Linux Hardenining: consells per protegir el teu distro i fer-la més segura

S'han publicat molts articles sobre les distribucions Linux més segures, com ara Tails (que vetlla per la teva privacitat i anonimat en la xarxa), Whonix (un Linux per paranoics de la seguretat) i altres distros orientades a ser segures. Però clar, no tots els usuaris volen utilitzar aquestes distribucions. Per això en aquest article donarem una sèrie de recomanacions per al «Linux Hardening«, És a dir, fer més segur el teu distro (sigui quina sigui).

Red Hat, SUSE, CentOS, openSUSE, Ubuntu, Debian, Arch Linux, Linux Mint, ... tant se val. Qualsevol distribució pot ser segura com les més segures si la coneixes en profunditat i saps com protegir-te dels perills que et aguaiten. I per a això es pot actuar en molts nivells, no només a nivell de programari, també a nivell de maquinari.

Conills genèrics de seguretat:

En aquest apartat et donaré alguns consells molt bàsics i senzills que no necessiten de coneixements informàtics per entendre'ls, tan sols són de sentit comú però que a vegades no duem a terme per distracció o per deixadesa:

• No pugis dades personals o sensibles al núvol. El núvol, independentment de si és lliure o no i si és més o menys segura, és una bona eina per disposar de les teves dades allà on vagis. Però intenta no pujar dades que no vulguis "compartir" amb curiosos. Aquest tipus de dades més sensibles has portar-los en un mitjà més personal, com ara una targeta SD o pendrive.
• Si fas servir un equip per accedir a Internet i treballes amb dades importants, per exemple, imagina que t'has unit a la moda d'el BYOD i t'has portat unes dades empresarials a casa. Doncs en aquest tipus de circumstàncies, no treballis en línia, Intenta estar desconnectat (¿per a què vols estar connectat per treballar per exemple amb LibreOffice editant un text?). Un ordinador desconnectat és el més segur, recorda-ho.
• Relacionat amb l'anterior, no deixis dades importants en el disc dur local quan treballis connectat. Et recomano que disposis d'un disc dur extern o un altre tipus de memòria (targetes de memòria, pendrives, etc.) en què tinguis aquesta informació. Així posarem una barrera entre el nostre equip connectat i aquesta memòria "no connectada" on estan les dades importants.
• Fes còpies de seguretat de les dades que consideris interessants o no vulguis perdre. Quan fan servir vulnerabilitats per introduir-se en el teu equip i escalar privilegis, l'atacant podrà esborrar o manipular qualsevol dada sense impediments. Per això és millor tenir un respatller.
• No deixis dades sobre els teus punts febles en fòrums o comentaris a les webs. Si per exemple tens problemes de seguretat en el teu equip i té ports oberts que vols tancar, no deixis el teu problema en un fòrum perquè t'ajudin, perquè pot ser usat en contra teva. Algú amb males intencions pot usar aquesta informació per buscar la seva víctima perfecta. És millor que busquis a un tècnic de confiança que t'ajudi a resoldre'ls. També és freqüent que empreses posin a Internet anuncis de l'tipus "Busco expert en seguretat informàtica" o "Es necessita personal per al departament de seguretat". Això pot indicar una possible debilitat en aquesta empresa i un ciberdelinqüent pot usar aquest tipus de pàgines per buscar víctimes fàcils ... Tampoc és bo que deixis informació de sistema que utilitzes i versions, algú podria usar gestes per explotar vulnerabilitats d'aquesta versió. Resumint, com més desconegui l'atacant de tu, molt més difícil li serà atacar. Tingues en compte que els atacants solen realitzar un procés previ a l'atac anomenat "information gathering" i consisteix en recol·lectar informació sobre la víctima que pugui ser utilitzada en contra seva.
• Mantingues el teu equip actualitzat amb les últimes actualitzacions i pegats, recorda que en moltes ocasions, aquestes no només milloren les funcionalitats, també corregeixen bugs i vulnerabilitats perquè no siguin explotades.
• Utilitza contrasenyes segures. Mai posis noms que estiguin al diccionari o contrasenyes tipus 12345, ja que amb atacs de diccionari es poden treure ràpidament. Tampoc deixis contrasenyes per defecte, ja que són fàcilment detectables. Tampoc facis servir dates de naixement, noms de familiars, mascotes o sobre els teus gustos. Aquest tipus de contrasenyes poden ser fàcilment esbrinades per enginyeria social. El millor és que facis servir una clau llarga amb nombres, lletres majúscules i minúscules, i símbols. Tampoc facis servir contrasenyes mestres per a tot, és a dir, si tens un compte de correu i una sessió d'un sistema operatiu, no utilitzis la mateixa per a tots dos. Això és una cosa que en Windows 8 han ficat la pota fins al fons, ja que la contrasenya per iniciar sessió és la mateixa del teu compte de Hotmail / Outlook. Una contrasenya segura és de l'tipus: "auite3YUQK && w-". Per força bruta es podria aconseguir però, el temps dedicat a això, fa que no valgui la pena ...
• No instal·lis paquets de fonts desconegudes ia ser possible. Usa els paquets de codi font des de la web oficial de el programa que vulguis instal·lar. Si els paquets són dubtosos, et recomano que utilitzis un entorn sandbox com Glimpse. El que aconseguiràs és que totes les aplicacions que instal·lis en Glimpse puguin executar-se amb normalitat, però a l'intentar llegir o escriure dades, només es reflecteixin dins de l'entorn sandbox, aïllant al teu sistema de problemes.
• utilitza els privilegis de sistema el menys possible. I quan necessitis privilegis per a alguna tasca, és recomanable que utilitzis "suo" preferiblement abans que "la seva".

Altres consells una mica més tècnics:

A més dels consells vistos en l'apartat anterior, també és molt recomanable que segueixis els següents passos per fer encara més segura la teva distro. Tingues en compte que el teu distribució pot ser tan segura com vulguis, Vull dir, com més temps dediquis a configurar i securitzar, molt millor.

Suites de seguretat en Linux i Firewall / UTM:

utilitza SELinux o AppArmor per a fortificar el teu Linux. Aquests sistemes són una mica complexos, però pots veure manuals que t'ajudaran molt. AppArmor pot restringir fins i tot aplicacions sensibles a gestes i altres accions no desitjades de processos. AppArmor ha estat inclòs en el nucli Linux a partir de la versió 2.6.36. El seu fitxer de configuració s'emmagatzema en /etc/apparmor.d

Tanca tots els ports que no utilitzis freqüentment. Seria interessant fins i tot que disposis d'un Firewall físic, això és el millor. Una altra opció és dedicar un equip vell o que no utilitzis per implementar un UTM o Firewall per a la teva xarxa domèstica (pots emprar distribucions com IPCop, m0n0wall, ...). També pots configurar iptables per filtrar el que no desitgis. Per tancar-los pots usar "iptables / netfilter" que integra el propi nucli Linux. Et recomano consultar manuals sobre netfilter i iptables, ja que són bastant complexos i no es podrien explicar en un article. Pots mirar els ports que tens oberts teclejant al terminal:

netstat -nap

Protecció física del nostre equip:

També pots protegir físicament el teu equip per si no confies en algú del teu entorn o has de deixar el teu equip en algun lloc a l'abast d'altres persones. Per a això pots desactivar l'arrencada des d'altres mitjans que no siguin el teu disc dur en el BIOS / UEFI i protegir amb contrasenya la BIOS / UEFI perquè no puguin modificar sense. Així evitaràs que algú es porti un USB booteable o disc dur extern amb un sistema operatiu i pugui tenir accés a les teves dades des d'ell, sense ni tan sols haver d'iniciar la sessió al distro. Per protegir-la, accedeix a la BIOS / UEFI, a la secció Security pots afegir el password.

Igual pots fer amb GRUB, protegint amb contrasenya:

grub-mkpasswd-pbkdf2

Introdueix la contrasenya per GRUB que vols i es codificarà en SHA512. Després copia la contrasenya codificada (la que apareix a "Your PBKDF2 is") per usar-la més endavant:

sudo nano /boot/grub/grub.cfg

Crea un usuari a l'inici i posa-li la contrasenya xifrada. Per exemple, si la contrasenya copiada anteriorment era "grub.pbkdf2.sha512.10000.58AA8513IEH723":

set superusers=”isaac”
password_pbkdf2 isaac grub.pbkdf2.sha512.10000.58AA8513IEH723

I guarda els canvis ...

Menys programari = més seguretat:

Minimitza el nombre de paquets instal·lats. Només instal·la els que necessitis i si vas a deixar d'utilitzar algun, el millor és desinstal · lar. Com menys programari tinguis, menys vulnerabilitats. Recorda-ho. Igual t'aconsello amb els serveis o dimonis de certs programes que s'executen a l'iniciar el sistema. Si no els fas servir, posa'ls en mode "off".

Esborra informació de forma segura:

Quan esborris informació d'un disc, targeta de memòria o partició, o simplement un fitxer o directori, fes-ho de forma segura. Encara creguis que ho has esborrat, pot ser recuperat fàcilment. A l'igual que físicament no serveix llençar un document amb dades personals a les escombraries, perquè algú podria treure-ho de l'contenidor i veure-ho, per la qual cosa cal destruir el paper, en informàtica passa el mateix. Per exemple, pots omplir la memòria amb dades aleatòries o nuls per sobreescriure les dades que no vols exposar. Per a això pots utilitzar (perquè funcioni has de executar-lo amb privilegis i substituir / dev / SDAX pel dispositiu o partició sobre la que vulguis actuar en el teu cas ...):

dd if=/dev/zeo of=/dev/sdax bs=1M
dd if=/dev/unrandom of=/dev/sdax bs=1M

Si el que vols és esborrar un fitxer concret per sempre, Pots usar "shred". Per exemple, imagina que vols esborrar un fitxer anomenat contraseñas.txt on tinguis apuntades contrasenyes de sistema. Podem fer servir shred i sobreescriure per exemple 26 vegades sobre per garantir que no pugui ser recuperat després de la seva esborrat:

shred -u -z -n 26 contraseñas.txt

Hi ha eines com HardWipe, Eraser o Secure Delete que pots instal·lar per "Wipear" (eliminar de forma permanent) memòries, Particions SWAP, RAM, etc.

Comptes d'usuari i contrasenyes:

Millora el sistema de contrasenyes amb eines com S / KEY o SecurID per crear un esquema de contrasenyes dinàmiques. Assegura't que no hi ha cap contrasenya xifrada en el directori / etc / passwd. Hem de fer servir millor / etc / shadow. Per a això pots usar "pwconv" i "grpconv" per crear usuaris i grups nous, però amb contrasenya oculta. Una altra cosa interessant és editar el fitxer / etc / default / passwd per donar caducitat als teus contrasenyes i obligar-te a renovar-les periòdicament. Així si aconsegueixen una contrasenya, no els durarà eternament, ja que la canviaràs amb freqüència. Amb el fitxer /etc/login.defs també es pot fortificar el sistema de contrasenyes. Edita-ho, buscant l'entrada PASS_MAX_DAYS i PASS_MIN_DAYS per especificar el mínim i màxim de dies que pot durar una contrasenya abans de caducar. PASS_WARN_AGE mostra un missatge per avisar que aviat caduca la contrasenya en X dies. T'aconsello veure un manual sobre aquest fitxer, ja que les entrades són molt nombroses.

Els comptes que no estiguin sent utilitzades i estiguin presents a / etc / passwd, han de tenir la variable a l'Shell / bin / false. Si és una altra, canvia-a aquesta. D'aquesta manera no podran usar-se per obtenir un intèrpret d'ordres. També és interessant definir la variable PATH del nostre terminal perquè no aparegui el directori actual ".". És a dir, ha de passar de ser "./user/local/sbin/:/usr/local/bin:/usr/bin:/bin" a "/ user / local / sbin /: / usr / local / bin: / usr / bin: / bin ".

Seria recomanable que empleases Kerberos com a mètode d'autenticació a la xarxa.

PAM (Pluggable Autentication Module) és una cosa semblant a Microsoft Active Directory. Aporta un esquema d'autenticació comú, flexible i amb avantatges clars. Pots fer una ullada a directori /etc/pam.d/ i buscar informació a la xarxa. És bastant extens per explicar-ho aquí ...

Vigila els privilegis dels diferents directoris. Per exemple, / root hauria de pertànyer a l'usuari root i grup root, amb permisos "drwx - - - - - -". Pots buscar info a la xarxa sobre quins permisos ha de tenir cada directori de l'arbre de directoris de Linux. Una configuració diferent podria ser perillosa.

Xifrar les teves dades:

Xifra el contingut d'un directori o partició on tinguis informació rellevant. Per a això pots utilitzar LUKS o amb ecryptfs. Per exemple, imagina que volem xifrar / home d'un usuari anomenat isaac:

sudo apt-get install ecryptfs-utils
ecryptfs-setup-private
ecryptfs-migrate-home -u isaac

Després d'açò, indica la passphase o contrasenya quan t'ho demani ...

Per crear un directori privat, Per exemple anomenat "privat" també podem usar ecryptfs. En aquest directori podrem ficar les coses que volem xifrar per treure de la vista aliena:

mkdir /home/isaac/privado
chmod 700 /home/isaac/privado
mount -t ecryptfs /home/isaa/privado

Ens farà preguntes sobre diferents paràmetres. Primer ens deixarà triar entre contrasenyes, OpenSSL, ... i hem de triar 1, és a dir, "passphase". Després introduïm la contrasenya que vulguem dues vegades per verificar. Després d'això vam triar el tipus de xifrat que vulguem (AES, Blowfish, DES3, CAT, ...). Jo triaria la primera, AES i després introduïm el tipus de bytes de la clau (16, 32 o 64). I finalment vam contestar a l'última pregunta amb un "yes". Ara pots muntar i desmuntar aquest directori per utilitzar-lo.

Si només vols xifrar fitxers concrets, Pots utilitzar scrypt o PGP. Per exemple, un fitxer que es digui contraseñas.txt, pots fer servir les ordres següents per xifrar i desxifrar respectivament (en ambdós casos et demanarà una contrasenya):

scrypt <contraseñas.txt>contraseñas.crypt
scrypt <contraseñas.crypt>contraseñas.txt

Verificació en dos passos amb Google Authenticator:

afegeix verificació en dos passos al sistema. Així, fins i tot si roben la contrasenya no tindran accés al teu sistema. Per exemple, per a Ubuntu i el seu entorn Unity podem emprar LightDM, però els principis poden ser exportats a altres distros. Necessitaràs un tablet o smartphone per a això, en ell has d'instal·lar Google Authenticator des de la Play Store. Després en el PC, el primer és instal·lar Google Authenticator PAM i posar-lo en marxa:

sudo apt-get install libpam-google-authenticator
google-authenticator

Quan ens pregunti si les claus de verificació estaran basades en el temps contestem afirmativament amb una i. Ara ens mostra un codi QR per ser reconegut amb Google autenticador des del teu smartphone, una altra opció és introduir la clau secreta directament des de la app (és la que al PC ens apareixia com "Your new secret is:"). I ens donarà una sèrie de codis per si no portem el telèfon intel·ligent sobre i que seria bo tenir-los present per si de cas. I seguim contestat amb yon segons les nostres preferències.

Ara obrim (amb nano, gedit, o el teu editor preferit) el fitxer de configuració amb:

sudo gedit /etc/pam.d/lightdm

I afegim la línia:

auth required pam_google_authenticator.so nullok

Guardem i la propera veure que iniciïs sessió ens demanarà la clau de verificació que ens generarà el nostre mòbil.

Si un dia vols treure la verificació en dos passos, Només has d'esborrar la línia "auth required pam_google_authenticator.so nullok" de el fitxer /etc/pam.d/lightdm
Recorda, el sentit comú i la precaució és el millor aliat. Un entorn GNU / Linux és segur, però qualsevol equip connectat a una xarxa deixa de ser segur per molt bo que sigui el sistema operatiu que utilitzis. Si tens algun dubte, problema o suggeriment, pots fer la teva comentari. Espero que et serveixi d'ajuda ...