Zabezpieczanie Ubuntu Linux - 10 administratorskich porad

Porada 2: automatyczna synchronizacja zegara

W w wielu algorytmach zabezpieczających ruch sieciowy kluczową rolę odgrywa czas, a konkretnie dokładność zegara systemowego. Jeśli te parametry są ustawione źle (np. zegar późni się o kilka godzin), nie wszystko będzie działać poprawnie. Mogą się pojawić problemy z logowaniem na witryny wykorzystujące ciasteczka bądź protokół SSL (HTTPS).

Dlatego właśnie powinieneś kliknąć prawym klawiszem myszy okienko zegara znajdujące się na belce nad pulpitem. Z menu wybierz Dostosuj datę i czas. Z rozwijalnej listy zamiast Ręcznie wybierz Synchronizowanie zegara z serwerami w Internecie, kliknij Instaluj wsparcie dla NTP | Zastąp | Zamknij | Wybierz serwery. W okienku dialogowym wpisz ntp.icm.edu.pl i kliknij Dodaj.

Zobacz również:

  • Python najbardziej popularnym językiem programowania
  • Czujesz się bezpieczny? iOS 15, Windows 10, i Chrome złamane!
  • Skradzione dane - co z nimi dalej?
Zabezpieczanie Ubuntu Linux - 10 administratorskich porad

Przystosowanie systemu do automatycznego synchronizowania czasu z zegarem w Internecie

Gotowe, możesz już zamknąć aplet - Ubuntu będzie regularnie synchronizowało czas komputera z czasem podawanym przez warszawski serwer ICM.

Porada 3: blokada katalogu roota

Jednym z najbardziej nieszczęśliwych kompromisów w Ubuntu są ustawienia dotyczące uprawnień. Spróbuj przeprowadzić następujący eksperyment: dodaj do systemu nowego użytkownika. Zaloguj się na jego konto, po czym kliknij Miejsca | Folder domowy | System plików (po lewej stronie) | root. Przekonasz się, że Ubuntu w żaden sposób cię nie ogranicza. Każdy może wejść do katalogu administratora systemu i sprawdzić, co się w nim znajduje. Oczywiście odczytanie zawartości plików to inna para kaloszy, jednak nawet ujawnianie ich nazw to stanowczo za dużo.

Zabezpieczanie Ubuntu Linux - 10 administratorskich porad

Katalog roota z ustawionymi uprawnieniami 700

Dlatego sugerujemy, byś tuż po instalacji zmienił domyślne uprawnienia katalogu /root 755 na 750 lub nawet 700. Jeśli po tej operacji odświeżysz okienko Nautilusa, przekonasz się, że przy katalogu root pojawił się charakterystyczny znak informujący o braku dostępu.

UWAGA! Nie możesz też pomylić uprawnień z szyfrowaniem. Plik z uprawnieniami 000 jest nieczytelny dla wszystkich prócz roota pod warunkiem, że nikt nie ma fizycznego dostępu do twojej maszyny. Jeśli zaś można z niej wymontować dysk albo zmusić do uruchomienia z bootowalnej dystrybucji Linuksa, modyfikacja uprawnień nic ci nie da.Porada 4: blokada startu innych systemów operacyjnych...

Dla kogo jest tekst?

Spis porad powstał z myślą o użytkownikach, którzy nie czują silnego pociągu do samodzielnej kompilacji jądra, a mimo to chcą w miarę możliwości zabezpieczyć maszyny wykorzystujące Ubuntu 6.x i 7.x, Debiana lub inne dystrybucje Linuksa.

Nasze wskazówki rozwiązują problemy nękające początkujących użytkowników. Wierzymy jednak, że skorzystają z nich i doświadczeni administratorzy systemów.

W zależności od odmiany systemu (Ubuntu, Kubuntu, Xubuntu) oraz od jej wersji lokalizacja niektórych plików również może być inna.

Poziom trudności rośnie wraz z biegiem tekstu - porady ostatnie wymagają więcej czasu do namysłu niż porady z początku artykułu.

Zanim wystawisz swój komputer na pastwę rodzeństwa lub ciekawskich kolegów, powinieneś wykonać kolejną operację. Dzięki niej będziesz w stanie zablokować możliwość uruchomienia twego sprzętu z systemu, którego nie kontrolujesz, na przykład z bootowalnej dystrybucji Linuksa.

Przede wszystkim wejdź do BIOS-u i ustaw właściwą kolejność napędów. Maszyna powinna zawsze startować z dysku twardego i pod żadnym pozorem nie wolno jej sprawdzać innych opcji (CD-ROM-u, klucza USB itp.). Dlatego właśnie pierwszym urządzeniem rozruchowym ("First boot device") powinien być HDD, a opcja "Try other boot devices" musi być wyłączona.

Aby nikt niepowołany nie zmodyfikował twoich ustawień, załóż w BIOS-ie hasło. Inni dostaną się do informacji zgromadzonych na dysku dopiero po zresetowaniu CMOS-u i uruchomieniu komputera z bootowalnej dystrybucji live lub też po zamontowaniu HDD do innej maszyny.

...oraz Porada 5: dodatkowe zabezpieczenie w menedżerze GRUB

Na wszelki wypadek warto również założyć hasło, które uniemożliwi innym wejście do twojego Linuksa oraz zapobiegnie przypadkowemu rozruchowi Windows znajdującemu się na innej partycji.

Wymyśliłeś hasło? W takim razie wpisz w linii poleceń (Terminal) grub-md5-crypt i podaj swoją tajną frazę. Następnie otwórz jako root plik /boot/grub/menu.lst i znajdź linię # password topsecret. Skasuj początkowy znak komentarza (#), a zamiast "topsecret" wpisz --md5 [wygenerowany skrót hasła], oczywiście bez cudzysłowów i nawiasów kwadratowych.

Zabezpieczanie Ubuntu Linux - 10 administratorskich porad

GRUB zabezpieczony hasłem

To jeszcze nie wszystko, na razie tylko uniemożliwiłeś intruzowi edycję plików konfiguracyjnych gruba przed uruchomieniem Linuksa. Jeśli chcesz całkowicie zablokować możliwość startu innych systemów operacyjnych, odszukaj linijki rozpoczynające się od "title" i wstaw pod nimi w nowej linii słowo lock.

Od tego momentu uruchomienie systemu, który zdecydowaliśmy się "zablockować", będzie wymagało wcześniejszego podania hasła.