Ero sivun ”Tietoturva” versioiden välillä
Siirry navigaatioon
Siirry hakuun
p
Lisätty Palvelin-malline
LP (keskustelu | muokkaukset) (→Palveluiden tunnukset ja ryhmät: nobody ja NFS) |
p (Lisätty Palvelin-malline) |
||
| (26 välissä olevaa versiota 8 käyttäjän tekeminä ei näytetä) | |||
| Rivi 1: | Rivi 1: | ||
Tietoturvassa on monesti kysymys asenteista. Unixin rakenteen (ja siihen liittyvien perinteiden) sekä vapaiden ohjelmien runsauden ansiosta virukset ja "spyware" eivät juurikaan vaivaa Linuxia. Tämä ei kuitenkaan tarkoita, että Linux olisi [[Haittaohjelmat|haittaohjelmille]] immuuni. | '''Tietoturvassa''' on monesti kysymys asenteista. Unixin rakenteen (ja siihen liittyvien perinteiden) sekä vapaiden ohjelmien runsauden ansiosta virukset ja "spyware" eivät juurikaan vaivaa Linuxia. Tämä ei kuitenkaan tarkoita, että Linux olisi [[Haittaohjelmat|haittaohjelmille]] immuuni. | ||
Suurimmat riskit työpöytä-Linuxeissa ovat palvelujen säätö- tai | Suurimmat riskit työpöytä-Linuxeissa ovat palvelujen säätö- tai [[ohjelmointivirhe]]et (varo siis turhien palvelujen avaamista maailmalle) ja selainten tietoturva-aukot. Kannattaa huolehtia järjestelmän tärkeimmät päivitykset ajantasalle: Linuxeja koetelleet madot ovat hyödyntäneet ongelmia, jotka asianmukaisesti ylläpidetyissä asennuksissa oli korjattu aikoja sitten. | ||
Lisävarmuuden tuomiseksi voi myös käyttää [[palomuuri]]a (joka helpottaa palvelujen rajaamisen aiotuille käyttäjille), [[ | Lisävarmuuden tuomiseksi voi myös käyttää [[palomuuri]]a (joka helpottaa palvelujen rajaamisen aiotuille käyttäjille), [[TCP Wrapper]]ia (tavallaan palvelukohtainen palomuuri), SELinuxia ja [[IDS]]ia (hyökkäyksentunnistusjärjestelmiä). Kaksi ensinmainittua ovat helppoja ottaa käyttöön eivätkä vaikuta koneen tavalliseen käyttöön (ellei palomuuria säädä liian tiukaksi). | ||
[[Unix]]-tyylisten järjestelmien vanhimpia tietoturvaetuja on [[root|pääkäyttäjän]] säästeliäs käyttö, jatka tätä perinnettä! Hyvä tapa olisi jättää pääkäyttäjäterminaali kokonaan avaamatta, ja hoitaa pääkäyttäjäoikeuksia vaativat hommat [[su]]:n tai [[sudo]]n avulla. | |||
== Käyttöjärjestelmän ja ohjelmien päivittäminen == | == Käyttöjärjestelmän ja ohjelmien päivittäminen == | ||
Kaikista ohjelmistoista löytyy ajoittain ohjelmointivirheitä, | Kaikista ohjelmistoista löytyy ajoittain ohjelmointivirheitä, jotka heikentävät tietokoneen turvallisuutta. Valmistajat julkaisevat päivityksiä jotka korjaavat ohjelmistojen virheitä, mutta päivitysten asentaminen on käyttäjän vastuulla. Linuxin tapauksessa tarvittavat toimenpiteet riippuvat jonkin verran siitä, mikä [[jakelu|jakeluversio]] on käytössä. | ||
jotka heikentävät tietokoneen turvallisuutta. Valmistajat julkaisevat | |||
päivityksiä jotka korjaavat ohjelmistojen virheitä, mutta päivitysten asentaminen on käyttäjän vastuulla. | |||
Kannattaa tarkistaa säännöllisesti (ehkä kerran viikossa) onko uusia päivityksiä saatavilla, ellei muistutuksia tule automaattisesti. Yleensä jokaisella jakelulla on oma sähköpostilista, millä tiedotetaan käyttöjärjestelmän ja ohjelmien tietoturvaan liittyvistä päivityksistä. Päivitykset asentuvat yleensä muutamalla hiiren klikkauksella tai parilla komennolla komentorivillä, kunhan "asennuslähteet" on oikein säädetty. | Kannattaa tarkistaa säännöllisesti (ehkä kerran viikossa) onko uusia päivityksiä saatavilla, ellei muistutuksia tule automaattisesti. Yleensä jokaisella jakelulla on oma sähköpostilista, millä tiedotetaan käyttöjärjestelmän ja ohjelmien tietoturvaan liittyvistä päivityksistä. Päivitykset asentuvat yleensä muutamalla hiiren klikkauksella tai parilla komennolla komentorivillä, kunhan "asennuslähteet" on oikein säädetty. | ||
| Rivi 22: | Rivi 19: | ||
siihen tietoturvapäivityksiä, on jakelu syytä päivittää uudempaan versioon. | siihen tietoturvapäivityksiä, on jakelu syytä päivittää uudempaan versioon. | ||
* [[Debianin päivittäminen | * [[Debianin päivittäminen]] | ||
* [[Fedoran päivittäminen | * [[Fedoran päivittäminen]] | ||
* [[Gentoon päivittäminen | * [[Gentoon päivittäminen]] | ||
* [[SUSEn päivittäminen]] | |||
* [[Ubuntun päivittäminen]] | |||
* [[SUSEn päivittäminen | |||
* [[Ubuntun päivittäminen | |||
== Käyttöoikeuksien hallinta == | == Käyttöoikeuksien hallinta == | ||
| Rivi 56: | Rivi 49: | ||
Useimmiten palvelin on käynnistettävä pääkäyttäjän oikeuksin, jotta sillä olisi mahdollisuus käyttää tiettyjä [[TCP]]/[[UDP]]-portteja (<1024) tai muita erikoistoimintoja. Otettuaan käyttöön portin tai muun resurssin ohjelma luopuu pysyvästi näistä oikeuksista (katso [[setuid]]). Jotkut ohjelmat tarvitsevat jatkossakin pääkäyttäjäoikeuksia, mutta käyttävät näitä säästeliäästi, suorittaen (valta)osan koodistaan palvelinkohtaisella tunnuksellaan, joko [[seteuid]]-kutsun tai [[fork|lapsiprosessien]] avulla. | Useimmiten palvelin on käynnistettävä pääkäyttäjän oikeuksin, jotta sillä olisi mahdollisuus käyttää tiettyjä [[TCP]]/[[UDP]]-portteja (<1024) tai muita erikoistoimintoja. Otettuaan käyttöön portin tai muun resurssin ohjelma luopuu pysyvästi näistä oikeuksista (katso [[setuid]]). Jotkut ohjelmat tarvitsevat jatkossakin pääkäyttäjäoikeuksia, mutta käyttävät näitä säästeliäästi, suorittaen (valta)osan koodistaan palvelinkohtaisella tunnuksellaan, joko [[seteuid]]-kutsun tai [[fork|lapsiprosessien]] avulla. | ||
Palvelimen (tai toiminnon) ryhmää käytetään esimerkiksi sähköpostin (mail), pelien (games), päätelaitteen (tty) ja kirjautumislokin (utmp) tapauksessa. Tiedostot ovat yksittäisen käyttäjän tai pääkäyttäjän omistuksessa, mutta ryhmäoikeuksien kautta eri ohjelmilla on oikeus kirjoittaa näihin tiedostoihin. Samaa järjestelmää voi käyttää | Palvelimen (tai toiminnon) ryhmää käytetään esimerkiksi sähköpostin (mail), pelien (games), päätelaitteen (tty) ja kirjautumislokin (utmp) tapauksessa. Tiedostot ovat yksittäisen käyttäjän tai pääkäyttäjän omistuksessa, mutta ryhmäoikeuksien kautta eri ohjelmilla on oikeus kirjoittaa näihin tiedostoihin. Samaa järjestelmää voi käyttää mielivaltaisia uusia palvelimia luotaessa. | ||
Aikoinaan palvelimet, jotka eivät tarvinneet pääkäyttäjäoikeuksia, ajettiin yleensä tunnuksella ja ryhmällä nobody. Tämä johti kuitenkin siihen, että ongelma yhdessä palvelimessa mahdollisti hyökkäykset muihin tätä tunnusta käyttäviin palvelimiin. Nykyään nobody on hyvin vähäisessä käytössä, mutta on käytettävissä ellei johonkin käyttöön halua luoda uusia tunnuksia. nobody-tunnusta käyttävistä palveluista mainittakoon [[NFS]], joka käyttää tätä tunnusta silloin kun se on asetettu olemaan luottamatta asiakaskoneen tarjoamiin käyttäjätunnuksiin ([[UID]]-numeroihin). | Aikoinaan palvelimet, jotka eivät tarvinneet pääkäyttäjäoikeuksia, ajettiin yleensä tunnuksella ja ryhmällä nobody. Tämä johti kuitenkin siihen, että ongelma yhdessä palvelimessa mahdollisti hyökkäykset muihin tätä tunnusta käyttäviin palvelimiin. Nykyään nobody on hyvin vähäisessä käytössä, mutta on käytettävissä ellei johonkin käyttöön halua luoda uusia tunnuksia. nobody-tunnusta käyttävistä palveluista mainittakoon [[NFS]], joka käyttää tätä tunnusta silloin kun se on asetettu olemaan luottamatta asiakaskoneen tarjoamiin käyttäjätunnuksiin ([[UID]]-numeroihin). | ||
==Selaimet== | ==Selaimet== | ||
Useimmat [[www-selaimet]] ovat hyvin monimutkaisia ja nopeasti kehittyviä ohjelmia ja sen myötä alttiita ohjelmointivirheille. | Useimmat [[www-selaimet]] ovat hyvin monimutkaisia ja nopeasti kehittyviä ohjelmia ja sen myötä alttiita ohjelmointivirheille. Selaimissa esiintyvät tietoturva-aukot korjataankin useimmiten hyvin nopeasti. Tärkeää on valita sellainen suosittu selain, jota päivitetään aktiivisesti, kuten [[Firefox]], [[Chrome]] tai [[Opera]]. | ||
Tärkein puolustuskeino on ohjelmien ja kirjastojen pitäminen päivitettyinä. Esimerkiksi JavaScriptin kautta ei voi tulla haittaohjelmia ellei selaimessa ole vakavaa tietoturva-aukkoa. Suosituimmat selaimet päivitetään kuitenkin niin nopeasti tietoturva-aukkojen paljastuttua ettei käytännössä JavaScriptin kautta ole mahdollista tulla haittaohjelmia. | |||
Suurin tietoturvauhka selaimissa on kuitenkin niiden lisäosat ja liitännäiset. Selaimen lisäohjelmat tulisi valita harkiten niin että vain tarvittavat lisäohjelmat asennetaan, turhia lisäohjelmia ei tulisi koskaan asentaa. Etenkin [[Flash]]in ja [[Java]]-liitännäisen tietoturva-aukkoja hyödynnetään aktiivisesti, eikä niiden kehittäjiä juurikaan kiinnosta korjata ohjelmiaan nopealla aikataululla. Flashia tai Javaa ei tule missään tapauksessa asentaa selaimeen. Jos selaimessa on valmiiksi mukana Flash, kuten Chromessa, tulisi se kytkeä manuaalisesti pois päältä selaimen asetuksista. Monet kuitenkin käyttävät Flashia tai Javaa varoituksista huolimatta, tietäen niiden haitallisuuden. Tässä tapauksessa kannattaa vähintäänkin asettaa selaimen asetuksista selain kysymään ennen kuin Flash ja Java sisältöä suoritetaan. | |||
Selaimen tietoturvaa lisääviä lisäosia voi asentaa oman harkinnan mukaan. Ohessa muutamia esimerkkejä. | |||
* [[uBlock Origin]] - Mainokset tulee aina estää sillä niidenkin avulla levitetään haittaohjelmia. [https://www.viestintavirasto.fi/kyberturvallisuus/tietoturvanyt/2014/02/ttn201402071359.html] [https://www.viestintavirasto.fi/kyberturvallisuus/tietoturvanyt/2016/04/ttn201604111832.html] | |||
* [[HTTPS Everywhere]] - Monet kirjautumista vaativat sivustot käyttävät SSL-salausta vain kirjautumisvaiheessa eikä sen jälkeen. Tämä mahdollistaa "[[wikipedia:fi:Mies välissä -hyökkäys|mies välissä]]" -hyökkäyksen, sillä evästeet kulkevat verkon yli salaamattomina. Tästä syystä kannattaakin käyttää aina kun mahdollista salattua HTTPS-yhteyttä. | |||
* [[NoScript]] - Lisäosat kannattaa sallia vain luotetuilta sivustoilta, kuten esimerkiksi nettipankin sivuilta. NoScriptillä pystyy nopeasti sallimaan tai estämään sivustojen JavaScriptit, Flashin ja Javan. | |||
* [[RequestPolicy]] - Kätevä lisäosa jonka avulla voidaan estää kaikki ulkopuolisista verkkotunnuksista tuleva sisältö. | |||
==Käynnistettävät tiedostot ja "autorun"== | ==Käynnistettävät tiedostot ja "autorun"== | ||
Linux-jakeluissa sähköpostiohjelmia ei yleensä ole säädetty ajamaan liitteenä tulevia ohjelmia, vaikka liitettä klikattaisiinkin. | |||
Kun tiedosto on tallennettu tiedostojärjestelmään, se, tulkitaanko se ohjelmaksi, määräytyy [[Tiedoston_oikeudet|tiedoston oikeuksiin]] | Kun tiedosto on tallennettu tiedostojärjestelmään, se, tulkitaanko se ohjelmaksi, määräytyy [[Tiedoston_oikeudet|tiedoston oikeuksiin]] | ||
| Rivi 95: | Rivi 92: | ||
== SELinux ja GRSecurity == | == SELinux ja GRSecurity == | ||
[ | [[SELinux]] on kernelin moduuli joka mahdollistaa tarkemman auditoinnin ("turvallisuustarkastelut") järjestelmän suorittamien toimenpiteiden suhteen. Lähes kaikille tapahtumille on mahdollista määrittää "turvatasot". SELinuxin on kehittänyt NSA, jonka takia voidaankin olettaa sen täyttävän erittäin korkean turvallisuusluokituksen. | ||
Säädettävyyden mukana tulee vaikeus; kuka jaksaa säätää kaiken pilkkua viilaten? Tämä on SELinuxin suurin ongelma: sen käyttöönotto on erittäin työläs. | Säädettävyyden mukana tulee vaikeus; kuka jaksaa säätää kaiken pilkkua viilaten? Tämä on SELinuxin suurin ongelma: sen käyttöönotto on erittäin työläs. | ||
SELinux on 2.6-sarjan kernelissä ("ytimessä") mukana ja sen kehitys tapahtuu ytimen ohessa. 2.4-sarjalaisiin tämä on saatavissa erillisenä patch-settinä ("korjaussarjana"). | SELinux on 2.6-sarjan kernelissä ("ytimessä") mukana ja sen kehitys tapahtuu ytimen ohessa. 2.4-sarjalaisiin tämä on saatavissa erillisenä patch-settinä ("korjaussarjana"). | ||
[ | [[grsecurity]] on kilpaileva "tuote" joka ei ole mukana valtavirrassa, mutta se tekijän mukaan mahdollistaa vielä suuremmat tietoturvatason säädöt. | ||
Molemmat tuotteet ovat hyödyllisiä jos niille on tarvetta. Yleensä pärjätään normaaleillakin turva-asetuksilla, mutta vaihtoehdot ovat hyväksi. | Molemmat tuotteet ovat hyödyllisiä jos niille on tarvetta. Yleensä pärjätään normaaleillakin turva-asetuksilla, mutta vaihtoehdot ovat hyväksi. | ||
| Rivi 107: | Rivi 104: | ||
===Katso myös=== | ===Katso myös=== | ||
*[[Fedoran SELinux-asetukset]] | *[[Fedoran SELinux-asetukset]] | ||
*[https://www.nsa.gov/ia/mitigation_guidance/security_configuration_guides/operating_systems.shtml#linux2 NSA:n tietoturvaoppaat] (pdf) | |||
== TCP-wrapper == | == TCP-wrapper == | ||
| Rivi 135: | Rivi 133: | ||
==SSH== | ==SSH== | ||
Jos ajat [[SSH]]-palvelinta, kannattaa tarkistaa että soveltuvat [[SSH-turvatoimet]] on tehty. sshd käyttää yleensä sekä omia asetuksiaan, että pam-kirjastoa ja normaaleja unix-salasanoja. Asetusten yhteisvaikutus ei ole intuitiivinen, joten asiaa koskevien varoitusten lukeminen on hyvin suotavaa. Parasta on rajoittaa yhteydet muutamaan luotettavaan ip-osoitteeseen. | Jos ajat [[SSH]]-palvelinta, kannattaa tarkistaa että soveltuvat [[SSH-turvatoimet]] on tehty. sshd käyttää yleensä sekä omia asetuksiaan, että pam-kirjastoa ja normaaleja unix-salasanoja. Asetusten yhteisvaikutus ei ole intuitiivinen, joten asiaa koskevien varoitusten lukeminen on hyvin suotavaa. Parasta on rajoittaa yhteydet muutamaan luotettavaan ip-osoitteeseen. | ||
==PRISM== | |||
Kattava Yhdysvaltalainen vakoiluohjelma, jonka seurauksena lukuisat ohjelmistot sekä palvelut, joita myös Linux-pohjaiset käyttöjärjestelmät voivat käyttää ja siten altistua, ovat potentiaalisesti tietoturvariskejä. | |||
* [https://fi.wikipedia.org/wiki/PRISM_%28ohjelma%29 https://fi.wikipedia.org/wiki/PRISM_%28ohjelma%29] | |||
* [https://prism-break.org/ https://prism-break.org/ - Vaihtoehtoja yleisesti käytetyille ohjelmille sekä palveluille.] | |||
==Katso myös== | ==Katso myös== | ||
| Rivi 141: | Rivi 145: | ||
[[Luokka:Tietoturva]] | [[Luokka:Tietoturva]] | ||
{{Malline:Palvelin}} | |||