Ero sivun ”Tietoturva” versioiden välillä
Siirry navigaatioon
Siirry hakuun
p
→Aiheesta muualla
p (→Selaimet) |
|||
| (19 välissä olevaa versiota 6 käyttäjän tekeminä ei näytetä) | |||
| Rivi 1: | Rivi 1: | ||
Tietoturvassa on monesti kysymys asenteista. Unixin rakenteen (ja siihen liittyvien perinteiden) sekä vapaiden ohjelmien runsauden ansiosta virukset ja "spyware" eivät juurikaan vaivaa Linuxia. Tämä ei kuitenkaan tarkoita, että Linux olisi [[Haittaohjelmat|haittaohjelmille]] immuuni. | '''Tietoturvassa''' on monesti kysymys asenteista. Unixin rakenteen (ja siihen liittyvien perinteiden) sekä vapaiden ohjelmien runsauden ansiosta virukset ja "spyware" eivät juurikaan vaivaa Linuxia. Tämä ei kuitenkaan tarkoita, että Linux olisi [[Haittaohjelmat|haittaohjelmille]] immuuni. | ||
Suurimmat riskit työpöytä-Linuxeissa ovat palvelujen säätö- tai [[ohjelmointivirhe]]et (varo siis turhien palvelujen avaamista maailmalle) ja selainten tietoturva-aukot. Kannattaa huolehtia järjestelmän tärkeimmät päivitykset ajantasalle: Linuxeja koetelleet madot ovat hyödyntäneet ongelmia, jotka asianmukaisesti ylläpidetyissä asennuksissa oli korjattu aikoja sitten. | Suurimmat riskit työpöytä-Linuxeissa ovat palvelujen säätö- tai [[ohjelmointivirhe]]et (varo siis turhien palvelujen avaamista maailmalle) ja selainten tietoturva-aukot. Kannattaa huolehtia järjestelmän tärkeimmät päivitykset ajantasalle: Linuxeja koetelleet madot ovat hyödyntäneet ongelmia, jotka asianmukaisesti ylläpidetyissä asennuksissa oli korjattu aikoja sitten. | ||
Lisävarmuuden tuomiseksi voi myös käyttää [[palomuuri]]a (joka helpottaa palvelujen rajaamisen aiotuille käyttäjille), [[ | Lisävarmuuden tuomiseksi voi myös käyttää [[palomuuri]]a (joka helpottaa palvelujen rajaamisen aiotuille käyttäjille), [[TCP Wrapper]]ia (tavallaan palvelukohtainen palomuuri), SELinuxia ja [[IDS]]ia (hyökkäyksentunnistusjärjestelmiä). Kaksi ensinmainittua ovat helppoja ottaa käyttöön eivätkä vaikuta koneen tavalliseen käyttöön (ellei palomuuria säädä liian tiukaksi). | ||
[[Unix]]-tyylisten järjestelmien vanhimpia tietoturvaetuja on [[root|pääkäyttäjän]] säästeliäs käyttö, jatka tätä perinnettä! Hyvä tapa olisi jättää pääkäyttäjäterminaali kokonaan avaamatta, ja hoitaa pääkäyttäjäoikeuksia vaativat hommat [[su]]:n tai [[ | [[Unix]]-tyylisten järjestelmien vanhimpia tietoturvaetuja on [[root|pääkäyttäjän]] säästeliäs käyttö, jatka tätä perinnettä! Hyvä tapa olisi jättää pääkäyttäjäterminaali kokonaan avaamatta, ja hoitaa pääkäyttäjäoikeuksia vaativat hommat [[su]]:n, [[sudo]]n tai [[doas]]n avulla. | ||
== Käyttöjärjestelmän ja ohjelmien päivittäminen == | == Käyttöjärjestelmän ja ohjelmien päivittäminen == | ||
| Rivi 19: | Rivi 19: | ||
siihen tietoturvapäivityksiä, on jakelu syytä päivittää uudempaan versioon. | siihen tietoturvapäivityksiä, on jakelu syytä päivittää uudempaan versioon. | ||
* [[pacman#Päivittäminen|Arch Linuxin päivittämien]] | |||
* [[Debianin päivittäminen]] | * [[Debianin päivittäminen]] | ||
* [[Fedoran päivittäminen]] | * [[Fedoran päivittäminen]] | ||
| Rivi 56: | Rivi 57: | ||
Useimmat [[www-selaimet]] ovat hyvin monimutkaisia ja nopeasti kehittyviä ohjelmia ja sen myötä alttiita ohjelmointivirheille. Selaimissa esiintyvät tietoturva-aukot korjataankin useimmiten hyvin nopeasti. Tärkeää on valita sellainen suosittu selain, jota päivitetään aktiivisesti, kuten [[Firefox]], [[Chrome]] tai [[Opera]]. | Useimmat [[www-selaimet]] ovat hyvin monimutkaisia ja nopeasti kehittyviä ohjelmia ja sen myötä alttiita ohjelmointivirheille. Selaimissa esiintyvät tietoturva-aukot korjataankin useimmiten hyvin nopeasti. Tärkeää on valita sellainen suosittu selain, jota päivitetään aktiivisesti, kuten [[Firefox]], [[Chrome]] tai [[Opera]]. | ||
Tärkein puolustuskeino on ohjelmien ja kirjastojen pitäminen päivitettyinä. Esimerkiksi | Tärkein puolustuskeino on ohjelmien ja kirjastojen pitäminen päivitettyinä. Esimerkiksi [[JavaScript]]in kautta ei voi tulla haittaohjelmia ellei selaimessa ole vakavaa tietoturva-aukkoa. Suosituimmat selaimet päivitetään kuitenkin niin nopeasti tietoturva-aukkojen paljastuttua ettei käytännössä JavaScriptin kautta ole mahdollista tulla haittaohjelmia. | ||
Suurin tietoturvauhka selaimissa on kuitenkin niiden lisäosat ja liitännäiset. Selaimen lisäohjelmat tulisi valita harkiten niin että vain tarvittavat lisäohjelmat asennetaan, turhia lisäohjelmia ei tulisi koskaan asentaa. Etenkin [[Flash]]in ja [[Java]]-liitännäisen tietoturva-aukkoja hyödynnetään aktiivisesti, eikä niiden kehittäjiä juurikaan kiinnosta korjata ohjelmiaan nopealla aikataululla. Flashia tai Javaa ei tule missään tapauksessa asentaa selaimeen. Jos selaimessa on valmiiksi mukana Flash, kuten Chromessa, tulisi se kytkeä manuaalisesti pois päältä selaimen asetuksista. Monet kuitenkin käyttävät Flashia tai Javaa varoituksista huolimatta, tietäen niiden haitallisuuden. Tässä tapauksessa kannattaa vähintäänkin asettaa selaimen asetuksista selain kysymään ennen kuin Flash ja Java sisältöä suoritetaan. | Suurin tietoturvauhka selaimissa on kuitenkin niiden lisäosat ja liitännäiset. Selaimen lisäohjelmat tulisi valita harkiten niin että vain tarvittavat lisäohjelmat asennetaan, turhia lisäohjelmia ei tulisi koskaan asentaa. Etenkin [[Flash]]in ja [[Java]]-liitännäisen tietoturva-aukkoja hyödynnetään aktiivisesti, eikä niiden kehittäjiä juurikaan kiinnosta korjata ohjelmiaan nopealla aikataululla. Flashia tai Javaa ei tule missään tapauksessa asentaa selaimeen. Jos selaimessa on valmiiksi mukana Flash, kuten Chromessa, tulisi se kytkeä manuaalisesti pois päältä selaimen asetuksista. Monet kuitenkin käyttävät Flashia tai Javaa varoituksista huolimatta, tietäen niiden haitallisuuden. Tässä tapauksessa kannattaa vähintäänkin asettaa selaimen asetuksista selain kysymään ennen kuin Flash ja Java sisältöä suoritetaan. | ||
Selaimen tietoturvaa lisääviä lisäosia voi asentaa oman harkinnan mukaan. Ohessa muutamia esimerkkejä. | Selaimen tietoturvaa lisääviä lisäosia voi asentaa oman harkinnan mukaan. Ohessa muutamia esimerkkejä. | ||
* [[uBlock Origin]] - Mainokset tulee aina estää sillä niidenkin avulla [ | * [[uBlock Origin]] - Mainokset tulee aina estää sillä niidenkin avulla levitetään haittaohjelmia. [https://www.viestintavirasto.fi/kyberturvallisuus/tietoturvanyt/2014/02/ttn201402071359.html] [https://www.viestintavirasto.fi/kyberturvallisuus/tietoturvanyt/2016/04/ttn201604111832.html] | ||
* [[HTTPS Everywhere]] - Monet kirjautumista vaativat sivustot käyttävät | * [[HTTPS Everywhere]] - Monet kirjautumista vaativat sivustot käyttävät TLS-salausta vain kirjautumisvaiheessa eikä sen jälkeen. Tämä mahdollistaa "[[wikipedia:fi:Mies välissä -hyökkäys|mies välissä]]" -hyökkäyksen, sillä evästeet kulkevat verkon yli salaamattomina. Tästä syystä kannattaakin käyttää aina kun mahdollista salattua HTTPS-yhteyttä. | ||
* [[NoScript]] - Lisäosat kannattaa sallia vain luotetuilta sivustoilta, kuten esimerkiksi nettipankin sivuilta. NoScriptillä pystyy nopeasti sallimaan tai estämään sivustojen JavaScriptit, Flashin ja Javan. | * [[NoScript]] - Lisäosat kannattaa sallia vain luotetuilta sivustoilta, kuten esimerkiksi nettipankin sivuilta. NoScriptillä pystyy nopeasti sallimaan tai estämään sivustojen JavaScriptit, Flashin ja Javan. | ||
* [[RequestPolicy]] - Kätevä lisäosa jonka avulla voidaan estää kaikki ulkopuolisista verkkotunnuksista tuleva sisältö. | * [[RequestPolicy]] - Kätevä lisäosa jonka avulla voidaan estää kaikki ulkopuolisista verkkotunnuksista tuleva sisältö. | ||
| Rivi 92: | Rivi 93: | ||
== SELinux ja GRSecurity == | == SELinux ja GRSecurity == | ||
[[SELinux]] on | [[SELinux]] on kernelin moduuli joka mahdollistaa tarkemman auditoinnin ("turvallisuustarkastelut") järjestelmän suorittamien toimenpiteiden suhteen. Lähes kaikille tapahtumille on mahdollista määrittää "turvatasot". SELinuxin on kehittänyt NSA, jonka takia voidaankin olettaa sen täyttävän erittäin korkean turvallisuusluokituksen. | ||
Säädettävyyden mukana tulee vaikeus; kuka jaksaa säätää kaiken pilkkua viilaten? Tämä on SELinuxin suurin ongelma: sen käyttöönotto on erittäin työläs. | Säädettävyyden mukana tulee vaikeus; kuka jaksaa säätää kaiken pilkkua viilaten? Tämä on SELinuxin suurin ongelma: sen käyttöönotto on erittäin työläs. | ||
| Rivi 98: | Rivi 99: | ||
SELinux on 2.6-sarjan kernelissä ("ytimessä") mukana ja sen kehitys tapahtuu ytimen ohessa. 2.4-sarjalaisiin tämä on saatavissa erillisenä patch-settinä ("korjaussarjana"). | SELinux on 2.6-sarjan kernelissä ("ytimessä") mukana ja sen kehitys tapahtuu ytimen ohessa. 2.4-sarjalaisiin tämä on saatavissa erillisenä patch-settinä ("korjaussarjana"). | ||
[ | [[grsecurity]] on kilpaileva "tuote" joka ei ole mukana valtavirrassa, mutta se tekijän mukaan mahdollistaa vielä suuremmat tietoturvatason säädöt. | ||
Molemmat tuotteet ovat hyödyllisiä jos niille on tarvetta. Yleensä pärjätään normaaleillakin turva-asetuksilla, mutta vaihtoehdot ovat hyväksi. | Molemmat tuotteet ovat hyödyllisiä jos niille on tarvetta. Yleensä pärjätään normaaleillakin turva-asetuksilla, mutta vaihtoehdot ovat hyväksi. | ||
| Rivi 135: | Rivi 136: | ||
==PRISM== | ==PRISM== | ||
Kattava | Kattava yhdysvaltalainen vakoiluohjelma, jonka seurauksena lukuisat ohjelmistot sekä palvelut, joita myös Linux-pohjaiset käyttöjärjestelmät voivat käyttää ja siten altistua, ovat potentiaalisesti tietoturvariskejä. | ||
* [https://fi.wikipedia.org/wiki/PRISM_%28ohjelma%29 https://fi.wikipedia.org/wiki/PRISM_%28ohjelma%29] | * [https://fi.wikipedia.org/wiki/PRISM_%28ohjelma%29 https://fi.wikipedia.org/wiki/PRISM_%28ohjelma%29] | ||
* [https://prism-break.org/ https://prism-break.org/ - Vaihtoehtoja yleisesti käytetyille ohjelmille sekä palveluille.] | * [https://prism-break.org/fi/ https://prism-break.org/fi/ - Vaihtoehtoja yleisesti käytetyille ohjelmille sekä palveluille.] | ||
==Avoin lähdekoodi vs suljettu lähdekoodi== | |||
Suljetun lähdekoodin ratkaisujen käyttäminen on aina arvanheittoa siitä, että sen kyseisen sovelluksen kehittäjät ovat fiksumpia kuin loput 7 miljardia ihmiskunnasta, toisaalta avoimen lähdekoodin sovellus voi olla yhtä lailla riski ellei sen lähdekoodia ole tarkastettu. Kaikesta huolimatta avoimen lähdekoodin sovellusten käyttäminen etenkin suositumpien sovellusten kohdalla voi olla loogisempi ratkaisu, koska silloin useampi silmä on todennäköisesti jo tarkastanut lähdekoodin. | |||
==Katso myös== | ==Katso myös== | ||
*[[Haittaohjelmat]] | *[[Haittaohjelmat]] | ||
*[[Langattoman verkon tietoturva]] | *[[Langattoman verkon tietoturva]] | ||
==Aiheesta muualla== | |||
* [http://write.flossmanuals.net/tietoturvan-perusteet/johdanto/ FLOSS Manuals - Tietoturvan perusteet] | |||
* [https://www.kyberturvallisuuskeskus.fi/fi/haavoittuvuudet?limit=20&offset=0&query=Linux&sort=updated kyberturvallisuuskeskus.fi - Ajankohtaista tietoa ohjelmistohaavoittuvuuksista] | |||
[[Luokka:Tietoturva]] | [[Luokka:Tietoturva]] | ||
{{Malline:Palvelin}} | |||