10/7/2018 Presentation
http://localhost:37843/?print=no&theme=cznic_cs&ratio=16:9&source=slides.md#1 1/17
Bezpečné používání linuxovéhodesktopuMartin Vicián • [email protected] • /ptvician • vician.cz
LinuxDays 2018 • 7. října 2018
1 / 16
10/7/2018 Presentation
http://localhost:37843/?print=no&theme=cznic_cs&ratio=16:9&source=slides.md#1 2/17
Bezpečné používání linuxovéhodesktopuMartin Vicián • [email protected] • /ptvician • vician.cz
LinuxDays 2018 • 7. října 2018
1 / 16
10/7/2018 Presentation
http://localhost:37843/?print=no&theme=cznic_cs&ratio=16:9&source=slides.md#1 3/17
Máte na Linuxu antivirus? A mohla bych ho vidět?
sed -i 's|Linux|GNU/Linux|g' *
2 / 16
10/7/2018 Presentation
http://localhost:37843/?print=no&theme=cznic_cs&ratio=16:9&source=slides.md#1 4/17
Systémový administrátor
90% notebooků na Linuxu
Úvod do Linuxu
Člen
Implicitně:
16.04 (Unity) a 18.04 (Gnome 3)
Martin Vicián
Obrázek: ubuntu.com
3 / 16
10/7/2018 Presentation
http://localhost:37843/?print=no&theme=cznic_cs&ratio=16:9&source=slides.md#1 5/17
Zrcadla
launchpad.net/ubuntu/+cdmirrors
Linux Mint
2016: Beware of hacked ISOs if youdownloaded Linux Mint onFebruary 20th!
hacknutý WordPress a phpBBzměněné ISO - přidán MalwareMD5 kontrolní součty
Stačí stáhnout?
4 / 16
10/7/2018 Presentation
http://localhost:37843/?print=no&theme=cznic_cs&ratio=16:9&source=slides.md#1 6/17
Kontrolní součetPodpis (PGP)
https://tutorials.ubuntu.com/tutorial/tutorial-how-to-verify-ubuntuhttps://linuxmint.com/verify.phphttps://getfedora.org/verify
1. Stáhnout dodatečné soubory:kontrolní součet a podpis
2. Získat PGP klíč3. Ověřit kontrolní součet4. Ověřit podpis kontrolního součtu
Verify your ISO
Obrázek: xkcz.cz 1181
5 / 16
10/7/2018 Presentation
http://localhost:37843/?print=no&theme=cznic_cs&ratio=16:9&source=slides.md#1 7/17
1. Heslo k odemknutí BIOSu2. Heslo k odemknutí disku3. Heslo k odšifrování disku (LUKS)4. Heslo k přihlášení do systému5. Heslo k odemknutí klíčenky6. ...
A která dávají smysl?
Kolik můžu zadávat hesel při bootu?
Obrázek: Stahler 2016, mvcr.cz
6 / 16
10/7/2018 Presentation
http://localhost:37843/?print=no&theme=cznic_cs&ratio=16:9&source=slides.md#1 8/17
BIOS
Master heslo odemkne BIOS
Disk
Master heslo smaže a odemkne disk
https://bios-pw.org/
CTRL+ENTER
BIOS a disk heslo (Dell)
Obrázky: dell.com , ioffer.com
7 / 16
10/7/2018 Presentation
http://localhost:37843/?print=no&theme=cznic_cs&ratio=16:9&source=slides.md#1 9/17
Byl objeven škodlivý kód LoJaxútočící na UEFI. Řádí i ve středníEvropě (lupa.cz)
Secure Boot má chránit předzavedením necertifikovanéhooperačního systému
Canonical (Ubuntu) má v UEFI klíče
Lze podepsat vlastními klíči
Secure Boot (UEFI)
Obrázek: me.me
8 / 16
10/7/2018 Presentation
http://localhost:37843/?print=no&theme=cznic_cs&ratio=16:9&source=slides.md#1 10/17
Ubuntu z továrny (a to chcete?)Při instalaci většinou ručně vypínáme (3rd party)Přeinstalace nemění stav Secure Bootu
Secure Boot (UEFI) - instalace
Obrázek: askubuntu.com/questions/765697/why-was-i-asked-to-create-a-password-in-order-to-disable-secure-boot-on-initial
9 / 16
10/7/2018 Presentation
http://localhost:37843/?print=no&theme=cznic_cs&ratio=16:9&source=slides.md#1 11/17
jednorázové heslo 8 - 16 znakůrestart počítačeMOK - máte 10 vteřinChange Secure Boot statetři náhodné znaky z dočasného hesla
sudo mokutil --enable-validation
Secure Boot (UEFI) - ruční zapnutí
Obrázek: fourdollars.blogspot.com
10 / 16
10/7/2018 Presentation
http://localhost:37843/?print=no&theme=cznic_cs&ratio=16:9&source=slides.md#1 12/17
Zařízení:
Dell Thunderbolt Dock (TB16)Thunderbolt adaptér
Periferie:
EthernetHDMI, VGA, DisplayPortUSB (3.0)
Bezpečnostní nastavení v BIOSu:nonedponly - Display Port a USBuser - uživatel řeší ručněsecure - jako user, navícumožňuje uložit pro pozdějšíidentifikaci
DMA (direct memory access) útok
Thunderbolt 3
Obrázek: amazon.com
11 / 16
10/7/2018 Presentation
http://localhost:37843/?print=no&theme=cznic_cs&ratio=16:9&source=slides.md#1 13/17
Správa:
bolt (boltctl) - GUI v Gnome3:user level je třeba schvalovat pokaždém bootu
thunderbolt-toolstbtadm
Problémy:
zadávání hesel, např. LUKS(USB klávesnice)ethernet připojenípomalá autorizace
Thunderbolt 3
Obrázek: root.cz
12 / 16
10/7/2018 Presentation
http://localhost:37843/?print=no&theme=cznic_cs&ratio=16:9&source=slides.md#1 14/17
První verze únor 2004Poslední verze spren 2018Stojí na Debian unstableVyvíjí: Wuhan DeepinTechnology Co., Ltd.Vlastní Deepin DesktopEnvironment (DDE) v QtNejpopulárnější distribucev Číně23. distribuce na distrowatch(posledních 12 měsíců)
Deepin
Obrázek: youtu.be/FsDjsRXzTMs
13 / 16
10/7/2018 Presentation
http://localhost:37843/?print=no&theme=cznic_cs&ratio=16:9&source=slides.md#1 15/17
Chybí podpisy checksum souborůStahování několik dní, nebo:
zrcadlamega.nz, drive.google.com, ...
Nejde zvolit celošifrovaný disk(LUKS)Nekontroluje sílu heslaNemá systemd-resolvedAutomaticky spuštěná samba
K zamyšlení
Obrázek: deepin.org
14 / 16
10/7/2018 Presentation
http://localhost:37843/?print=no&theme=cznic_cs&ratio=16:9&source=slides.md#1 16/17
Nainstalovaný gnome-keyring, ale ne seahorseObsahuje nestandardní balíky
google-chrome: nainstalovaný a podepsaný Google klíčispotify: přidalo repozitář a expirovaný klíčatom: z webudp8 z ppa pro ubuntu bez klíčůskypeforlinux: přidalo repozitář a správný klíč
Přidává starší verze, případně s repozitáři pro aktualizaceMirror repozitářů:
https://www.deepin.org/en/mirrors/packages/
K zamyšlení
15 / 16
10/7/2018 Presentation
http://localhost:37843/?print=no&theme=cznic_cs&ratio=16:9&source=slides.md#1 17/17
16 / 16