Linukso Hardenining: konsiloj por protekti vian distribuon kaj fari ĝin pli sekura

Malmoligi Linukso du tukojn, unu sendefendan kaj unu en kiraso

Multaj artikoloj estis publikigitaj en Linukso-distribuoj pli sekuraj, kiel TAILS (kiu certigas vian privatecon kaj anonimecon en la retejo), Whonix (Linukso por sekureco paranoja) kaj aliaj distribuoj celantaj esti sekuraj. Sed kompreneble ne ĉiuj uzantoj volas uzi ĉi tiujn distribuojn. Tial en ĉi tiu artikolo ni donos serion da rekomendoj por la «Linukso-Hardado«Tio estas pli sekurigu vian distribuon (kia ajn ĝi estu).

Red Hat, SUSE, CentOS, openSUSE, Ubuntu, Debian, Arch Linukso, Linukso Mint, ... kiom ĝi diferencas. Ĉiu distribuo povas esti sekura kiel la plej sekura se vi konas ĝin profunde kaj scias kiel protekti vin kontraŭ la danĝeroj, kiuj minacas vin. Kaj por tio vi povas agi sur multaj niveloj, ne nur ĉe la programara nivelo, sed ankaŭ ĉe la aparatara nivelo.

Senmarkaj sekurecaj kunikloj:

Aparatara sekureco ŝlosita cirkvito

En ĉi tiu sekcio mi donos al vi iujn tre bazaj kaj simplaj konsiloj kiuj ne bezonas komputilajn sciojn por kompreni ilin, ili estas nur prudenta, sed ke ni kelkfoje ne plenumas pro senzorgeco aŭ senzorgeco:

  • Ne alŝutu personajn aŭ sentemajn datumojn al la nubo. La nubo, sendepende de tio, ĉu ĝi estas senpaga aŭ ne kaj ĉu ĝi estas pli-malpli sekura, estas bona ilo por disponigi viajn datumojn kien ajn vi iros. Sed provu ne alŝuti datumojn, kiujn vi ne volas "dividi" kun spektantoj. Ĉi tiu speco de pli sentemaj datumoj devas esti transportata per pli persona rimedo, kiel SD-karto aŭ pendrive.
  • Se vi uzas komputilon por aliri la interreton kaj labori kun gravaj datumoj, ekzemple, imagu, ke vi aliĝis al la BYOD-furoro kaj prenis iujn komercajn datumojn hejmen. Nu, en ĉi tiaj cirkonstancoj, ne funkciu interrete, provu esti malkonektita (kial vi volas esti konektita por labori ekzemple kun LibreOffice redaktanta tekston?). Malkonektita komputilo estas la plej sekura, memoru tion.
  • Rilate al la supre, ne lasu gravajn datumojn sur loka malmola disko dum laboro interrete. Mi rekomendas, ke vi havu eksteran durdiskon aŭ alian specon de memoro (memorkartoj, skribiloj, ktp) en kiu vi havas ĉi tiujn informojn. Tiel ni metos baron inter nia konektita ekipaĵo kaj tiu "ne konektita" memoro, kie estas la gravaj datumoj.
  • Faru rezervajn kopiojn de la datumoj, kiujn vi konsideras interesaj aŭ ne volas perdi. Kiam ili uzas vundeblecojn por eniri vian komputilon kaj pliigi privilegiojn, la atakanto povos forigi aŭ manipuli iujn datumojn sen malhelpoj. Tial estas pli bone havi sekurkopion.
  • Ne lasu datumojn pri viaj malfortaj punktoj en forumoj aŭ komentoj en la retoj. Se ekzemple vi havas sekurecajn problemojn en via komputilo kaj ĝi havas malfermitajn havenojn, kiujn vi volas fermi, ne lasu vian problemon en forumo por helpo, ĉar ĝi povas esti uzata kontraŭ vi. Iu kun malbonaj intencoj povas uzi tiujn informojn por serĉi sian perfektan viktimon. Estas pli bone, ke vi trovu fidindan teknikiston por helpi vin solvi ilin. Ankaŭ estas ofte por kompanioj meti reklamojn en interreton kiel "Mi serĉas spertulon pri informadika sekureco" aŭ "Necesas dungitaro por la sekureca sekcio." Ĉi tio povas indiki eblan malforton en koncerna kompanio kaj ciberkrimulo povas uzi ĉi tiajn paĝojn por serĉi facilajn viktimojn ... Ankaŭ ne estas bone por vi lasi informojn pri la sistemo, kiun vi uzas kaj versioj, iu povus uzi ekspluatadojn por ekspluati. vundeblecoj de tiu versio. Resume, ju pli la atakanto ne scias pri vi, des pli malfacile estos por li ataki. Memoru, ke atakantoj kutime faras procezon antaŭ la atako nomata "informkolektado" kaj ĝi konsistas el kolektado de informoj pri la viktimo uzeblaj kontraŭ ili.
  • Ĝisdatigu vian ekipaĵon Kun la plej novaj ĝisdatigoj kaj flikaĵoj, memoru, ke en multaj okazoj ĉi tiuj ne nur plibonigas funkciojn, sed ankaŭ korektas cimojn kaj vundeblecojn, por ke ili ne estu ekspluatataj.
  • Uzu fortajn pasvortojn. Neniam metu nomojn en la vortaro aŭ pasvortoj kiel 12345, ĉar per vortaraj atakoj ili povas esti forigitaj rapide. Ankaŭ ne lasu pasvortojn defaŭlte, ĉar ili facile detekteblas. Ankaŭ ne uzu datojn de naskiĝo, nomojn de parencoj, dorlotbestoj aŭ pri viaj gustoj. Tiajn pasvortojn facile divenas socia inĝenierado. Plej bone estas uzi longan pasvorton kun nombroj, majuskloj kaj minuskloj kaj simboloj. Ankaŭ ne uzu ĉefajn pasvortojn por ĉio, tio estas, se vi havas retpoŝtan konton kaj kunsidon de operaciumo, ne uzu la samon por ambaŭ. Ĉi tio estas io, kion en Vindozo 8 ili friponis ĝis la fundo, ĉar la pasvorto por ensaluti estas la sama kiel via Hotmail / Outlook-konto. Sekura pasvorto estas de la tipo: "auite3YUQK && w-". Per kruda forto ĝi povus esti atingita, sed la tempo dediĉita al ĝi ne indas ĝin ...
  • Ne instalu pakaĵojn de nekonataj fontoj kaj se eble. Uzu la fontkodajn pakaĵojn de la oficiala retejo de la programo, kiun vi volas instali. Se la pakaĵoj estas dubindaj, mi rekomendas al vi uzi sablokeston kiel Glimpse. Kion vi atingos, tio estas, ke ĉiuj programoj, kiujn vi instalas en Glimpse, povas funkcii normale, sed kiam vi provas legi aŭ skribi datumojn, ili nur reflektas en la sabla medio, izolante vian sistemon de problemoj.
  • Uzu sistemaj privilegioj kiel eble plej malmulte. Kaj kiam vi bezonas privilegiojn por tasko, estas rekomendinde uzi "sudo" prefere antaŭ "su".

Aliaj iomete pli teknikaj konsiloj:

Komputila Sekureco, pendseruro sur klavaro

Krom la konsiloj viditaj en la antaŭa sekcio, estas ankaŭ tre rekomendinde, ke vi sekvu la jenajn paŝojn por fari vian distribuadon eĉ pli sekura. Memoru, ke via distribuo povas esti kiel sekure kiel vi volasMi volas diri, kiom pli da tempo vi pasigas agordi kaj sekurigi, des pli bone.

Sekurecaj serioj en Linukso kaj Firewall / UTM:

Uzu SELinux aŭ AppArmor fortikigi vian Linukson. Ĉi tiuj sistemoj estas iom kompleksaj, sed vi povas vidi manlibrojn, kiuj multe helpos vin. AppArmor povas limigi eĉ aplikojn sentemajn al ekspluatadoj kaj aliaj nedezirataj procezaj agoj. AppArmor estis inkluzivita en la Linukso-kerno ekde versio 2.6.36. Ĝia agorda dosiero estas konservita en /etc/apparmor.d

Fermu ĉiujn havenojn, kiujn vi ne uzas ofte. Estus interese eĉ se vi havas fizikan Fajromuron, tio estas la plej bona. Alia eblo estas dediĉi malnovan aŭ neuzatan ekipaĵon por efektivigi UTM aŭ Firewall por via hejma reto (vi povas uzi distribuojn kiel IPCop, m0n0wall, ...). Vi ankaŭ povas agordi iptables por filtri tion, kion vi ne volas. Por fermi ilin vi povas uzi "iptables / netfilter", kiu integras la Linuksan kernon mem. Mi rekomendas vin konsulti manlibrojn pri netfilter kaj iptables, ĉar ili estas sufiĉe kompleksaj kaj ne povus esti klarigitaj en artikolo. Vi povas vidi la malfermitajn havenojn tajpante en la fina stacio:

netstat -nap

Fizika protekto de niaj ekipaĵoj:

Vi ankaŭ povas fizike protekti vian ekipaĵon, se vi ne fidas iun ĉirkaŭ vi aŭ vi devas lasi vian ekipaĵon ie al la atingo de aliaj homoj. Por tio vi povas malŝalti la ekkuron de aliaj rimedoj krom via fiksita disko en la BIOS / UEFI kaj pasvorto protektas la BIOS / UEFI do ili ne povas modifi ĝin sen ĝi. Ĉi tio malebligos, ke iu prenu startigeblan USB aŭ eksteran durdiskon kun operaciumo instalita kaj povu aliri viajn datumojn de ĝi, eĉ sen devi ensaluti en via distro. Por protekti ĝin, aliru la BIOS / UEFI, en la sekureca sekcio vi povas aldoni la pasvorton.

Vi povas fari la samon kun GRUB, protektante ĝin per pasvorto:

grub-mkpasswd-pbkdf2

Enigu la pasvorto por GRUB vi volas kaj ĝi estos kodita en SHA512. Poste kopiu la ĉifritan pasvorton (tiu, kiu aperas en "Via PBKDF2 estas") por uzi poste:

sudo nano /boot/grub/grub.cfg

Kreu uzanton komence kaj metu la ĉifrita pasvorto. Ekzemple, se la antaŭe kopiita pasvorto estis "grub.pbkdf2.sha512.10000.58AA8513IEH723":

set superusers=”isaac”
password_pbkdf2 isaac grub.pbkdf2.sha512.10000.58AA8513IEH723

Kaj konservu la ŝanĝojn ...

Malpli programaro = pli da sekureco:

Minimumigu la nombron de instalitaj pakaĵoj. Instalu nur tiujn, kiujn vi bezonas, kaj se vi ĉesos uzi unu, plej bone estas malinstali ĝin. Ju malpli da programoj vi havas, des malpli da vundeblecoj. Memoru ĝin. La samon mi konsilas al vi pri la servoj aŭ demonoj de iuj programoj, kiuj funkcias kiam la sistemo startas. Se vi ne uzas ilin, metu ilin en "malŝaltita" reĝimo.

Sekure forigi informojn:

Kiam vi forigas informojn de disko, memorkarto aŭ subdisko, aŭ nur dosiero aŭ dosierujo, faru ĝin sekure. Eĉ se vi pensas, ke vi forigis ĝin, ĝi povas esti facile retrovita. Same kiel fizike ne utilas ĵeti dokumenton kun personaj datumoj en la rubujon, ĉar iu povus eltiri ĝin el la ujo kaj vidi ĝin, do vi devas detrui la paperon, same okazas en komputado. Ekzemple, vi povas plenigi memoron per hazardaj aŭ nulaj datumoj por anstataŭigi datumojn, kiujn vi ne volas elmontri. Por tio vi povas uzi (por ke ĝi funkciu, vi devas ekzekuti ĝin kun privilegioj kaj anstataŭigi / dev / sdax per la aparato aŭ subdisko, pri kiu vi volas agi en via kazo ...):

dd if=/dev/zeo of=/dev/sdax bs=1M
dd if=/dev/unrandom of=/dev/sdax bs=1M

Se tio, kion vi volas, estas forigi specifan dosieron por ĉiam, vi povas uzi "peceto". Ekzemple, imagu, ke vi volas forigi dosieron nomatan passwords.txt, kie vi havas sistemajn pasvortojn notitajn. Ni povas uzi pecetigi kaj anstataŭigi ekzemple 26 fojojn supre por garantii, ke ĝi ne povas esti reakirita post forigo:

shred -u -z -n 26 contraseñas.txt

Estas iloj kiel HardWipe, Eraser aŭ Secure Delete, al kiuj vi povas instali "Forviŝi" (konstante forigi) memorojn, SWAP-dispartigoj, RAM, ktp.

Uzantaj kontoj kaj pasvortoj:

Plibonigu la pasvortan sistemon kun iloj kiel S / KEY aŭ SecurID por krei dinamikan pasvortan skemon. Certigu, ke ne estas ĉifrita pasvorto en la dosierujo / etc / passwd. Ni devas pli bone uzi / etc / shadow. Por tio vi povas uzi "pwconv" kaj "grpconv" por krei novajn uzantojn kaj grupojn, sed kun kaŝita pasvorto. Alia interesa afero estas redakti la dosieron / etc / default / passwd por eksvalidigi viajn pasvortojn kaj devigi vin renovigi ilin periode. Do se ili ricevos pasvorton, ĝi ne daŭros eterne, ĉar vi ŝanĝos ĝin ofte. Per la dosiero /etc/login.defs vi ankaŭ povas fortikigi la pasvortan sistemon. Redaktu ĝin, serĉante la enirojn PASS_MAX_DAYS kaj PASS_MIN_DAYS por specifi la minimumajn kaj maksimumajn tagojn, kiujn pasvorto povas daŭri antaŭ eksvalidiĝo. PASS_WARN_AGE montras mesaĝon por informi vin, ke la pasvorto eksvalidiĝos post X tagoj. Mi konsilas al vi vidi manlibron pri ĉi tiu dosiero, ĉar la eniroj estas tre multaj.

la kontoj ne uzataj kaj ili ĉeestas en / etc / passwd, ili devas havi la ŝelan variablon / bin / false. Se ĝi estas alia, ŝanĝu ĝin al ĉi tiu. Tiel ili ne povas esti uzataj por akiri ŝelon. Ankaŭ estas interese modifi la PATH-variablon en nia terminalo tiel ke la aktuala dosierujo "." Ne aperas. Tio estas, ĝi devas ŝanĝiĝi de "./user/local/sbin/:/usr/local/bin:/usr/bin:/bin" al "/ user / local / sbin /: / usr / local / bin: / usr / bin: / bin ”.

Oni rekomendus, ke vi uzu Kerberos kiel reta aŭtentiga metodo.

PAM (Konektebla Aŭtentiga Modulo) ĝi estas io kiel Microsoft Active Directory. Ĝi provizas komunan, flekseblan aŭtentikan skemon kun klaraj avantaĝoj. Vi povas rigardi la dosierujon /etc/pam.d/ kaj serĉi informojn en la retejo. Estas sufiĉe vaste klarigi ĉi tie ...

Rigardu la privilegiojn de la diversaj adresaroj. Ekzemple, / root devas aparteni al la root-uzanto kaj al la root-grupo, kun permesoj "drwx - - - - - -". Vi povas trovi informojn en la retejo pri kiaj permesoj devas havi ĉiu dosierujo en la Linuksa dosierujo. Malsama agordo povus esti danĝera.

Ĉifri viajn datumojn:

Ĉifras la enhavon de dosierujo aŭ subdisko kie vi havas koncernajn informojn. Por tio vi povas uzi LUKS aŭ kun eCryptFS. Ekzemple, imagu, ke ni volas ĉifri / hejmi uzanton nomatan isaac:

sudo apt-get install ecryptfs-utils
ecryptfs-setup-private
ecryptfs-migrate-home -u isaac

Post la supre, indiku la pasvorton aŭ pasvorton kiam vi petas ...

Por krei a privata adresaroEkzemple nomata "privata" ni ankaŭ povas uzi eCryptFS. En tiu dosierujo ni povas meti la aĵojn, kiujn ni volas ĉifri, por forigi ĝin de la vido de aliaj:

mkdir /home/isaac/privado
chmod 700 /home/isaac/privado
mount -t ecryptfs /home/isaa/privado

Ĝi demandos nin pri malsamaj parametroj. Unue, ĝi lasos nin elekti inter pasvortoj, OpenSSL, ... kaj ni devas elekti 1, tio estas "pasvorto". Poste ni enigas la pasvorton, kiun ni volas dufoje kontroli. Post tio, ni elektas la tipon de ĉifrado, kiun ni volas (AES, Blowfish, DES3, CAST, ...). Mi elektus la unuan, AES kaj tiam ni enkondukos la bajtan tipon de la ŝlosilo (16, 32 aŭ 64). Kaj fine ni respondas la lastan demandon per "jes". Nun vi povas munti kaj malmunti ĉi tiun dosierujon por uzi ĝin.

Se vi nur volas ĉifri specifajn dosierojn, vi povas uzi skripton aŭ PGP. Ekzemple, dosiero nomata passwords.txt, vi povas uzi la jenajn komandojn respektive ĉifri kaj deĉifri (ambaŭkaze ĝi petos pasvorton):

scrypt <contraseñas.txt>contraseñas.crypt
scrypt <contraseñas.crypt>contraseñas.txt

Du-ŝtupa konfirmo kun Google Authenticator:

Google AUthenticator en Ubutnu-terminalo

Aldoni dupaŝa konfirmo en via sistemo. Tiel, eĉ se via pasvorto estas ŝtelita, ili ne havos aliron al via sistemo. Ekzemple, por Ubuntu kaj ĝia Unity-medio ni povas uzi LightDM, sed la principoj povas esti eksportitaj al aliaj distribuoj. Vi bezonos tableton aŭ inteligentan telefonon por tio, en ĝi vi devas instali Google Authenticator de la Play Store. Tiam sur la komputilo, la unua afero farota estas instali Google Authenticator PAM kaj lanĉi ĝin:

sudo apt-get install libpam-google-authenticator
google-authenticator

Kiam vi demandas nin, ĉu la kontrolaj ŝlosiloj baziĝos ĝustatempe, ni respondas jese per y. Nun ĝi montras al ni QR-kodon por esti rekonata google Authenticator De via inteligenta telefono, alia eblo estas enigi la sekretan ŝlosilon rekte de la programo (ĝi estas tiu, kiu aperis en la komputilo kiel "Via nova sekreto estas:"). Kaj ĝi donos al ni serion de kodoj, se ni ne kunportos la inteligentan telefonon kaj estus bone havi ilin en la menso, se la muŝoj estus. Kaj ni daŭre respondas kun iu laŭ niaj preferoj.

Nun ni malfermas (kun nano, gedit aŭ via plej ŝatata tekstredaktilo) la agorda dosiero kun:

sudo gedit /etc/pam.d/lightdm

Kaj ni aldonas la linion:

auth required pam_google_authenticator.so nullok

Ni ŝparas kaj la sekvan fojon kiam vi ensalutos, ĝi petos nin pri la konfirmŝlosilo ke nia poŝtelefono generos por ni.

Se unu tagon ĉu vi volas forigi XNUMX-paŝan konfirmon, vi nur devas forigi la linion "auth required pam_google_authenticator.so nullok" el la dosiero /etc/pam.d/lightdm
Memoru, komuna prudento kaj singardo estas la plej bona aliancano. GNU / Linukso-medio estas sekura, sed ĉiu komputilo konektita al reto ne plu estas sekura, kiom ajn bona estas la operaciumo, kiun vi uzas. Se vi havas demandojn, problemojn aŭ sugestojn, vi povas forlasi vian komento. Mi esperas, ke ĝi helpos ...


Komento, lasu la vian

Lasu vian komenton

Via retpoŝta adreso ne estos eldonita. Postulita kampojn estas markita per *

*

*

  1. Respondeca pri la datumoj: AB Internet Networks 2008 SL
  2. Celo de la datumoj: Kontrola SPAM, administrado de komentoj.
  3. Legitimado: Via konsento
  4. Komunikado de la datumoj: La datumoj ne estos komunikitaj al triaj krom per laŭleĝa devo.
  5. Stokado de datumoj: Datumbazo gastigita de Occentus Networks (EU)
  6. Rajtoj: Iam ajn vi povas limigi, retrovi kaj forigi viajn informojn.

  1.   nuria diris

    Saluton bone, rigardu mi komentas; Mi instalis google-aŭtentikilon sur Raspbian senprobleme kaj la poŝtelefona programo bone registras kaj donas al mi la kodon, sed kiam mi rekomencas la frambon kaj rekomencas la sistemon, ĝi ne petas min enigi la duoblan aŭtentikan kodon. Ĝi aperas nur al mi por enigi uzantnomon kaj pasvorton.

    Multaj dankoj. Ĉion bonan.