
Pamięci masowe
Administracja
Ratowanie systemu
Zarządzanie podsystemami i usługami
Zmiana poziomu pracy systemu
Konta użytkowników
Grupy
Zarządzanie uprawnieniami
Bezpieczeństwo
Interfejsy sieciowe
Zastosowania sieciowe
Usługi dostępne w PLD
X-Window
V. Tworzenie PLD - Praktyczny poradnik
Możliwa droga do zostania szeregowym developerem PLD
W krainie CVS - czyli wielki kocioł
VI. O podręczniku
O podręczniku
Licencja i prawa autorskie
O tej książce
Spis treści
Inne wersje tego dokumentu
HTML (jeden plik)
Odnośniki
Tworzymy dokumentację PLD
Strona PLD
Listy dyskusyjne PLD

Bezpieczeństwo

<- ->
 

Bezpieczeństwo systemów i danych to rozległy temat dlatego głównie skupimy się na aspektach dotyczących PLD.

Dostępne narzędzia

PLD jako dystrybucja "robiona przez administratorów dla administratorów" ma duże zasoby programów użytecznych w zakresie bezpieczeństwa, poczynając od NetCata (nc), a na wiresharku i nessusie kończąc.

Dostęp do konta root

Nasza polityka bezpieczeństwa wymaga, aby użytkownik należał do grupy wheel, jeśli chce zwiększyć swoje uprawnienia za pomocą su i sudo. W ten sposób atakujący musi zgadnąć trzy parametry zamiast jednego (nazwa użytkownika, hasło i hasło administratora zamiast samego hasła administratora). Nie ma też możliwości zdalnego zalogowania się bezpośrednio na konto roota (z tych samych powodów). Dodatkowo root nie może zdalnie używać innych usług (ftp, imap, pop3, smtp) m.in z powodu niedostatecznie silnego szyfrowania transmisji.

SUID

Domyślnie zwykli użytkownicy nie mają prawa wykonania programów z ustawionym bitem SUID. Aby takie prawo uzyskać muszą być zapisani do odpowiedniej grupy. Przykładowo program ping wymaga zapisania do grupy adm. Poglądowe zestawienie grup zamieściliśmy w tym dokumencie.

/proc

Domyślnie użytkownicy nie widzą żadnych procesów poza swoimi. Jest to nie tylko krok w stronę bezpieczeństwa, ale i w wygody, użytkownik nie głowi się nad długimi listami procesów generowanych przez program top czy ps. Podobnie jak z programami z bitem SUID jest to oparte o grupy, aby użytkownik widział wszystkie procesy należy go zapisać do grupy /proc.

chroot i vserver

PLD oferuje system sys-chroot, wbudowany w rc-skrypty, służący do wygodnego zarządzania środowiskami typu chroot. Usługi, które wspierają natywnie chrooty (np. Bind) działają w izolowanym środowisku od razu po instalacji.

PLD wspiera także mechanizm Linux VServers, zwany potocznie "chrootem na sterydach". Wymaga on zainstalowania odpowiedniej wersji kernela i odpowiedniego zestawu narzędzi.

Statyczny VIM

Najważniejszym narzędziem administracyjnym jest edytor tekstu, dlatego nie powinniśmy pozostać bez takiego programu, co może mieć miejsce np. przy uszkodzeniu systemu plików. Tu z pomocą przychodzi nam statycznie zlinkowany VIM z pakietu vim-static. Aby nie kolidował ze "zwykłym" vimem, plik wykonywalny jest umieszczany w /bin/vim.

Pakiety

Zagadnienia związane z bezpieczeństwem zostały omówione w tym dokumencie.

 
<- ->