Linux - tietoturva?

Minua on jo pitkään askarruttanut linuxin tietoturvallisuus.
Miten ja millä toimenpiteillä yksinkertainen käyttäjä voi yksinkertaisesti tarkastaa onko hänen järjestelmänsä turvallinen?

Miten voi olla varma, ettei puhelinyhtiö, tai muu nettiyhteyttäsi tarjoava kuuntele internet liikennettäsi?
Miten voit tarkastaa modemisi, turvallisuuden?
Oletko oikeasti root, vai istutko jonkun luoman rootin sylissä?
En ole niinkään vakuuttunut, kun yleisesti huitaistaan, sinullahan on palomuuri, eikä linuxissa ole viruksia.

[quote=“Samuli_K, post:1, topic:1295”]Minua on jo pitkään askarruttanut linuxin tietoturvallisuus.
Miten ja millä toimenpiteillä yksinkertainen käyttäjä voi yksinkertaisesti tarkastaa onko hänen järjestelmänsä turvallinen?

Miten voi olla varma, ettei puhelinyhtiö, tai muu nettiyhteyttäsi tarjoava kuuntele internet liikennettäsi?
Miten voit tarkastaa modemisi, turvallisuuden?
Oletko oikeasti root, vai istutko jonkun luoman rootin sylissä?
En ole niinkään vakuuttunut, kun yleisesti huitaistaan, sinullahan on palomuuri, eikä linuxissa ole viruksia.[/quote]

Koneesi verkkopiuhasta eteenpäin et voikkaan olla liikenteen suhteen varma, ellet käytä salattuja protokollia kuten https://

Koneen turvallisuuteen taas kuuluu normaalit toimenpiteet:

  • käytä vahvoja salasanoja tai salausavaimia (public key) ja vaihda niitä riittävän usein
  • älä asenna ohjelmistoja epäluotetusta lähteestä
  • älä pidä koneessa ylimääräisiä palveluja päällä
  • asenna tietoturvapatchit 30 päivän sisään
  • salaa tietokoneesi
  • käytä palomuuria ja lisäksi selinux / apparmor suojaustekniikoita
  • tee root käyttäjänä vain pakolliset toimenpiteet
  • varmuuskopioi tiedostosi


Eero

Kiitos selkeästä listasta, mutta miten teen seuraavat toimet?

1- älä pidä koneessa ylimääräisiä palveluja päällä

2- asenna tietoturvapatchit 30 päivän sisään

3- salaa tietokoneesi

4- käytä palomuuria ja lisäksi selinux / apparmor suojaustekniikoita

Ja miten voin tarkastaa monta roottia koneessa on?

[quote=“Samuli_K, post:3, topic:1295”]Kiitos selkeästä listasta, mutta miten teen seuraavat toimet?

1- älä pidä koneessa ylimääräisiä palveluja päällä

2- asenna tietoturvapatchit 30 päivän sisään

3- salaa tietokoneesi

4- käytä palomuuria ja lisäksi selinux / apparmor suojaustekniikoita

Ja miten voin tarkastaa monta roottia koneessa on?[/quote]

1 - esim netstat -tupln roottina näyttää ohjelmistot jotka kuuntelevat portteja,
hallinta sitten kyseisen distron omilla työkaluila.

2 - distron omilla työkaluilla, ajastetusti

3 - distron asennuksessa yleensä voi salata koneen kiintolevyn tai kotihakemiston

4 - tulevat distron mukana.

rootilla on uid 0 eli passwd fileestä näkee ja sitten toki pitää katsoa sudo oikeudet tms.


Eero

Lainaisin threadia nopeaan kysymykseen:
Windowsithan voivat saastua jopa sillä, että vierailee saastuneella sivulla (esim. IIHF:n sivut muutama vuosi sitten). Käsittääkseni Linuxit eivät voi, ellei ajele rootilla koko ajan (jolloin siis komennot eivät vaadi root passua erikseen).

Onko edellämainittu ainoa syy (haittaohjelmien vähyyden lisäksi) miksi Linux-järjestelmät eivät (kai?) saastu vain vierailemalla saastuneella sivustolla?

[quote=“masa, post:5, topic:1295”]Lainaisin threadia nopeaan kysymykseen:
Windowsithan voivat saastua jopa sillä, että vierailee saastuneella sivulla (esim. IIHF:n sivut muutama vuosi sitten). Käsittääkseni Linuxit eivät voi, ellei ajele rootilla koko ajan (jolloin siis komennot eivät vaadi root passua erikseen).

Onko edellämainittu ainoa syy (haittaohjelmien vähyyden lisäksi) miksi Linux-järjestelmät eivät (kai?) saastu vain vierailemalla saastuneella sivustolla?[/quote]

Kyllä uskoisin että samalla tavalla GNU/Linuxinkin saa kaapattua. Kysessä siis luultavasti olisi jonkinlaisesta selaimen tietoturvabugista millä hyökkääjä pääsee ajamaan selaimen prosessissa selaimen oikeuksilla jonkin koodinpätkän.

Äkkiseltään tämä voi kuulostaa melko vaarattomalta, mutta koodinpätkä saattaa esimerkiksi hakea jostain hyökkääjän palvelimelta lisää koodia ajettavaksi ja tallentaa ne siten että ne käynnistetään aina kun käyttäjä kirjautuu sisään.

Minusta oikeasti suurin osa suojelemisen arvoisista asioista on juuri käyttäjän kotihakemistossa ja kyseisen käyttäjän normaalioikeuksilla suoraan saavutettavissa. Siksi en pitäisi tuota normaalikäyttäjänä toimimista minään erityisen merkittävänä etuna, vaikka se hieman hidastaakin hyökkääjää niissä tilanteissa missä on tarve päästä käyttämään kaapattua konetta pääkäyttäjänä.

Pääkäyttäjän oikeuksien hankkimiseen normaalikäyttäjän tunnuksista käsin on myös monenlaisia keinoja. Linuxissa on esimerkiksi välillä ilmennyt bugeja, joilla on normaalikäyttäjä pystynyt korottamaan oikeuksia jopa pääkäyttäjän tasolle asti. Lisäksi normaalikäyttäjän istuntoon asentunut haittaohjelma pystyisi mahdollisesti tallentamaan esimerkiksi käyttäjän kirjoittamia salasanoja, joihin saattaisi myös pääkäyttäjän salasana sisältyä. Tällöin ei edes tarvittaisi tietoturvareikää Linuxiin oikeuksien korottamiseksi.

En ole tietoinen yhdestäkään toimivasta tämäntyylisestä hyökkäyksestä, mutta selaimen tietoturvabugista saattaa hyvinkin perusteellisesti päästä koneeseen käsiksi myös GNU/Linux -alustalla. Selaimen tietoturvapaikat ainakin kannattaa asentaa heti kun niitä on saatavilla.

Vähän vanhaa aihetta herättelen… mutta muutama asia jäi mielestäni mainitsematta.

Selaimet ovat yleensä melko turvallisia, pluginit ovat ne porsaanreiät. Esim Chrome onnistuttiin murtamaan Flash-pluginin kautta.

Myöskin kun kodin tietoturvasta puhutaan, niin tärkein huomion arvoinen asia lienee kuitenkin modeemi, johon useimmiten saa palomuurin/NATin päälle. Jos modeemi jakaa lähiverkon osoitteet, on sen takana olevien koneiden kaappaaminen jo melko hankalaa. Tämä tietysti edellyttää, että modeemiin on säädetty tarpeeksi tiukat palomuuri konffat.

Lainatakseni vanhan työpaikkani sysadminia: “Jos palomuurin joutuu asentamaan tietokoneelle, ei se ole oikea palomuuri.”.

[quote=“jyri, post:7, topic:1295”][quote author=muep link=topic=1672.msg7830#msg7830 date=1307222213]
En ole tietoinen yhdestäkään toimivasta tämäntyylisestä hyökkäyksestä, mutta selaimen tietoturvabugista saattaa hyvinkin perusteellisesti päästä koneeseen käsiksi myös GNU/Linux -alustalla. Selaimen tietoturvapaikat ainakin kannattaa asentaa heti kun niitä on saatavilla.
[/quote]
Vähän vanhaa aihetta herättelen… mutta muutama asia jäi mielestäni mainitsematta.

Selaimet ovat yleensä melko turvallisia, pluginit ovat ne porsaanreiät. Esim Chrome onnistuttiin murtamaan Flash-pluginin kautta.

Myöskin kun kodin tietoturvasta puhutaan, niin tärkein huomion arvoinen asia lienee kuitenkin modeemi, johon useimmiten saa palomuurin/NATin päälle. Jos modeemi jakaa lähiverkon osoitteet, on sen takana olevien koneiden kaappaaminen jo melko hankalaa. Tämä tietysti edellyttää, että modeemiin on säädetty tarpeeksi tiukat palomuuri konffat.

Lainatakseni vanhan työpaikkani sysadminia: “Jos palomuurin joutuu asentamaan tietokoneelle, ei se ole oikea palomuuri.”.[/quote]

Verkossa pitää olla palomuuri ja koneella pitää olla palomuuri. lisäksi koneelta pitää disabloida mahdollisimman paljon serviceä ja käyttää app-armor/selinuxia.


Eero

Verkossa pitää olla palomuuri ja koneella pitää olla palomuuri. lisäksi koneelta pitää disabloida mahdollisimman paljon serviceä ja käyttää app-armor/selinuxia.

Mitä tuo selinuxin disablointi käytännössä tarkoittaa? Mitä oikeuksia ja portteja se avaa koneelle disablointuna, jos olen esimerkiksi normaali käyttäjätilillä kirjautunut sisään.En ole vielä kunnolla tutustunut koko selinuxiin ja olen ottanut sen pois päältä, sillä olen kuullut, että se voi aiheuttaa erinäisiä ongelmia käytettävyydessä/toimivuudessa.

Edit: Lueskelin tuota : http://linux.fi/wiki/Fedoran_SELinux-asetukset

Sielläkin on mainittu, että selinux voi aiheuttaa ongelmia:

SELinux voi kuitenkin toisinaan aiheuttaa ongelmia myös peruskäytössä. Tällöin olisi parasta tehdä tilanteesta englanniksi bugiraportti Red Hatin Bugzillaan.

Tämän sivun tarkoituksena on opastaa SELinuxin kytkemisessä sallivaan tilaan tai kokonaan pois käytöstä siinä tapauksessa, että se aiheuttaa liikaa ongelmia.

Mitä tuo selinuxin disablointi käytännössä tarkoittaa? Mitä oikeuksia ja portteja se avaa koneelle disablointuna, jos olen esimerkiksi normaali käyttäjätilillä kirjautunut sisään.En ole vielä kunnolla tutustunut koko selinuxiin ja olen ottanut sen pois päältä, sillä olen kuullut, että se voi aiheuttaa erinäisiä ongelmia käytettävyydessä/toimivuudessa.

Edit: Lueskelin tuota : http://linux.fi/wiki/Fedoran_SELinux-asetukset

Sielläkin on mainittu, että selinux voi aiheuttaa ongelmia:

[quote]SELinux voi kuitenkin toisinaan aiheuttaa ongelmia myös peruskäytössä. Tällöin olisi parasta tehdä tilanteesta englanniksi bugiraportti Red Hatin Bugzillaan.

Tämän sivun tarkoituksena on opastaa SELinuxin kytkemisessä sallivaan tilaan tai kokonaan pois käytöstä siinä tapauksessa, että se aiheuttaa liikaa ongelmia.[/quote][/quote]

err. servicet pitää disabloida ja selinux pitää olla päällä. lienee pieni tulkintaero…


Eero

err. servicet pitää disabloida ja selinux pitää olla päällä. lienee pieni tulkintaero..

Miten tämä tapahtuu? Mistä pääsen säätämään tätä selinuxia?Löysin ainoastaan SELinux Alert Broser ohjelman. Tuolta etc/selinux/config olen laittanut # SELINUX=permissive.

Edit: Asensin tuon policycoreutils-gui paketin ja nyt minulla on tuo selinux ylläpito ja käytäntöjen generointityökalu. Pitääkö näistä nyt jotakin säätää?

Miten tämä tapahtuu? Mistä pääsen säätämään tätä selinuxia?Löysin ainoastaan SELinux Alert Broser ohjelman. Tuolta etc/selinux/config olen laittanut # SELINUX=permissive.

Edit: Asensin tuon policycoreutils-gui paketin ja nyt minulla on tuo selinux ylläpito ja käytäntöjen generointityökalu. Pitääkö näistä nyt jotakin säätää?[/quote]

Ja distro oli? yleensä noissa on oletuksena toimivat policyt ainakin desktopeille, eli normaalijutut toimii suoraan.

serviceillä tarkoitin palveluja jotka kuuntelevat verkkoa (netstat -tupln)


Eero

Ja distro oli?

Fedora 16 gnome 3.

yleensä noissa on oletuksena toimivat policyt ainakin desktopeille, eli normaalijutut toimii suoraan.

Toivottavasti näin, sillä näyttää olevan melkoisen opiskelun ja säätämisen takana tuo selinux, jos sitä pitää alkaa confaamaan itse. Minulla on nyt tuo selinux permissive tilassa, joten se ilmeisesti ilmoittelee minulle, jos jotakin poikkeavaa tapahtuu. Pitää katsoa sitten, että miten tämä pelittää tämä selinux päällä. Yritin vähän kysyä sitä tuosta selinuxin disabloinnista, että miten dramaattisesti tietoturva heikkenee, jos se ei ole päällä? Eli onko normaali käytössä olevalle koneelle iso tietoturvauhka, jos selinuxin ottaa pois käytöstä?

Permissive-tila tarkoittaa, että SELinux näyttää varoituksia, mutta ei estä mitään toimintaa. Sekin on ihan hyvä vaihtoehto, onhan Linux-pohjaiset käyttikset yleensä aikaa turvallisia muutenkin, jos vain muistaa asentaa päivitykset. SELinux saattaa auttaa esimerkiksi tapauksissa joissa nettiselaimesta löytyy joku turva-aukko jota ei ole vielä korjattu.

SELinuxiin on nykyisin aika hyvät gui työkalut mukana.


Eero