Ubuntu Sverige

[redigera] Säkerhet i Ubuntu

Innehåll 1 Säkerhet i Ubuntu 1.1 Brandvägg 1.2 Virus 1.3 Buggar 1.4 Användare och rättigheter 1.5 Administratör (sudo) 1.6 Mångfald 1.7 Vad du kan göra 1.7.1 Installera program med Pakethanteraren 1.7.2 Håll systemet uppdaterat 1.7.3 Säkra lösenord 1.7.4 Lås datorn 1.7.5 Använd router 1.7.6 Antivirusprogram 1.7.7 Brandvägg 1.7.8 Firefox 1.7.9 Det största hotet 1.8 Vad du inte bör göra 1.9 Verktyg

Denna text är tänkt som en introduktion för nybörjare angående säkerhetstänkande med Ubuntu. Den är i första hand inriktad på "skrivbordsversionen" av Ubuntu och inte serverversionen och serversäkerhet.

Datasäkerhet handlar i korthet om att erbjuda:

• Skydd mot intrång via nätverket (trojaner, spyware)
• Skydd mot skadlig mjukvara (virus, buggar)
• Skydd mot att data som sparats på datorn inte är tillgängligt för andra.

Den stora boven i samanhanget är internet med dess möjligheter och faror, de flesta datoranvändare har liknande behov av internet och använder mestadels datorn till att surfa, maila och chatta. Dessa "vanliga datoranvändare" eller "skrivbordsanvändare" har mycket att vinna på att använda ett säkert system.

Ubuntu har redan efter en grundinstallation en hög säkerhetsnivå. Detta har mycket att göra med användandet av linuxkärnan. En skrivbordanvändare erbjuds en kärna med samma säkerhet som en internetserver. Dock finns det fortfarande olika fällor och säkerhetsluckor som användare bör vara vaksamma på. Nedan följer instruktioner för hur Ubuntu med olika program kan hållas säkert, samt säkerhetstips och information om hur Ubuntu hanterar användare och rättigheter.

[redigera] Brandvägg

Mellan datorn och internet används en s.k. Brandvägg. Brandväggen är en mjukvara som kontrollerar trafiken in och ut från datorn. I Windows behöver användaren ofta installera en extern brandvägg men i linux finns denna inbyggd i kärnan. Denna brandvägg kallas Iptables.

För att få ett grafiskt användargränsnitt till Iptables finns programmet Firestarter.

För att installera

I Ubuntu

sudo apt-get install firestarter
gksudo firestarter

I Kubuntu

sudo apt-get install kmyfirewall 

alternativt:

sudo apt-get install guarddog 

[redigera] Virus

Ett datavirus går att jämföra med de virus som vi människor ibland smittas av. Ett datavirus kan infektera datorn och sedan sprida sig vidare, viruset kan under tiden skriva om olika filer eller ta bort dem helt. Linux anses vara relativt säkert från virus även om de existerar (se lista här)

En god anledning att byta från Windows till en Linuxdistribution är den nästan totala avsaknaden av virus. Dock innebär det låga antalet specifika linux-virus inte att linux är helt skyddat. Används linux som server och lagrar dokument eller andra typer av filer kan dessa vara nedsmittade och på så vis ta sig in i systemet eller sprida sig vidare. Därför finns antivirus-program även för linux, tex. ClamAV. För att förhindra spridningen av olika virus och för att skydda sig själv mot nya ännu okända linux-virus är det inte helt fel att installera ett antivirusprogram på Ubuntu.

[redigera] Buggar

En väldigt liten del av alla program som skrivs är felfria, det finns ofta buggar som visar sig när koden körs på andra system och med andra förutsättningar. Dessa småfel kallas inom datorvärlden för buggar, ordet bugg är en direktöversättning från det engelska ordet "bug" vilket betyder insekt. Det sägs att i den första generationens datorer kunde fel uppkomma genom att insekter kröp in och kortslöt komponenter.

Inom open-source världen korrigeras buggar genom att de användare som märker en bugg, raporterar denna till utvecklarna, alternativt fixar till buggen och tillhandahåller en s.k. patch.

För att effektivt kunna samordna all bugg-hantering ligger hela ubuntus operativsystem ute på launchpad Där kan utvecklarna informeras om olika buggar och problem och sedan lägga ut en uppdaterad version på ubuntus servrar. Systemet är mycket effektivt och gör att Ubuntu kan tillhandahålla buggfixar väldigt snabbt. De nya paketen innehållande buggfixade program hämtas sedan hem med hjälp av ett verktyg kallat uppdateringshanteraren.

För att hålla systemet säkert bör de program som uppdateringshanteraren tillhandahåller alltid installeras.

	Observera Om du finner en bugg anses det som en mycket bra sak att raportera denna,
registrera dig på launchpad och skriv en rapport!!

För att ytterligare öka säkerheten på det här området, finns sedan Ubuntu 7.10 programmet AppArmor installerat som standard. Vad AppArmor gör, är att se till att begränsa ett programs resursanvändning så programet inte kan använda resurser det inte har rätt till. Tyvärr behöver man ännu ha en hel del tekniska kunskaper för att hantera och skapa profiler. Läs mer på https://wiki.ubuntu.com/AppArmor

[redigera] Användare och rättigheter

En sak som mer allmänt gör det säkrare att använda en Linxudistribution, är dess hantering av användare och deras rättigheter. Linux bygger på operativsystemet Unix och de båda är byggda för att användas av många i ett nätverk. Därför har man varit noga med vem och vilka som har rättigheter till vad och hur mycket.

Systemet med rättigheter bygger dels på att man skiljer mellan användare och grupper, dels att dessa kan ha en egen kombination av rättigheter att läsa, skriva eller köra en fil. Dessa rättigheter kan sättas både på filer och mappar. På det här sättet håller systemet ordning och ser till att ingen kan göra något den inte har rättighet till. Om du vill fördjupa dig i ämnet, hittar du sidor på svenska här och här. Du kan även titta på engelska Wikipedia.

Det här gäller även program. En tjänst som startas när datorn startar, sparkas igång av användaren, root. Root är namnet på administratörens konto. När tjänsten väl startat, då körs den av den användare som skapades för programmet vid installationen. Skulle programmet bli komprometterat har det inga rättigheter utanför sitt eget område och kan inte utnyttjas för skumma ändamål.

Det har hänt att virus har infekterat Linuxdatorer, men p g a att de inte har kunnat köras med administrativa rättigheter har de inte varit särskilt framgångsrika när det gäller att sprida sig.

Men skyddet när det gäller program i Linux sträcker sig längre än så. Inget program kan t.ex. börja köra av sig själv. Startar det inte när datorn gör det, så måste det uttrycklingen startas av en användare. Installerar du ett nytt program, även via Pakethanteraren, så måste du uppge ditt lösenord. Laddar du ner en fil som ska gå att köra, måste du först ändra på rättigheterna för filen så att du får rättighet att köra den. Du kommer alltså att veta när ett nytt program körs eftersom du måste starta det. Det kan vid en del tillfällen komma upp en ruta där du blir tillfrågad om du vill köra eller visa filen du klickat på.

[redigera] Administratör (sudo)

I nästan alla andra Linuxdistributioner finns det ett administratörskonto: root. Root har fullständiga rättigheter på systemet, medan vanliga användare har mycket mer begränsade möjligheter att påverka. Root-kontot anses därför allmänt som en potentiell säkerhetsrisk. Därför är det en standardrekommendation i alla handledningar för Linux, att man inte ska vara inloggad som root mer än nödvändigt. Av den anledningen tog man bort det när man skapade Ubuntu.

Den lösning man valt i Ubuntu ser istället ut så här: Den första användaren skapas under installationen och den blir automatiskt medlem i gruppen admin och kan, under vissa förutsättningar, utföra administrativa uppgifter. Efter installationen kan du skapa fler användare, men för att de ska kunna utföra någon administration, måste du aktivt göra dem medlemmar av admin-gruppen.

För att utföra administrativa uppgifter måste antingen en användare med administratörsrättigheter skriva sitt lösenord eller i terminalen skriva:

sudo

[redigera] Mångfald

Något som kan förvirra i Linux är den uppsjö av program som finns för samma sak. Det här brukar man väl inte ta upp när man talar om säkerhet, men jag tror att det är ytterligare en sak som gör det svårare att skriva virus och annan ohyra för Linux. Jag ska ta ett exempel.

I Windows så använder de flesta det e-postprogram som följer med vid installationen. Därför är det många som använder det. Kända brister i det gör att man lätt kan få en stor effekt om man kan plantera ett virus via e-post och det har ju också varit ett av de stora problemen sedan slutet av 90-talet.

Går man till Linux blir det svårare. Kör du Ubuntu får du Evolution som det föreslagna e-postprogrammet. Men det finns ju så många andra Linuxdistributioner, även om man undantar Kubuntu och Xubuntu. Alla har sitt e-postprogram. Det är inte ens säkert att en Ubuntuanvändare använder Evolution. Det finns ju en mängd andra att välja på och har man varit i Linuxvärlden ett tag, har man nog prövat några av dem.

[redigera] Vad du kan göra

Men bara för att Ubuntu är bland det säkraste som finns, gör inte att man ska sluta tänka på sin säkerhet. Det finns en del saker du kan göra för att minska risken ännu mer. Här följer några tips och läs även sidan "Håll din dator säker".

[redigera] Installera program med Pakethanteraren

Ladda bara ner program från Ubuntus paketförråd. De program som har ikonen för Ubuntu framför sig och de som finns i förrådet Universe är att betrakta som säkra. Där finns mängder med program som man kan installera med Pakethanteraren, så det finns vanligen ingen orsak att ladda ner program på annat sätt. Du kan också öka säkerheten för vissa program genom att installera paketet apparmor-profiles.

[redigera] Håll systemet uppdaterat

Se till att uppdatera systemet genom att installera de uppdateringar som kommer. Så fort ikonen för Uppdateringshanteraren dyker upp, ska du klicka på den, klicka på Installera och ange ditt lösenord. Därefter har du återigen ett säkrare system.

[redigera] Säkra lösenord

Använd alltid säkra lösenord. Det finns en funktion när man skapar nya användare, där man låter systemet skapa ett slumpmässigt lösenord. Det kan även användas för att ändra ditt existerande lösenord. Man kan också hitta program i Pakethanteraren för att skapa säkra lösenord.

[redigera] Lås datorn

Genom att låsa din skärm förhindrar du att andra personer får tillgång till din dator när du är frånvarande. Alla dina program och arbeten fortsätter att vara öppna medan skärmen är låst och skärmsläckaren visas.

Du kan låsa din skärm på ett av följande sätt:

• Tryck på System -> Avsluta...-> Lås skärm.
• Tryck på Control-Alt-L för att låsa skärmen. Denna snabbtangent kan ändras i System -> Inställningar -> Tangentsbordsgenvägar.

Du kan lägga till en Lås skärmen knapp till en panel för lätt åtkomst. Höger klicka på en panel (t.ex. panelen som ligger på toppen av skärmen), välj Lägg till i panelen... och dra ikonen Lås skärmen till din önskade plats.

För att låsa upp skärmen, flytta på musen eller tryck på tangentbordet. Skriv sedan in ditt lösenord och tryck antagligen på Return tangenten eller på Lås upp-knappen.

Om flera personer har användarkonton på din dator och skärmen är låst, kan övriga användare trycka på knappen Byt användare... för att använda datorn, även om skärmen är låst. De kommer inte kunna få tillgång till ditt nuvarande öppna arbete, och du har möjligheten att återvända till din låsta session när de är färdiga med att använda datorn.

[redigera] Använd router

Använd en router mellan din dator och ditt modem. Har du ett hemmanätverk, då har du troligen en sådan för att koppla ihop datorerna. Men även om du bara har en dator, kan du ändå dra nytta den säkerhet en router kan ge. Det finns flera olika modeller för hemmabruk att köpa i handeln. Dessa brukar även innehålla en brandvägg. En extra säkerhet med att använda en router är, att din dator då får en privat IP-adress. Det kan t ex vara 192.168.1.3. En sådan adress är inte gångbar på internet och kan inte heller nås från internet. Det går också att skapa en router av en Ubuntudator. Det finns även specialanpassade Linuxdistributioner som är byggda för att agera router.

[redigera] Antivirusprogram

I ett nätverk med Windows och för att inte själv bli en smittspridare, kan det vara bra att köra ett antivirusprogram. Det går också att använda sin Linuxdator för att skanna en Windowsdator efter ohyra. Kör du Wine kan du också dra på dig virus, eftersom det är ett Windowsprogram du kör. Här är några exempel på antivirusprogram du kan köra i Ubuntu. Glöm inte bort att uppdatera dem.

• ClamAV med något av de grafiska gränssnitten clamtk, avscan eller kmyfirewall, vilka alla finns i paketförrådet. Det här är ett program med öppen källkod och alltså fritt. En guide för Gutsy kan du hitta på vårt forumet.
• AVG är en gratisversion. Det finns en HowTo för Ubuntu på engelska.
• Panda är en gratisversion. Det finns en HowTo för Ubuntu på engelska.
• F-Prot är en gratisversion. Det finns en HowTo för Ubuntu på engelska och en på HowToForge.
• BitDefender är en gratisversion. Det finns en HowTo för Ubuntu på engelska.

[redigera] Brandvägg

Börjar man köra tjänster eller vill vara på den säkra sidan, då ska man definitivt ställa in brandväggen. Det kommando man använder för att skapa och ta bort regler heter iptables. Enkla introduktioner hittar du på Wikipedia och help.ubuntu.com. Man kan naturligtvis lära sig hur man använder det, men det bästa när man är ny är att använda ett grafiskt program eller ett skript som har bra instruktioner.

• Firestarter är ett grafisk program, främst tänkt för Gnome. På techotipia.com finns en bra introduktion.
• Shorewall är ett skript där man får ange sina egna värden och sedan kör skriptet.
• Guarddog är ett grafiskt program, främst tänkt för KDE.
• Fwbuilder
• KmyFirewall är ett grafiskt program, främst tänkt för KDE.
• Easy Firewall Generator är en webbresurs där man genom att ange några uppgifter om sitt nätverk, får ett automatisk skapat skript som man kan köra på sin dator.

Du kan också lösa problemet med brandvägg genom att köpa en router med inbyggd brandvägg. Det är emellertid en god policy att även ha brandvägg på varje enskild dator.

[redigera] Firefox

Webbläsaren är idag ett hål rakt in i din dator, vilket utnyttjas av en del. Till Firefox kan man skaffa tillägg som kan öka säkerheten, t ex AdBlock Plus och NoScript. Man bör också vara försiktig med kakor/cookies.

[redigera] Det största hotet

Till sist vill jag också göra dig uppmärksam på en av de största säkerhetsriskerna: du själv. Ubuntu är rimligt säkert, så det är ditt användande som orsakar problem. Därför är det viktigt att du rannsakar dig själv och ditt beteende vid datorn, för att se vad som skulle kunna orsaka säkerhetsbrister. Det är du som är den mänskliga faktorn. Läs därför råden på Post & Telestyrelsens hemsida.

[redigera] Vad du inte bör göra

Sedan finns det också saker du bör undvika att göra.

• Aktivera inte root-konto. Det går, men gör det inte! Behöver du utföra något som kräver root-rättigheter, använd kommando sudo eller ange ditt lösenord om du behöver gör något under System – Administration. Vill du starta ett grafiskt program som root, trycker du Alt+F2 och skriver sedan gksu programmets_namn för ubuntu/xubuntu och kdesu programmets_namn för kubuntu.
• Ha inte tjänster igång som du inte absolut behöver. Du kan avaktivera en tjänst genom att gå till System – Administration – Tjänster och i lämplig ruta ta bort en bock. Men ta inte bort sånt du inte vet vad det är. Det finns saker som finns i listan men som ändå inte utgör någon fara. Installera inte sådant du inte behöver. Börjar du köra t ex en FTP- eller webbserver har du öppnat din dator.
• Ladda inte ner DEB-filer från skumma ställen. Det finns program i Pakethanteraren, även om det inte alltid är den allra senaste versionen. Det senaste kan innebära buggar som ännu inte är hittade.

[redigera] Verktyg

Det finns ett verktyg i Ubuntu för att kontrollera säkerheten i ditt system. Egentligen är det en samling av flera olika, men de presenteras i ett och samma gränssnitt.

1. Gå till System -> Administration -> Nätverksverktyg
2. Under fliken Enheter kan du hitta ditt nätverkskort i Nätverksenhet. Har du flera kan du få information om dem alla, t ex IP-adressen och nätverkskortets adress (MAC-adressen).
3. Under fliken Netstat kan du markera knappen för Aktiva nätverkstjänster. Klicka sedan på knappen Netstat. I listan som dyker upp kan du se vilka tjänster som lyssnar efter anrop på din dator.
4. Under fliken Portskanna ska du ange din dators IP-adress och sedan klicka på knappen Skanna. Listan du får upp visar vilka portar du har öppna mot yttervärlden.

Det finns också några ställen på internet där du kan testa säkerheten på din dator eller få information.

• Post & Telestyrelsens hemsida
  • PTS sida om Internetsäkerhet: http://www.pts.se/internetsakerhet/Sidor/startsida.asp
  • Testa din dator
  • Läs även PTS 13 goda råd.
• ShieldsUp. Du hittar en länk långt ner på sidan. På nästa sida klickar du på Proceed. Nu är du framme på sidan där testet börjar. Klicka i tur och ordning på knapparna för File Sharing, Common Ports, All Service Ports, Messenger Spam och Browser Headers.

Lycka till!