doc-linux-hr 20000416.1 / usr / share / doc / HOWTO / hr-html / Sigurnost-KAKO-2.html

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2 Final//EN">
<HTML>
<HEAD>
 <META NAME="GENERATOR" CONTENT="SGML-Tools 1.0.11">
 <TITLE>Sigurnost Linuxa KAKO: Pregled</TITLE>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=ISO-8859-2">
 <LINK HREF="Sigurnost-KAKO-3.html" REL=next>
 <LINK HREF="Sigurnost-KAKO-1.html" REL=previous>
 <LINK HREF="Sigurnost-KAKO.html#toc2" REL=contents>
</HEAD>
<BODY>
<A HREF="Sigurnost-KAKO-3.html">Sljedeæi dio</A>
<A HREF="Sigurnost-KAKO-1.html">Prethodni dio</A>
<A HREF="Sigurnost-KAKO.html#toc2">Sadr¾aj</A>
<HR>
<H1><A NAME="s2">2. Pregled</A></H1>

<P>
<P>Ovaj dokument poku¹ava objasniti neke postupke i èesto kori¹tene programe
koji va¹ Linux èine sigurnijim. Va¾no je da prvo razjasnimo neke osnovne
stvari, da steknete temeljna znanja iz sigurnosti prije nego poènemo.
<P>
<H2><A NAME="ss2.1">2.1 ©to æe nam sigurnost?</A>
</H2>

<P>
<P>U promijenjivom svijetu globalnih podatkovnih komunikacija, jeftinih veza na
Internet i vrlo brzog razvoja softvera, sigurnost postaje sve va¾nija.
Sigurnost je sada osnovna potreba jer je globalno raèunalstvo po prirodi
nesigurno. Na primjer, dok va¹i podaci idu iz toèke A u toèku B na
Internetu, mo¾da æe usput proæi kroz nekoliko drugih toèaka, dajuæi drugim
korisnicima priliku da presreæu, i èak mijenjaju, va¹e podatke. Èak i drugi
korisnici na va¹em sustavu mogu zloæudno pretvarati va¹e podatke u ne¹to
ne¾eljeno. Neodobreni pristup va¹em sustavu mogu dobiti uljezi, takozvani
<B>crackeri</B>, koji zatim koriste svoje napredne vje¹tine u imitiranju vas,
u kraði podataka od vas, ili èak onemoguæavanju pristupa va¹im vlastitim
resursima. Ako se jo¹ uvijek pitate koja je razlika izmeðu <B>hackera</B> i
crackera, proèitajte <B>How to Become A Hacker</B> (kako postati haker)
Erica S. Raymonda na 
<A HREF="http://sagan.earthspace.net/~esr/faqs/hacker-howto.html">http://sagan.earthspace.net/~esr/faqs/hacker-howto.html</A>.
<P>
<H2><A NAME="ss2.2">2.2 Koliko je sigurno sigurno?</A>
</H2>

<P>
<P>Najprije, imajte na umu da nijedan raèunalni sustav nikad ne mo¾e biti
"potpuno siguran". Sve ¹to mo¾ete je ote¾ati kompromitiranje va¹eg sustava.
Za prosjeènog kuænog korisnika Linuxa, ne treba puno da obièni kreker ostane
na lancu. Za velike Linux korisnike (banke, telekomunikacijske tvrtke, itd.)
potrebno je mnogo vi¹e posla.
<P>Drugi faktor kojeg treba uzeti u obzir je da, ¹to je va¹ sustav sigurniji,
sigurnost vam sve vi¹e smeta. U tom balansiranju trebate naæi toèku gdje je
va¹ sustav moguæe koristiti, ali je jo¹ siguran za va¹e potrebe. Na primjer,
mogli biste od svih koji se na va¹ sustav spajaju telefonskom vezom tra¾iti
da va¹ sustav nazove njih na njihov kuæni broj. To jest sigurnije, ali ako
netko nije kod kuæe, te¹ko æe se logirati. Takoðer biste mogli svoj Linux sustav
ostaviti bez mre¾e ili veze na Internet, ali to vrlo ote¾ava surfanje WWW-om.
<P>Ako ste sustav veæe ili srednje velièine, trebali bi razviti "Sigurnosnu
politiku" o tome koliko sigurnosti va¹ sustav zahtijeva i kojim se postupkom
ona provjerava. Dobro poznati primjer sigurnosne politike mo¾ete naæi na
<A HREF="http://ds.internic.net/rfc/rfc2196.txt">http://ds.internic.net/rfc/rfc2196.txt</A>. Nedavno je osvje¾en i
sadr¾i izvrsnu podlogu za sigurnosnu politiku va¹e tvrtke.
<P>
<H2><A NAME="ss2.3">2.3 ©to poku¹avate za¹tititi?</A>
</H2>

<P>
<P>Prije nego poku¹ate osigurati svoj sustav, trebate odluèiti kolika je
prijetnja protiv koje se morate za¹tititi, koje rizike biste ili ne biste
trebali podnijeti i koliko æe na kraju va¹ sustav biti ranjiv. Prouèite svoj
sustav i saznajte ¹to i za¹to ¹titite, koliko je to vrijedno i tko je
odgovoran za va¹e podatke i drugo vlasni¹tvo.
<P>
<UL>
<LI>Rizik je moguænost da uljez uspije u poku¹aju pristupa va¹em raèunalu. Mo¾e
li uljez èitati, pisati datoteke, ili izvr¹avati programe koji bi vam mogli
na¹tetiti? Mo¾e li va¾ne podatke obrisati? Sprijeèiti vas ili va¹u tvrku da
obavite va¾ne poslove? Ne zaboravite, netko s pristupom va¹em raèunu ili
sustavu takoðer se mo¾e predstavljati kao vi.

Zatim, jedan nesiguran raèun na va¹em sustavu mo¾e dovesti do
kompromitiranja cijele va¹e mre¾e. Jedan korisnik kojem je dopu¹teno
logiranje preko <CODE>rhosts</CODE> datoteke, ili nesigurna usluga, kao ¹to je tftp,
rizik je koji uljezu omoguæava da "proðe kroz vrata". Kada uljez jednom
dobije korisnièki raèun na va¹em sustavu ili sustavu nekog drugog, mo¾e ga
koristiti za dobivanje pristupa drugom sustavu, ili drugom raèunu.
</LI>
<LI>Obièno vam prijeti netko tko ¾eli neodobren pristup va¹oj mre¾i ili
raèunalu. Odluèite kome vjerujete dovoljno da ima pristup va¹em raèunalu, i
koju bi on prijetnju mogao predstavljati.

Evo nekoliko vrsta uljeza. Korisno je misliti na razlièite osobine dok
osiguravate svoje sustave.

<DL>
<DT><B>Znati¾eljni</B><DD><P>Ovu vrstu uljeza zapravo zanima koju vrstu sustava i
podataka imate.
<P>
<DT><B>Zloæudni</B><DD><P>Ova vrsta uljeza ¾eli ili sru¹iti va¹e sustave, ili unakaziti
va¹u WWW stranicu, ili vam drukèije oduzeti vrijeme i novac za oporavak.
<P>
<DT><B>Uljez koji se hoæe istaæi</B><DD><P>Ova vrsta uljeza poku¹ava preko va¹eg sustava
doæi do popularnosti ili slave. Mo¾e va¹ va¾an sustav koristiti za
razgla¹avanje svoje sposobnosti.
<P>
<DT><B>Konkurencija</B><DD><P>Ove uljeze zanima koje podatke imate na sustavu. Mo¾da
misle da imate ne¹to ¹to bi im dobro do¹lo financijski ili drugaèije.
</DL>

</LI>
<LI>Ranjivost opisuje koliko je dobro va¹e raèunalo za¹tiæeno od drugih mre¾a i
moguænost neodobrenog pristupa.

©to je na kocki ako netko provali u va¹ sustav? Naravno da brige kuænog
korisnika dinamièkog PPP-a nisu jednake brigama tvrtke koja svoje raèunalo
spaja na Internet ili drugu veæu mre¾u.

Koliko bi vam vremena trebalo da ponovo nabavite/napravite izgubljene
podatke? Vrijeme ulo¾eno sada mo¾e spasiti deset puta vi¹e vremena poslije
ako budete morali ponovno stvoriti podatke koje izgubite. Jeste li
u zadnje vrijeme provjerili svoju strategiju backupa i svoje podatke?</LI>
</UL>
<P>
<H2><A NAME="ss2.4">2.4 Razvijanje sigurnosne politike</A>
</H2>

<P>
<P>Napravite jednostavnu, opæenitu politiku za svoj sustav, koju va¹i korisnici
mogu lako razumjeti i po¹tovati. Ona treba za¹tititi podatke koje èuvate,
kao i privatnost korisnika. Neke stvari koje biste mogli dodati je tko ima
pristup sustavu (mo¾e li moj prijatelj koristiti moj raèun?), kome je
dozvoljeno da na sustav instalira softver, tko posjeduje koje podatke,
oporavljanje od katastrofe i prikladno kori¹tenje sustava.
<P>Opæe prihvaæena sigurnosna politika poèinje frazom:
<BLOCKQUOTE>
©to nije dozvoljeno zabranjeno je.
</BLOCKQUOTE>
<P>To znaèi da ako korisniku ne date pristup usluzi, on je ne smije koristiti
dok pristup ne dobije. Provjerite da li to funkcionira na va¹em obiènom
korisnièkom raèunu -- reæi "ma ne mogu shvatiti ovaj problem s dozvolama,
idem jednostavno biti root" mo¾e dovesti do vrlo oèitih sigurnosnih rupa,
èak i dosad nepoznatih.
<P>
<H2><A NAME="ss2.5">2.5 Naèini osiguravanja va¹eg sustava</A>
</H2>

<P>
<P>Ovaj dokument æe govoriti o raznim sredstvima osiguravanja stvari za koje
ste toliko radili: va¹e lokalno raèunalo, podatke, korisnike, mre¾u, èak i
va¹ ugled. ©to æe se dogoditi s va¹im ugledom ako uljez obri¹e podatke nekog
va¹eg korisnika? Ili vam unakazi WWW stranice? Ili objavi poslovne planove
va¹e tvrke za slijedeæi kvartal? Ako planirate mre¾nu instalaciju, mnogo
faktora treba uzeti u obzir prije dodavanja ijednog raèunala.
<P>Èak i ako imate jednostavan PPP raèun ili malen sustav, to ne znaèi da
uljeze ne zanimate. Veliki, istaknuti sustavi nisu jedine mete -- mnogi
uljezi jednostavno ¾ele iskoristiti ¹to vi¹e sustava bez obzira na njihovu
velièinu. Takoðer mogu koristiti sigurnosnu rupu u va¹em sustavu za pristup
drugim sustavima kojima ste spojeni.
<P>Uljezi imaju mnogo vremena i mogu izbjeæi pogaðanje naèina na koji ste
osigurali sustav jednostavnim isprobavanjem svih moguænosti. Ima jo¹
nekoliko razloga zbog kojih bi se uljez mogao zanimati za va¹e sustave o
kojima æemo govoriti poslije.
<P>
<H4><A NAME="ss2.5.1">2.5.1 Sigurnost raèunala</A>
</H4>

<P>
<P>Mo¾da se najvi¹e brige za sigurnost tro¹i na pojedina raèunala. To obièno znaèi
provjeravanje sigurnosti va¹eg sustava uz nadu da svi ostali na mre¾i rade
isto. Odabir dobrih lozinki, osiguravanje usluga lokalne mre¾e va¹eg
poslu¾itelja, pa¾ljivo odr¾avanje korisnièkih raèuna i nadogradnja programa
s poznatim sigurnosnim rupama dio su odgovornosti lokalnog sigurnosnog
administratora. Iako je to potpuno nu¾no, postaje te¾ak zadatak ako va¹a
mre¾a raèunala postane veæa.
<P>
<H4><A NAME="ss2.5.2">2.5.2 Sigurnost va¹e mre¾e</A>
</H4>

<P>
<P>Sigurnost mre¾e potrebna je koliko i sigurnost lokalnog raèunala. Uz va¹
sustav, ili distribuiranu raèunalnu mre¾u, Internet, ili stotine, ako
ne i tisuæe raèunala na istoj mre¾i ne mo¾ete raèunati na sigurnost svakog
od njih. Provjeravanje dozvola samo provjerenim korisnicima za kori¹tenje
va¹ih mre¾nih resursa, graðenje firewalla, kori¹tenje jake enkripcije i
provjere da nema izlo¾enih ili nesigurnih raèunala na va¹oj mre¾i sve su dio
du¾nosti mre¾nog sigurnosnog administratora.
<P>Ovaj æe dokument govoriti o nekim tehnikama za osiguravanje va¹eg sustava u
nadi da vam poka¾e neke naèine spreèavanja pristupanja uljeza u ono ¹to
poku¹avate za¹tititi.
<P>
<H4><A NAME="ss2.5.3">2.5.3 Sigurnost pomoæu opskurnosti</A>
</H4>

<P>
<P>Jedna vrsta sigurnosti koju je potrebno raspraviti je "sigurnost preko
opskurnosti". To se odnosi na stvari poput mijenjanja imena 'root' u 'toor'
kako bi se ote¾ala provala u va¹ sustav kao root -- osjeæaj sigurnosti
je la¾an i dovest æe do vrlo neugodnih posljedica. Budite sigurni da æe
svaki napadaè na sustav brzo progledati kroz takve prazne sigurnosne mjere.
To ¹to imate malen sustav ili niste istaknuti ne znaèi da se uljezi neæe
zanimati za ono ¹to imate. U slijedeæim dijelovima govorit æemo o onome ¹to
¹titite.
<P>
<H2><A NAME="ss2.6">2.6 Organizacija ovog dokumenta</A>
</H2>

<P>
<P>Ovaj dokument podijeljen je na vi¹e dijelova. Oni pokrivaju razne vrste
sigurnosnih problema. Prvi, o fizièkoj sigurnosti, govori o za¹titi va¹eg
raèunala od fizièkog petljanja. Drugi opisuje kako za¹tititi va¹ sustav od
petljanja lokalnih korisnika. Treæi, o datotekama i sigurnosti datoteènog
sustava, pokazuje kako namjestiti datoteène sustave i dozvole na va¹im
datotekama. Slijedeæi, o sigurnosti preko lozinki i enkripcije, govori o
kori¹tenju enkripcije za bolju sigurnost va¹eg raèunala i mre¾e. Sigurnost
kernela govori o moguænostima kernela koje biste trebali koristiti ili biti
svjesni za sigurniji stroj. Sigurnost mre¾e opisuje kako bolje osigurati
svoj Linux sustav od napada s mre¾e. Sigurnosne pripreme govori o
pripremanju va¹eg/ih raèunala prije nego ¹to ih umre¾ite. Slijedeæi dio
govori ¹to poduzeti kada otkrijete provalu sustava u toku ili koja se
nedavno dogodila. Zatim su nabrojeni drugi izvori informacija o sigurnosti,
a na kraju su neka pitanja i odgovori i nekoliko zavr¹nih rijeèi.
<P>Dvije va¾ne stvari koje trebate shvatiti èitajuæi ovaj dokument su:
<UL>
<LI>Budite svjesni svog sustava. Provjeravajte logove sustava kao ¹to je
/var/log/messages i pazite na svoj sustav, i</LI>
<LI>Drugo, dr¾ite svoj sustav svje¾im instaliranjem trenutnih verzija softvera i
nadogradnjama zbog sigurnosnih opasnosti. To æe va¹ sustav uèiniti znatno
sigurnijim.</LI>
</UL>
<P>
<HR>
<A HREF="Sigurnost-KAKO-3.html">Sljedeæi dio</A>
<A HREF="Sigurnost-KAKO-1.html">Prethodni dio</A>
<A HREF="Sigurnost-KAKO.html#toc2">Sadr¾aj</A>
</BODY>
</HTML>