Zabezpečenie konzoly

Tak ako pri iných bezpečnostných barierach, ktorými chránime náš server, zistíme, že ochrániť server pred niekym, kto má fyzický prístup k serveru, ako napríklad zlodejmi, narušiteľmi napájania alebo prevádzky atď, nie je vôbec jednoduché. Preto by zabezpečenie konzoly malo byť tiež jednou zložkou celkovej bezpečnostnej stratégie. Uzamknutie "obrazovkových dverí" môže odradiť páchateľa od príležitostnej kriminality alebo ho aspoň spomaliť. Odporúčame preto vykonať základné bezpečnostné opatrenia zamerané na zabezpečenie konzoly.

Nasledujúce inštrukcie nám pomôžu zabezpečiť server pred problémami, ktoré by inak mohli mať veľmi vážne následky.

Zablokovanie Ctrl+Alt+Delete

Najprv je potrebné používateľom, ktorí majú fyzický prístup ku klávesnici terminálu, zablokovať trojkombináciu Ctrl+Alt+Delete, pomocou ktorej sa dá server reštartovať bez prihlásenia. Aj keď niekto môže jednoducho vytiahnuť napájací kábel, pri produkčných serveroch je dobré túto trojkombináciu zakázať. Prinúti to útočníka použiť komplikovanejší spôsob reštartu servera a zabráni to nechcenému náhodnému reštartu.

Ak chceme zablokovať reštart servera po stlačení trojkombinácie Ctrl+Alt+Delete, zapoznámkujeme nasledujúci riadok v súbore /etc/event.d/control-alt-delete.
```
#exec /sbin/shutdown -r now "Control-Alt-Delete pressed"
```

Zabezpečenie zavádzača GRUB heslom

Spolu s Ubuntu sa ako predvolený zavádzač nainštaluje GNU GRUB, ktorý je veľmi prispôsobiteľný a má možnosti na obnovu. Napríklad, ak nainštalujeme ďalšie jadro, automaticky sa pridá ako nová možnosť do ponuky zavádzača grub. Pre každé jadro sa v ponuke vytvorí aj alternatívna položka označená nápisom (recovery mode), ktorú je možné použiť na obnovu systému. Recovery mode - obnovovací mód zavedie príslušné jadro do jednopoužívateľského módu (init 1), ktorý zodpovedá administrátorovi a sprístupní príkazový riadok s právami používateľa root bez vyžiadania akéhokoľvek hesla.

Preto je veľmi dôležité mať kontrolu nad tým, kto bude môcť pristupovať k položkám ponuky grub, ktoré su za normálnych okolností prístupné každému, čo umožňuje vykonanie nebezpečných akcií:

~~Zmeniť parametre jadra pri zavádzaní.~~
~~Zaviesť server do jednopoužívateľského módu.~~

Týmto akciám môžeme zabrániť tak, že nastavíme heslo pre vstup do konfigurácie GRUBu v súbore /boot/grub/menu.lst, ktoré bude potrebné na odomknutie použitia rozšírených možností GRUBu.

~~Ak chceme použiť s nástrojom grub heslo, najskôr si musíme vygenerovať md5 odtlačok hesla pomocou nástroja grub-md5-crypt:~~
```
grub-md5-crypt
```
~~Po spustení príkazu zadáme heslo a zobrazí sa nám zodpovedajúca hodnota odtlačku:~~
```
Password: (zadáme heslo)
Retype password: (potvrdíme heslo)
$1$s3YiK$M3lxAbqA6JLm2FbDWnClQ0
```
~~Výsledný odtlačok zadáme do súboru /boot/grub/menu.lst v nasledujúcom tvare:~~
```
password --md5 $1$s3YiK$M3lxAbqA6JLm2FbDWnClQ0
```
~~Aby sme zaheslovali aj prístup do jednouživateľského módu, nastavíme hodnotu premennej lockalternative v súbore /boot/grub/menu.lst na true tak, ako v nasledujúcom príklade.~~
```
# lockalternative=true
```

	Toto nezabráni niekomu zaviesť systém z iného média. Útočník by mohol jednoducho naštartovať svoje vlastné prostredie, prepísať hlavný zavádzací záznam, pripojiť a skopírovať fyzické disky, zničiť dáta alebo čokoľvek iné. Tomuto problému sa dá zabrániť správnym nastavením BIOSu počítača, preto si preštudujte o ďalších protiopatreniach, ktoré môžu tomuto typu útoku zabrániť v príručke k biosu alebo na Internete.

Toto nezabráni niekomu zaviesť systém z iného média. Útočník by mohol jednoducho naštartovať svoje vlastné prostredie, prepísať hlavný zavádzací záznam, pripojiť a skopírovať fyzické disky, zničiť dáta alebo čokoľvek iné. Tomuto problému sa dá zabrániť správnym nastavením BIOSu počítača, preto si preštudujte o ďalších protiopatreniach, ktoré môžu tomuto typu útoku zabrániť v príručke k biosu alebo na Internete.

Verzia pre tlač
prečítané 1867x