5 vinkkiä parempaan linux-tietoturvaan

Embed Size (px)

Citation preview

  1. 1. 5 vinkki parempaan linux -tietoturvaan
  2. 2. 2 5. Vinkki parempaan linux- tietoturvaan 1. Ethn pivit palveliamiasi suoraan linux-jakelijan verkossa tarjoamasta palvelusta? SUSE Customer Center on erittin turvallinen mutta suoraan verkosta pivittminen voi kyd tylksi hallinnoida ja olla hankalan tilanteen tullen hidasta. SUSE tarjoaa aktiivisten tilausten mukana Subscription Management Tool -aplianssin johon pivitykset voi kert. SMT -proxy on verkkonne turvallisella alueella ja SUSE Linux -jakelut voidaan kytke siihen pivittmist varten https://www.suse.com/documentation/smt11/
  3. 3. 3 5. Vinkki parempaan linux- tietoturvaan 2. l pst pkyttjien salasanoja ksist tai anna kenenkn kytt jrjestelmi jaetuilla tunnuksilla kuten root tai admin Etuoikeutettujen kyttjien hallinta voi olla tyls osa linux -maailmaa koska anonyymilla root -tunnuksella tehdyt tehtvt eivt identifioidu identiteettiin. Asian voi hoitaa vaikkapa sudo -skripteill jos on aikaa mutta jotenkin on huolehdittava siit ettei pkytttunnusta tarvitse jaella liian suurelle piirille Priviliged User Manager -tuote tarjoaa infrastruktuurin jonka jrjestelmien hallinnan tehtvt hoidetaan kirjautumalla omilla kyttjtunniksilla. Kaikki sessiot tallennetaan ja jokaiseen toimenpiteeseen kytketn oikean tekijn identiteetti https://www.netiq.com/products/privileged-user-manager/
  4. 4. 4 5. Vinkki parempaan linux- tietoturvaan 3. l silyt lokeja palvelimella joka lokia tuottaa Ensimminen asia jonka mahdollinen murtautuja tekee on peitt jlkens. Lokit ovat vain perpeili joka kuvaa jo tapahtuneita asioita mutta asiallisesti hoidettuna niist selvi mit on tapahtunut tai tapahtumassa. Lokitus tulisi tehd lokien kermiseen tarkoitettuun varastoon, normalisoida ja mielelln allekirjoittaa aitouden varmistamista varten. Voit aloittaa vaikkapa ilmaiselle NetIQ log manager applianssilla https://www.netiq.com/products/sentinel-log-manager/features/slm25.h
  5. 5. 5 5. Vinkki parempaan linux- tietoturvaan 4. Kovenna sovellukset AppArmorilla Jrjestelmien koventaminen auttaa varautumaan erityisesti tilanteisiin joihin pelkk pivitysten asentaminen ei riit. Kovennus voi olla vaativaa tietoturva-ammattilaisten tyt mutta on toki helpompiakin tapoja. Suosittelemme erityisesti AppArmor -sovelluksen kytt sovellusten koventamiseen. Esimerkiksi SUSE tarjoaa hyvt ja helpot vlineet sovellushiekkalaatikoiden tekemiseen, joissa AppArmorin YaST -tykalulla luodaan nopeasti tietoturvaprofiili vaikkapa verkossa saatavilla oleville palveluille. Nin sovellukset tekevt vain sen mit niiden pit eivtk mitn muuta. https://www.suse.com/documentation/apparmor/
  6. 6. 6 5. Vinkki parempaan linux- tietoturvaan 5. Seuraa linux -palvelintesi konfiguraatioita ja niiden muutoksia. Useat haittaohjelmat muokkaavat linux -ymprist omiin tarpeisiinsa ja tm nkyy konfiguraatioiden muutoksina jrjestelmiss SUSE Manager on monipuolinen linux -hallinnan vline jolla voit seurata erilaisten linux -jakelujen konfiguraatioita ja niiden muutoksia. SUSE Manager voi reagoida esimerkiksi CentOS -palvelimessasi tapahtuneisiin muutoksiin ja suorittaa hlytyksen jos niin haluat https://www.suse.com/documentation/suse_manager/book_susemana
  7. 7. 7 Miksi on trke pivitt ja pysy ajan tasalla? 1.Haittaohjelmat pivittyvt lhes vlittmsti hydyntmn julkaistuja haavoittuvuuksia. Ne ovat automatisoituja, jatkuvasti verkossa kynniss olevia hykkyksi. Palvelimesi ovat nilt turvassa vain jos hykkj ei pse nihin ksiksi sislt tai ulkoa. 2. Koskeeko ymprist jokin snt tai mrys? Kytnnss kaikki auditointia vaativat ja infrastruktuuria koskevat snnt ja mrykset sisltvt vaatimuksen pivittmiskyvyst. Jos et pysty pivittmn, et lpise auditointia ja ilman auditointia olet vastuussa virhetilanteista. SUSE tarjoaa yllpitopalveluja asiakkailleen uuden service pack tason pivityksen jlkeen 6 kuukautta. Pivitysikkuna riitt pieniin ympristihin tai automaatiovlineiden kanssa. Yllpitopalvelua tarjotaan vain ajan tasalla oleville palvelimille.
  8. 8. Thank you. 8 Haluatko tiet lis? Ota yhteytt: Www.susesuomi.fi
  9. 9. 9
  10. 10. Corporate Headquarters Maxfeldstrasse 5 90409 Nuremberg Germany +49 911 740 53 0 (Worldwide) www.suse.com Join us on: www.opensuse.org 10
  11. 11. Unpublished Work of SUSE LLC. All Rights Reserved. This work is an unpublished work and contains confidential, proprietary and trade secret information of SUSE LLC. Access to this work is restricted to SUSE employees who have a need to know to perform tasks within the scope of their assignments. No part of this work may be practiced, performed, copied, distributed, revised, modified, translated, abridged, condensed, expanded, collected, or adapted without the prior written consent of SUSE. Any use or exploitation of this work without authorization could subject the perpetrator to criminal and civil liability. General Disclaimer This document is not to be construed as a promise by any participating company to develop, deliver, or market a product. It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. SUSE makes no representations or warranties with respect to the contents of this document, and specifically disclaims any express or implied warranties of merchantability or fitness for any particular purpose. The development, release, and timing of features or functionality described for SUSE products remains at the sole discretion of SUSE. Further, SUSE reserves the right to revise this document and to make changes to its content, at any time, without obligation to notify any person or entity of such revisions or changes. All SUSE marks referenced in this presentation are trademarks or registered trademarks of Novell, Inc. in the United States and other countries. All third-party trademarks are the property of their respective owners.