Beveiliging in Linux
1. Virussen en antivirus
Linux is een zeer open systeem, veelal is de broncode voor iedereen zichtbaar, en dat is bijgevolg een niet zo goede plaats om een virus in te verstoppen, toepassingen in linux die alleen in binary-vorm voorkomen zijn zeer zeldzaam.Daarenboven, vooraleer een "linux binary virus" een uitvoerbaar bestand kan infecteren, moet dat bestand beschrijfbaar zijn door de gebruiker die het uitvoert. dat is doorgaans niet het geval in linux, meestal is dat voorbehouden aan de root. De rechten of "permissies" op de bestanden zijn nogal beperkend voor de gewone gebruiker en dat is zeer zeker een "beveiligende factor".
Linuxgebruikers zijn door de band ook meer attent voor bepaalde toestanden, veel windowsgebruikers zullen zich laten verleiden om een bestand met b.v. de naam "Clouseau.MP3.vbs" aan te clicken in de hoop dat muziek het resultaat zal zijn, en niet vermoedend dat het om een visual basic bestand gaat. In linux wordt zoiets trouwens sowieso niet uitgevoerd.
Bovendien moet je een en ander vooral zien in het licht van volgend feit: een computervirus kan, net als een een levend virus, zich alleen verspreiden of "overleven", als zijn graad van reproductie hoger ligt dan zijn uitroeiings- of "sterftegraad". Vanaf een bepaalde drempelwaarde is het virus gedoemd om langzaam uit te sterven. Ontdekking door antivirusprogramma's, herinstallatie, upgrades, enz. zorgen dat het aantal kleiner en kleiner wordt. Louter theoretisch is een vorm van virusepidemie in linux mogelijk, maar er zou een bijzonder nieuwe aanpak nodig zijn in de virusonvriendelijke linuxomgeving.
Is dat allemaal reden om ons geen zorgen te maken? Nee, je moet argwanend blijven, wees voorzichtig met emails van vreemde oorsprong, zowel bijgevoegde bestanden als foto's kunnen gevaarlijk zijn, (in de code van een kleurfoto kan gemakkelijk een script worden verborgen.. ), vraag aan je kennissen om in emails zoveel mogelijk gewone tekst te gebruiken (ascii) en geen html, (open eens een .html bestandje in "kladblok" en kijk eens wat je allemaal tussen de codes kan verbergen!). Denk eraan dat een nieuw virus verspreid geraakt omdat het de bestaande antivirusprogramma's omzeilt!
Daarnaast is het, voor ons linuxers, gelukkig zo dat die infecties in principe alleen gevaarlijk zijn voor de windows-partitie die misschien nog op dezelfde HD aanwezig is.
De hamvraag is dus: hebben wij, als linuxgebruikers nu een antivirusprogramma nodig of niet?
Wel, tot hiertoe is niemand uit mijn kennissenkring van linuxers ooit met een linux-operating-system-virus geconfronteerd geweest, maar er zijn wel degelijk enkele virusscanners beschikbaar, en het kan een gerustelling zijn, van die af en toe eens hun werk te laten doen. Wat mij wel overbodig lijkt, is het continue scannen zoals bij de gebruikers van m$ software een noodzakelijk kwaad is.
Wat is er zoal op de markt voor nieuwsgierige of argwanende linux-thuisgebruikers?
Via de synaptic van Ubuntu kan je Aegis installeren maar de aanwezige versie wordt sinds halfweg 2006 niet verder ondersteund, er is wel een recenter Aegis 2.0 pakket te vinden onder vorm van een "tarball".
Ook via Synaptic kan je Clamav installeren. Daar worden goeie dingen over verteld, maar ik heb er nog geen grafisch frontend voor gezien.
Een derde programma is AVG, waarvan ook versies voor Windows en Macintosch bestaan. Je kan het vinden onder vorm van een .deb pakket. Als je in Ubuntu op het bureaulad of in de persoonlijke map op een .deb pakket rechtsclickt, is een van de opties "openen met GDebi pakketinstallatie" en het installeren verloopt dan vlot.
2. Firewalling
Behalve het zoeken naar virussen, hoe zit het met de bescherming van onze PC of LAN door firewalls?In linux is het zo dat de firewall-filtermogelijkheden standaard ingebouwd zijn in de kernel. Het zijn de iptables, en die laten toe van zelf een firewall naar eigen behoeften uit te bouwen, maar eenvoudig is anders, hoewel er veel documentatie over bestaat.
Standaard is er in Ubuntu een elementaire vorm van firewall aanwezig. De instellingen daarvan krijg je te zien met het commando:
sudo iptables -L. Daarnaast is er "Firestarter", dat in feite een frontend programma is om aan de firewall te sleutelen.
Als je, behalve de standaard Ubuntu toestand, bovendien ook NAT (Net Address Translating) toepast, b.v. door eenvoudigweg een gewone router te plaatsen tussen je internet-modem en je PC's zit je al erg veilig. Je poorten zijn van buitenaf onzichtbaar! Als je aan die router dan een tweede en derde PC hangt beschik je meteen ook over een LAN (Local Area Netwerk)! Weinig reden om dat niet te doen dus!
Bijzondere aandacht vereist het gebruik van een linux-netwerkserver die over een gemengd netwerk moet waken, de firewallfilters moeten in dat geval extra goed verzorgd zijn, en daar is het linuxpakket IPCOP een prachtig voorbeeld van.
Wellicht heb je al iets gehoord over de beruchte rootkits. Het zijn softwarepakketten die in staat zijn bepaalde controles van het operating system over te nemen en zichzelf praktisch onzichtbaar te maken. Ze vervangen daarvoor een aantal essentiele commando's door hun eigen versie. Stel je voor dat het commando passwd is overgenomen op het ogenblik dat de niets vermoedende ROOT nieuwe users installeert of zijn eigen paswoord veranderd! De huidige rootkits zorgen door de band ook voor ongemerkte "root-access" van buitenaf. Dat laat crackers b.v. toe de PC alleen te gebruiken als het hen goed uitkomt, tussenin is het een "zombiecomputer".
Honderdduizenden PC's over de ganse wereld zijn op dit ogenblik zombiecomputers, zonder dat de eigenaars het beseffen. Ze kunnen gebruikt worden voor massale aanvallen op serversystemen, of, minder erg maar zeer vervelend, om spam te versturen.
De venijnigste rootkits ontsnappen zelfs aan de programma's die verondersteld zijn hen op te sporen, m.a.w. absolute zekerheid is een illusie!!
Daarmee rekening houdend is het een goeie poliitiek om bij het verschijnen van een nieuwe release van je favoriete linuxdistributie (om de zes maanden bij Ubuntu!), de bestaande NIET TE UPDATEN maar een volledig nieuwe installatie uit te voeren op een partitie die uiteraard geformatteerd wordt.
3. SUDO en ROOT-RECHTEN
Wie met andere linuxdistributies heeft gewerkt weet dat je op twee manieren kan "bezig zijn", nl. als gewone gebruiker of als systeembeheerder (root).De gewone gebruiker (user) beschikt in de map /home/ over een eigen map. Hij mag alle dagelijkse taken uitvoeren en met de verschillende programma's werken. De ROOT mag veel meer, die mag de systeembestanden aanpassen, nieuwe programma's installeren en zelfs.. alles verknoeien.
(Ook in windooz-XP bestaat het principe van systeembeheerder en gebruiker, maar de meeste mensen weten dat niet en werken op de meest onveilige manier, trouwens de gewone gebruiker mag in XP meer dan goed is voor de veiligheid van het systeem.)
De makers van ubuntu gaan ervan uit dat inloggen als root af te raden is. Het klopt natuurlijk dat als iemand het paswoord van de root kan achterhalen hij baas wordt over het ganse systeem. Daarom doet ubuntu het wat anders dan de meeste distro's. Na installatie is het paswoord voor root standaard uitgeschakeld. In plaats daarvan wordt aan de eerste gebruiker de mogelijkheid gegeven om tijdelijk met rootrechten op te treden. Hij kan nl. een beheerderstaak uitvoeren door het commando te laten voorafgaan door "sudo". Er zal wel naar zijn paswoord worden gevraagd.
Wie als gewone gebruiker b.v. in een terminal mc intypt komt in de fameuze Midnight Commander terecht, (Zie bij "Mappen doorzoeken") en dan kan je b.v. gaan kijken naar de grub-opstartmenu in het bestand /boot/grub/menu.lst. Ogenschijnlijk zal je daar met F4 (bewerken) zelfs iets kunnen veranderen maar het zal niet lukken om dat ook weg te schrijven met F2 (opslaan). Als je had opgestart met sudo mc was dat wel gelukt!
Linuxers die gewoon zijn met Debian te werken zullen je vertellen dat het altijd mogelijk om vlug een echte root te maken, zelfs in Ubuntu, en dat is inderdaad zo, alleen is het voor normaal desktopgebruik echt niet nodig. Vermits bij Ubuntu het grafisch inloggen als root niet standaard voorzien is, blijft het trouwens nodig om de eerste gebruiker zijn sudorechten te laten behouden. Eigenlijk heeft het eventueel creëren van een echte systeembeheerder alleen zin als je van plan bent dieper op de zaken in te gaan, en b.v. ook aan "netwerking en remote toestanden" te beginnen.
Als je de mogelijkheden van een normale gebruiker voorzichtigheidshalve wil beperken, kan je best een tweede user aanmaken via Systeem -> Beheer -> Gebruikers en groepen, enz., en daar door aan- of uitvinken, de juiste mogelijkheden instellen.
Als het om veiligheid t.o.v. het internet gaat is vooral een zekere discipline van belang: laat je browser niet op het internet staan, terwijl je eigenlijk met totaal andere zaken bezig bent, en zet je email programma "off-line", behalve als je emails wilt binnenhalen.
Sommige (ADSL)modems laten ook toe de verbinding met het internet tijdelijk op "disconnect" te zetten. Bij de volgende "connect" krijg je gewoon een nieuw IP-adres toegekend. Misschien breng je daar mogelijke "crackers" mee in de war!
 |
Inleiding Vorige pagina Volgende pagina