Det finnes ingen IT-systemer som er helt innbruddssikre, og i alle fall ikke dersom de er koblet til internett. Selv om de fleste angrep er rettet mot Windows-baserte systemer, betyr ikke dette at konkurrerende plattformer ikke kan være mål for angripere.
Linux Foundation kom nylig med en oversikt over anbefalte tiltak for å sikre Linux-baserte arbeidsstasjoner. Anbefalingene er de samme som brukes av stiftelsens egne systemadministratorer, som omtales «fjernarbeidere».
Så du denne? Maskinlæring skal stoppe skadelige mobilapper
Grunnleggende
Anbefalingene omtales ikke av Linux Foundation som veldig inngående, men er i stedet et forsøk på å unngå de mest innlysende sikkerhetsfeilene, uten å introdusere for mye bryderi.
De er nok likevel mer omfattende enn det mange har innført på egenhånd.
En hel del av anbefalingene er kategorisert som kritiske. Dette er tiltak eller faktorer man absolutt bør prioritere for ikke å utsette systemet for stor sikkerhetsrisiko. Andre anbefalinger anses som mindre viktige, helt ned til nivået «paranoid», som må anses å være unødvendig i de fleste tilfeller.
Leste du denne? Gjemmer skadevaren i skjermkortet
SecureBoot
Anbefalingene starter med maskinvaren man bruker. Den klareste anbefalingen på dette området er at man bruker et system som støtter UEFI i stedet for BIOS, krever passord for å endre UEFI-innstillingene og aktiverer SecureBoot.
Man må da nødvendigvis benytte en Linux-distribusjon som støtter SecureBoot ved at oppstartskjernen er signert ved hjelp av en spesiell sikkerhetsnøkkel.
_logo.svg.png){kind=logo}
Tilgangskontroll
Det er også en klar anbefaling at man benytter en Linux-distribusjon med et system for utvidet tilgangskontroll, slik som SELinux, AppArmor eller GrSecurity/PaX. De fleste Linux-distribusjoner tilbyr dette i standardoppsettet eller støtter installasjon i ettertid. Fulldisk-kryptering og gode passord eller -fraser anbefales også sterkt.
Andre tiltak som anses som kritiske, er å skru av støtten for Firewire og Thunderbold, noe som kan gi tilkoblede enheter direkte minnetilgang.
Dessuten bør man sikre at alle innkommende porter blir filtrert i brannmuren. Spesielt gjelder dette SSH-porten, dersom man ikke har spesielt behov for å kunne ta imot innkommende SSH-forbindelser.
Les også: Windows får innbygd SSH-støtte
Tips og råd
Dette er bare noen av punktene som dokumentet tar for seg. Men i dokumentet er ikke anbefalingene bare listet opp. Det forklares også hva som er konsekvensene av hver enkelt, sammen med tips og råd om hvordan anbefalingene faktisk kan utføres, i alle fall i noen av de vanligste distribusjonene.
For Linux-brukere som har fiklet en del med konfigurasjonen, bør de fleste av anbefalingene være overkommelige. Men det er liten tvil om at en hel del av det som anbefales, krever at man setter seg ganske godt inn i hvordan systemene faktisk fungerer, slik at man forstår konsekvensene av endringene man gjør.
Les også: Tradisjonsrike Debian i ny versjon
