Tag Archive | Säkerhet

Säkerhetstänkande ökar

I kölvattnet av IT incidenter och intrångsförsök med mera, börjar nu fler och fler bekymra sig för om de system man använder eller står bakom är ”säkra”.

Läs mer…

Annonser

Säker Linux

Det är väl ingen som missat alla uppmärksammade brister i säkerheten som drabbat framför allt lite äldre Windows system, men inga operativsystem är osårbara. Vad gör man för att fixa ett så säkert Linux system som möjligt? Oavsett om det är en server eller en klient så borde det finnas massor med saker man kan göra för att skydda sig.

Läs mer…

Testa säkerheten med Kali

Jag är lite smått intresserad av olika Linux distributioner och testar gärna och ofta sådana som jag inte provat tidigare. I det här fallet så har blicken fallit på Kali från ”Offensive Security”.

Distributionen framställs som en säkerhetsdistribution ämnad för bland annat penetrationstester av trådlösa nätverk, men bortsett från detta så är jag som sagt nyfiken så om du läser vidare så skall jag berätta vad jag hittar. Läs mer…

setMasterPassword()

Då har en vecka gått och jag har kanske inte provat QGIS 2.12 så mycket som jag velat, men tillräckligt mycket för att börja experimentera med modifieringar.

Om du som jag använder datakällor som kräver inloggningsuppgifter så kanske du använder den nya funktionen med att lagra dessa uppgifter i en krypterad databas skyddat av ett masterlösenord.

Skärmbild från 2015-10-27 17:33:56Vilket innebär att du i och för sig slipper att ange alla separata inloggningar, men så fort QGIS startar så måste du fylla i ditt masterlösenord i en dialogruta.

Det går att trycka ”Esc” och hoppa förbi dialogen om man inte behöver resurserna, men lite bökigare blir det.

Det jag nu kommer att visa måste du vara lite försiktig med! Tänk igenom vilka konsekvenser det kan få och prova olika scenarion innan du inför det permanent. Genom att följa instruktionerna här så sätter du nämligen en del av den nya säkerheten ur spel. Läs mer…

Välkommen ”Lyon”

Då har så den senaste QGIS versionen släppts och finns för nedladdning och installation på http://qgis.org.

Beroende på vilket operativsystem du använder så kan det dröja ett litet tag innan installationsfiler är färdiga och upplagda, men Linux är klart och jag har testat! (För Windows kan du använda OSGeo4W installationen för att få 2.12.)

splashNär du uppdaterar så kan du råkar på en nyhet direkt, nämligen den nya säkerhetshanteringen med certifikat:

Skärmbild från 2015-10-25 08:29:59Detta är ett ”fel” som förekom även i masterversionen av QGIS, men som inte egentligen påverkar funktionen. Du kan klicka på Ignorera eller Avbryt utan att något mer påverkas. Använder du Windows så kommer du sannolikt inte att se denna varning.

När du lägger in ett ”Masterlösenord” i din personliga autentiseringsdatabas så kommer dialogrutan att försvinna. Däremot så kommer du att behöva ange detta Masterlösenord för att låsa upp din autentiseringsdatabas varje gång du behöver komma åt resurser som kräver inloggning. Som bonus så kommer alla dina login som används för olika tjänster i QGIS att lagras krypterat och säkert, samt att du inte behöver mata in dessa varje gång. Det räcker med Masterlösenordet.

Skärmbild från 2015-10-25 08:35:59

Du kan lägga in dina verifieringar i databasen i anslutningsinformationen eller direkt i inställningarna för Verifiering (Inställningar / Alternativ…).

Har du gamla projekt med lagrade användarnamn och lösenord så fungerar dessa precis som förut, men du bör uppdatera dessa filer så snart du kan för ökad säkerhet.

I de gamla projektfilerna finns en eller flera parametrar med motsvarande innehåll som nedanstående:

<datasource>
dbname='geodata' 
host=localhost 
port=5432 
user='postgres' 
password='xxxxxxx' 
sslmode=disable 
key='id' 
srid=4326 
type=MultiPolygon 
table="Sverige"."OSM_buildings" (geom) sql=
</datasource>

I nya filer där du lagt in användarnamn och lösen i autentiseringsdatabasen kan det i stället se ut som nedan:

<datasource>
dbname='geodata' 
host=localhost 
port=5432 
sslmode=disable 
authcfg=hzq35w1 
key='id' 
srid=4326 
type=MultiLineString 
table="Sverige"."OSM_roads" (geom) sql=
</datasource>

Du kan redigera filerna manuellt till ny struktur, så länge du vet vilket ”id” i autentiseringsdatabasen som motsvarar det användarnamn och lösenord som skall användas. Använd en texteditor och sök efter texten med ”user” och ”password” för att ersätta dessa med ”authcfg” med rätt id. Du hittar exempel på genererat id i Verifieringsdialogen i en av bilderna ovan.

Ta för säkerhets skull en kopia på din projektfil innan du gör detta!

Översättning

Några avslutande ord om översättningen av QGIS till svenska.

Det var lite uppförsbacke mot slutet och det vår många som gjorde heroiska insatser för att nå hela vägen, men tyvärr så återstår det några hundra fraser.

Förhoppningsvis har vi inte bommat för många fraser i GUI, men jag vet att det finns brister i delar av ”Geobearbetning”. Detta beror bland annat på att det för 2.12 funnits många fler möjliga fraser att översätta för just dessa. Det har dessutom introducerats en hel del nya, översättningsintensiva funktioner.

Jag skulle nu vilja be om att översättare inte väntar till nästa Feature Freeze med att börja översätta fokuserat. Jag tror att vi skall försöka ta några fraser då och då i stället, så kanske det blir en mindre ansträngning när det väl börjar närma sig nästa Long Term Release (LTR). Det kan ju även komma en 2.12.1 release i närtid och då kan det vara bra att ha så mycket översatt som möjligt.

Jag skulle också vilja be alla översättare som inte varit inne och översatt på länge att antingen göra det så att ni har någorlunda aktuella översättningarna i databasen. Anledningen är att det finns översättare som inte gjort översättningar på väldigt länge, och en del ser inte ut att gjort några alls. Jag kommer att ta bort de mest oproduktiva översättarna från listan, men så länge du har skickat in en översättning det senaste året via Transifex så kommer du att vara kvar.

Slutligen ett stort tack till alla som hjälpt till med översättningen av det som i mitt tycke är den viktigaste QGIS uppdateringen hittills.

Skapa ett Transifexkonto och hjälp till med översättningen.

Säker Open Source GIS

Med jämna mellanrum hör man om säkerhetshål och säkerhetsbrister i operativsystem, program och plug-in. Ofta handlar detta om stora, eller vanliga produkter och mera sällan om öppen källkod inom GIS.

Jag är nu långt ifrån en säkerhetsexpert, men jag är inte så naiv att jag tar detta som intäkt för att öppen källkod eller Open Source GIS är mycket säkrare.

Det är väl mera sannolikt så att det finns precis lika mycket säkerhetsbrister inom OS GIS, och i takt med att användandet av denna typ av system ökar så kommer dessa problem att bli vanligare.

Vad kan man då göra om man inte är expert men ändå vill använda delvis oprövade mjukvarulösningar i sina system. Läs mer…

Varför skall jag ”Virtualisera”?

Det kan finnas flera anledningar men en är säkerhet, vilket jag återkommer till.

Först och främst, vad är virtualisering? Själv är jag nybörjare och är nog lite svag när det gäller detaljer men det gör mig perfekt för att ta reda på och sammanfatta begreppet generellt.

Kortfattat innebär virtualisering att man låter datorhårdvara köra flera operativsystem samtidigt, vilket får det att se ut som det finns flera datorer på nätverket. För att det skall fungera så behövs det en dator i grunden som kör någon form av vitrualiseringsprogramvara som i sin tur simulerar olika datorer. När man konfigurerat dessa virtuella datorer så kan man installera operativsystem och program precis som med en fysisk dator.

De virtuella datorerna delar då på de resurser som finns i den fysiska datorn och man kan ganska enkelt fördela om resurser mellan dessa om det skulle visa sig att trycket är högre på någon av dem.

Det börjar bli vanligt med specialiserad serverhårdvara för att virtualisera klienter (exempel från Vimmerby) men här fokuserar jag på servervirtualisering.

Det behöver inte ens vara en fysisk dator som man kör sina virtuella datorer på. Det kan vara ett ”kluster” av datorer i stället. Ett kluster är hårdvarumotsvarigheten till virtualisering där man låter flera fysiska datorer agera som en enda rent logiskt. Varje dator kör ett speciellt operativsystem och en eller flera av datorerna samlar all kapacitet och presenterar denna som en gigantisk server med superprestanda.

För att återkomma till säkerhet så finns det en enkel förklaring till varför virtualisering är en bra idé. Tänk dig att någon lyckas utnyttja en svaghet i Apache webbserver och tar sig in i servern. Då kan de teoretiskt även komma åt din GeoServer, PostGIS-databas, mail och dina filer…

Om du i stället kört databasen, mail- och filserver på egna virtuella servrar utan Apache så är de bättre skyddade. Webbservern kanske skadas och information kan läcka, men information som inte publiceras via webben ligger relativt säkert på de andra servrarna.

När man beräknar hur många servrar man behöver så kan man börja med att titta på vilka program som är installerade och börja med att avinstallera det som inte behövs. Detta kan vara lite vanskligt då det är svårt att reda ut alla beroenden, men det skadar inte att lista det som är installerat.

dpkg -l

Vill du sedan lista alla tjänster som körs så finns det ett kommando för det också.

service --status-all

I listan så står det +, – och ? framför tillgängliga tjänster och det betyder att de körs (+), är stoppade (-) eller att statusen är okänd (?).

Vill man lista de portar som servern lyssnar på så kan man använda:

netstat -ntlp

Med det sista kommandot så kan man ganska grovt räkna ut hur många virtuella servrar man behöver. En del portar kanske skall köras på varje server för att exempelvis kunna komma åt och administrera dessa. Detta brukar göras via SSH och port 22. Andra vanliga portar finns i listan nedan.

21 FTP filöverföring
23 Telnet (gammal okrypterad teknik, undvik!)
25 SMTP mail
80 HTTP eller Webbserver
139 NetBIOS namnuppslagning
443 HTTPS krypterad webbsida
445 SMB Windows fildelning

Det finns många fler och även ytterligare portar som inte är standardiserade på riktigt samma sätt men dock registrerade. Ett sådant exempel är PostgreSQL som lyssnar på port 5432. En komplett lista med portnummer kan man hitta på nätet.

Vill du söka igenom ”alla” portar och kontrollera vilka som är öppna/aktiva så kan du köra följande kommando.

sudo nmap -sT -O localhost

Du kan byta ut localhost mot ett servernamn eller en ip-adress för att testa portar på en annan dator i nätverket. Testa exempelvis att köra det mot din egen klient eller din brandvägg…

Säkerhet är ett komplicerat område och man kan sätta säkerhet på så många nivåer. Fysisk säkerhet för att skydda mot direkt tillträde till hårdvaran, inloggning med olika behörigheter, rättigheter i tjänster och filsystem, policy för olika säkerheter, etc. Det blir snabbt svåröverskådligt och är därför säkerhet viktigt så skall man alltid se till att anlita expertis. En ganska bra checklista att börja med kan du hitta på http://www.cyberciti.biz/tips/linux-security.html. Många av kommandona ovan har jag hämtat från denna sida.