Linux E X P R E S, Průvodce Linuxem 8 - Zabezpečení Linuxu

Adresářová struktura

Zcela určitě většina uživatelů přecházejících k Linuxu pracovala na operačním systému Windows. Proto vám doporučuji, abyste si přečetli výborný článek pro začátečníky Linuxákův průvodce po adresářích, z něhož snadno pochopíte adresářovou strukturu odlišnou od Windows. Pochopení adresářové struktury je důležité, pokud budete nejenom uživateli, ale i správci operačního systému Linux. Pokud vám jde jen o nainstalování operačního systému, doinstalování programů a následnou práci, pak je dobré znát alespoň "adresářové minimum". Podívejte se na následující obrázek, který si hned následně objasníme.

Ač se tomu někteří uživatelé brání, běžně se pro pojem "adresář" používá také výraz "složka". Bývá tím myšleno totéž, mluví-li se o obsahu disku počítače. Pozn. šéfred.

Adresářová struktura - adresářové minimum

Na obrázku vidíte cestu zobrazenou pomocí šipek od kořenového adresáře ("celý systém") přes home k domovské složce uživatele jedna. Složka uživatele jedna je určena pro ukládaní dokumentů, obrázků, fotek, filmů, hudby a dalších dat přihlášeného uživatele jedna. Pokud se přihlásí uživatel druhý, bude složkou pro ukládání jeho dokumentů a dat složka uživatel druhý v adresáři home.

Přihlášený uživatel, v našem případě uživatel jedna, bude moci ukládat, kopírovat, přesunovat, upravovat a mazat všechna data ve složce uživatel jedna, tedy ve složkách, které jsou popsány modře + všechny další, které si sám vytvoří. Uživatel nemůže upravovat, mazat a přesouvat jakékoliv složky a soubory v jiných adresářích, než je jeho příslušející adresář. Všechny ostatní složky a soubory, které nemá uživatel jedna ve své domovské složce, nemůže nijak upravovat. Jediné, co může, je složky a soubory kopírovat do své domovské složky.

Nyní se asi ptáte - co když budu potřebovat něco upravit mimo svou domovskou složku? Pokud to bude nutné, systém bude požadovat heslo roota (správce, superuživatele), o kterém si za chvilku povíme. Co to znamená pro běžného uživatele? Znamená to, že uživatel chce provést úkon (odstranění, úpravu souborů, složky), který může mít vliv na správný chod systému, proto ho může provést pouze root (správce). Systém se tím chrání před neodborným zásahem běžného uživatele. Na následujícím obrázku vidíte domovskou složku, do které si běžný uživatel ukládá svá data a která je určena jen pro určeného přihlášeného uživatele.

 

Domovská složka v distribuci Ubuntu 8.10 Intrepid Ibex

V předcházejícím článku o instalaci linuxové distribuce jsme si uvedli možnost složitější varianty rozdělení disku, kde jsem uvedl přípojné body / (kořen) a /home (adresář home). Pokud se podíváte na obrázek výše, asi si všimnete, jak spolu instalace a adresářová struktura úzce souvisejí. Pokud jste se při instalaci rozhodli pro oddělený oddíl /home, pak už víte, že adresář home na obrázku a všechny jeho podsložky včetně všech složek jednotlivých uživatelů máte na jiném oddíle popř. dokonce na jiném disku. Struktura se však nezmění a v systému to není na první pohled viditelné.

Root - správce

Pokud se stanete rootem, stáváte se v systému "všemocným". V systému můžete dělat cokoliv. Rootem by se měl stát vždy správce systému, to znamená upravovat a nastavovat systém by měl vždy jen člověk, který ví, co dělá. Tato významná bezpečnostní složka v Linuxu odděluje samotný systém, jeho soubory a adresáře od uživatele a jemu přidělenou domovskou složkou. Oddělena je pomocí správcovského hesla neboli hesla roota, které jste zadávali při instalaci. V některých distribucích heslo roota při instalaci nezadáváte, potom se heslem roota stává heslo (prvního) uživatele, kterým se přihlásíte do systému. Na následujícím obrázku vidíte požadavek systému na zadání hesla při pokusu o spuštění ovládacího centra Yast v OpenSuSE Yast

 

Požadavek systému na zadání hesla roota v OpenSuSE 11

Kde všude bude nutné přihlašovat se jako root?

• Při všech úpravách v adresářích a souborech mimo domovskou složku uživatele.
• Při instalaci, reinstalaci, odinstalaci a aktualizaci softwaru (systému), ovladačů (typicky grafických karet, wifi).
• Nastavení připojení k internetu (sítí).
• Spuštění, nastavení firewallu.
• Přidání nových uživatelů (oddělené domovské složky pro další uživatele počítače).
• Další položky, netýkající se následujících částí, které může spravovat běžný uživatel.

Co smí běžný uživatel, pokud je přihlášený?

• Spouštět již nainstalované programy a ukládat jejich práci.
• Vytvářet, kopírovat, přesouvat a mazat dokumenty v domovské složce.
• Upravovat vzhled operačního systému.
• Upravovat další položky (rozložení klávesnice, rozlišení obrazovky, nastavení hlasitosti apod.).

Výše uvedené body ukazují základní operace, které jsou možné pod rootem a které je možné provádět pod přihlášením běžného uživatele. Jednotlivé body se mohou drobně lišit distribuce od distribuce. Ve Windows nejsou uživatelé na takové striktní oddělení správy systému od uživatele často zvyklí, ale při běžné práci v operačním systému Linux si tohoto dělení nevšimnete. Jedná se pouze o nastavení "pro jednou" po instalaci a pak už můžete "neomezeně" pracovat.

Pro začátečníka, kterému systém oznámí požadavek na zadání správcovského hesla, je to varování, že se dostává do místa, aktivity, kterou může změnit nebo poškodit systém, pokud neví, co dělá. Pro ostatní uživatele, kteří již mají systém nastaven a upraven podle svých představ, je zadávání hesla roota otázkou maximálně při aktualizaci softwaru a systému jednou za několik dní.

Firewall, antivir a další antisoftware

Nyní se zaměříme na oblast zabezpeční systému, která zajímá jistě nejvíce uživatelů přecházejících k Linuxu. Ano, jde o "softwarové zabezpečení" systému. Uživatelé operačního systému Windows jsou nyní jistě jako na trní. Rychle nainstalovat firewall, antivir, antispyware a podobné "antisoftwarové" utilitky, bez kterých není možné na operačním systému Windows dlouhodobě přežít - s připojením k internetu. V klidu se posaďte, nikam nespěchejte a čtěte dále. Téměř nic z "antisoftwaru" nemusíte v Linuxu instalovat. Linux sám o sobě je velice bezpečný.

Jediným běžně používaným softwarem, srovnatelným se softwarem z Windows, je firewall. "Antisoftware" používající rezidentní ochranu (běží na pozadí) a další nejrůznější čisticí utilitky v Linuxu spíše nenajdete, na běžném PC se nepoužívají. Existuje pár antivirů, které jsou určeny především pro kontrolu dat Windows z Linuxu a dat posílaných do Windows (Na vaši ochranu: Antivirový program ClamAV), ale ve srovnání s antiviry určenými pro Windows jsou dosti odlišné.

Linuxu samotnému škodlivý software určený pro Windows neuškodí. Dalo by se říci, že vir pro Windows přestává být v Linuxu virem. Existuje mnoho debat, kolik virů a podobného škodlivého softwaru pro Linux vlastně existuje. Obecně se má za to, že v současnosti široce rozšiřitelný škodlivý software pro Linux prakticky neexistuje. Příčin je mnoho a patří sem nejen relativně malá rozšířenost Linuxu. Podívejte se na následující články Bezpečnost Linuxu proti virům a Linux a viry.

V linuxových distribucích stačí firewall aktivovat (a nastavit). V některých distribucích je nutné kvůli nastavení firewallu přes "klikátko" toto "klikátko" nainstalovat, v jiných najdete nástroj již "zabudovaný" či nainstalovaný. Pak jej stačí jen aktivovat.

Typickou otázkou začátečníků po aktivaci firewallu bývá - proč se v systémové (tray) oblasti firewall nezobrazuje? Nezobrazuje, i když je aktivováním spuštěn. Samotný firewall je "zabudován" v jádře Linuxu (Průvodce Linuxem 1 - Co je Linux?, Průvodce Linuxem 5 - Vybíráme distribuci GNU/Linuxu), pod názvem iptables. Prográmky, o kterých můžete slyšet jako o firewallu, např. GUFW, Firestarter, GuardDog či klikátka zabudovaná v ovládacích cetrech, jsou jen nadstavby (takový dálkový ovladač televize) iptables, který aktivují. Není tedy důvod, proč by měla být tato "klikátka" trvale spuštěna, nemá to žádný význam. Po tomto bezpečnostním zásahu (nastavení, aktivaci) komunikace s bezpečnostním softwarem končí a "klikací" program lze ukončit také. Firewall poběží.

Aktivace firewallu v OpenSuSE 11

 

Aktivace firewallu v Mandriva Linuxu 2009

Aktualizace systému a nainstalovaných programů

Tato položka je velice důležitá snad ve všech operačních systémech. Mít aktuální systém se všemi programy aktuálními. Neznamená to však mít nejnovější verze systémů a programů, ale mít nainstalované všechny bezpečnostní a doporučené aktualizace. Většina distribucí má možnost nastavit si "stupeň" aktualizace systému. Tento stupeň se často dělí na aktualizace bezpečnostní, doporučené, popř. další, které již instalují především novější verze programů.

Pokud chcete mít zcela stabilní systém, doporučuji mít bezpečnostní a doporučené aktualizace zapnuté, lépe řečeno aktualizace nevypínat. Běžné distribuce mají aktualizace aktivované hned po instalaci (bezpečnostní i doporučené). V součassnosti snad všechny "velké distribuce" disponují automatickou kontrolou aktualizací, která provede kontrolu aktualizací podle vašich požadavků (denně, týdně atd.).

Výše jsem již uvedl, že bezpečnost Linuxu není viry prakticky ohrožována. Proč tedy používat aktualizace systému a programů? Je to jednoduché, všechny nainstalované bezpečnostní a doporučené aktualizace by měly systém více zabezpečit a zvýšit stabilitu, případně odstranit některé nedokonolosti systému. Samozřejmě i aktualizace zasahují výrazně do systému, proto i aktualizace je možné provést pouze pod rootem. Při oznámení o aktualizaci a úmyslu aktualizovat bude systém vždy požadovat heslo roota.

 

Ohlášení aktualizací v distribuci Fedora 10

Přihlašovací dialog

Možná některé uživatele překvapilo, že se po instalaci objevil přihlašovací dialog. Tento dialog požaduje uživatelské jméno a heslo, které jste zadávali při instalaci. Doufám, že jste ho nezapoměli :) . Některým přihlašování při každém spuštění systému nemusí vyhovovat, přesto osobně doporučuji přihlašovací dialog ponechat aktivovaný, ale rozhodnutí nechávám na vás. Z předchozí věty jste jistě pochopili, že je možné tuto položku přeskočit a po spuštění počítače se dostat do systému bez přihlášení. V některých distribucích je možné si tento dialog deaktivovat již při instalaci. Tato možnost však není ve všech instalacích všech distribucí, ale možnost vypnutí bude v běžných "velkých distribucích" možné nastavit v příslušném "klikátku". U každé distribuce to bude trochu jinde, takže hledejte.

Pokud na počítači pracuje více uživatelů, je možné si zřídit více účtů (viz výše - domovská složka). Každý uživatel bude mít svoje přihlašovací údaje a oddělená datová úložiště (domovskou složku). Každý budete mít své vlastní "Dokumenty". Pokud v rodině máte jeden počítač, na kterém se střídáte, pak je tato možnost vytvoření více účtů velice vhodná. Děti omylem nesmažou cenná data rodičům a stejně to platí i naopak :). Při spuštění počítače se přihlásí člen rodiny pouze pod svým uživatelským jménem a heslem, takže nehrozí ztráta či poškození dat jiného člena rodiny. Přes adresář home sice uživatel může nahlédnout do domovské složky jiného uživatele, ale nemůže s daty nijak manipulovat, může si data pouze zkopírovat k sobě.

 

Přihlašovací dialog distribuce CentOS 5

Shrnutí

• Pochopit, kde končí "adresářová hranice" pro běžného uživatele a kam může už jen root.
• Respektovat oddělenost roota od běžného uživatele.
• Z bezpečnostního softwaru aktivovat firewall.
• Mít aktualizovaný systém a programy.
• Přihlašovací dialog ponechat aktivovaný.

Nyní máte základní přehled o nejdůležitějších bezpečnostních položkách, které v Linuxu číhají a brání systém před poškozením zvenčí i zevnitř.