/usr/share/doc/HOWTO/hr-html/Sigurnost-KAKO-3.html is in doc-linux-hr 20000416.1.
This file is owned by root:root, with mode 0o644.
The actual contents of the file can be viewed below.
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 | <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2 Final//EN">
<HTML>
<HEAD>
<META NAME="GENERATOR" CONTENT="SGML-Tools 1.0.11">
<TITLE>Sigurnost Linuxa KAKO: Fizièka sigurnost</TITLE>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=ISO-8859-2">
<LINK HREF="Sigurnost-KAKO-4.html" REL=next>
<LINK HREF="Sigurnost-KAKO-2.html" REL=previous>
<LINK HREF="Sigurnost-KAKO.html#toc3" REL=contents>
</HEAD>
<BODY>
<A HREF="Sigurnost-KAKO-4.html">Sljedeæi dio</A>
<A HREF="Sigurnost-KAKO-2.html">Prethodni dio</A>
<A HREF="Sigurnost-KAKO.html#toc3">Sadr¾aj</A>
<HR>
<H1><A NAME="s3">3. Fizièka sigurnost</A></H1>
<P>
<P>Prvi "sloj" sigurnosti kojeg trebate uzeti u obzir je fizièka sigurnost
va¹ih raèunalnih sustava. Tko ima izravan fizièki pristup va¹em raèunalu? Da
li bi trebao? Mo¾ete li za¹tititi svoje raèunalo od njegova petljanja? Da li
biste trebali?
<P>Koliko fizièke sigurnosti trebate za svoj sustav jako ovisi o va¹oj
situaciji i/ili financijama.
<P>Ako ste kuæni korisnik, vjerovatno vam je ne treba puno (iako æete mo¾da
htjeti za¹tititi svoje raèunalo od djece ili neugodnih roðaka). Ako ste u
laboratoriju, treba vam poprilièno vi¹e, no korisnici na raèunalima ipak
moraju moæi raditi. Mnogi od slijedeæih dijelova bit æe od pomoæi. Ako ste u
uredu, trebat æe vam ili neæe osiguravanje raèunala dok ne radite ili dok
ste na putu. U nekim tvrtkama ostavljanjem neosigurane konzole mo¾ete
zaraditi otkaz.
<P>Oèite metode fizièke sigurnosti kao ¹to su brave na vratima, kablovima,
zakljuèani kabineti i video kamere sve su dobra ideja, ali izvan dosega ovog
dokumenta. :)
<P>
<H2><A NAME="ss3.1">3.1 Raèunalne brave</A>
</H2>
<P>
<P>Mnoga moderna PC kuæi¹ta imaju moguænost "zakljuèavanja". To je obièno brava
na prednjem dijelu kuæi¹ta u kojoj dobiveni kljuè mo¾ete okrenuti u
zakljuèani ili nezakljuèani polo¾aj. Brave na kuæi¹tima mogu pomoæi u
spreèavanju kraðe va¹eg PC-a, ili otvaranja kuæi¹ta i izravnog
mijenjanja/kraðe va¹eg hardvera. Nekad mogu sprijeèiti i resetiranje va¹eg
raèunala uz dizanje sustava s diskete ili drugog hardvera.
<P>Te brave rade razlièite stvari, ovisno o podr¹ci matiène ploèe i
konstrukciji kuæi¹ta. Na mnogim PC-ima napravljene su tako da kuæi¹te morate
slomiti kako bi ga otvorili. Na drugima ne mo¾ete ukljuèivati nove
tipkovnice i mi¹eve. Za vi¹e informacija provjerite upute svoje matiène
ploèe ili kuæi¹ta. To ponekad mo¾e biti vrlo korisna moguænost, iako su
brave obièno niske kvalitete i vrlo ih je lako otkljuèati otpiraèem.
<P>Neka kuæi¹ta (najizra¾enije Sparcovi i Macovi) imaju kuku otraga tako da,
ako provuèete kabel, napadaè mora prerezati kabel ili slomiti kuæi¹te da bi
ga otvorio. Stavljanje ¹ifre ili brave mo¾e biti dobra odbrana od kraðe
stroja.
<P>
<H2><A NAME="ss3.2">3.2 BIOS sigurnost</A>
</H2>
<P>
<P>BIOS je najni¾a razina softvera koja konfigurira ili radi s va¹im x86
baziranim hardverom. LILO i druge metode dizanja Linuxa pristupaju BIOS-u
kako bi odluèile kako dignuti va¹e Linux raèunalo. Druge platforme na kojem
Linux radi imaju slièan softver (OpenFirmware na Macovima i novijim
Sunovima, Sun boot prom, itd.). Preko BIOS-a mo¾ete sprijeèiti napadaèa u
resetiranju va¹eg raèunala i mijenjanju va¹eg Linux sustava.
<P>Pod Linuxom/x86 mnogi PC BIOS-i daju vam moguænost lozinke pri dizanju
sustava. To ne znaèi ba¹ puno sigurnosti (BIOS se mo¾e resetirati, ili
maknuti ako netko mo¾e do unutra¹njosti kuæi¹ta), ali mo¾e poslu¾iti kao
dobra obrana (to jest, potrajat æe i ostaviti tragove petljanja).
<P>Mnogi x86 BIOS-i omoguæavaju i odreðivanje raznih drugih dobrih sigurnosnih
mjera. Provjerite priruènik svog BIOS-a ili ga razgledajte prilikom
slijedeæeg dizanja. Neki primjeri: iskljuèivanje dizanja s disketa i lozinke
za pristup nekim opcijama BIOS-a.
<P>Na Linux/Sparc-u va¹ SPARC EEPROM mo¾e se namjestiti da zahtijeva lozinku
pri dizanju. To æe mo¾da usporiti napadaèa.
<P>NAPOMENA: Ako imate poslu¾itelj i stavite lozinku pri dizanju, va¹ se stroj
neæe dizati samostalno. Nemojte zaboraviti da æete morati doæi i dati
lozinku èak i kod nestanka struje. ;(
<P>
<H2><A NAME="ss3.3">3.3 Sigurnost programa za dizanje</A>
</H2>
<P>
<P>Razni programi za dizanje Linuxa takoðer mogu imati lozinku. Ako koristite
LILO, pogledajte opcije <B>restricted</B> i <B>password</B>. <B>password</B> vam
tra¾i lozinku pri dizanju. <B>restricted</B> æe dopustiti dizanje sustava
<EM>osim</EM> ako netko odredi opcije na <CODE>LILO:</CODE> promptu (kao ¹to je
<B>single</B>).
<P>Naravno, pri postavljanju svih tih lozinki trebat æete ih i popamtiti. :)
Takoðer nemojte zaboraviti da æe one samo usporiti odluènog napadaèa. To
neæe sprijeèiti da netko digne sustav s diskete i montira va¹u root
particiju. Ako koristite sigurnost uz svoj program za dizanje sustava,
mo¾ete odmah i u BIOS-u svog raèunala iskljuèiti dizanje s diskete, kao i
za¹titi ga lozinkom.
<P>Ako netko ima informacije o sigurnosti drugih programa za dizanje, rado
bismo ih èuli (grub, silo, milo, linload, itd.).
<P>NAPOMENA: Ako imate poslu¾itelj i stavite lozinku pri dizanju, va¹ se stroj
neæe dizati samostalno. Nemojte zaboraviti da æete morati doæi i dati
lozinku èak i kod nestanka struje. ;(
<P>
<H2><A NAME="ss3.4">3.4 xlock i vlock</A>
</H2>
<P>
<P>Ako s vremena na vrijeme odlutate od svog stroja, lijepo je moæi
"zakljuèati" svoju konzolu da nitko ne petlja po njoj ili gleda ¹to ste
radili. Ovo mogu dva programa: xlock i vlock.
<P>xlock zakljuèava X prikaz. Trebao bi doæi sa svakom Linux distribucijom koja
podr¾ava X. Za vi¹e opcija provjerite njegovu man stranicu, ali opæenito
mo¾ete pokrenuti xlock iz bilo kojeg xterma na svojoj konzoli i on æe
zakljuèati prikaz i tra¾iti lozinku za otkljuèavanje.
<P>vlock je jednostavan mali program kojim zakljuèavate neke ili sve virtualne
konzole na svojem Linux stroju. Mo¾ete zakljuèati samo onu u kojoj radite
ili sve. Ako zakljuèate samo jednu, drugi mogu doæi i koristiti konzolu, ali
ne i va¹ vty dok ga ne otkljuèate. vlock dolazi s Red Hat Linuxom, ali to
ne mora vrijediti za va¹u distribuciju.
<P>Naravno da æe zakljuèavanje konzole sprijeèiti petljanje drugih u va¹ posao,
ali ne sprijeèava resetiranje stroja ili prekid va¹eg posla na neki drugi
naèin. Takoðer ne sprijeèava pristup va¹em raèunalu s drugog raèunala na
mre¾i i uzrokovanje problema.
<P>
<H2><A NAME="ss3.5">3.5 Otkrivanje fizièkih provala</A>
</H2>
<P>
<P>Prva stvar na koju uvijek treba paziti je kad se va¹ stroj dignuo. Po¹to je
Linux robustan i stabilan OS, stroj bi se trebao ponovo dizati kada ga VI
spustite za nadogradnje OS-a, izmjenu hardvera ili ne¹to slièno. Ako se
stroj dignuo bez va¹eg sudjelovanja, trebalo bi se upaliti svjetlo za
uzbunu. Mnogi naèini kompromitiranja va¹eg raèunala zahtijevaju da ga uljez
resetira.
<P>Provjerite znakove petljanja na kuæi¹tu i podruèju raèunala. Iako mnogi
uljezi iz logova èiste tragove svoga prisustva, dobra je ideja provjeriti ih
i potra¾iti bilo kakve nejasnosti.
<P>Neke stvari koje trebate provjeriti u logovima:
<UL>
<LI>Kratki ili nepotpuni logovi.</LI>
<LI>Logovi s èudnim oznakama vremena.</LI>
<LI>Logovi s netoènim dozvolama ili vlasni¹tvom.</LI>
<LI>Znakovi ponovnog dizanja sustava ili ukljuèivanja usluga.</LI>
<LI>Nedostajuæi logovi.</LI>
<LI>su zapisi ili logini iz èudnih mjesta.</LI>
</UL>
<P>O podacima iz logova sustava govorit æemo kasnije.
<P>
<HR>
<A HREF="Sigurnost-KAKO-4.html">Sljedeæi dio</A>
<A HREF="Sigurnost-KAKO-2.html">Prethodni dio</A>
<A HREF="Sigurnost-KAKO.html#toc3">Sadr¾aj</A>
</BODY>
</HTML>
|