Linux Hardenining: tipy na ochranu vaší distribuce a zvýšení její bezpečnosti

Mnoho článků bylo publikováno na Linuxové distribuce bezpečnější, například TAILS (který zajišťuje vaše soukromí a anonymitu na webu), Whonix (Linux pro paranoidní zabezpečení) a další distribuce zaměřené na bezpečnost. Samozřejmě ne všichni uživatelé chtějí tyto distribuce používat. Proto v tomto článku uvedeme řadu doporučení pro «Linuxové kalení«, To znamená, že vaše distro (ať je to cokoli) bezpečnější.

Red Hat, SUSE, CentOS, openSUSE, Ubuntu, Debian, Arch Linux, Linux Mint,… jaký je v tom rozdíl. Jakákoli distribuce může být bezpečná jako nejbezpečnější, pokud to víte do hloubky a víte, jak se chránit před nebezpečím, které vám hrozí. A proto můžete jednat na mnoha úrovních, nejen na úrovni softwaru, ale také na úrovni hardwaru.

Obecné bezpečnostní králíci:

V této části vám některé dám velmi základní a jednoduché tipy kteří nepotřebují počítačové znalosti, aby jim rozuměli, jsou pouze zdravým rozumem, ale který někdy kvůli nedbalosti nebo nedbalosti neprovádíme:

• Nenahrávejte do cloudu osobní ani citlivá data. Cloud, bez ohledu na to, zda je bezplatný nebo ne a zda je více či méně zabezpečený, je dobrým nástrojem, jak mít svá data k dispozici, ať jste kdekoli. Snažte se ale nenahrávat data, která nechcete „sdílet“ s diváky. Tento typ citlivějších dat musí být přenášen na osobnějším médiu, jako je SD karta nebo pendrive.
• Pokud například používáte počítač k přístupu na internet a pracujete s důležitými daty, představte si, že jste se připojili k šílenství BYOD a odnesli si některá obchodní data domů. Za takových okolností, nepracujte online, zkuste být odpojeni (proč chcete být připojeni k práci například s LibreOffice úpravou textu?). Odpojený počítač je nejbezpečnější, pamatujte na to.
• V souvislosti s výše uvedeným, při práci online nenechávejte důležitá data na místním pevném disku. Doporučuji mít externí pevný disk nebo jiný typ paměti (paměťové karty, pero atd.), Ve kterém máte tyto informace. Dáme tedy bariéru mezi naše připojené zařízení a tu „nepřipojenou“ paměť, kde jsou důležitá data.
• Vytvořte záložní kopie údajů, které považujete za zajímavé nebo o které nechcete přijít. Když útočník použije zranitelná místa pro vstup do vašeho počítače a eskalaci oprávnění, bude schopen bez překážek vymazat nebo manipulovat s jakýmikoli daty. Proto je lepší mít zálohu.
• Nenechávejte údaje o svých slabých stránkách ve fórech nebo komentáře na webech. Pokud například máte v počítači problémy se zabezpečením a má otevřené porty, které chcete zavřít, nenechávejte svůj problém ve fóru pomoci, protože jej lze použít proti vám. Někdo se špatnými úmysly může tyto informace použít k hledání dokonalé oběti. Je lepší, když najdete důvěryhodného technika, který vám pomůže je vyřešit. Je také běžné, že společnosti umisťují na internet reklamy typu „hledám odborníka na zabezpečení IT“ nebo „Personální oddělení je potřeba.“ To může naznačovat možnou slabost v uvedené společnosti a počítačový zločinec může pomocí těchto typů stránek hledat snadné oběti ... Také pro vás není dobré nechat informace o systému, který používáte, a jeho verzích, někdo by mohl využít exploity k exploitaci zranitelnosti této verze. Stručně řečeno, čím více o vás útočník neví, tím obtížnější bude pro něj útok. Pamatujte, že útočníci obvykle provádějí před útokem proces zvaný „shromažďování informací“, který spočívá ve shromažďování informací o oběti, které lze proti nim použít.
• Udržujte své zařízení aktualizované S nejnovějšími aktualizacemi a opravami pamatujte, že při mnoha příležitostech nejenže vylepšují funkce, ale také opravují chyby a chyby zabezpečení, aby nebyly zneužity.
• Používejte silná hesla. Nikdy nedávejte jména, která jsou ve slovníku, nebo hesla jako 12345, protože pomocí slovníkových útoků je lze rychle odstranit. Nenechávejte hesla ve výchozím nastavení, protože jsou snadno zjistitelná. Nepoužívejte také data narození, jména příbuzných, domácích mazlíčků nebo informace o vašem vkusu. Tyto druhy hesel lze snadno uhodnout pomocí sociálního inženýrství. Nejlepší je použít dlouhé heslo s čísly, malými a malými písmeny a symboly. Nepoužívejte také hlavní hesla pro všechno, to znamená, že pokud máte e-mailový účet a relaci operačního systému, nepoužívejte pro obě stejné. To je něco, co v systému Windows 8 přišroubovali dolů, protože heslo pro přihlášení je stejné jako váš účet Hotmail / Outlook. Zabezpečené heslo je typu: „auite3YUQK && w-“. Hrubou silou toho bylo možné dosáhnout, ale čas věnovaný tomu nestojí za to ...
• Neinstalujte balíčky z neznámých zdrojů a pokud je to možné. Použijte balíčky zdrojových kódů z oficiálních webových stránek programu, který chcete nainstalovat. Pokud jsou balíčky sporné, doporučuji vám použít prostředí karantény, jako je Glimpse. Dosáhnete toho, že všechny aplikace, které nainstalujete do Glimpse, mohou běžet normálně, ale když se pokoušíte číst nebo zapisovat data, projeví se to pouze v prostředí izolovaného prostoru, což izoluje váš systém od problémů.
• použití systémová oprávnění co nejméně. A když potřebujete pro úkol oprávnění, doporučujeme použít „sudo“ nejlépe před „su“.

Další mírně technické tipy:

Kromě rad uvedených v předchozí části se také důrazně doporučuje postupovat podle následujících kroků, aby byla distribuce ještě bezpečnější. Pamatujte, že vaše distribuce může být tak bezpečné, jak chceteČím více času strávíte konfigurováním a zabezpečením, tím lépe.

Sada zabezpečení v systémech Linux a Firewall / UTM:

použití SELinux nebo AppArmor k posílení vašeho Linuxu. Tyto systémy jsou poněkud složité, ale můžete vidět manuály, které vám hodně pomohou. AppArmor může omezit i aplikace citlivé na zneužití a další nežádoucí akce procesu. AppArmor byl do jádra Linuxu zahrnut od verze 2.6.36. Jeho konfigurační soubor je uložen v /etc/apparmor.d

Zavřete všechny porty, které nepoužíváte často. Bylo by zajímavé, i když máte fyzický Firewall, to je nejlepší. Další možností je věnovat staré nebo nepoužívané zařízení pro implementaci UTM nebo Firewall pro vaši domácí síť (můžete použít distribuce jako IPCop, m0n0wall, ...). Můžete také nakonfigurovat iptables k odfiltrování toho, co nechcete. K jejich zavření můžete použít „iptables / netfilter“, který integruje samotné jádro Linuxu. Doporučuji vám prostudovat příručky k netfilteru a iptables, protože jsou poměrně složité a nelze je vysvětlit v článku. Otevřené porty můžete zobrazit zadáním do terminálu:

netstat -nap

Fyzická ochrana našeho zařízení:

Svou výbavu můžete také fyzicky chránit v případě, že nedůvěřujete někomu ve svém okolí nebo ji musíte nechat někde v dosahu jiných lidí. Za tímto účelem můžete vypnout bootování z jiných prostředků, než je váš pevný disk v systému Windows BIOS / UEFI a heslem chrání BIOS / UEFI, aby jej bez něj nemohli upravovat. To zabrání tomu, aby někdo vzal bootovací USB nebo externí pevný disk s nainstalovaným operačním systémem a mohl z něj získat přístup k vašim datům, aniž by se musel přihlašovat do vaší distribuce. Chcete-li jej chránit, přejděte do systému BIOS / UEFI, v části Zabezpečení můžete přidat heslo.

Totéž můžete udělat s GRUB, ochrana heslem:

grub-mkpasswd-pbkdf2

Zadejte heslo pro GRUB chcete a bude kódován v SHA512. Poté zkopírujte zašifrované heslo (to, které se objeví v části „Váš PBKDF2 je“) a použijte jej později:

sudo nano /boot/grub/grub.cfg

Vytvořte uživatele na začátku a vložte šifrované heslo. Například pokud bylo dříve zkopírované heslo „grub.pbkdf2.sha512.10000.58AA8513IEH723“:

set superusers=”isaac”
password_pbkdf2 isaac grub.pbkdf2.sha512.10000.58AA8513IEH723

A uložte změny ...

Méně softwaru = více zabezpečení:

Minimalizujte počet nainstalovaných balíčků. Nainstalujte si pouze ty, které potřebujete, a pokud se chystáte některou z nich přestat používat, je nejlepší ji odinstalovat. Čím méně softwaru máte, tím méně chyb zabezpečení. Pamatuj si to. Totéž vám doporučuji se službami nebo démony určitých programů, které se spouštějí při spuštění systému. Pokud je nepoužíváte, přepněte je do režimu „vypnuto“.

Bezpečně smazat informace:

Když odstraníte informace disku, paměťové karty nebo oddílu nebo jen souboru či adresáře, udělejte to bezpečně. I když si myslíte, že jste jej smazali, lze jej snadno obnovit. Stejně jako fyzicky není užitečné házet dokument s osobními údaji do koše, protože by ho někdo mohl vyjmout z kontejneru a vidět ho, takže musíte papír zničit, totéž se děje i ve výpočetní technice. Například můžete vyplnit paměť náhodnými nebo nulovými daty, abyste přepsali data, která nechcete vystavit. K tomu můžete použít (aby to fungovalo, musíte to provést s oprávněními a nahradit / dev / sdax zařízením nebo oddílem, ve kterém chcete jednat ve vašem případě ...):

dd if=/dev/zeo of=/dev/sdax bs=1M
dd if=/dev/unrandom of=/dev/sdax bs=1M

Pokud chcete odstranit konkrétní soubor navždy, můžete použít „skartovat“. Představte si například, že chcete odstranit soubor s názvem passwords.txt, kde máte zapsaná systémová hesla. Můžeme použít skartování a přepsání například 26krát výše, abychom zajistili, že po odstranění nebude možné jej obnovit:

shred -u -z -n 26 contraseñas.txt

Můžete si nainstalovat nástroje jako HardWipe, Eraser nebo Secure Delete "Vymazat" (trvale smazat) paměti, Oddíly SWAP, RAM atd.

Uživatelské účty a hesla:

Vylepšete systém hesel s nástroji jako S / KEY nebo SecurID k vytvoření dynamického schématu hesla. Ujistěte se, že v adresáři / etc / passwd není žádné šifrované heslo. Musíme lépe použít / etc / shadow. K tomu můžete použít „pwconv“ a „grpconv“ k vytvoření nových uživatelů a skupin, ale se skrytým heslem. Další zajímavou věcí je upravit soubor / etc / default / passwd tak, aby platnost vašich hesel vypršela a bylo nutné je pravidelně obnovovat. Pokud tedy dostanou heslo, nebude to trvat věčně, protože je budete často měnit. Se souborem /etc/login.defs můžete také posílit systém hesel. Upravte jej a hledejte v položkách PASS_MAX_DAYS a PASS_MIN_DAYS údaje o minimálním a maximálním počtu dní, po které může heslo trvat před vypršením platnosti. PASS_WARN_AGE zobrazí zprávu s upozorněním, že platnost hesla brzy vyprší za X dní. Doporučuji vám nahlédnout do příručky k tomuto souboru, protože položek je velmi mnoho.

the účty, které se nepoužívají a jsou přítomny v / etc / passwd, musí mít proměnnou Shell / bin / false. Pokud je to jiný, změňte jej na tento. Tímto způsobem je nelze použít k získání granátu. Je také zajímavé upravit proměnnou PATH v našem terminálu tak, aby se aktuální adresář „.“ Nezobrazil. To znamená, že se musí změnit z „./user/local/sbin/:/usr/local/bin:/usr/bin:/bin“ na „/ user / local / sbin /: / usr / local / bin: / usr / bin: / bin ”.

Doporučujeme použít Kerberos jako metoda ověřování v síti.

PAM (Pluggable Authentication Module) je to něco jako Microsoft Active Directory. Poskytuje společné, flexibilní schéma ověřování s jasnými výhodami. Můžete se podívat do adresáře /etc/pam.d/ a hledat informace na webu. Vysvětlení je zde poměrně rozsáhlé ...

Dávejte pozor na privilegia různých adresářů. Například / root by měl patřit uživateli root a skupině root s oprávněními „drwx - - - - - -“. Na webu najdete informace o tom, jaká oprávnění by měl mít každý adresář ve stromu adresářů systému Linux. Jiná konfigurace může být nebezpečná.

Šifrování dat:

Šifruje obsah adresáře nebo oddílu kde máte relevantní informace. K tomu můžete použít LUKS nebo s eCryptFS. Představte si například, že chceme zašifrovat / domov uživatele s názvem isaac:

sudo apt-get install ecryptfs-utils
ecryptfs-setup-private
ecryptfs-migrate-home -u isaac

Po výše uvedeném uveďte přístupovou frázi nebo heslo, když budete dotázáni ...

Chcete-li vytvořit soukromý adresářNapříklad s názvem „soukromé“ můžeme také použít eCryptFS. Do tohoto adresáře můžeme dát věci, které chceme zašifrovat, abychom je odstranili z pohledu ostatních:

mkdir /home/isaac/privado
chmod 700 /home/isaac/privado
mount -t ecryptfs /home/isaa/privado

Zeptá se nás na otázky týkající se různých parametrů. Nejprve nám umožní vybrat si mezi hesly, OpenSSL, ... a musíme zvolit 1, tj. „Přístupovou frázi“. Poté dvakrát zadáme heslo, které chceme ověřit. Poté zvolíme požadovaný typ šifrování (AES, Blowfish, DES3, CAST, ...). Vybral bych první, AES, a poté představíme bajtový typ klíče (16, 32 nebo 64). A nakonec na poslední otázku odpovíme „ano“. Nyní můžete tento adresář připojit a odpojit, abyste jej mohli používat.

Pokud jen chcete šifrování konkrétních souborů, můžete použít scrypt nebo PGP. Například soubor s názvem passwords.txt můžete k šifrování a dešifrování použít následující příkazy (v obou případech vás požádá o heslo):

scrypt <contraseñas.txt>contraseñas.crypt
scrypt <contraseñas.crypt>contraseñas.txt

Dvoufázové ověření pomocí aplikace Google Authenticator:

Přidat dvoufázové ověření ve vašem systému. Tudíž i v případě odcizení hesla nebude mít přístup do vašeho systému. Například pro Ubuntu a jeho prostředí Unity můžeme použít LightDM, ale principy lze exportovat do jiných distribucí. Budete k tomu potřebovat tablet nebo smartphone, v něm si musíte nainstalovat Google Authenticator z Obchodu Play. Pak na PC je první věcí nainstalovat Google Authenticator PAM a spustit jej:

sudo apt-get install libpam-google-authenticator
google-authenticator

Když se nás zeptáte, zda budou ověřovací klíče založeny na čase, odpovíme kladně pomocí a a. Nyní nám ukazuje QR kód, pomocí kterého budeme rozpoznáni Google Authenticator Další možností ze smartphonu je zadat tajný klíč přímo z aplikace (je to ten, který se v počítači objevil jako „Vaše nové tajemství je:“). A dá nám řadu kódů pro případ, že smartphone nebudeme mít s sebou, a že by bylo dobré mít je na paměti pro případ much. A nadále odpovídáme yon podle našich preferencí.

Nyní otevíráme (pomocí nano, gedit nebo vašeho oblíbeného textového editoru) konfigurační soubor s:

sudo gedit /etc/pam.d/lightdm

A přidáme řádek:

auth required pam_google_authenticator.so nullok

Ukládáme a při příštím přihlášení nás požádá o ověřovací klíč které pro nás vygeneruje náš mobil.

Pokud jednoho dne chcete odebrat dvoufázové ověření, stačí smazat řádek „vyžadováno ověření pam_google_authenticator.so nullok“ ze souboru /etc/pam.d/lightdm
Pamatujte, že zdravý rozum a opatrnost jsou nejlepší spojenci. Prostředí GNU / Linux je bezpečné, ale jakýkoli počítač připojený k síti již není bezpečný, bez ohledu na to, jaký dobrý operační systém používáte. Máte-li jakékoli dotazy, problémy nebo návrhy, můžete nechat své comentario. Doufám, že to pomůže ...