Jak Buster hartował się cz.1
19 lutego, 2020Od lat wojuję z systemami operacyjnymi wywodzącymi się z grupy open source
czyli linuksami. Najbardziej do gustu przypadł mi Debian i jestem z nim od lat.
Po drodze trafiały się RedHaty, Suse, Slack, Jentoo, Minty, Mandriva, Ubuntu i
inne chwilowe dystrybucje. Obecnie najnowsza stabilną wersja Debiana jest
wersja 10 pieszczotliwie zwana Buster. Nie wiem czy nazwa została zaczerpnięta
od imienia twardziela manekina z „Pogromców mitów”, który wiele
przeszedł w czasie programu czy może wybór był całkiem przypadkowy. Utarło się,
ze linuksy są bezpiecznymi systemami co jest prawdą ale….
No właśnie to ale…. Może prosty dzieciak nie poradzi sobie z włamaniem,
może większość użytkowników „wingrozy” omija systemy uniksopodobne
szerokim kręgiem i stąd ta mityczna odporność. Jednak statystyki mówią co
innego. Nie ma bezpiecznych systemów operacyjnych ot tak samych z siebie.
Jedyny w miarę bezpieczny system to ten wyłączony zalany grubą warstwą betonu.
Ale taki system jest bezużyteczny. Więc jak utwardzić system aby był z
kamienia? Jak zawsze wymaga to pracy…. Zasada nr 1. Instalujemy tylko to co
nam potrzebne i nic więcej. Instalujemy z oficjalnych repozytoriów a jeżeli
pobieramy pakiety z innych źródeł warto jet sprawdzać sumy kontrolne pakietów.
Ale to inna inszość i nie o tym będzie dzisiaj pisane. To do dziela. zaczynamy
od uniemożliwienia montowania niepotrzebnych systemów plików.
Jedną z pierwszych czynności jakie wykonujemy przy instalacji jest podział
na partycje. Istotne jest to aby właściwie podzielić dysk na partycje. Podział
na partycje znacząco wpływa na bezpieczeństwo systemu oraz na jego działanie. W
wypadku gdy w podstawowej konfiguracji proponowanej niedoświadczonym użytkownikom
cały dysk stanowi partycję / istnieje zagrożenie, że w wypadku działania złośliwego
oprogramowania partycja zostanie zapełniona a system przestanie działać. Jak
więc dzielić dysk na partycje?
Dla mnie zaawansowanych użytkowników podział na partycje
/boot
/
/home
/var
Opcjonalnie SWAP
Taki podział w większości przypadków będzie wystarczający.
Lepszym podzielam będzie dodatkowe wydzielenie partycji
/usr
/usr/local
/tmp
/opt
/srv
Najlepszym podziałem będzie dodatkowe wydzielanie partycji
/var/tmp
/var/log
Reasumując: w systemach narażonych na ataki zalecanym podziałem dysku na partycję będzie:
/boot
/
/home
/var/
var/tmp
/var/log
/usr
/usr/local
/tmp
/opt
/srv
CDN.