Jak zabezpečit Linux
Nyní máte operační systém GNU/Linux nainstalovaný a teď začíná pravá zábava. Nejprve se seznámíte se strukturou adresářů. Abyste věděli, co si kde můžete dovolit a kde už se systém chrání před neoprávněnými úpravami. Dále si povíme, jaký obranný software nainstalovat a jak je to s bezpečností v Linuxu.
Adresářová struktura
Zcela určitě většina uživatelů
přecházejících k Linuxu pracovala na operačním systému Windows. Proto vám
doporučuji, abyste si přečetli výborný článek pro začátečníky Linuxákův průvodce
po adresářích, z něhož snadno pochopíte adresářovou strukturu odlišnou od
Windows. Pochopení adresářové struktury je důležité, pokud budete nejenom
uživateli, ale i správci operačního systému Linux. Pokud vám jde jen o
nainstalování operačního systému, doinstalování programů a následnou práci, pak
je dobré znát alespoň "adresářové minimum". Podívejte se na následující obrázek,
který si hned následně objasníme.
Ač se tomu někteří uživatelé brání, běžně se pro pojem "adresář" používá také výraz "složka". Bývá tím myšleno totéž, mluví-li se o obsahu disku počítače. Pozn. šéfred.
Adresářová struktura - adresářové minimum
Na obrázku vidíte cestu zobrazenou pomocí šipek od kořenového adresáře ("celý systém") přes home k domovské složce uživatele jedna. Složka uživatele jedna je určena pro ukládaní dokumentů, obrázků, fotek, filmů, hudby a dalších dat přihlášeného uživatele jedna. Pokud se přihlásí uživatel druhý, bude složkou pro ukládání jeho dokumentů a dat složka uživatel druhý v adresáři home.
Přihlášený uživatel, v našem případě uživatel jedna, bude moci ukládat, kopírovat, přesunovat, upravovat a mazat všechna data ve složce uživatel jedna, tedy ve složkách, které jsou popsány modře + všechny další, které si sám vytvoří. Uživatel nemůže upravovat, mazat a přesouvat jakékoliv složky a soubory v jiných adresářích, než je jeho příslušející adresář. Všechny ostatní složky a soubory, které nemá uživatel jedna ve své domovské složce, nemůže nijak upravovat. Jediné, co může, je složky a soubory kopírovat do své domovské složky.
Nyní se asi ptáte - co když budu potřebovat něco upravit mimo svou domovskou složku? Pokud to bude nutné, systém bude požadovat heslo roota (správce, superuživatele), o kterém si za chvilku povíme. Co to znamená pro běžného uživatele? Znamená to, že uživatel chce provést úkon (odstranění, úpravu souborů, složky), který může mít vliv na správný chod systému, proto ho může provést pouze root (správce). Systém se tím chrání před neodborným zásahem běžného uživatele. Na následujícím obrázku vidíte domovskou složku, do které si běžný uživatel ukládá svá data a která je určena jen pro určeného přihlášeného uživatele.
Domovská složka v distribuci Ubuntu 8.10 Intrepid Ibex
V předcházejícím článku
o instalaci linuxové distribuce jsme si uvedli možnost složitější varianty
rozdělení disku, kde jsem uvedl přípojné body / (kořen) a /home (adresář home).
Pokud se podíváte na obrázek výše, asi si všimnete, jak spolu instalace a
adresářová struktura úzce souvisejí. Pokud jste se při instalaci rozhodli pro
oddělený oddíl /home, pak už víte, že adresář home na obrázku a všechny jeho
podsložky včetně všech složek jednotlivých uživatelů máte na jiném oddíle popř.
dokonce na jiném disku. Struktura se však nezmění a v systému to není na první
pohled viditelné.
Root - správce
Pokud se stanete rootem, stáváte se v
systému "všemocným". V systému můžete dělat cokoliv. Rootem by se měl stát vždy
správce systému, to znamená upravovat a nastavovat systém by měl vždy jen
člověk, který ví, co dělá. Tato významná bezpečnostní složka v Linuxu odděluje
samotný systém, jeho soubory a adresáře od uživatele a jemu přidělenou domovskou
složkou. Oddělena je pomocí správcovského hesla neboli hesla roota, které jste
zadávali při instalaci. V některých distribucích heslo roota při instalaci
nezadáváte, potom se heslem roota stává heslo (prvního) uživatele, kterým se
přihlásíte do systému. Na následujícím obrázku vidíte požadavek systému na
zadání hesla při pokusu o spuštění ovládacího centra Yast v OpenSuSE Yast
Požadavek systému na zadání hesla roota v OpenSuSE 11
Kde všude bude nutné přihlašovat se jako root?
Při všech úpravách v adresářích a souborech mimo domovskou složku
uživatele.
Při instalaci, reinstalaci, odinstalaci a aktualizaci softwaru
(systému), ovladačů (typicky grafických karet, wifi).
Nastavení připojení k
internetu (sítí).
Spuštění, nastavení firewallu.
Přidání nových uživatelů
(oddělené domovské složky pro další uživatele počítače).
Další položky,
netýkající se následujících částí, které může spravovat běžný uživatel.
Co
smí běžný uživatel, pokud je přihlášený?
Spouštět již nainstalované programy a ukládat jejich práci.
Vytvářet, kopírovat, přesouvat a mazat dokumenty v domovské složce.
Upravovat
vzhled operačního systému.
Upravovat další položky (rozložení klávesnice,
rozlišení obrazovky, nastavení hlasitosti apod.).
Výše uvedené body ukazují
základní operace, které jsou možné pod rootem a které je možné provádět pod
přihlášením běžného uživatele. Jednotlivé body se mohou drobně lišit distribuce
od distribuce. Ve Windows nejsou uživatelé na takové striktní oddělení správy
systému od uživatele často zvyklí, ale při běžné práci v operačním systému Linux
si tohoto dělení nevšimnete. Jedná se pouze o nastavení "pro jednou" po
instalaci a pak už můžete "neomezeně" pracovat.
Pro začátečníka, kterému systém oznámí požadavek na zadání správcovského hesla, je to varování, že se dostává do místa, aktivity, kterou může změnit nebo poškodit systém, pokud neví, co dělá. Pro ostatní uživatele, kteří již mají systém nastaven a upraven podle svých představ, je zadávání hesla roota otázkou maximálně při aktualizaci softwaru a systému jednou za několik dní.
Firewall, antivir a další antisoftware
Nyní se zaměříme na
oblast zabezpeční systému, která zajímá jistě nejvíce uživatelů přecházejících k
Linuxu. Ano, jde o "softwarové zabezpečení" systému. Uživatelé operačního
systému Windows jsou nyní jistě jako na trní. Rychle nainstalovat firewall,
antivir, antispyware a podobné "antisoftwarové" utilitky, bez kterých není možné
na operačním systému Windows dlouhodobě přežít - s připojením k internetu. V
klidu se posaďte, nikam nespěchejte a čtěte dále. Téměř nic z "antisoftwaru"
nemusíte v Linuxu instalovat. Linux sám o sobě je velice bezpečný.
Jediným běžně používaným softwarem, srovnatelným se softwarem z Windows, je firewall. "Antisoftware" používající rezidentní ochranu (běží na pozadí) a další nejrůznější čisticí utilitky v Linuxu spíše nenajdete, na běžném PC se nepoužívají. Existuje pár antivirů, které jsou určeny především pro kontrolu dat Windows z Linuxu a dat posílaných do Windows (Na vaši ochranu: Antivirový program ClamAV), ale ve srovnání s antiviry určenými pro Windows jsou dosti odlišné.
Linuxu samotnému škodlivý software určený pro Windows neuškodí. Dalo by se říci, že vir pro Windows přestává být v Linuxu virem. Existuje mnoho debat, kolik virů a podobného škodlivého softwaru pro Linux vlastně existuje. Obecně se má za to, že v současnosti široce rozšiřitelný škodlivý software pro Linux prakticky neexistuje. Příčin je mnoho a patří sem nejen relativně malá rozšířenost Linuxu. Podívejte se na následující články Bezpečnost Linuxu proti virům a Linux a viry.
V linuxových distribucích stačí firewall aktivovat (a nastavit). V některých distribucích je nutné kvůli nastavení firewallu přes "klikátko" toto "klikátko" nainstalovat, v jiných najdete nástroj již "zabudovaný" či nainstalovaný. Pak jej stačí jen aktivovat.
Typickou otázkou začátečníků po aktivaci firewallu bývá - proč se v systémové (tray) oblasti firewall nezobrazuje? Nezobrazuje, i když je aktivováním spuštěn. Samotný firewall je "zabudován" v jádře Linuxu (Průvodce Linuxem 1 - Co je Linux?, Průvodce Linuxem 5 - Vybíráme distribuci GNU/Linuxu), pod názvem iptables. Prográmky, o kterých můžete slyšet jako o firewallu, např. GUFW, Firestarter, GuardDog či klikátka zabudovaná v ovládacích cetrech, jsou jen nadstavby (takový dálkový ovladač televize) iptables, který aktivují. Není tedy důvod, proč by měla být tato "klikátka" trvale spuštěna, nemá to žádný význam. Po tomto bezpečnostním zásahu (nastavení, aktivaci) komunikace s bezpečnostním softwarem končí a "klikací" program lze ukončit také. Firewall poběží.
Aktivace firewallu v OpenSuSE 11
Aktivace firewallu v Mandriva Linuxu 2009
Aktualizace systému a
nainstalovaných programů
Tato položka je velice důležitá snad ve všech
operačních systémech. Mít aktuální systém se všemi programy aktuálními.
Neznamená to však mít nejnovější verze systémů a programů, ale mít nainstalované
všechny bezpečnostní a doporučené aktualizace. Většina distribucí má možnost
nastavit si "stupeň" aktualizace systému. Tento stupeň se často dělí na
aktualizace bezpečnostní, doporučené, popř. další, které již instalují především
novější verze programů.
Pokud chcete mít zcela stabilní systém, doporučuji mít bezpečnostní a doporučené aktualizace zapnuté, lépe řečeno aktualizace nevypínat. Běžné distribuce mají aktualizace aktivované hned po instalaci (bezpečnostní i doporučené). V součassnosti snad všechny "velké distribuce" disponují automatickou kontrolou aktualizací, která provede kontrolu aktualizací podle vašich požadavků (denně, týdně atd.).
Výše jsem již uvedl, že bezpečnost Linuxu není viry prakticky ohrožována. Proč tedy používat aktualizace systému a programů? Je to jednoduché, všechny nainstalované bezpečnostní a doporučené aktualizace by měly systém více zabezpečit a zvýšit stabilitu, případně odstranit některé nedokonolosti systému. Samozřejmě i aktualizace zasahují výrazně do systému, proto i aktualizace je možné provést pouze pod rootem. Při oznámení o aktualizaci a úmyslu aktualizovat bude systém vždy požadovat heslo roota.
Ohlášení aktualizací v distribuci Fedora 10
Přihlašovací dialog
Možná některé uživatele překvapilo, že se po instalaci objevil přihlašovací
dialog. Tento dialog požaduje uživatelské jméno a heslo, které jste zadávali při
instalaci. Doufám, že jste ho nezapoměli :) . Některým přihlašování při každém
spuštění systému nemusí vyhovovat, přesto osobně doporučuji přihlašovací dialog
ponechat aktivovaný, ale rozhodnutí nechávám na vás. Z předchozí věty jste jistě
pochopili, že je možné tuto položku přeskočit a po spuštění počítače se dostat
do systému bez přihlášení. V některých distribucích je možné si tento dialog
deaktivovat již při instalaci. Tato možnost však není ve všech instalacích všech
distribucí, ale možnost vypnutí bude v běžných "velkých distribucích" možné
nastavit v příslušném "klikátku". U každé distribuce to bude trochu jinde, takže
hledejte.
Pokud na počítači pracuje více uživatelů, je možné si zřídit více účtů (viz výše - domovská složka). Každý uživatel bude mít svoje přihlašovací údaje a oddělená datová úložiště (domovskou složku). Každý budete mít své vlastní "Dokumenty". Pokud v rodině máte jeden počítač, na kterém se střídáte, pak je tato možnost vytvoření více účtů velice vhodná. Děti omylem nesmažou cenná data rodičům a stejně to platí i naopak :). Při spuštění počítače se přihlásí člen rodiny pouze pod svým uživatelským jménem a heslem, takže nehrozí ztráta či poškození dat jiného člena rodiny. Přes adresář home sice uživatel může nahlédnout do domovské složky jiného uživatele, ale nemůže s daty nijak manipulovat, může si data pouze zkopírovat k sobě.
Přihlašovací dialog distribuce CentOS 5
Shrnutí
Pochopit, kde
končí "adresářová hranice" pro běžného uživatele a kam může už jen root.
Respektovat oddělenost roota od běžného uživatele.
Z bezpečnostního softwaru
aktivovat firewall.
Mít aktualizovaný systém a programy.
Přihlašovací
dialog ponechat aktivovaný.
Nyní máte základní přehled o nejdůležitějších
bezpečnostních položkách, které v Linuxu číhají a brání systém před poškozením
zvenčí i zevnitř.