  Sigurnost Linuxa KAKO
  Kevin Fenzi, kevin@scrye.com i Dave Wreski, dave@nic.com
  verzija 0.9.11, 1. svibnja 1998.

  Ovaj je dokument openit pregled sigurnosnih problema s kojima je
  suoen administrator Linux sustava. Pokriva openitu filozofiju
  sigurnosti i vie specifinih primjera boljeg osiguravanja vaeg Linux
  sustava od uljeza.  Spominju se i drugi izvori informacija i programa
  o sigurnosti.  NAPOMENA: ovo je beta verzija ovog dokumenta.
  Poboljanja, konstruktivne kritike, dodatke i ispravke zahvalno
  prihvaamo. Poaljite svoje poruke i jednom i drugom autoru. Nemojte
  zaboraviti "Linux", "security" ili "HOWTO" u Subject: liniji svoje
  poruke kako bi izbjegli spam filtere i brzo dobili panju autora.

  ______________________________________________________________________

  Sadraj


  1. Uvod

     1.1 Nove verzije ovog dokumenta
     1.2 Komentari
     1.3 Odricanje
     1.4 Informacije o autorskim pravima

  2. Pregled

     2.1 to e nam sigurnost?
     2.2 Koliko je sigurno sigurno?
     2.3 to pokuavate zatititi?
     2.4 Razvijanje sigurnosne politike
     2.5 Naini osiguravanja vaeg sustava
        2.5.1 Sigurnost raunala
        2.5.2 Sigurnost vae mree
        2.5.3 Sigurnost pomou opskurnosti
     2.6 Organizacija ovog dokumenta

  3. Fizika sigurnost

     3.1 Raunalne brave
     3.2 BIOS sigurnost
     3.3 Sigurnost programa za dizanje
     3.4 xlock i vlock
     3.5 Otkrivanje fizikih provala

  4. Lokalna sigurnost

     4.1 Stvaranje novih rauna
     4.2 Sigurnost roota

  5. Sigurnost datoteka i datotenog sustava

     5.1 Postavljanje umaska
     5.2 Dozvole datoteka
     5.3 Provjera cjelovitosti pomou Tripwirea
     5.4 Trojanski konji

  6. Sigurnost lozinki i enkripcija

     6.1 PGP i kriptografija javnih kljueva
     6.2 SSL, S-HTTP, HTTPS i S/MIME
     6.3 Linux x-kernel -- implementacija IPSEC-a
     6.4 SSH, stelnet
     6.5 PAM - Pluggable Authentication Modules
     6.6 Kriptografska IP enkapsulacija (CIPE)
     6.7 Kerberos
     6.8 Shadow lozinke
     6.9 Crack i John the Ripper
     6.10 CFS i TCFS
     6.11 X11, SVGA i sigurnost prikaza
        6.11.1 X11
        6.11.2 SVGA
        6.11.3 GGI

  7. Sigurnost kernela

     7.1 Opcije pri kompajliranju kernela
     7.2 Kernel ureaji

  8. Sigurnost mree

     8.1 Sniferi paketa
     8.2 Usluge sustava i tcp_wrapperi
     8.3 Provjerite svoje DNS-ove
     8.4 identd
     8.5 SATAN, ISS i drugi mreni skeneri
     8.6 sendmail, qmail i MTA-ovi
     8.7 Denial of Service (poricanje usluga) napadi
     8.8 Sigurnost NFS-a
     8.9 NIS (bivi YP)
     8.10 Firewallovi

  9. Sigurnosne pripreme (prije nego se ukljuite u mreu)

     9.1 Napravite potpun backup svoga stroja
     9.2 Izbor dobrog rasporeda backupa
     9.3 Backupirajte svoju RPM ili Debian bazu podataka datoteka
     9.4 Praenje logova vaeg sustava
     9.5 Primjenite sve nove nadogradnje sustava

  10. to uiniti tokom i nakon provale

     10.1 Naruavanje sigurnosti upravo se odvija
     10.2 Naruavanje sigurnosti ve se dogodilo
        10.2.1 Zatvaranje rupe
        10.2.2 Procjenjivanje tete
        10.2.3 Backup, backup, backup!
        10.2.4 Pronalaenje uljeza

  11. Izvori informacija o sigurnosti

     11.1 FTP posluitelji
     11.2 WWW stranice
     11.3 Mailing liste
     11.4 Knjige -- tiskani materijali za itanje

  12. Rjenik

  13. esto postavljana pitanja

  14. Zakljuak

  15. Zahvale

  16. Hrvatski prijevod

  ______________________________________________________________________




  11..  UUvvoodd


  Ovaj dokument pokriva neke od glavnih problema sigurnosti koji utjeu
  na sigurnost Linuxa. Govori se o opoj filozofiji i resursima na
  mrei.

  S problemima sigurnosti preklapa se vie drugih KAKO dokumenata i,
  gdje je prikladno, na njih ste upueni.

  Ovaj dokument NIJE svje popis sigurnosnih rupa. Puno novih stalno se
  pojavljuje. Ovaj e vam dokument rei gdje da potraite svjee
  informacije i izloiti neke openite metode spreavanja takvih rupa.


  11..11..  NNoovvee vveerrzziijjee oovvoogg ddookkuummeennttaa


  Nove verzije ovog dokumenta redovito se alju u comp.os.linux.answers.
  Takoer se dodaju raznim anonimnim FTP serverima koji takve
  informacije arhiviraju, ukljuujui
  <ftp://sunsite.unc.edu/pub/Linux/docs/HOWTO/>.

  Ovaj bi dokument trebali moi nai i na Linux WWW stranici na
  <http://sunstie.unc.edu/mdw/linux.html>.

  Na kraju, najsvjeije verzije ovog dokumenta trebale bi biti dostupne
  u raznim formatima s  <http://scrye.com/~kevin/lsh/>.


  11..22..  KKoommeennttaarrii


  Sve komentare, greke, dodatne informacije i kritike svih vrsta
  aljite na kevin@scrye.com i dave@nic.com.

  NAPOMENA: molimo vas, poruku poaljite obojici. Provjerite da li je u
  Subject:-u poruke "Linux", "security" ili "HOWTO" da izbjegnete
  Kevinov spam filter.


  11..33..  OOddrriiccaannjjee


  Za sadraj ovih dokumenata ne prihvaamo nikakvu odgovornost. Ideje,
  primjere i drugi sadraj koristite na svoju odgovornost. Takoer, ovo
  je nedovrena verzija, s mnogim moguim netonostima i grekama.

  Dosta primjera i opisa koriste Red Hat(TM)-ov sustav pakiranja i
  izgled sustava. Va ne mora biti jednak.

  Opisani su samo programi koji se pod odreenim uvjetima mogu koristiti
  ili iskuati za osobne svrhe. Veina programa dostupna je u
  potpunosti, s izvornim kodom, pod GNU-olikim uvjetima.


  11..44..  IInnffoorrmmaacciijjee oo aauuttoorrsskkiimm pprraavviimmaa


  Ovaj dokument je (C) 1998. Kevin Fenzi i Dave Wreski, a distribuira se
  pod slijedeim uvjetima:

    KAKO dokumente moe se reproducirati i distribuirati u cjelosti ili
     djelomino, na mediju fizikom ili elektronikom, dok je ova
     obavijest na svim primjercima. Komercijalna distribucija doputena
     je i ohrabrena; meutim, autor bi o takvom distribuiranju elio
     biti obavijeten.

    Svi prijevodi, izvedeni ili saeti radovi koji ukljuuju Linux KAKO
     dokumente moraju biti pod ovom licencom. Dakle, ne smijete
     napraviti rad izveden iz KAKO-a i nametati dodatna ogranienja na
     njegovu distribuciju.  Iznimke ovim pravilima mogue su pod
     odreenim uvjetima; kontaktirajte Linux KAKO koordinatora na dolje
     danoj adresi.

    Ako imate pitanja, kontaktirajte Tima Bynuma, Linux KAKO
     koordinatora, na linux-howto@sunsite.unc.edu.


  22..  PPrreegglleedd


  Ovaj dokument pokuava objasniti neke postupke i esto koritene
  programe koji va Linux ine sigurnijim. Vano je da prvo razjasnimo
  neke osnovne stvari, da steknete temeljna znanja iz sigurnosti prije
  nego ponemo.


  22..11..  ttoo ee nnaamm ssiigguurrnnoosstt??


  U promijenjivom svijetu globalnih podatkovnih komunikacija, jeftinih
  veza na Internet i vrlo brzog razvoja softvera, sigurnost postaje sve
  vanija.  Sigurnost je sada osnovna potreba jer je globalno
  raunalstvo po prirodi nesigurno. Na primjer, dok vai podaci idu iz
  toke A u toku B na Internetu, moda e usput proi kroz nekoliko
  drugih toaka, dajui drugim korisnicima priliku da presreu, i ak
  mijenjaju, vae podatke. ak i drugi korisnici na vaem sustavu mogu
  zloudno pretvarati vae podatke u neto neeljeno. Neodobreni pristup
  vaem sustavu mogu dobiti uljezi, takozvani ccrraacckkeerrii, koji zatim
  koriste svoje napredne vjetine u imitiranju vas, u krai podataka od
  vas, ili ak onemoguavanju pristupa vaim vlastitim resursima. Ako se
  jo uvijek pitate koja je razlika izmeu hhaacckkeerraa i crackera,
  proitajte HHooww ttoo BBeeccoommee AA HHaacckkeerr (kako postati haker) Erica S.
  Raymonda na  <http://sagan.earthspace.net/~esr/faqs/hacker-
  howto.html>.


  22..22..  KKoolliikkoo jjee ssiigguurrnnoo ssiigguurrnnoo??


  Najprije, imajte na umu da nijedan raunalni sustav nikad ne moe biti
  "potpuno siguran". Sve to moete je oteati kompromitiranje vaeg
  sustava.  Za prosjenog kunog korisnika Linuxa, ne treba puno da
  obini kreker ostane na lancu. Za velike Linux korisnike (banke,
  telekomunikacijske tvrtke, itd.)  potrebno je mnogo vie posla.

  Drugi faktor kojeg treba uzeti u obzir je da, to je va sustav
  sigurniji, sigurnost vam sve vie smeta. U tom balansiranju trebate
  nai toku gdje je va sustav mogue koristiti, ali je jo siguran za
  vae potrebe. Na primjer, mogli biste od svih koji se na va sustav
  spajaju telefonskom vezom traiti da va sustav nazove njih na njihov
  kuni broj. To jest sigurnije, ali ako netko nije kod kue, teko e
  se logirati. Takoer biste mogli svoj Linux sustav ostaviti bez mree
  ili veze na Internet, ali to vrlo oteava surfanje WWW-om.

  Ako ste sustav vee ili srednje veliine, trebali bi razviti
  "Sigurnosnu politiku" o tome koliko sigurnosti va sustav zahtijeva i
  kojim se postupkom ona provjerava. Dobro poznati primjer sigurnosne
  politike moete nai na <http://ds.internic.net/rfc/rfc2196.txt>.
  Nedavno je osvjeen i sadri izvrsnu podlogu za sigurnosnu politiku
  vae tvrtke.
  22..33..  ttoo ppookkuuaavvaattee zzaattiittiittii??


  Prije nego pokuate osigurati svoj sustav, trebate odluiti kolika je
  prijetnja protiv koje se morate zatititi, koje rizike biste ili ne
  biste trebali podnijeti i koliko e na kraju va sustav biti ranjiv.
  Prouite svoj sustav i saznajte to i zato titite, koliko je to
  vrijedno i tko je odgovoran za vae podatke i drugo vlasnitvo.


    Rizik je mogunost da uljez uspije u pokuaju pristupa vaem
     raunalu. Moe li uljez itati, pisati datoteke, ili izvravati
     programe koji bi vam mogli natetiti? Moe li vane podatke
     obrisati? Sprijeiti vas ili vau tvrku da obavite vane poslove?
     Ne zaboravite, netko s pristupom vaem raunu ili sustavu takoer
     se moe predstavljati kao vi.  Zatim, jedan nesiguran raun na
     vaem sustavu moe dovesti do kompromitiranja cijele vae mree.
     Jedan korisnik kojem je doputeno logiranje preko rhosts datoteke,
     ili nesigurna usluga, kao to je tftp, rizik je koji uljezu
     omoguava da "proe kroz vrata". Kada uljez jednom dobije
     korisniki raun na vaem sustavu ili sustavu nekog drugog, moe ga
     koristiti za dobivanje pristupa drugom sustavu, ili drugom raunu.

    Obino vam prijeti netko tko eli neodobren pristup vaoj mrei ili
     raunalu. Odluite kome vjerujete dovoljno da ima pristup vaem
     raunalu, i koju bi on prijetnju mogao predstavljati.  Evo nekoliko
     vrsta uljeza. Korisno je misliti na razliite osobine dok
     osiguravate svoje sustave.

     ZZnnaattiieelljjnnii
        Ovu vrstu uljeza zapravo zanima koju vrstu sustava i podataka
        imate.


     ZZlloouuddnnii
        Ova vrsta uljeza eli ili sruiti vae sustave, ili unakaziti
        vau WWW stranicu, ili vam drukije oduzeti vrijeme i novac za
        oporavak.


     UUlljjeezz kkoojjii ssee hhooee iissttaaii
        Ova vrsta uljeza pokuava preko vaeg sustava doi do
        popularnosti ili slave. Moe va vaan sustav koristiti za
        razglaavanje svoje sposobnosti.


     KKoonnkkuurreenncciijjaa
        Ove uljeze zanima koje podatke imate na sustavu. Moda misle da
        imate neto to bi im dobro dolo financijski ili drugaije.

    Ranjivost opisuje koliko je dobro vae raunalo zatieno od drugih
     mrea i mogunost neodobrenog pristupa.  to je na kocki ako netko
     provali u va sustav? Naravno da brige kunog korisnika dinamikog
     PPP-a nisu jednake brigama tvrtke koja svoje raunalo spaja na
     Internet ili drugu veu mreu.  Koliko bi vam vremena trebalo da
     ponovo nabavite/napravite izgubljene podatke? Vrijeme uloeno sada
     moe spasiti deset puta vie vremena poslije ako budete morali
     ponovno stvoriti podatke koje izgubite. Jeste li u zadnje vrijeme
     provjerili svoju strategiju backupa i svoje podatke?


  22..44..  RRaazzvviijjaannjjee ssiigguurrnnoossnnee ppoolliittiikkee


  Napravite jednostavnu, openitu politiku za svoj sustav, koju vai
  korisnici mogu lako razumjeti i potovati. Ona treba zatititi podatke
  koje uvate, kao i privatnost korisnika. Neke stvari koje biste mogli
  dodati je tko ima pristup sustavu (moe li moj prijatelj koristiti moj
  raun?), kome je dozvoljeno da na sustav instalira softver, tko
  posjeduje koje podatke, oporavljanje od katastrofe i prikladno
  koritenje sustava.

  Ope prihvaena sigurnosna politika poinje frazom:

       to nije dozvoljeno zabranjeno je.


  To znai da ako korisniku ne date pristup usluzi, on je ne smije
  koristiti dok pristup ne dobije. Provjerite da li to funkcionira na
  vaem obinom korisnikom raunu -- rei "ma ne mogu shvatiti ovaj
  problem s dozvolama, idem jednostavno biti root" moe dovesti do vrlo
  oitih sigurnosnih rupa, ak i dosad nepoznatih.


  22..55..  NNaaiinnii oossiigguurraavvaannjjaa vvaaeegg ssuussttaavvaa


  Ovaj dokument e govoriti o raznim sredstvima osiguravanja stvari za
  koje ste toliko radili: vae lokalno raunalo, podatke, korisnike,
  mreu, ak i va ugled. to e se dogoditi s vaim ugledom ako uljez
  obrie podatke nekog vaeg korisnika? Ili vam unakazi WWW stranice?
  Ili objavi poslovne planove vae tvrke za slijedei kvartal? Ako
  planirate mrenu instalaciju, mnogo faktora treba uzeti u obzir prije
  dodavanja ijednog raunala.

  ak i ako imate jednostavan PPP raun ili malen sustav, to ne znai da
  uljeze ne zanimate. Veliki, istaknuti sustavi nisu jedine mete --
  mnogi uljezi jednostavno ele iskoristiti to vie sustava bez obzira
  na njihovu veliinu. Takoer mogu koristiti sigurnosnu rupu u vaem
  sustavu za pristup drugim sustavima kojima ste spojeni.

  Uljezi imaju mnogo vremena i mogu izbjei pogaanje naina na koji ste
  osigurali sustav jednostavnim isprobavanjem svih mogunosti. Ima jo
  nekoliko razloga zbog kojih bi se uljez mogao zanimati za vae sustave
  o kojima emo govoriti poslije.


  22..55..11..  SSiigguurrnnoosstt rraauunnaallaa


  Moda se najvie brige za sigurnost troi na pojedina raunala. To
  obino znai provjeravanje sigurnosti vaeg sustava uz nadu da svi
  ostali na mrei rade isto. Odabir dobrih lozinki, osiguravanje usluga
  lokalne mree vaeg posluitelja, paljivo odravanje korisnikih
  rauna i nadogradnja programa s poznatim sigurnosnim rupama dio su
  odgovornosti lokalnog sigurnosnog administratora. Iako je to potpuno
  nuno, postaje teak zadatak ako vaa mrea raunala postane vea.


  22..55..22..  SSiigguurrnnoosstt vvaaee mmrreeee


  Sigurnost mree potrebna je koliko i sigurnost lokalnog raunala. Uz
  va sustav, ili distribuiranu raunalnu mreu, Internet, ili stotine,
  ako ne i tisue raunala na istoj mrei ne moete raunati na
  sigurnost svakog od njih. Provjeravanje dozvola samo provjerenim
  korisnicima za koritenje vaih mrenih resursa, graenje firewalla,
  koritenje jake enkripcije i provjere da nema izloenih ili nesigurnih
  raunala na vaoj mrei sve su dio dunosti mrenog sigurnosnog
  administratora.


  Ovaj e dokument govoriti o nekim tehnikama za osiguravanje vaeg
  sustava u nadi da vam pokae neke naine spreavanja pristupanja
  uljeza u ono to pokuavate zatititi.


  22..55..33..  SSiigguurrnnoosstt ppoommoouu ooppsskkuurrnnoossttii


  Jedna vrsta sigurnosti koju je potrebno raspraviti je "sigurnost preko
  opskurnosti". To se odnosi na stvari poput mijenjanja imena 'root' u
  'toor' kako bi se oteala provala u va sustav kao root -- osjeaj
  sigurnosti je laan i dovest e do vrlo neugodnih posljedica. Budite
  sigurni da e svaki napada na sustav brzo progledati kroz takve
  prazne sigurnosne mjere.  To to imate malen sustav ili niste
  istaknuti ne znai da se uljezi nee zanimati za ono to imate. U
  slijedeim dijelovima govorit emo o onome to titite.


  22..66..  OOrrggaanniizzaacciijjaa oovvoogg ddookkuummeennttaa


  Ovaj dokument podijeljen je na vie dijelova. Oni pokrivaju razne
  vrste sigurnosnih problema. Prvi, o fizikoj sigurnosti, govori o
  zatiti vaeg raunala od fizikog petljanja. Drugi opisuje kako
  zatititi va sustav od petljanja lokalnih korisnika. Trei, o
  datotekama i sigurnosti datotenog sustava, pokazuje kako namjestiti
  datotene sustave i dozvole na vaim datotekama. Slijedei, o
  sigurnosti preko lozinki i enkripcije, govori o koritenju enkripcije
  za bolju sigurnost vaeg raunala i mree. Sigurnost kernela govori o
  mogunostima kernela koje biste trebali koristiti ili biti svjesni za
  sigurniji stroj. Sigurnost mree opisuje kako bolje osigurati svoj
  Linux sustav od napada s mree. Sigurnosne pripreme govori o
  pripremanju vaeg/ih raunala prije nego to ih umreite. Slijedei
  dio govori to poduzeti kada otkrijete provalu sustava u toku ili koja
  se nedavno dogodila. Zatim su nabrojeni drugi izvori informacija o
  sigurnosti, a na kraju su neka pitanja i odgovori i nekoliko zavrnih
  rijei.

  Dvije vane stvari koje trebate shvatiti itajui ovaj dokument su:

    Budite svjesni svog sustava. Provjeravajte logove sustava kao to
     je /var/log/messages i pazite na svoj sustav, i

    Drugo, drite svoj sustav svjeim instaliranjem trenutnih verzija
     softvera i nadogradnjama zbog sigurnosnih opasnosti. To e va
     sustav uiniti znatno sigurnijim.


  33..  FFiizziikkaa ssiigguurrnnoosstt


  Prvi "sloj" sigurnosti kojeg trebate uzeti u obzir je fizika
  sigurnost vaih raunalnih sustava. Tko ima izravan fiziki pristup
  vaem raunalu? Da li bi trebao? Moete li zatititi svoje raunalo od
  njegova petljanja? Da li biste trebali?

  Koliko fizike sigurnosti trebate za svoj sustav jako ovisi o vaoj
  situaciji i/ili financijama.

  Ako ste kuni korisnik, vjerovatno vam je ne treba puno (iako ete
  moda htjeti zatititi svoje raunalo od djece ili neugodnih roaka).
  Ako ste u laboratoriju, treba vam poprilino vie, no korisnici na
  raunalima ipak moraju moi raditi. Mnogi od slijedeih dijelova bit
  e od pomoi. Ako ste u uredu, trebat e vam ili nee osiguravanje
  raunala dok ne radite ili dok ste na putu. U nekim tvrtkama
  ostavljanjem neosigurane konzole moete zaraditi otkaz.
  Oite metode fizike sigurnosti kao to su brave na vratima,
  kablovima, zakljuani kabineti i video kamere sve su dobra ideja, ali
  izvan dosega ovog dokumenta. :)


  33..11..  RRaauunnaallnnee bbrraavvee


  Mnoga moderna PC kuita imaju mogunost "zakljuavanja". To je obino
  brava na prednjem dijelu kuita u kojoj dobiveni klju moete
  okrenuti u zakljuani ili nezakljuani poloaj. Brave na kuitima
  mogu pomoi u spreavanju krae vaeg PC-a, ili otvaranja kuita i
  izravnog mijenjanja/krae vaeg hardvera. Nekad mogu sprijeiti i
  resetiranje vaeg raunala uz dizanje sustava s diskete ili drugog
  hardvera.

  Te brave rade razliite stvari, ovisno o podrci matine ploe i
  konstrukciji kuita. Na mnogim PC-ima napravljene su tako da kuite
  morate slomiti kako bi ga otvorili. Na drugima ne moete ukljuivati
  nove tipkovnice i mieve. Za vie informacija provjerite upute svoje
  matine ploe ili kuita. To ponekad moe biti vrlo korisna
  mogunost, iako su brave obino niske kvalitete i vrlo ih je lako
  otkljuati otpiraem.

  Neka kuita (najizraenije Sparcovi i Macovi) imaju kuku otraga tako
  da, ako provuete kabel, napada mora prerezati kabel ili slomiti
  kuite da bi ga otvorio. Stavljanje ifre ili brave moe biti dobra
  odbrana od krae stroja.


  33..22..  BBIIOOSS ssiigguurrnnoosstt


  BIOS je najnia razina softvera koja konfigurira ili radi s vaim x86
  baziranim hardverom. LILO i druge metode dizanja Linuxa pristupaju
  BIOS-u kako bi odluile kako dignuti vae Linux raunalo. Druge
  platforme na kojem Linux radi imaju slian softver (OpenFirmware na
  Macovima i novijim Sunovima, Sun boot prom, itd.). Preko BIOS-a moete
  sprijeiti napadaa u resetiranju vaeg raunala i mijenjanju vaeg
  Linux sustava.

  Pod Linuxom/x86 mnogi PC BIOS-i daju vam mogunost lozinke pri dizanju
  sustava. To ne znai ba puno sigurnosti (BIOS se moe resetirati, ili
  maknuti ako netko moe do unutranjosti kuita), ali moe posluiti
  kao dobra obrana (to jest, potrajat e i ostaviti tragove petljanja).

  Mnogi x86 BIOS-i omoguavaju i odreivanje raznih drugih dobrih
  sigurnosnih mjera. Provjerite prirunik svog BIOS-a ili ga razgledajte
  prilikom slijedeeg dizanja. Neki primjeri: iskljuivanje dizanja s
  disketa i lozinke za pristup nekim opcijama BIOS-a.

  Na Linux/Sparc-u va SPARC EEPROM moe se namjestiti da zahtijeva
  lozinku pri dizanju. To e moda usporiti napadaa.

  NAPOMENA: Ako imate posluitelj i stavite lozinku pri dizanju, va se
  stroj nee dizati samostalno. Nemojte zaboraviti da ete morati doi i
  dati lozinku ak i kod nestanka struje. ;(


  33..33..  SSiigguurrnnoosstt pprrooggrraammaa zzaa ddiizzaannjjee


  Razni programi za dizanje Linuxa takoer mogu imati lozinku. Ako
  koristite LILO, pogledajte opcije rreessttrriicctteedd i ppaasssswwoorrdd. ppaasssswwoorrdd vam
  trai lozinku pri dizanju. rreessttrriicctteedd e dopustiti dizanje sustava
  _o_s_i_m ako netko odredi opcije na LILO: promptu (kao to je ssiinnggllee).
  Naravno, pri postavljanju svih tih lozinki trebat ete ih i popamtiti.
  :) Takoer nemojte zaboraviti da e one samo usporiti odlunog
  napadaa. To nee sprijeiti da netko digne sustav s diskete i montira
  vau root particiju. Ako koristite sigurnost uz svoj program za
  dizanje sustava, moete odmah i u BIOS-u svog raunala iskljuiti
  dizanje s diskete, kao i zatiti ga lozinkom.

  Ako netko ima informacije o sigurnosti drugih programa za dizanje,
  rado bismo ih uli (grub, silo, milo, linload, itd.).

  NAPOMENA: Ako imate posluitelj i stavite lozinku pri dizanju, va se
  stroj nee dizati samostalno. Nemojte zaboraviti da ete morati doi i
  dati lozinku ak i kod nestanka struje. ;(


  33..44..  xxlloocckk ii vvlloocckk


  Ako s vremena na vrijeme odlutate od svog stroja, lijepo je moi
  "zakljuati" svoju konzolu da nitko ne petlja po njoj ili gleda to
  ste radili. Ovo mogu dva programa: xlock i vlock.

  xlock zakljuava X prikaz. Trebao bi doi sa svakom Linux
  distribucijom koja podrava X. Za vie opcija provjerite njegovu man
  stranicu, ali openito moete pokrenuti xlock iz bilo kojeg xterma na
  svojoj konzoli i on e zakljuati prikaz i traiti lozinku za
  otkljuavanje.

  vlock je jednostavan mali program kojim zakljuavate neke ili sve
  virtualne konzole na svojem Linux stroju. Moete zakljuati samo onu u
  kojoj radite ili sve. Ako zakljuate samo jednu, drugi mogu doi i
  koristiti konzolu, ali ne i va vty dok ga ne otkljuate. vlock dolazi
  s Red Hat Linuxom, ali to ne mora vrijediti za vau distribuciju.

  Naravno da e zakljuavanje konzole sprijeiti petljanje drugih u va
  posao, ali ne sprijeava resetiranje stroja ili prekid vaeg posla na
  neki drugi nain. Takoer ne sprijeava pristup vaem raunalu s
  drugog raunala na mrei i uzrokovanje problema.


  33..55..  OOttkkrriivvaannjjee ffiizziikkiihh pprroovvaallaa


  Prva stvar na koju uvijek treba paziti je kad se va stroj dignuo.
  Poto je Linux robustan i stabilan OS, stroj bi se trebao ponovo
  dizati kada ga VI spustite za nadogradnje OS-a, izmjenu hardvera ili
  neto slino. Ako se stroj dignuo bez vaeg sudjelovanja, trebalo bi
  se upaliti svjetlo za uzbunu. Mnogi naini kompromitiranja vaeg
  raunala zahtijevaju da ga uljez resetira.

  Provjerite znakove petljanja na kuitu i podruju raunala. Iako
  mnogi uljezi iz logova iste tragove svoga prisustva, dobra je ideja
  provjeriti ih i potraiti bilo kakve nejasnosti.

  Neke stvari koje trebate provjeriti u logovima:

    Kratki ili nepotpuni logovi.

    Logovi s udnim oznakama vremena.

    Logovi s netonim dozvolama ili vlasnitvom.

    Znakovi ponovnog dizanja sustava ili ukljuivanja usluga.

    Nedostajui logovi.

    su zapisi ili logini iz udnih mjesta.

  O podacima iz logova sustava govorit emo kasnije.


  44..  LLookkaallnnaa ssiigguurrnnoosstt


  Slijedea stvar koju trebate pogledati je osigurnost vaeg sustava
  protiv napada lokalnih korisnika. Jesmo li mi to rekli _l_o_k_a_l_n_i_h
  korisnika? Da.

  Dobivanje pristupa lokalnom korisniku jedna je od prvih stvari koju
  uljezi u sustav pokuaju na svom putu do rootovog rauna. Uz
  nedostatke lokalne sigurnosti, zatim mogu "nadograditi" svoj obini
  korisniki pristup do administratora kroz razne bagove i jadno
  namjetene lokalne usluge. Ako svoju lokalnu sigurnost uinite dobrom,
  uljez e naii na jo jednu prepreku.

  Lokalni korisnici mogu uzrokovati dosta tete na vaem sustavu ak i
  (posebno) ako su stvarno oni za koje se predstavljaju. Davanje rauna
  ljudima koje ne poznajete ili za koje nemate kontaktnih informacija
  vrlo je loa ideja.


  44..11..  SSttvvaarraannjjee nnoovviihh rraauunnaa


  Korisnike raune trebali biste davati zadovoljavajui samo minimalne
  potrebe zadatka koji obavljaju. Ako svom desetgodinjem sinu date
  raun, moda ete htjeti da on ima pristup samo word procesoru ili
  programu za crtanje i ne moe brisati tue podatke.

  Nekoliko dobrih pravila procjenjivanja kod doputanja pristupa drugih
  ljudi vaem Linux stroju:

    Dajte im minimalne privilegije koje su im potrebne.

    Budite svjesni kada/od kamo se logiraju, ili bi se trebali
     logirati.

    Budite sigurni i zbriite njihov raun kada im vie nije potreban.

  Mnogi rauni lokalnih korisnika koji se koriste u provalama sigurnosti
  nisu koriteni mjesecima ili godinama. Poto ih nitko ne koristi,
  idealno su sredstvo napada.


  44..22..  SSiigguurrnnoosstt rroooottaa


  Najtraeniji raun na vaem raunalu je raun administratora. On ima
  vlast nad cijelim strojem, a moda i nad drugim strojevima na mrei.
  Sjetite se da bi rootov raun trebali koristiti samo za vrlo kratke,
  odreene zadatke, a uglavnom biti obini korisnik. Biti root cijelo
  vrijeme vrlo vrlo vrlo je loa ideja.

  Nekoliko trikova da ne zabrljate svoj vlastiti stroj dok ste root:

    Kada pokreete neku sloenu naredbu, prvo je pokuajte pokrenuti u
     ne-destruktivnom nainu... Posebno naredbe koje koriste
     nadopunjavanje: tj., ako hoete pokrenuti rm foo*.bak, umjesto toga
     prvo napiite ls foo*.bak i provjerite da li ete obrisati
     neeljene datoteke. Koritenje naredbe echo umjesto destruktivnih
     naredbi takoer ponekad pomae.

    Neki ljudi misle da tu pomae touch /-i. Tako e vas naredbe poput
     rm -rf * pitati da li stvarno elite obrisati sve te datoteke.
     (Zato to vaa ljuska prvo nadopuni datoteku -i koju rm tretira kao
     opciju.)  To nee pomoi kod rm naredbi bez *. ;(

    Postanite root samo za pojedine posebne zadatke. Ako ne znate kako
     neto napraviti, vratite se u ljusku obinog korisnika dok niste
     _s_i_g_u_r_n_i to root treba obaviti.

    Staza je vrlo vana za root korisnika. Naredbena staza, odnosno
     PATH varijabla okruja, odreuje mjesta na kojima ljuska trai
     prorgame.  Pokuajte ograniiti stazu za root korisnika to je vie
     mogue i nikad nemojte koristiti ., odnosno "trenutni direktorij",
     u svojem PATH-u.  Takoer nemojte u PATH-u imati direktorije u koje
     se moe pisati jer to omoguava napadaima mijenjanje ili
     smjetanje novih izvrnih datoteka u vau naredbenu stazu tako da
     postanu root slijedei put kada vi pokrenete tu naredbu.

    Nikad nemojte koristiti rlogin/rsh/rexec (takozvane rr--uuttiilliittiieess)
     alate kao root. Oni su podloni mnogim napadima i vrlo opasni kada
     ih pokree root. Nikad ne stvarajte .rhosts datoteku za roota.

    Datoteka /etc/securetty sadri popis terminala s kojih se root moe
     logirati. Tu su predefinirane (na Red Hat Linuxu) samo virtualne
     konzole (vty-i). Budite vrlo paljivi kod dodavanja bilo ega
     drugog ovoj datoteci. Trebali biste moi logirati se s daljine kao
     obini korisnik, a zatim, ako trebate, su (po mogunosti preko ssh-
     a ili drugog enkriptiranog kanala), tako da nema potrebe za
     mogunou izravnog logiranja kao root.

    Uvijek budite spori i odluni dok ste root. Vai postupci mogu
     utjecati na mnogo stvari. Razmislite prije tipkanja!

    Ako svakako morate dopustiti nekome (po mogunosti vrlo
     provjerenom) nadkorisniki pristup na vaem raunalu, ima nekoliko
     alata koji vam mogu pomoi. sudo omoguava korisnicima da koriste
     svoju lozinku za pristup ogranienom skupu naredbi kao root. Na
     primjer, to omoguava korisniku da izbacuje i montira pokretljive
     medije na vaem Linux stroju, ali nema drugih root privilegija.
     sudo ima i logove svih uspjenih i neuspjenih pokuaja pokretanja
     tako da moete otkriti tko je za to koristio koju naredbu. Zato
     sudo dobro radi ak i na mjestima gdje vie ljudi ima pristup rootu
     tako da se mogu vidjeti poinjene promjene.  Iako se sudo moe
     koristiti za davanje odreenih privilegija odreenom korisniku za
     odreene zadatke, ima nekoliko nedostataka. Trebalo bi ga koristiti
     samo za ogranien skup zadataka, kao to ponovno pokretanje servera
     ili dodavanje novih korisnika. Svaki program koji nudi izlaz u
     ljusku dat e korisniku pristup rootu. Na primjer, to vrijedi za
     veinu editora. Takoer, nevin program poput /bin/cat moe se
     koristiti za prepisivanje datoteka tako da se pristup rootu moe
     zloudno iskoritavati. sudo smatrajte sredstvom za voenje rauna
     i ne oekujte da zamijeni roota i uz to bude siguran.


  55..  SSiigguurrnnoosstt ddaattootteekkaa ii ddaattootteennoogg ssuussttaavvaa


  Nekoliko minuta pripreme i planiranja prije ukljuivanja u mreu moe
  pomoi u zatiti sustava i podataka koji su na njima pohranjeni.


    Ne bi trebalo biti razloga za doputanje pokretanja SUID/SGID
     programa iz korisnikih home direktorija. Za particije na koje mogu
     pisati drugi osim roota koristite nosuid opciju u /etc/fstab.
     Moda ete iskoristiti i nodev i noexec na korisnikim home
     particijama, kao i na /var, koje zabranjuju izvravanje programa i
     stvaranje znakovnih ili blok ureaja, koji ionako ne bi trebali
     biti potrebni.

    Ako izvozite datotene sustave preko NFS-a, konfigurirajte
     /etc/exports sa to je vie mogue restriktivnim pristupom. To
     znai nekoritenje metaznakova, nedoputanje pisanja na / i
     montiranje samo-za-itanje kad god je mogue.

    Konfigurirajte korisniki umask za stvaranje datoteka to
     restriktivnije.  Uobiajene su vrijednosti 022, 033, te
     najogranienija 077, a dodaju se u /etc/profile.

    Umjesto predefiniranog unlimited stavite granice na zauzee
     datotenog sustava. Ogranienja po korisniku moete mijenjati
     koritenjem resource-limits PAM modula i /etc/pam.d/limits.conf. Na
     primjer, ogranienja za grupu korisnici mogla bi izgledati ovako:

     @korisnici     hard  core    0
     @korisnici     hard  nproc   50
     @korisnici     hard  rss     5000


     Ovo zabranjuje stvaranje core datoteka, ograniava broj procesa na
     50 i koritenje memorije na 5 MB po korisniku.

    Datoteke /var/log/wtmp i /var/run/utmp sadre zapise o logiranju
     svih korisnika sustava. Cjelovitost ove datoteke mora se odrati
     jer se ona preko nje moete saznati kada i od kamo je korisnik (ili
     mogui uljez) uao na va sustav. Ove datoteke takoer bi trebale
     imati dozvole 644, bez utjecaja na normalan rad sustava.

    immutable bit moe se koristiti za spreavanje sluajnog brisanja
     ili prepisivanja datoteke koja mora biti zatiena. Takoer
     spreava simboliko vezanje na tu datoteku, to su koristili napadi
     brisanja /etc/passwd i /etc/shadow. Za vie informacija o immutable
     bitu pogledajte man stranicu chattr(1).

    SUID i SGID datoteke na vaem sustavu mogu su sigurnosni rizik i
     paljivo ih treba pratiti. Zbog toga to ti programi daju posebne
     privilegije korisniku koji ih je pokrenuo, potrebno je osigurati da
     se nesigurni programi ne instaliraju. Omiljeni krekerski trik je
     iskoristiti SUID root programe, a zatim ostaviti SUID program kao
     stranji ulaz za slijedei put, ak i ako je izvorna rupa
     zaepljena.  Naite sve SUID/SGID programe na svom sustavu i
     pratite njihovo stanje, tako da ste svjesni bilo kakvih promjena
     koje bi mogle znaiti mogueg uljeza.  Koristite slijedeu naredbu
     za traenje svih SUID/SGID programa na sustavu:

     root# find / -type f \( -perm -04000 -o -perm -02000 \)


     Slobodno pomou chmod(1) maknite SUID ili SGID dozvole na sumnjivom
     programu, a zatim ih vratite ako ba bude potrebno.

    Datoteke u koje svi mogu pisati, pogotovo datoteke sustava, mogu
     biti sigurnosna rupa ako kreker pristupi vaem sustavu i izmijeni
     ih. Takoer, direktoriji u koje svi mogu pisati opasni su jer
     omoguuju krekeru da po elji dodaje ili brie datoteke. Za
     lociranje svih datoteka u koje svi mogu pisati koristite ovu
     naredbu:

     root# find / -perm -2 -print


     i provjerite zato svi mogu pisati u njih. Tokom normalnog rada bit
     e nekoliko takvih datoteka, ukljuujui neke iz /dev i simbolike
     veze.

    Datoteke bez vlasnika takoer mogu pokazati da je uljez pristupio
     vaem sustavu. Datoteke koje nemaju vlasnika ili ne pripadaju grupi
     moete nai naredbom:

     root# find / -nouser -o -nogroup -print



    Traenje .rhosts datoteka takoer bi trebalo biti dio vaih
     uobiajenih dunosti administratora jer one ne bi smjele biti
     doputene na vaem sustavu. Zapamtite, kreker treba samo jedan
     nesiguran raun da moda dobije pristup vaoj cijeloj mrei. Sve
     .rhosts datoteke na sustavu moete nai ovom naredbom:

     root# find /home -name .rhosts -print



    Na kraju, prije mijenjanja dozvola na bilo kojoj datoteci sustava,
     budite sigurni da znate to radite. Nikad ne mijenjajte dozvole
     datoteci jer to izgleda kao lak nain za rjeavanje problema.
     Uvijek odluite zato datoteka ima takve dozvole prije nego to ih
     promijenite.


  55..11..  PPoossttaavvlljjaannjjee uummaasskkaa


  Naredba umask moe se koristiti za mijenjanje predefiniranih dozvola
  stvorenih datoteka. To je oktalni komplement eljenog moda datoteke.
  Ako se datoteke stvaraju bez ikakve brige o njihovim dozvolama,
  korisnik bi mogao nenamjerno dati dozvole za itanje ili pisanje
  nekome tko ih ne bi trebao imati. Tipini umaskovi su 022, 027 i 077
  koji je najrestriktivniji. Obino se umask postavlja u /etc/profile
  tako da vrijedi za sve korisnike sustava. Na primjer, moda imate red
  koji izgleda ovako:

  # Postavlja predefinirani umask korisnika
  umask 033



  Provjerite da li je umask roota 077, to e iskljuiti dozvole za
  itanje, pisanje ili izvravanje drugim korisnicima, osim ako ih
  izriito ne promijenite preko chmod(1).

  Ako koristite Red Hat i njihov nain stvaranja ID-ova korisnika i
  grupa (UUsseerr PPrriivvaattee GGrroouuppss -- osobne grupe korisnika), za umask je
  dovoljno koristiti 002, zahvaljujui injenici da je svaki korisnik u
  svojoj grupi.


  55..22..  DDoozzvvoollee ddaattootteekkaa


  Vano je osigurati da vae datoteke sustava nisu otvorene editiranju
  korisnika i grupa koji takvu administraciju ne trebaju obavljati.

  UNIX razdvaja kontrolu pristupa datotekama i direktorijima po tri
  osobine: vlasnik, grupa i ostali. Vlasnik moe biti samo jedan, grupa
  moe imati bilo koliko lanova, te svi ostali.

  Brzo objanjenje UNIX dozvola:

     VVllaassnniittvvoo::
        Koji korisnik/ci i grupa/e ima/ju kontrolu nad postavljanjem
        dozvola za datoteku i njenog roditelja.


     DDoozzvvoollee::
        Bitovi sposobni za namjetanje ili resetiranje koji omoguuju
        odreene vrste pristupa. Dozvole za direktorije mogu imati
        drukije znaenje od jednakih dozvola datoteka.


     iittaannjjee::

       sposobnost pregledavanja sadraja datoteke

       sposobnost pregledavanja direktorija


     PPiissaannjjee::

       sposobnost dodavanja podataka ili mijenjanja datoteke

       sposobnost brisanja i micanja datoteka u direktoriju


     IIzzvvrraavvaannjjee::

       sposobnost pokretanja izvrne datoteke ili skripte ljuske

       sposobnost traenja u direktoriju, uz dozvolu za itanje


     SSaavvee TTeexxtt atribut: (za direktorije)
        Ljepljivi (ssttiicckkyy) bit kod direktorija takoer ima drukije
        znaenje.  Ako je postavljen na direktoriju, korisnik smije
        brisati samo datoteke koje posjeduje ili za koje ima izriitu
        dozvolu za pisanje, ak i kada ima dozvolu za pisanje u
        direktorij. Ovo je napravljeno za direktorije poput /tmp u koje
        svi mogu pisati, ali gdje nije poeljno da bilo koji korisnik po
        volji brie datoteke. Ljepljivi bit prikazuje se kao t u dugom
        ispisu direktorija.


     SSUUIIDD aattrriibbuutt:: ((zzaa ddaattootteekkee))
        Ovo opisuje sseett--uusseerr--iidd (postavi ID korisnika) dozvole datoteke.
        Kada je SUID mod pristupa ukljuen u dozvolama vlasnika i
        datoteka izvrna, procesi koji ju pokrenu dobivaju pristup
        resursima sustava koje ima vlasnik datoteke. To je uzrok mnogih
        buffer overflow rupa.


     SSGGIIDD aattrriibbuutt:: ((zzaa ddaattootteekkee))
        Ako je postavljen u dozvolama grupe, taj bit kontrolira sseett--
        ggrroouupp--iidd stanje datoteke. Ponaa se kao i SUID, osim to se
        odnosi na grupu. Da bi to imalo uinka datoteka takoer mora
        biti izvrna.


     SSGGIIDD aattrriibbuutt:: ((zzaa ddiirreekkttoorriijjee))
        Ako SGID bit ukljuite na direktoriju (preko chmod g+s
        direktorij), datoteke stvorene u tom direktoriju imat e grupu
        koju ima direktorij.


     VVii vlasnik datoteke

     GGrruuppaa
        grupa kojoj pripadate

     SSvvii
        svi na sustavu, osim vlasnika i lanova grupe

  Primjer na datoteci:

          -rw-r--r--  1 kevin  korisnici     114 Aug 28  1997 .zlogin
          1. bit - direktorij?               (ne)
           2. bit - itanje za vlasnika?      (da, za kevina)
            3. bit - pisanje za vlasnika?      (da, za kevina)
             4. bit - izvravanje za vlasnika?  (ne)
              5. bit - itanje za grupu?         (da, za korisnici)
               6. bit - pisanje za grupu?         (ne)
                7. bit - izvravanje za grupu?     (ne)
                 8. bit - itanje za sve?           (da, za sve)
                  9. bit - pisanje za sve?           (ne)
                   10. bit - izvravanje za sve?      (ne)



  Evo primjera minimalnih poloaja dozvola koji su potrebni za opisane
  radnje.  Moda ete htjeti dati vie dozvola, ali ovo pokazuje to
  znae te minimalne dozvole:

    -r--------   Vlasniku doputa itanje datoteke
    --w-------   Vlasniku doputa mijenjanje i brisanje datoteke
    ---x------   Vlasnik moe izvriti ovaj program, ali ne skriptu
                 ljuske, kojoj jo treba dozvola za itanje
    ---s------   Izvrit e se uz UID vlasnika
    -------s--   Izvrit e se uz GID vlasnika
    -rw------T   Ne osvjeava se "vrijeme zadnje promjene". Obino se
                 koristi za swap datoteke
    ---t------   Bez uinka (bivi ljepljivi bit).


  Primjer na direktoriju:

          drwxr-xr-x  1 kevin  korisnici     114 Aug 28  1997 .zlogin
          1. bit - direktorij?               (da, s puno datoteka)
           2. bit - itanje za vlasnika?      (da, za kevina)
            3. bit - pisanje za vlasnika?      (da, za kevina)
             4. bit - izvravanje za vlasnika?  (da, za kevina)
              5. bit - itanje za grupu?         (da, za korisnici)
               6. bit - pisanje za grupu?         (ne)
                7. bit - izvravanje za grupu?     (da, za korisnici)
                 8. bit - itanje za sve?           (da, za sve)
                  9. bit - pisanje za sve?           (ne)
                   10. bit - izvravanje za sve?      (ne, za sve)



  Evo primjera minimalnih poloaja dozvola koji su potrebni za opisane
  radnje.  Moda ete htjeti dati vie dozvola, ali ovo pokazuje to
  znae te minimalne dozvole:

    dr--------   Sadraj se moe pregledati, ali ne se atributi ne
                 mogu proitati
    d--x------   U direktorij se moe ui i koristiti u potpunim
                 stazama za izvravanje
    dr-x------   A sada atribute moe itati vlasnik
    d-wx------   Sad se datoteke mogu stvarati/brisati, ak i ako
                 direktorij nije trenutni
    d------x-t   Spreava brisanje datoteka od strane drugih korisnika

                 s mogunou pisanja. Koristi se za /tmp
    d---s--s--   Bez uinka


  Konfiguracijske datoteke sustava (obino u /etc obino imaju dozvole
  640 (-rw-r-----) i posjeduje ih root. Ovisno o sigurnosnim potrebama
  vaeg sustava to moete i promijeniti. Nikad ne ostavljajte dozvolu za
  pisanje grupe ili sviju na datoteci sustava. Neke konfiguracijske
  datoteke, kao to je /etc/shadow, trebao bi moi itati samo root, a
  direktoriji u /etc trebali bi biti barem nedostupni ostalima.


     SSUUIIDD sskkrriippttee lljjuusskkee
        SUID skripte ljuske ozbiljan su sigurnosni rizik i zato ih
        kernel nee kao takve izvravati. Ma koliko vi mislili da je ona
        sigurna, takvu skriptu mogu iskoristiti krekeri za dobivanje
        root pristupa.


  55..33..  PPrroovvjjeerraa ccjjeelloovviittoossttii ppoommoouu TTrriippwwiirreeaa


  Jo jedan dobar nain otkrivanja lokalnih (a i mrenih) napada na va
  stroj je provjera cjelovitosti, kao to je Tripwire. Tripwire
  izraunava niz checksumova za sve vae vane programe i
  konfiguracijske datoteke i usporeuje ih s podacima o prijanjim,
  dobro poznatim vrijednostima. Tako e se pokazati sve promjene
  datoteka.

  Dobra je ideja instalirati Tripwire na disketu i zatim je fiziki
  zatititi od pisanja. Na taj nain uljezi ne mogu petljati sa samim
  Tripwireom ili mijenjati podatke. Kad Tripwire jednom namjestite,
  dobro je pokretati ga kao dio vaih normalnih dunosti sigurnosnog
  administratora da vidite da li neto promijenjeno.

  ak moete dodati crontab zapis koji svake noi pokree Tripwire s
  diskete i alje vam rezultate. Neto kao:

  # postavljamo adresu
  MAILTO=kevin
  # pokreemo Tripwire
  15 05 * * * root /usr/local/adm/tcheck/tripwire


  poslat e vam izvjetaj svakog jutra u 5:15.

  Tripwire je dar s neba za otkrivanje uljeza prije nego to biste ih
  inae primjetili. Poto se na prosjenom sustavu mijenja mnogo
  datoteka, morate paljivo razlikovati aktivnost krekera i svoj
  vlastiti rad.


  55..44..  TTrroojjaannsskkii kkoonnjjii


  Trojanski konj dobio je ime po poznatoj prijevari iz Homerovog velikog
  knjievnog djela. Ideja je u tome da napravite program ili izvrnu
  datoteku koja izgleda sjajno i koju e drugi ljudi nabaviti i
  pokrenuti kao root. Zatim moete kompromitirati njihov sustav dok ne
  paze. Dok oni misle da program koji su upravo skinuli radi jedno (a to
  moe biti i istina), on takoer ponitava osiguranje.

  Pazite koje programe instalirate na svoje raunalo. Red Hat nudi MD5
  provjeru i PGP potpise, RPM datoteke tako da se moete uvjeriti da
  instalirate pravu stvar. Druge distribucije imaju sline metode. Nikad
  ne pokreite program za kojeg nemate izvornog koda ili dobro poznatu
  izvrnu datoteku kao root! Malo e napadaa izvorni kod izloiti oku
  javnosti.

  Iako to moe biti dosta sloeno, provjerite da li izvorni kod programa
  nabavljate s izvornog mjesta distribucije. Ako ete ga pokretati kao
  root, provjerite sami ili netko kome vjerujete izvorni kod.


  66..  SSiigguurrnnoosstt lloozziinnkkii ii eennkkrriippcciijjaa


  Jedna od najvanijih naina osiguranja koji se koriste u dananje
  vrijeme su lozinke. Vano je da vi i svi vai korisnici imate sigurne,
  nepogodive lozinke. Veina novijih Linux distribucija dolaze s
  programom passwd koji ne doputa lozinke koje je lako pogoditi.
  Provjerite da li je va passwd svje i da li ima takve mogunosti.

  Dublje ulaenje u temu enkripcije izvan je dosega ovog dokumenta, ali
  potreban je barem uvod. Enkripcija je vrlo korisna, moda ak i
  potrebna u ovakvom dobu. Postoji mnogo naina enkriptiranja podataka,
  svaki sa svojim osobinama.

  Veina Unixa (ni Linux nije iznimka) za enkriptiranje lozinki primarno
  koriste jednosmjerni algoritam enkriptiranja zvan DES (DData EEncryption
  SStandard -- standard enkripcije podataka). Takve enkriptirane lozinke
  pohranjuju se u (obino) /etc/passwd ili (neuobiajenije) /etc/shadow.
  Kada se pokuate logirati, to god upiete ponovo se enkriptira i
  usporeuje s zapisom u datoteci u kojoj su vae lozinke. Ako se slau,
  to mora biti ista lozinka i ulaz vam je doputen. Iako je DES
  dvosmjeran algoritam enkripcije (moete enkriptirati i dekriptirati
  poruku ako imate prave kljueve) varijanta koju veina Unixa koristi
  jednosmjerna je. Dakle, ne bi trebalo biti mogue obrnuti smjer
  enkripcije i dobiti lozinku iz sadraja /etc/passwd (odnosno
  /etc/shadow).

  Napadi grubom silom kao to je Crack ili John the Ripper (v. dolje)
  esto pogode lozinke ako one nisu dovoljno sluajne. PAM moduli (v.
  dolje) omoguavaju koritenje razliitog naina enkripcije lozinki
  (MD5 ili slino).

  O izabiranju dobre lozinke moete proitati na
  <http://consult.cern.ch/writeup/security/security_3.html>.


  66..11..  PPGGPP ii kkrriippttooggrraaffiijjaa jjaavvnniihh kklljjuueevvaa


  Kriptografija javnih kljueva, koju koristi i PGP, koristi jedan klju
  za enkripciju i jedan za dekripciju. Tradicionalno, kriptografija
  koristi za enkripciju isti klju kao i za dekripciju. Taj "osobni
  klju" mora biti poznat obje strane i na neki nain sigurno prenesen
  od jedne do druge.

  Kriptografija javnih kljueva ponitava potrebu sigurnog prenoenja
  kljua koji se koristi za enkripciju pomou koritenja dva odvojena
  kljua, javnog kljua i osobnog kljua. Javni klju svake osobe
  dostupan je svakome za enkripciju, no osobni klju ima samo ta osoba
  kako bi dekriptirala poruke ifrirane tonim javnim kljuem.

  I kriptografija javnih i kriptografija osobnih kljueva imaju svoje
  prednosti -- o tim razlikama govori se u RRSSAA CCrryyppttooggrraapphhyy FFAAQQ,
  navedenom na kraju ovog dijela.

  PGP (PPretty GGood PPrivacy -- prilino dobra privatnost) na Linuxu je
  dobro podran. Verzije 2.6.2 i 5.0 dobro funkcioniraju. Za dobar uvod
  u PGP i kako ga koristiti pogledajte PPGGPP FFAAQQ,
  <http://www.pgp.com/service/export/faq/55faq.cgi>. Pazite da uzmete
  verziju koja odgovara vaoj zemlji, jer se prema ogranienjima izvoza
  iz SAD-a jaka enkripcija smatra vojnim orujem i njeno prenoenje u
  elektronskom obliku izvan zemlje je zabranjeno.

  Tu je i vodi korak-po-korak u konfiguriranju PGP na Linuxu, koji se
  moe nai na
  <http://mercury.chem.pitt.edu/~angel/LinuxFocus/English/November1997/article7.html>.
  Napisan je za meunarodnu verziju PGP-a, ali lako se primjeni na
  verziju za SAD. Moda e vam trebati i zakrpa za neke od najnovijih
  Linux verzija koja se moe nai na
  <ftp://sunsite.unc.edu/pub/Linux/apps/crypto>.

  Vie informacija o kriptografiji moe se nai u RRSSAA CCrryyppttooggrraapphhyy FFAAQQ
  na <http://www.rsa.com/rsalabs/newfaq/>. Tu ete nai informacije o
  stvarima kao to je "Diffie-Hellman", "kriptografija javnih kljueva",
  "digitalne potvrde", itd.


  66..22..  SSSSLL,, SS--HHTTTTPP,, HHTTTTPPSS ii SS//MMIIMMEE


  Korisnike esto zanimaju razlike izmeu raznih sigurnosnih i
  enkripcijskih protokola, te njihovo koritenje. Iako ovo nije dokument
  o enkripciji, bilo bi dobro da razjasnimo to je to i gdje nai vie
  informacija.


     SSSSLL::
        (SSecure SSockets LLayer) metoda je enkripcije koju je razvio
        Netscape za sigurnost preko Interneta. Podrava nekoliko
        razliitih enkripcijskih protokola i omoguava autentifikaciju
        klijenta i posluitelja. SSL radi na razini prijenosa stvarajui
        sigurni kanal podataka i tako moe transparentno enkriptirati
        mnoge vrste podataka. To ete najee vidjeti pregledavajui u
        Communicatoru siguran dokument sa sigurnog posluitelja, a slui
        kao osnova sigurnih komunikacija pomou Communicatora, kao i
        mnoge druge enkripcije podataka Netscape Communicationsa. Vie
        informacija moe se nai na
        <http://www.consensus.com/security/ssl-talk-faq.html>.
        Informacije o drugim Netscapeovim sigurnosnim implementacijama i
        dobra poetna toka za ove protokole nalazi se na
        <http://home.netscape.com/info/security-doc.html>.


     SS--HHTTTTPP::
        S-HTTP je jo jedan protokol koji omoguava sigurne usluge preko
        Interneta. Napravljen je da prui povjerljivost, provjerenost,
        cjelovitost i nezamjenjivost istovremeno podravajui mehanizme
        za rad s vie kljueva i kriptografske algoritme kroz
        pregovaranje opcija izmeu strana umijeanih u svaku
        transakciju. S-HTTP je ogranien na poseban program koji ga
        implementira i svaku poruku posebno enkriptira. (iz RRSSAA
        CCrryyppttooggrraapphhyy FFAAQQ, str. 138)


     SS//MMIIMMEE
        - S/MIME, odnosno SSecure MMultipurpose IInternet MMail EExtension,
        enkripcijski je standard koji se koristi za enkriptiranje
        elektronske pote i drugih tipova poruka preko Interneta. To je
        otvoren standard kojeg razvija RSA, pa se nadamo da emo ga
        uskoro vidjeti i na Linuxu. Vie informacija o S/MIME-u moe se
        nai na
        <http://home.netscape.com/assist/security/smime/overview.html>.


  66..33..  LLiinnuuxx xx--kkeerrnneell ---- iimmpplleemmeennttaacciijjaa IIPPSSEECC--aa


  Uz CIPE i druge oblike enkripcije podataka, za Linux postoji i
  implementacija IPSEC-a. IPSEC je rezultat napora IETF-a u stvaranju
  kriptografski sigurnih komunikacija na razini IP mrea, koji takoer
  prua autentifikaciju, cjelovitost, kontrolu pristupa i povjerljivost.
  Informacije o IPSEC-u i Internet nacrtu mogu se nai na
  <http://www.ietf.org/html.charters/ipsec-charter.html>. Tamo su i veze
  na druge protokole koji rade s kljuevima, te IPSEC mailing lista i
  arhive.

  Linux implementacija koja se razvija na Sveuilitu Arizone koristi x-
  kernel, objektno bazirani okvir za implementiranje mrenih protokola,
  a moe se nai na  <http://www.cs.arizona.edu/xkernel/hpcc-
  blue/linux.html>.  Najjednostavnije reeno, x-kernel je nain
  prenoenja poruka na razini kernela, to olakava implementaciju.

  Kao i drugi oblici kriptografije, ne distribuira se zajedno s kernelom
  zbog ogranienja u izvozu.


  66..44..  SSSSHH,, sstteellnneett


  SSH (SSecure SShhell -- sigurna ljuska) i stelnet su programi koji vam
  omoguavaju rad na udaljenim sustavima kroz enkriptiranu vezu.

  SSH je skup programa koji se koriste kao sigurna zamjena za rlogin,
  rsh i rcp. Za enkriptiranje izmeu dva raunala koristi kriptografiju
  javnih kljueva, kao i za provjeru korisnika. Moe se koristiti za
  sigurno logiranje na udaljeno raunalo ili kopiranje podataka izmeu
  raunala ujedno spreavajui napade izmeu (sseessssiioonn hhiijjaacckkiinngg --
  otimanje sesije) i DNS ssppooooffiinngg (varanje). Saimat e vae veze i
  osiguravati X11 veze izmeu raunala. SSH-ove WWW stranice su
  <http://www.cs.hut.fi/ssh/>.

  SSH moete koristiti i sa svoje Windows radne stanice na svoj Linux
  SSH posluitelj. Ima nekoliko besplatnih Windows implementacija
  klijenta, ukljuujui onu na
  <http://guardian.htu.tuwien.ac.at/therapy/ssh/>, kao i komercijalnu
  implementaciju DataFellowsa na  <http://www.datafellows.com>.

  SSLeay je besplatna implementacija Netscapeovog Secure Sockets Layer
  protokola, kao i nekoliko aplikacija, kao to je Secure telnet, modul
  za Apache, nekoliko baza podataka, te nekoliko algoritama ukljuujui
  DES, IDEA i Blowfish.

  Koristei taj library napravljena je sigurna zamjena za telnet koja
  enkriptira telnet vezu. Za razliku od SSH-a, stelnet koristi SSL,
  SSecure SSockets LLayer, koji je razvio Netscape. Secure telnet i Secure
  FTP moete nai poevi od SSSSLLeeaayy FFAAQQ, dostupnog na
  <http://www.psy.uq.oz.au/~ftp/Crypto/>.


  66..55..  PPAAMM -- PPlluuggggaabbllee AAuutthheennttiiccaattiioonn MMoodduulleess


  Novije verzije distribucije Red Hat Linux isporuuju se s jedinstvenom
  shemom autentifikacije zvanom "PAM". PAM vam omoguava mijenjanje
  metoda i potreba autentificiranja u letu te enkapsuliranje svih
  lokalnih autentifikacijskih metoda bez ponovnog kompajliranja ijednog
  programa.  Konfiguracija PAM-a je izvan dosega ovog dokumenta, ali
  potrudite se i pogledajte WWW stranice PAM-a za vie informacija.
  <http://www.kernel.org/pub/linux/libs/pam/index.html>

  Samo neke od stvari koje moete s PAM-om:

    Koristiti neto to nije DES za enkripciju svojih lozinki (to ih
     ini teim za probijanje grubom silom).

    Postaviti ogranienja koritenja za sve svoje korisnike tako da ne
     mogu izvoditi ddeenniiaall ooff sseerrvviiccee napade (broj procesa, koliina
     memorije, itd.).

    Ukljuiti shadow lozinke u letu.

    Odreenim korisnicima dozvoliti da se logiraju samo u odreeno
     vrijeme s odreenog mjesta.

  Samo nekoliko sati nakon instaliranja i konfiguriranja svog sustava
  moete sprijeiti mnoge napade prije nego to se i dogode. Na primjer,
  koristite PAM za iskljuivanje koritenja .rhosts datoteka na sustavu
  u home direktorijima korisnika dodavanjem ovih redova
  /etc/pam.d/login:

  #
  # Korisnicima onemoguavamo rsh/rlogin/rexec
  #
  login auth required pam_rhosts_auth.so no_rhosts




  66..66..  KKrriippttooggrraaffsskkaa IIPP eennkkaappssuullaacciijjaa ((CCIIPPEE))


  Najvaniji cilj ovog softvera je pruiti mogunost sigurne (od
  prislukivanja, kao i analiza prometa, te ubacivanja krivotvorenih
  poruka) veze podmrea preko nesigurne paketne mree kao to je
  Internet.

  CIPE (CCryptographic IIPP EEncapsulation) podatke enkriptira na mrenoj
  razini. Paketi koji putuju izmeu raunala enkriptirani su.
  Enkripcija se izvodi blizu same podrke koja alje i prima pakete.

  To je razliito od SSH-a koji podatke enkriptira na vezi, na razini
  socketa. Logika veza izmeu programa na razliitim raunalima
  enkriptirana je.

  CIPE se moe koristiti za ttuunnnneelllliinngg kako bi stvorili VViirrttuuaall PPrriivvaattee
  NNeettwwoorrkk (virtualnu privatnu mreu). Enkripcija na niskom nivou ima
  prednost to moe transparentno raditi izmeu dvije mree spojene u
  VPN, bez ikakvog mijenjanja aplikacija.

  Saeto iz dokumentacije CIPE-a:

  IPSEC standardi definiraju skup protokola koje se moe koristiti (meu
  ostalim) za izgradnju enkriptiranih VPM-ova. Meutim, IPSEC je
  relativno teak i sloen skup protokola s mnogo opcija, potpune
  implementacije jo uvijek se rijetko koriste, a neka pitanja (kao to
  je rad s kljuevima) jo nisu do kraja rijeena. CIPE koristi
  jednostavniji pristup u kojem se mnoge stvari (kao to je izbor
  algoritma enkripcije) mogu promijeniti samo pri instalaciji.  To
  ograniava prilagodljivost, ali omoguava jednostavnu (i zato
  djelotvornu, u kojoj je lako pronai greke) implementaciju.

  Vie informacija moe se nai na
  <http://www.inka.de/~bigred/devel/cipe.html>.

  Kao i drugi oblici kriptografije, ne distribuira se s kernelom zbog
  ogranienja u izvozu.
  66..77..  KKeerrbbeerrooss


  Kerberos je sustav autentifikacije koji je razvio Athena projekt na
  MIT-u.  Kada se korisnik logira, Kerberos ga autentificira (preko
  lozinke) i daje mu nain dokazivanja identiteta drugim posluiteljima
  i raunalima razbacanim na mrei.

  Ovu autentifikacija esto koriste programi kao to je rlogin kako bi
  korisniku omoguili logiranje na druga raunala bez lozinke (umjesto
  datoteke .rhosts). Autentifikaciju takoer koristi sustav pote kako
  bi se zajamila isporuka pote pravoj osobi, kao i istinit identitet
  poiljatelja.

  Ukupni uinak instaliranja Kerberosa i brojnim drugih programa koji s
  njime dolaze je gotovo potpuna eliminacija mogunosti da korisnik
  prevari sustav da je netko drugi. Naalost, instalacija Kerberosa vrlo
  je temeljita i zahtijeva promjene ili zamjene mnogih standardnih
  programa.

  Vie informacija o Kerberosu moe se nai na
  <http://www.veritas.com/common/f/97042301.htm>, a izvorni kod na
  <http://nii.isi.edu/info/kerberos/>.

  (iz SStteeiinn,, JJeennnniiffeerr GG..,, CClliiffffoorrdd NNeeuummaann,, aanndd JJeeffffrreeyy LL.. SScchhiilllleerr..
  ""KKeerrbbeerrooss:: AAnn AAuutthheennttiiccaattiioonn SSeerrvviiccee ffoorr OOppeenn NNeettwwoorrkk SSyysstteemmss.."" UUSSEENNIIXX
  CCoonnffeerreennccee PPrroocceeeeddiinnggss,, DDaallllaass,, TTeexxaass,, zziimmaa 11999988..)


  66..88..  SShhaaddooww lloozziinnkkee


  Shadow lozinke nain su uvanja vaih enkriptiranih lozinki
  nedostupnim obinom korisniku. Obino su te enkriptirane lozinke
  pohranjene u datoteci /etc/passwd gdje ih svi mogu proitati. Zatim
  mogu pokrenuti programe za pogaanje lozinke i pokuati ju saznati.
  Shadow lozinke te informacije pohranjuju u datoteku /etc/shadow koju
  mogu itati samo privilegirani korisnici. Da bi shadow lozinke
  funkcionirale, svi vai programi kojima treba pristup informacijama o
  lozinci moraju se ponovo kompajlirati kako bi ih podravali. PAM (ve
  spomenut) vam takoer omoguava da samo ukljuite shadow modul i ne
  zahtijeva ponovno kompajliranje izvrnih datoteka. Ako je to potrebno,
  za daljne informacije pogledajte SShhaaddooww PPaasssswwoorrdd HHOOWWTTOO. Dostupan je na
  <http://sunsite.unc.edu/LDP/HOWTO/Shadow-Password-HOWTO.html>.  Sada
  je relativno zastario i nije potreban distribucijama koje podravaju
  PAM.


  66..99..  CCrraacckk ii JJoohhnn tthhee RRiippppeerr


  Ako iz nekog razloga va passwd program ne sili teko pogodive
  lozinke, moda ete htjeti pokrenuti program za razbijanje lozinki i
  provjeriti da li su lozinke vaih korisnika sigurne.

  Programi za razbijanje lozinki zasnovani su na jednostavnoj ideji.
  Isprobaju svaku rije u rjeniku i zatim njihove varijacije. Svaku
  enkriptiraju i provjeravaju da li se slae s vaom enkriptiranom
  lozinkom. Ako da, unutra su.

  Vie ih je u divljini... Dva najzapaenija su Crack i John the Ripper
  <http://www.false.com/security/john/index.html>. Zauzet e vam dosta
  procesorskog vremena, ali bi vam trebali rei da li bi napada mogao
  ui koristei ih, ako ih pokrenete prije njega i obavijestite
  korisnike sa slabim lozinkama. Primjetite da bi napada prije toga
  morao iskoristiti neku drugu rupu da bi dobio vau passwd (Unixov
  /etc/passwd) datoteku, ali one su ee nego to mislite.


  66..1100..  CCFFSS ii TTCCFFSS


  CFS (Cryptographic File System -- kriptografski datoteni sustav) je
  metoda enkriptiranja cijelog datotenog sustava koji korisnicima
  omoguava pohranjivanje enkriptiranih datoteka. Koristi NFS
  posluitelj koji radi na lokalnom stroju. RPM-ovi se nalaze na
  <http://www.replay.com/redhat/>, a vie informacija o tome kako to sve
  radi na  <ftp://ftp.research.att.com/dist/mab/>.

  TCFS (Transparent Cryptographic File System -- transparentni...)
  poboljava CFS, dodavajui vie integracije s datotenim sustavom,
  tako da je proziran korisnicima koji ga koriste. Vie informacija na
  <http://edu-gw.dia.unisa.it/tcfs/>.


  66..1111..  XX1111,, SSVVGGAA ii ssiigguurrnnoosstt pprriikkaazzaa



  66..1111..11..  XX1111


  Vano je da osigurate svoj grafiki prikaz kako bi sprijeili napadae
  u stvarima kao to je: kraa vaih lozinki dok ih tipkate bez da ste
  toga svjesni, itanje dokumenata ili informacija koje itate na svom
  ekranu ili ak koritenje rupe za pristup nadkorisnika. Pokretanje X
  aplikacija preko mree takoer moe biti igranje s vatrom koje
  omoguuje njukalima da gledaju cijelu vau interakciju s udaljenim
  sustavom.

  X ima vie mehanizama za kontrolu pristupa. Najjednostavniji od njih
  zasniva se na imenu raunala. xhost moete koristiti za odreivanje
  raunala kojima je dozvoljen pristup vaem prikazu. To uope nije
  sigurno. Ako netko ima pristup vaem raunalu moe koristiti xhost +
  svoje raunalo i lako ui. Takoer, ako doputate pristup
  neprovjerenom stroju, svatko moe gledati va prikaz.

  Ako koristite xdm (XX DDisplay MManager) za logiranje, imate puno bolju
  metodu pristupa: MIT-MAGIC-COOKIE-1. Generira se 128-bitni kolai i
  sprema u vau .Xauthority datoteku. Ako elite omoguiti pristup svom
  prikazu s drugog raunala, koristite naredbu xauth i informacije u
  vaoj .Xauthority datoteci kako bi se samo toj vezi dozvolio pristup.
  Proitajte X-na-daljinu mini-KAKO, dostupan na
  <http://meta.mioc.hr/X-na-daljinu.html>.

  Moete koristiti i ssh (v. ssh, gore) za sigurne X veze. To ima
  prednost transparentnosti krajnjem korisniku, a znai da mreom kolaju
  samo enkriptirani podaci.

  Za vie informacija o sigurnosti u X-u pogledajte man stranicu
  Xauthority.  Najsigurnije je koristiti xdm za logiranje na svoju
  konzolu, a zatim ssh za pokretanje X programa s udaljenih raunala.


  66..1111..22..  SSVVGGAA


  SVGAlib programi obino su SUID-root kako bi mogli pristupiti
  grafikoj kartici vaeg Linux sustava. To ih ini vrlo opasnima. Ako
  se srue, obino morate ponovo dignuti raunalo da bi dobili koristivu
  konzolu. Provjerite da su SVGA programi koje imate autentini i da im
  se moe barem poneto vjerovati. Jo bolje, nemojte ih uope imati.
  66..1111..33..  GGGGII


  Linux GGI (GGeneric GGraphics IInterface -- projekt opeg grafikog
  suelja) projekt pokuava rjeiti nekoliko problema grafikih suelja
  na Linuxu. GGI e malen dio video koda pomaknuti u kernel, a zatim
  kontrolirati pristup grafikom sustavu. To znai da e GGI moi bilo
  kada dovesti vau konzolu u dobro stanje. Takoer e omoguiti sigurne
  kljueve za upozorenje da na vaoj konzoli ne rade trojanski konji
  koji se predstavljaju kao login.  <http://synergy.caltech.edu/~ggi/>


  77..  SSiigguurrnnoosstt kkeerrnneellaa


  Ovo je opis konfiguracijskih opcija kernela koje se odnose na
  sigurnost i objanjene njihove funkcije i koritenja.

  Zbog toga to kernel kontrolira mreni rad vaeg raunala, vano je da
  je on vrlo siguran te da mu se ne moe natetiti. Kako bi sprijeili
  neke od najnovijih mrenih napada, trebali biste pokuati odrati
  verziju svog kernela svjeom. Nove kernele moete nai na
  <ftp://ftp.kernel.org/>.


  77..11..  OOppcciijjee pprrii kkoommppaajjlliirraannjjuu kkeerrnneellaa



     IIPP:: DDrroopp ssoouurrccee rroouutteedd ffrraammeess ((CCOONNFFIIGG__IIPP__NNOOSSRR))
        Ova bi opcija trebala biti ukljuena. Source routed okviri u
        paketu sadre cijeli put do svog odredita. To znai da ruteri
        kroz koje paket prolazi ne moraju pregledati paket, pa ga samo
        proslijeuju. To moe dovesti do ulaska podataka u sustav koji
        moda iskoritavaju sigurnosnu rupu.


     IIPP:: FFiirreewwaalllliinngg ((CCOONNFFIIGG__IIPP__FFIIRREEWWAALLLL))
        Ova je opcija potrebna samo ako ete konfigurirati svoj stroj
        kao firewall, koristiti masquerading ili elite zatititi svoju
        radnu stanicu koja se povezuje modemom od neijeg ulaenja kroz
        PPP suelje.


     IIPP:: ffoorrwwaarrddiinngg//ggaatteewwaayyiinngg ((CCOONNFFIIGG__IIPP__FFOORRWWAARRDD))
        Ako ukljuite IP forwarding (prosljeivanje), va Linux sustav u
        biti postaje ruter. Ako je va stroj na mrei, moete
        proslijeivati podatke s jedne mree na drugu, i moda
        potkopavati firewall koji je postavljen da to sprijei. Normalni
        dial-up korisnici ovo e iskljuiti, a ostali bi se korisnici
        trebali usredotoiti na sigurnosne implikacije.  Raunala koja
        su firewalli ovo trebaju ukljueno, zajedno sa softverom za
        firewall.

        IP prosljeivanje moete dinamiki ukljuivati naredbom:

        root#  echo 1 > /proc/sys/net/ipv4/ip_forward


        te iskljuivati naredbom:

        root#  echo 0 > /proc/sys/net/ipv4/ip_forward


        Ta datoteka (i mnoge druge datoteke u /proc) uvijek e izgledati
        duge 0 znakova, ali to zapravo nije istina. Ovo je nova opcija
        kernela, pa provjerite da li koristite verziju 2.0.33 ili
        noviju.


     IIPP:: ffiirreewwaallll ppaacckkeett llooggggiinngg ((CCOONNFFIIGG__IIPP__FFIIRREEWWAALLLL__VVEERRBBOOSSEE))
        Ova opcija prua informacije o paketima koje je va firewall
        primio, kao to je poiljatelj, primatelj, port, itd.


     IIPP:: aallwwaayyss ddeeffrraaggmmeenntt ((CCOONNFFIIGG__IIPP__AALLWWAAYYSS__DDEEFFRRAAGG))
        Inae je ova opcija iskljuena, ali ako postavljate firewall ili
        masquerading, trebat ete ju ukljuiti. Kada se podaci alju od
        jednog do drugog raunala, nisu uvijek poslani u jednom paketu,
        nego fragmentirani u vie komada. Problem s time je to se broj
        porta pohranjuje samo u prvom fragmentu. To znai da netko moe
        ubaciti informacije u ostale pakete za vau vezu, koje tamo ne
        bi smjele biti.


     IIPP:: ssyynn ccooookkiieess ((CCOONNFFIIGG__SSYYNN__CCOOOOKKIIEESS))
        SYN napad je DoS (DDenial oof SService -- poricanje usluge) napad
        koji zauzima sve resurse vaeg raunala, zbog ega ga vi morate
        ponovo dignuti. Nema razloga da ovo u normalnoj situaciji ne
        ukljuite.


     PPaacckkeett SSiiggnnaattuurreess ((CCOONNFFIIGG__NNCCPPFFSS__PPAACCKKEETT__SSIIGGNNIINNGG))
        Ovo je opcija iz 2.1 serije kernela koja e za veu sigurnost
        potpisivati NCP pakete. Obino je moete ugasiti, ali tu je ako
        vam je potrebna.


     IIPP:: FFiirreewwaallll ppaacckkeett nneettlliinnkk ddeevviiccee ((CCOONNFFIIGG__IIPP__FFIIRREEWWAALLLL__NNEETTLLIINNKK))
        Ovo je stvarno zgodna opcija koja vam omoguava analizu prvih
        128 bajtova paketa iz programa u korisnikom prostoru, kako bi
        odluili da li ete primiti ili odbaciti paket na osnovu njegove
        valjanosti.


  77..22..  KKeerrnneell uurreeaajjii


  Na Linuxu e vam u osiguranju pomoi i nekoliko blok i znakovnih
  ureaja.

  Kroz dva ureaja /dev/random i /dev/urandom kernel stalno daje
  sluajne podatke.

  I /dev/random i /dev/urandom bi trebali biti dovoljno sigurni za
  koritenje u generiranju PGP kljueva, SSH izazova i drugim primjenama
  gdje su potrebni sigurni, sluajni brojevi. Napadai ne bi smjeli moi
  predvidjeti slijedei broj na temelju bilo kojeg poetnog niza brojeva
  iz tih izvora. Uloeno je mnogo napora u osiguravanju da su brojevi
  koje dobijete odatle sluajni u svakom smislu rijei sluajni.

  Jedina je razlika to /dev/random-u ponestane brojeva i pa morate
  ekati da ih se vie nakupi. No, na nekim sustavima, moe dugo ekati
  na novi ulaz korisnikih podataka u sustav. Zato prije koritenja
  /dev/random morate biti paljivi. (Moda je najbolje rjeenje rei
  korisniku da udara po tipkovnici dok mu ne kaete "U redu, dosta je"
  dok generirate osjetljive kljueve.)

  /dev/random prua vrlo kvalitetnu entropiju, generiranu mjerenjem
  vremena izmeu interruptova i slino. Ako nema dovoljno komada
  sluajnih podataka, blokira se.

  /dev/urandom je slian, ali kada je zaliha entropije mala, dat e vam
  kriptografski jaku izmjenu onoga to ima. To nije sigurno, ali je
  dovoljno veini aplikacija.

  Moda ete itati iz tih ureaja koristei neto kao:

  root#  head -c 6 /dev/urandom | uuencode -


  To e na konzoli ispisati est sluajnih znakova prikladnih za
  generiranje lozinke.

  Za opis algoritma pogledajte /usr/src/linux/drivers/char/random.c.

  Hvala Theodoreu Y. Ts'ou, Jonu Lewisu i drugima s Linux-kernel mailing
  liste to su mi (Daveu) pomogli s ovim.


  88..  SSiigguurrnnoosstt mmrreeee


  Sigurnost mree postaje sve vie vana jer ljudi na njoj provode sve
  vie vremena. Kompromitiranje sigurnosti mree esto je puno lake
  nego kompromitiranje lokalne ili fizike sigurnosti, te puno ee.

  Ima vie dobrih alata koji e vam pomoi u osiguravanju mree, a sve
  vie ih se isporuuje s Linux distribucijama.


  88..11..  SSnniiffeerrii ppaakkeettaa


  Jedan od najeih naina na koji uljez dobiva pristup vie raunala
  na vaoj mrei je pokretanjem snifera paketa na ve osvojenom
  raunalu. Taj "snifer" samo na Ethernet portu slua stvari kao to je
  "Password", "Login" i "su" u toku paketa i zatim promet koji slijedi
  zapisuje. Na taj nain napada dobiva lozinke za sustave u koje nije
  ni pokuao provaliti. Lozinke u istom tekstu osobito su ranjive na
  takav napad.

  PRIMJER: raunalo A je kompromitirano. Napada instalira snifer.
  Snifer zapazi administratora koji se logira u raunalo B s raunala C.
  Dobiva osobnu lozinku administratora dok se logira na B. Zatim
  administrator pokree su da bi rijeio neki problem. Sada napada ima
  lozinku za raunalo B. Napon toga administrator nekome doputa da se s
  njegovog rauna logira na raunalo Z na nekoj drugoj mrei. Sada
  napada ima login/lozinku za raunalo Z.

  U dananja vremena napada vie ne mora ni kompromitirati raunalo da
  bi to izveo, moe jednostavno donijeti i laptop ili PC u zgradu i
  prikvaiti se na vau mreu.

  Koritenje ssh ili drugih metoda enkriptiranja lozinki onemoguava
  ovaj napad. Stvari kao to je APOP za POP raune takoer ga
  spreavaju. (Obini POP logini vrlo su ranjivi na njega, kao i sve
  ostalo to preko veze alje itljive lozinke.)


  88..22..  UUsslluuggee ssuussttaavvaa ii ttccpp__wwrraappppeerrii


  im svoj Linux sustav stavite na _b_i_l_o _k_o_j_u mreu, prvo morate
  pogledati koje usluge trebate ponuditi. Usluge koje ne morate nuditi
  treba iskljuiti tako da se brinete o jednoj stvari manje, a napadai
  imaju manje mjesta za iskoritavanje rupa.

  Pod Linuxom ima vie naina za iskljuivanje usluga. Moete pogledati
  svoju /etc/inetd.conf datoteku i vidjeti koje usluge nudi inetd.
  Iskljuite one nepotrebne komentiranjem (stavite # na poetku reda), a
  zatim svom inetd procesu poaljite SIGHUP.

  Takoer moete obrisati (ili zakomentirati) usluge u svojoj
  /etc/services datoteci. To znai da lokalni klijenti takoer nee moi
  nai uslugu (tj., ako maknete FTP i pokuate FTP-ati drugo raunalo sa
  svoga, dobit ete poruku "usluga nepoznata"). Obino nema potrebe
  brisati usluge jer time ne dobivate nikakvo dodatno osiguranje. Ako
  lokalni korisnik eli koristiti FTP ak i ako ste ga zakomentirali,
  mogu samo rei svom klijentu da koristi standardni FTP port i raditi
  potpuno normalno.

  Neke od usluga koje ete eljeti ostaviti su:

    FTP

    telnet

    mail, kao to je POP3 ili IMAP

    identd

    time (vrijeme)

  Ako znate da odreeni paket uope neete koristiti, moete ga i u
  potpunosti obrisati. rpm -e na distribuciji Red Hat obrisat e cijeli
  paket. Na Debianu dpkg vjerojatno obavlja isti posao.

  Zatim, stvarno ete eljeti iskljuiti rsh/rlogin/rcp programe, kao i
  pokretanje logina (koristi ga rlogin), shella (koristi ga rcp) i execa
  (koristi ga rsh) u /etc/inetd.conf. Ti su protokoli iznimno nesigurni
  i bili su uzrok mnogih rupa.

  Trebate provjeriti svoj /etc/rc.d/rcB.d, gdje je B run level vaeg
  sustava da vidite da li se u tom direktoriju pokreu posluitelji koji
  nisu potrebni. Datoteke u /etc/rc.d/rcB.d zapravo su simbolike veze
  na direktorij /etc/rc.d/init.d. Ako preimenujete datoteku u
  direktoriju init.d, prestat e vrijediti sve simbolike veze iz
  /etc/rc.d/rcB.d. Ako elite iskljuiti uslugu samo za odreeni run
  level, odgovarajuoj datoteci u ime stavite malo s umjesto velikog S,
  kao to je S45dhcpd.

  Ako imate rc datoteke u BSD stilu, programe koji vam nisu potrebni
  potraite u /etc/rc*.

  Veina distribucija Linuxa isporuuje se s tcp_wrapperi, koji
  "zamataju" sve vae TCP usluge. inetd poziva tcp_wrapper (tcpd)
  umjesto pravog posluitelja. Zatim tcpd provjerava raunalo koje
  zahtijeva uslugu i poziva pravi posluitelj ili odbija pristup tome
  raunalu. tcpd vam omoguava ograniavanje pristupa vaim TCP
  uslugama. Trebali biste napraviti /etc/hosts.allow i dodati samo ona
  raunala kojima je potreban pristup uslugama vaeg stroja.

  Ako ste kuni korisnik s modemskom vezom, predlaemo vam odbijanje
  pristupa svima. tcpd takoer logira neuspjene pokuaje pristupa
  uslugama, tako da saznate kad ste pod napadom. Ako dodate nove usluge,
  konfigurirajte ih tako da za TCP koriste tcp_wrapper. Na primjer,
  obini korisnik s modemskom vezom moe sprijeiti spajanje drugih na
  njegov stroj zadravajui pritom mogunost skidanja pote i
  uspostavljanja veza na Internet. Ako to elite, moete dodati ove
  redove svojem /etc/hosts.allow:

  ALL: 127

  I, naravno, /etc/hosts.deny bi ovako izgledao:

  ALL: ALL


  to e sprijeiti vanjska spajanja na vae raunalo, ali ostaviti
  mogunost unutarnjeg povezivanja na posluitelje na Internetu.


  88..33..  PPrroovvjjeerriittee ssvvoojjee DDNNSS--oovvee


  Odravanje DNS informacija o svim strojevima na vaoj mrei svjeim
  moe pomoi u poveavanju sigurnosti. U sluaju povezivanja
  neodobrenog stroja na vau mreu lako ete ga prepoznati po nedostatku
  DNS zapisa. Mnoge se usluge mogu konfigurirati da ne prihvaaju veze s
  raunala koje nemaju valjane DNS zapise.


  88..44..  iiddeennttdd


  identd je malen program koji obino pokree inetd. On vodi rauna o
  tome koji korisnik koristi koju TCP uslugu, a zatim to prijavljuje
  onima koji to trae.

  Mnogi ljudi ne razumiju korisnost identda, pa ga iskljuuju ili
  blokiraju sve vanjske zahtijeve za njega. identd nije tu da pomogne
  udaljenim raunalima. Nema naina na koji moete saznati da li su
  podaci koje ste dobili od udaljenog identda toni ili ne. U identd
  zahtjevima nema autentifikacije.

  Zato bi ga onda pokrenuli? Jer pomae _v_a_m_a i jo je jedna ispomo u
  praenju. Ako va identd nije kompromitiran, onda znate da udaljenim
  raunalima govori korisniko ime ili UID ljudi koji koriste TCP
  usluge. Ako se administrator udaljenog stroja obrati vama i kae da je
  taj i taj korisnik pokuavao upasti na njihov stroj, lako moete
  poduzeti mjere protiv tog korisnika. Ako nemate identd, morat ete
  proi kroz puno puno logova, saznati tko je bio logiran u to vrijeme,
  te openito izgubiti puno vie vremena za pronalaenje korisnika.

  identd koji se isporuuje s veinom distribucija konfigurabilniji je
  nego to mnogi misle. Za odreene korisnike ga moete ugasiti (mogu
  napraviti datoteku .noidentd), moete biljeiti sve identd zahtjeve
  (preporuam), ak ga moete natjerati da vrati UID umjesto korisnikog
  imena, ili ak NO-USER.


  88..55..  SSAATTAANN,, IISSSS ii ddrruuggii mmrreennii sskkeenneerrii


  Postoji vie raznih softverskih paketa za skeniranje strojeva i mrea
  na osnovu portova i usluga. SATAN i ISS dva su poznatija. Oni se
  poveu s ciljnim raunalom (ili svim takvim na mrei) na svim moguim
  portovima, pokuavajui saznati koje se tamo nude usluge. Na osnovu
  tih informacija moete nai raunalo ranjivo na odreenu rupu na
  posluitelju.

  SATAN (SSecurity AAdministrator's TTool for AAnalyzing NNetworks -- alat
  sigurnosnog administratora za analizu mrea) je port skener s WWW
  sueljem. Moe se konfigurirati za laganu, srednju ili temeljitu
  provjeru na raunalu ili mrei raunala. Pametno je nabaviti SATAN i
  skenirati svoje raunalo ili mreu i popraviti pronaene probleme.
  Budite sigurni da ste SATAN dobili sa sunsitea ili uglednog FTP ili
  WWW posluitelja. Preko mree se distribuirala trojanska kopija SATAN-
  a.  <http://www.trouble.org/~zen/satan/satan.html>
  ISS (IInternet SSecurity SScanner) je jo jedan port skener.  Bri je od
  SATAN-a i zbog toga bolji za vee mree. Meutim, SATAN prua vie
  detalja.

  Abacus-Sentry je komercijalni port skener s www.psionic.com.
  Pogledajte njegovu WWW stranicu za vie informacija:
  <http://www.psionic.com>.


     OOttkkrriivvaannjjee ppoorrtt sskkeenneerraa
        Postoje neki alati koji e vas uzbuniti tokom testiranja SATAN-
        om, ISS-om ili drugim programima za skeniranje. No, slobodno
        koritenje tcp_wrappera i redovito provjeravanje logova dat e
        isti rezultat. ak i pri najslabijoj jaini SATAN ostavlja
        tragove u log datotekama na standardnom Red Hat sustavu.


  88..66..  sseennddmmaaiill,, qqmmaaiill ii MMTTAA--oovvii


  Jedna od najvanijih usluga koju moete ponuditi je posluitelj pote.
  Naalost, to je i jedna od najranjivijih, zbog broja zadataka koje
  obavlja i privilegija koje obino treba.

  Ako koristite sendmail, vrlo je vano odravati verziju svjeom.
  sendmail ima dugu, dugu povijest sigurnosnih rupa. Uvijek budite
  sigurni da imate najnoviju verziju.  <http://www.sendmail.org/>

  Ako vam je dosta nadograivanja sendmaila svaki tjedan, moete se
  prebaciti na qmail. qmail je ispoetka oblikovan s panjom na
  sigurnost. Brz je, stabilan i siguran.  <http://www.qmail.org>


  88..77..  DDeenniiaall ooff SSeerrvviiccee ((ppoorriiccaannjjee uusslluuggaa)) nnaappaaddii


  Kod Denial of Service napada napada pokuava neki resurs zauzeti
  toliko da on nije u stanju odgovarati na dobre zahtjeve, odnosno
  uskratiti dobrim korisnicima pristup vaem stroju.

  Broj takvih napada u zadnjih je nekoliko godina vrlo porastao. Neki od
  najpopularnijih i najnovijih navedeni su dolje. Meutim, novi se
  stalno pojavljuju, pa je ovo samo nekoliko primjera. Za svjeije
  informacije itajte Linux liste o sigurnosti i bugtraq listu i arhive.


     SSYYNN ffllooooddiinngg
        SYN flooding (SYN "poplava") je mreni DoS napad. Iskoritava
        "kruenje" u nainu na koji se stvaraju TCP veze. Noviji Linux
        kerneli (2.0.30 i vie) imaju nekoliko konfigurabilnih opcija za
        spreavanje SYN flood napada koji ljudima onemoguavaju pristup
        vaem raunalu ili uslugama.  Za pravilnu zatitu u kernelu
        pogledajte dio o sigurnosti kernela.


     PPeennttiiuumm FF0000FF ggrreekkaa
        Nedavno je otkriveno da niz asembliranih naredbi poslan pravom
        Intel Pentium procesuru resetira raunalo. To vrijedi za svaki
        stroj s Pentium procesorom (ne klonovima, niti Pentiumom Pro ili
        PII), bez obzira na koji operacijski sustav koristi. Linux
        kernel 2.0.32 i bolji sadre zaobilaznicu za ovu greku koja
        spreava ruenje raunala. Kernel 2.0.33 ima bolju verziju
        rjeenja i preporua se prije 2.0.32. Ako radite na Pentiumu,
        odmah se nadogradite!


     PPiinngg ffllooooddiinngg
        Ping flooding je jednostavan DoS napad grubom silom. Napada
        vaem raunalu alje "poplavu" ICMP paketa. Ako to rade s
        raunala s boljom propusnou mree od vaeg, vae nee moi
        poslati nita na mreu. Varijacija ovog napada, zvana ssmmuurrffiinngg
        vaem stroju alje ICMP pakete s povratnom adresom _v_a__e_g stroja,
        tako ih je tee otkriti. Vie informacija o smurf napadu moete
        nai na  <http://www.quadrunner.com/~chuegen/smurf.txt>.

        Ako ikada budete pod ping flood napadom, koristite alat kao to
        je tcpdump kako bi otkrili odakle paketi dolaze (ili se ini da
        dolaze), a zatim s tim informacijama kontaktirajte svog ISP-a.
        Ping floodovi najlake se zaustavljaju na razini rutera ili
        koritenjem firewalla.


     PPiinngg oo'' DDeeaatthh
        Ping o' Death napad rezultat je dolazeih IICCMMPP EECCHHOO RREEQQUUEESSTT
        paketa veih od onog to moe podnijeti kernel struktura za
        pohranjivanje tih podataka. Zbog toga to slanje jednog velikog
        (65 510 bajtova) ping paketa mnogim sustavima uzrokuje njihovo
        ruenje ovaj je problem ubrzo rjeen i vie se o njemu ne treba
        brinuti.


     TTeeaarrddrroopp//NNeeww TTeeaarr
        Jedan od najnovijih napada koji iskoritava greku u kodu za IP
        fragmentaciju na Linuxu i Windowsima. Rjeen je u verziji
        kernela 2.0.33 i ne zahtijeva odabiranje bilo koje opcije pri
        kompajliranju kernela. ini se da Linux nije ranjiv na newtear
        napad.

  Veinu koda koji iskoritava rupe i detaljnije informacije kako rade
  moete nai na  <http://www.rootshell.com> koritenjem pretraivanja.


  88..88..  SSiigguurrnnoosstt NNFFSS--aa


  NFS (NNetwork FFile SSystem -- mreni datoteni sustav) je vrlo
  rasprostranjen protokol za dijeljenje datoteka. Omoguava
  posluiteljima na kojima radi nfsd i mountd da "izvoze" cijele
  datotene sustave drugim strojevima koji imaju podrku za NFS u svojim
  kernelima (ili drukiju podrku ako to nisu Linuxi). mountd vodi
  raune o montiranim datotenim sustavima u /etc/mtab i moe ih
  pokazati preko naredbe showmount.

  Mnogi sustavi koriste NFS za posluivanje home direktorija
  korisnicima, tako da nije vano s kojeg se stroja u tom dijelu
  logiraju jer e uvijek imati svoje datoteke.

  U izvoenju datotenih sustava mogu je manji stupanj "sigurnosti".
  Moete natjerati nfsd da mapira vanjskog root korisnika (UID=0) na
  nobody (nitko) korisnika, onemoguavajui im potpun pristup datotekama
  koje se izvoze. Meutim, poto pojedini korisnici imaju svoj pristup
  (ili barem isti UID) datotekama, udaljeni se nadkorisnik moe logirati
  ili su-ati na njihov raun i imati potpun pristup datotekama. To je
  samo mala smetnja napadau koji ima pristup montiranju vaih udaljenih
  datotenih sustava.

  Ako ba morate koristiti NFS, provjerite da li izvozite samo onim
  strojevima kojima je to nuno. Nikad ne izvozite cijeli svoj root
  direktorij, izvozite samo potrebne direktorije.

  Za vie informacija o NFS-u proitajte NNFFSS HHOOWWTTOO:
  <http://sunsite.unc.edu/mdw/HOWTO/NFS-HOWTO.html>.
  88..99..  NNIISS ((bbiivvii YYPP))


  NIS (NNetwork IInformation SServices -- mrena informativna usluga, bivi
  YP) je sredstvo distribuiranja informacija skupini raunala.  NIS
  master sadri informacijske tabele koje pretvara u NIS map datoteke.
  Te se mape onda nude preko mree omoguavajui NIS klijent strojevima
  dobivanje informacija o loginu, lozinki, home direktoriju i ljusci
  (sve informacije iz standardnog /etc/passwd). To korisnicima omoguava
  mijenjanje lozinke jednom, koje zahvaa sve stroje u NIS domeni.

  NIS uope nije siguran. To nikad nije ni trebao biti. Trebao je biti
  jednostavan i koristan. Svatko tko moe pogoditi ime vae NIS domene
  (bilo gdje na mrei) moe dobiti primjerak vae passwd datoteke i
  koristiti Crack i John the Ripper na lozinkama vaih korisnika. Mogue
  je i prislukivanje NIS-a i mnoge vrste prljavih trikova. Ako morate
  koristiti NIS, budite barem svjesni opasnosti.

  Postoji puno sigurnija zamjena za NIS, NIS+. Za vie informacija
  pogledajte NNIISS HHOOWWTTOO:  <http://sunsite.unc.edu/mdw/HOWTO/NIS-
  HOWTO.html>.


  88..1100..  FFiirreewwaalllloovvii


  Firewallovi su sredstvo ograniavanja protoka informacija u i iz vae
  lokalne mree. Obino je firewall stroj spojen i na Internet i na va
  LAN, tako da se Internetu iz vaeg LAN-a moe pristupiti samo kroz
  njega. Na taj nain firewall kontrolira to prolazi vezom izmeu
  Interneta i vaeg LAN-a.

  Postoji vie vrsta i naina postavljanja firewalla. Linux strojevi
  prilino su dobri i jeftini firewallovi. Kod za firewall moe se
  ugraditi ravno u 2.0 i bolje kernele. ipfwadm, alat u korisnikom
  prostoru, omoguava vam mijenjanje u letu tipova mrenog prometa koje
  proputate.  Odreene vrste mrenog prometa moete i logirati.

  Firewallovi su vrlo korisna i vana tehnika osiguravanja vae mree.
  Vano je da shvatite kako nikad ne smijete misliti da, samo zato to
  imate firewall, ne trebate sigurne strojeve iza njega. To je smrtna
  greka.  Pogledajte vrlo dobar FFiirreewwaallll HHOOWWTTOO na svojoj najsvjeijoj
  sunsite arhivi za vie informacija o firewallima pod Linuxom.
  <http://sunsite.unc.edu/mdw/HOWTO/Firewall-HOWTO.html>

  Vie informacija takoer se moe nai u IIPP--MMaassqquueerraaddee mmiinnii--HHOOWWTTOO:
  <http://sunsite.unc.edu/mdw/HOWTO/mini/IP-Masquerade.html>-

  Vie informacija o ipfwadmu (alatu kojim moete mijenjati opcije svog
  firewalla) moe se nai na njegovoj WWW stranici:
  <http://www.xos.nl/linux/ipfwadm/>.


  99..  SSiigguurrnnoossnnee pprriipprreemmee ((pprriijjee nneeggoo ssee uukklljjuuiittee uu mmrreeuu))


  Dakle, provjerili ste svoj sustav, odluili da je dovoljno siguran i
  spremni ste ga ukljuiti u mreu. Nekoliko je stvari koje bi sada
  trebali obaviti kako bi bili spremni u sluaju da se upad stvarno
  dogodi, tako da uljeza brzo moete onemoguiti i oporaviti se te
  nastaviti rad.





  99..11..  NNaapprraavviittee ppoottppuunn bbaacckkuupp ssvvooggaa ssttrroojjaa


  Rasprava o metodama backupa i pohranjivanja izvan je dosega ovog
  dokumenta, ali nekoliko rijei vezanih uz backup i sigurnost:

  Ako na particiji imate manje od 650 MB podataka, CD-R kopiranje
  podataka je dobra metoda (jer je s njime teko kasnije petljati, a ako
  se pravilno pohrani moe trajati dugo vremena). Trake i druge medije
  na koje se ponovo moe pisati treba zatiti od pisanja im je va
  backup potpun i provjeren za spreavanje petljanja. Osigurajte da su
  vai backupi pohranjeni u sigurnom podruju iskljuenom iz mrea.
  Dobar backup osigurava dobru poetnu toku za vraanje sustava u
  normalno stanje.


  99..22..  IIzzbboorr ddoobbrroogg rraassppoorreeddaa bbaacckkuuppaa


  Ciklus od est traka lako je odravati. To se odnosi na etiri vrpce
  tijekom tjedna, jednu za parne petke i jednu za neparne petke. Svaki
  dan obavljajte inkrementalni backup, a svaki petak potpuni. Ako
  napravite odreene promjene ili sustavu dodate vane podatke, backup
  e vam dobro doi.


  99..33..  BBaacckkuuppiirraajjttee ssvvoojjuu RRPPMM iillii DDeebbiiaann bbaazzuu ppooddaattaakkaa ddaattootteekkaa


  U sluaju provale moete iskoristiti svoju RPM bazu podataka datoteka
  kao to koristite Tripwire, ali samo ako ste sigurni da nije
  mijenjana.  Kopirajte RPM bazu na disketu i stalno ju drite izvan
  mree. Debian distribucija vjerojatno ima neto slino.

  Tonije, datoteke /var/lib/rpm/fileindex.rpm i
  /var/lib/rpm/packages.rpm najvjerojatnije nee stati na jednu disketu.
  Saete bi trebale stati svaka na svoju.

  Sada, ako je va sustav kompromitiran, moete koristiti naredbu:

  root#  rpm -Va


  za provjeru svake datoteke na sustavu. Pogledajte man stranicu RPM-a
  -- postoje neke opcije za manje poruka.

  To znai da e se, svaki put kada se sustavu doda novi RPM, RPM baza
  morati ponovo arhivirati. Vi odluite to vam je drae -- prednosti
  ili nedostaci.


  99..44..  PPrraaeennjjee llooggoovvaa vvaaeegg ssuussttaavvaa


  Vrlo je vano da informacije koje dolaze od sysloga nisu
  kompromitirane.  Dati dozvole za itanje i pisanje u /var/log samo
  ogranienom broju korisnika dobar je poetak.

  Svakako pratite to se tamo biljei, posebno za aauutthh. Viestruki
  neuspjeni logini, na primjer, mogu znaiti pokuaj provale.

  Gdje ete nai log datoteke ovisi o vaoj distribuciji. Na Linux
  sustavu koji slijedi LLiinnuuxx FFiilleessyysstteemm SSttaannddaarrdd, kao to je Red Hat,
  potrait ete ih u /var/log i tamo provjeravati messages, mail.log i
  druge.

  Gdje vaa distribucija logira stvari saznat ete u svojoj
  /etc/syslog.conf datoteci. To je datoteka koja govori syslogd-u
  (demonu za logiranje sustava) gdje da logira razne poruke.

  Takoer ete moda htjeti konfigurirati svoju skriptu ili demon za
  rotiranje logova, tako da logovi traju dulje i da imate vie vremena
  za njihovo pregledavanje. Na novijim distribucijama Red Hata
  pogledajte paket logrotate. Druge distribucije vjerojatno imaju slian
  proces.

  Ako je s vaim logovima netko petljao, pokuajte saznati kada je
  petljanje poelo i s im je sve izgleda petljano. Postoje li dugi
  periodi vremena za koje nema podataka? Dobra je ideja provjeriti
  backup traka (ako ih imate) za izvorne log datoteke.

  Uljez obino mijenja logove kako bi prikrio tragove, ali svejedno ih
  treba provjeravati za udne stvari. Moda primjetite kako je uljez
  pokuavao ui ili iskoristiti sigurnosnu rupu kako bi dobio rootov
  raun. Moda vidite logove prije nego to ih uljez stigne izmjeniti.

  Trebali biste odvojiti auth od drugih logova, kao to su pokuaji
  koritenja su za zamjenu korisnika, pokuaje logina i druge
  informacije o korisnicima.

  Ako je to mogue, konfigurirajte syslog da alje kopije svih
  najvanijih podataka na siguran sustav. To e sprijeiti uljeza u
  prikrivanju tragova preko brisanja svojih pokuaja logina/su-a/FTP-
  a/itd. Pogledajte man stranicu syslog.conf i opciju @@.

  Na kraju, log datoteke su mnogo nekorisnije kada ih nitko ne ita.
  Oduzmite si malo vremena svako malo i pogledajte svoje logove, te
  probajte shvatiti kako izgleda obian dan. To e vam pomoi u
  uoavanju neobinih stvari.


  99..55..  PPrriimmjjeenniittee ssvvee nnoovvee nnaaddooggrraaddnnjjee ssuussttaavvaa


  Veina korisnika Linuxa instalira s CD-ROM-a. Zbog brzog ritma
  sigurnosnih ispravaka, stalno izlaze novi (ispravljeni) programi.
  Prije nego to se poveete s mreom, pametno je provjeriti FTP
  posluitelj svoje distribucije (na primjer ftp.redhat.com) i nabaviti
  sve novije pakete otkad ste primili CD-ROM distribucije. esto takvi
  paketi sadre vane sigurnosne ispravke, pa je pametno instalirati ih.


  1100..  ttoo uuiinniittii ttookkoomm ii nnaakkoonn pprroovvaallee


  Dakle, jeste li slijedili neke od ovih (ili drugih) savjeta i otkrili
  provalu? Najprije trebate ostati staloeni. Panini postupci mogu
  uzrokovati vie tete od napadaa.


  1100..11..  NNaarruuaavvaannjjee ssiigguurrnnoossttii uupprraavvoo ssee ooddvviijjaa


  Uoavanje naruavanja sigurnosti koje se upravo odvija moe biti
  napeto.  Vaa reakcija imat e velike posljedice.

  Ako je naruavanje kojeg gledate fiziko, vjerojatno ste uoili nekoga
  tko je provalio u va dom, ured ili laboratorij. Trebate obavijestiti
  lokalne vlasti. U laboratoriju ste moda vidjeli kako netko pokuava
  otvoriti kuite ili resetirati stroj. Ovisno o vaem autoritetu i
  postupcima, moete ih zamoliti da prestanu ili pozvati svoje lokalno
  osiguranje.
  Ako ste uoili lokalnog korisnika koji pokuava naruiti vau
  sigurnost, prvo trebate potvrditi da je on stvarno onaj za kojeg
  mislite da je on.  Provjerite odakle se logirao. Je li to raunalo s
  kojeg se i normalno logiraju? Ne? Onda ga kontaktirajte neelektronskim
  sredstvima. Na primjer, pozovite ih telefonom ili odetajte do
  njihovog ureda/doma i razgovarajte s njima. Ako kau da su logirani,
  moete ih zatraiti da objasne to su radili ili da to prestanu
  raditi. Ako nisu i nemaju blage veze o emu govorite, taj dogaaj
  vjerojatno zahtjeva dodatnu istragu. Pazite na takve dogaaje i
  skupite puno informacija prije nego nekoga optuite.

  Ako ste otkrili mrenom naruavanje, najprije (ako moete) iskljuite
  mreu.  Ako su spojeni modemom, iskljuite kabel modema, a ako su
  spojeni Ethernetom, iskljuite kabel Etherneta. To e ih sprijeiti u
  daljnjem nanoenju tete, a vjerojatno e to shvatiti kao problem u
  mrei, a ne razotkrivanje.

  Ako ne moete iskljuiti mreu (imate vrlo zaposlen posluitelj ili
  nemate fiziku kontrolu nad svojim raunalima), slijedei najbolji
  korak je onemoguavanje veza s uljezovog raunala pomou tcp_wrappera
  ili ipfwadma.

  Ako ne moete iskljuiti sve ljude sa stroja na kojem je uljez, morat
  ete se zadovoljiti iskljuivanjem korisnikog rauna. Primjetite da
  to nije jednostavno. Morate paziti na .rhosts datoteke, FTP pristup i
  hrpu stranjih vrata).

  Nakon to ste uinili neto od navedenog (iskljuili mreu,
  onemoguili pristup sa njegovog raunala i/ili iskljuili njegov
  raun), morate mu ubiti sve procese i odlogirati ih.

  Slijedeih nekoliko minuta morate paljivo gledati na svoj stroj jer
  e napada pokuati ui ponovno. Moda e koristiti drugi raun i/ili
  mrenu adresu.


  1100..22..  NNaarruuaavvaannjjee ssiigguurrnnoossttii vvee ssee ddooggooddiilloo


  Uoili ste naruavanje koje se ve dogodilo ili ste ga uoili i
  iskljuili (jo bolje) napadaa iz sustava. to sad?


  1100..22..11..  ZZaattvvaarraannjjee rruuppee


  Ako moete otkriti nain na koji je napada uao u va sustav,
  pokuajte zatvoriti rupu. Na primjer, moda vidite nekoliko zapisa o
  FTP-u ba prije nego to se korisnik logirao. Iskljuite FTP uslugu i
  provjerite da li postoji novija verzija ili neka od listi zna
  rjeenje.

  Provjerite sve svoje log datoteke i pogledajte da li na vaim listama
  i stranicama o sigurnosti ima novih rupa koje moete ispraviti.
  Calderine sigurnosne ispravke moete nai na
  <http://www.caldera.com/tech-ref/security/>. Red Hat jo nije odvojio
  sigurnosne ispravke od ispravaka greaka, no ispravci za njihovu
  distribuciju nalaze se na  <http://www.redhat.com/errata>. Vrlo je
  vjerojatno da e, ako je jedna tvrtka izdala sigurnosnu ispravku, to
  ubrzo uiniti i ostale.

  Ako ne izbacite napadaa, vjerojatno e se vratiti. Ne samo na vae
  raunalo, nego negdje na vau mreu. Ako je pokrenuo snifer paketa,
  velike su anse da ima pristup drugim lokalnim strojevima.


  1100..22..22..  PPrrooccjjeennjjiivvaannjjee tteettee


  Najprije procjenite tetu. to je narueno? Ako imate provjeru
  cjelovitosti kao to je Tripwire, pokrenite ju i ona e vam rei. Ako
  ne, morat ete sami pogledati sve svoje najvanije podatke.

  Poto je Linux sustave sve lake i lake instalirati, moete svoje
  konfiguracijske snimiti na sigurno, obrisati svoj disk/ove i ponovno
  instalirati, a zatim vratiti korisnike datoteke iz backupa i
  konfiguracijske datoteke. To e osigurati nov, ist sustav. Ako morate
  spaavati datoteke s kompromitiranog sustava, budite posebno paljivi
  s programima koje vratite jer to mogu biti trojanski konji koje je
  postavio uljez.


  1100..22..33..  BBaacckkuupp,, bbaacckkuupp,, bbaacckkuupp!!


  Redovit backup dar je s neba za sigurnosne probleme. Ako je va sustav
  kompromitiran, potrebne podatke moete vratiti s backupa. Naravno,
  neki podaci su vrijedni i napadau, i on e ga ne samo unititi, ve i
  ukrasti i imati svoje kopije, ali barem ete jo uvijek imati podatke.

  Provjerite nekoliko prolih backupa prije nego vratite datoteku s
  kojom je petljano. Uljez je moda kompromitirao vae datoteke prije
  puno vremena, a vi ste mogli napraviti mnogo uspjenih backupa
  kompromitirane datoteke!

  Narvno, mnotvo je sigurnosnih briga s backupima. Potrudite se da su
  na sigurnom mjestu. Budite svjesni tko im ima pristup. (Ako napada
  moe doi do vaih backupa, ima pristup do svih vaih podataka, a da
  vi toga niste ni svjesni.)


  1100..22..44..  PPrroonnaallaaeennjjee uulljjeezzaa


  U redu, izbacili ste uljeza i sredili sustav, ali jo niste gotovi.
  Iako e vjerojatno veina uljeza ostati neuhvaena, trebate prijaviti
  napad.

  Napad prijavite administratoru sustava s kojeg je napada napao va
  sustav.  Moete ga nai pomou whois ili internicove baze podataka.
  Moete mu poslati e-mail sa svim primjenjivim zapisima u logu i
  datumima i vremenima.  Ako ste uoili jo neto posebno za svog
  uljeza, spomenite i to. Nakon to ste poslali e-mail, trebali biste ga
  (ako ste toliko zapeli) i nazvati telefonom. Ako taj administrator
  uoi vaeg napadaa, onda on moe kontaktirati administratora sustava
  odakle je doao i tako dalje.

  Dobri hakeri esto koriste mnogo posrednih sustava. Neki (ili mnogi)
  od njih moda ni ne znaju da su napadnuti. Pokuati doi do krekerovog
  poetnog sustava moe biti teko. Ljubaznim ponaanjem prema
  administratorima od njih moete dobiti puno pomoi.

  Takoer biste trebali obavijestiti sigurnosne organizacije kojih ste
  dio (CERT ili slino).


  1111..  IIzzvvoorrii iinnffoorrmmaacciijjaa oo ssiigguurrnnoossttii


  Tamo vani ima _p_u_n_o dobrih stranica o sigurnosti UNIX-a openito i
  specifino Linuxa. Vrlo je vano da se pretplatite na jednu (ili vie)
  sigurnosnih mailing listi i pratite sigurnosne ispravke. Veina takvih
  listi ima vrlo malo prometa i vrlo su informativne.


  1111..11..  FFTTPP ppoosslluuiitteelljjii


  CERT je CComputer EEmergency RResponse TTeam (skupina za hitnu raunalnu
  pomo). esto alju uzbune o trenutnim napadima uz ispravke.
  <ftp://ftp.cert.org/>

  Replay ima arhive mnogih programa za sigurnost. Poto su izvan SAD-a,
  ne moraju potovati amerika kriptografska ogranienja.
  <ftp://ftp.replay.com/>

  Matt Blaze je autor CFS-a i sjajan promicatelj sigurnosti.
  <ftp://ftp.research.att.com/pub/mab/>

  tue.nl je odlian sigurnosni FTP server u Nizozemskoj.
  <ftp://ftp.win.tue.nl/pub/security/>


  1111..22..  WWWWWW ssttrraanniiccee


  TThhee HHaacckkeerr FFAAQQ je FAQ o hakerima:
  <http://www.solon.com/~seebs/faqs/hacker.html>

  COAST arhiva ima velik broj Unix sigurnosnih programa i informacija:
  <http://www.cs.purdue.edu/coast/>

  Rootshell.com su odline stranice za traenje rupa koje trenutno
  krekeri koriste:  <http://www.rootshell.com/>

  BUGTRAQ objavljuje savjete o sigurnosnim problemima:
  <http://www.netspace.org/lsv-archive/bugtraq.html>

  CERT, CComputer EEmergency RResponse TTeam (skupina za hitnu raunalnu
  pomo), objavljuje savjete o estim napadima na Unix platforme:
  <http://www.cert.org/>

  Dan Farmer je autor SATAN-a i mnogih drugih sigurnosnih alata, a
  njegove stranice imaju neke zanimljive ankete o sigurnosti kao i
  sigurnosne alate: <http://www.trouble.org>

  The Linux security WWW dobre su stranice za informacije o sigurnosti
  Linuxa:  <http://www.aoy.com/Linux/Security/>

  Reptile na svojim stranicama ima dosta dobrih informacija o Linux
  sigurnosti: <http://207.237.120.45/linux/>

  Infilsec ima engine za ranjivosti koji vam kae na to je ranjiva vaa
  platforma:  <http://www.infilsec.com/vulnerabilities/>

  CIAC redovito objavljuje sigurnosne biltene o estim rupama:
  <http://ciac.llnl.gov/cgi-bin/index/bulletins>

  Dobra poetna toka za Linux Pluggable Authentication Modules
  (ukljuivi moduli za autentifikaciju) moe se nai na
  <http://www.kernel.org/pub/linux/libs/pam/>.


  1111..33..  MMaaiilliinngg lliissttee


  BUGTRAQ: za pretplatu na BUGTRAQ poaljite poruku na
  listserv@netspace.org s retkom subscribe bugtraq u tijelu poruke. (Za
  arhive pogledajte gore navedeno.)

  CIAC: poaljite poruku na majordomo@tholia.llnl.gov. U _t_i_j_e_l_u (ne
  Subject:-u) poruke stavite (jedno ili drugo ili oboje) subscribe ciac-
  bulletin.


  1111..44..  KKnnjjiiggee ---- ttiisskkaannii mmaatteerriijjaallii zzaa iittaannjjee


  Postoji vie dobrih knjiga o sigurnosti. Ovaj dio navest e ih
  nekoliko. Uz knjige specifino o sigurnosti, sigurnost je pokrivena i
  u dosta drugih knjiga o administriranju sustava.

  D. Brent Chapman i Elizabeth D. Zwicky: BBuuiillddiinngg IInntteerrnneett FFiirreewwaallllss
  1. izdanje, rujan 1995.
  ISBN: 1-56592-124-0

  Simson Garfinkel i Gene Spafford: PPrraaccttiiccaall UUNNIIXX && IInntteerrnneett SSeeccuurriittyy
  2. izdanje, travanj 1996.
  ISBN: 1-56592-148-8

  Deborah Russell i G.T. Gangemi, Sr.: CCoommppuutteerr SSeeccuurriittyy BBaassiiccss
  1. izdanje, srpanj 1991.
  ISBN: 0-937175-71-4

  Olaf Kirch: LLiinnuuxx NNeettwwoorrkk AAddmmiinniissttrraattoorr''ss GGuuiiddee
  1. izdanje, sijeanj 1995.
  ISBN: 1-56592-087-2

  Simson Garfinkel: PPGGPP:: PPrreettttyy GGoooodd PPrriivvaaccyy
  1. izdanje, prosinac 1994.
  ISBN: 1-56592-098-8

  David Icove, Karl Seger i William VonStorch (savjetodavni urednik
  Eugene H. Spafford): CCoommppuutteerr CCrriimmee AA CCrriimmeeffiigghhtteerr''ss HHaannddbbooookk
  1. izdanje, kolovoz 1995.
  ISBN: 1-56592-086-4


  1122..  RRjjeenniikk



     HHoosstt
        Raunalni sustav povezan na mreu. (raunalo, sustav)


     FFiirreewwaallll
        Komponenta ili skup komponenti koje ograniavaju pristup izmeu
        zatiene mree i Interneta ili izmeu drugih skupina mrea.


     BBaassttiioonn hhoosstt
        Raunalni sustav koji mora biti vrlo osiguran jer je ranjiv na
        napade, obino zato to je izloen Internetu i glavna toka
        kontakta korisnika internih mrea. Ime je dobio po vrlo
        utvrenim graevinama na vanjskim zidovima srednjevjekovnih
        dvoraca. Bastioni nadgledaju kritina podruja obrane, obino uz
        jake zidove, prostor za dodatne trupe i ponekad korisne lonce
        pune kipueg ulja za obeshrabrivanje napadaa.


     DDuuaall--hhoommeedd hhoosstt
        Ope namjenski raunalni sustav koji ima barem dva mrena
        suelja.
     PPaacckkeett
        Osnovna jedinica komunikacije na Internetu. (paket)


     PPaacckkeett ffiilltteerriinngg
        Radnja koju obavlja ureaj kako bi selektivno kontrolirao tok
        podataka u i iz mree. Filtri paketa odobravaju ili blokiraju
        pakete, obino tokom njihovog usmjeravanja iz jedne u drugu
        mreu (najee iz Interneta u internu mreu i obratno). Da bi
        postigli filtriranje paketa, postavljate skup pravila koji
        odreuje vrste paketa (koji su sa ili za odreenu IP adresu ili
        port) koje se proslijeuju i koje vrste se blokiraju.
        (filtriranje paketa)


     PPeerriimmeetteerr nneettwwoorrkk
        Mrea dodana izmeu zatiene mree i vanjske mree, kako bi
        pruila dodatni sloj sigurnosti. esto se naziva DMZ.


     PPrrooxxyy sseerrvveerr
        Program koji se bavi s vanjskim posluiteljima umjesto internih
        klijenata.  Klijenti proxya razgovaraju s proxy posluiteljima,
        koji odobrene zahtjeve klijenata prenose stvarnim
        posluiteljima, a odgovore natrag klijentima.


     DDeenniiaall ooff SSeerrvviiccee
        Napad kod kojeg napada zauzima resurse na vaem raunalu za
        stvari koje ono ne bi smjelo raditi tako spreavajui normalno
        koritenje vaih mrenih resursa za potrebne stvari.


     BBuuffffeerr oovveerrffllooww
        Uobiajeni stil kodiranja nikad ne alocira "dovoljno velike"
        buffere i ne provjerava da li je preao njihovu veliinu. Kada
        se takvi bufferi prepune, izvrni program (demon ili set-uid
        program) moe se natjerati na neke udne stvari. Obino to radi
        prepunjavanjem povratne adrese funkcije na stacku da pokazuje na
        drugu lokaciju.


     IIPP ssppooooffiinngg
        IP spoofing je sloen tehniki napad koji se sastoji od nekoliko
        dijelova.  To je sigurnosna rupa koja radi tjeranjem raunala da
        vjeruju da ste vi netko tko zapravo niste. Opiran lanak o tome
        objavili su daemon9, route i infinity u Phrack Magazine, 48.
        broj, 7. godina.


     AAuutteennttiiccaattiioonn
        Mogunost saznavanja da su primljeni podaci jednaki podacima
        koji su poslani i da je navedeni poiljatelj stvarni
        poiljatelj. (autentifikacija)


     NNoonn--rreeppuuddiiaattiioonn
        Mogunost primatelja da dokae kako je poiljatelj nekih
        podataka stvarno poslao te podatke, iako poiljatelj poslije
        moe poricati da je ikad poslao te podatke. (nezamjenjivost)


  1133..  eessttoo ppoossttaavvlljjaannaa ppiittaannjjaa



  1. Je li sigurnije kompajlirati drajver izravno u kernel umjesto kao
     modul?  Odgovor: Neki misle da je bolje iskljuiti mogunost
     uitavanja podrke za ureaje preko modula jer uljez tako moe
     uitati trojanski modul ili sam uitati modul koji bi utjecao na
     sigurnost sustava.  Meutim, da bi uitali modul, morate biti root.
     U datoteke modula moe pisati takoer samo root. To znai da je
     uljezu potreban pristup rootu da bi ubacio modul. Ako uljez dobije
     pristup rootu, ima puno ozbiljnijih stvari o kojima treba brinuti
     nego da li e uitati modul.  Moduli slue za dinamiko uitavanje
     podrke za odreene ureaje koji se moda rjee koriste. Na
     strojevima koji su posluitelji ili firewallovi na primjer, to je
     vrlo nevjerojatno. Iz tih razloga, za posluitelje kompajliranje
     izravno u kernel ima vie smisla. Takoer, moduli su sporiji od
     izravne podrke u kernelu.

  2. Logiranje kao root s udaljenog stroja uvijek je neuspjeno.
     Odgovor: Proitajte dio o sigurnosti roota. To je uinjeno namjerno
     kako bi se udaljeni korisnici sprijeili u pokuajima spajanja
     telnetom na vae raunalo kao root, to je ozbiljna sigurnosna
     rupa. Ne zaboravite, mogui uljezi vrijeme imaju na svojoj strani i
     mogu automatski traiti vau lozinku.

  3. Kako da ukljuim shadow lozinke na svom Red Hatu 4.2 ili 5.0?
     Odgovor: Shadow lozinke su mehanizam spremanja vaih lozinki u
     datoteku koja nije uobiajena /etc/passwd. To ima nekoliko
     prednosti. Prva je to je shadow datoteka, /etc/shadow, itljiva
     samo za roota, za razliku od /etc/passwd, koja mora ostati itljiva
     za sve. Druga je prednost to vi kao administrator moete ukljuiti
     ili iskljuiti raune bez da svi znaju stanje rauna drugih
     korisnika.  Onda se datoteka /etc/passwd koristi za pohranjivanje
     imena korisnika i grupa, koje koriste programi kao to je /bin/ls
     za pretvaranje UID-a u odgovarajue ime korisnika u sadraju
     direktorija.  Datoteka /etc/shadow sadri samo korisniko ime i
     njegovu lozinku, te moda informacije o raunu, kao to je datum
     njegova istjecanja, itd.  Ukljuiti shadow lozinke moete naredbom
     pwconv kao root. Trebala bi se pojaviti datoteka /etc/shadow koju
     bi trebale koristiti i aplikacije. Poto koristite RH 4.2 ili
     bolji, PAM moduli e se automatski prilagoditi promjeni koritenja
     normalne /etc/passwd u shadow lozinke, bez ikakvih drugih promjena.
     Poto vas zanima osiguravanje vaih lozinki, moda e vas takoer
     zanimati generiranje dobrih lozinki na poetku. Za to moete
     koristiti pam_cracklib modul, dio PAM-a. Vau lozinku provjerava
     protiv Crack librarya kako bi vam otkrio da li ju je prelako
     pogoditi iz programa za razbijanje lozinki.

  4. Kako da ukljuim Apache SSL proirenja?  Odgovor:

     a. Nabavite SSLeay 0.8.0 ili noviji s
        <ftp://ftp.psy.uq.oz.au/pub/Crypto/SSL/>.

     b. Kompajlirajte, testirajte i instalirajte ga!

     c. Nabavite izvorni kod Apache 1.2.5.

     d. Nabavite Apache SSLeay proirenja s
        <ftp://ftp.ox.ac.uk/pub/crypto/SSL/apache_1.2.5+ssl_1.13.tar.gz>.

     e. Otpakirajte ga u direktoriju s izvornim kodom apache 1.2.5 i
        zakrpite Apache prema README-u.

     f. Konfigurirajte ga i kompajlirajte.
     Moete pogledati i  <http://www.replay.com>, gdje se nalaze mnogi
     ve kompajlirani paketi, i to izvan SAD-a.

  5. Kako da radim s korisnikim raunima, ali zadrim sigurnost?
     Odgovor: distribucija Red Hat, posebno 5.0, sadri velik broj alata
     za mijenjanje svojstava korisnikih rauna.

    Programi pwconv i unpwconv mogu se koristiti za pretvaranje u i iz
     shadow lozinki.

    Programi pwck i grpck mogu se koristiti za provjeravanje pravilne
     organizacije passwd i group datoteka.

    Programi useradd, usermod i userdel mogu se koristiti za dodavanje,
     brisanje i mijenjanje korisnikih rauna. Programi groupadd,
     groupmod i groupdel ine isto za grupe.  Svi ovi programi svjesni
     su shadowa -- dakle, ako ukljuite shadow lozinke, koristit e
     /etc/shadow za informacije o lozinkama, ako ne, nee.  Za daljnje
     informacije pogledajte odgovarajue man stranice.

  6. Kako mogu odreene HTML dokumente zatititi lozinkom koristei
     Apache?  Odgovor: Kladim se da niste znali za
     <http://www.apacheweek.com/>, ne?  Informacije o autentifikaciji
     korisnika moete nai na
     <http://www.apacheweek.com/features/userauth>, kao i druge naputke
     za sigurnost WWW-a na
     <http://www.apache.org/docs/misc/security_tips.html>.


  1144..  ZZaakklljjuuaakk


  Ako se pretplatite na mailing liste za sigurnosne uzbune i pratite
  trenutne verzije, moete jako popraviti sigurnost svoga stroja. Ako
  pazite na svoje log datoteke i redovito pokreete neto poput
  Tripwirea, moete i vie.

  Na kunom raunalu nije teko odravati razumnu razinu sigurnosti. Na
  poslovnim strojevima potrebno je vie napora, ali Linux moe biti
  itekako sigurna platforma. Zahvaljujui prirodi njegovog razvoja,
  sigurnosni ispravci izlaze puno bre nego za komercijalne operacijske
  sustave, to Linux ini idealnim kada je sigurnost u pitanju.


  1155..  ZZaahhvvaallee


  Ove informacije skupljene su iz mnogih izvora. Hvala slijedeim
  ljudima koji su izravno ili neizravno pridonijeli:

    Rob Riggs, rob@DevilsThumb.com

    S. Coffin, scoffin@netcom.com

    Viktor Przebinda, viktor@CRYSTAL.MATH.ou.edu

    Roelof Osinga, roelof@eboa.com

    Kyle Hasselbacher, kyle@carefree.quux.soltec.net

    David S. Jackson, dsj@dsj.net

    Todd G. Ruskell, ruskell@boulder.nist.gov

    Rogier Wolff, R.E.Wolff@BitWizard.nl


  1166..  HHrrvvaattsskkii pprriijjeevvoodd



  Najnovija verzija ovog prijevoda moe se nai na
  <http://dokumentacija.linux.hr/Sigurnost-KAKO.html>.  Odrava ga Matej
  Vela, mvela@public.srce.hr.  Svi su prilozi, primjedbe i prijedlozi
  dobrodoli.






























































