A Linux biztonsága számunkra fontos tényező, de a legnagyobb veszély forrása maga az user, azaz én. A mostani részben két olyan komoly és mindennapi biztonsági rést nézünk meg, amivel mindenki találkozhat. Az elsővel majdnem minden esetben foglalkozni kell, a második is komoly Linux biztonságát veszélyeztető lehet.
Jellemzően az „internetes kalózok” és hasonló betöréses dolgoktól fél a felhasználó, és a programok biztonsági réseit foltozgatják nagy lelkesedéssel. De pár olyan biztonsági réssel nem foglalkozunk, amiből komolyabb problémánk is lehet. A gonosz nagyvállalat, és az állami megfigyeléstől, adatok illegális gyűjtésétől rettegünk, de a gépen tárolt adatainkat szabadon hagyjuk. Úgy, hogy azokról nem is tudunk.
A shell parancsokban és a vágólap történetében ott lesznek a jelszavaink és az egyéb, nem közszemlére teendő dolgaink.
A bash history
Mindenki tudja, hogy a shell-ben, a terminál emulátorban használt parancsok visszakereshetőek. Azaz a shell egy megadott mennyiségű régi parancsot tárol. Ennek kényelmi okai vannak, hiszen a fel és le nyilakkal előhívható, esetleg összetett parancs gyorsítja a munkánkat. De ezek tartalmazhatnak olyan kényes adatokat. amiket nem akarunk mással megosztani.
Én sokat használom például a mega.nz tárhelyeket és egyéb tárhelyeket parancssori megoldással. Ha parancssorból lépek be, akkor a beléptetéshez megadott jelszót is be kell írni. Amit a fentiek szerint a bash tárol. Ami azt jelenti, hogy…
Ha soha nem használsz ilyen megoldást és soha nem adsz meg felhasználói nevet vagy jelszót a parancssorban, akkor nincs teendőd, de ha előfordul az ilyen, akkor már komolyan el kell gondolkodni, hogy ezzel kellene valamit tenni.
Ha kíváncsi vagy az elmúlt időben mit is használtál, akkor pár alapinformációt érdemes tudni.
A shellben megadott összes parancs a helyi könyvtárban tárolódik .bash_history nevű fájlban. Ez egy alapértelmezett előzményfájl, amelyet a HISTFILE változó szabályoz. Bár elvileg átállíthatod másra is, de nem kellene megtenni.
Hasonlóképp más shell-ek is tárolják a parancsok történetét, a leírásukban megtalálod azt, amire kíváncsi vagy.
Kétféleképp nézheted meg a tartalmát. Az egyik a logikus cat ~/.bash_history parancs, a másik egy erre rendszeresített parancs: history.
Az állomány egy sima szöveg, így a keresés, és manipulálása egyszerű.
Linux biztonsága: bash history
Logikusan ezt az állományt valamiképp törölni kellene, hogy ne legyen benne semmi kompromittáló adat. Ez első körben jó ötletnek tűnik, de egy programhoz tartozó fájlt törölni nem feltétlen jó dolog. Itt nagy gubancot nem okoz, de jobb ha megszokjuk: nem törölgetünk semmit, ami a rendszerhez tartozik.
A másik megoldás már sokkal szakmaibb:
set +o history
Amikor bejelentkezem a Linux-fiókba, letiltathatom az összes parancsot, amely az előzményfájlba kerül. A shell az aktuális shell-munkamenet során nem fogja naplózni az előzményeket. Ezt megadhatjuk a terminál megnyitásakor is (ilyenkor az adott munkamenetben lesz érvényes), vagy akár a ~/.bashrc fájlban is. Ez egy jó megoldás lehet, ha soha nem akarsz menteni.
A Linux alatt van egy nagyon kellemes „fájl ürítő” megoldás: > ~/.bash_history Ez teljesen kiüríti a bash történetét. Így más nem fogja senki látni, mit is írtunk bele. Egy jó megoldás lehet, ha ezt a kijelentkezés előtt lefuttatjuk. Nem kell ezt kézzel futtatni, mert a legtöbb shell ismeri a logout fájlt, ahol megadható a kijelentkezéskor elvégzendő parancsot. A bash alatt a .bash_logout fájlt érdemes használni erre. Így amikor kijelentkezel, a kényes adatok eltűnnek.
A vágólap tartalma
Sok rendszer alkalmaz vágólapot, sok pedig elég fejlett, a régebbi vágólap tartalmát is listázó grafikus alkalmazást. Ez alapvetően kényelmes, de ha rendszeresen másolsz és illesztesz be jelszavakat stb. akkor már nem feltétlen lesz jó, ha ebbe bárki belenézhet.
Itt a probléma már összetettebb, mint az előzőekben, mert nincs egységes állomány, amibe ezek a programok írnak. Így kétlépcsős megoldást érdemes követni.
Ha van a vágólapkezelődnek olyan beállítás, hogy kilépéskor törölje a múltbéli adatokat, akkor azt használjuk ki! Egyszerű és nagyszerű megoldás. Esetleg van olyan parancssori kapcsolója, ami ezt megteszi…
Ha nincs ilyen, akkor meg kell keresni azt a fájlt, amiben listázza az előzményeket. Ez nem túl elegáns megoldás, de ezt a fájlt ki kell üríteni az előbb megadott kacsacsőrös megoldással. Ezt kijelentkezéskor érdemes megtenni. A legtöbb rendszerben megadható, hogy mi fusson le a kilépéskor, így a KDE alatt is. Az Automatikus indítás menüben, ha újat adunk hozzá, ki lehet választani, hogy egy kijelentkezési szkriptet adjon hozzá. Így már a probléma meg is oldódott: a kilépéskor minden olyan kényes adatot, amit ide-oda mentett a rendszer egy szkripttel törölni tudunk.
Bár nem feltétlen a legnagyobb és a leglátványosabb megoldások, de egy kis lépést tehetünk az adataink biztonságáért ezekkel.