Skrb za pingvina

Objavljeno: 26.10.2010 | Avtor: Boris Šavc | Kategorija: Varnost | Revija: Oktober 2010

Varnost je dobrina in človeštvo se tega zaveda že od nekdaj. Bijejo se vojne z varnostjo v mislih, sklepajo zavezništva in porabljajo velikanske količine finančnih sredstev. Vsakdo ve, kaj predstavlja varnost in kako pomembna je. Če ne gre drugače, ga življenje samo tega nauči. Prav to se je zgodilo v računalniškem svetu. Kljub začetni zapostavljenosti doživlja v informacijskem sektorju področje varnosti zadnja leta pravi razcvet.

Operacijski sistem Linux slovi kot zelo varno okolje, a resnica je, da ima tudi sam kar nekaj varnostnih razpok, ki omogočajo nepridipravom dostop do strežnikov in podatkov na njih. Najhujši scenariji lahko privedejo celo do uničenja pomembnih informacij, zato so moderni vzdrževalci teh sistemov vedno bolj varnostno zavédni. Njihova skrb se deli na dve veliki veji, ugotavljanje pristnosti (ang. authentication) in nadzor dostopa (ang. access control). Prvi mehanizem poskrbi, da je uporabnik z zahtevo po dostopu do informacij res oseba z uporabniškim računom, drugi pa je odgovoren za nivo odobrenega dostopa in za dodelitev virov, s katerimi lahko posameznik upravlja.

Naj vam lenoba ne prepreči stvarjenja dobrih gesel, le tako se bodo dežurni zlobci ustavili že pri vhodnih vratih. Za tiste s krajšim spominom je na voljo več pripomočkov, kakršen je KWallet.

Pogosti vzroki za težave z varnostjo

Linux se ponaša s pregovorno dobrim varnostnim modelom. Zasluge za tak sloves lahko pripišemo predvsem njegovemu uporabniškemu sistemu. Razdelitev na navadne uporabnike in enega mojstra oziroma administratorja, se je izkazala za pravilno usmeritev v večini potencialno spornih situacij. Seveda je pohvale vredno, če je računalnik dodobra zaščiten pred zunanjimi grožnjami, a marsikdaj preži večja nevarnost povsem drugje. Naši najbližji so nemalokrat razlog za izgubo pomembnih podatkov. Odnos upravitelj (root) - uporabnik je za mirno delovanje nadvse učinkovita, vendar to večino strank, ki levji delež svojega časa preživijo na namizju, ne zanima. Pomembnejši so jim zbirka kontaktnih podatkov, arhiva elektronskih sporočil in/ali kopica dopustniških fotografij. Krajevni uporabniki lahko zelo škodujejo vašemu sistemu, zato nikoli ne ustvarjajte računov neznanim osebam. Tudi če vzdržujete pretežno odprt sistem, vedno zahtevajte kontaktne podatke, določite začetnikom minimalne pravice, jih nenehno nadzirajte, kaznujte nepridiprave ter redno brišite neaktivne uporabnike. Našteti ukrepi pridejo v svetu večjih sistemov še kako prav, a za domačo rabo niso najbolj zaželeni. Prej ali slej boste z družino morali znati sobivati v istem informacijskem okolju. V ta namen s pridom izkoriščajte zaščito posameznih imenikov. Posamezna področja lahko prikažete drugim v predogled tako, da lahko vsebino pregledajo, ne morejo pa je na primer spreminjati. Včasih, ko je tudi to preveč, lahko drugi vidijo le seznam datotek, ki so v zaščitenem imeniku, ali pa celo vse skupaj povsem skrijemo. Kako slednje najbližjim opravičimo, je seveda povsem druga tema, primerna za kak nov članek.

Ena izmed poglavitni razlik, ki Linux ločujejo od sorodnih operacijskih sistemov, je ta, da navadni uporabniki nikakor ne morejo poseči v neokrnjenost okolja. Po domače povedano, uporabniški račun, s katerim povprečni uporabnik preživi večino časa za svojim računalom, ne more nikakor povzročiti njegovega nedelovanja. Za vse težave se je treba prijaviti kot administrator (root). Pod nobenim pogojem ne uporabljajte tega računa za vsakdanja opravila, kajti udomačitev upraviteljske prijave pri običajnih opravilih je zelo nevarna. Mimogrede se zgodi, da nehote kaj pobrišemo ali uveljavimo kakšno pravilo, za katero se nam še sanja ne, kaj pomeni. Zatorej naj vam uporaba upravitelja ne preide v navado. Tudi pred vnosom kompleksnih ukazov, za katere je glavni račun nujen, jih je priporočljivo poprej preizkusiti na nižji ravni, kjer ni mogoče narediti dosti škode. Postanite uporabnik root le za specifična opravila, ob eksperimentih ostanite v osnovni lupini. Pazljivo ravnajte z ukaznimi potmi in ne vključujte vanje trenutnih imenikov. Posebno pozornost namenite oddaljenemu prijavljanju v sistem. Tu je administratorski račun navano onemogočen, če pa ga kljub vsemu potrebujete, ga nujno lokacijsko omejite. Datoteka /etc/securetty vsebuje seznam lokacij, s katerih se lahko upravitelj prijavi in stori, kar mu je treba storiti.

Požarni zid je fina stvar. Z grafičnimi vmesniki ga lahko nastavljajo tudi neznalci.

Še tako preprosta varnostna kopija je boljša od nobene in ena obvarovana datoteka je privlačnejša kot prazen nič, zato varujte, varujte in še enkrat varujte.

Operacijski sistem Linux razlikuje med tremi skupinami uporabnikov. Lastnik, Skupina in Drugi lahko datoteke in imenike berejo, spreminjajo in izvajajo (ang. rwx - read, write, execute). Z ustrezno uporabo tega mehanizma poskrbimo za osnovno varovanje informacij pred tujim dostopom. Privilegije je Linux podedoval od svojega predhodnika Unixa, a to ni nujno slabo. Vsak uporabnik je lahko član več skupin in vsaka skupina je le še en tip uporabnika. Čeprav se sistem pravic zdi spočetka precej zapleten, ga praktična uporaba hitro poenostavi, zato ne imejte zadržkov pred njegovo popolno implementacijo.

Še en pomemben vidik varnosti v sistemu Linux predstavljajo gesla. Tako smo že vajeni različnih gesel in njihovega tvorjenja, da ta del (pre)pogosto zanemarjamo. Gesla niso več le edina ovira do vašega namizja, temveč so hkrati edina ovira do vaše identitete vspletu. Najslabši so tisti izmed vas, ki uporabljajo ista gesla za prijavo v naključne forume in na drugi strani za dostop do spletnega bančništva. Verjamem, da vas ni veliko takih in da vsi tvorite dolga in različna gesla iz dneva v dan. Delo si s tem seveda še dodatno otežimo, zato je treba poseči po namenskih pripomočkih, tako imenovanih upraviteljih gesel (ang. desktop password manager). Programi, kot sta na primer KWallet ali Firefox password manager, si ne samo zapomnijo vse naše umotvore, temveč jih po potrebi tudi vnašajo namesto nas. Ob takšni asistenci res ne sme biti težava v ločevanju pomembnih gesel od trivialnih, začasnih prijav. Najpomembnejša med njimi naj bodo izvirna in programsko močna, vsebujejo naj tako črke kot številke.

Še pred nekaj leti je bilo nespametno vsakršno udejstvovanje v spletu brez ustrezne zaščite, največkrat v obliki požarnega zidu. Za slednje se zadnje čase zdi, da niso več tako nujni, saj so na voljo priljubljeni operacijski sistemi, ki jih privzeto ne vsebujejo (npr. Ubuntu). Žal je ta nepomembnost le navidezna. Pravi razlog za odsotnost požarnega zidu v nekaterih distribucijah je treba iskati drugje. Vedno več domačih uporabnikov ždi v spletu izza strojnega usmerjevalnika, ki praviloma pride v paketu z nastavljenim zidom, hkrati pa večina različic Linuxa teži k čim manjši velikosti osnovnega namestitvenega paketa in je požarna zavesa ena prvih stvari, ki jo zaradi tega "spregledajo" ob načrtovanju nove izdaje. Ker požarni zid res učinkovito zapre dostop do različnih storitev, ki so potencialno nevarne, vam, če v domačem omrežju še nimate kakšnega, toplo svetujemo namestitev enega izmed kandidatov v spletu. V bistvu ima na vašo srečo vsak Linux požarni zid že nameščen, saj ima vse potrebno že v samem jedru, dodali bomo le še grafični vmesnik. Zelo dober in hkrati preprost je ufw, ki ga krmilimo kar iz ukazne vrstice. Je dovolj dober, da vas zaščiti pred zloglasnimi razpokami, kakršne vsebuje na primer Samba (deljenje datotek z Okni), a vas ne bo zastrašil s kopico nepotrebnih zmožnosti, katerih se vam ne bi dalo preučevati. Če vam ukazna vrstica kljub temu ne diši preveč, si lahko pomagate s katerim od grafičnih vmesnikov za dotični program (npr. Gufw).

Posodabljanje sistema je v večini distribucij Linuxa lahkotno opravilo in zelo priporočljivo ga je izvajati. Treba je vedeti le, da ob vsaki izdaji nove velike različice navadno ti popravki kmalu usahnejo.

Nasveti za boljšo varnost

Večina vprašanih vas bo o varnosti v Linuxu podučila enako. Zaklenite omrežje, zmanjšajte tveganje z zaprtjem sistema, tako da omogočite dostop le ozkemu krogu posvečenih, in se nasploh obnašajte skladno z rekom: "Česar ni, to ne boli". Ne trdimo, da tak sistem ne bi bil varen, a v veliki večini primerov ne bi prišel v poštev zaradi svoje neuporabnosti. Takšno zaprtje sistema ni v skladu z obnašanjem povprečnega domačega uporabnika. V tednu dni bi si nesrečnež s takim računalnikom še želel kakšnega vdora ali težav, ki ne bi bile povezane z njegovimi vsakdanjimi storitvami, ki ne delujejo tako, kot bi morale. Zato vam bomo na tem mestu namesto konservativnih pridig o neprebojnosti vašega operacijskega sistema navrgli le nekaj nasvetov za varnejše življenje z Linuxom. Če jih nekaj zares posvojite, boste na dobri poti k mirnejšemu spancu.

Prvi tak predlog, ki mimogrede velja tudi v drugih situacijah v življenju, bi bil, da ob stresnih situacijah, ko pride do nesreče oziroma težave, nikakor ne zaženite panike. Problem je v tem, da težav v prvi vrsti ne pričakujemo. Že res, da nenehno slišimo o tem ali onem, kako je postal žrtev kakšne prevare, vdora v računalnik ali o škodljivi kodi na njegovem računalu, ki mu je zbrisala vse njemu ljube podatke, a še vedno smo globoko v podzavesti prepričani, da se to nam ne more zgoditi. Žal je resnica taka, da so spletni kriminalci že prav v vsakem kotičku interneta in le vprašanje časa je, kdaj se bo kaj neprijetnega zgodilo tudi vam. Dobra novica je, da se zavedate problema že zdaj. Kako to vemo? Saj vendar uporabljate Linux.

Najpreprostejša, a kljub temu najbolj zapostavljena, je izdelava varnostne kopije. Varovanje podatkov je še pomembnejše od neprebojnega ščita, saj nas ne varuje le pred nepridipravi, marveč tudi pred samim sabo. Naj bo to le prestavitev nekaj datotek v spletni arhiv Dropbox ali vsakdanje varovanje celotnega diskovnega razdelka na zunanjo enoto, vse je boljše kot nič. Na Linuxu je moč najti raznovrstno paleto izdelkov, namenjenih varovanju, zakaj si torej ne bi izbrali enega izmed njih in začeli varovati vaše pomembnejše bite. Za nezahtevne bo dovolj program Keep na namizju KDE, naprednejšim pa bo bolj ustrezala Bacula ali pripomoček za varovanje podatkov iz ukazne vrstice Rsync.

Varnost sistema leži skoraj iz vsake perspektive v celoti na plečih uporabnika. To velja tudi za posodabljanje sistema, opravilo tako banalne narave, da ga je preprosto spregledati. Problem je v razumevanju posameznika, zakaj je taka dejavnost sploh potrebna, saj navadno ne gre za dodajanje novih funkcionalnosti, ki bi zbujale skomine lastniku operacijskega sistema. Treba je vedeti, da vsak Linux sestavlja na stotine ločenih orodij in pripomočkov in prav vsak izmed njih je lahko vzrok napake ali točka vdora v osrčje vašega računalnika. Snovalci distribucij se tega problema zavedajo, zato v končni izdelek navadno vključijo orodje za posodabljanje že nameščenih paketov. Končnemu uporabniku tako olajšajo prenos in namestitev najnovejših popravkov in mu s tem odvzamejo še zadnji izgovor, zakaj tega ne bi počel.

Ko beseda nanese na viruse, se uporabniki operacijskih sistemov Linux radi pohvalimo, da ti v naših delovnih okoljih nimajo kaj delati, oziroma da jih ni. Trditev sploh ni iz trte zvita. Virusa, ki bi lahko dejansko izmaličil operacijski sistem, Linux res ne pozna. Prav tako ni ravno verjetno, da ga sploh kdaj bo! Tudi, če bi se nadvse uničujoč virus pojavil, bi zaradi uporabe uporabniških računov in dovoljenj ne imel dostopa do sistemskih datotek. To sicer pomeni, da bi v tem primeru ostali brez osebno pomembnih podatkov, a to je še vedno bolje kot računalo brez vidnih znakov življenja. Za vsak primer priporočamo uporabo protivirusnega programa. Nedvomno je trenutno najboljši ClamAV, sovražnik virusov številka ena, ki ga četa prostovoljcev redno osvežuje in ga, kar je mnogim še pomembneje, s svojim delom ohranja brezplačnega. Upravljanje z njim poteka iz ukazne vrstice, zato tistim, ki privzeto ne marate terminalskega okna, svetujemo uporabo grafičnega pripomočka, kakršen je na primer KlamAV. Z njim bo posodabljanje zbirke znanih virusov, upravljanje s karanteno in nastavljanje lastnosti pregleda postalo preprostejše od pasulja.

Orodje za šifriranje datotek KGPG se zlije s privzetim brskalnikom namizja KDE. V raziskovalcu z imenom Konqueror posameznik preprosto uporabi desni klik nad imenom predmeta, ki ga želi kriptirati, ter izbere Actions/Encrypt File.

Logwatch vam ustvari imenik za nastavitve na povsem običajnem mestu, vendar pozor, /etc/logwatch je le prostor za dodajanje lastnih stvaritev in ne privzeta konfiguracija. Slednja je na področju /usr/share/logwatch.

Živimo v času brezžičnih povezav. S tem smo se sprijaznili in jih celo s pridom izkoriščamo. Žal so omenjene pogosta točka vstopa nepridipravov v omrežja in posledično vhodna vrata do posameznih naprav. Večina mrež brez žice uporablja zastarel standard zaščite WEP, še vedno pa je veliko pogumnežev popolnoma brez nje. Zadnje prepuščamo njihovemu adrenalinskemu konjičku, medtem ko uporabnikom šifriranja WEP svetujemo kar najhitrejšo menjavo sistema varnosti. WEP ključe povprečen računalnik sodobnosti razbije v manj kot eni uri. Če živite na podeželju, vam to morda še ne vzbuja skrbi, meščanom pa gredo že vsi lasje pokonci. Čim več je ljudi v dosegu vašega brezžičnega omrežja, tem več je možnosti, da se bo našel kak korenjak in poskušal prodreti vanj. Svoje početje lahko zlobnež uspešno skrije, tako da vam ne bo nikoli uspelo ugotoviti, kdo je in od kod je nepovabljen vstopil v vaš digitalni dom. Na žalost ste jim tak popoldanski sprehod s svojim početjem omogočili sami. Takoj zamenjajte zaščito na usmerjevalniku na WPA. Če je usmerjevalnik ne podpira, najprej zamenjajte njega. Še boljša zaščita je novejša WPA2, a se je pred njeno uporabo treba zavedati, da morajo tako šifriranje podpirati tudi odjemalci. Teh je sicer v današnjem času že kar nekaj, vendar še vedno ne dovolj, da bi vam WPA2 lahko priporočili brez vsakršnega pomisleka.

Kadarkoli pošiljate informacije po mreži gor in dol, naj si bo v spletu ali krajevnem omrežju, so vaši podatki takrat lahka tarča. Če jih kdo v procesu pošiljanja oziroma prejemanja prestreže, se lahko z njimi okoristi tako ali drugače. Rešitev take zagate je preprosta. Preden gredo podatki iz vaših rok, jih ustrezno zakodirajte. S tako pripravljenimi podatki tat ne bo imel kaj početi. V Linuxu najdete kup dobrih orodij za šifriranje podatkov. Večina jih temelji na sistemu GNU Privacy Guard oziroma GnuPG. Za vsako izmenjavo podatkov se uporabljata dva ključa, javni in zasebni. Podatke, kodirane z javnim ključem nekega posameznika, je mogoče brati le skupaj z njegovim zasebnim ključem. Podobno ni moč uporabljati datotek, šifriranih z vašim zasebnim ključem, vsaj ne brez njegovega javnega para. Zadnja metoda se največkrat uporablja za elektronski podpis e-poštnih sporočil. Najbolj priljubljeni grafični preobleki GnuPG-ja sta KGPG za namizje KDE in Seahorse na oknih Gnome. Oba znata tvoriti par ključev in se tesno povezati z odjemalci elektronske pošte.

Verjamemo, da imate zdaj vaše sisteme že lepo zakrpane, nadgrajene z zadnjimi popravki in zaščitene v skladu s predlogi pričujočega članka. A kljub vsemu zna priti dan, ko vse to ne bo dovolj. Nekoč lahko doživite zlonamerni napad v obliki trojanca, črva, virusa, vdora ali kriminalno dejavnost v kakšni sorodni obliki. Zato je treba s sistemom živeti, ga redno spremljati. Ob številčnih pregledih lahko ugotovite normalne vzorce obnašanja in zelo hitro opazite kakršnokoli anomalijo ter takoj ukrepate, namesto da zvonite po toči. Orodje za tak nadzor so dnevniške datoteke. Ne bomo vam lagali, dnevniške informacije so ena najbolj dolgočasnih stvari na vašem Linuxu. Še več, navadno so zapisane na način, ki je razumljivejši razvijalcem kot navadnemu človeku, zato ni čudno, če se vprašate, zakaj bi jih sploh pregledovali. Poleg vidika varnosti, ko s periodičnimi pregledovanji teh datotek hitro najdete nepridiprava, ki se trudi priti v vaš sistem, lahko s pomočjo dnevniških datotek preverite tudi zasedenost računalnika, opazite prej skrite napake v sistemu ali popravite poškodovano storitev, ki se noče več zagnati. Vse našteto opravite s pregledom datotek, ki so na področju /var/log. Ker vsega, kar je tam zapisano, res ni treba brati, oziroma če ne veste točno, kaj iščete, vam za odkrivanje zlata vrednih podatkov svetujemo uporabo pripomočka, kakršen je na primer Logwatch. Slednji vam vsak dan pregleda vse izbrane zapiske in vam v elektronski predal pošlje sporočilo s povzetkom o dogajanju v sistemu.

Naj to ne bo konec

Našteli smo vam nekaj poglavitnih vzrokov za (ne)varnost v sistemih z Linuxom in navedli nekaj nasvetov za utrditev obrambe pred napadi. Upamo, da bo vsaj nekaj omenjenih informacij padlo na plodna tla. Če boste spremenili le eno svojo navado, bo vaš računalnik veliko varnejši in spanec posledično precej trdnejši. Tudi, če bo to tako preprosta stvar, kot je sprememba gesla za dostop do foruma na spletišču Monitorja, da ne bo enako tistemu pri vašem digitalnem bankirju. Saj veste, kako so banke nezanesljive, kajne? Brez šale, ne podcenjujte se in varno informacijsko pot vam želimo še naprej.

Naroči se na redna tedenska ali mesečna obvestila o novih prispevkih na naši spletni strani!
Prijava

ph

Komentirajo lahko le prijavljeni uporabniki