UNIX... UNIX tietoturva. Tiedot turvassa. ... tietoturva

Samankaltaiset tiedostot
Unix-perusteet. Tiedosto-oikeudet

Linux - käyttöoikeudet

Luento 3. Timo Savola. 7. huhtikuuta 2006

Salasanojen turvallinen tallentaminen KeePass ohjelmalla

Unix-perusteet. Unix/Linux-käyttöjärjestelmä ja sen ominaisuudet

Metropolia Ammattikorkeakoulu

SSH Secure Shell & SSH File Transfer

Tutkimus web-palveluista (1996)

Tietokantojen hallinta

Windows Server 2012 asentaminen ja käyttöönotto, Serverin pyörittämisen takia tarvitaan

LINUX-HARJOITUS, MYSQL

Henkilökohtaista käyttäjäystävällistä tietoturvaa! NTG Solo Secure

Yritys nimeltä Redicom

Tietoturvan perusteet - Syksy SSH salattu yhteys & autentikointi. Tekijät: Antti Huhtala & Asko Ikävalko (TP02S)

Harjoituksen aiheena on tietokantapalvelimen asentaminen ja testaaminen. Asennetaan MySQL-tietokanta. Hieman linkkejä:

Järjestelmän asetukset. Asetustiedostojen muokkaaminen. Pääkäyttäjä eli root. Järjestelmänhallinnan työkalut

JOVISION IP-KAMERA Käyttöohje

Tapahtumakalenteri & Jäsentietojärjestelmä Ylläpito

Tietoturvan Perusteet Yksittäisen tietokoneen turva

Tietoturvan Perusteet Autentikointi

Kirjasto Relaatiotietokannat Kevät Auvinen Annemari Niemi Anu Passoja Jonna Pulli Jari Tersa Tiina

Ensimmäisessä vaiheessa ladataan KGU tietokanta Hallitse tietokantoja toiminnon avulla.

LoCCaM. LoCCaM Cam laitteiston ohjaaminen. Dimag Ky dimag.fi

AsioEduERP v12 - Tietoturvaparannukset

HAMINETTI WLAN LIITTYMÄN KÄYTTÖÖNOTTO-OHJE

MS Aamubrunssi Aktiivihakemiston uutuudet

Maestro Lappeenranta Mannerheiminkatu Lappeenranta. Maestro Helsinki Huopalahdentie Helsinki

Salasanojen hallinta. Salasanojen hallintaopas RESTAURANT ENTERPRISE SOLUTION

Sanoma Pro -oppimisympäristön käyttäjätietojen päivitysohjelman (PSFTP) asennus ja käyttö

Unix. Markus Norrena

Kieliteknologian ATK-ympäristö Toinen luento

WordPress Multisiten varmuuskopiointi

Linux-virtuaalipalvelimen ylläpito

SuomiCom-sähköpostiasetukset Microsoft Outlook 2016

server "Ismo" $ uname -a Linux ismo #1 SMP Thu Sep 16 19:35:51 UTC 2010 i686 GNU/Linux $ cat /etc/issue Debian GNU/Linux 5.

Ohje sähköiseen osallistumiseen

TIETOKANTOJEN PERUSTEET OSIO 14 MARKKU SUNI

MY STANDARD -OHJE. mystandard.hansaworld.com. Standard ERP Pilvipalvelu Sivu 1/6

Yritysturvallisuuden perusteet. 11. Luento Tietotekninen turvallisuus

myynti-insinööri Miikka Lintusaari Instrumentointi Oy

Yleinen ohjeistus Windows tehtävään.

Sähköpostitilin luonti

Tekstiviestipalvelun rajapintakuvaus

Yleistä tietoa Windows tehtävästä

Linux. Alkutarkistukset

Julkaiseminen verkossa

Ohje sähköiseen osallistumiseen

Tiedostojen siirto ja FTP - 1

Selvitysraportti. MySQL serverin asennus Windows ympäristöön

Kieliteknologian ATK-ympäristö Viides luento

ProNetti -sähköpostijärjestelmä

1 (5) VUOKRALISENSSIN KÄYTTÖÖNOTTO JA PILVIPISTEET AUTODESK ACCOUNTISSA. Milloin vuokra-aika alkaa?

KAMPUSSALASANAN VAIHTAMINEN (SAVONIA-AMK KÄYTTÄJÄT)

Kieliteknologian ATK-ympäristö Viides luento

SmartShip Connect Lite lisäosa WooCommerce alustalle (c) Webbisivut.org

Käytin tehtävän tekemiseen Xubuntu käyttöjärjestelmää aikaisemmin tekemältäni LiveUSB-tikulta.

Odoo ERP, Käyttäjien määrittely

JOHDANTO... 5 PÄÄKONFIGURAATIOTIEDOSTO KIELET KÄYNNISTÄMINEN JOHDANTO... 6

Send-It ilmoittautumisjärjestelmä (judotapahtumat Suomessa)

Outlook Office 365. Tässä ohjeessa kuvataan miten sähköpostitili (IMAP) sekä Kotisivut.com Autentikoiva SMTPlisäpalvelu

Copyright 2007 Hewlett-Packard Development Company, L.P. Windows on Microsoft Corporationin Yhdysvalloissa rekisteröimä tavaramerkki.

TAY MOODLEEN KIRJAUTUMINEN

TIETOTURVA. Miten suojaudun haittaohjelmilta

AXXION OY. Hosting-palvelut Asiakasohjeistus Versio 1.0

erasmartcardkortinlukijaohjelmiston

Copyright 2008 Hewlett-Packard Development Company, L.P.

Objective Marking. Taitaja 2014 Lahti. Skill Number 205 Skill Tietokoneet ja verkot Competition Day 1. Competitor Name

Tuotetta koskeva ilmoitus

Elisa Toimisto 365. Pääkäyttäjän pikaopas

Korkeakoulujen prosessipalvelin: mallintajan palvelinohje Versio 0.2

TOOLS KÄYTTÖOHJEET OPETTAJALLE

Opas Logitech Harmony 525 asennusohjelmistoon

SELVITYSRAPORTTI LABRA-VERKON MYSQL:n JA PHP:n KÄYTTÖÖNOTOSTA. Jarkko Kähkönen

Työsähköpostin sisällön siirto uuteen postijärjestelmään

Hyvän salasanan tunnusmerkit Hyökkääjästä salasanan pitää näyttää satunnaiselta merkkijonolta. Hyvän salasanan luominen: Luo mahdollisimman pitkä

KEMI-TORNIONLAAKSON KOULUTUSKUNTAYHTYMÄ LAPPIA LANGATON VIERAILIJAVERKKO 2(7) VERKKOYHTEYDEN MÄÄRITTELY WINDOWS XP:LLE (WINDOWS XP SP3)

Potilastiedot ja tietoturvallisuus Käyttäjähallinta ja tietoturva kertakirjautumisella

Macintosh (Mac OS X 10.2) Verkkoasetukset Elisa Laajakaista yhteyksille:

Käyttöjärjestelmät: prosessit

AutoFutur / KoneFutur asennus verkkojärjestelmän työasemakoneelle. Ennen asennusta ja sen aikana huomioitavat asiat

Taitaja 2015 Windows finaalitehtävä

Raporttiarkiston (RATKI) käyttöohjeet Ohjeet

Copyright 2006 Hewlett-Packard Development Company, L.P.

Päivitys käyttäen USB-tikkua

The administrative process of a cluster. Santtu Rantanen Valvoja: Prof. Jorma Jormakka

SG550. Riistakameran MMS- ja GPRS- asetukset

[Jnix näyttökoe. o ei ole sallittua käyttää mitään verkkolevyjakoa tai mitään siihen rinnastettavaa järjestelmdä.

1 (5) OPISKELIJAN KÄYTTÖLIITTYMÄ

Luento 2. Timo Savola. 31. maaliskuuta 2006

POSTI KONSERNIN HANKINTAPORTAALI LYHYT ESITTELY

eduroamin käyttöohje Windows

Salausmenetelmät (ei käsitellä tällä kurssilla)

KiMeWebin käyttöohjeet

Titan SFTP -yhteys mittaustietoja varten

PILY-listalle rekisteröityminen Yahoo-groupsin kautta

Internetin hyödyt ja vaarat. Miten nettiä käytetään tehokkaasti hyväksi?

SÄHKÖPOSTIN SALAUSPALVELU

WWW-PALVELUN KÄYTTÖÖNOTTO LOUNEA OY

Käyttöohje. Ticket Inspector. Versio 1.0. Sportum Oy

Transkriptio:

UNIX... UNIX tietoturva Ei ole sellaista käyttöjärjestelmää kuin UNIX On olemassa satoja erilaisia variaatiota ja versioita ja niistä tuhansia konfiguraatioita UNIX on Open Groupin rekisteröity tavaramerkki Tekninen määritelmä : käyttöjärjestelmä, joka on tyypillisesti kirjoitettu C:llä, hierarkinen tiedostojärjestelmä, integroitu tiedosto- ja laite-i/o, systeemin rajapinta tarjoaa mm. fork() ja pipe() -kutsut, käyttäjärajapinnassa usein työkalut cc, troff, grep, awk jne. Lisäksi valinnainen shell (komentotulkki).... tietoturva tietoturvassa otettava huomioon mitä suojataan miltä suojataan mitä maksaa (kannattaako 10 mk tavara suojata 100 mk peitteellä?) oltava hyvin määritelty tietoturvapolitiikka tietoturvapolitiikka täytyy olla kaikkien käyttäjien hanskassa usein sisäiset uhat vakavimpia Tiedot turvassa tietoturva ei ole vain krakkereilta suojautumista, vaan hajauta (dispersio) järjestelmäsi ja ota varmuuskopiot (redundanssi) laajoissa hajautetuissa järjestelmissä ei koko systeemin saa olla riippuvainen yhden osan toiminnasta redundanssia saadaan esim. kahdentamalla levyjärjestelmä ja ottamalla varmuuskopiot varmuuskopio täytyy tallettaa varmaan paikkaan, muuten se ei ole varmuuskopio 1

UNIX defence model Fyysinen turvallisuus Physical security locks and guards Account security users root permissions filesystem security encryption Network security wrappers & firewalls Tietoturvaa ei ole, jos kuka tahansa voi mennä koneen luokse ja käynnistää koneen ( tai sammuttaa ) omalla medialla kopioida tai varastaa kiintolevyn muu ilkeämielinen teko username & password Käyttäjätilit Tiedostojärjestelmä Suojataan salasanalla Kaikilla oma käyttäjätunnus tunnus root (UID=0) kriittinen Voidaan luoda rajoitettuja käyttäjätunnuksia tiedostojen oikeudet -rw-r--r-- 1 root sys 700 Jul 22 1997 profile muokataan ohjelmilla chown ja chmod tavallisen käyttäjätilin murrossa voidaan suojata muiden käyttäjien ja systeemille tärkeät tiedostot kryptaus suojaa tiedostot lisäksi salasanalla cat tiedosto1 crypt salasana > tiedosto2 rm tiedosto1 2

Verkon turvallisuus Vain haluttu liikenne verkkoon Turhat palvelut pois /etc/inetd.conf /etc/rc3.d/ (tai default run-level) ftp ja telnet riskiprotokollia, tilalle ssh ja scp Käyttäjätunnukset usein lyhyitä, selväkielisiä, pienellä kirjaimella käyttäjän nimestä kehitettyjä tunnuksia Matti Mainio -> mmainio talletuspaikka /etc/passwd mmainio:x:25445:100:matti Mainio:/home/mmainio:/opt/local/bin/zsh userid:passwd:uid:gid:comment:home_directory:default_shell periaatteessa /etc/passwd ei sisällä salaista tietoa, kaikkien käyttäjien luettavissa ennen shadow-passwd -järjestelmää myös salasana passwd-tiedostossa Salasanat tyypillisesti 8 merkkiä a-z, A-Z, 0-9, ~`!@$%^&*()_-+={}[] \:; <>,.?/ <space> kryptaus modifioidulla DES-algoritmilla (56 bit), kryptauksen suorittaa crypt() -funktio (ei sama kuin käyttäjän crypt -komento) joissakin järjestelmissä aito yksisuuntainen algoritmi (MD5, blowfish) nykyään salasanat /etc/shadow -tiedostossa, jonka lukuoikeudet vain rootilla uid:gnjdusxixsnpc::::::: Salasanan kryptaus käyttäjän salasana on kryptauksen kannalta aina 00000000 (64 bit), salasana toimii avaimena (56 bit) salasanan kryptauksessa käytetään suolana systeemin kellonajasta saatua 12 bittistä jonoa. suolan avulla samasta salasanasta saadaan 4096 erilaista kryptattua versiota 00000000 kryptataan DES-algoritmilla 25 kertaa sama algoritmi suoritetaan joka kerta, kun käyttäjä antaa salasanan. Sen jälkeen kryptattuja versioita verrataan toisiinsa. Algoritmi vaikea suorittaa toiseen suuntaan 3

Salasanan kryptaus Salasanan heikkoudet password key plaintext 00000000 salt clock modified DES password entry 25 rounds on huonoja salasanoja userid-permutaatiot, postinumero, kadunnimi, automerkki, sanakirjasta löytyvä sana i.e mikä tahansa järkevä haavoittuvainen dictionary-hyökkäyksille jos hyökkääjä saa haltuunsa /etc/passwd ja /etc/shadow -tiedostot, niin tehokkaalla koneella hän voi testata miljoonia salasanoja pienessä ajassa murtoa voidaan vaikeuttaa valistamalla käyttäjiä valitsemaan vaikeat salasanat vaihtamalla salasanaa tarpeeksi usein käytetään niitä erikoismerkkejä Salasanan heikkoudet salasanan vaihtaminen voidaan pakottaa määrätyin väliajoin ei samaa salasanaa salasanaa ei heti saa vaihtaa uudelleen salasanan vahvuuden tarkistus voidaan automatisoida, jolloin proaktiivisesti estetään heikot salasanat heikkona puolena salasanan vahvuudessa käyttäjän taipumus kirjoittaa se muistiin post-it lapulle monitorin reunaan kiinnitettäväksi PAM pluggable authentication modules laaja ja joustava kokoelma työkaluja, joita käyttäen tietoturvan reikiä voidaan tilkitä PAMia käyttäen voidaan UNIXin sovelluksille antaa mahdollisuus käyttää monia autentikointitapoja (kerberos, one-time-passwords, smartcards ) http://www.osf.org/tech/rfc/rfc86.0.html 4

Tiedostojen suojaus Tiedostojen oikeudet jokaisella tiedostolla (siis kaikella mahdollisella) on omistajana kayttäjä ja ryhmä näiden lisäksi tiedoston oikeuksia voidaan jakaa maailmalle tiedostolla on luku ( r ), kirjoitus ( w ) ja ajo-oikeus ( x ) jokaista edellä mainittua instanssia kohti oikeudet ovat talletettuna hakemistojen tietoihin, ei itse tiedostoon - r w x r w x r - x maailman oikeudet ryhmän oikeudet omistajan oikeudet tiedoston tyyppi suid set user ID (suid) antaa ajettavalle tiedostolle tiedoston omistajan oikeudet -rwsr-xr-x root adm traceroute kuka tahansa ajaakin ko. ohjelman, se ajetaan roottina alun perin tehty parantamaan tietoturvaa, mutta huolimattomasti käytettynä vaarallinen samaan tapaan sgid Tiedostojärjestelmän eheys tiedostojen eheyttä ja muuttumista kannattaa seurata yksinkertainen tapa on laskea tarkistussummia tiedostoista sum-ohjelmalla, jota on kuitenkin helppo huijata parempi ohjelma on Tripwire, joka ottaa matemaattisia sormenjälkiä tiedostoista ja tallettaa ne tietokantaan http://www.tripwiresecurity.com 5

Lokien kerääminen connect-time logging via wtmp/utmp who, w, users, finger, last, ac process accounting via acct or pacct accton, lastcomm, sa error loggin via syslog syslogd, syslog.conf sulog Verkkoturvallisuus verkkoa voi monitoroida (ainakin) seuraavilla ohjelmilla netstat snoop tcpdump yleensä verkon monitorointiin tarvitaan rootin oikeudet verkon kautta tulevat hyökkäykset yleensä DOShyökkäyksiä (esim. syn flood) tai porttiskannauksia snifferin täytyy päästä lähelle, jotta jotain hyötyisi firewall 6