Linux Hardenining: tip til at beskytte din distro og gøre den mere sikker

Mange artikler er blevet offentliggjort den Linux-distributioner mere sikker, såsom TAILS (som sikrer dit privatliv og anonymitet på nettet), Whonix (en Linux til sikkerhedsparanoide) og andre distroer, der sigter mod at være sikre. Men selvfølgelig ønsker ikke alle brugere at bruge disse distributioner. Derfor vil vi i denne artikel give en række anbefalinger til «Linux hærdning«Det vil sige gøre din distro (uanset hvad det er) mere sikker.

Red Hat, SUSE, CentOS, openSUSE, Ubuntu, Debian, Arch Linux, Linux Mint, ... hvilken forskel betyder det? Enhver distribution kan være sikker som den sikreste, hvis du kender det i dybden og ved, hvordan du beskytter dig mod de farer, der truer dig. Og til dette kan du handle på mange niveauer, ikke kun på softwareniveau, men også på hardwareniveau.

Generiske sikkerhedskaniner:

I dette afsnit vil jeg give dig nogle meget grundlæggende og enkle tip der ikke har brug for computerkendskab for at forstå dem, de er kun sund fornuft, men som vi undertiden ikke udfører på grund af skødesløshed eller skødesløshed:

• Upload ikke personlige eller følsomme data til skyen. Skyen, uanset om den er gratis eller ej, og om den er mere eller mindre sikker, er et godt værktøj til at bortskaffe dine data, uanset hvor du går. Men prøv ikke at uploade data, som du ikke vil "dele" med tilskuere. Denne type mere følsomme data skal bæres i et mere personligt medium, f.eks. Et SD-kort eller pendrive.
• Hvis du f.eks. Bruger en computer til at få adgang til internettet og arbejder med vigtige data, kan du forestille dig, at du er blevet medlem af BYOD-dille og har taget nogle forretningsdata hjem. Under disse omstændigheder, fungerer ikke online, prøv at blive afbrudt (hvorfor vil du være forbundet til at arbejde for eksempel med LibreOffice redigering af en tekst?). En frakoblet computer er den sikreste, husk det.
• Relateret til ovenstående, Efterlad ikke vigtige data på den lokale harddisk, når du arbejder online. Jeg anbefaler, at du har en ekstern harddisk eller en anden type hukommelse (hukommelseskort, pen-drev osv.), Hvor du har disse oplysninger. Således vil vi lægge en barriere mellem vores tilsluttede udstyr og den "ikke tilsluttede" hukommelse, hvor de vigtige data er.
• Lav sikkerhedskopier af de data, som du finder interessante eller ikke vil miste. Når de bruger sårbarheder til at indtaste din computer og eskalere privilegier, vil angriberen være i stand til at slette eller manipulere alle data uden hindringer. Derfor er det bedre at have en sikkerhedskopi.
• Efterlad ikke data om dine svage punkter i fora eller kommentarer til websiderne. Hvis du for eksempel har sikkerhedsproblemer på din computer, og den har åbne porte, som du vil lukke, skal du ikke lade dit problem være i et forum for hjælp, da det kan bruges mod dig. Nogen med dårlige intentioner kan bruge disse oplysninger til at søge efter deres perfekte offer. Det er bedre, at du finder en betroet tekniker, der hjælper dig med at løse dem. Det er også almindeligt, at virksomheder lægger annoncer på Internettet, f.eks. "Jeg leder efter en IT-sikkerhedsekspert" eller "Personalet er nødvendigt for sikkerhedsafdelingen. Dette kan indikere en mulig svaghed i firmaet, og en cyberkriminel kan bruge disse typer sider til at lede efter lette ofre ... Det er heller ikke godt for dig at efterlade oplysninger om det system, du bruger og versioner, nogen kan bruge exploits til at udnytte sårbarheder i denne version. Kort sagt, jo mere angriberen ikke er opmærksom på dig, jo sværere bliver det for ham at angribe. Husk, at angribere normalt udfører en proces forud for angrebet kaldet ”informationsindsamling”, og den består i at indsamle oplysninger om offeret, der kan bruges mod dem.
• Hold dit udstyr opdateret Med de nyeste opdateringer og programrettelser skal du huske, at disse ikke kun forbedrer funktionaliteten ved mange lejligheder, de retter også fejl og sårbarheder, så de ikke udnyttes.
• Brug stærke adgangskoder. Anbring aldrig navne, der er i ordbogen eller adgangskoder som 12345, da de ved ordbogangreb kan fjernes hurtigt. Efterlad heller ikke adgangskoder som standard, da de let kan registreres. Brug heller ikke fødselsdatoer, navne på slægtninge, kæledyr eller om din smag. Sådanne adgangskoder kan let gættes af social engineering. Det er bedst at bruge en lang adgangskode med tal, store og små bogstaver og symboler. Brug heller ikke hovedadgangskoder til alt, det vil sige, hvis du har en e-mail-konto og en operativsystemsession, skal du ikke bruge det samme til begge. Dette er noget, de i Windows 8 har skruet op til bunden, da adgangskoden til at logge ind er den samme som din Hotmail / Outlook-konto. En sikker adgangskode er af typen: "auite3YUQK && w-". Med brutal kraft kunne det opnås, men den tid der er afsat til det gør det ikke det værd ...
• Installer ikke pakker fra ukendte kilder og hvis det er muligt. Brug kildekodepakkerne fra det officielle websted for det program, du vil installere. Hvis pakkerne er tvivlsomme, anbefaler jeg, at du bruger et sandkassemiljø som Glimpse. Hvad du opnår er, at alle de applikationer, du installerer i Glimpse, kan køre normalt, men når du prøver at læse eller skrive data, afspejles det kun i sandkassemiljøet og isolerer dit system fra problemer.
• brug systemrettigheder så lidt som muligt. Og når du har brug for privilegier til en opgave, anbefales det, at du bruger "sudo" helst før "su".

Andre lidt mere tekniske tip:

Ud over de råd, der er set i det forrige afsnit, anbefales det også, at du følger følgende trin for at gøre din distro endnu mere sikker. Husk, at din distribution kan være så sikkert som du vilJeg mener, jo mere tid du bruger på at konfigurere og sikre, jo bedre.

Sikkerhedspakker i Linux og Firewall / UTM:

brug SELinux eller AppArmor for at styrke din Linux. Disse systemer er noget komplekse, men du kan se manualer, der hjælper dig meget. AppArmor kan begrænse selv applikationer, der er følsomme over for udnyttelser og andre uønskede proceshandlinger. AppArmor er inkluderet i Linux-kernen fra version 2.6.36. Dens konfigurationsfil er gemt i /etc/apparmor.d

Luk alle porte, som du ikke bruger ofte. Det ville være interessant, selvom du har en fysisk firewall, det er det bedste. En anden mulighed er at dedikere et gammelt eller ubrugt udstyr til at implementere en UTM eller Firewall til dit hjemmenetværk (du kan bruge distributioner som IPCop, m0n0wall, ...). Du kan også konfigurere iptables til at filtrere det, du ikke ønsker. For at lukke dem kan du bruge "iptables / netfilter", der integrerer selve Linux-kernen. Jeg anbefaler, at du konsulterer manualer om netfilter og iptables, da de er ret komplekse og ikke kunne forklares i en artikel. Du kan se de porte, du har åbnet, ved at skrive terminalen:

netstat -nap

Fysisk beskyttelse af vores udstyr:

Du kan også fysisk beskytte din computer, hvis du ikke stoler på nogen omkring dig, eller hvis du er nødt til at efterlade din computer et eller andet sted inden for rækkevidde af andre mennesker. Til dette kan du deaktivere boot fra andre måder end din harddisk i BIOS / UEFI og adgangskodebeskyttet BIOS / UEFI, så de ikke kan ændre det uden det. Dette forhindrer nogen i at tage en bootbar USB eller ekstern harddisk med et operativsystem installeret og være i stand til at få adgang til dine data fra det uden engang at skulle logge ind på din distro. For at beskytte det skal du få adgang til BIOS / UEFI. I sikkerhedssektionen kan du tilføje adgangskoden.

Du kan gøre det samme med GRUB, beskytter den med adgangskode:

grub-mkpasswd-pbkdf2

Gå ind i adgangskode til GRUB du ønsker, og det vil blive kodet i SHA512. Kopier derefter den krypterede adgangskode (den, der vises i “Din PBKDF2 er”) til senere brug:

sudo nano /boot/grub/grub.cfg

Opret en bruger i starten, og læg krypteret adgangskode. For eksempel, hvis den tidligere kopierede adgangskode var "grub.pbkdf2.sha512.10000.58AA8513IEH723":

set superusers=”isaac”
password_pbkdf2 isaac grub.pbkdf2.sha512.10000.58AA8513IEH723

Og gem ændringerne ...

Mindre software = mere sikkerhed:

Minimer antallet af installerede pakker. Installer kun dem, du har brug for, og hvis du holder op med at bruge en, er det bedst at afinstallere den. Jo mindre software du har, jo færre sårbarheder. Husk det. Det samme rådgiver jeg dig med tjenester eller dæmoner for visse programmer, der kører, når systemet starter. Hvis du ikke bruger dem, skal du sætte dem i "slukket" -tilstand.

Slet sikkert information:

Når du sletter oplysninger på en disk, et hukommelseskort eller en partition eller blot en fil eller et bibliotek, skal du gøre det sikkert. Selvom du tror, ​​du har slettet det, kan det nemt gendannes. Ligesom fysisk er det ikke nyttigt at smide et dokument med personlige data i papirkurven, fordi nogen kunne tage det ud af containeren og se det, så du er nødt til at ødelægge papiret, det samme sker i computing. For eksempel kan du fylde hukommelsen med tilfældige eller nul-data for at overskrive data, som du ikke vil eksponere. Til dette kan du bruge (for at det skal fungere, skal du køre det med privilegier og erstatte / dev / sdax med den enhed eller partition, du vil handle på i dit tilfælde ...):

dd if=/dev/zeo of=/dev/sdax bs=1M
dd if=/dev/unrandom of=/dev/sdax bs=1M

Hvis det, du vil, er slet en bestemt fil for evigt, kan du bruge "makulering". Forestil dig f.eks., At du vil slette en fil, der hedder passwords.txt, hvor du har nedskrevet systemadgangskoder. Vi kan bruge makulering og overskrivning for eksempel 26 gange ovenfor for at garantere, at det ikke kan gendannes efter sletning:

shred -u -z -n 26 contraseñas.txt

Der er værktøjer som HardWipe, Eraser eller Secure Delete, som du kan installere på "Tør" (slet permanent) minder, SWAP-partitioner, RAM osv.

Brugerkonti og adgangskoder:

Forbedre adgangskodesystemet med værktøjer som S / KEY eller SecurID for at oprette et dynamisk kodeord. Sørg for, at der ikke er nogen krypteret adgangskode i / etc / passwd-biblioteket. Vi er nødt til bedre at bruge / etc / shadow. Til dette kan du bruge "pwconv" og "grpconv" til at oprette nye brugere og grupper, men med en skjult adgangskode. En anden interessant ting er at redigere filen / etc / default / passwd for at udløbe dine adgangskoder og tvinge dig til at forny dem med jævne mellemrum. Så hvis de får en adgangskode, varer den ikke for evigt, da du ændrer den ofte. Med /etc/login.defs-filen kan du også befæste adgangskodesystemet. Rediger det, på udkig efter posten PASS_MAX_DAYS og PASS_MIN_DAYS for at angive de minimums- og maksimumdage, som en adgangskode kan vare før udløbet. PASS_WARN_AGE viser en besked, der fortæller dig, at adgangskoden snart udløber om X dage. Jeg råder dig til at se en manual om denne fil, da posterne er meget mange.

den konti, der ikke bruges og de er til stede i / etc / passwd, de skal have shellvariablen / bin / false. Hvis det er en anden, skal du ændre den til denne. På den måde kan de ikke bruges til at få en skal. Det er også interessant at ændre PATH-variablen i vores terminal, så den aktuelle mappe "." Ikke vises. Det vil sige, at det skal skifte fra “./bruger/lokal/sbin/:/usr/local/bin:/usr/bin:/bin” til “/ user / local / sbin /: / usr / local / bin: / usr / bin: / bin ”.

Det anbefales, at du bruger Kerberos som en netværksgodkendelsesmetode.

PAM (Pluggable Authentication Module) det er noget som Microsoft Active Directory. Det giver en fælles, fleksibel godkendelsesplan med klare fordele. Du kan kigge på /etc/pam.d/ biblioteket og søge efter oplysninger på nettet. Det er ret omfattende at forklare her ...

Hold øje med privilegierne af de forskellige mapper. For eksempel skal / root tilhøre rodbrugeren og rodgruppen med "drwx - - - - - - -" tilladelser. Du kan finde oplysninger på internettet om, hvilke tilladelser hver mappe i Linux-katalogtræet skal have. En anden konfiguration kan være farlig.

Krypter dine data:

Krypterer indholdet af et bibliotek eller en partition hvor du har relevante oplysninger. Til dette kan du bruge LUKS eller med eCryptFS. Forestil dig f.eks., At vi vil kryptere / hjem til en bruger ved navn isaac:

sudo apt-get install ecryptfs-utils
ecryptfs-setup-private
ecryptfs-migrate-home -u isaac

Efter ovenstående skal du angive adgangssætningen eller adgangskoden, når du bliver spurgt ...

Sådan opretter du en privat bibliotekFor eksempel kaldet "privat" kan vi også bruge eCryptFS. I den mappe kan vi placere de ting, vi vil kryptere for at fjerne det fra andres synspunkter:

mkdir /home/isaac/privado
chmod 700 /home/isaac/privado
mount -t ecryptfs /home/isaa/privado

Det vil stille os spørgsmål om forskellige parametre. For det første lader det os vælge mellem adgangskoder, OpenSSL, ... og vi skal vælge 1, det vil sige "adgangssætning". Derefter indtaster vi den adgangskode, vi vil bekræfte to gange. Derefter vælger vi den type kryptering, vi ønsker (AES, Blowfish, DES3, CAST, ...). Jeg ville vælge den første, AES, og derefter introducerer vi byte-typen på nøglen (16, 32 eller 64). Og til sidst besvarer vi det sidste spørgsmål med et "ja". Nu kan du montere og afmontere denne mappe for at bruge den.

Hvis du bare vil kryptere specifikke filer, kan du bruge scrypt eller PGP. For eksempel kan en fil kaldet passwords.txt bruge følgende kommandoer til at kryptere og dekryptere henholdsvis (i begge tilfælde vil den bede dig om en adgangskode):

scrypt <contraseñas.txt>contraseñas.crypt
scrypt <contraseñas.crypt>contraseñas.txt

Totrinsbekræftelse med Google Authenticator:

tilføjer totrins verifikation i dit system. Således, selvom din adgangskode er stjålet, har de ikke adgang til dit system. For eksempel til Ubuntu og dets Unity-miljø kan vi bruge LightDM, men principperne kan eksporteres til andre distroer. Du skal bruge en tablet eller smartphone til dette, i det skal du installere Google Authenticator fra Play Butik. Så på pc'en er den første ting at installere Google Authenticator PAM og starte den op:

sudo apt-get install libpam-google-authenticator
google-authenticator

Når du spørger os, om bekræftelsesnøglerne vil være baseret på tid, svarer vi bekræftende med et y. Nu viser det os en QR-kode, der skal genkendes med Google Autentificering Fra din smartphone er en anden mulighed at indtaste den hemmelige nøgle direkte fra appen (det er den, der blev vist på pc'en som "Din nye hemmelighed er:"). Og det vil give os en række koder, hvis vi ikke bærer smartphonen med os, og at det ville være godt at have dem i tankerne i tilfælde af fluerne. Og vi fortsætter med at svare med yon i henhold til vores præferencer.

Nu åbner vi (med nano, gedit eller din yndlings teksteditor) konfigurationsfil med:

sudo gedit /etc/pam.d/lightdm

Og vi tilføjer linjen:

auth required pam_google_authenticator.so nullok

Vi gemmer, og næste gang du logger ind, beder den os om verifikationsnøgle som vores mobil vil generere for os.

Hvis en dag vil du fjerne totrinsbekræftelse, skal du bare slette linjen "auth required pam_google_authenticator.so nullok" fra filen /etc/pam.d/lightdm
Husk, sund fornuft og forsigtighed er den bedste allierede. Et GNU / Linux-miljø er sikkert, men enhver computer, der er tilsluttet et netværk, er ikke længere sikker, uanset hvor godt operativsystemet du bruger. Hvis du har spørgsmål, problemer eller forslag, kan du forlade din kommentar. Jeg håber det hjælper ...