Linuxi kõvenemine: näpunäited oma distro kaitsmiseks ja turvalisemaks muutmiseks

Veebis on avaldatud palju artikleid Linuxi distributsioonid turvalisemad, näiteks TAILS (mis tagab teie privaatsuse ja veebis anonüümsuse), Whonix (paranoiliseks turvalisuse tagamiseks mõeldud Linux) ja muud turvalisuse tagamiseks mõeldud distrod. Kuid loomulikult ei taha kõik kasutajad neid jaotusi kasutada. Seetõttu anname selles artiklis rea soovitusi «Linuxi karastamine«See tähendab, et muutke oma distro (mis see ka pole) turvalisemaks.

Red Hat, SUSE, CentOS, openSUSE, Ubuntu, Debian, Arch Linux, Linux Mint ... mis vahet sellel on. Igasugune levitamine võib olla ohutu kui kõige ohutum, kui teate seda põhjalikult ja teate, kuidas kaitsta ennast teid ähvardavate ohtude eest. Ja selleks saate tegutseda mitmel tasandil, mitte ainult tarkvara, vaid ka riistvara tasandil.

Üldised turvaküülikud:

Selles osas annan teile mõned väga lihtsad ja lihtsad näpunäited kes ei vaja nende mõistmiseks arvutiteadmisi, on nad ainult terve mõistus, kuid mõnikord ei tee me seda hooletuse või hooletuse tõttu:

• Ärge laadige pilve üles isiklikke ega tundlikke andmeid. Pilv, hoolimata sellest, kas see on tasuta või mitte ja kas see on enam-vähem turvaline, on hea vahend, et teie andmed oleksid kättesaadavad kõikjal. Kuid proovige mitte üles laadida andmeid, mida te ei soovi pealtvaatajatega "jagada". Seda tüüpi tundlikumaid andmeid tuleb kanda isiklikumas keskkonnas, näiteks SD-kaardil või pendrive'is.
• Kui kasutate Internetti pääsemiseks arvutit ja töötate näiteks oluliste andmetega, kujutage ette, et olete liitunud BYOD-hullusega ja viinud mõned äriandmed koju. Noh, sellistes olukordades ei tööta veebis, proovige lahti ühendada (miks soovite olla ühendatud tööga näiteks LibreOffice'i teksti redigeerimisega?). Ühenduseta arvuti on kõige turvalisem, pidage seda meeles.
• Eeltooduga seonduvalt ärge jätke veebis töötades olulisi andmeid kohalikule kõvakettale. Soovitan teil kasutada välist kõvaketast või mõnda muud tüüpi mälu (mälukaardid, pensüstelid jne), milles teil see teave on. Seega paneme tõkke meie ühendatud seadmete ja selle "ühendamata" mälu vahele, kus asuvad olulised andmed.
• Tehke varukoopiad andmetest, mida peate huvitavaks või mida te ei soovi kaotada. Kui nad kasutavad teie arvutisse sisenemiseks ja privileegide laiendamiseks haavatavusi, saab ründaja ilma takistusteta kustutada või manipuleerida mis tahes andmetega. Sellepärast on parem varukoopia.
• Ärge jätke foorumitesse andmeid oma nõrkade kohtade kohta või kommentaarid veebis. Kui teil on näiteks arvutis turvaprobleeme ja sellel on avatud pordid, mille soovite sulgeda, ärge jätke oma probleemi foorumisse, sest seda saab teie vastu kasutada. Keegi, kellel on halvad kavatsused, võib seda teavet kasutada oma ideaalse ohvri otsimiseks. Parem on leida usaldusväärne tehnik, kes aitaks teil neid lahendada. Samuti on tavaline, et ettevõtted panevad internetti kuulutusi, näiteks "Otsin IT-turvaeksperti" või "Turvaosakonda on vaja personali". See võib viidata ettevõtte võimalikule nõrkusele ja küberkurjategija võib seda tüüpi lehti kasutada kergete ohvrite otsimiseks ... Samuti ei ole hea, kui jätate teavet kasutatava süsteemi ja versioonide kohta. Keegi võiks kasutada ärakasutamist selle versiooni haavatavusi. Ühesõnaga, mida rohkem ründaja sinust ei tea, seda raskem on tal rünnata. Pidage meeles, et ründajad viivad tavaliselt enne rünnakut läbi protsessi, mida nimetatakse teabe kogumiseks ja mis koosneb ohvri kohta teabe kogumisest, mida saab nende vastu kasutada.
• Hoidke oma seadmeid ajakohasena Viimaste värskenduste ja plaastrite abil pidage meeles, et paljudel juhtudel ei paranda need mitte ainult funktsionaalsust, vaid parandavad ka vigu ja nõrkusi, nii et neid ei kasutata.
• Kasutage tugevaid paroole. Ärge kunagi pange sõnastikus olevaid nimesid ega paroole nagu 12345, kuna sõnaraamaturünnakute abil saab need kiiresti eemaldada. Samuti ärge jätke paroole vaikimisi, kuna need on hõlpsasti tuvastatavad. Ärge kasutage ka sünnikuupäevi, sugulaste, lemmikloomade nimesid ega oma maitset. Selliseid paroole saab sotsiaaltehnika abil lihtsalt ära arvata. Parim on kasutada pikka parooli koos numbrite, suurte ja väikeste tähtede ning sümbolitega. Samuti ärge kasutage põhiparoole kõige jaoks, see tähendab, et kui teil on e-posti konto ja operatsioonisüsteemi seanss, siis ärge kasutage sama mõlema jaoks. See on midagi, mida Windows 8-s on nad põhja keeranud, kuna sisselogimiseks on parool sama, mis teie Hotmaili / Outlooki kontol. Turvaline parool on tüüpi: "auite3YUQK && w-". Toore jõuga oleks see võimalik saavutada, kuid sellele pühendatud aeg muudab selle vääriliseks ...
• Ärge installige pakette tundmatutest allikatest ja kui võimalik. Kasutage installitava programmi ametliku veebisaidi lähtekoodipakette. Kui paketid on küsitavad, soovitan teil kasutada sellist liivakasti keskkonda nagu Glimpse. Saavutate selle, et kõik rakendused, mille installite rakendusse Glimpse, saavad normaalselt töötada, kuid andmete lugemisel või kirjutamisel proovib see kajastuda ainult liivakasti keskkonnas, eraldades teie süsteemi probleemidest.
• kasutamine süsteemi õigused nii vähe kui võimalik. Ja kui vajate ülesande jaoks õigusi, on soovitatav kasutada "sudo" eelistatavalt enne "su".

Muud veidi tehnilisemad näpunäited:

Lisaks eelmises jaotises toodud nõuannetele on teie distroo veelgi turvalisemaks muutmiseks soovitatav järgida järgmisi samme. Pidage meeles, et teie levitamine võib olla nii ohutu kui sooviteMa mõtlen, et mida rohkem aega kulutate seadistamisele ja turvamisele, seda parem.

Turvapaketid Linuxis ja tulemüüris / UTM:

kasutamine SELinux või AppArmor oma Linuxi kindlustamiseks. Need süsteemid on mõnevõrra keerukad, kuid näete juhendeid, mis aitavad teid palju. AppArmor võib piirata isegi rakendusi, mis on tundlikud ärakasutamise ja muude soovimatute protsessitoimingute suhtes. AppArmor on kaasatud Linuxi kernelisse alates versioonist 2.6.36. Selle konfiguratsioonifail on salvestatud kataloogi /etc/apparmor.d

Sulgege kõik pordid, mida te ei kasuta sageli. See oleks huvitav isegi siis, kui teil on füüsiline tulemüür, see on parim. Teine võimalus on pühendada vanad või kasutamata seadmed oma koduvõrgu UTM-i või tulemüüri juurutamiseks (saate kasutada selliseid jaotusi nagu IPCop, m0n0wall, ...). Samuti saate iptablesi konfigureerida, et välja filtreerida see, mida te ei soovi. Nende sulgemiseks võite kasutada "iptables / netfilter", mis integreerib Linuxi kerneli ise. Soovitan teil tutvuda netfiltrite ja iptable'i juhenditega, kuna need on üsna keerukad ja neid ei saa artiklis selgitada. Avatud porte näete, sisestades terminali:

netstat -nap

Meie seadmete füüsiline kaitse:

Samuti saate oma seadmeid füüsiliselt kaitsta, kui te ei usalda kedagi enda ümber või peate oma varustuse kuhugi teiste inimeste käeulatusse jätma. Selleks saate buutimise blokeerida muul viisil kui kõvakettal BIOS / UEFI ja parool kaitsevad BIOS-i / UEFI-d, nii et nad ei saa seda ilma selleta muuta. See takistab kedagi võtmast käivitatavat USB-d või välist kõvaketast, millele on installitud operatsioonisüsteem, ja pääsete sealt teie andmetele juurde, ilma et peaksite oma distroosse sisse logima. Selle kaitsmiseks avage BIOS / UEFI, jaotises Turvalisus saate parooli lisada.

Sama saate teha ka GRUB, kaitseb seda parooliga:

grub-mkpasswd-pbkdf2

Sisestage GRUB-i parool soovite ja see kodeeritakse SHA512-s. Seejärel kopeerige krüptitud parool (see, mis kuvatakse jaotises „Teie PBKDF2 on”), et seda hiljem kasutada:

sudo nano /boot/grub/grub.cfg

Looge alguses kasutaja ja pange krüpteeritud parool. Näiteks kui varem kopeeritud parool oli "grub.pbkdf2.sha512.10000.58AA8513IEH723":

set superusers=”isaac”
password_pbkdf2 isaac grub.pbkdf2.sha512.10000.58AA8513IEH723

Ja salvestage muudatused ...

Vähem tarkvara = rohkem turvalisust:

Minimeerige installitud pakettide arv. Installige ainult need, mida vajate ja kui lõpetate selle kasutamise, on kõige parem see desinstallida. Mida vähem tarkvara teil on, seda vähem on haavatavusi. Mäleta seda. Sama soovitan ka teatud programmide teenuste või deemonitega, mis töötavad süsteemi käivitamisel. Kui te neid ei kasuta, siis pange nad režiimi "välja".

Teabe turvaline kustutamine:

Teabe kustutamisel kettale, mälukaardile või sektsioonile või lihtsalt failile või kataloogile, tehke seda ohutult. Isegi kui arvate, et olete selle kustutanud, saab selle hõlpsasti taastada. Nii nagu füüsiliselt pole kasulik visata isikuandmetega dokument prügikasti, sest keegi võiks selle konteinerist välja võtta ja näha, tuleb ka paber hävitada, sama juhtub ka arvutamisel. Näiteks võite mälu täita juhuslike või nullandmetega, et kirjutada üle andmed, mida te ei soovi paljastada. Selleks saate seda kasutada (selle toimimiseks peate selle käivitama privileegidega ja asendama / dev / sdax seadme või sektsiooniga, mida soovite oma juhul tegutseda ...):

dd if=/dev/zeo of=/dev/sdax bs=1M
dd if=/dev/unrandom of=/dev/sdax bs=1M

Kui see, mida soovite, on konkreetse faili jäädavalt kustutada, võite kasutada "purustatud". Näiteks kujutage ette, et soovite kustutada faili nimega passwords.txt, kus olete süsteemi paroolid üles kirjutanud. Saame kasutada purustamist ja ülekirjutamist näiteks 26 korda eespool, tagamaks, et seda ei saa pärast kustutamist taastada:

shred -u -z -n 26 contraseñas.txt

On selliseid tööriistu nagu HardWipe, Eraser või Secure Delete, kuhu saate installida Mälud "pühkige" (jäädavalt kustutage), SWAP-sektsioonid, RAM jne.

Kasutajakontod ja paroolid:

Parandage paroolisüsteemi tööriistadega nagu S / KEY või SecurID dünaamilise parooliskeemi loomiseks. Veenduge, et kataloogis / etc / passwd pole krüpteeritud parooli. Peame paremini kasutama faili / etc / shadow. Selleks saate uute kasutajate ja rühmade loomiseks kasutada "pwconv" ja "grpconv", kuid varjatud parooliga. Teine huvitav asi on faili / etc / default / passwd muutmine, et teie paroolid aeguksid ja sunniks neid perioodiliselt uuendama. Nii et kui nad saavad parooli, ei kesta see igavesti, kuna muudate seda sageli. Failiga /etc/login.defs saate tugevdada ka paroolisüsteemi. Muutke seda, otsides kirjeid PASS_MAX_DAYS ja PASS_MIN_DAYS, et määrata minimaalne ja maksimaalne päev, mille parool võib enne kehtivuse lõppemist kesta. PASS_WARN_AGE kuvab teate, mis annab teile teada, et parool aegub peagi X päeva pärast. Soovitan teil vaadata selle faili käsiraamatut, kuna neid on väga palju.

The kontod, mida ei kasutata ja nad asuvad kaustas / etc / passwd, peab neil olema Shelli muutuja / bin / false. Kui see on teine, vahetage see selle vastu. Nii ei saa neid kesta saamiseks kasutada. Samuti on huvitav muuta meie terminali muutujat PATH nii, et praegust kataloogi "" ei kuvata. See tähendab, et see peab muutuma väärtusest “./user/local/sbin/:/usr/local/bin:/usr/bin:/bin” nimeks “/ user / local / sbin /: / usr / local / bin: / usr / bin: / bin ”.

Soovitatav oleks kasutada Kerberos kui võrgu autentimismeetod.

PAM (ühendatav autentimismoodul) see on midagi sellist nagu Microsoft Active Directory. See pakub ühist paindlikku autentimisskeemi, millel on selged eelised. Võite heita pilgu kataloogi /etc/pam.d/ ja otsida teavet veebist. Siin on üsna ulatuslik selgitada ...

Hoidke privileegidel silma peal erinevatest kataloogidest. Näiteks peaks / root kuuluma juurkasutajale ja juurrühmale, õigustega "drwx - - - - - -". Veebist leiate teavet selle kohta, millised õigused peaksid igal Linuxi kataloogipuu kataloogil olema. Erinev konfiguratsioon võib olla ohtlik.

Krüpteerige oma andmed:

Krüpteerib kataloogi või sektsiooni sisu kus teil on asjakohast teavet. Selleks saate kasutada LUKS-i või eCryptFS-i. Näiteks kujutage ette, et me tahame isaac nimelise kasutaja krüptida / kodu:

sudo apt-get install ecryptfs-utils
ecryptfs-setup-private
ecryptfs-migrate-home -u isaac

Pärast ülaltoodut märkige palumisel parool või parool ...

Et luua a privaatkataloogNäiteks nimega "privaatne", võime kasutada ka eCryptFS-i. Sellesse kataloogi saame paigutada asjad, mida krüptida soovime, et see teiste vaateväljast eemaldada:

mkdir /home/isaac/privado
chmod 700 /home/isaac/privado
mount -t ecryptfs /home/isaa/privado

See esitab meile küsimusi erinevate parameetrite kohta. Esiteks laseb see meil valida paroolide, OpenSSL, ... vahel ja peame valima 1, st "parooli". Seejärel sisestame parooli, mida soovime kaks korda kontrollida. Pärast seda valime soovitud krüptimise tüübi (AES, Blowfish, DES3, CAST, ...). Valiksin esimese, AES ja siis tutvustaksime võtme baiditüüpi (16, 32 või 64). Ja lõpuks vastame viimasele küsimusele "jah" -ga. Nüüd saate selle kataloogi selle kasutamiseks ühendada ja lahti ühendada.

Kui sa lihtsalt tahad krüptida konkreetseid faile, saate kasutada skripti või PGP-d. Näiteks faili nimega passwords.txt saate vastavalt krüptimiseks ja dekrüptimiseks kasutada järgmisi käske (mõlemal juhul küsib see teilt parooli):

scrypt <contraseñas.txt>contraseñas.crypt
scrypt <contraseñas.crypt>contraseñas.txt

Kaheastmeline kinnitamine Google Authenticatoriga:

Lisa kaheastmeline kinnitamine oma süsteemis. Seega, isegi kui teie parool on varastatud, pole neil juurdepääsu teie süsteemile. Näiteks Ubuntu ja selle Unity keskkonna jaoks võime kasutada LightDM-i, kuid põhimõtteid saab eksportida teistesse distrodesse. Selleks vajate tahvelarvutit või nutitelefoni, selles peate Play poest installima Google Authenticatori. Seejärel on arvutis esimene asi installida Google Authenticatori PAM ja see käivitada:

sudo apt-get install libpam-google-authenticator
google-authenticator

Kui küsite meilt, kas kinnitusvõtmed põhinevad ajal, vastame jaatavalt jaatavalt. Nüüd näitab see meile QR-koodi, mille abil meid ära tuntakse Google Authenticator Nutitelefonist on veel üks võimalus sisestada salajane võti otse rakendusest (see ilmus arvutis kui "Teie uus saladus on:"). Ja see annab meile rea koode juhuks, kui me nutitelefoni kaasas ei kanna ja oleks hea neid silmas pidada, kui kärbsed lendab. Ja jätkame yoniga vastamist vastavalt meie eelistustele.

Nüüd avame (nano, gediti või teie lemmiktekstiredaktori abil) konfiguratsioonifail koos:

sudo gedit /etc/pam.d/lightdm

Ja lisame rea:

auth required pam_google_authenticator.so nullok

Me salvestame ja järgmisel sisselogimisel küsib see meilt kinnitusvõti mida meie mobiil meie jaoks genereerib.

Kui ühel päeval kas soovite kaheastmelise kinnitamise eemaldada, peate lihtsalt failist /etc/pam.d/lightdm kustutama rea ​​"auth required pam_google_authenticator.so nullok"
Pidage meeles, et terve mõistus ja ettevaatlikkus on parim liitlane. GNU / Linuxi keskkond on turvaline, kuid ükski võrku ühendatud arvuti pole enam turvaline, hoolimata sellest, kui head opsüsteemi te kasutate. Kui teil on küsimusi, probleeme või ettepanekuid, võite oma oma jätta kommentaar. Loodan, et see aitab ...