הקשחה (אבטחת מידע) – הבדלי גרסאות
תוכן שנמחק תוכן שנוסף
יצירה באמצעות תרגום הדף "Hardening (computing)" |
עריכה, הוספת מקור |
||
שורה 1:
'''הקשחה''' בתכנות היא תהליך של אבטחת המערכת על ידי הקטנת שטח הפגיעות אשר גדלה ככול שהמערכת מבצעת יותר פעולות. בעיקרון, מערכת בעלת פעולה אחת בטוחה יותר ממערכת בעלת פעולות רבות. הקטנת אפשרות תקיפת המערכת לרוב כוללת שינוי סיסמאות ברירת מחדל, הסרה של תוכנה מיותרת או התחברויות מקודדות (login) והסרה של שירותים מיותרים.
ישנן מספר שיטות להקשחת מערכות "יוניקס" ו"לינוקס". שיטות אלה כוללות בין השאר התקנת תלאים כגון מגן אקס (Exec shield) או פקס (Pax) על הליבה, סגירת חיבורי רשת, הקמת מערכות זיהוי\התראה לפריצות, חומות אש ומערכות למניעת פריצות. קיימות גם פקודות\תוכנות וכלים להקשחה כגון ליניס (Lynis), בסטיל לינוקס(Bastille Lynux) JASS או מקשיח Apache/PHP עבור מערכות סולריס (Solaris) אשר יכולים לנטרל אפשרויות תוכנה מיותרות בתיקיות קונפיגורציה ועוד מספר מהלכים הגנתיים.
== הקשחה בינרית ==
הקשחה בינרית היא שיטת אבטחת תוכנה בה קבצים בינריים נבחנים ונערכים שינויים בקבצים אלה על מנת להגן מפני שיטות פגיעה שכיחות. הקשחה בינרית היא שיטה נפרדת מקומפיילרים וכוללת את כל סט התוכנות. לדוגמה, שיטת הקשחה בינרית אחת היא גילוי של הצפת חוצצים (buffer overflow) והחלפת המקטע בשורות תכנות בטוחות יותר. היתרון בתמרון קוד בינרי הוא שאפשר לתקן בצורה אוטומטית חולשות בתוכנות אב ישנות (legacy) בלי צורך בקוד מקור אשר יכול כלל לא להיות זמין או מעורפל. יתרון נוסף הוא שאותה שיטה יכולה להיות מיושמת על קוד בינרי מקומפיילרים רבים בהם גם כאלה אשר פחות מאובטחים.
שורה 10 ⟵ 12:
לעיתים קרובות הקשחה בינרית כוללת התאמות לא דטרמיננטיות של בקרות זרימה וכתובות של הוראות בצורה שתמנע שימוש חוזר של שורות קוד לצורך תקיפת המערכת. שיטות הקשחה נפוצות:
▲· הגנה מפני גלישת מחסנית (stack overflow)
▲· מיקום עצמאי לתוכנות הרצה (ראה פיזור אקראי לכתובות)
▲· פיזור אקראי של כתובות להוראות עם כתובות קבועות (פיזור אקראי ליחידות קוד בסיסיות)
▲· מיסוך פוינטרים ( הגנה מפני הזרקת שורות קוד)
▲· זרימת שליטה אקראית ( להגנה מפני הטיה של זרימת השליטה)
שורה 26 ⟵ 23:
== דוגמאות נוספות ''' ''' ==
▲· מחיקת תוכנה או מאפיינים אשר אינם בשימוש.
▲· עדכון שוטף של טלאים
▲· התקנת חומת אש
▲· סגירת חיבורי רשת מיותרים
▲· מניעת שיתוף קבצים בין תוכנות מסוימות
▲· שימוש באנטי-וירוס ותוכנות להגנה מפני ריגול
▲· שימוש במכולות תוכנה או מכונות וירטואליות
▲· יצירת סיסמאות חזקות ומדיניות של קביעת סיסמאות חזקות
▲· יצירת גיבוי
▲· נטרול עוגיות (cookies)
▲· שימוש בקידוד היכן שאפשר
▲· נטרול קידוד חלש
▲· הפרדה בין נתונים לתוכנות
▲· מכסות של כוננים
▲· לוגיקה חזקה לשליטה על גישה
▲· אבטחה ליומנים (logs)
▲· התאמה של הגדרות ברירת מחדל, ביחוד סיסמאות
== ראה גם ==
· מדיניות אבטחת רשת▼
· פיזור אקראי ליחידות קוד עצמאיות ▼
· מערכת הפעלה ממוקדת אבטחה▼
* [[:en:Computer_security|אבטחת תוכנה]]
· לינוקס בעל אבטחה מוגברת▼
* [[:en:Network_security_policy|אבטחת רשת]]
* [[:en:Address_space_layout_randomization|פיזור כתובות אקראי]]
== הפניות ==
שורה 80 ⟵ 55:
== קישורים חיצוניים ==
*
*[https://www.globalsecurity.org/military/library/report/1997/harden.pdf "הקשחת נכסי המחשוב שלך"] ב- globalsecurity.org
[[קטגוריה:נהלי אבטחת תוכנה]]
|