by: Cerebrux
Μια από τις σημαντικές προσθήκες δυνατοτήτων στο Systemd είναι αυτή της δημιουργίας μιας απλής αναφοράς για την ασφάλεια των υπηρεσιών που τρέχουμε στο Linux σύστημά μας. Στον σημερινό οδηγό κάνουμε μια εισαγωγή στο εργαλείο systemd-analysze security.
Όπως είδαμε στην διαχείριση του συστήματος μας με τη χρήση του systemd, το systemd είναι ο κατεξοχήν διαχειριστής του συστήματος και των διαφόρων υπηρεσιών του, που έρχεται ως προ-επιλεγμένος στις δημοφιλέστερες Linux διανομές. Ξεκινά μαζί με το σύστημα μας και το εποπτεύει στο σύνολο του.
Ένα από τα βασικά εργαλεία του είναι και ένα εργαλείο για τον έλεγχο της ασφάλειας των units μας. Τα units, αν θυμάστε και από τον οδηγό Arch Linux: Αυτόματη λήψη αναβαθμίσεων με SystemD
είναι απλά αρχεία που περιγράφουν στο systemd, με απλές «οδηγίες
χρήσης» για το πως θα χειριστεί κάποια υπηρεσία, εκτελέσιμα κλπ.
Στον σύντομο αυτόν οδηγό θα δούμε τι ακριβώς ελέγχει το systemd analyze security και πως μπορούμε να το χρησιμοποιήσουμε.
Βασική χρήση του systemd analyze security
Θα το τρέξουμε με την εντολή
| 1 | systemd-analyze security |
Το αποτέλεσμα της εντολής θα μοιάζει με το παρακάτω:
Ας σηκώσει το χέρι όποιος δεν τρόμαξε με την εικόνα που θα δει όταν τρέξει την εντολή !.
Αλλά μια στιγμή…. Πως είναι δυνατόν υπηρεσίες όπως το ligghtdm να είναι τόσο ανασφαλείς;
Το ίδιο εργαλείο μπορεί να μας εξηγήσει πως έφτασε σε αυτό το συμπέρασμα. Μπορούμε λοιπόν να εξετάσουμε περαιτέρω την αναφορά ασφαλείας του systemd-analyze security ανά υπηρεσία/unit με την παρακάτω εντολή:
| 1 | systemd-analyze security lightdm.service |
Το εργαλείο απλά ελέγχει αν μια υπηρεσία κάνει χρήση των μηχανισμών ασφάλειας και απομόνωσης που παρέχει ο Linux kernel με την βοήθεια του systemd.
Για κάθε τι που δεν κάνει χρήση, υπάρχει μια ενδεικτική βαθμολογία και
αν το σύνολο αυτό υπερβεί έναν αριθμό θα πάρει η υπηρεσία και το
αντίστοιχο emoji.
Το lightdm στην περίπτωσή μας, έχει πρόσβαση στο δίκτυο, έχει πρόσβαση στα αρχεία του χρήστη…. απαράδεκτα πράγματα! Η μήπως όχι ; Στην πραγματικότητα αυτά πρέπει να κάνει μια υπηρεσία σαν το lightdm, να μπορεί να συνδέσει αυτόματα στο internet τον χρήστη, στην οθόνη εισόδου αλλά και να φορτώσει και το background/theme που έχει επιλέξει ο χρήστης.
Συμπεράσματα για το systemd-analyze security
Είναι λοιπόν το εργαλείο αυτό άχρηστο και απλά μας τρόμαξε χωρίς λόγο;
Κάθε άλλο, με την αναφορά που παράγει, μας δείχνει στην ουσία πόσο περισσότερο μπορεί να βελτιωθεί η ασφάλεια ενός συστήματος αν το επιλέξει ο διαχειριστής του συστήματος. Τα περισσότερα από τα αποτελέσματα δεν αφορούν τους απλούς καθημερινούς χρήστες αλλά διαχειριστές κρίσιμων συστημάτων στα οποία τρέχουν Linux.
Με άλλα λόγια, δεν είμαστε εμείς αυτοί που θα το χρησιμοποιήσουμε,
αλλά οι προγραμματιστές που φτιάχνουν τις υπηρεσίες ή που τις
ενσωματώνουν στο systemd. Αυτοί μπορούν να κρίνουν αν
χρειαστεί να σκεφτούν “Χμμ μήπως θα πρέπει να χρησιμοποιήσω αυτή την
δυνατότητα, ώστε να κάνω το σύστημα μου ποιο ασφαλές; Μήπως τελικά δεν
έχει νόημα να ζητάει πρόσβαση στο δίκτυο;”
Υπάρχουν φυσικά τα man pages, υπάρχουν βιβλία, υπάρχουν ομιλίες για
να κάνεις Hardening το πρόγραμμα που γράφεις αγαπητέ προγραμματιστή.
Συχνά με λίγη προσπάθεια, απλά προσθέτοντας κάποιες γραμμές στο unit file, ή υπηρεσία μπορεί να γίνει πολύ ποιο ασφαλείς κάτι που κάνει αυτές τις αναφορές ανεκτίμητες.
Πηγή άρθρου: https://planet.ellak.gr/ https://cerebrux.net/