Linux Security
วัตถุประสงค์
- รู้และเข้าใจขั้นตอนสำคัญในการรักษาความ
- ปลอดภัยในระบบลีนุกช์
- รู้และเข้าใจคำสั่งที่สำคัญที่ใช้สำหรับการตรวจสอบระบบ
- รู้และเข้าใจช่องโหว่ของระบบ หรือแอพพลิเคชันที่รับนระบบลีนุกช์ เช่น DNS, Web, Mail, Databse เป็นต้น พร้อมทั้ววิธีป้องกัน
การรักษาความปลอดภัยระบบลีนุกช์
ขั้นตอนสำคัญสำหรับการติดตั้งและดูแลรักษาความปลอดภัยที่สำคัญของระบบที่เป็นยูนิกช์หรือลีนุกช์
การประเมินความเสี่ยง
การกำหนดค่าคอนฟิกต่าง ๆ ในระบบนั้น การวิเคราะห์และกำหนดหน้าที่หลักของคอมพิวเตอร์ว่าจะให้บริการอะไรบ้าง และหลังจากกำหนดหน้าที่หลักกแล้ว
ขั้นตอนต่อไปคือการประเมินความเสี่ยงของระบบเพื่อจะได้กำหนดมาตรการหรือเลือกใช้เครื่องมือที่จำเป็นสำหรับการป้องกัน
การประเมินความเสี่ยงนั้นก็อาจเริ่มจากการวิเคราะห์ว่าระบบนั้นมีข้อมูลอะไรที่สำคัญ และจำเป็น และภัยคุกคามที่มีต่อข้อมูลเหล่านั้น การกำหนดระดับความเสี่ยงที่ยอมรับได้
การกำหนดหน้าที่หลักของเซิร์ฟเวอร์นั้นจะเป็นสิ่งที่กำหนดว่า จะต้องติดตั้งซอฟต์แวร์หรือแพ็กเก็ตในระบบใดบ้าง อาจเกี่ยวข้องกับการติดตั้งไลบรารีหรือโมดูลต่าง ๆ
การกำหนดหน้าที่หลักของเซิร์ฟเวอร์นั้นจะเป็นสิ่งที่กำหนดว่า จะต้องติดตั้งซอฟต์แวร์หรือแพ็กเก็ตในระบบใดบ้าง อาจเกี่ยวข้องกับการติดตั้งไลบรารีหรือโมดูลต่าง ๆ
ของซอฟต์แวร์ หลักการคือ ควรติดตั้งเฉพาะซอฟต์แวร์ที่จำเป็นเท่านั้นเพื่อลดความเสี่ยง การกำหนดว่าเครื่องนี้จะต้องใช้เครือข่ายอย่างไรบ้าง
ซึ่งเป็นการกำหนดว่าจะให้เครื่องนี้ตติดต่อเครื่องอื่นผ่านเครือข่ายผ่านโปรโตคอลหรือพอร์ตไหนบ้าง ซึ่งข้อกำหนดนี้ก็จะไปมีผลตอนกำหนดนโยบายของไฟร์วอลล์
ขั้นตอนการติดตั้งมีสิ่งที่ต้องพิจารณา เพื่อให้ติดตั้งเสร็จแล้วระบบต้องปลอดภัย ต่อไปนี้เป็นข้อแนะนำสำหรับการติดตั้งระบบใหม่
- ติดตั้งจากแผ่นที่เชื่อถือได้เป็นการดาวน์โหลดจากอินเทอร์เน็ต หลังจากลงแผ่นแล้วควรตรวจเช็คความสมบูรณ์ของแผ่นเสียก่อน
การติดตั้งระบบ
ขั้นตอนการติดตั้งมีสิ่งที่ต้องพิจารณา เพื่อให้ติดตั้งเสร็จแล้วระบบต้องปลอดภัย ต่อไปนี้เป็นข้อแนะนำสำหรับการติดตั้งระบบใหม่
- ติดตั้งจากแผ่นที่เชื่อถือได้เป็นการดาวน์โหลดจากอินเทอร์เน็ต หลังจากลงแผ่นแล้วควรตรวจเช็คความสมบูรณ์ของแผ่นเสียก่อน
โดยการเช็คค่าแฮช ซึ่งเว็บไซต์ที่ให้ดาวน์โหลดอิมเมจเหล่านี้จะมีค่าแฮชของซอร์สให้ และก็เปรียบเทียบกับค่าแฮชที่เราคำนวณได้เอง ซึ่งอาจใช้คำสั่งต่อไป
หากมีค่าไม่ตรงก็แสดงว่าไฟล์ถูกแก้ไข อาจจะถูกฝังมัลแวร์ไว้ก็เป็นได้
- ในขณะที่ติดตั้งระบบใหม่ไม่ควระเชื่อมต่อเข้ากับอินเทอร์เน็ต เพราะระบบที่ติดตั้งใหม่จะมีช่องโหว่ค่อนข้างมาก ควรเชื่อมต่อเข้ากับเครือข่ายเมื่อมั่นใจว่าปลอดภัยเพียงพอแล้ว
- สร้างพาร์ติชันแยกกัน เมื่อพาร์ติชันใดเต็มก็จะไม่มีผลกระทบกับไฟล์อื่น ๆ
- ควรติดตั้งเซอร์วิสและซอฟต์แวร์เท่าที่จำเป็นเท่านั้น ได้พิจารณาในขั้นตอนก่อนว่าจะให้เครื่องทำหน้าที่อะไร ก็ลงเฉพาะซอฟต์แวร์ที่ทำหน้าที่นั้นเท่านั้น
- ในขณะที่ติดตั้งระบบใหม่ไม่ควระเชื่อมต่อเข้ากับอินเทอร์เน็ต เพราะระบบที่ติดตั้งใหม่จะมีช่องโหว่ค่อนข้างมาก ควรเชื่อมต่อเข้ากับเครือข่ายเมื่อมั่นใจว่าปลอดภัยเพียงพอแล้ว
- สร้างพาร์ติชันแยกกัน เมื่อพาร์ติชันใดเต็มก็จะไม่มีผลกระทบกับไฟล์อื่น ๆ
- ควรติดตั้งเซอร์วิสและซอฟต์แวร์เท่าที่จำเป็นเท่านั้น ได้พิจารณาในขั้นตอนก่อนว่าจะให้เครื่องทำหน้าที่อะไร ก็ลงเฉพาะซอฟต์แวร์ที่ทำหน้าที่นั้นเท่านั้น
การติดตั้งทุกซอฟต์แวร์ในเครื่องเป็นการเพิ่มความเสี่ยงโดยเปล่าประโยชน์ เพราะแต่ละซอฟต์แวร์นั้นจะมีช่องโหว่ในตัวอยู่แล้ว
หลังติดตั้งระบบเสร็จการอัพเดตแพตช์เป็นขั้นตอนที่สำคัญของการที่จะทำให้ระบบปลอดภัย ระบบที่ไม่ได้ติดตั้งแพตช์เป็นระบบที่มีช่องโหว่เต็มไปหมด
การอัพเดตแพตช์
หลังติดตั้งระบบเสร็จการอัพเดตแพตช์เป็นขั้นตอนที่สำคัญของการที่จะทำให้ระบบปลอดภัย ระบบที่ไม่ได้ติดตั้งแพตช์เป็นระบบที่มีช่องโหว่เต็มไปหมด
และรอเวลาที่จะถูกโจมตีเมื่อไรก็ได้ ในการอัพเดตหลังจากติดตั้งระบบจากแผ่นซีดีก็หี่แพตช์ทันทีโดยที่ยังไม่ต้องเชื่อมต่อเข้ากับระบบเครือข่าย
แพตช์อาจมาจากแผ่นซีดีที่ดาวน์โหลดโดยเครื่องอื่นที่ติดตั้งแพตช์แล้ว ถ้าการติดตั้งแพตช์นั้นจำเป็นต้องใช้อินเทอร์เน็ตนั้นอาจต้องติดตั้งและคอนฟิกไฟร์วอลล์ก่อน
และอนุญาตให้เฉพาะการเชื่อมต่อเพื่อการอัพเดตแพตช์เท่านั้น ติดตั้งแพตช์เสร็จแล้วก็ให้ถอดสายแลนออกเพื่อทำขั้นตอนต่อไป
และอย่าลืมอัพเดตแพตช์ของซอฟต์แวร์อื่น ๆ ที่ติดตั้งในระบบด้วย ควรตรวจสอบความถูกต้องของซอรสโค้ดก่อน ปกติซอร์สโค้ดที่ได้นั้นมีลายเซ็นอิเล็กทรอนิกส์
ผู้ดูแลระบบก็ควรติดตามข้อมูลข่าวสารเพื่ออัพเดตแพตช์ใหม่ ๆ ระบบรองรับการอัพเดตโดยอัตโนมัติ ควรพิจารณาก่อนว่าจะเอ็นเนเบิลหรือไม่ การติดตั้งแพตช์นั้นอาจมีผลกระทบต่อระบบ
โดยเฉพาะระบบที่มีความสำคัญมาก ควรอัพเดตแพตช์ด้วยคนจะดีกว่าและก่อนที่จะอัพเดตระบบที่ใช้งานจริงก็ควรลองอัพเดตในระบบที่เหมือนกันในระบบทดลองก่อน
โดยเฉพาะระบบที่มีความสำคัญมาก ควรอัพเดตแพตช์ด้วยคนจะดีกว่าและก่อนที่จะอัพเดตระบบที่ใช้งานจริงก็ควรลองอัพเดตในระบบที่เหมือนกันในระบบทดลองก่อน
ไม่มีความคิดเห็น:
แสดงความคิดเห็น