Fara.Sk - zabezpečenie počítača
Abstrakt Zabezpečenie počítača a bezpečnosť informačných technológií vo všeobecnosti je komplexný a stály proces, ktorý sprevádza využívanie týchto technológií v každodennej praxi.

Vzhľadom na zameranie projektu Fara.Sk cieľom tejto stránky nie je podať ucelený pohľad na danú problematiku, ale skôr ponúknuť jednoduchý návod, ako zabezpečiť počítač proti pokusom o prienik, proti vírusom, spyware a pod. Samozrejme okrem toho, čo je nižšie uvedené, dá sa v zabezpečovaní počítača pokračovať do ďaleko väčšej hĺbky, čo však vyžaduje už hlbšie znalosti z problematiky bezpečnosti informačných technológií. I napriek tomu postupy uvedené na tejto stránke predstavujú solídny rámec pre štandardné zabezpečenie počítača.

Vzhľadom na rozšírenosť jednotlivých operačných systémov uvádzame postupy pre najrozšírenejšie operačné systémy: MS Windows a GNU/Linux (Mac OS X má postupy podobné).
MS Windows 1. pravidelne aktualizovaný operačný systém. Microsoft pravidelne v mesačných intervaloch vydáva opravy bezpečnostných, ale aj iných chýb svojich operačných systémov a ostatných produktov. Môžete si zvoliť aktualizáciu automatickú, resp. ručne spúšťanú cez stránky Windows Update, resp. Microsoft Update. Viaceré opravy riešia skutočne závažné bezpečnostné problémy!

2. zapnutý a správne nakonfigurovaný firewall (program riadiaci sieťovú komunikáciu počítača smerom dnu i von): bud ten priamo z MS Windows XP (ak máte XP, aj keď treba povedať, že tento integrovaný firewall nie je celkom spoľahlivý…), alebo výrobok tretích strán, z kvalitných bezplatných napr.: Comodo Internet Security alebo Outpost Firewall Free 2009;

3. antivírový program, ktorý má pravidelne aktualizovanú databázu vírusov, napr.: NOD32, aleboAVG. Z bezplatných verzií antivírusov je možné použiť napr. AVG Free Edition alebo avast! Home Edition;

4. antispyware - program na odstraňovanie nebezpečného kódu (spyware - kód, ktorý na pozadí vykonáva nekalé aktivity, napr. monitoruje prácu a odosiela informácie o nej, využíva výpočtový výkon počítača a jeho pripojenie do siete na prenos nelegálnych dát a posielanie spamov, atď.), napr.: Ad-Aware;

5. ak je to možné, používanie alternatívnych aplikácií k aplikáciám, ktoré predstavujú bezpečnostné riziko: Mozilla Firefox alebo Opera miesto Internet Explorera, Mozilla Thunderbird alebo The Bat miesto Outlook/Outlook Express, ... Odkazy na viaceré z nich sa nachádajú na informačnej stránke o slobodnom softvéri;

6. nepracovať s právami administrátora systému! Pri bežnej práci je treba vždy byť prihlásený cez účet, ktorý má obmedzené práva v rámci operačného systému, t.j. práva bežného užívateľa, nie administrátora. Operačný systém na základe prístupových práv priradených bežnému užívateľovi bráni vykonať také kroky, ktoré by mali fatálny dopad na funkčnosť a bezpečnosť systému. Takto je možné eliminovať veľmi veľa nebezpečného kódu, ktorý by sme omylom, resp. nevedomky spustili pri práci napr. s disketou, CD, na stránkach internetu a pod.;

7. vytvárať pravidelné zálohy dát. To, čo je najcennejšie na počítači, sú dáta. Treba si vytvoriť prax pravidelne zálohovať a zvoliť primeraný spôsob, ako dáta nielen zálohovať, ale zároveň zálohy aj bezpečne uložiť. Pre osobný počítač stačí používať jednoduché metódy, napr.: napaľovanie na CD, zálohovanie po sieti, na druhý disk, USB kľúč a pod.
GNU/Linux Situácia je pre používateľov GNU/Linuxu u väčšiny distribúcií podstatne jednoduchšia: hneď po inštalácii je štandardne nakonfigurovaný a zapnutý firewall; pri inštalácii je vytvorený užívateľský účet s obmedzenými právami a jednoduchšie je jeho využívanie aj pri následnej konfigurácii systému; vnútorná architektúra systému jasne oddeľuje užívateľský priestor od priestoru a práv roota; vzhľadom na zverejnené zdrojové kódy systému je opravených veľa chýb v systéme, ktoré v uzatvorenom kóde MS Windows na opravu ešte čakajú; vzhľadom na nižšiu rozšírenosť tohoto systému existuje menej škodlivého kódu, ktorý je napísaný pre GNU/Linux a poznajúc vnútro a architektúru obidvoch spomínaných systémov, dovolíme si tvrdiť, že GNU/Linux má, resp. konverguje ku kvalitnejšiemu kódu a celkovej realizácii operačného systému.

Aj napriek uvedeným skutočnostiam pripomíname nasledovné kroky zabezpečenia GNU/Linux:

1. pravidelne aktualizovaný operačný systém. Každá distribúcia obsahuje konkrétny nástroj na aktualizáciu operačného systému a inštalovanie nových programov. Naviac - vychádzajúc z filozofie unixových systémov, proces aktualizácie je možné elegantne zautomatizovať. Aktualizovať treba, aj tu platí, že viaceré opravy riešia skutočne závažné bezpečnostné problémy!

2. zapnutý a správne nakonfigurovaný firewall. Štandardnou súčasťou GNU/Linux je paketový filter iptables, ktorý je po inštalácii zapnutý a nakonfigurovaný. Ak by sme následne firewall rekonfigurovali, treba si dať pozor, ako ho nastavíme;

3. aktualizovať aplikácie, v ktorých je objavená bezpečnostná chyba a ktoré tak predstavujú bezpečnostné riziko. Ak máme správne nakonfigurovaný aktualizačný nástroj a nainštalované aplikácie z inštalačných balíčkov danej distribúcie (resp. repozitárov aplikácie), aktualizácia aplikácií je vykonávaná automaticky spolu s aktualizáciou operačného systému;

4. nepracovať s právami root-a (administrátora) systému! Pri bežnej práci je treba byť vždy prihlásený cez účet, ktorý má obmedzené práva v rámci operačného systému, t.j. práva bežného užívateľa, nie root-a. Operačný systém na základe prístupových práv priradených bežnému užívateľovi bráni vykonať také kroky, ktoré by mali fatálny dopad na funkčnosť a bezpečnosť systému. Zároveň sa naužiť využívať pre zásahy, ktoré vyžadujú práva root-a, nástroje su a sudo;

5. vytvárať pravidelné zálohy dát. To, čo je najcennejšie na počítači, sú dáta. Treba si vytvoriť prax pravidelne zálohovať a zvoliť primeraný spôsob, ako dáta nielen zálohovať, ale zároveň zálohy aj bezpečne uložiť. Pre osobný počítač stačí používať jednoduché metódy, napr.: napaľovanie na CD, zálohovanie po sieti, na druhý disk, USB kľúč a pod. Z podstaty systému unixového typu GNU/Linux bez ďalších špeciálnych programov ponúka viaceré alternatívy, akým spôsobom a čo zálohovať, resp. ako zautomatizovať zálohovanie.

__________Ochutnávka niečoho viac;-)__________

x1. vypnutie služieb (daemon, system service), ktoré nie sú použité:
- špecifikovanie runlevels, ktoré sú používané a služieb, ktoré sú štartované (/etc/inittab, ls /etc/rcX.d/ - X=runlevel, chkconfig,...);
- špecifikácia služieb, ktoré sú nepotrebné a ich vypnutie (úprava rcX.d adresárov, chkconfig,...).

x2. sieťová bezpečnosť
- "nmap -v -sS -O" - zistenie a analýza otvorených portov -> následná rekonfigurácia firewallu (najčastejšie iptables);
- nessus - zistenie a analýza bezpečnostných rizík a dier;

x3. nedávať local access na počítači rôznym užívateľom, ktorí by sa pripájali vzdialenie cez sieť (login shell /sbin/nologin...). A ak je vážny dôvod local access dať, povoliť len šifrovaný prístup na server, zvyčajne cez ssh.

x4. nastavenia ssh (zmeny v /etc/ssh/sshd_config):
- Protocol 2 - povolí len ssh verzie 2;
- PermitRootLogin no - nepovolí root login cez ssh;
- MaxAuthTries 1 - počet pokusov prihlásenia: 1, potom sa treba znovu pripojiť;
- AllowGroups skupina - povolí ssh prihlásenie len užívateľom z konkrétnej skupiny;
- LoginGraceTime 1m - zruší neautentifikované pripojenie po minúte spojenia.

x4. zabezpečenie pripájaných súborových systémov nastavením parametrov nosuid, nodev, noexec (v /etc/fstab narozdiel od defaults: rw, suid, dev, exec, auto, nouser, async):
- /var - nosuid,nodev,noexec (ak je /var na samostatnom oddieli)
- /home - nosuid,nodev (ak je /home na samostatnom oddieli)
- /usr - nodev (ak je /usr na samostatnom oddieli)
- /xyz - nosuid,nodev,noexec (xyz - nejaký disk len s dátami)

xX. ...a tak môžme pokračovať ďalej;-)
O projekte Fara.Sk Viac informácií o projekte Fara.Sk môžete nájsť na úvodnej stránke.