Zabezpečení Linux/Unix

Kategorie: Obecně

Zabezpečení počítače na úrovni uživatele, souborů, dat, přístupů a limitů.

Níže se budeme zabývat zabezpečením Linuxu a určitě nebudeme podceňovat zabezpečení svých dat. Leckdo má v počítači kdejaké informace uložené a nechráněné, které bychom jistě neradi sdíleli se světem. Pokud není ochrana našeho počítače před útoky, je to jako nezamykat svůj dům. Dveře k sobě do počítače jsou pomyslně otevřené a můžou lákat šikovné „kolemjdoucí“. Záleží jen na nás, jestli jim v tom zabráníme.

Zabezpečení Linuxu je šíleně obsáhlá kapitola, která se den ode dne mění. Takovou prací se zabývají extra specialisté. Řekněme si tady naprostý základ.

Linux má pouze jednoho superuživatele jménem root, který má správu systému kompletně pod sebou. Politika zabezpečení funguje tak, že každý uživatel, pokud je tomu dovoleno, si smí vypůjčit práva superuživatele(roota). Provádět tak může uživatel i mazání souborů vlastnících správcem.

Heslo

Heslo uživatele je často opomíjený základní prvek bezpečnosti. Čím více nepravidelných písmen, střídajících velká a malá písmena, prokládaných různými symboly, čísly a peprnostmi, tím lépe. Uvedené příklady jsou extrémy.

Špatné heslo
heslo

Dobré heslo
Ib5K.u4(Bs,89)Š-r

Pro Linux je možné změnit heslo pomocí příkazu passwd.

passwd uzivatel

Firewall

V českém překladu protipožární zeď chrání náš počítač jako první před útoky ze sítě. Je to jako vrátný, kterému řekneme koho vpustit dovnitř i ven.

V Linuxu je dnes v jádru vložena utilita iptables, která poskytuje perfektní a zároveň komplexní správu firewallu. Vzhledem ke složitosti ovládání iptables vznikl například tento pomocník, který zjednodušší práci s iptables. Jmenuje se UFW.

Distribuce OpenSUSE a CentOS používají například pro správu firewallu nástroj Firewalld.

Automatická blokace útoků

S firewallem pracují i jiné programy, které pomocí něho blokují IP adresy a pomáhají tak chránit počítač před útoky hrubou silou ze sítě. Takový program je třeba fail2ban.

Limity

Limity se mění v souboru /etc/security/limits.conf.

Uživateli franta můžeme změnit maximální počet přihlášení zapsáním do dolní části souboru:

@franta        -      maxlogins      4

Omezit počet procesů u protokolu ftp třeba na 0 zapsáním:

ftp      hard      nproc      0

Omezení počtu procesů třeba na 40 zapsáním do souboru:

*      hard      nproc      40

Omezení velikosti jádra v KB třeba na 0 zapsáním do souboru:

*      soft      core      0

Zákaz přihlášení roota

V Linuxu můžeme mít pod kontrolou, jak se může vlastně do konzole root přihlásit. Tato konfigurace je uložena v souboru /etc/securetty. Bezpečné nastavení je prázdný soubor, který znamená zákaz přihlášení roota(superuživatele).

Bezpečný proto, protože případným útočníkům velmi znepříjemní práci. Každý totiž zkusí hned přihlášení jako root. I jméno superuživatele root se dá změnit, aby nebylo uhádnutelné. Jako uživatel si vystačím s příkazy su a sudo k zajištění administrace.