Ero sivun ”Tietoturva” versioiden välillä
Siirry navigaatioon
Siirry hakuun
p
ei muokkausyhteenvetoa
(Suuria muutoksia: liitteet ja autorun, asennus; pienempiä: hosts.allow, ssh) |
Pb (keskustelu | muokkaukset) pEi muokkausyhteenvetoa |
||
| Rivi 1: | Rivi 1: | ||
== Rant == | == Rant == | ||
Tietoturvassa on monesti kysymys asenteista, tosin onneksi Linuxille on erittäin vähän viruksia ja spywarea. Kannattaa silti huolehtia järjestelmän tärkeimmät päivitykset ajantasalle. Lisävarmuuden tuomiseksi voi myös käyttää [[Palomuurit|palomuuria]], [[tcp-wrapper]]ia, | Tietoturvassa on monesti kysymys asenteista, tosin onneksi Linuxille on erittäin vähän viruksia ja spywarea. Kannattaa silti huolehtia järjestelmän tärkeimmät päivitykset ajantasalle. Lisävarmuuden tuomiseksi voi myös käyttää [[Palomuurit|palomuuria]], [[tcp-wrapper]]ia, SELinuxia ja [[IDS]]ia (eli hyökkäyksentunnistusjärjestelmiä). *NIX-tyylisten järjestelmien vanhimpia tietoturvaetuja on [[root|pääkäyttäjän]] säästeliäs käyttö, jatka tätä perinnettä! Hyvä tapa olisi jättää pääkäyttäjäterminaali kokonaan avaamatta, ja hoitaa pääkäyttäjäoikeuksia vaativat hommat [[su]]:n tai [[sudo]]n avulla. | ||
== Käyttöjärjestelmän päivittäminen == | == Käyttöjärjestelmän päivittäminen == | ||
| Rivi 7: | Rivi 7: | ||
jotka heikentävät koneen turvallisuutta. Valmistajat julkaisevat | jotka heikentävät koneen turvallisuutta. Valmistajat julkaisevat | ||
päivityksiä jotka korjaavat virheet, mutta päivitysten asentaminen on käyttäjän vastuulla. | päivityksiä jotka korjaavat virheet, mutta päivitysten asentaminen on käyttäjän vastuulla. | ||
Linuxin tapauksessa tarvittavat toimenpiteet riippuvat jonkin verran siitä, minkä valmistajan | Linuxin tapauksessa tarvittavat toimenpiteet riippuvat jonkin verran siitä, minkä valmistajan jakelupaketti on käytössä. | ||
jakelupaketti on käytössä. | |||
Kannattaa tarkistaa säännöllisesti (ehkä kerran viikossa) joko uusia turvapäivityksiä olisi saatavilla, ellei muistutuksia tule automaattisesti. | Kannattaa tarkistaa säännöllisesti (ehkä kerran viikossa) joko uusia turvapäivityksiä olisi saatavilla, ellei muistutuksia tule automaattisesti. | ||
| Rivi 31: | Rivi 30: | ||
== Käyttöoikeuksien hallinta == | == Käyttöoikeuksien hallinta == | ||
Olennainen osa Linux-tietoturvaa on mahdollisuus rajoittaa [[käyttäjä|käyttäjien]] oikeuksia [[tiedostojärjestelmä|tiedostojärjestelmään]]. Käyttöoikeudet määritetään käyttäjä ja ryhmäkohtaisesti. Lisäksi Linuxin [[Linuxin hakemistorakenne|hakemistorakenteessa]] määritetään tarkkaan hakemistojen [[tiedoston oikeudet|käyttöoikeudet]] niiden tarkoituksen ja käyttöoikeuksien mukaan. Nämä yhdessä luovat pohjan tietoturvalliselle käyttöjärjestelmälle. | Olennainen osa Linux-tietoturvaa on mahdollisuus rajoittaa [[käyttäjä|käyttäjien]] oikeuksia [[tiedostojärjestelmä|tiedostojärjestelmään]]. Käyttöoikeudet määritetään käyttäjä- ja ryhmäkohtaisesti. Lisäksi Linuxin [[Linuxin hakemistorakenne|hakemistorakenteessa]] määritetään tarkkaan hakemistojen [[tiedoston oikeudet|käyttöoikeudet]] niiden tarkoituksen ja käyttöoikeuksien mukaan. Nämä yhdessä luovat pohjan tietoturvalliselle käyttöjärjestelmälle. | ||
Linuxin tietoturvaa parantaa tavallisen- ja pääkäyttäjän erottaminen toisistaan. Pääkäyttäjällä eli erityisellä [[käyttäjä|root-tunnuksella]], on kaikki oikeudet käyttöjärjestelmään ja näin myös suurin riski vahingoittaa käyttöjärjestelmää. Tavallisen käyttäjän oikeudet taas ovat hyvin rajoitetut, mahdollistaen kuitenkin normaalin päivittäisen toiminnan kuten dokumenttien kirjoittamiseen ja musiikin kuuntelemiseen. | Linuxin tietoturvaa parantaa tavallisen- ja pääkäyttäjän erottaminen toisistaan. Pääkäyttäjällä eli erityisellä [[käyttäjä|root-tunnuksella]], on kaikki oikeudet käyttöjärjestelmään ja näin myös suurin riski vahingoittaa käyttöjärjestelmää. Tavallisen käyttäjän oikeudet taas ovat hyvin rajoitetut, mahdollistaen kuitenkin normaalin päivittäisen toiminnan kuten dokumenttien kirjoittamiseen ja musiikin kuuntelemiseen. | ||
| Rivi 59: | Rivi 58: | ||
Sama koskee [[CD-levy|CD-levyjen]] ja muitten irrotettavien medioitten autorun-ohjelmia: niitä ei yleensä ajeta ellei käyttäjä erikseen sitä pyydä. | Sama koskee [[CD-levy|CD-levyjen]] ja muitten irrotettavien medioitten autorun-ohjelmia: niitä ei yleensä ajeta ellei käyttäjä erikseen sitä pyydä. | ||
Vaikka CD-levyjen kautta ei viruksia juurikaan levitetä niin automaattikäynnistys on helppo tapa tehdä CD:stä [[troijan hevonen]] (katso [[wikipedia:en:2005_Sony_BMG_CD_copy_prevention_scandal|Sonyn rootkit]]). | Vaikka CD-levyjen kautta ei viruksia juurikaan levitetä niin automaattikäynnistys on helppo tapa tehdä CD:stä [[troijan hevonen]] (katso [[wikipedia:en:2005_Sony_BMG_CD_copy_prevention_scandal|Sonyn rootkit]]). | ||
===Binäärien ajaminen ja pakettien kautta leviävät virukset=== | ===Binäärien ajaminen ja pakettien kautta leviävät virukset=== | ||
| Rivi 72: | Rivi 70: | ||
Jos ohjelma tulee paketoituna (tar, rpm, deb tms.), paketin asentaminen asentaa tiedostot paketoijan määräämään paikkaan, mahdollisesti ylikirjoittaen muita tiedostoja (varsinkin jos paketin asentaa pääkäyttäjänä) ja asettaen tiedosto-oikeudet kohdalleen. Pakettiin saattaa kuulua myös asennuksessa ajettavia skriptejä. Pakettia ei siis pidä asentaa epämääräisistä lähteistä ja hiukankin epävarmoissa tapauksissa se pitäisi asentaa tarkoitukseen erikseen luodulla tunnuksella (jolle annetaan vain tarvittavat oikeudet asennuksen ajaksi). | Jos ohjelma tulee paketoituna (tar, rpm, deb tms.), paketin asentaminen asentaa tiedostot paketoijan määräämään paikkaan, mahdollisesti ylikirjoittaen muita tiedostoja (varsinkin jos paketin asentaa pääkäyttäjänä) ja asettaen tiedosto-oikeudet kohdalleen. Pakettiin saattaa kuulua myös asennuksessa ajettavia skriptejä. Pakettia ei siis pidä asentaa epämääräisistä lähteistä ja hiukankin epävarmoissa tapauksissa se pitäisi asentaa tarkoitukseen erikseen luodulla tunnuksella (jolle annetaan vain tarvittavat oikeudet asennuksen ajaksi). | ||
== SELinux ja GRSecurity == | == SELinux ja GRSecurity == | ||
| Rivi 90: | Rivi 87: | ||
TCP-wrapper on käyttöoikeuskirjasto, jolla voidaan määritellä monimutkaisempia sääntöjä, ketkä pääsevät mihinkin verkkopalveluun ottamaan yhteyttä. Komennolla ldd /polku/ohjelmistoon | grep libwrap voi tarkistaa tukeeko palvelinohjelma TCP-wrapperia. | TCP-wrapper on käyttöoikeuskirjasto, jolla voidaan määritellä monimutkaisempia sääntöjä, ketkä pääsevät mihinkin verkkopalveluun ottamaan yhteyttä. Komennolla ldd /polku/ohjelmistoon | grep libwrap voi tarkistaa tukeeko palvelinohjelma TCP-wrapperia. | ||
Säännöt rakentuvat niin, että ensin pitää kieltää kaikki <tt>hosts.deny</tt> tiedostossa ja sitten sallia yhteyksiä <tt>hosts.allow</tt> tiedostossa. | Säännöt rakentuvat niin, että ensin pitää kieltää kaikki <tt>[[hosts.deny]]</tt>-tiedostossa ja sitten sallia yhteyksiä <tt>hosts.allow</tt>-tiedostossa. | ||
Esimerkki perussäädöistä, joissa sallitaan vain .omalafka.fi verkko-osoitteiden yhteydenotto SSHD-palvelinohjelmistoon. | Esimerkki perussäädöistä, joissa sallitaan vain .omalafka.fi verkko-osoitteiden yhteydenotto SSHD-palvelinohjelmistoon. | ||
| Rivi 114: | Rivi 111: | ||
==Katso myös== | ==Katso myös== | ||
[[Langattoman verkon tietoturva]] | *[[Langattoman verkon tietoturva]] | ||
[[Luokka:Tietoturva]] | [[Luokka:Tietoturva]] | ||