Lokal ITsäkerhet Anders Wallenquist Västerås 2007
Om Ubuntu: kontorsapplikationer
Marknadens största programutbud Kontorsapplikationer Webbpublicering Drupal utsett till världens bästa Telefoni Affärsystem Ledande inom tunna klienter
Om Ubuntu: virtualisering Xen Desktop server VirtualBox KVM, Kernel Virtual Machine VMWare player och server
30 professionella applikationer för ljud-, grafisk- och filmproduktion Realtidssystem för studiokvalitet Flera långfilmer och musikproduktioner
Ubuntu mobile Ubuntu för mobila och inbyggda system Samarbete Intel och Nokia
Idel lovord i recentionerna Canonical's new Ubuntu paves way for server push Extremely easy to learn and use Med Ubuntu har det blivit enklare än någonsin att ta steget från trygga Windows till Linux-världen Review: Ubuntu's New 'Gutsy Gibbon' Brings Linux Out of the Jungle "Show me one Vista user who isn't in awe of Gutsy Gibbon and I'll show you a liar"
Ubuntu till 800 offentliga organisationer Vertel vann Vervaupphandlingen Öppna Program 2007 i samarbete med Arctic Group med Ubuntu som plattform
Säkerhetsstrategier Eliminera sårbarheter via underhållsavtalet Kryptera punkt till punkt Hög kvalitet på lösenord Väldefinierade rutiner och ansvarsfördelning Kunskap
Sekundära säkerhetstrategier Proaktiva åtgärder Monitorering och IDS Inloggning med certifikat (dosa/smarta kort)
Ubuntu - programdistributör
Distribution - prenumeration Programarkiv Centrala/lokala Hela programstacken Underhållsavtal
Distribution/underhållsavtal Fritt underhållsavtal 18, 36, 60 månader
Underhållsavtalen Ubuntu 8.10 Ubuntu 8.04 LTS Ubuntu 7.10 Ubuntu 7.04 Ubuntu 6.10 Ubuntu 6.06 LTS 18 36 60 18 18 18 36 60 apr 2006 okt 2006 apr 2007 okt 2007 apr 2008 okt 2008 apr 2009 okt 2009 apr 2010 okt 2010 apr 2011 okt 2011 apr 2012 okt 2012apr 2013okt 2013 Prenumerationer: security, update, backport Uppgradering t ex 7.04 -> 7.10
Stabil miljö OpenOffice.org Ubuntu 8.10 3.0.0? 3.0.0? Ubuntu 8.04 LTS 2.4.0? 2.4.0? Ubuntu 7.10 2.3.0 2.3.0 Ubuntu 7.04 2.2.0 2.2.0 Ubuntu 6.10 2.0.4 2.0.4 Ubuntu 6.06 LTS 2.0.2 2.0.2 apr 2006 okt 2006 apr 2007 okt 2007 apr 2008 okt 2008 apr 2009 okt 2009 apr 2010 okt 2010 apr 2011 okt 2011 apr 2012 okt 2012apr 2013okt 2013 Samma nivå på all programvara under hela perioden Update och backport är medvetna val
Uppgradering 12 månader uppgraderingsfönster
Jens Askengren upptäcker brist i Gnome 26/9 Rapporterar i launchpad.net #145123 Keyboard shortcut works even when the screen is locked ca 18/10 CVE-2007-3920 18/10 Brian Murray rättar 23/10 usn-537-1 distribueras 24/10 Steffen Joeris rättar (Debian)
Buggrapporten #145123
CVE-2007-3920
Rapporten i securityfocus.com
USN-537-1
Programmet distribueras
Ändringsloggen i Synaptic
Bug activity - logglista
Samverkan säkerhetsorganisationer CERT Produktägare CVE Novell Produktägare Ubuntu Microsoft SITIC Statliga organ Lokal organisation
Ubuntu ledande i flera undersökningar 80 Riskexponering Snittpoäng 0-100 70 30 sårbarheter, 100 poäng till snabbast 0 till långsammast. 1 dag till 56 dagar. Totalt 11 Linuxdistr, Ubuntu nummer 1 (Security Magazine, jul 2006) 60 50 40 30 20 10 0 Ubuntu Red Hat Enterprise Trustix Secure Linux Suse Linux Enterprise
Sudo Systemadministratören utpekad vanlig användare sudo-prefix extra autenticering kort atomisk exponering som root Loggning på vem som utför administrativa åtgärder Aldrig inloggad som root
Starka lösenord I väntan på bättre metoder: Starka lösenord kontrollera styrkan på lösenorden byt regelbundet lagom komplexa så att de går att komma ihåg testalosenord.se
VPN bedräglig trygghet VPN förlegad teknik Kryptering nätverk till nätverk Kryptera all trafik punkt till punk, applikation till applikation SSH kan kryptera de flesta protokoll
FreeNX
Pröva aktivt Pröva dina system Nessus (testadatorn.se) John the Ripper (lösenord)
Brandväggen fungerar den idag? ja men inte som förr
Proaktiva metoder SSP Chroot Policy Köra system i skyddad miljö Apparmor SeLinux Honeypot Xen virtuella maskiner
Stack-smash-prevention Vanligaste sårbarheten är programfel som är stack eller bufferoverflow-relaterade. SSP kan detektera denna typ av intrångsförsök och skydda genom programkrasch i väntan på USN. Så kallad zero-day protection. Gcc 4.1 har SSP (1) Randomisering av stackvariabler (2) lägger till en canary (slumptal) till slutet på buffrar som regelbundet kontrolleras.
Policybaserad åtstramning SELinux Policy AppArmor Enklare att hantera än SELinux
Intrusion detection system, IDS aide acidlab snort DDOS snort och shorewall Rootkits: chkrootkit rkhunter
Tack för ikväll! Anders Wallenquist anders.wallenquist@vertel.se 0709 565 160