Ubuntu 9.04 kiadásakor azt mondtam, hogy 3 év használat bőven sok volt, nem stabil a rendszer, nem biztonságos, eye-candy és ennyi. A nemrég megjelent 10.04 LTS azonban ismét felelevenítette a szeretetemet az Ubi iránt. Stabilabbnak mutatkozott számomra mint az eddigi kiadások, nem szált el a hang a notin miután felraktam rá a belső modem driverét és a többi és a többi.
Biztonság szempontjából még mindig nem ér semmit,ezért kezembe vettem az irányítást.
Magát a rendszert egy AES-256 titkosítás védi (LVM encrypted) ami megakadályozza, esetleges lopás során a lemezhez való teljes hozzáférést. Akinek van egy-két évezrede nyugodtan elkezdheti feltörni az amúgy 18 karakteres jelszavamat.
A rendszeren fut egy FireStarter, amivel remekül lehet grafikus úton managelni az iptables illetőleg a netfilter szabályait.
Ugye a netfilter a kernel szintű csomag szűrő amihez az iptales a beállító eszköz, igazán remek dolgokra képes velük az ember.
A tűzfal mellett fut még az apparmor, ami a Novell fejlesztései közé tartozik. Különböző profilokat adhatunk meg a rendszernek, hogy mi működhet, mi nem, mik a biztonságos alkalmazások.
Ahhoz, hogy lemezünket titkosítani tudjuk szükségünk van az Ubuntu alternate kiadására ugyanis -nem tudom milyen megfontolásból- a sima desktop nem támogatja ezt (Fedora 13 alatt ez a művelet egy checkbox pipálásával elvégezhető). Töltsük le az alternatet innen:http://ubuntu.hu/letoltes/alternate
Írjuk ki, majd bootoljunk be a lemezről. Elindul a telepítő, az eleje adja magát illetve a vége, nekünk pont a közepe kell, a particionálás, mely a követező képpen zajlik:
(Magam részéről egy 10GB-os lemezt fogok használni)
- A particionálás kézi lesz
- Hozzunk létre egy 500MB-os elsődleges lemezt, ext4 fájlrednszerrel, de /boot-ként csatoljuk.
- Válasszuk ki a telepítésre szánt lemezt,írjunk rá új partíciós táblát (szabad helyet is használhatunk, ez a lépés elhagyható)
- A szabad helyre létrehozunk egy új partíciót, ext4 helyett azonban LVM fizikai kötetként fogjuk használni.
- Visszaléptünk a menübe, itt kiválasztjuk a 'Titkosított partíciók konfigurlását' ami végigvisz minket a titkosítási műveleten.
- Megtartjuk a jelen beállításokat, lemezre írjuk az LVM-et. Enter a 'Create encrypted volumes' ponton, space-el kiválasztjuk az LVM kötetünket és meg is vagyunk. Lemezre írjuk a változtatást majd Fisinsh és kéri is a jelszót a rendszer. (Érdemes komoly jelszót megadni)
- A titkosítás után talán hozzuk is létre a mapper-ünket és osszuk fel a lemezt. Én 10GB-al dolgozok Vboxban, ezért nem teszem külön a home partíciót. Úgy csináljátok ahogy csak szeretnétek. Kiválasztom a logikai kötet kezelőt, lemezre írom a változásokat, majd bejön egy menü, ahol kiválasztom a Kötet csoport létrehozását neve most nálam 'sample' lesz. Hozzáadom a titkosított lemezrészt (A BOOT MArADJON ÉRINTETLEN) és kész az LVM. Visszatérve a menübe létrehozok még két logikai kötetet a sample-n belül. Az egyik 1GB esz a másik a fennmaradó ~8GB-ot kapja meg. Nevük: samle-root és sample-swap. Ezek lesznek a / illetve a swap mount pointok. Ez is megvan.
- A létrehozott köteteket most kiválasztom a fent említett módon beállítom root és swap használatra, ext4 fájlrendszerrel. Miután ez is megvan lemezre írjuk a változásokat és mehet tovább a telepítés,mely innentől adja magát
Nagyon figyeljetek oda, hogy mielőtt elkezditek az lvm-et hoztok létre egy legalább 500MB-os /boot részt, különben nem fogjátok tudni bootolni a rendszert révén, hogy a /boot nem lehet titkosítva.
Miután megvan a telepítés jöhet a könnyebb rész, a telepítés synaptic-al vagy terminálból.
apt-get install mc firestarter apparmor-profiles
A firestarter adja magát, lehet tiltani a ki illetve a bejövő forgalmat valamint korlátozni azt. A kimenőket érdemes fehér listán hagyni, megkönnyíti az életet, de ha valaki annyira paranoid, nyugodtan kapcsolja be, csak vegye fel a használni kívánt programok portjait. Maga a program is ismer alkalmazásokat, ezeket név alapján is megadhatjuk illetve listából kiválaszthatjuk, engedélyezhetjük/tilthatjuk.
A beállításoknál ki kell választanunk azt az interfészt amin a netes forgalom zajlik és kész is vagyunk.
Az apparmor-ról bővebben itt olvashattok: http://sugo.ubuntu.hu/10.04/html/serverguide/hu/apparmor.html
No comments:
Post a Comment