Verder Terug Inhoud

4. Lokale Security

Het volgende wat we gaan doen is je systeem beschermen tegen lokale gebruikers. Zijn er lokale gebruikers? Ja!

Toegang krijgen tot het account een lokale gebruiker is het eerste wat een indringer doet om toegang te krijgen tot het root account. Met lakse lokale security, kunnen ze hun normale account "upgraden" naar het root account door gebruik van een aantal bugs en armzalig opgezette lokale diensten. Als je zorgt dat je lokale security goed is, heeft de indringer nog een hindernis die hij voorbij moet komen.

Lokale gebruikers kunnen een hoop schade aanrichten op je systeem (speciaal) als ze zijn hoe ze zeggen dat ze zijn. Een account verstrekken aan mensen die je niet kent of geen informatie over hebt is een slecht idee.

4.1 Een nieuw account aanmaken

Je moet een gebruikers account maken met de minimale benodigd heden voor de taken die hij moeten doen. Als je een account wilt maken voor je zoon (10 jaar), kun je hem alleen toegang geven tot een text verwerker of een tekenprogramma, maar hem niet de mogelijkheid geven om data te deleten dat niet van hem is.

Enkele goede aanwijzingen om iemand een veilig account te geven op je Linux machine:

Veel gebruikers account's die gebruikt worden bij een aanval zijn die die maanden of jaren niet gebruikt zijn. Omdat niemand ze gebruikt, is het een ideaal aan-vals 'voertuig'

4.2 Root Security

Het meest gevaarlijke account op je machine is dat van root (super-user). Dit account heeft bevoegdheid over de gehele machine, en dat kan ook betekenen bevoegdheid over andere machines op het netwerk. Onthoud dat je het root account alleen moet gebruiken voor hele kort, specifieke taken, en je moet meestal draaien als een normale gebruiker. Zelfs kleine foutjes als je in-gelogd bent als root kunnen problemen veroorzaken. Hoe korter je root ben hoe veiliger je bent.

Enkele trucks om te voorkomen dat je je computer overhoop haalt als root:

Als je iemand absoluut root toegang moet geven (hopelijk iemand die je goed vertrouwd) op je machine zijn daar enkele hulp middelen voor. sudo geeft gebruikers de mogelijkheid om hun eigen pas-woord te gebruiken om een aantal commando's te mogen gebruiken als root. Dit geeft je de mogelijkheid, bijvoorbeeld, om een gebruiker de mogelijkheid te geven om removable media(cdrom, etc...) te mounten en eruit halen op je linux machine, maar ze hebben geen andere root rechten. sudo houdt ook een log file bij van alle succesvolle en on-succesvolle sudo pogingen, dit geeft je de mogelijkheid om te kijken wie welk commando gebruikte voor wat. Daarom werkt sudo goed in plaatsen waar een paar mensen root moeten zijn, omdat het je instaat stelt om te zien wat ze doen.

Hoewel sudo specifieke gebruikers specifieke rechten kan geven voor specifieke taken, heeft het toch tekort komingen. Het zou alleen maar moeten worden gebruikt voor taken als de server re-starten, een gebruiker toevoegen. Elk programma dat een shell escape heeft geeft root toegang tot de gene die het programma heeft gestart heeft. Dit zijn bijvoorbeeld de meeste editors. Ook een onschadelijk programma as /bin/cat kan gebruikt worden om files teoverschrijven, dit kan veroorzaken dat het root account wordt misbruikt. beschouw sudo als een verantwoording, maar verwacht niet dat het het root account kan vervangen en dan nog steeds secure is.


Verder Terug Inhoud