27 марта 2015

Безопасность Linux, серия вторая

Продолжим говорить о том, как сделать Linux безопаснее. Если вам эти советы кажутся тривиальными, не торопитесь давать желчные комментарии - многим они пригодятся, проверено на своем опыте.
Многие дистрибутивы сегодня не разрешают регистрироваться при загрузке от имени администратора (root), что является правильным. Если нужно исполнить задачу, которая требует привилегий «суперпользователя», то ОС предложит вам ввести пароль. Такая мера может гарантировать изоляцию от пользователя административных задач.
Привилегии пользователя можно ограничивать с помощью меню System > Administration > Users and Groups. Тут расположена «классификация категорий учетной записи» - с обыкновенного пользователя и до сисадмина, тут же возможно индивидуально настроить «привилегии пользователя» вручную. По умолчанию, записи новых пользователей создаются при помощи набора привилегий 'Desktop user'. Эти пользователи не имеют права установить ПО или поменять настройки, которые влияют на рабочие среды иных пользователей. В работе «из командной строки» для переключения обыкновенных пользователей на уровень учетной записи администратора применяются команда su (Fedora, а также и некоторые иные подобные дистрибутивы), и команда sudo (она используется в Debian и Ubuntu).


Если вас на самом деле волнуют проблемы безопасности, тогда не помешает настроить по своему вкусу параметры в окне Users And Groups. Одной из основных областей, которые достойны вашего внимания, можно назвать автоматическое монтирование устройств. Большая часть дистрибутивов самостоятельно «собирают» USB-девайсы и CD-приводы, сразу же, как подключается USB-накопитель или вставляется CD-диск в оптический привод устройства. Это очень удобно, но минус в том, что это позволяет любому злоумышленнику легко подойти к вашему ПК, подключить USB-девайс и просто скопировать данные.
Чтобы этого не произошло, потребуется в настройках «Пользователи и Группы» перейти во вкладку «Привилегии пользователя», а затем убрать флажки в таких опциях, как «Автоматический доступ внешних устройств хранения данных», «Монтировать файловые системы в пользовательском пространстве» и «Использование CD-ROM дисков». Без этих флажков в данных опциях пользователям будут предлагать ввести пароль, и уже после они смогут получить получат доступ к собственно устройствам.
Кроме того, пользователь может закрыть общий доступ к данным через сеть, потребовать вводить пароль, прежде чем соединяться с Ethernet или с беспроводными устройствами. Блокирование «присоединения» к настройке принтеров сможет предотвратить распечатку важной информации.

Комментариев нет:

Отправить комментарий