Prvi "sloj" sigurnosti kojeg trebate uzeti u obzir je fizička sigurnost vaših računalnih sustava. Tko ima izravan fizički pristup vašem računalu? Da li bi trebao? Možete li zaštititi svoje računalo od njegova petljanja? Da li biste trebali?
Koliko fizičke sigurnosti trebate za svoj sustav jako ovisi o vašoj situaciji i/ili financijama.
Ako ste kućni korisnik, vjerovatno vam je ne treba puno (iako ćete možda htjeti zaštititi svoje računalo od djece ili neugodnih rođaka). Ako ste u laboratoriju, treba vam poprilično više, no korisnici na računalima ipak moraju moći raditi. Mnogi od slijedećih dijelova bit će od pomoći. Ako ste u uredu, trebat će vam ili neće osiguravanje računala dok ne radite ili dok ste na putu. U nekim tvrtkama ostavljanjem neosigurane konzole možete zaraditi otkaz.
Očite metode fizičke sigurnosti kao što su brave na vratima, kablovima, zaključani kabineti i video kamere sve su dobra ideja, ali izvan dosega ovog dokumenta. :)
Mnoga moderna PC kućišta imaju mogućnost "zaključavanja". To je obično brava na prednjem dijelu kućišta u kojoj dobiveni ključ možete okrenuti u zaključani ili nezaključani položaj. Brave na kućištima mogu pomoći u sprečavanju krađe vašeg PC-a, ili otvaranja kućišta i izravnog mijenjanja/krađe vašeg hardvera. Nekad mogu spriječiti i resetiranje vašeg računala uz dizanje sustava s diskete ili drugog hardvera.
Te brave rade različite stvari, ovisno o podršci matične ploče i konstrukciji kućišta. Na mnogim PC-ima napravljene su tako da kućište morate slomiti kako bi ga otvorili. Na drugima ne možete uključivati nove tipkovnice i miševe. Za više informacija provjerite upute svoje matične ploče ili kućišta. To ponekad može biti vrlo korisna mogućnost, iako su brave obično niske kvalitete i vrlo ih je lako otključati otpiračem.
Neka kućišta (najizraženije Sparcovi i Macovi) imaju kuku otraga tako da, ako provučete kabel, napadač mora prerezati kabel ili slomiti kućište da bi ga otvorio. Stavljanje šifre ili brave može biti dobra odbrana od krađe stroja.
BIOS je najniža razina softvera koja konfigurira ili radi s vašim x86 baziranim hardverom. LILO i druge metode dizanja Linuxa pristupaju BIOS-u kako bi odlučile kako dignuti vaše Linux računalo. Druge platforme na kojem Linux radi imaju sličan softver (OpenFirmware na Macovima i novijim Sunovima, Sun boot prom, itd.). Preko BIOS-a možete spriječiti napadača u resetiranju vašeg računala i mijenjanju vašeg Linux sustava.
Pod Linuxom/x86 mnogi PC BIOS-i daju vam mogućnost lozinke pri dizanju sustava. To ne znači baš puno sigurnosti (BIOS se može resetirati, ili maknuti ako netko može do unutrašnjosti kućišta), ali može poslužiti kao dobra obrana (to jest, potrajat će i ostaviti tragove petljanja).
Mnogi x86 BIOS-i omogućavaju i određivanje raznih drugih dobrih sigurnosnih mjera. Provjerite priručnik svog BIOS-a ili ga razgledajte prilikom slijedećeg dizanja. Neki primjeri: isključivanje dizanja s disketa i lozinke za pristup nekim opcijama BIOS-a.
Na Linux/Sparc-u vaš SPARC EEPROM može se namjestiti da zahtijeva lozinku pri dizanju. To će možda usporiti napadača.
NAPOMENA: Ako imate poslužitelj i stavite lozinku pri dizanju, vaš se stroj neće dizati samostalno. Nemojte zaboraviti da ćete morati doći i dati lozinku čak i kod nestanka struje. ;(
Razni programi za dizanje Linuxa također mogu imati lozinku. Ako koristite
LILO, pogledajte opcije restricted i password. password vam
traži lozinku pri dizanju. restricted će dopustiti dizanje sustava
osim ako netko odredi opcije na LILO:
promptu (kao što je
single).
Naravno, pri postavljanju svih tih lozinki trebat ćete ih i popamtiti. :) Također nemojte zaboraviti da će one samo usporiti odlučnog napadača. To neće spriječiti da netko digne sustav s diskete i montira vašu root particiju. Ako koristite sigurnost uz svoj program za dizanje sustava, možete odmah i u BIOS-u svog računala isključiti dizanje s diskete, kao i zaštiti ga lozinkom.
Ako netko ima informacije o sigurnosti drugih programa za dizanje, rado bismo ih čuli (grub, silo, milo, linload, itd.).
NAPOMENA: Ako imate poslužitelj i stavite lozinku pri dizanju, vaš se stroj neće dizati samostalno. Nemojte zaboraviti da ćete morati doći i dati lozinku čak i kod nestanka struje. ;(
Ako s vremena na vrijeme odlutate od svog stroja, lijepo je moći "zaključati" svoju konzolu da nitko ne petlja po njoj ili gleda što ste radili. Ovo mogu dva programa: xlock i vlock.
xlock zaključava X prikaz. Trebao bi doći sa svakom Linux distribucijom koja podržava X. Za više opcija provjerite njegovu man stranicu, ali općenito možete pokrenuti xlock iz bilo kojeg xterma na svojoj konzoli i on će zaključati prikaz i tražiti lozinku za otključavanje.
vlock je jednostavan mali program kojim zaključavate neke ili sve virtualne konzole na svojem Linux stroju. Možete zaključati samo onu u kojoj radite ili sve. Ako zaključate samo jednu, drugi mogu doći i koristiti konzolu, ali ne i vaš vty dok ga ne otključate. vlock dolazi s Red Hat Linuxom, ali to ne mora vrijediti za vašu distribuciju.
Naravno da će zaključavanje konzole spriječiti petljanje drugih u vaš posao, ali ne spriječava resetiranje stroja ili prekid vašeg posla na neki drugi način. Također ne spriječava pristup vašem računalu s drugog računala na mreži i uzrokovanje problema.
Prva stvar na koju uvijek treba paziti je kad se vaš stroj dignuo. Pošto je Linux robustan i stabilan OS, stroj bi se trebao ponovo dizati kada ga VI spustite za nadogradnje OS-a, izmjenu hardvera ili nešto slično. Ako se stroj dignuo bez vašeg sudjelovanja, trebalo bi se upaliti svjetlo za uzbunu. Mnogi načini kompromitiranja vašeg računala zahtijevaju da ga uljez resetira.
Provjerite znakove petljanja na kućištu i području računala. Iako mnogi uljezi iz logova čiste tragove svoga prisustva, dobra je ideja provjeriti ih i potražiti bilo kakve nejasnosti.
Neke stvari koje trebate provjeriti u logovima:
O podacima iz logova sustava govorit ćemo kasnije.