Het National Cyber Security Centre (NCSC) van de Britse overheid heeft een beveiligingsgids voor Ubuntu 18.04 LTS gepubliceerd waarin allerlei adviezen worden gegeven. Het gaat dan om gewenste instellingen, aanbevolen netwerkarchitectuur en handvatten voor systeembeheerders.
Zo raadt het NCSC aan om alle data van gebruikers via een virtual private network (vpn) te laten laten lopen en moeten gebruikers niet in staat worden gesteld om willekeurige applicaties te installeren. Daarnaast moet er voor elk Ubuntu-systeem een uniek en lang beheerderswachtwoord worden ingesteld.
De beveiligingsgids gaat ook in op bepaalde zaken zoals het beveiligen van "data at rest" en Secure boot. Het NCSC merkt op dat de Linux Unified Key Setup (LUKS)/dm-crypt schijfencryptie niet gecertificeerd is en bepaalde vereisten voor volledige schijfversleuteling niet ondersteunt. Desondanks wordt het gebruik van LUKS/dm-crypt wel aangeraden.
In het geval van Secure boot, dat de bootloader, kernel en kernelmodules valideert, zijn sommige boot-gerelateerde bestanden standaard niet beveiligd en zijn door een aanvaller aan te passen. Dit risico kan echter worden verkleind door het bootproces extra te beveiligen. Systeembeheerders die Ubuntu-systemen configureren krijgen wel het advies om Secure boot in te stellen.
Ook merkt de Britse overheidsorganisatie op dat Ubuntu geen dedicated hardware gebruikt om de schijf-encryptiesleutels te beschermen. Een aanvaller die fysieke toegang tot het apparaat heeft kan een offline bruteforce-aanval uitvoeren om het encryptiewachtwoord te achterhalen. Verder wordt geadviseerd om de toegang tot FireWire en Thunderbolt te beperken, updates te installeren en log-bestanden goed te configureren.
Deze posting is gelocked. Reageren is niet meer mogelijk.