Μια από τις σημαντικές προσθήκες δυνατοτήτων στο Systemd είναι αυτή της δημιουργίας μιας απλής αναφοράς για την ασφάλεια των υπηρεσιών που τρέχουμε στο Linux σύστημά μας. Στον σημερινό οδηγό κάνουμε μια εισαγωγή στο εργαλείο systemd-analysze security.

Όπως είδαμε στην διαχείριση του συστήματος μας με τη χρήση του systemd, το systemd είναι ο κατεξοχήν διαχειριστής του συστήματος και των διαφόρων υπηρεσιών του, που έρχεται ως προ-επιλεγμένος στις δημοφιλέστερες Linux διανομές. Ξεκινά μαζί με το σύστημα μας και το εποπτεύει στο σύνολο του.

Ένα από τα βασικά εργαλεία του είναι και ένα εργαλείο για τον έλεγχο της ασφάλειας των units μας. Τα units, αν θυμάστε και από τον οδηγό Arch Linux: Αυτόματη λήψη αναβαθμίσεων με SystemD είναι απλά αρχεία που περιγράφουν στο systemd, με απλές «οδηγίες χρήσης» για το πως θα χειριστεί κάποια υπηρεσία, εκτελέσιμα κλπ.

Στον σύντομο αυτόν οδηγό θα δούμε τι ακριβώς ελέγχει το systemd analyze security και πως μπορούμε να το χρησιμοποιήσουμε.

Βασική χρήση του systemd analyze security

Θα το τρέξουμε με την εντολή

systemd-analyze security

Το αποτέλεσμα της εντολής θα μοιάζει με το παρακάτω:

Ας σηκώσει το χέρι όποιος δεν τρόμαξε με την εικόνα που θα δει όταν τρέξει την εντολή !.

Αλλά μια στιγμή…. Πως είναι δυνατόν υπηρεσίες όπως το ligghtdm να είναι τόσο ανασφαλείς;

Το ίδιο εργαλείο μπορεί να μας εξηγήσει πως έφτασε σε αυτό το συμπέρασμα. Μπορούμε λοιπόν να εξετάσουμε περαιτέρω την αναφορά ασφαλείας του systemd-analyze security ανά υπηρεσία/unit με την παρακάτω εντολή:

systemd-analyze security lightdm.service
Μπορούμε λοιπόν να εξετάσουμε περαιτέρω την αναφορά ασφαλείας του systemd-analyze security ανά υπηρεσία/unit

Το εργαλείο απλά ελέγχει αν μια υπηρεσία κάνει χρήση των μηχανισμών ασφάλειας και απομόνωσης που παρέχει ο Linux kernel με την βοήθεια του systemd. Για κάθε τι που δεν κάνει χρήση, υπάρχει μια ενδεικτική βαθμολογία και αν το σύνολο αυτό υπερβεί έναν αριθμό θα πάρει η υπηρεσία και το αντίστοιχο emoji.

Το lightdm στην περίπτωσή μας, έχει πρόσβαση στο δίκτυο, έχει πρόσβαση στα αρχεία του χρήστη…. απαράδεκτα πράγματα! Η μήπως όχι ; Στην πραγματικότητα αυτά πρέπει να κάνει μια υπηρεσία σαν το lightdm, να μπορεί να συνδέσει αυτόματα στο internet τον χρήστη, στην οθόνη εισόδου αλλά και να φορτώσει και το background/theme που έχει επιλέξει ο χρήστης.

Συμπεράσματα για το systemd-analyze security

Είναι λοιπόν το εργαλείο αυτό άχρηστο και απλά μας τρόμαξε χωρίς λόγο;

Κάθε άλλο, με την αναφορά που παράγει, μας δείχνει στην ουσία πόσο περισσότερο μπορεί να βελτιωθεί η ασφάλεια ενός συστήματος αν το επιλέξει ο διαχειριστής του συστήματος. Τα περισσότερα από τα αποτελέσματα δεν αφορούν τους απλούς καθημερινούς χρήστες αλλά διαχειριστές κρίσιμων συστημάτων στα οποία τρέχουν Linux.

Με άλλα λόγια, δεν είμαστε εμείς αυτοί που θα το χρησιμοποιήσουμε, αλλά οι προγραμματιστές που φτιάχνουν τις υπηρεσίες ή που τις ενσωματώνουν στο systemd. Αυτοί μπορούν να κρίνουν αν χρειαστεί να σκεφτούν “Χμμ μήπως θα πρέπει να χρησιμοποιήσω αυτή την δυνατότητα, ώστε να κάνω το σύστημα μου ποιο ασφαλές; Μήπως τελικά δεν έχει νόημα να ζητάει πρόσβαση στο δίκτυο;”

Υπάρχουν φυσικά τα man pages, υπάρχουν βιβλία, υπάρχουν ομιλίες για να κάνεις Hardening το πρόγραμμα που γράφεις αγαπητέ προγραμματιστή. Συχνά με λίγη προσπάθεια, απλά προσθέτοντας κάποιες γραμμές στο unit file, ή υπηρεσία μπορεί να γίνει πολύ ποιο ασφαλείς κάτι που κάνει αυτές τις αναφορές ανεκτίμητες.

Systemd | Για την σειρά των άρθρων

Εδώ και λίγες μέρες έβαλα στόχο να δω γιατί το systemd έχει προκαλέσει τόσο θόρυβο και αν είναι τόσο κακό όσο λένε. Σε άρθρα εδώ παρουσιάζω ότι καλό ή κακό βρίσκω χωρίς φανατισμούς και ιδεοληψίες.

Δείτε τα άρθρα για το systemd, καθώς και άλλες γνώμες, άλλων αρθρογράφων ακολουθώντας το tag:

Παραπομπές:



Source link

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *