2. 2 5. Vinkki parempaan linux- tietoturvaan 1. Ethn pivit
palveliamiasi suoraan linux-jakelijan verkossa tarjoamasta
palvelusta? SUSE Customer Center on erittin turvallinen mutta
suoraan verkosta pivittminen voi kyd tylksi hallinnoida ja olla
hankalan tilanteen tullen hidasta. SUSE tarjoaa aktiivisten
tilausten mukana Subscription Management Tool -aplianssin johon
pivitykset voi kert. SMT -proxy on verkkonne turvallisella alueella
ja SUSE Linux -jakelut voidaan kytke siihen pivittmist varten
https://www.suse.com/documentation/smt11/
3. 3 5. Vinkki parempaan linux- tietoturvaan 2. l pst pkyttjien
salasanoja ksist tai anna kenenkn kytt jrjestelmi jaetuilla
tunnuksilla kuten root tai admin Etuoikeutettujen kyttjien hallinta
voi olla tyls osa linux -maailmaa koska anonyymilla root
-tunnuksella tehdyt tehtvt eivt identifioidu identiteettiin. Asian
voi hoitaa vaikkapa sudo -skripteill jos on aikaa mutta jotenkin on
huolehdittava siit ettei pkytttunnusta tarvitse jaella liian
suurelle piirille Priviliged User Manager -tuote tarjoaa
infrastruktuurin jonka jrjestelmien hallinnan tehtvt hoidetaan
kirjautumalla omilla kyttjtunniksilla. Kaikki sessiot tallennetaan
ja jokaiseen toimenpiteeseen kytketn oikean tekijn identiteetti
https://www.netiq.com/products/privileged-user-manager/
4. 4 5. Vinkki parempaan linux- tietoturvaan 3. l silyt lokeja
palvelimella joka lokia tuottaa Ensimminen asia jonka mahdollinen
murtautuja tekee on peitt jlkens. Lokit ovat vain perpeili joka
kuvaa jo tapahtuneita asioita mutta asiallisesti hoidettuna niist
selvi mit on tapahtunut tai tapahtumassa. Lokitus tulisi tehd
lokien kermiseen tarkoitettuun varastoon, normalisoida ja mielelln
allekirjoittaa aitouden varmistamista varten. Voit aloittaa
vaikkapa ilmaiselle NetIQ log manager applianssilla
https://www.netiq.com/products/sentinel-log-manager/features/slm25.h
5. 5 5. Vinkki parempaan linux- tietoturvaan 4. Kovenna
sovellukset AppArmorilla Jrjestelmien koventaminen auttaa
varautumaan erityisesti tilanteisiin joihin pelkk pivitysten
asentaminen ei riit. Kovennus voi olla vaativaa
tietoturva-ammattilaisten tyt mutta on toki helpompiakin tapoja.
Suosittelemme erityisesti AppArmor -sovelluksen kytt sovellusten
koventamiseen. Esimerkiksi SUSE tarjoaa hyvt ja helpot vlineet
sovellushiekkalaatikoiden tekemiseen, joissa AppArmorin YaST
-tykalulla luodaan nopeasti tietoturvaprofiili vaikkapa verkossa
saatavilla oleville palveluille. Nin sovellukset tekevt vain sen
mit niiden pit eivtk mitn muuta.
https://www.suse.com/documentation/apparmor/
6. 6 5. Vinkki parempaan linux- tietoturvaan 5. Seuraa linux
-palvelintesi konfiguraatioita ja niiden muutoksia. Useat
haittaohjelmat muokkaavat linux -ymprist omiin tarpeisiinsa ja tm
nkyy konfiguraatioiden muutoksina jrjestelmiss SUSE Manager on
monipuolinen linux -hallinnan vline jolla voit seurata erilaisten
linux -jakelujen konfiguraatioita ja niiden muutoksia. SUSE Manager
voi reagoida esimerkiksi CentOS -palvelimessasi tapahtuneisiin
muutoksiin ja suorittaa hlytyksen jos niin haluat
https://www.suse.com/documentation/suse_manager/book_susemana
7. 7 Miksi on trke pivitt ja pysy ajan tasalla?
1.Haittaohjelmat pivittyvt lhes vlittmsti hydyntmn julkaistuja
haavoittuvuuksia. Ne ovat automatisoituja, jatkuvasti verkossa
kynniss olevia hykkyksi. Palvelimesi ovat nilt turvassa vain jos
hykkj ei pse nihin ksiksi sislt tai ulkoa. 2. Koskeeko ymprist
jokin snt tai mrys? Kytnnss kaikki auditointia vaativat ja
infrastruktuuria koskevat snnt ja mrykset sisltvt vaatimuksen
pivittmiskyvyst. Jos et pysty pivittmn, et lpise auditointia ja
ilman auditointia olet vastuussa virhetilanteista. SUSE tarjoaa
yllpitopalveluja asiakkailleen uuden service pack tason pivityksen
jlkeen 6 kuukautta. Pivitysikkuna riitt pieniin ympristihin tai
automaatiovlineiden kanssa. Yllpitopalvelua tarjotaan vain ajan
tasalla oleville palvelimille.
8. Thank you. 8 Haluatko tiet lis? Ota yhteytt:
Www.susesuomi.fi
9. 9
10. Corporate Headquarters Maxfeldstrasse 5 90409 Nuremberg
Germany +49 911 740 53 0 (Worldwide) www.suse.com Join us on:
www.opensuse.org 10
11. Unpublished Work of SUSE LLC. All Rights Reserved. This
work is an unpublished work and contains confidential, proprietary
and trade secret information of SUSE LLC. Access to this work is
restricted to SUSE employees who have a need to know to perform
tasks within the scope of their assignments. No part of this work
may be practiced, performed, copied, distributed, revised,
modified, translated, abridged, condensed, expanded, collected, or
adapted without the prior written consent of SUSE. Any use or
exploitation of this work without authorization could subject the
perpetrator to criminal and civil liability. General Disclaimer
This document is not to be construed as a promise by any
participating company to develop, deliver, or market a product. It
is not a commitment to deliver any material, code, or
functionality, and should not be relied upon in making purchasing
decisions. SUSE makes no representations or warranties with respect
to the contents of this document, and specifically disclaims any
express or implied warranties of merchantability or fitness for any
particular purpose. The development, release, and timing of
features or functionality described for SUSE products remains at
the sole discretion of SUSE. Further, SUSE reserves the right to
revise this document and to make changes to its content, at any
time, without obligation to notify any person or entity of such
revisions or changes. All SUSE marks referenced in this
presentation are trademarks or registered trademarks of Novell,
Inc. in the United States and other countries. All third-party
trademarks are the property of their respective owners.