5 vinkkiä parempaan linux-tietoturvaan. Pienillä muutoksilla voi saada isoja aikaiseksi, millaiset perusasiat on hyvä olla kunnossa? Viisi vinkkiä, joilla tuoda helpotusta ja turvaa omaan työhön.
2. 2
5. Vinkkiä parempaan linux-
tietoturvaan
1. Ethän päivitä palvelimiasi suoraan linux-jakelijan
verkossa tarjoamasta palvelusta?
‒ SUSE Customer Center on erittäin turvallinen mutta suoraan
verkosta päivittäminen voi käydä työlääksi hallinnoida ja olla
hankalan tilanteen tullen hidasta.
‒ SUSE tarjoaa aktiivisten tilausten mukana Subscription
Management Tool -aplianssin johon päivitykset voi kerätä.
SMT -proxy on verkkonne turvallisella alueella ja SUSE Linux
-jakelut voidaan kytkeä siihen päivittämistä varten
‒ https://www.suse.com/documentation/smt11/
3. 3
5. Vinkkiä parempaan linux-
tietoturvaan
2. Älä päästä pääkäyttäjien salasanoja käsistä tai
anna kenenkään käyttää järjestelmiä jaetuilla
tunnuksilla kuten root tai admin
‒ Etuoikeutettujen käyttäjien hallinta voi olla työläs osa linux
-maailmaa koska anonyymilla root -tunnuksella tehdyt tehtävät
eivät identifioidu identiteettiin. Asian voi hoitaa vaikkapa sudo
-skripteillä jos on aikaa mutta jotenkin on huolehdittava siitä
ettei pääkäyttätunnusta tarvitse jaella liian suurelle piirille
‒ Priviliged Access Manager -tuote tarjoaa infrastruktuurin jonka
järjestelmien hallinnan tehtävät hoidetaan kirjautumalla omilla
käyttäjätunnuksilla. Kaikki sessiot tallennetaan ja jokaiseen
toimenpiteeseen kytketään oikean tekijän identiteetti
‒ https://www.netiq.com/products/privileged-account-manager/
4. 4
5. Vinkkiä parempaan linux-
tietoturvaan
3. Älä säilytä lokeja palvelimella joka lokia tuottaa
‒ Ensimmäinen asia jonka mahdollinen murtautuja tekee on
peittää jälkensä. Lokit ovat vain peräpeili joka kuvaa jo
tapahtuneita asioita mutta asiallisesti hoidettuna niistä selviää
mitä on tapahtunut tai tapahtumassa. Lokitus tulisi tehdä lokien
keräämiseen tarkoitettuun varastoon, normalisoida ja
mielellään allekirjoittaa aitouden varmistamista varten.
‒ Voit aloittaa vaikkapa ilmaiselle NetIQ Log Manager
applianssilla
‒ https://www.netiq.com/products/sentinel-log-manager/features/slm25.h
5. 5
5. Vinkkiä parempaan linux-
tietoturvaan
4. Kovenna sovellukset AppArmorilla
‒ Järjestelmien koventaminen auttaa varautumaan erityisesti
tilanteisiin joihin pelkkä päivitysten asentaminen ei riitä.
Kovennus voi olla vaativaa tietoturva-ammattilaisten työtä
mutta on toki helpompiakin tapoja.
‒ Suosittelemme erityisesti AppArmor -sovelluksen käyttöä
sovellusten koventamiseen. Esimerkiksi SUSE tarjoaa hyvät ja
helpot välineet sovellushiekkalaatikoiden tekemiseen, joissa
AppArmorin YaST -työkalulla luodaan nopeasti tietoturvaprofiili
vaikkapa verkossa saatavilla oleville palveluille. Näin
sovellukset tekevät vain sen mitä niiden pitää eivätkä mitään
muuta.
‒ https://www.suse.com/documentation/apparmor/
6. 6
5. Vinkkiä parempaan linux-
tietoturvaan
5. Seuraa linux -palvelintesi konfiguraatioita ja
niiden muutoksia.
‒ Useat haittaohjelmat muokkaavat linux -ympäristöä omiin
tarpeisiinsa ja tämä näkyy konfiguraatioiden muutoksina
järjestelmissä
‒ SUSE Manager on monipuolinen linux -hallinnan väline jolla
voit seurata erilaisten linux -jakelujen konfiguraatioita ja niiden
muutoksia. SUSE Manager voi reagoida esimerkiksi CentOS
-palvelimessasi tapahtuneisiin muutoksiin ja suorittaa
hälytyksen jos niin haluat
‒ https://www.suse.com/documentation/suse_manager/book_susemana
7. 7
Miksi on tärkeää päivittää ja pysyä
ajan tasalla?
1.Haittaohjelmat päivittyvät lähes välittömästi hyödyntämään julkaistuja
haavoittuvuuksia. Ne ovat automatisoituja, jatkuvasti verkossa käynnissä
olevia hyökkäyksiä. Palvelimesi ovat näiltä turvassa vain jos hyökkääjä
ei pääse näihin käsiksi sisältä tai ulkoa.
2. Koskeeko ympäristöä jokin sääntö tai määräys? Käytännössä kaikki
auditointia vaativat ja infrastruktuuria koskevat säännöt ja määräykset
sisältävät vaatimuksen päivittämiskyvystä. Jos et pysty päivittämään, et
läpäise auditointia ja ilman auditointia olet vastuussa virhetilanteista.
● SUSE tarjoaa ylläpitopalveluja asiakkailleen uuden service pack tason
päivityksen jälkeen 6 kuukautta. Päivitysikkuna riittää pieniin
ympäristöihin tai automaatiovälineiden kanssa.
● Ylläpitopalvelua tarjotaan vain ajan tasalla oleville palvelimille.
11. Unpublished Work of SUSE LLC. All Rights Reserved.
This work is an unpublished work and contains confidential, proprietary and trade secret information of SUSE LLC.
Access to this work is restricted to SUSE employees who have a need to know to perform tasks within the scope of
their assignments. No part of this work may be practiced, performed, copied, distributed, revised, modified, translated,
abridged, condensed, expanded, collected, or adapted without the prior written consent of SUSE.
Any use or exploitation of this work without authorization could subject the perpetrator to criminal and civil liability.
General Disclaimer
This document is not to be construed as a promise by any participating company to develop, deliver, or market a
product. It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making
purchasing decisions. SUSE makes no representations or warranties with respect to the contents of this document,
and specifically disclaims any express or implied warranties of merchantability or fitness for any particular purpose. The
development, release, and timing of features or functionality described for SUSE products remains at the sole
discretion of SUSE. Further, SUSE reserves the right to revise this document and to make changes to its content, at
any time, without obligation to notify any person or entity of such revisions or changes. All SUSE marks referenced in
this presentation are trademarks or registered trademarks of Novell, Inc. in the United States and other countries. All
third-party trademarks are the property of their respective owners.