Укрепване на Linux: Съвети за защита на дистрибуцията и за по-голяма сигурност

Много статии са публикувани на Linux дистрибуции по-сигурен, като TAILS (който гарантира вашата поверителност и анонимност в мрежата), Whonix (Linux за параноична сигурност) и други дистрибуции, насочени към безопасността. Но разбира се, не всички потребители искат да използват тези дистрибуции. Ето защо в тази статия ще дадем поредица от препоръки за «Втвърдяване на Linux«, Тоест направете дистрибуцията си (каквато и да е) по-сигурна.

Red Hat, SUSE, CentOS, openSUSE, Ubuntu, Debian, Arch Linux, Linux Mint, ... каква разлика има. Всяко разпространение може да бъде безопасно като най-безопасното, ако го знаете в дълбочина и знаете как да се предпазите от опасностите, които ви заплашват. И за това можете да действате на много нива, не само на софтуерно ниво, но и на хардуерно ниво.

Зайци с обща безопасност:

В този раздел ще ви дам някои много основни и прости съвети които не се нуждаят от компютърни познания, за да ги разберат, те са само здрав разум, но които понякога не изпълняваме поради невнимание или невнимание:

• Не качвайте лични или чувствителни данни в облака. Облакът, независимо дали е безплатен или не и дали е повече или по-малко защитен, е добър инструмент за достъп до вашите данни, където и да отидете. Но се опитайте да не качвате данни, които не искате да „споделяте“ с зяпачите. Този тип по-чувствителни данни трябва да се носят в по-личен носител, като SD карта или pendrive.
• Ако използвате компютър за достъп до Интернет и например работа с важни данни, представете си, че сте се присъединили към тенденцията BYOD и сте прибрали някои бизнес данни вкъщи. Е, при такива обстоятелства, не работят онлайн, опитайте да бъдете прекъснати (защо искате да бъдете свързани към работа, например с LibreOffice, редактиращ текст?). Изключеният компютър е най-сигурният, помнете това.
• Свързано с горното, не оставяйте важни данни на локалния твърд диск, когато работите онлайн. Препоръчвам ви да имате външен твърд диск или друг тип памет (карти с памет, писалки и др.), В които разполагате с тази информация. По този начин ще поставим бариера между свързаното ни оборудване и тази "несвързана" памет, където са важните данни.
• Направете резервни копия от данните, които смятате за интересни или не искате да загубите. Когато използват уязвимости за влизане във вашия компютър и ескалиране на привилегии, нападателят ще може да изтрие или манипулира всякакви данни без пречки. Ето защо е по-добре да имате резервно копие.
• Не оставяйте данни за слабите си места във форуми или коментари в мрежата. Ако например имате проблеми със сигурността на компютъра си и той има отворени портове, които искате да затворите, не оставяйте проблема си във форум за помощ, защото той може да бъде използван срещу вас. Някой с лоши намерения може да използва тази информация, за да търси своята перфектна жертва. По-добре е да намерите доверен техник, който да ви помогне да ги разрешите. Също така е обичайно компаниите да пускат реклами в Интернет като „Търся експерт по ИТ сигурност“ или „Необходим е персонал за отдела за сигурност“. Това може да означава възможна слабост в споменатата компания и киберпрестъпникът може да използва тези типове страници, за да търси лесни жертви ... Също така не е добре за вас да оставяте информация за системата, която използвате и версии, някой може да използва експлойти, за да експлоатира уязвимости на тази версия. Накратко, колкото повече нападателят не знае за вас, толкова по-трудно ще му бъде да атакува. Имайте предвид, че нападателите обикновено извършват процес преди атаката, наречен „събиране на информация“ и се състои от събиране на информация за жертвата, която може да бъде използвана срещу тях.
• Поддържайте оборудването си актуализирано С най-новите актуализации и корекции, не забравяйте, че в много случаи те не само подобряват функционалностите, но и коригират грешки и уязвимости, така че да не бъдат използвани.
• Използвайте силни пароли. Никога не поставяйте имена, които са в речника или пароли като 12345, тъй като с речникови атаки те могат да бъдат премахнати бързо. Също така, не оставяйте паролите по подразбиране, тъй като те са лесно откриваеми. Също така не използвайте дати на раждане, имена на роднини, домашни любимци или за вашия вкус. Тези видове пароли могат лесно да бъдат познати от социалното инженерство. Най-добре е да използвате дълга парола с цифри, главни и малки букви и символи. Също така, не използвайте главни пароли за всичко, т.е. ако имате имейл акаунт и сесия на операционна система, не използвайте една и съща и за двете. Това е нещо, което в Windows 8 са прецакали до дъното, тъй като паролата за влизане е същата като акаунта ви в Hotmail / Outlook. Сигурната парола е от типа: "auite3YUQK && w-". Чрез груба сила може да се постигне, но времето, посветено на това, не си заслужава ...
• Не инсталирайте пакети от неизвестни източници и ако е възможно. Използвайте пакетите с изходен код от официалния уебсайт на програмата, която искате да инсталирате. Ако пакетите са съмнителни, препоръчвам ви да използвате среда на пясъчник като Glimpse. Това, което ще постигнете, е, че всички приложения, които инсталирате в Glimpse, могат да работят нормално, но когато се опитвате да четете или пишете данни, това се отразява само в средата на пясъчника, изолирайки вашата система от проблеми.
• употреби възможно най-малко системни привилегии. И когато имате нужда от привилегии за дадена задача, препоръчително е да използвате "sudo" за предпочитане преди "su".

Други малко по-технически съвети:

В допълнение към съветите, видени в предишния раздел, също така е силно препоръчително да следвате следните стъпки, за да направите дистрибуцията си още по-сигурна. Имайте предвид, че вашето разпределение може да бъде толкова безопасно, колкото искатеИскам да кажа, колкото повече време отделяте за конфигуриране и осигуряване, толкова по-добре.

Пакети за сигурност в Linux и Firewall / UTM:

употреби SELinux или AppArmor за укрепване на вашия Linux. Тези системи са донякъде сложни, но можете да видите ръководства, които ще ви помогнат много. AppArmor може да ограничи дори приложения, чувствителни към експлойти и други нежелани процеси. AppArmor е включен в ядрото на Linux от версия 2.6.36. Конфигурационният му файл се съхранява в /etc/apparmor.d

Затворете всички портове, които не използвате често. Би било интересно, дори ако имате физическа защитна стена, това е най-доброто. Друг вариант е да посветите старо или неизползвано оборудване за внедряване на UTM или защитна стена за вашата домашна мрежа (можете да използвате дистрибуции като IPCop, m0n0wall, ...). Можете също така да конфигурирате iptables да филтрира това, което не искате. За да ги затворите, можете да използвате "iptables / netfilter", който интегрира самото ядро ​​на Linux. Препоръчвам ви да се консултирате с ръководства за netfilter и iptables, тъй като те са доста сложни и не могат да бъдат обяснени в статия. Можете да видите портовете, които сте отворили, като въведете в терминала:

netstat -nap

Физическа защита на нашето оборудване:

Можете също така да защитите физически оборудването си, в случай че нямате доверие на някой около вас или трябва да оставите оборудването си някъде на обсега на други хора. За това можете да деактивирате зареждането от средства, различни от вашия твърд диск в BIOS / UEFI и защита на паролата на BIOS / UEFI, така че те не могат да го модифицират без него. Това ще попречи на някой да вземе стартиращ USB или външен твърд диск с инсталирана операционна система и да има достъп до вашите данни от него, без дори да се налага да влиза в дистрибуцията си. За да го защитите, отворете BIOS / UEFI, в раздела Сигурност можете да добавите паролата.

Можете да направите същото с GRUB, защитавайки го с парола:

grub-mkpasswd-pbkdf2

Влез в парола за GRUB искате и тя ще бъде кодирана в SHA512. След това копирайте кодираната парола (тази, която се появява в „Вашият PBKDF2 е“), за да използвате по-късно:

sudo nano /boot/grub/grub.cfg

Създайте потребител в началото и поставете криптирана парола. Например, ако по-рано копираната парола е била "grub.pbkdf2.sha512.10000.58AA8513IEH723":

set superusers=”isaac”
password_pbkdf2 isaac grub.pbkdf2.sha512.10000.58AA8513IEH723

И запазете промените ...

По-малко софтуер = повече сигурност:

Намалете броя на инсталираните пакети. Инсталирайте само тези, от които се нуждаете и ако ще спрете да използвате един, най-добре е да го деинсталирате. Колкото по-малко софтуер имате, толкова по-малко уязвимости. Запомни го. Същото ви съветвам с услугите или демоните на определени програми, които се стартират при стартиране на системата. Ако не ги използвате, поставете ги в режим "изключен".

Безопасно изтриване на информация:

Когато изтриете информация на диск, карта с памет или дял или просто файл или директория, направете го безопасно. Дори ако смятате, че сте го изтрили, той може лесно да бъде възстановен. Точно както физически не е полезно да хвърляте документ с лични данни в кошчето, защото някой може да го извади от контейнера и да го види, така че трябва да унищожите хартията, същото се случва и при изчисленията. Например можете да попълните паметта с произволни или нулеви данни, за да презапишете данни, които не искате да излагате. За това можете да използвате (за да работи, трябва да го стартирате с привилегии и да замените / dev / sdax с устройството или дяла, на който искате да действате във вашия случай ...):

dd if=/dev/zeo of=/dev/sdax bs=1M
dd if=/dev/unrandom of=/dev/sdax bs=1M

Ако това, което искате, е изтрийте определен файл завинаги, можете да използвате "настъргване". Например, представете си, че искате да изтриете файл, наречен passwords.txt, където имате записани системни пароли. Можем да използваме раздробяване и презаписване, например 26 пъти по-горе, за да гарантираме, че не може да бъде възстановено след изтриване:

shred -u -z -n 26 contraseñas.txt

Има инструменти като HardWipe, Eraser или Secure Delete, на които можете да инсталирате „Изтриване“ (изтриване за постоянно) спомени, SWAP дялове, RAM и др.

Потребителски акаунти и пароли:

Подобрете системата за пароли с инструменти като S / KEY или SecurID за създаване на динамична схема за парола. Уверете се, че в директорията / etc / passwd няма криптирана парола. Трябва да използваме по-добре / etc / shadow. За това можете да използвате "pwconv" и "grpconv", за да създадете нови потребители и групи, но със скрита парола. Друго интересно нещо е да редактирате файла / etc / default / passwd, за да изтекат вашите пароли и да ви принуждават да ги подновявате периодично. Така че, ако получат парола, тя няма да продължи вечно, тъй като ще я променяте често. С файла /etc/login.defs можете също да укрепите системата за пароли. Редактирайте го, търсейки записите PASS_MAX_DAYS и PASS_MIN_DAYS, за да посочите минималния и максималния брой дни, които паролата може да продължи преди изтичане. PASS_WARN_AGE показва съобщение, за да ви уведоми, че скоро ще изтече паролата след X дни. Съветвам ви да видите ръководство за този файл, тъй като записите са многобройни.

на акаунти, които не се използват и те присъстват в / etc / passwd, те трябва да имат променливата Shell / bin / false. Ако е друг, сменете го на този. По този начин те не могат да бъдат използвани за получаване на черупка. Също така е интересно да промените променливата PATH в нашия терминал, така че текущата директория "." Да не се появява. Тоест трябва да се промени от „./user/local/sbin/:/usr/local/bin:/usr/bin:/bin” в „/ user / local / sbin /: / usr / local / bin: / usr / bin: / bin ”.

Би било препоръчително да използвате Kerberos като мрежов метод за удостоверяване.

PAM (сменяем модул за удостоверяване) това е нещо като Microsoft Active Directory. Той осигурява обща, гъвкава схема за удостоверяване с ясни предимства. Можете да разгледате директорията /etc/pam.d/ и да потърсите информация в мрежата. Доста обширно е да се обясни тук ...

Следете привилегиите на различните директории. Например, / root трябва да принадлежи на root потребителя и root групата, с разрешения "drwx - - - - - -". Можете да намерите информация в мрежата за това какви разрешения трябва да има всяка директория в дървото на директориите на Linux. Различна конфигурация може да бъде опасна.

Шифроване на вашите данни:

Шифрова съдържанието на директория или дял където имате подходяща информация. За това можете да използвате LUKS или с eCryptFS. Например, представете си, че искаме да шифроваме / дома на потребител на име isaac:

sudo apt-get install ecryptfs-utils
ecryptfs-setup-private
ecryptfs-migrate-home -u isaac

След горното, посочете паролата или паролата, когато бъдете попитани ...

За да създадете a частна директорияНапример наречен "частен", ние също можем да използваме eCryptFS. В тази директория можем да поставим нещата, които искаме да шифроваме, за да ги премахнем от погледа на другите:

mkdir /home/isaac/privado
chmod 700 /home/isaac/privado
mount -t ecryptfs /home/isaa/privado

Ще ни зададе въпроси за различни параметри. Първо, ще ни позволи да избираме между пароли, OpenSSL, ... и ние трябва да изберем 1, тоест „паролна фраза“. След това въвеждаме паролата, която искаме два пъти да проверим. След това избираме желания тип криптиране (AES, Blowfish, DES3, CAST, ...). Бих избрал първия, AES и след това въвеждаме байтовия тип на ключа (16, 32 или 64). И накрая отговаряме на последния въпрос с „да“. Сега можете да монтирате и демонтирате тази директория, за да я използвате.

Ако просто искате криптиране на конкретни файлове, можете да използвате scrypt или PGP. Например файл, наречен passwords.txt, можете да използвате следните команди за съответно криптиране и декриптиране (и в двата случая ще ви поиска парола):

scrypt <contraseñas.txt>contraseñas.crypt
scrypt <contraseñas.crypt>contraseñas.txt

Проверка в две стъпки с Google Authenticator:

добавя проверка в две стъпки във вашата система. По този начин, дори ако паролата ви бъде открадната, те няма да имат достъп до вашата система. Например за Ubuntu и неговата среда Unity можем да използваме LightDM, но принципите могат да бъдат експортирани в други дистрибуции. За това ще ви трябва таблет или смартфон, в него трябва да инсталирате Google Authenticator от Play Store. След това на компютъра първото нещо е да инсталирате Google Authenticator PAM и да го стартирате:

sudo apt-get install libpam-google-authenticator
google-authenticator

Когато ни попитате дали ключовете за проверка ще се основават на времето, ние отговаряме утвърдително с y. Сега ни показва QR код, с който да бъдем разпознати Google Authenticator От вашия смартфон друга опция е да въведете секретния ключ директно от приложението (той е този, който се е появил на компютъра като „Вашата нова тайна е:“). И ще ни даде поредица кодове, в случай че не носим смартфона със себе си и би било добре да ги имаме предвид, в случай че мухите. И ние продължаваме да отговаряме с yon според нашите предпочитания.

Сега отваряме (с nano, gedit или вашия любим текстов редактор) конфигурационен файл с:

sudo gedit /etc/pam.d/lightdm

И добавяме реда:

auth required pam_google_authenticator.so nullok

Спестяваме и следващия път, когато влезете, той ще ни поиска ключ за проверка че нашият мобилен телефон ще генерира за нас.

Ако един ден искаш ли да премахнеш потвърждаването в две стъпки, просто трябва да изтриете реда "auth required pam_google_authenticator.so nullok" от файла /etc/pam.d/lightdm
Не забравяйте, че здравият разум и предпазливостта са най-добрият съюзник. Средата на GNU / Linux е сигурна, но всеки компютър, свързан към мрежа, вече не е защитен, независимо колко добра е операционната система, която използвате. Ако имате някакви въпроси, проблеми или предложения, можете да оставите своите коментар. Надявам се да помогне ...