GNU/Linux ordenagailu pertsonala indartzen.

Jakin badakit blog honetan nortasun digitalari egiten dizkiodala aipu gehienak, baina tarteka teknologiari edo eta informatikako hainbat konturi buruz idaztea ere oso gustuko izaten dut. Hau honela, ikastetxean sistema eragileen gaia irakasten hasten naizenean ikasle askok honakoa galdetzen didate; Linux sistema eragilea segurua da? Ez du birusik? Zer egin behar dut instalatzeko? Behin frogatu dutenean eta ikusi dutenean aurretik zuten ordenagailua (sistema eragilea, windows 7a) baino askozaz bizkorrago dabilela begiak ireki eta eskean hasten dira.

Ez da seinale txarra izaten. Nola instalatzen den jakitea izaten da lehen gakoa, horretarako mila tutorial aurki daitezke interneten, besteak beste distribuzio bat edo beste instalatu apur bat alda daitekeen arren, gehienetan nahiko instalazio paretsua izaten da. Oinarrizko instalazioa bederen.

Instalazioa egin ostean egokitzapen batzuk egitea komeni izaten da ordea. Behar ditugun programak instalatzea eta abar egiteaz gain, sistema eragilearen ahulguneak tapatzea eta gure sistema indartzea komenigarria izaten da.

Horri begira, honako hainbat gomendio idatzi ditut:

  • Firewire eta thunderbolt portuak desgaitzea.
  • Root erabiltzailearen mezuak berbideratzea
  • Firewall-a begiratu. Zure sarrerako komunikazio irekierak filtratu ditzan.
  • Sshd zerbitzua desaktibatu eta behar denean soilik aktibatzea
  • Gaurkotze automatikoak jartzea. Hori egiteko arrazoi zehatz bat ez bada behintzat.
  • Erabilerarik gabeko denbora tarte batean blokeoa aktibatu.
  • Log-en jarraipena egingo duen aplikazio baten instalazioa.
  • Erabiltzaile aurreratuentzat: rkhunter eta IDS baten instalazioa.

Guzti hau egiteko apur bat jakitea komeni izaten da. Horretarako ibiltzea bezalakorik ez dago. Frogatu, apurtu, konpondu eta ikasi. Baina hona hemen goian aipaturikoak egiteko gida minimo eta labur bat:

Desgaitu moduluak:

Honako bi aginduekin, bi portu horien desgaitzea lortuko genuke. Desgaitzeei buruzko informazio gehiago nahi baduzu hona hemen: https://linux-audit.com/kernel-hardening-disable-and-blacklist-linux-modules/

Azken finean, bi modulu horien erabilera desgaitzean, bi portu horiek ez ditugu erabiliko. Eskuz gaitu daitezke, baina gure kasuan ez ditugu nahi.

blacklist firewire-core 

blacklist thunderbolt

ROOT emailak berbideratu:

Normalean, root-i bideraturiko emailak “system”-n gordetzen dira eta ez dio inork gutxik kasu askorik egiten. Hori dela eta, root-a nora bidali aldatzea aukera interesgarria da. Non?  /etc/aliases bertan.

# Nori bidali root mezuak 

root:                  n.digitala@example.com

#newaliases exekutatu aldaketak gorde ostean eta ondoren mezuak jaso.

ROOT pasahitza

Hainbat distribuziotan, ROOT pasahitza eta hasieran sortzen dugun erabiltzailearen pasahitza berbera izaten da. Komeni da ordea ROOT sarrera eta gure erabiltzailearen pasahitzak berberak ez izatea. Hau honela izanik, ROOT pasahitza aldatzeko honako aginduak erabili:

#passwd root

Bestalde, gure erabiltzaile arrunta partekatua bada, alegia, erabiltzaile bakarra gu izatetik harago beste norbaitek badarabil, komeni litzateke “sudo” taldetik ateratzea eta beste erabiltzaile bat izatea “sudo” kide.

SSHD zerbitzua etetea

Egia esan, honako aldaketa da gutxien egin izan dudana. Nire eramangarrian sshd zerbitzua askotarako erabiltzen dut, batez ere administratzen ditudan beste ordenagailuetatik nire eramangarria atzitu ahal izateko, erosotasuna dela eta. Egia esan beti portu hori irekia izatea ordea ez dut uste ideia ona denik.

Honela, portu hori irekirik ez izateko, hona hemen aukera:

systemctl disable sshd.service 

systemctl stop sshd.service

Ondoren, nahi duzunean zerbitzua piztu liteke, baina sistema eragilea berrabiarazten dugunean zerbitzua ez da hasiko. Honela guk kontrola dezakegu noiz piztu.

Gaurkotze automatikoak

Gaurkotze automatikoak martxan izatea ere gomendagarria da. Gaur egungo distribuzio gehienek hau defektuz martxan izaten dute, baina hala ez bada, martxan izatea komeni. Sistema eragilea ez berritzeko badira ordea hainbat arrazoi ordea, baina erabiltzaile arruntetan berritzeak ez liguke arazorik sortu beharko. Beste aukera bat, berritzeak eskuz egitea litzateke, berritzeak direnaren berri ematea sistemak eta ondoren guk hauek berritzea.

LOGen kontrola

Gure sistema eragilean gertatzen dena kontrola dezagun, softwarearen arazoak, sistemako erroreak eta abar, LOGak ulertzea eta begiratzea ezinbestekoa da. Gerta liteke blokeo arrunt bat bizi izatea eta denborarekin pasatzea, baina zer gertatu da? Bestelako arazoak ere gerta litezke, hori dela eta zerbitzu, programen eta sistema eragilearen LOGen jarraipena egitea ere interesgarria da. Nola erraztu ordea? /var/log karpetara joan eta bertan ikusteaz gain, badira logen jarraipena egiten lagunduko diguten hainbat tresna. Esaterako… LogWatch. Nola instalatu eta erabili? Hemen jarraibide bat.

Kanpo erasoak

Kanpo erasoak direla eta ez direla, gure ordenagailua kanpo eraso bat jasotzen ari dela jakin nahiko bagenu, IDS bat instalatu beharko genuke, hau da, kanpo eraso bat identifikatuko lukeen software bat. Honelako softwarearen kontrola ez da batere erraza, ondorioz zer egiten duen ez baduzu ongi ulertzen ez jarraitu aurrera, alde baino kontrakoa izan daiteke eta. Hala ere saltseatzea beti zure esku. Saiatu eta frogatu.

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s