Samozrejme, môžeme to povedať Linux viac bezpečné(chránené) ako Windows. Bezpečnosť V Linux vstavané, a nie priskrutkované niekde na boku, ako je to implementované vo Windows. Bezpečnosť systémov Linux pokrýva oblasť od jadra po pracovnú plochu, ale existuje šanca, že hackeri poškodia váš domovský adresár (/home).

Vaše bajty fotografií, domácich videí, dokumentov a údajov o kreditných kartách alebo peňaženkách sú najcennejšie informácie obsiahnuté v počítači. Samozrejme, Linux nie je náchylný na všetky druhy internetových červov a vírusov pre Windows. Útočníci však môžu nájsť spôsob, ako získať prístup k vašim údajom vo vašom domovskom adresári.

Po príprave starého počítača resp HDD formátovanie pred predajom, myslíte, že to bude stačiť? Na obnovu dát existuje množstvo moderných nástrojov. Hacker môže ľahko obnoviť vaše údaje pevný disk bez ohľadu na OS, v ktorom ste pracovali.

Pri tejto téme si spomínam na skúsenosť jednej firmy s výkupom použitých počítačov a diskov. V rámci svojej činnosti vyniesli verdikt, že 90 % predchádzajúcich majiteľov ich počítača sa pred predajom riadne nestaralo o čistenie pamäťových médií. A extrahovali veľmi citlivé bajty údajov. Je strašidelné si dokonca predstaviť, že niekde v priehradkách na vašom pevnom disku budú informácie na prihlásenie do vašej online banky alebo online peňaženky.

Začnite so základmi zabezpečenia Linuxu

Poďme k základom (), ktoré budú vyhovovať takmer každému
Linuxové distribúcie.

Poďme zašifrovať súborový systém v Linuxe pre úplnejšie zabezpečenie Linuxu

Vlastné heslá problém nevyriešia, pokiaľ naozaj nechcete, aby nikto nemohol čítať váš domovský adresár (/home) alebo určitú veľkosť bajtu. Môžete to urobiť tak, že ani používateľ s najvyššími oprávneniami root nebude môcť strkať nos.

Odstráňte citlivé súbory, aby ich nikto iný nemohol obnoviť

Ak sa rozhodnete predať alebo darovať svoj počítač alebo pamäťové médium, nemyslite si, že jednoduché formátovanie natrvalo odstráni vaše súbory. Do svojho Linuxu si môžete nainštalovať nástroj bezpečného odstránenia, ktorý obsahuje nástroj srm na bezpečné odstraňovanie súborov.

Tiež nezabudnite na firewall v jadre Linuxu. Zahrnuté vo všetkých Linuxové distribúcie zahŕňa lptables, ktorý je súčasťou jadra. Lptables vám umožňuje filtrovať sieťové pakety. Samozrejme, môžete túto utilitu nakonfigurovať v termináli. Ale táto metóda je nad možnosti mnohých, vrátane mňa. Takže ho nainštalujem a nakonfigurujem tak jednoducho, ako keby som hral hru.

Rovnako ako všetky operačné systémy, aj Linux je náchylný na hromadenie najrôznejšieho odpadu pri spúšťaní rôznych aplikácií. A nie je to chyba Linuxu, pretože rôzne aplikácie, ako sú prehliadače, textové editory a dokonca aj prehrávače videa, nefungujú na úrovni jadra a hromadia dočasné súbory. Môžete si nainštalovať pomôcku BleachBit na univerzálne odstraňovanie odpadu.

Anonymné surfovanie, skrytie vašej IP – veľmi dôležité pre bezpečnosť vašej identity pod Linuxom

Na záver vám chcem povedať o anonymnom surfovaní po webe. Občas sa stane, že je to nevyhnutné, ako ja, keď potajomky od manželky navštevujem stránky s erotickým obsahom. Samozrejme, žartoval som.

Pre útočníkov bude ťažké sa k vám dostať, ak nedokážu určiť vašu polohu. Zakrývame naše stopy jednoduchým nastavením dvoch nástrojov, ktoré spolupracujú, nazývané privoxy a tor.

Podľa môjho názoru dodržiavanie a konfigurácia všetkých týchto pravidiel udrží vás a váš počítač 90% v bezpečí.

P.S. Používam cloud s názvom dropbox. Ukladám do nej svoje staré aj nové, ešte nepublikované články. Je pohodlné mať prístup k svojim súborom odkiaľkoľvek na svete a na akomkoľvek počítači. Pri písaní článkov pre webovú stránku v textový editor, šetrím svoje textové dokumenty s heslom a až potom ho nahrám na server dropbox. Nikdy by ste nemali zanedbávať extra bezpečnosť, ktorá vám bude len hrať do karát.

Zdravím všetkých... Všetci začínajúci administrátori pod Ubuntu majú za úlohu nastaviť sieťové rozhrania (sieť, sieťové karty) V tomto článku vám ukážem ako na to... Robí sa to veľmi jednoducho...

Ak ste nejako zmeškali nastavenie siete alebo ste videli ťažkosti pri inštalácii distribúcie, teraz to urobíme ručne. A tak máme distribúciu nainštalovanú a čaká na nás v útoku... Potrebujeme nakonfigurovať 2 sieťové karty..... Jeden z nás čelí poskytovateľovi a druhý. lokálna sieť. Okamžite súhlasme a označme naše rozhrania a adresy.

eth0— 192.168.0.1 (povedzme, že toto je adresa vydaná poskytovateľom) Rozhranie, ktoré sa pozerá na internet (poskytovateľ)
eth1— 10.0.0.1 (adresa, ktorú chceme dať tomuto rozhraniu) Rozhranie smerujúce k lokálnej sieti

Najprv si skontrolujeme, ktoré rozhrania sme už príkazom spustili ifconfig Uvidíte niečo také (iba s vašimi údajmi namiesto xxxxx)

Eth0 Link encap:Ethernet HWaddr хх:хх:хх:хх:хх:хх inet addr:xxx.xxx.xxx.xxx Bcast:xxx.xxx.xxxx.xxx Maska:255.255x25:255.25xx:255.25 :xxx:xxxx/64 Rozsah:Pripojenie UP VYSIELANIE RUNNÉHO MULTICAST MTU:1500 Metrika:1 RX pakety:31694097 chyby:0 zahodené:0 prekročenia:0 rámec:0 TX pakety:15166512 chyby:0 zahodené:0 prekročenia:0 nosič: 0 kolízií:0 txqueuelen:100 RX bajtov:2215593127 (2,2 GB) TX bajtov:1577680249 (1,5 GB) Pamäť:b8820000-b8840000 eth1 Link encap:Ethernetxx ind.:1xxx:1xx:0 0.1 Bcast:10.0.0.255 Maska:255.255.255.0 inet6 xxxx: xxxx::xxxx:xxxf:xxx:xxx/64 Rozsah:Link UP BROADCAST RUNNING MULTICAST MTU:1500 RUNX 3 chyby vypadnuté:1 metrika:1:1 :0 frame:0 TX pakety:21539638 chyby:0 zahodené:0 prekročenia:0 nosič:0 kolízie:0 txqueuelen:100 RX bajtov:1262641422 (1,2 GB) TX bajtov:1922838889 (1,9 GB) Pamäť:00008 Link-80b encap:Local loopback inet addr:127.0.0.1 Mask:255.0.0.0 inet6 addr: ::1/128 Rozsah:Host UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:3823 errors:0 droped:0 overruns: 0 frame: 0 TX pakety:3823 chyby:0 zahodené:0 prekročenia:0 nosič:0 kolízie:0 txqueuelen:0 RX bajtov:717663 (717,6 KB) TX bajtov:717663 (717,6 KB)

Ak sa jedno z rozhraní nezobrazuje, je to v poriadku. Len je vypnutý, zapnime ho príkazom sudo ifconfig eth1 up(namiesto eth1 zadajte svoje rozhranie, ak máte 2 sieťové karty, potom existujú iba 2 rozhrania: eth0 a eth1) A tak povolíme naše rozhranie:

sudo ifconfig eth1 up

A tak začnime nastavovať.

Priraďme rozhraniu eth0 IP adresu vydanú poskytovateľom pomocou nasledujúceho príkazu:

sudo ifconfig eth1 inet 192.168.0.2

A zadajte masku siete:

sudo ifconfig eth0 sieťová maska ​​255.255.255.0

Takto vykonané nastavenia sa resetujú po reštarte servera.
Aby ste tomu zabránili, musíte zmeniť nastavenia konfiguračný súbor sieťové rozhrania. Na to potrebujete práva root. Vezmime si práva Root s nasledujúcim príkazom:

sudo su

Konfiguračný súbor sieťových rozhraní sa nachádza na adrese /etc/network/interfaces Na úpravu používame Nano editor (môžete použiť vlastný editor) Páči sa mi to Nano

nano /etc/network/interfaces

Vidíme nasledovné:

# Tento súbor popisuje sieťové rozhrania dostupné vo vašom systéme # a ako ich aktivovať. Viac informácií nájdete v časti rozhrania(5). # Sieťové rozhranie spätnej slučky auto lo iface lo inet loopback # Primárne sieťové rozhranie//Primárne sieťové rozhranie auto eth0//Priradenie nasledujúcich atribútov sieťovému rozhraniu iface eth0 inet statický//Automaticky povoliť sieťové rozhranie adresa 192.168.0.2//ip adresa našej sieťovej karty (vydanej poskytovateľom) sieťová maska ​​255.255.255.0//Maska siete, v ktorej sa nachádza naša IP sieť 192.168.0.0//Sieť celého sortimentu vysielané 192.168.0.255//Max. počet adries brána 192.168.0.1//Brána Voľby # dns-* sú implementované balíkom resolvconf, ak je nainštalovaný

Je potrebné ho zredukovať do nasledujúcej podoby

# Tento súbor popisuje sieťové rozhrania dostupné na vašom systéme # a ako ich aktivovať. Ďalšie informácie nájdete v časti rozhrania(5). # Sieťové rozhranie spätnej slučky auto lo iface lo inet loopback # Primárne sieťové rozhranie auto eth0 iface eth0 inet statická adresa 192.168.0.2 sieťová maska ​​255.255.255.0 sieť 192.168.0.0 brána 192.168.0.0, možnosti resolv-balíka-*cond sú implementované pomocou 192.168.0.1 ak sú nainštalované DNS-nameservery 192.168.22.22 192.168.33.33 #Rozhranie, ktoré sa pozerá do lokálnej siete auto eth1 iface eth1 inet statické adresa 10.0.0.1 sieťová maska ​​255.255.255.0

Zmeny uložte kliknutím Klávesy Ctrl+ O a ukončite stlačením Ctrl + X

Adresy serverov DNS je možné nastaviť v súbore /etc/network/interfaces, ale adresy serverov DNS v Ubuntu sa spravujú prostredníctvom súboru /etc/resolv.conf; u mňa to vyzerá takto:

menný server xx.xx.xx.xx menný server xx.xx.xx.xx

Nakonfigurujeme DNS; Ak to chcete urobiť, zadajte do riadku nasledujúci príkaz:

Sudo nano /etc/resolv.conf # IP adresy DNS serverov vášho poskytovateľa nameserver хх.ххх.ххх.ххх nameserver ххх.ххх.хх.ххх

Ušetríme Ctrl+O a ideme von Ctrl + x musíte tiež reštartovať sieť pomocou nasledujúceho príkazu.

Všetci vieme, že operačná sála Linuxový systém veľa bezpečnejšie ako Windows vďaka svojej architektúre a špeciálnemu systému distribúcie prístupu medzi užívateľmi. Ale aj programátori sú ľudia, nech sa nám to akokoľvek páči, aj oni robia chyby. A kvôli týmto chybám vznikajú v systéme diery, cez ktoré môžu útočníci obísť bezpečnostné systémy.

Tieto chyby sa nazývajú zraniteľnosti a môžu sa vyskytnúť v rôzne programy a dokonca aj v samom jadre systému, čo podkopáva jeho bezpečnosť. vzadu posledné roky Popularita Linuxu začala rásť a výskumníci v oblasti bezpečnosti venujú tomuto systému väčšiu pozornosť. Objavuje sa čoraz viac zraniteľností, ktoré sa vďaka otvorenému zdrojovému kódu dajú veľmi rýchlo odstrániť. V tomto článku sa pozrieme na najnebezpečnejšie linuxové zraniteľnosti, ktoré boli objavené za posledných pár rokov.

Pred prechodom na zoznam zraniteľností je dôležité pochopiť, čo sú a čo sú. Ako som povedal, zraniteľnosť je chyba v programe, ktorá používateľovi umožňuje používať program spôsobom, ktorý jeho vývojár nezamýšľal.

Môže to byť nedostatočná kontrola správnosti prijatých údajov, kontrola zdroja údajov a čo je najzaujímavejšie, veľkosť údajov. Najnebezpečnejšie zraniteľnosti sú tie, ktoré umožňujú spustenie ľubovoľného kódu. IN Náhodný vstup do pamäťe všetky dáta majú určitú veľkosť a program je určený na zapisovanie dát od užívateľa určitej veľkosti do pamäte. Ak používateľ odovzdá viac údajov, malo by to vyvolať chybu.

Ale ak sa programátor pomýli, dáta prepíšu programový kód a procesor sa ho pokúsi vykonať, čím sa vytvoria zraniteľnosti pretečenia vyrovnávacej pamäte.

Taktiež všetky zraniteľnosti je možné rozdeliť na lokálne, ktoré fungujú len vtedy, ak má hacker k nim prístup lokálny počítač a vzdialený, keď postačuje prístup cez internet. Teraz prejdime k zoznamu zraniteľností.

1. Špinavá KRAVA

Prvá na našom zozname bude čerstvá zraniteľnosť, ktorá bola objavená tento rok na jeseň. Názov Dirty COW znamená Copy on Write. Počas kopírovania pri zápise sa v systéme súborov vyskytne chyba. Ide o lokálnu zraniteľnosť, ktorá umožňuje každému neprivilegovanému používateľovi získať úplný prístup do systému.

Stručne povedané, na zneužitie zraniteľnosti potrebujete dva súbory, jeden je zapisovateľný iba v mene superužívateľa, druhý pre nás. Začneme zapisovať dáta do nášho súboru mnohokrát a čítať zo súboru superuser, cez určitý čas príde čas, keď sa premiešajú vyrovnávacie pamäte oboch súborov a používateľ bude môcť zapisovať dáta do súboru, ktorý nemôže zapisovať, čím si udelí práva root v systéme.

Zraniteľnosť bola v jadre asi 10 rokov, no po objavení bola rýchlo opravená, hoci stále existujú milióny zariadení Andoid, v ktorých jadro nebolo aktualizované a nemyslí a kde sa dá táto zraniteľnosť zneužiť. Kód zraniteľnosti bol CVE-2016-5195.

2. Zraniteľnosť Glibc

Kód zraniteľnosti bol CVE-2015-7547. Toto bola jedna z najdiskutovanejších zraniteľností medzi projektmi s otvoreným zdrojovým kódom. Vo februári 2016 sa zistilo, že knižnica Glibc má veľmi vážnu zraniteľnosť, ktorá umožňuje útočníkovi spustiť jeho kód na vzdialenom systéme.

Je dôležité poznamenať, že Glibc je implementáciou štandardnej knižnice C a C++, ktorá sa používa vo väčšine Linuxové programy vrátane služieb a programovacích jazykov ako PHP, Python, Perl.

V kóde na analýzu odpovede servera DNS sa vyskytla chyba. Zraniteľnosť by teda mohli zneužiť hackeri, ktorých DNS bol prístupný zraniteľným počítačom, ako aj tým, ktorí vykonali útok MITM. Zraniteľnosť však poskytla úplnú kontrolu nad systémom

Zraniteľnosť bola v knižnici od roku 2008, ale po objavení boli záplaty uvoľnené pomerne rýchlo.

3.Srdcové krvácanie

V roku 2014 bola objavená jedna z najzávažnejších zraniteľností z hľadiska rozsahu a následkov. Spôsobila to chyba v module heartdead programu OpenSSL, odtiaľ názov Heartbleed. Zraniteľnosť umožnila útočníkom získať priamy prístup k 64 kilobajtom RAM servera; útok sa mohol opakovať, kým sa neprečítala celá pamäť.

Aj keď bola oprava uvoľnená veľmi rýchlo, ovplyvnilo to veľa stránok a aplikácií. V skutočnosti boli zraniteľné všetky stránky, ktoré používali HTTPS na zabezpečenie prevádzky. Útočníci mohli získať heslá používateľov, ich osobné údaje a všetko, čo bolo v čase útoku v pamäti. Kód zraniteľnosti bol CVE-2014-0160.

4. Tréma

Ak zraniteľnosť dostala kódové označenie, jednoznačne to znamená, že si zaslúži pozornosť. Zraniteľnosť Stagerfight nie je výnimkou. Je pravda, že to v skutočnosti nie je problém Linuxu. Stagefright je knižnica na spracovanie multimediálnych formátov v systéme Android.

Je implementovaný v C++, čo znamená, že obchádza všetky bezpečnostné mechanizmy Java. V roku 2015 bola objavená celá skupina zraniteľností, ktoré umožňovali na diaľku spúšťať ľubovoľný kód v systéme. Tu sú: CVE-2015-1538, CVE-2015-1539, CVE-2015-3824, CVE-2015-3826, CVE-2015-3827, CVE-2015-3828 a CVE-2015-3829.

Útočníkovi stačilo poslať MMS na zraniteľný smartfón so špeciálne upraveným mediálnym súborom a získal by plnú kontrolu nad zariadením s možnosťou zapisovania a čítania dát z pamäťovej karty. Zraniteľnosť bola opravená vývojármi systému Android, ale milióny zariadení sú stále zraniteľné.

5. Zraniteľnosť nultého dňa jadra

Ide o lokálnu zraniteľnosť, ktorá umožňuje zvýšenie oprávnení. súčasný užívateľ do rootu kvôli chybe v systéme pre prácu s kryptografickými dátami jadra uloženými v pamäti. Bola objavená vo februári 2016 a pokrývala všetky jadrá od verzie 3.8, čo znamená, že zraniteľnosť existovala 4 roky.

Chybu môžu použiť hackeri alebo škodcovia softvér zvýšiť svoju autoritu v systéme, ale bola veľmi rýchlo opravená.

6. Zraniteľnosť v MySQL

Táto chyba zabezpečenia dostala kód CVE-2016-6662 a ovplyvnila všetky dostupné verzie databázové servery údaje MySQL(5.7.15, 5.6.33 a 5.5.52), databázy Oracle a klony MariaDB a PerconaDB.

Útočníci by mohli získať plný prístup do systému prostredníctvom SQL dotaz bol prenesený kód, ktorý vám umožnil nahradiť my.conf vašou verziou a reštartovať server. Taktiež bolo možné spustiť škodlivý kód s právami superužívateľa.

Riešenia MariaDB a PerconaDB vydali záplaty pomerne rýchlo, Oracle reagoval, ale oveľa neskôr.

7. Shellshock

Táto zraniteľnosť bola objavená v roku 2014 a trvala 22 rokov. Bolo mu pridelené CVE-2014-6271 a kódové označenie Shellshock. Táto zraniteľnosť je v nebezpečenstve porovnateľná so Heartbleed, ktorý už poznáme. Je to spôsobené chybou v interpretači príkazov Bash, ktorý je predvoleným interpretom príkazov vo väčšine distribúcií Linuxu.

Bash vám umožňuje deklarovať premenné prostredia bez autentifikácie užívateľa, ale spoločne v nich môžete vykonať ľubovoľný príkaz. Toto je obzvlášť nebezpečné v CGI skriptoch, ktoré podporuje väčšina stránok. Zraniteľné sú nielen servery, ale aj osobné počítače používateľov, smerovačov a iných zariadení. V skutočnosti môže útočník vykonať akýkoľvek príkaz na diaľku, toto je plnohodnotné diaľkové ovládanie bez autentifikácie.

Ovplyvnené boli všetky verzie Bash, vrátane 4.3, hoci po zistení problému vývojári rýchlo vydali opravu.

8. Quadrooter

Ide o celú sériu zraniteľností v Androide, ktorá bola objavená v auguste 2016. Dostali kódy CVE-2016-5340, CVE-2016-2059, CVE-2016-2504, CVE-2016-2503. Viac ako 900 miliónov je ovplyvnených chybou zariadenia so systémom Android. Všetky zraniteľnosti boli nájdené v ovládači procesora Qualcomm ARM a všetky sa dajú použiť dostať koreň prístup k zariadeniu.

Rovnako ako DirtyCOW tu nepotrebujete žiadne povolenia, stačí nainštalovať škodlivú aplikáciu a bude môcť získať všetky vaše údaje a preniesť ich k útočníkovi.

9. Zraniteľnosť v OpenJDK

Toto je veľmi závažná zraniteľnosť systému Linux 2016 v stroji OpenJDK Java s kódom CVE-2016-0636, týka sa všetkých používateľov, ktorí používajú Oracle Java SE 7 Update 97 a 8 Update 73 a 74 pre Windows, Solaris, Linux a Mac OS X. Toto zraniteľnosť umožňuje útočníkovi spustiť ľubovoľný kód mimo počítača Java, ak otvoríte špeciálnu stránku v prehliadači so zraniteľnou verziou Java.

To umožnilo útočníkovi získať prístup k vašim heslám, osobným údajom a tiež spúšťať programy na vašom počítači. Vo všetkom verzie Java Chyba bola veľmi rýchlo opravená, existuje od roku 2013.

10. Zraniteľnosť protokolu HTTP/2

Ide o celý rad zraniteľností, ktoré boli objavené v roku 2016 v protokole HTTP/2. Dostali kódy CVE-2015-8659, CVE-2016-0150, CVE-2016-1546, CVE-2016-2525, CVE-2016-1544. Všetky implementácie tohto protokolu v Apache, Nginx Microsoft, Jetty a nghttp2 boli zraniteľné.

Všetky umožňujú útočníkovi výrazne spomaliť webový server a vykonať útok odmietnutia služby. Jedna z chýb viedla napríklad k možnosti odoslania malej správy, ktorá sa na serveri rozbalila na gigabajty. Chyba bola opravená veľmi rýchlo, a preto nespôsobila v komunite veľký hluk.

Si v bezpečí?

V tomto článku sme sa pozreli na najnebezpečnejšie linuxové zraniteľnosti z rokov 2016, 2015 a 2014. Väčšina z nich by mohla spôsobiť vážne poškodenie systémov, ak by neboli včas opravené. Vďaka otvorenému zdrojovému kódu sú takéto linuxové zraniteľnosti efektívne detekované a rýchlo opravené. Nezabudnite aktualizovať systém. Problém zostáva len s Androidom. Niektoré zariadenia už nedostávajú aktualizácie a zatiaľ neexistuje riešenie tohto problému.

Existuje všeobecná mylná predstava, že servery s operačným systémom Linux sú najbezpečnejšie a chránené pred vonkajšími prienikmi. Bohužiaľ to tak nie je, bezpečnosť akéhokoľvek servera závisí od množstva faktorov a opatrení na jej zaistenie a je prakticky nezávislá od použitého operačného systému.

Rozhodli sme sa začať sériu článkov venovaných bezpečnosti siete so serverom Ubuntu, pretože riešenia na tejto platforme sú pre našich čitateľov veľmi zaujímavé a pretože mnohí veria, že riešenia Linuxu sú samy osebe bezpečné.

Router s vyhradenou IP adresou je zároveň „bránou“ do lokálnej siete a bude záležať len na správcovi, či táto brána bude spoľahlivou bariérou alebo sa ukáže ako brána krajiny uzavretá klinec.

Ďalšou častou mylnou predstavou je uvažovanie v štýle: „kto to potrebuje, náš server, nemáme nič zaujímavé“. Vaša lokálna sieť nemusí byť pre útočníkov zaujímavá, ale môžu použiť napadnutý server na odosielanie spamu, útoky na iné servery, anonymný proxy, skrátka, ako východiskový bod pre svoje pochybné akcie.

A to je už nepríjemné a môže slúžiť ako zdroj rôznych problémov: od poskytovateľa až po orgány činné v trestnom konaní. A o šírení vírusov, krádežiach a ničení dôležitá informácia Nemali by ste zabúdať ani na skutočnosť, že prestoje podniku vedú k celkom hmatateľným stratám.

Napriek tomu, že je článok venovaný Ubuntu Serveru, najskôr sa pozrieme na všeobecné bezpečnostné problémy, ktoré platia rovnako pre každú platformu a sú základmi, bez ktorých nemá zmysel podrobnejšie rozoberať túto problematiku.

Kde začína bezpečnosť?

Nie, bezpečnosť nezačína firewallom, nezačína firewallom vôbec. technické prostriedky, bezpečnosť začína u používateľa. Koniec koncov, na čo sú najlepšie kovové dvere inštalované najlepšími odborníkmi, ak majiteľ nechá kľúč pod kobercom?

Preto prvá vec, ktorú by ste mali urobiť, je vykonať bezpečnostný audit. Nezľaknite sa tohto slova, všetko nie je také zložité: nakreslite si schematický plán siete, na ktorom označíte bezpečnú zónu, zónu potenciálneho nebezpečenstva a zónu vysokého nebezpečenstva, a tiež vytvorte zoznam používateľov, ktorí majú (mali by mať prístup) do týchto zón.

Bezpečná zóna by mala zahŕňať interné zdroje siete, ktoré nie sú prístupné zvonku a pre ktoré je prijateľná nízka úroveň zabezpečenia. Môžu to byť pracovné stanice, súborové servery atď. zariadenia, ku ktorým je prístup obmedzený na podnikovú lokálnu sieť.

Zóna potenciálneho nebezpečenstva zahŕňa servery a zariadenia, ktoré nemajú priamy prístup do vonkajšej siete, ale ktorých jednotlivé služby sú prístupné zvonku, napríklad webové a poštové servery umiestnené za firewallom, ale stále obsluhujúce požiadavky z vonkajšej siete.

Nebezpečná zóna by mala zahŕňať zariadenia priamo prístupné zvonku, v ideálnom prípade by to mal byť jeden router.

Ak je to možné, potenciálne nebezpečná zóna by mala byť umiestnená na samostatnej podsieti - demilitarizovanej zóne (DMZ), ktorá je oddelená od hlavnej siete dodatočným firewallom.

Zariadenia LAN by mali mať prístup len k tým službám v DMZ, ktoré potrebujú, ako sú SMTP, POP3, HTTP a iné pripojenia by mali byť blokované. To vám umožní spoľahlivo izolovať útočníka alebo malvér, ktorý zneužil zraniteľnosť v samostatnej službe v demilitarizovanej zóne, a zakázal im prístup do hlavnej siete.

Fyzicky môže byť DMZ organizovaná inštaláciou samostatného servera / hardvérového firewallu alebo pridaním ďalšieho internetová karta do smerovača, no v druhom prípade si budete musieť dávať veľký pozor na zabezpečenie smerovača. V každom prípade je však oveľa jednoduchšie zabezpečiť bezpečnosť jedného servera ako skupiny serverov.

Ďalším krokom by mala byť analýza zoznamu používateľov, či všetci potrebujú prístup do DMZ a do smerovača (s výnimkou verejných služieb), osobitnú pozornosť je potrebné venovať používateľom pripájajúcim sa zvonku.

Zvyčajne si to vyžaduje veľmi nepopulárny krok presadzovania politiky hesiel. Všetky heslá pre používateľov, ktorí majú prístup ku kritickým službám a majú možnosť pripojenia zvonku, musia obsahovať aspoň 6 znakov a obsahovať okrem malé písmená, znaky z dvoch kategórií z troch: veľké písmená, čísla, neabecedné znaky.

Okrem toho by heslo nemalo obsahovať prihlasovacie meno používateľa alebo jeho časť, nemalo by obsahovať dátumy alebo mená, ktoré možno priradiť k používateľovi, a pokiaľ možno, nemalo by to byť slovo zo slovníka.

Je dobré začať meniť heslá každých 30 až 40 dní. Je jasné, že takáto politika môže spôsobiť odmietnutie zo strany používateľov, ale vždy by ste mali pamätať na to, že heslá sa páčia 123 alebo qwerty ekvivalentné nechať kľúč pod kobercom.

Zabezpečenie servera - nič extra.

Teraz, keď máme predstavu o tom, čo chceme chrániť a pred čím, prejdime k samotnému serveru. Urobte si zoznam všetkých služieb a služieb a potom sa zamyslite nad tým, či sú všetky potrebné na tomto konkrétnom serveri, alebo či sa dajú presunúť niekam inam.

Čím menej služieb, tým ľahšie je zaistiť bezpečnosť a tým menšia je pravdepodobnosť, že server bude ohrozený kritickou zraniteľnosťou v jednej z nich.

Nakonfigurujte služby, ktoré obsluhujú lokálnu sieť (napríklad chobotnice), aby prijímali požiadavky výlučne z lokálneho rozhrania. Čím menej služieb je dostupných externe, tým lepšie.

Dobrým pomocníkom pri zaistení bezpečnosti bude skener zraniteľnosti, ktorý by sa mal použiť na skenovanie externého rozhrania servera. Použili sme demo verziu jedného z najznámejších produktov - XSpider 7.7.

Skener ukazuje otvorené porty, sa pokúsi určiť typ spustenej služby a v prípade úspechu aj jej zraniteľnosti. Ako vidíte, správne nakonfigurovaný systém je celkom bezpečný, ale kľúč by ste nemali nechať pod kobercom, prítomnosť otvorených portov 1723 (VPN) a 3389 (RDP, preposlané na terminálový server) je dobrým dôvodom na zamyslenie sa nad vašou politikou hesiel.

Mali by sme hovoriť aj o bezpečnosti SSH, na túto službu zvyčajne používajú správcovia diaľkové ovládanie a je predmetom zvýšeného záujmu útočníkov. Nastavenia SSH sú uložené v súbore /etc/ssh/sshd_config, sú v ňom vykonané všetky zmeny popísané nižšie. Najprv by ste mali zakázať autorizáciu pod užívateľom root, aby ste to urobili, pridajte možnosť:

PermitRootLogin č

Teraz bude musieť útočník uhádnuť nielen heslo, ale aj prihlasovacie meno a stále nebude poznať heslo superužívateľa (dúfame, že sa nezhoduje s vaším heslom). Všetky administratívne úkony pri pripájaní zvonku by sa mali vykonávať zdola sudo prihlásiť sa ako neprivilegovaný používateľ.

Stojí za to explicitne špecifikovať zoznam povolených používateľov a môžete použiť položky ako užívateľ@hostiteľ, ktorý umožňuje zadanému používateľovi pripojiť sa iba z určeného hostiteľa. Napríklad, aby ste umožnili používateľovi ivanov pripojiť sa z domu (IP 1.2.3.4), mali by ste pridať nasledujúci záznam:

AllowUser [e-mail chránený]

Zakážte tiež používanie zastaraného a menej bezpečného protokolu SSH1, ktorý umožňuje iba druhú verziu protokolu, ak to chcete urobiť, zmeňte nasledujúci riadok na formulár:

Protokol 2

Napriek všetkým prijatým opatreniam budú stále existovať pokusy o pripojenie k SSH a iným verejným službám; aby ste zabránili hádaniu hesla, použite nástroj fail2ban, ktorý umožňuje automaticky zablokovať používateľa po niekoľkých neúspešných pokusoch o prihlásenie. Môžete ho nainštalovať pomocou príkazu:

Sudo apt-get install fail2ban

Tento nástroj je pripravený na prácu ihneď po inštalácii, odporúčame vám však okamžite zmeniť niektoré parametre; za týmto účelom vykonajte zmeny v súbore /etc/fail2ban/jail.conf. V predvolenom nastavení je kontrolovaný iba prístup k SSH a čas banu je 10 minút (600 sekúnd), podľa nášho názoru sa oplatí zvýšiť ho zmenou nasledujúcej možnosti:

Bantime = 6000

Potom prejdite cez súbor a povoľte sekcie pre služby bežiace vo vašom systéme nastavením parametra za názvom príslušnej sekcie povolené v stave pravda, napríklad za službu profpd bude to vyzerať takto:

povolené = pravda

Ďalší dôležitý parameter maxretry, ktorá je zodpovedná za maximálny počet pokusov o pripojenie. Po zmene nastavení nezabudnite reštartovať službu:

Sudo /etc/init.d/fail2ban reštartujte

Denník obslužného programu si môžete pozrieť na /var/log/fail2ban.log.

Podľa cvedetails.com bolo od roku 1999 v linuxovom jadre nájdených 1 305 zraniteľností, z toho 68 v roku 2015. Väčšina z nich nespôsobuje žiadne špeciálne problémy, sú označené ako lokálne a nízke a niektoré je možné vyvolať len pri prepojení s určitými aplikáciami alebo nastaveniami OS. V zásade sú čísla malé, ale jadro nie je celý OS. Zraniteľnosť sa nachádza aj v GNU Coreutils, Binutils, glibs a samozrejme v používateľských aplikáciách. Pozrime sa na tie najzaujímavejšie.

ZRANITEĽNOSTI V JADE LINUX

OS: Linux
Úroveň: Stredná, Nízka
vektor: Diaľkové ovládanie
CVE: CVE-2015-3331, CVE-2015-4001, CVE-2015-4002, CVE-2015-4003
Využiť: koncept, https://lkml.org/lkml/2015/5/13/740, https://lkml.org/lkml/2015/5/13/744

Zraniteľnosť zistená v júni v jadre Linuxu pred verziou 3.19.3 vo funkcii __driver_rfc4106_decrypt v arch/x86/crypto/aesni-intel_glue.c je spôsobená implementáciou RFC4106 pre procesory x86 podporujúce rozšírenie inštrukčnej sady AES AES-NI (navrhované Intel, Intel Advanced Encryption Standard Instructions) v niektorých prípadoch nevypočítava adresy vyrovnávacej pamäte správne. Ak je tunel IPsec nakonfigurovaný na používanie tohto režimu (algoritmus AES – CONFIG_CRYPTO_AES_NI_INTEL), zraniteľnosť môže viesť k poškodeniu pamäte, zlyhaniam a potenciálne vzdialenému spusteniu kódu CryptoAPI. Navyše, najzaujímavejšie je, že problém môže vzniknúť sám o sebe, pri úplne legálnej premávke, bez vonkajšieho zásahu. V čase zverejnenia bol problém vyriešený.

V ovládači ozwpan pre Linux 4.0.5, ktorý má experimentálny stav, bolo identifikovaných päť zraniteľností, z ktorých štyri vám umožňujú zorganizovať útok DoS zrútením jadra odoslaním špeciálne navrhnutých paketov. Problém súvisí s pretečením vyrovnávacej pamäte v dôsledku nesprávneho spracovania celých čísel so znamienkom, pri ktorom výpočet v memcpy medzi požadovanou_veľkosťou a offsetom vrátil záporné číslo, v dôsledku čoho sa údaje skopírujú do haldy.

Nachádza sa vo funkcii oz_hcd_get_desc_cnf v ovládačoch/staging/ozwpan/ozhcd.c a vo funkciách oz_usb_rx a oz_usb_handle_ep_data súboru drivers/staging/ozwpan/ozusbsvc1.c. Ďalšie zraniteľnosti sa týkali možného delenia 0, zacyklenia systému alebo schopnosti čítať z oblastí mimo hraníc pridelenej vyrovnávacej pamäte.

Ovládač ozwpan, nový prírastok do Linuxu, je možné spárovať s existujúcimi bezdrôtovými zariadeniami, ktoré sú kompatibilné s technológiou Ozmo Devices ( Wi-Fi Direct). Poskytuje implementáciu hostiteľského radiča USB, ale trik je v tom, že namiesto fyzického pripojenia periféria komunikuje cez Wi-Fi. Ovládač prijíma sieťové pakety s typom (ethertype) 0x892e, potom ich analyzuje a prekladá do rôznych funkcií USB. Zatiaľ sa používa v ojedinelých prípadoch, takže ho možno deaktivovať uvoľnením modulu ozwpan.ko.

LINUX UBUNTU

OS: Linux Ubuntu 04/12–04/15 (jadro do 15. júna 2015)
Úroveň: Kritické
vektor: Miestne
CVE: CVE-2015-1328
Využiť: https://www.exploit-db.com/exploits/37292/

Kritická zraniteľnosť v súborovom systéme OverlayFS umožňuje prístup root na systémoch Ubuntu, ktoré umožňujú pripojenie oddielov OverlayFS neprivilegovaným používateľom. Vo všetkých vetvách Ubuntu 12.04–15.04 sa používajú predvolené nastavenia potrebné na zneužitie tejto chyby zabezpečenia. Samotný OverlayFS sa objavil v jadre Linuxu relatívne nedávno – počnúc 3.18-rc2 (2014) ide o vývoj SUSE, ktorý nahrádza UnionFS a AUFS. OverlayFS vám umožňuje vytvoriť virtuálnu multivrstvu systém súborov, ktorý kombinuje niekoľko častí iných súborových systémov.

Súborový systém je vytvorený z nižšej a hornej vrstvy, pričom každá z nich je pripojená k samostatným adresárom. Spodná vrstva sa používa iba na čítanie v adresároch ľubovoľných súborových systémov podporovaných v Linuxe, vrátane sieťových. Horná vrstva je zvyčajne zapisovateľná a prepíše údaje v spodnej vrstve, ak sú súbory duplikované. Je žiadaný v Live distribúciách, systémoch virtualizácie kontajnerov a na organizovanie prevádzky kontajnerov pre niektoré desktopové aplikácie. Priestory názvov používateľov vám umožňujú vytvárať vlastné sady ID používateľov a skupín v kontajneroch. Zraniteľnosť je spôsobená nesprávnou kontrolou prístupových práv pri vytváraní nových súborov v adresári základného súborového systému.

Ak je jadro zostavené s CONFIG_USER_NS=y (umožňuje užívateľský menný priestor) a pri pripájaní je špecifikovaný príznak FS_USERNS_MOUNT, OverlayFS môže byť pripojený bežným užívateľom v inom mennom priestore, vrátane operácií s root práva. V tomto prípade operácie so súbormi s právami root vykonávané v takýchto menných priestoroch získajú rovnaké privilégiá pri vykonávaní akcií so základným súborovým systémom. Preto môžete pripojiť ľubovoľný oddiel FS a zobraziť alebo upraviť ľubovoľný súbor alebo adresár.

V čase zverejnenia už bola dostupná aktualizácia jadra s pevným modulom OverlayFS od Ubuntu. A ak je systém aktualizovaný, nemali by byť žiadne problémy. V rovnakom prípade, keď aktualizácia nie je možná, ako dočasné opatrenie by ste mali prestať používať OverlayFS odstránením modulu overlayfs.ko.

ZRANITEĽNÉ SCHOPNOSTI KĽÚČOVÝCH APLIKÁCIÍ

OS: Linux
Úroveň: Kritické
vektor: lokálne, vzdialené
CVE: CVE-2015-0235
Využiť: https://www.qualys.com/research/security-advisories/exim_ghost_bof.rb

Nebezpečná zraniteľnosť v štandardná knižnica GNU glibc, ktorý je základnou súčasťou operačného systému Linux a v niektorých verziách Oracle Communications Applications a Oracle Pillar Axiom, bol objavený počas auditu kódu hackermi Qualys. Dostal kódové meno GHOST. Toto je pretečenie vyrovnávacej pamäte vo funkcii __nss_hostname_digits_dots(), ktorú používajú funkcie glibc ako gethostbyname() a gethostbyname2() na získanie názvu hostiteľa (odtiaľ názov GetHOST). Ak chcete zneužiť túto zraniteľnosť, musíte spôsobiť pretečenie vyrovnávacej pamäte pomocou neplatného argumentu názvu hostiteľa pre aplikáciu vykonávajúcu preklad názvov prostredníctvom DNS. To znamená, že teoreticky môže byť táto zraniteľnosť aplikovaná na akúkoľvek aplikáciu, ktorá používa sieť v tej či onej miere. Dá sa volať lokálne aj vzdialene, čo umožňuje spustenie ľubovoľného kódu.

Najzaujímavejšie je, že chyba bola opravená už v máji 2013, medzi vydaniami glibc 2.17 a 2.18 bola predstavená oprava, ale problém nebol klasifikovaný ako bezpečnostná oprava, takže sa mu nevenovala žiadna pozornosť. V dôsledku toho sa mnohé distribúcie ukázali ako zraniteľné. Pôvodne sa uvádzalo, že úplne prvá zraniteľná verzia bola 2.2 z 10. novembra 2000, ale existuje možnosť, že sa objaví až 2.0. Okrem iného boli ovplyvnené distribúcie RHEL/CentOS 5.x–7.x, Debian 7 a Ubuntu 12.04 LTS. Aktuálne sú dostupné rýchle opravy. Samotní hackeri navrhli nástroj, ktorý vysvetľuje podstatu zraniteľnosti a umožňuje vám skontrolovať váš systém. V Ubuntu 12.04.4 LTS je všetko v poriadku:

$ wget https : //goo.gl/RuunlE $gcc gistfile1. c - o CVE - 2015 - 0235 $. / CVE - 2015 - 0235 nie je zraniteľný

Kontrola systému na GHOST

Takmer okamžite bol vydaný modul umožňujúci vzdialené spúšťanie kódu na x86 a x86_64 Linuxe s funkčným poštový server Exim (s povoleným helo_try_verify_hosts alebo helo_verify_hosts). Neskôr sa objavili ďalšie implementácie, napríklad modul Metasploit na kontrolu blogu na WordPress.

O niečo neskôr, v roku 2015, boli v GNU glibc objavené tri ďalšie zraniteľnosti, ktoré umožňovali vzdialenému používateľovi vykonať útok DoS alebo prepísať pamäťové bunky mimo hranice zásobníka: CVE-2015-1472, CVE-2015-1473, CVE-2015- 1781.

OS: Linux (GNU Coreutils)
Úroveň: Nízka
vektor: Lokálne, vzdialené
CVE: CVE-2014-9471
Využiť: Nie

GNU Coreutils je jedným z hlavných *nix balíkov, vrátane takmer všetkých základných utilít (cat, ls, rm, date...). Problém bol zistený v dátume. Chyba vo funkcii parse_datetime umožňuje vzdialenému útočníkovi bez účtu v systéme spôsobiť odmietnutie služby a prípadne spustiť ľubovoľný kód prostredníctvom špeciálne vytvoreného reťazca dátumu pomocou časového pásma. Zraniteľnosť vyzerá takto:

$ touch ‘-- dátum = TZ = ”123”345”@1’ Porucha segmentácie $ dátum - d ‚TZ = „Európa / Moskva“ „00: 00 + 1 hodina““ Porucha segmentácie $ dátum ‘-- dátum = TZ = ”123”345”@1’ * * * Chyba v dátume: voľné () : neplatný ukazovateľ: 0xbfc11414 * * *

Zraniteľnosť v GNU Coreutils

Ak neexistuje žiadna chyba zabezpečenia, dostaneme správu o nesprávnom formáte dátumu. Takmer všetci vývojári distribúcie Linuxu nahlásili prítomnosť tejto zraniteľnosti. Aktuálne je k dispozícii aktualizácia.

Normálny výstup opravených GNU Coreutils

OS: Linux (grep 2.19–2.21)
Úroveň: Nízka
vektor: Miestne
CVE: CVE-2015-1345
Využiť: Nie

V nástroji grep, ktorý sa používa na vyhľadávanie textu pomocou vzoru, sa zriedkavo nachádzajú zraniteľné miesta. Ale tento nástroj je často nazývaný inými programami, vrátane systémových, takže prítomnosť zraniteľností je oveľa problematickejšia, ako sa zdá na prvý pohľad. Chyba vo funkcii bmexec_trans v kwset.c by mohla spôsobiť čítanie neinicializovaných údajov z oblasti mimo pridelenej vyrovnávacej pamäte alebo spôsobiť zlyhanie aplikácie. Hacker to môže využiť vytvorením špeciálnej sady údajov dodávaných do vstupu aplikácie pomocou grep -F. Aktuálne sú dostupné aktualizácie. Neexistujú žiadne exploity, ktoré využívajú túto zraniteľnosť alebo modul pre Metasploit.

ZRANITEĽNOSŤ V FREEBSD

OS: FreeBSD
Úroveň: Nízka
vektor: Lokálne, vzdialené
CVE: CVE-2014-0998, CVE-2014-8612, CVE-2014-8613
Využiť: https://www.exploit-db.com/exploits/35938/

V databáze CVE za rok 2015 nie je veľa zraniteľností, presnejšie - iba šesť. Výskumníci z Core Exploit Writers Team našli na konci januára 2015 vo FreeBSD 8.4–10.x tri zraniteľnosti. CVE-2014-0998 súvisí s implementáciou ovládača konzoly VT (Newcons), ktorý poskytuje viacero virtuálnych terminálov, povolených parametrom kern.vty=vt v /boot/loader.conf.
CVE-2014-8612 sa vyskytuje pri používaní protokolu SCTP a je spôsobená chybou v overovacom kóde ID streamu SCTP, ktorý implementuje zásuvky SCTP (lokálny port 4444). Podstatou je chyba nedostatku pamäte vo funkcii sctp_setopt() (sys/netinet/sctp_userreq.c). To dáva miestnemu neprivilegovanému používateľovi možnosť zapisovať alebo čítať 16 bitov údajov z pamäte jadra a eskalovať svoje privilégiá v systéme, odhaliť citlivé údaje alebo zlyhať systém.

CVE-2014-8613 umožňuje spustenie dereferencie ukazovateľa NULL pri spracovaní externe prijatého paketu SCTP, keď je nastavená voľba SCTP SCTP_SS_VALUE. Na rozdiel od predchádzajúcich verzií je možné CVE-2014-8613 použiť na vzdialené spôsobenie zlyhania jadra odoslaním špeciálne vytvorených paketov. Vo FreeBSD 10.1 sa môžete chrániť nastavením premennej net.inet.sctp.reconfig_enable na 0, čím zakážete spracovanie blokov RE_CONFIG. Alebo jednoducho zakážte aplikácie (prehliadače, poštových klientov a tak ďalej). Aj keď v čase zverejnenia už vývojári vydali aktualizáciu.

Štatistika zraniteľnosti FreeBSD

ZRANITEĽNOSŤ V OPENSSL

OS: OpenSSL
Úroveň: Diaľkové ovládanie
vektor: Miestne
CVE: CVE-2015-1793
Využiť: Nie

V roku 2014 bola objavená kritická zraniteľnosť Heartbleed v OpenSSL, široko používanom kryptografickom balíku na prácu s SSL/TLS. Incident svojho času vyvolal masívnu kritiku kvality kódu a na jednej strane to viedlo k vzniku alternatív ako LibreSSL, na druhej strane sa samotní vývojári konečne pustili do práce.

Najlepší predajcovia podľa zraniteľností

Kritická zraniteľnosť bola objavená Adamom Langleym z Google a Davidom Benjaminom z BoringSSL. Zmeny vykonané vo verziách OpenSSL 1.0.1n a 1.0.2b spôsobili, že sa OpenSSL pokúsilo nájsť alternatívny reťazec overovania certifikátov, ak bol prvý pokus o vytvorenie reťazca dôveryhodnosti neúspešný. To vám umožní obísť postup overovania certifikátu a zorganizovať potvrdené pripojenie pomocou falošného certifikátu, inými slovami - pokojne nalákať používateľa na falošné stránky alebo servery. Email alebo implementovať akýkoľvek útok MITM, kde sa certifikát používa.

Po zistení zraniteľnosti vydali vývojári 9. júla vydania 1.0.1p a 1.0.2d, ktoré tento problém vyriešili. Verzie 0.9.8 alebo 1.0.0 túto chybu zabezpečenia nemajú.

Linux.Encoder

Koniec jesene sa niesol v znamení objavenia sa množstva šifrovacích vírusov, najskôr Linux.Encoder.0, po ňom nasledovali modifikácie Linux.Encoder.1 a Linux.Encoder.2, ktoré infikovali viac ako 2500 stránok. Podľa antivírusových spoločností sú napadnuté servery Linux a FreeBSD s webovými stránkami využívajúcimi rôzne CMS - WordPress, Magento CMS, Joomla a ďalšie. Hackeri využívajú neidentifikovanú zraniteľnosť. Ďalej bol umiestnený shell skript (súbor error.php), pomocou ktorého ľubovoľný ďalšie akcie(cez prehliadač). Konkrétne bol spustený linuxový kodér Trojan.

Encoder, ktorý určil architektúru OS a spustil ransomvér. Kódovač bol spustený s právami webového servera (Ubuntu - www-data), čo úplne postačuje na šifrovanie súborov v adresári, v ktorom sú uložené súbory a komponenty CMS. Šifrované súbory dostanú novú príponu.encrypted.

Ransomvér sa tiež pokúša obísť iné adresáre OS; ak sú práva nakonfigurované nesprávne, môže ľahko presiahnuť hranice webovej stránky. Ďalej bol do adresára uložený súbor README_FOR_DECRYPT.txt, ktorý obsahuje pokyny na dešifrovanie súborov a požiadavky hackera. Zapnuté tento moment antivírusové spoločnosti zaviedli nástroje, ktoré vám umožňujú dešifrovať adresáre. Napríklad sada od Bitdefender. Musíte si však uvedomiť, že všetky nástroje určené na dešifrovanie súborov neodstraňujú shell kód a všetko sa môže stať znova.

Vzhľadom na to, že mnohí používatelia, ktorí vyvíjajú alebo experimentujú s administráciou webových stránok, často inštalujú webový server domáci počítač, mali by ste sa starať o bezpečnosť: blokujte prístup zvonku, aktualizujte softvér, vykonávajte experimenty na virtuálnom počítači. A samotná myšlienka by mohla byť v budúcnosti použitá na útoky na domáce systémy.

ZÁVER

Komplexný softvér bez chýb fyzicky neexistuje, takže sa musíte zmieriť s tým, že zraniteľnosti budú objavované neustále. Ale nie všetky môžu byť skutočne problematické. A môžete sa chrániť tým, že vezmete jednoduché kroky: odstráňte nepoužívaný softvér, monitorujte nové zraniteľnosti a nezabudnite nainštalovať aktualizácie zabezpečenia, nakonfigurovať bránu firewall a nainštalovať antivírus. A nezabudnite na špeciálne technológie, ako je SELinux, ktoré sú celkom schopné ohroziť démona alebo používateľskú aplikáciu.