Verder Terug Inhoud

3. Fysieke Security

De eerste laag van security is de fysieke security van je systeem. Wie heeft er directe fysieke toegang tot je computer? Moeten ze dat? Kan je je machine beschermen tegen hun aanvallen? Moet je dat?

Hoeveel fysieke security je nodig hebt op je systeem hangt af van je situatie, en/of budget.

Als je thuis gebruiker bent, hebt je niet zoveel nodig (hoewel je kan je machine moeten beschermen tegen je kinderen die het kapot proberen te maken of een vervelend familielid). Als je in een Lab bent, heb je veel meer fysieke security nodig, maar de gebruikers moeten nog steeds hun werk kunnen doen op de machine. Veel van de volgende secties zullen je uit de problemen helpen. Als je op een kantoor bent, moet je je computer wel of niet beveiligen in je vrije uren of als je weg bent. Bij sommige bedrijven, als je je computer daar laat staan, onbeveiligd is dat een overtreding.

Eenvoudige fysieke security methodes zoals sloten op deuren, kabels, gesloten kastjes, en video bewaking zijn ook goede ideeën, maar dat is buiten beschouwing van dit document:)

3.1 Computer sloten

Veel moderne PC kasten hebben ook een "op slot" mogelijkheid. Normaal is dit een kontakt aan de voorkant van de computer kast dat je instaat stelt om de computer in gesloten of open positie te zetten. Kast sloten kan helpen tegen diefstal van je computer, of de kast openen en direct de hardware stelen. Dit kan ook soms ook helpen tegen iemand die je computer wil opstarten met z'n eigen hardware of floppy.

Deze kast sloten doen andere dingen dan de steun in het moederbord en hoe de kast gemaakt is. Op veel PC maken ze het zo dat je de kast eerst moet open breken om erin te komen. Op sommige andere maken ze het zo dat je geen ander toetsenbord kan in pluggen of een andere muis. Kijk in het boekje van je moederbord of de kast instructies voor meer informatie. Dit kan soms een zeer nuttige eigenschap zijn, omdat de sloten vaak van zeer lage kwaliteit zijn kunnen aanvallers ze vaak makkelijk openbreken.

Sommige kasten (meestal Sparc's en Mac's) hebben een hardware-sleutel aan de achterkant waar je een kabel door kan doen, aanvallers moeten dan de kabel doorknippen of de kast breken om er in te komen. Een hangslot of een combinatie slot erdoor en het wordt al een stuk moeilijker voor iemand om je computer te stelen.

3.2 BIOS Security

De BIOS is het laagste niveau van software dat een x86 hardware configureert en in werking stelt. Lilo en andere Linux start methodes kijken in de BIOS om te kijken hoe ze je Linux machine moeten starten. Andere hardware waar Linux op draait heeft dergelijke software (OpenFirmware op Macs en nieuwe Suns, Sun boot PROM, etc...). Je kan je BIOS gebruiken om een aanvaller tegen te houden om je linux systeem opnieuw op te starten en te gebruiken.

Veel PC Bios-en laten je een boot pas-woord instellen. Dit houdt niet veel Security in(de BIOS kan ge-reset worden, of verwijderd als iemand in de kast kan komen), maar het kan goed afschrikken (o.a het kost tijd en laat sporen achter). Op de zelfde manier, op S/Linux (Linux voor een SPARC(tm) processor), kun je de EEPROM ook instellen om om een boot pass-woord te vragen. Dat vertraagt aanvallers.

Veel x86 BOISen laten je ook andere goede security settings instellen. Kijk in je BIOS manual of kijk er naar de volgende keer als je re-boot. Bijvoorbeeld, enkele Bios-en laten je niet van floppy booten en sommige vragen een pas-woord om enkele BIOS dingen in te stellen.

Notitie: Als je een server hebt, en je zet er een boot pas-woord op dan kun je de machine niet zonder aandacht laten opstarten. Onthoudt dat je moet komen om het pas-woord in te tikken als de stroom is uitgevallen. ;(

3.3 Boot Loader Security

De verschillende Linux boot loaders kunnen ook een boot pas-woord hebben. LILO, bijvoorbeeld, heeft een password en restricted instelling. password vraagt altijd om een pass-woord en restricted vraagt om een password als je een optie achter linux zet (zoals single), bij de LILO: prompt natuurlijk.

Onthoudt dat als je als deze pas-woorden instelt je ze ook nog moet onthouden. :) Onthoud ook dat deze pas-woorden de aanvaller vertragen. Dit houdt ze niet tegen om je computer te booten van flop en dan je root partitie te mounten. Als je security gebruikt in samenwerking met de boot Loader, kun je booten van een floppy ook uitzetten in de BIOS van je computer en de BIOS met een pas-woord beschermen.

Als iemand security gerelateerde informatie heeft over de verschillende boot loaders, zouden we dat graag willen horen. (grub, silo, milo, linload, etc).

Notitie: Als je een server hebt, en je zet er een boot pas-woord op dan kun je de machine niet zonder aandacht laten opstarten. Onthoudt dat je moet komen om het pas-woord in komen tikken als de stroom is uitgevallen. ;(

3.4 Xlock en V lock

Als je van tijd tot tijd weg gaat bij je machine is het leuk als je je scherm kunt "locken", zodat niemand met je werk kan knoeien of je werk kan zien. Daar zijn twee programma's voor: xlock en vlock.

xlock is een X display locker. Het zou bij elke linux distributie moeten zitten die X support. Kijk in de man page voor meer informatie over de opties, maar normaal kun je het starten met xlock vanuit elke xterm op je console en het zal de display locken en een pas-woord vragen om het te unlocken.

vlock is een simpel klein programma dat je instaat stelt om enkele of alle virtuele consoles op je Linux box te locken. Je kunt enkel de gene waar je in werkt locken of allemaal. Als je er maar een doet kunnen andere achter je computer komen en je console gebruiken; ze kunnen het virtuele console dat je gelockt hebt niet gebruiken totdat je het weer hebt ge-unlockt. vlock zit bij RedHat Linux.

Natuurlijk, je console locken zal iemand tegen houden om je werk te verknoeien, maar het houdt hem niet tegen je machine te re-booten of je werk verstoren. Het houdt hen ook niet tegen om je computer via het netwerk te bereiken om zo problemen te veroorzaken.

Belangrijker, het houdt iemand niet tegen van X weg te switchen en naar de gewone console te gaan, of naar het VC waarvan jij X hebt gestart. Zo kunnen ze je X stoppen en hebben ze jouw privileges. Je zou beter Xdm kunnen draaien, bijvoorbeeld.

3.5 Een Fisieke Security aanval detecteren

Het eerste waar je naar moet kijken is of je machine is gereboot. Linux is een robuust en stabiel OS, de enige keer dat je re-boot is als jij je computer plat legt voor een OS upgrade, hardware verwisseling, of zoiets. Als je machine opnieuw is opgestart zonder dat jij het deed, kan dat een signaal zijn van 'er is een indringer geweest'. Veel van de manieren hoe je computer aangevallen kan worden, willen eerst dat de computer is ge-reboot of uitgezet.

Kijk voor signalen van knoeien op de kast en in het computer gebied. Hoewel veel indringers sporen van hun aanwezigheid uit de log files halen, is het een goed idee om in de log files te kijken voor enige tegenstellingen

Het is ook een goed idee om je log data op een veilige plek te bewaren, zoals een aparte log server in je goed beschermde netwerk. Als je machine is aangevallen is log data belangrijk, ook als het is aangepast door de indringer.

De syslog deamon kan zo worden geconfigureerd dat deze de log files naar een centrale syslog server zend, maar dit wordt normaal gezonden als clear text. Dus de indringer kan de data zien als het wordt getransporteerd. Dit kan informatie dat niet publiek is onthullen over je netwerk. Er zijn syslog deamons verkrijgbaar die de data encrypted zenden.

Onthoud ook dat het heel simpel is om syslog messages te vervalsen - met een misbruik programma dat is gemaakt. Zal syslog zelfs messages accepteren van het netwerk met als host local host, zonder dat syslog naar de werkelijke afkomst kijkt.

Enkele dingen om in je logs te checken:

We zullen log data later in de HOWTO nog bespreken.


Verder Terug Inhoud