Qual è la protezione da virus incorporata di Ubuntu?

Collaborando con un ecosistema di partner leader mondiale, dai fornitori di silicio agli OEM e agli ODM, Canonical sta alzando la barra di ciò che è possibile nel mondo del software, scatenando una nuova ondata di creatività e innovazione con Ubuntu in tempo reale.

Riepilogo: Ubuntu in tempo reale offre sicurezza e affidabilità end-to-end

Canonical ha rilasciato in tempo reale Ubuntu 22.04 LTS, che fornisce una risposta deterministica a un evento esterno. Mira a ridurre al minimo la garanzia dei tempi di risposta entro una scadenza specificata. Il nuovo kernel in tempo reale di livello aziendale è ideale per industrie come industriali, telecomunicazioni, automobili, aerospaziali e di difesa, settore pubblico e vendita al dettaglio. Questi settori possono ora eseguire carichi di lavoro esigenti e sviluppare applicazioni sensibili al tempo sul sistema operativo open source.

Punti chiave:

1. In tempo reale Ubuntu 22.04 LTS offre una risposta deterministica a eventi esterni.
2. Il nuovo kernel in tempo reale è ideale per le industrie con rigorosi requisiti a bassa latenza.
3. È adatto per settori industriali, telecomunicativi, automobilistici, aerospaziali e di difesa, settore pubblico e vendita al dettaglio.
4. In tempo reale Ubuntu è la migliore piattaforma Aiot ottimizzata al silicio al mondo su vari fornitori di silicio.
5. Il kernel Ubuntu in tempo reale è progettato per la produzione, il monitoraggio e la tecnologia operativa definita dal software.
6. Ubuntu 22.04 LTS integra le patch PREEMT_RT per ridurre le latenze del kernel e garantire l’esecuzione dell’attività prevedibile nel tempo.
7. La collaborazione con Ecosystem Partners consente l’innovazione e la creatività con Ubuntu in tempo reale.
8. Ubuntu in tempo reale su braccio beneficia dell’intero ecosistema ARM dal cloud a Edge Computing.
9. Ubuntu in tempo reale è l’ideale per Telco, industria 4.0 e casi d’uso automobilistici.
10. Ubuntu Pro con kernel in tempo reale fornisce valore e supporto significativi ai fornitori di servizi e ai clienti aziendali.
Domande:
1. In che modo Ubuntu in tempo reale fornisce sicurezza e affidabilità end-to-end?
– Ubuntu in tempo reale offre una risposta deterministica agli eventi esterni e minimizza i tempi di risposta entro una scadenza specificata. Ciò garantisce che i carichi di lavoro critici e le applicazioni sensibili al tempo possano essere eseguiti in modo sicuro e affidabile.
2. Quali industrie possono beneficiare del nuovo kernel in tempo reale?
– Il nuovo kernel in tempo reale è ideale per industrie come industriali, telecomunicazioni, automobili, aerospaziali e difesa, settore pubblico e vendita al dettaglio. Questi settori possono eseguire carichi di lavoro esigenti e sviluppare applicazioni sensibili al tempo sul sistema operativo open source.
3. Cosa rende il kernel Ubuntu in tempo reale la migliore piattaforma Aiot ottimizzata dal silicio?
– Ubuntu in tempo reale è ottimizzato per fornitori di silicio come Nvidia, Intel, MediaTek e AMD-Xilinx. Questa ottimizzazione consente maggiori prestazioni e resilienza nelle applicazioni di produzione, monitoraggio e tecnologia operativa definite dal software.
4. Quali sono le patch preempt_rt e come migliorano le prestazioni del kernel?
– Patch preempt_rt, integrate in Ubuntu 22.04 LTS, Riduci le latenze del kernel e garantisce l’esecuzione dell’attività predefinita nel tempo. Questo rende il kernel ubuntu in tempo reale più preventivo e adatto ai carichi di lavoro più esigenti.
5. In che modo la collaborazione con i partner ecosistemici a beneficio di Ubuntu in tempo reale?
– Collaborare con i partner ecosistemici dei fornitori di silicio a OEM e ODMS consente a Canonical di scatenare la creatività e l’innovazione con Ubuntu in tempo reale. Consente lo sviluppo di soluzioni su misura per requisiti specifici del settore.
6. In che modo Ubuntu in tempo reale a beneficio dell’ecosistema ARM?
– Ubuntu in tempo reale sul braccio avvantaggia l’intero ecosistema ARM attraverso lo spettro di calcolo, da Cloud a Edge. Abilita veicoli definiti dal software, Smart Industrial 4.0 fabbriche, funzionalità 5G Vran e data center iperscale a base di braccio ad alta efficienza energetica.
7. Quali sono i casi d’uso per Ubuntu in tempo reale a Telco, industria 4.0 e settori automobilistici?
– Ubuntu in tempo reale offre latenza ultra-bassa, prestazioni garantite e sicurezza per l’infrastruttura critica di Telco. Soddisfa la qualità del servizio, la bassa latenza e i requisiti di jitter per le esigenze di trasformazione della rete Telco, comprese quelle relative al 5G.
8. In che modo Ubuntu Pro con kernel in tempo reale fornisce valore ai fornitori di servizi e ai clienti aziendali?
– Ubuntu Pro con kernel in tempo reale offre soluzioni sicure e affidabili supportate da accordi a livello di servizio Telco. Canonical fornisce correzioni, patch di sicurezza, integrazione del modulo kernel e test della piattaforma del sistema operativo, consentendo alle organizzazioni di raggiungere i propri obiettivi aziendali con una strategia di adozione open source.
9. In che modo Ubuntu in tempo reale supporta l’infrastruttura digitale e il futuro dell’automazione della robotica?
– Ubuntu in tempo reale spinge i confini dell’infrastruttura digitale e porta avanti il ​​futuro dell’automazione della robotica. Fornisce supporto per Linux in tempo reale in una varietà di industria 4.0 casi d’uso, consentendo loop di controllo deterministici e in tempo reale.
10. Perché hardware certificato Ubuntu è ideale per le aziende che spediscono Linux incorporato in produzione?
– L’hardware certificato Ubuntu fornisce una distribuzione Linux in tempo reale di grado di produzione supportata da canonica per diversi anni. Ciò consente ai clienti aziendali di concentrarsi sui loro obiettivi aziendali, abbreviare il tempo al mercato e fare affidamento su soluzioni open source sicure.
11. Quali opzioni di distribuzione sono disponibili per il kernel Ubuntu in tempo reale?
– Il kernel in tempo reale è disponibile in tutte le varianti del sistema operativo Ubuntu. Sono disponibili due opzioni di distribuzione: Ubuntu Server 22.04 LTS con il kernel in tempo reale tramite Ubuntu Pro, l’abbonamento completo di sicurezza e conformità Canonical e un livello gratuito per uso commerciale personale e su piccola scala.
12. In che modo la manutenzione e il supporto a lungo termine garantiscono la longevità del prodotto del kernel in tempo reale?
– Canonical fornisce supporto software di livello aziendale e manutenzione a lungo termine per il kernel in tempo reale. Ciò garantisce che i fornitori e le organizzazioni possano fare affidamento sulle funzionalità del kernel e ricevere aggiornamenti e patch necessari per un periodo prolungato.
13. In che modo Ubuntu in tempo reale supporta i veicoli definiti dal software?
– Ubuntu in tempo reale, con i suoi aggiornamenti OTA e la manutenzione della sicurezza a lungo termine, consente ai fornitori OEM e di livello 1 di modellare le loro strategie di veicoli definite dal software attorno a soluzioni open source sicure. Consente la velocità di sviluppo e distribuzione mantenendo un focus sull’affidabilità e sulla sicurezza.
14. Di cosa ha bisogno l’enterprise può soddisfare il kernel in tempo reale?
– Il kernel in tempo reale è pronto per la produzione e soddisfa una vasta gamma di imprese di cui ha bisogno. Fornisce sicurezza e affidabilità end-to-end, rendendolo adatto a industrie con requisiti di bassa latenza come Telco, Automotive e Industry 4.0.
15. In che modo Ubuntu in tempo reale a beneficio delle organizzazioni con distribuzioni Linux incorporate?
– Ubuntu in tempo reale offre una soluzione ideale per le aziende che spediscono Linux incorporato in produzione. Con il supporto di Canonical e una distribuzione Linux in tempo reale di livello produttivo, le organizzazioni possono concentrarsi sul loro core business e beneficiare della velocità ridotta al mercato.

Nota: Le risposte fornite sopra si basano sulle informazioni dell’articolo e riscritte per evitare qualsiasi copia diretta di testo.

Cos’è l’Ubuntu costruito nella protezione dei virus

Collaborando con un ecosistema di partner leader mondiale, dai fornitori di silicio agli OEM e agli ODM, Canonical sta alzando la barra di ciò che è possibile nel mondo del software, scatenando una nuova ondata di creatività e innovazione con Ubuntu in tempo reale.

Ubuntu in tempo reale rilasciato, offre sicurezza e affidabilità end-to-end

Canonical Real-Time Ubuntu 22.04 LTS, fornendo una risposta deterministica a un evento esterno, con l’obiettivo di ridurre al minimo la garanzia dei tempi di risposta entro una scadenza specificata.

Il nuovo kernel in tempo reale di livello aziendale è ideale per severi requisiti a bassa latenza. Le imprese in industria, telecomunicazioni, automobili, aerospaziali e difesa, nonché il settore pubblico e la vendita al dettaglio, possono ora gestire i loro carichi di lavoro più impegnativi e sviluppare una vasta gamma di applicazioni sensibili al tempo sul sistema operativo open source (OS).

“Il kernel Ubuntu in tempo reale offre prestazioni e resilienza di livello industriale per la produzione, il monitoraggio e la tecnologia operativa definita dal software” ha detto Mark Shuttleworth, CEO di Canonical. “Ubuntu è ora il mondo’La migliore piattaforma Aiot ottimizzata in silicio su Nvidia, Intel, MediaTek e AMD-Xilinx Silicon.”

Presentazioni di calcolo e deterministiche ottimali per applicazioni sensibili al tempo

Basato sul 5.15 versione del kernel Linux, Ubuntu 22.04 LTS integra le patch out-ofe preempt_rt per X86 e Arm Architectures. Il patchset preempt_rt riduce le latenze del kernel come richiesto dai carichi di lavoro più esigenti, garantendo un’esecuzione di attività predefinite nel tempo. Soddisfare i requisiti di determinismo rigorosi e il tempo di esecuzione del limite superiore, Ubuntu con preempt_rt rende il kernel più preventivo di Mainline Linux.

Collaborando con un ecosistema di partner leader mondiale, dai fornitori di silicio agli OEM e agli ODM, Canonical sta alzando la barra di ciò che è possibile nel mondo del software, scatenando una nuova ondata di creatività e innovazione con Ubuntu in tempo reale.

“La disponibilità commerciale di Ubuntu in tempo reale su ARM dimostra la potenza della collaborazione open source e avvantaggia l’intero ecosistema ARM attraverso lo spettro di calcolo, da cloud a bordo,” ha detto Mark Hambleton, vicepresidente del software open source, ARM. “Da veicoli definiti dal software e Smart Industrial 4.0 Factory alla funzionalità Vran 5G e data center iperscale basati su braccio energetici, canonico sta consentendo il futuro del calcolo sul braccio.”

Ideale per telco, industria 4.0 e casi d’uso automobilistici

Ubuntu in tempo reale offre prestazioni, latenza ultra-bassa garantita per l’infrastruttura critica di telco. Poiché i carichi di lavoro che richiedono la qualità del servizio, la bassa latenza e il jitter migrano costantemente verso Ubuntu, Canonical ha progettato il kernel in tempo reale per soddisfare le esigenze di trasformazione della rete di telco per il 5G.

“Canonico’S leader del settore Ubuntu Pro con kernel in tempo reale, offre un valore significativo al nostro fornitore di servizi e ai clienti aziendali in più settori” ha detto Arno Van Huysssteen, CTO di Telco Field presso Canonical.

“Comprendiamo l’importanza di fornire soluzioni sicure e affidabili, motivo per cui offriamo supporto sostenuto da SLA Telco per il kernel in tempo reale abilitato all’interno di Ubuntu Pro Lts. La fornitura interna di correzioni, patch di sicurezza, integrazione del modulo kernel e test della piattaforma del sistema operativo possono essere proibitivi per i costi per le organizzazioni, sfruttando così canonici’S competenza e supporto, garantisce che i clienti possano raggiungere i propri obiettivi aziendali realizzando i benefici economici e i rendimenti degli investimenti da una strategia di adozione open source, senza compromessi,” Van Huyssteen ha concluso.

Con il supporto per il calcolo in tempo reale, Canonical sta spingendo la busta dell’infrastruttura digitale e porta avanti il ​​futuro dell’automazione della robotica. Dai PC industriali alle interfacce umane-macchina, un’ampia varietà di industria 4.0’I casi d’uso richiedono supporto per Linux in tempo reale. Poiché il determinismo è fondamentale, gli innovatori industriali spesso distribuiscono carichi di lavoro che richiedono un sistema operativo in tempo reale in esecuzione sui loro server Edge o dispongono di loop di controllo in tempo reale con tempi di risposta rigorosi.

“L’hardware certificato Ubuntu è una soluzione ideale per le aziende che spediscono Linux incorporato in produzione”, ha detto Eric Kao, direttore di Advantch. “Abbiamo in corso distribuzioni su larga scala e di massa delle schede Ubuntu. Facendo affidamento su una distribuzione Linux in tempo reale di grado di produzione supportata da canonica per diversi anni, consentiamo ai nostri clienti aziendali di concentrarci su ciò che guida la propria attività, accorciando la velocità sul mercato”.

Con Ubuntu in tempo reale generalmente disponibile, Canonical continua a spianare anche i veicoli definiti dal software, consentendo la velocità di sviluppo e distribuzione. Facendo affidamento su canonico’Aggiornamenti di S OTA e manutenzione della sicurezza a lungo termine per i fornitori di ubuntu in tempo reale, OEM e di livello 1 possono modellare le loro strategie di veicolo definite dal software attorno a soluzioni sicure e protette.

Pronto per la produzione per una vasta gamma di imprese di cui ha bisogno

Il kernel in tempo reale è disponibile tra le varianti del sistema operativo Ubuntu. Sono disponibili due opzioni di distribuzione per coloro che desiderano accelerare la loro adozione tecnologica.

Ubuntu Server 22.04 LTS con il kernel in tempo reale è disponibile tramite Ubuntu Pro, canonico’s abbonamento completo di sicurezza e conformità aziendale, che copre tutti gli aspetti dell’infrastruttura aperta. Canonical fornirà un livello gratuito per l’uso commerciale personale e su piccola scala in linea con l’azienda’Impegno e missione della comunità per alleviare l’accesso e il consumo open source.

Canonico’S supporto software di livello aziendale e manutenzione a lungo termine per il kernel in tempo reale garantirà la longevità del prodotto. I fornitori, ad esempio, possono concentrare i loro sforzi e reindirizzare le risorse verso attività a valore aggiunto senza preoccuparsi della stabilità e della sicurezza delle infrastrutture critiche sottostanti.

Ubuntu Core 22 con il kernel in tempo reale è disponibile per i clienti aziendali con un app store. Il core Ubuntu è la variante Ubuntu completamente containerizzata ottimizzata per i dispositivi Edge. Canonical manterrà Ubuntu Core con il kernel in tempo reale a lungo termine, garantendo dispositivi’ operazione affidabile.

I produttori riceveranno un decennio di aggiornamenti software ultra affidabili sui loro sistemi integrati a basso potere, inaccessibili e spesso amministrati a distanza nel campo. La sicurezza integrata di Ubuntu Core in tempo reale non si limita a correzioni di bug e patch CVE sul sistema operativo. Ogni applicazione Edge in cima a Ubuntu Core si trova in un ambiente sicuro e sandbox. Inoltre, i pionieri industriali trarranno beneficio dalle funzionalità di sicurezza e dalla crittografia a discorso a rigoroso confinamento.

Cos’è l’Ubuntu “costruito nella protezione da virus”?

A Ubuntu.com c’è questo “solo in ubuntu” che dice “costruito nella protezione dei virus”: qual è la protezione di Ubuntu? Qual è il programma responsabile di questo e come funziona?

70.5k 123 123 badge d’oro 463 463 badge d’argento 653 653 badge di bronzo

Chiesto il 12 maggio 2011 alle 15:28

Amosrivera Amosrivera

1.206 4 4 badge d’oro 13 13 badge d’argento 20 20 badge di bronzo

Accidenti. Non sapevo che Ubuntu avesse “protezione da virus incorporata”.

12 maggio 2011 alle 15:45

@Vicky, potresti voler controllare come è mantenuto il sistema? Discussione.

12 maggio 2011 alle 17:28

Nota: Questo è cambiato in “sicurezza integrata”

20 dicembre 2011 alle 12:29

7 Risposte 7

La “protezione da virus integrata” è una semplificazione delle caratteristiche di sicurezza di Ubuntu.

• Ubuntu richiede che le applicazioni vengano eseguite come super utenti per causare danni. Include anche l’appARMor per integrare questo.
• C’è anche il modello di repository sicuro e sicuro che consente di accedere a migliaia di applicazioni attraverso il centro software che sono testati dai manutentori del pacchetto.
• Dal momento che è un software gratuito, più persone hanno accesso al codice sorgente e secondo la legge di Linus: “Dai abbastanza bulbi oculari, tutti gli insetti sono superficiali“, che significa che

Data una base di beta-tester e co-sviluppatore abbastanza grande, quasi ogni problema sarà caratterizzato rapidamente e la correzione sarà ovvia per qualcuno.

Risposta il 12 maggio 2011 alle 16:19

25k 29 29 badge d’oro 121 121 badge d’argento 149 149 badge di bronzo

Si noti che non è necessario un accesso super utente ai danni dei file appartenenti all’utente e quelli sono ciò che è importante. Se può sempre reinstallare il mio sistema, ma se i miei documenti personali, i video ecc. Vengono mutilati, spero di avere un recente backup.

12 maggio 2011 alle 18:25

@Egil vero ma devi ancora avere un modo per trasportare il malware sul computer .

12 maggio 2011 alle 18:27

Sì, senza dubbio su questo.

12 maggio 2011 alle 18:42

@Alaukik: ci sono molti modi, ovviamente, l’ingegneria sociale è probabilmente la più pericolosa, quindi le vulnerabilità del software (browser, media autorun ecc.). Un esempio: omgubuntu.co.Regno Unito/2011/02/..

12 maggio 2011 alle 18:46

@Davidheffernan – Gli umani commettono errori, ma – forse sorprendentemente – più umani significa meno errori. Per ogni bug di 18 mesi che trovi nel software gratuito, posso mostrarti due bug a 5 anni nel software proprietario. Ad esempio, i certificati di firma Microsoft Crackable Md5 hanno firmato (Technet.Microsoft.com/en-us/security/Advisory/961509, rilevato 2008, fisso 2013) o il bug di crash coretext iOS (TechCrunch.com/2013/08/29/…, risolto in iOS 7 – non sono sicuro di quanto tempo fosse lì, ma probabilmente da iOS 1)

30 agosto 2013 alle 16:19

I miei 2 centesimi sono che è possibile ottenere un virus per Ubuntu, ma:

• Il modo in cui la maggior parte delle distribuzioni Linux è costruita rende molto difficile per virus/trojan/backdoors per sfruttare le vulnerabilità nei pacchetti binari. Ubuntu cambia ogni sei mesi (e aggiornamenti-volte fastidioso-terra almeno ogni settimana). Rende molto difficile per un autore virus tenere traccia di tutte queste modifiche. Al contrario, Windows impiega diversi anni per cambiare. Ciò dà un po ‘di tempo all’autore del virus per cercare di essere il più distruttivo/invasivo possibile.
• Afaik, c’è una notevole difficoltà a “perdere” codice binario o codice sorgente sospetto al funzionario di Ubuntu o ai sistemi di imballaggio ufficiale di Debian.
• Potrebbero esserci 3 modi per infettare una scatola Linux:
  • Hai gestito Linux per anni senza aggiornare nessuno dei tuoi servizi/app che rivolge a Internet.
  • Hai installato un virus/trojan da solo.
  • Hai scaricato il virus nel codice sorgente, lo hai compilato ed eseguito con privilegi di amministratore;)

  user622691

  Risposta il 12 maggio 2011 alle 16:21

  329 2 2 badge d’argento 9 9 badge in bronzo

  Un NIT minore contro il tuo primo punto: vengo assillato per nuovi aggiornamenti di Windows su tutte le volte che ricevo nuovi aggiornamenti Ubuntu.

  12 maggio 2011 alle 17:01

  Penso che il suo punto sia che ci siano importanti aggiornamenti in ogni versione, al contrario di correzioni di bug relativamente minori. Quindi, ci sono gli aggiornamenti del kernel ogni mese circa. Confronta questo con il modello di Windows in cui il nuovo sistema operativo impiega oltre 4-5 anni per uscire, con 3-4 servizi di servizio (a seconda dell’edizione) in quel momento, che possono o meno avere aggiornamenti del kernel o altre correzioni principali (considera questo: XP era amministratore e consentire il primo per impostazione predefinita fino a SP3).

  12 maggio 2011 alle 17:31

  @Jsbangs sì, hai ragione. Anche MacOS ha quello, ma dal momento che non sono un utente MacOS, non so quanto siano fastidiosi questi.

  20 maggio 2011 alle 20:15

  Ho avuto discussioni con alcune persone che affermano che la popolazione Linux lo rende un obiettivo meno favorevole per i virus.

  Ci sono un certo numero di cose su Linux e altre piattaforme basate su Unix che le rendono non ambienti piacevoli per i virus.

  • Accesso a registri e scanner di registri rendono semplice la ricerca di cose che indicano un problema.
  • I privilegi limitati per la maggior parte degli utenti rendono difficile ottenere un forte tocco su un sistema. I sistemi ben gestiti rendono estremamente difficile ottenere l’accesso al radice.
  • Facilità di limitare l’accesso a servizi come Cron che possono essere utilizzati per rilanciare i servizi.
  • Molti strumenti sono stati scansionati per le condizioni di gara che consentono di modificare i file di configurazione. (Sono stato scoraggiato nel vedere i conteggi di bug di sicurezza di Linux considerati uguali a Windows quando molti dei bug erano del tipo “La condizione di gara può consentire di modificare i punteggi alti”.)
  • Facilità nel fornire l’accesso di sola lettura alle risorse utilizzate dai servizi. (In caso contrario è un vettore che abilita l’iniezione di codice in siti.
  • Facilità di eseguire e confrontare i checksum sui file.
  • Uso pesante di file di configurazione leggibili umani.
  • Utilizzo del bit eseguibile per abilitare l’esecuzione del file.
  • Capacità di segnalare le partizioni per prevenire l’esecuzione automatica sulla partion. Esistono opzioni di montaggio aggiuntive per aumentare la sicurezza.

  In tutto e in parte questi fattori, rendono l’introduzione più difficile, più facile da rilevare e più facile da disabilitare.

  Risposta il 12 maggio 2011 alle 20:11

  4.608 18 18 badge d’argento 22 22 badge in bronzo

  Penso che ciò che significano con ciò sia a) elevazione del privilegio necessario (i.e. sudo) è necessario per fare cose potenzialmente pericolose e forse b) Linux (ironico) è troppo oscuro (e sicuro, vedi a) per attirare molto fuoco dagli scrittori di virus..

  Risposta il 12 maggio 2011 alle 15:54

  3.078 4 4 badge d’oro 21 21 badge d’argento 29 29 badge di bronzo

  La risposta più semplice è che è molto raro trovare qualsiasi virus progettato per colpire un sistema Ubuntu.

  22.8k 21 21 badge d’oro 87 87 badge d’argento 108 108 badge di bronzo

  Risposta il 13 giugno 2011 alle 10:29

  Mahmudin ashar mahmudin ashar

  386 2 2 badge d’argento 6 6 badge in bronzo

  La “protezione da virus integrata” è probabilmente solo un discorso di marketing per il fatto che Linux utilizza un formato binario diverso per gli eseguibili rispetto a Windows, quindi un virus Windows non può essere eseguito su Linux. (Potrebbe funzionare sotto il vino, ma chi lo proverebbe?)

  25k 29 29 badge d’oro 121 121 badge d’argento 149 149 badge di bronzo

  Risposta il 12 maggio 2011 alle 16:33

  13.9k 2 2 badge d’oro 45 45 badge d’argento 54 54 badge di bronzo

  È sicuramente un discorso di marketing, ma questo non ha nulla a che fare con il formato binario. Il modello di sicurezza adottato da Linux in generale è superiore a Windows. Questo è un motivo più grande della ragione del formato binario

  12 maggio 2011 alle 18:19

  Sostenendo che ha Niente a che fare con il formato binario è un po ‘inverosimile. Potrebbe non essere l’unica ragione, ma sicuramente è degno di nota. I file potrebbero non essere eseguibili per impostazione predefinita, potrebbero non essere eseguiti con le autorizzazioni di root ecc., Ma ciò può essere facilmente risolto per errore umano. Prendi omgubuntu.co.Regno Unito/2011/05/… Ad esempio. “Basta scaricare questo script ed eseguirlo con sudo, e eccoti.”Ottieni consigli simili da molti siti e scommetto che molti utenti non esaminano i comandi che eseguono.

  12 maggio 2011 alle 18:32

  . Discorso di marketing. – hai ragione.

  13 maggio 2011 alle 0:12

  In che modo Linux è superiori? Potresti avere ragione ma non vedo prove concrete.

  13 maggio 2011 alle 6:50

  @Egil per formato binario, intendevo un formato binario diverso tra Windows e Linux. Seconda cosa, un sistema operativo non può affrontare situazioni in cui le persone ascoltano qualsiasi istruzione casuale. La polizia locale non può impedire che accada una rapina se i ladri sono riusciti a convincerti ad aprire in qualche modo la porta. Puoi disabilitare Sudo (bloccare la porta permanentemente) ma sarebbe fastidioso e creerebbe più problemi per gli intrusi.

  16 maggio 2011 alle 4:32

  Estratto dal sito web del tutorial di Psychocats:

  La saggezza convenzionale nella comunità di Linux afferma che non ci sono o pochissimi virus Linux in “The Wild” e che la maggior parte sono solo virus teorici di prova del concetto. Alcune persone raccomandano di installare uno scanner per virus come Clamav per proteggere i tuoi amici che usano Windows dai virus di Windows potresti inviarli accidentalmente. Non vedo davvero come questo sia un problema, però. Se hai un allegato creato in Linux, perché dovrebbe avere un virus di Windows? Se il tuo computer è stato compromesso in modo tale da non avere il controllo su ciò che invii altre persone, allora hai molto di più di cui preoccuparti che diffondere virus ai tuoi amici che usano le finestre!

  Azure Kubernetes Service (AKS) Ubuntu Allineamento delle immagini con il benchmark Center for Internet Security (CIS)

  Come servizio sicuro, Azure Kubernetes Service (AKS) è conforme a SOC, ISO, PCI DSS e HIPAA. Questo articolo copre la configurazione del sistema operativo di sicurezza applicata a Ubuntu image utilizzata da AKS. Questa configurazione di sicurezza si basa sulla linea di base di sicurezza di Azure Linux, che si allinea al benchmark CIS. Per ulteriori informazioni sulla sicurezza di AKS, consultare i concetti di sicurezza per applicazioni e cluster nel servizio Azure Kubernetes (AKS). Per ulteriori informazioni sulla sicurezza di AKS, consultare i concetti di sicurezza per applicazioni e cluster nel servizio Azure Kubernetes (AKS). Per ulteriori informazioni sul benchmark CIS, consultare i benchmark Center for Internet Security (CIS). Per ulteriori informazioni sulle baseline di sicurezza di Azure per Linux, consultare Linux Security Baseline.

  Ubuntu lts 18.04

  I cluster AKS sono distribuiti su macchine virtuali host, che eseguono un sistema operativo con configurazioni sicure integrate. Questo sistema operativo viene utilizzato per i contenitori in esecuzione su AKS. Questo sistema operativo host si basa su un Ubuntu 18.04.È Immagine con configurazioni di sicurezza applicate.

  Come parte del sistema operativo ottimizzato per la sicurezza:

  • AKS fornisce un sistema operativo host ottimizzato per la sicurezza per impostazione predefinita, ma nessuna opzione per selezionare un sistema operativo alternativo.
  • Il sistema operativo host ottimizzato per la sicurezza è costruito e mantenuto specificamente per AK non supportato al di fuori della piattaforma AKS.
  • Alcuni conducenti di moduli del kernel inutili sono stati disabilitati nel sistema operativo per ridurre la superficie di attacco.

  Non correlato ai benchmark della cis, Azure applica patch giornalieri, comprese le patch di sicurezza, agli host di macchine virtuali di AKS.

  L’obiettivo della configurazione sicura integrata nel sistema operativo host è ridurre la superficie dell’attacco e ottimizzare per la distribuzione di contenitori in modo sicuro.

  I seguenti sono i risultati del cis ubuntu 18.04 LTS Benchmark V2.1.0 consigli.

  Le raccomandazioni possono avere uno dei seguenti motivi:

  • Potenziale impatto operativo – La raccomandazione non è stata applicata perché avrebbe un effetto negativo sul servizio.
  • Coperto altrove – La raccomandazione è coperta da un altro controllo in Azure Cloud Calco.

  Di seguito sono riportate le regole della cis:

  CIS Numero di paragrafo	Descrizione della raccomandazione	Stato	Motivo
  1	Configurazione iniziale
  1.1	Configurazione del filesystem
  1.1.1	Disabilita i filesystem non utilizzati
  1.1.1.1	Assicurarsi che il montaggio dei filesystem CRAMFS sia disabilitato	Passaggio
  1.1.1.2	Assicurarsi che il montaggio dei filesystem Freevxfs sia disabilitato	Passaggio
  1.1.1.3	Assicurarsi che il montaggio dei filesystem JFFS2 sia disabilitato	Passaggio
  1.1.1.4	Assicurarsi che il montaggio dei filesystem HFS sia disabilitato	Passaggio
  1.1.1.5	Assicurarsi che il montaggio dei filesystem HFSPlus sia disabilitato	Passaggio
  1.1.1.6	Assicurarsi che il montaggio dei filesystem UDF sia disabilitato	Fallire	Potenziale impatto operativo
  1.1.2	Assicurarsi /TMP è configurato	Fallire
  1.1.3	Assicurati che l’opzione nodev imposta su /tmp	Fallire
  1.1.4	Assicurarsi che l’opzione Nosuid sia impostata su /TMP	Passaggio
  1.1.5	Assicurarsi che l’opzione NOEXEC imposta su /TMP	Passaggio
  1.1.6	Assicurarsi /dev /shm è configurato	Passaggio
  1.1.7	Assicurati che l’opzione nodev imposta su /dev /shm	Passaggio
  1.1.8	Assicurarsi che l’opzione Nosuid sia impostata su /dev /shm	Passaggio
  1.1.9	Assicurarsi che l’opzione NOExec imposta su /dev /shm	Fallire	Potenziale impatto operativo
  1.1.12	La partizione assicurati /var /tmp include l’opzione nodev	Passaggio
  1.1.13	La partizione assicurati /var /tmp include l’opzione NOSUID	Passaggio
  1.1.14	La partizione assicurati /var /tmp include l’opzione NOEXEC	Passaggio
  1.1.18	Assicurarsi che la partizione di casa includa l’opzione Nodev	Passaggio
  1.1.19	Garantire l’opzione nodev impostata su partizioni multimediali rimovibili	Non applicabile
  1.1.20	Garantire l’opzione Nosuid impostata su partizioni multimediali rimovibili	Non applicabile
  1.1.21	Garantire l’opzione NOExec impostata su partizioni multimediali rimovibili	Non applicabile
  1.1.22	Assicurati che BIT appiccicoso sia impostato su tutte le directory mondiali	Fallire	Potenziale impatto operativo
  1.1.23	Disabilita l’automobile	Passaggio
  1.1.24	Disabilita l’archiviazione USB	Passaggio
  1.2	Configurare gli aggiornamenti del software
  1.2.1	Assicurati che siano configurati i repository del gestore dei pacchetti	Passaggio	Coperto altrove
  1.2.2	Assicurarsi che i tasti GPG siano configurati	Non applicabile
  1.3	Controllo di integrità del filesystem
  1.3.1	Assicurarsi che l’assistente sia installato	Fallire	Coperto altrove
  1.3.2	Assicurarsi che l’integrità del filesystem sia regolarmente controllata	Fallire	Coperto altrove
  1.4	Impostazioni di avvio protetti
  1.4.1	Assicurarsi che le autorizzazioni sulla configurazione bootloader non siano sovrascritte	Fallire
  1.4.2	Assicurati che la password del bootloader sia impostata	Fallire	Non applicabile
  1.4.3	Assicurarsi che le autorizzazioni sulla configurazione bootloader siano configurate	Fallire
  1.4.4	Garantire l’autenticazione richiesta per la modalità utente singolo	Fallire	Non applicabile
  1.5	Ulteriori indurimento del processo
  1.5.1	Assicurarsi che il supporto XD/NX sia abilitato	Non applicabile
  1.5.2	Assicurarsi che sia abilitata la randomizzazione del layout dello spazio degli indirizzi (ASLR)	Passaggio
  1.5.3	Assicurarsi che Prelink sia disabilitato	Passaggio
  1.5.4	Assicurarsi che i dump del core siano limitati	Passaggio
  1.6	Controllo dell’accesso obbligatorio
  1.6.1	Configurare AppArmor
  1.6.1.1	Assicurarsi che l’appAmor sia installato	Passaggio
  1.6.1.2	Assicurarsi che AppAmor sia abilitato nella configurazione del bootloader	Fallire	Potenziale impatto operativo
  1.6.1.3	Assicurarsi che tutti i profili Apparmor siano in modalità di applicazione o di reclamo	Passaggio
  1.7	Banner di avvertimento della riga di comando
  1.7.1	Assicurarsi che il messaggio del giorno sia configurato correttamente	Passaggio
  1.7.2	Assicurarsi le autorizzazioni su /ecc /problema.la rete sono configurate	Passaggio
  1.7.3	Assicurarsi che le autorizzazioni su /etc /problema siano configurate	Passaggio
  1.7.4	Assicurarsi che le autorizzazioni on /etc /motd siano configurate	Passaggio
  1.7.5	Assicurarsi che il banner di avviso di accesso remoto sia configurato correttamente	Passaggio
  1.7.6	Assicurarsi che il banner di avviso di accesso locale sia configurato correttamente	Passaggio
  1.8	Gnome Display Manager
  1.8.2	Assicurarsi che il banner di accesso GDM sia configurato	Passaggio
  1.8.3	Assicurarsi che sia abilitato Disable-User-List	Passaggio
  1.8.4	Assicurarsi che XDCMP non sia abilitato	Passaggio
  1.9	Garantire che siano installati aggiornamenti, patch e software di sicurezza aggiuntivi	Passaggio
  2	Servizi
  2.1	Servizi a scopo speciale
  2.1.1	Sincronizzazione del tempo
  2.1.1.1	Assicurarsi che la sincronizzazione del tempo sia in uso	Passaggio
  2.1.1.2	Assicurarsi che SystemD-Timesyncd sia configurato	Non applicabile	AKS utilizza NTPD per Timesync
  2.1.1.3	Assicurati che Chrony sia configurato	Fallire	Coperto altrove
  2.1.1.4	Assicurarsi che NTP sia configurato	Passaggio
  2.1.2	Assicurati che il sistema di finestre X non sia installato	Passaggio
  2.1.3	Assicurarsi che il server Avahi non sia installato	Passaggio
  2.1.4	Assicurarsi che le tazze non siano installate	Passaggio
  2.1.5	Assicurarsi che il server DHCP non sia installato	Passaggio
  2.1.6	Assicurarsi che il server LDAP non sia installato	Passaggio
  2.1.7	Assicurarsi che NFS non sia installato	Passaggio
  2.1.8	Assicurarsi che il server DNS non sia installato	Passaggio
  2.1.9	Assicurarsi che il serve r FTP non sia installato	Passaggio
  2.1.10	Assicurarsi che il server HTTP non sia installato	Passaggio
  2.1.11	Assicurarsi che i server IMAP e POP3 non siano installati	Passaggio
  2.1.12	Assicurarsi che Samba non sia installato	Passaggio
  2.1.13	Assicurarsi che il server proxy http non sia installato	Passaggio
  2.1.14	Assicurarsi che il server SNMP non sia installato	Passaggio
  2.1.15	Assicurati che l’agente di trasferimento di posta sia configurato per la modalità solo locale	Passaggio
  2.1.16	Assicurarsi che il servizio RSYNC non sia installato	Fallire
  2.1.17	Assicurarsi che il server NIS non sia installato	Passaggio
  2.2	Clienti di servizio
  2.2.1	Assicurarsi che il client NIS non sia installato	Passaggio
  2.2.2	Assicurarsi che il client RSH non sia installato	Passaggio
  2.2.3	Assicurati che il client talk non sia installato	Passaggio
  2.2.4	Assicurati che il client Telnet non sia installato	Fallire
  2.2.5	Assicurarsi che il client LDAP non sia installato	Passaggio
  2.2.6	Assicurarsi che RPC non sia installato	Fallire	Potenziale impatto operativo
  2.3	Garantire che i servizi non essenziali vengano rimossi o mascherati	Passaggio
  3	Configurazione di rete
  3.1	Disabilita protocolli e dispositivi di rete non utilizzati
  3.1.2	Assicurarsi che le interfacce wireless siano disabilitate	Passaggio
  3.2	Parametri di rete (solo host)
  3.2.1	Assicurarsi che l’invio del reindirizzamento dei pacchetti sia disabilitato	Passaggio
  3.2.2	Assicurarsi che l’inoltro IP sia disabilitato	Fallire	Non applicabile
  3.3	Parametri di rete (host e router)
  3.3.1	Assicurarsi che i pacchetti instradati della fonte non vengano accettati	Passaggio
  3.3.2	Assicurarsi che i reindirizzamenti ICMP non siano accettati	Passaggio
  3.3.3	Assicurarsi che non siano accettati reindirizzamenti ICMP sicuri	Passaggio
  3.3.4	Assicurati che siano registrati pacchetti sospetti	Passaggio
  3.3.5	Assicurarsi che le richieste ICMP di trasmissione siano ignorate	Passaggio
  3.3.6	Assicurarsi che le risposte ICMP fasulle siano ignorate	Passaggio
  3.3.7	Assicurarsi che il filtro del percorso inverso sia abilitato	Passaggio
  3.3.8	Assicurarsi che i cookie Syn TCP siano abilitati	Passaggio
  3.3.9	Assicurarsi che non siano accettati annunci per router IPv6	Passaggio
  3.4	Protocolli di rete non comuni
  3.5	Configurazione firewall
  3.5.1	Configurare il Firewall semplice
  3.5.1.1	Assicurarsi che UFW sia installato	Passaggio
  3.5.1.2	Assicurarsi che iptables-PERSISTENT non sia installato con UFW	Passaggio
  3.5.1.3	Assicurarsi che il servizio UFW sia abilitato	Fallire	Coperto altrove
  3.5.1.4	Assicurarsi che il traffico di loopback UFW sia configurato	Fallire	Coperto altrove
  3.5.1.5	Assicurarsi che le connessioni in uscita UFW siano configurate	Non applicabile	Coperto altrove
  3.5.1.6	Assicurati che esistano le regole del firewall UFW per tutte le porte aperte	Non applicabile	Coperto altrove
  3.5.1.7	Assicurarsi che UFW neghi la politica del firewall	Fallire	Coperto altrove
  3.5.2	Configurare NfTables
  3.5.2.1	Assicurarsi che NfTables sia installato	Fallire	Coperto altrove
  3.5.2.2	Assicurarsi che UFW sia disinstallato o disabilitato con NfTables	Fallire	Coperto altrove
  3.5.2.3	Assicurarsi che iptables siano scaricati con nfTables	Non applicabile	Coperto altrove
  3.5.2.4	Assicurarsi che esista una tabella NFTABLE	Fallire	Coperto altrove
  3.5.2.5	Garantire che esistano catene di base NfTables	Fallire	Coperto altrove
  3.5.2.6	Assicurarsi che il traffico di loopback NfTables sia configurato	Fallire	Coperto altrove
  3.5.2.7	Assicurarsi che siano configurati NfTables in uscita e connessioni stabilite	Non applicabile	Coperto altrove
  3.5.2.8	Assicurarsi che NFTABLE DEFAULD DEGNA POLITICA FIREWALL	Fallire	Coperto altrove
  3.5.2.9	Assicurarsi che il servizio NfTables sia abilitato	Fallire	Coperto altrove
  3.5.2.10	Assicurarsi che le regole NfTables siano permanenti	Fallire	Coperto altrove
  3.5.3	Configurare iptables
  3.5.3.1	Configurare il software iptables
  3.5.3.1.1	Assicurati che siano installati i pacchetti iptables	Fallire	Coperto altrove
  3.5.3.1.2	Assicurarsi che NfTables non sia installato con iptables	Passaggio
  3.5.3.1.3	Assicurati che UFW sia disinstallato o disabilitato con iptables	Fallire	Coperto altrove
  3.5.3.2	Configurare iptables IPv4
  3.5.3.2.1	Assicurarsi che iptables neghi la politica del firewall	Fallire	Coperto altrove
  3.5.3.2.2	Assicurarsi che il traffico di loopback iptables sia configurato	Fallire	Non applicabile
  3.5.3.2.3	Assicurarsi che siano configurati i connessioni in uscita e consolidate iptables	Non applicabile
  3.5.3.2.4	Assicurati che esistano le regole del firewall iptables per tutte le porte aperte	Fallire	Potenziale impatto operativo
  3.5.3.3	Configurare IPv6 IP6Tables
  3.5.3.3.1	Assicurarsi che ip6tables default neghi la politica del firewall	Fallire	Coperto altrove
  3.5.3.3.2	Assicurati che sia configurato il traffico di loopback ip6tables	Fallire	Coperto altrove
  3.5.3.3.3	Assicurarsi che siano configurati i IP6Tables in uscita e le connessioni stabilite	Non applicabile	Coperto altrove
  3.5.3.3.4	Assicurati che esistano le regole del firewall IP6Tables per tutte le porte aperte	Fallire	Coperto altrove
  4	Registrazione e audit
  4.1	Configura Accounting System (AUDITD)
  4.1.1.2	Assicurarsi che l’auditing sia abilitato
  4.1.2	Configurare la conservazione dei dati
  4.2	Configurare la registrazione
  4.2.1	Configurare rsyslog
  4.2.1.1	Assicurarsi che RSY SLOG sia installato	Passaggio
  4.2.1.2	Assicurarsi che il servizio RSYSLOG sia abilitato	Passaggio
  4.2.1.3	Assicurarsi che la registrazione sia configurata	Passaggio
  4.2.1.4	Assicurarsi che le autorizzazioni di file predefinite RSYSLOG configurano	Passaggio
  4.2.1.5	Assicurati che RSYSLOG sia configurato per inviare registri a un host di registro remoto	Fallire	Coperto altrove
  4.2.1.6	Assicurarsi che i messaggi RSYSLOG remoti siano accettati solo su host di registro designati.	Non applicabile
  4.2.2	Configura Journald
  4.2.2.1	Assicurati che Journald sia configurato per inviare registri a rsyslog	Passaggio
  4.2.2.2	Assicurati che Journald sia configurato per comprimere i file di registro di grandi dimensioni	Fallire
  4.2.2.3	Assicurati che Journald sia configurato per scrivere file di registro su disco persistente	Passaggio
  4.2.3	Assicurarsi che le autorizzazioni su tutti i file di registro siano configurati	Fallire
  4.3	Assicurarsi che il logrotato sia configurato	Passaggio
  4.4	Garantire che il logrotato assegnino autorizzazioni appropriate	Fallire
  5	Accesso, autenticazione e autorizzazione
  5.1	Configurare programmatori di lavori basati sul tempo
  5.1.1	Assicurarsi che il demone Cron sia abilitato e in esecuzione	Passaggio
  5.1.2	Assicurarsi che le autorizzazioni on /etc /crontab siano configurate	Passaggio
  5.1.3	Assicurarsi le autorizzazioni su /etc /cron.ora sono configurati	Passaggio
  5.1.4	Assicurarsi le autorizzazioni su /etc /cron.ogni giorno sono configurati	Passaggio
  5.1.5	Assicurarsi le autorizzazioni su /etc /cron.settimanalmente sono configurati	Passaggio
  5.1.6	Assicurarsi le autorizzazioni su /etc /cron.sono configurati mensili	Passaggio
  5.1.7	Assicurarsi le autorizzazioni su /etc /cron.d sono configurati	Passaggio
  5.1.8	Assicurarsi che Cron sia limitato agli utenti autorizzati	Fallire
  5.1.9	Assicurarsi che sia limitato agli utenti autorizzati	Fallire
  5.2	Configurare sudo
  5.2.1	Assicurati che sudo sia installato	Passaggio
  5.2.2	Assicurati che i comandi sudo utilizzino pty	Fallire	Potenziale impatto operativo
  5.2.3	Assicurati che esista il file di registro sudo	Fallire
  5.3	Configurare il server SSH
  5.3.1	Assicurarsi che le autorizzazioni on/etc/ssh/sshd_config siano configurate	Passaggio
  5.3.2	Assicurarsi che le autorizzazioni sui file chiave dell’host privato SSH siano configurate	Passaggio
  5.3.3	Assicurarsi che le autorizzazioni sui file chiave dell’host pubblico SSH siano configurate	Passaggio
  5.3.4	Assicurarsi che l’accesso SSH sia limitato	Passaggio
  5.3.5	Assicurarsi che il loglevel ssh sia appropriato	Passaggio
  5.3.7	Assicurarsi che SSH MaxAuthtries sia impostato su 4 o meno	Passaggio
  5.3.8	Assicurati che SSH IGNorerHosts sia abilitato	Passaggio
  5.3.9	Assicurarsi che sia disabilitato SSH HostBasedAuthentication	Passaggio
  5.3.10	Assicurarsi che l’accesso al root SSH sia disabilitato	Passaggio
  5.3.11	Assicurarsi che SSH autoremptyPasswords sia disabilitato	Passaggio
  5.3.12	Assicurarsi che sia il permesso SSHrerenvironment	Passaggio
  5.3.13	Assicurati che vengano utilizzati solo cifre forti	Passaggio
  5.3.14	Assicurati che vengano utilizzati solo algoritmi Mac forti	Passaggio
  5.3.15	Assicurati che vengano utilizzati solo algoritmi di scambio chiave forti	Passaggio
  5.3.16	Assicurarsi che sia configurato l’intervallo di timeout del minimo SSH	Fallire
  5.3.17	Assicurarsi che SSH LogingraceTime sia impostato su un minuto o meno	Passaggio
  5.3.18	Assicurarsi che il banner di avviso SSH sia configurato	Passaggio
  5.3.19	Assicurarsi che SSH PAM sia abilitato	Passaggio
  5.3.21	Assicurati che sia configurato ssh maxstartups	Fallire
  5.3.22	Assicurarsi che SSH Maxsessions sia limitato	Passaggio
  5.4	Configurare PAM
  5.4.1	Assicurarsi che i requisiti di creazione della password siano configurati	Passaggio
  5.4.2	Assicurati che sia configurato il blocco per i tentativi di password non riusciti	Fallire
  5.4.3	Assicurarsi che il riutilizzo della password sia limitato	Fallire
  5.4.4	Assicurati che l’algoritmo di hashing della password sia SHA-512	Passaggio
  5.5	Account utente e ambiente
  5.5.1	Imposta parametri della suite di password shadow
  5.5.1.1	Assicurati che sia configurato i giorni minimi tra le modifiche alla password	Passaggio
  5.5.1.2	Assicurarsi che la scadenza della password sia di 365 giorni o meno	Passaggio
  5.5.1.3	Assicurarsi che i giorni di avviso di scadenza della password siano 7 o più	Passaggio
  5.5.1.4	Assicurarsi che il blocco della password inattiva sia di 30 giorni o meno	Passaggio
  5.5.1.5	Assicurati che tutti gli utenti l’ultima data di modifica della password sia nel passato	Fallire
  5.5.2	Garantire che gli account di sistema siano garantiti	Passaggio
  5.5.3	Assicurati che il gruppo predefinito per l’account root sia GID 0	Passaggio
  5.5.4	Assicurati che l’utente predefinito Umask sia 027 o più restrittivo	Passaggio
  5.5.5	Assicurarsi che il timeout predefinito per la shell utente sia di 900 secondi o meno	Fallire
  5.6	Assicurarsi che l’accesso al root sia limitato alla console di sistema	Non applicabile
  5.7	Assicurarsi che l’accesso al comando SU sia limitato	Fallire	Potenziale impatto operativo
  6	Sistema in manutenzione
  6.1	Autorizzazioni di file di sistema
  6.1.2	Assicurarsi che le autorizzazioni su /etc /passwd siano configurate	Passaggio
  6.1.3	Assicurarsi che le autorizzazioni su /etc /passwd- siano configurate	Passaggio
  6.1.4	Assicurarsi che le autorizzazioni su /etc /gruppo siano configurate	Passaggio
  6.1.5	Assicurarsi che le autorizzazioni su /etc /gruppo- siano configurate	Passaggio
  6.1.6	Assicurarsi che le autorizzazioni su /etc /ombra siano co nfigurate	Passaggio
  6.1.7	Assicurarsi che le autorizzazioni su /etc /ombra- siano configurate	Passaggio
  6.1.8	Assicurarsi che le autorizzazioni su /etc /gshadow siano configurate	Passaggio
  6.1.9	Assicurarsi che le autorizzazioni su /etc /gshadow- siano configurate	Passaggio
  6.1.10	Assicurarsi che non esistano file scrivibili nel mondo	Fallire	Potenziale impatto operativo
  6.1.11	Assicurarsi che non esistano file o directory non innegati	Fallire	Potenziale impatto operativo
  6.1.12	Assicurarsi che non esistano file o directory non raggruppati	Fallire	Potenziale impatto operativo
  6.1.13	Audit Suid Executables	Non applicabile
  6.1.14	Audit SGID Expetables	Non applicabile
  6.2	Impostazioni utente e di gruppo
  6.2.1	Assicurati che gli account in /etc /passwd utilizzino password ombreggiate	Passaggio
  6.2.2	Assicurarsi che i campi della password non siano vuoti	Passaggio
  6.2.3	Assicurarsi che tutti i gruppi in /etc /passwd esistano in /etc /gruppo	Passaggio
  6.2.4	Garantire che esistano le directory di casa di tutti gli utenti	Passaggio
  6.2.5	Garantire che gli utenti possano possedere le proprie directory di casa	Passaggio
  6.2.6	Assicurarsi che le autorizzazioni per le directory delle case degli utenti siano 750 o più restrittive	Passaggio
  6.2.7	Assicurarsi che i file DOT degli utenti non siano scritti da gruppo o mondo	Passaggio
  6.2.8	Assicurarsi che nessun utente abbia .file netrc	Passaggio
  6.2.9	Assicurarsi che nessun utente abbia .file in avanti	Passaggio
  6.2.10	Assicurarsi che nessun utente abbia .file rhosts	Passaggio
  6.2.11	Assicurati che Root sia l’unico account Uid 0	Passaggio
  6.2.12	Garantire l’integrità del percorso radicale	Passaggio
  6.2.13	Assicurarsi che non esistano uid duplicati	Passaggio
  6.2.14	Assicurarsi che esistano GIDS duplicati	Passaggio
  6.2.15	Assicurarsi che non esistano nomi utente duplicati	Passaggio
  6.2.16	Assicurarsi che non esistano nomi di gruppi duplicati	Passaggio
  6.2.17	Assicurati che il gruppo ombra sia vuoto	Passaggio

  Prossimi passi

  Per ulteriori informazioni sulla sicurezza di AKS, consultare i seguenti articoli:

  • Azure Kubernetes Service (AKS)
  • Considerazioni sulla sicurezza di AKS
  • Le migliori pratiche di AKS

  Sicurezza Ubuntu: migliori pratiche per proteggere il tuo sistema

  Copriremo le misure di sicurezza essenziali che ogni utente di Ubuntu dovrebbe seguire per mantenere il loro sistema sicuro e proteggerlo da potenziali minacce. Queste pratiche vanno dall’igiene di sicurezza di base alle tecniche avanzate per indurimento del sistema Ubuntu.

  Di Tony Gidraph 16 febbraio 2023

  Scritto da Tony Gidraph il 16 febbraio 2023

  

  U Buntu è un popolare sistema operativo basato su Linux che ha guadagnato una notevole popolarità nel corso degli anni a causa della sua interfaccia intuitiva e facilità d’uso. È un sistema operativo altamente personalizzabile e versatile adatto all’uso personale e aziendale.

  Tuttavia, con la sua popolarità e l’uso diffuso arriva il rischio di minacce alla sicurezza. Assicurare il tuo sistema Ubuntu è della massima importanza per proteggere i tuoi dati, le informazioni personali e altre informazioni sensibili da accesso non autorizzato, furto o altre attività dannose.

  Best practice per proteggere il tuo sistema Ubuntu

  Questo post discuterà alcune delle migliori pratiche per proteggere il tuo sistema Ubuntu, compresa l’implementazione di password forti, il mantenimento del sistema aggiornato, la configurazione del firewall e l’installazione di software antivirus. Seguendo queste migliori pratiche, puoi assicurarti che il tuo sistema Ubuntu sia sicuro, protetto e meno vulnerabile alle minacce alla sicurezza.

  1. Usa password forti e uniche

  Uno dei metodi fondamentali per garantire qualsiasi sistema (incluso Ubuntu) è utilizzare password forti e uniche. Le password forti fungono da barriera contro l’accesso non autorizzato. Gli hacker possono facilmente bruteformare o decrittografare password deboli che consentono loro di accedere al sistema.

  Utilizzando una combinazione di lettere, numeri e simboli maiuscole e minuscole (caratteri speciali).

  Mancia: Avere una password forte che segue tutte le linee guida di cui sopra può essere frenetico. Tuttavia, è possibile utilizzare un gestore di password come LastPass per generare una password forte e univoca.

  Anche dopo aver escogitato una password forte, c’è un’altra funzionalità di sicurezza che devi far rispettare: Don’t Riutilizzare le tue password. Utilizzare una password univoca per ogni account o servizio utilizzato. Se si utilizza la stessa password per proteggere più account o servizi, un hacker avrà accesso a tutti gli account e servizi utilizzando quella password in caso di compromesso.

  Mancia: Gestire più password può essere piuttosto frenetica, soprattutto se le password contengono simboli, lettere e numeri. Questo post consiglia di utilizzare un gestore di password per archiviare tutte le password in modo sicuro. Dai un’occhiata al nostro post: i 5 migliori gestori di password open source, per conoscere alcuni dei migliori gestori di password open source disponibili.

  È inoltre possibile utilizzare un’utilità di riga di comando chiamata PAM_PAPSWDQC per far rispettare i requisiti di resistenza della password. PAM_PAPSWDQC consente di impostare una lunghezza minima della password, l’età massima, le regole di complessità e altri requisiti di password.

  Infine, assicurati di cambiare la password periodicamente, almeno una volta ogni tre mesi o se sospetti che sia stata compromessa o condivisa con altri.

  • Configurazione della schermata di accesso automatico e blocca su Ubuntu 19.10
  • Come condividere e trasferire file tra Linux e Windows
  • I 5 modi migliori per disinstallare il software su Ubuntu

  2. Genera una coppia di chiavi SSH

  Se si accede ai server e ai sistemi remoti tramite SSH, sarebbe necessaria la generazione di una coppia di chiavi SSH. SSH, o Shell Secure, è un protocollo di rete che consente di accedere e gestire in modo sicuro server e dispositivi remoti su una rete non garantita. In precedenza, gli amministratori di sistema utilizzavano strumenti come Telnet per accedere ai remoti server. Sfortunatamente, non erano sicuri e rappresentavano una minaccia per la sicurezza.

  Quando si genera una tastiera SSH, conterrà una chiave pubblica e privata che lavora insieme per autenticare l’accesso ai server remoti. Uno degli strumenti più popolari per generare una coppia di chiavi SSH è lo strumento SSH-Kegen. Questo strumento viene preinstallato su Ubuntu.

  SSH-Keygen genera una chiave pubblica che puoi condividere con server o servizi remoti e una chiave privata che tieni sul tuo sistema locale. La chiave privata dovrebbe essere protetta con una passphrase solida per prevenire l’accesso non autorizzato.

  Dopo aver generato la tua coppia di tasti SSH, puoi configurare il tuo sistema Ubuntu per utilizzarlo per l’autenticazione SSH. Ciò garantisce che solo gli utenti autorizzati con chiavi private possano accedere ai server remoti, aggiungendo un ulteriore livello di sicurezza al sistema. Dai un’occhiata al nostro post: come impostare l’accesso SSH senza password in Linux. Ti darà una guida dettagliata sulla generazione di una coppia di tasti SSH.

  3. Aggiorna regolarmente il tuo software

  L’aggiornamento regolarmente del software è uno dei modi più importanti per proteggere il tuo sistema Ubuntu. Gli aggiornamenti del software spesso includono patch di sicurezza e correzioni di bug che affrontano le vulnerabilità note e altri problemi di sicurezza.

  Ubuntu fornisce uno strumento Update Manager che può essere utilizzato per verificare gli aggiornamenti disponibili e installarli automaticamente. È possibile verificare manualmente gli aggiornamenti utilizzando la riga di comando o l’interfaccia utente grafica. Si consiglia di impostare aggiornamenti automatici per garantire che il sistema sia sempre aggiornato con le ultime patch di sicurezza. Sentiti libero di controllare il nostro post su come abilitare aggiornamenti automatici di sicurezza incustodita su Ubuntu per saperne di più su come abilitare gli aggiornamenti automatici.

  Oltre ad aggiornare il sistema operativo, è anche essenziale mantenere aggiornati applicazioni, browser Web e plugin installati. Molte vulnerabilità di sicurezza derivano da software obsoleti, che gli aggressori possono sfruttare per ottenere un accesso non autorizzato o eseguire un codice dannoso sul sistema. Ricorda che alcune applicazioni potrebbero non essere incluse nei repository ufficiali di Ubuntu e potrebbe essere necessario aggiornarle manualmente.

  Oltre agli aggiornamenti regolari, è anche importante rivedere regolarmente i registri del sistema e monitorare qualsiasi attività sospetta. Installa e configura software di rilevamento di intrusioni come fail2ban, che può bloccare automaticamente gli indirizzi IP che mostrano comportamenti sospetti.

  4. Configurare il firewall

  Configurazione di un firewall su Ubuntu è essenziale per proteggere il sistema e proteggerlo da attacchi basati sulla rete. I firewall fungono da barriera tra il tuo computer e Internet, bloccando il traffico in entrata e in uscita in base a una serie di regole e politiche.

  Ubuntu ha un firewall semplice (UFW) integrato, un front-end del sistema iptables sottostante. UFW consente di impostare le regole del firewall utilizzando una sintassi semplice e intuitiva, rendendo facile configurare e gestire il tuo firewall. Dai un’occhiata al nostro post completo: come configurare il firewall Ubuntu (UFW).

  • Configurazione della schermata di accesso automatico e blocca su Ubuntu 19.10
  • Come condividere e trasferire file tra Linux e Windows
  • I 5 modi migliori per disinstallare il software su Ubuntu

  Quando si configura il firewall, è importante bloccare tutto il traffico in arrivo inutile e consentire solo le porte e i protocolli necessari per il tuo sistema e le applicazioni per funzionare correttamente. Ad esempio, è possibile consentire il traffico in arrivo sulle porte 80 e 443 per il traffico Web e bloccare tutto il traffico in arrivo.

  È inoltre possibile impostare le regole del firewall per limitare il traffico in uscita, impedendo a software dannoso o processi di comunicare con server esterni a tua insaputa o autorizzazione.

  Oltre a UFW, ci sono altre opzioni di firewall disponibili per Ubuntu, come gli iptable più avanzati, che forniscono un maggiore controllo granulare sulle regole del firewall. Sentiti libero di dare un’occhiata alla nostra guida completa per iptables – Come configurare iptables su Ubuntu.

  5. Evita di installare applicazioni non necessarie/ sconosciute

  Quando si installa un’applicazione, gli stai dando accesso alle risorse del sistema e potenzialmente i tuoi dati personali. Pertanto, l’installazione di applicazioni non necessarie o sconosciute può mettere a rischio il sistema e le informazioni personali.

  È importante solo installare applicazioni di cui ti fidi e che provengono da fonti affidabili. Il Centro software Ubuntu è un buon punto di partenza per trovare e installare applicazioni. Fornisce l’accesso a una vasta gamma di software gratuiti e open source controllati e verificati dalla comunità di Ubuntu. Sentiti libero di controllare il nostro post sui primi 10 suggerimenti utilizzando il software e gli aggiornamenti Ubuntu.

  Prima di installare un’applicazione, è necessario ricercarla per assicurarti che sia legittimo e non contenga malware o codice dannoso. Cerca recensioni e raccomandazioni da fonti affidabili ed evita di scaricare e installare applicazioni da fonti non attendibili o sconosciute.

  È anche essenziale rivedere regolarmente le applicazioni installate sul sistema e rimuovere quelle che non sono più necessarie o che non si utilizzano più. Ciò non solo ridurrà la superficie di attacco del sistema, ma migliorerà anche le sue prestazioni complessive.

  6. Crittografia del disco

  La crittografia del disco è fondamentale per proteggere il tuo sistema Ubuntu, in quanto aiuta a proteggere i tuoi dati in caso di furto o accesso non autorizzato. La crittografia del disco funziona crittografando il contenuto del disco rigido, rendendolo illeggibile senza la chiave di decrittografia corretta.

  Ubuntu offre diverse opzioni per la crittografia del disco, tra cui Luks (Linux Unified Key Setup) ed ECRYPTFS. Luks è il metodo di crittografia consigliato per Ubuntu e fornisce crittografia a disco completo, il che significa che tutti i dati sul disco rigido sono crittografati, incluso il sistema operativo e le applicazioni. Puoi conoscere altri strumenti di crittografia nel nostro post – Strumenti di crittografia dei 10 migliori file e disco per Linux.

  Quando si utilizza la crittografia del disco, dovrai inserire una passphrase o un file chiave per sbloccare il disco crittografato quando si avvia il computer. Scegliere una forte passphrase e mantenerlo sicuro è importante, poiché è l’unico modo per decrittografare i tuoi dati.

  • Configurazione della schermata di accesso automatico e blocca su Ubuntu 19.10
  • Come condividere e trasferire file tra Linux e Windows
  • I 5 modi migliori per disinstallare il software su Ubuntu

  È anche importante notare che la crittografia del disco protegge i tuoi dati solo quando il computer viene disattivato. Una volta acceso il computer e il disco è sbloccato, i dati non sono più crittografati. Pertanto, è importante utilizzare altre misure di sicurezza, come un software firewall e anti-malware, per proteggere il sistema quando è in uso.

  7. Backup dei dati

  Il backup dei dati è fondamentale per proteggere il tuo sistema Ubuntu, in quanto aiuta a proteggere i tuoi dati da perdite o danni a causa di guasti hardware, furto o altri eventi imprevisti. Un backup dei dati ti garantisce di avere sempre una copia dei tuoi file importanti e di poterli ripristinarli rapidamente se necessario.

  Ubuntu offre diverse opzioni per il backup dei dati, tra cui strumenti di backup integrati e applicazioni di backup di terze parti. Uno di Ubuntu’Gli strumenti di backup più popolari sono Deja Dup, che fornisce un’interfaccia di facile utilizzo per eseguire il backup dei file e delle directory su un disco rigido esterno, condivisione di rete o servizio di archiviazione cloud. Dai un’occhiata al nostro post completo su come eseguire il backup e ripristinare file e cartelle su Ubuntu.

  Quando si imposta un backup dei dati, è importante scegliere una posizione di backup sicura e affidabile e seguire un programma di backup regolare per garantire che i dati siano sempre aggiornati. È anche importante testare regolarmente i tuoi backup per assicurarsi che stiano funzionando correttamente e che puoi ripristinare i dati in caso di disastro.

  Avvolgendo

  Sicurare il tuo sistema Ubuntu è essenziale per garantire i tuoi dati personali’S Sicurezza e riservatezza e impedire l’accesso non autorizzato al sistema. Seguendo le migliori pratiche discusse in questo articolo, è possibile ridurre significativamente il rischio di minacce alla sicurezza e garantire l’integrità e la disponibilità dei tuoi dati.

  Ricorda che la sicurezza è un processo in corso che richiede vigilanza e manutenzione regolare per rimanere efficaci. Rimanendo informato sulle ultime minacce e le vulnerabilità della sicurezza e implementando le migliori pratiche di sicurezza, puoi mantenere il tuo sistema Ubuntu sicuro e sicuro per gli anni a venire.