Linux Hardenining: vinkkejä distron suojaamiseen ja sen turvallisuuden parantamiseen

Kovettamalla Linux kaksi tuxia, yksi puolustamaton ja toinen haarniska

Monet artikkelit on julkaistu Linux-jakelut turvallisemmat, kuten TAILS (joka takaa yksityisyytesi ja nimettömyytesi verkossa), Whonix (Linux paranoidi turvallisuuden vuoksi) ja muut turvallisuuteen tähtäävät distrot. Mutta tietysti kaikki käyttäjät eivät halua käyttää näitä jakeluja. Siksi annamme tässä artikkelissa sarjan suosituksia «Linuxin kovettuminen«, Toisin sanoen, tee distroosi (mitä se onkin) turvallisempi.

Red Hat, SUSE, CentOS, openSUSE, Ubuntu, Debian, Arch Linux, Linux Mint,… mitä eroa sillä on. Mikä tahansa jakelu voi olla turvallista turvallisimpana, jos tiedät sen perusteellisesti ja osaat suojautua sinua uhkaavilta vaaroilta. Ja tätä varten voit toimia monilla tasoilla, ei vain ohjelmistotasolla, vaan myös laitteistotasolla.

Yleiset turvakanit:

Laitteiston turvallisuus lukittu piiri

Tässä osassa annan sinulle joitain hyvin yksinkertaisia ​​ja yksinkertaisia ​​vinkkejä jotka eivät tarvitse tietotekniikkaa ymmärtääkseen heitä, ne ovat vain järkeä, mutta toisinaan emme tee niitä huolimattomuuden tai huolimattomuuden takia:

  • Älä lataa henkilökohtaisia ​​tai arkaluontoisia tietoja pilveen. Pilvestä riippumatta onko se ilmainen vai ei ja onko se enemmän tai vähemmän turvallinen, on hyvä työkalu saada tietosi saataville minne tahansa. Mutta yritä olla lähettämättä tietoja, joita et halua "jakaa" katsojille. Tämän tyyppinen arkaluontoisempi tieto on siirrettävä henkilökohtaisemmalla välineellä, kuten SD-kortilla tai pendrivellä.
  • Jos esimerkiksi käytät tietokonetta Internet-yhteyden muodostamiseen ja työskentelet esimerkiksi tärkeiden tietojen kanssa, kuvittele, että olet liittynyt BYOD-trendiin ja vienyt joitain yritystietoja kotiin. No, tällaisissa olosuhteissa, eivät toimi verkossa, yritä katkaista yhteys (miksi haluat olla yhteydessä työhön esimerkiksi tekstin muokkaamisen kanssa LibreOffice?). Irrotettu tietokone on turvallisin, muista.
  • Edellä mainittuun liittyen älä jätä tärkeitä tietoja paikalliselle kiintolevylle työskennellessäsi verkossa. Suosittelen, että sinulla on ulkoinen kiintolevy tai muun tyyppinen muisti (muistikortit, kynäasemat jne.), Jossa sinulla on nämä tiedot. Siten asetamme esteen yhdistettyjen laitteiden ja "ei yhdistetyn" muistin välille, missä tärkeät tiedot ovat.
  • Tee varmuuskopiot tiedoista, joita pidät mielenkiintoisina tai joita et halua menettää. Kun hyökkääjä käyttää haavoittuvuuksia päästäksesi tietokoneellesi ja laajentaakseen käyttöoikeuksia, hyökkääjä pystyy poistamaan tai käsittelemään tietoja ilman esteitä. Siksi on parempi saada varmuuskopio.
  • Älä jätä tietoja heikkouksistasi foorumeille tai kommentteja verkossa. Jos sinulla on esimerkiksi tietoturvaongelmia tietokoneellasi ja sillä on avoimia portteja, jotka haluat sulkea, älä jätä ongelmaa foorumiin saadaksesi apua, koska sitä voidaan käyttää sinua vastaan. Joku, jolla on huonoja aikomuksia, voi käyttää näitä tietoja etsimään täydellistä uhriaan. On parempi, että löydät luotettavan teknikon, joka auttaa sinua ratkaisemaan ne. Yritysten on myös yleistä sijoittaa mainoksia Internetiin, kuten "Etsin tietoturva-asiantuntijaa" tai "Henkilöstöä tarvitaan turvallisuusosastolle". Tämä voi viitata mahdolliseen heikkouteen mainitussa yrityksessä, ja verkkorikollinen voi käyttää tämän tyyppisiä sivuja etsimään helposti uhreja ... Ei ole myöskään hyvä jättää tietoja käyttämästäsi järjestelmästä ja versioista, joku voisi käyttää hyväksikäyttöjä hyödyntääkseen kyseisen version haavoittuvuudet. Lyhyesti sanottuna, mitä enemmän hyökkääjä ei ole tietoinen sinusta, sitä vaikeampi hänen on hyökätä. Muista, että hyökkääjät suorittavat yleensä ennen hyökkäystä prosessin, jota kutsutaan "tiedonkeruuksi" ja joka koostuu uhrista kerättävien tietojen keräämisestä heitä vastaan.
  • Pidä laitteesi ajan tasalla Muista uusimpien päivitysten ja korjaustiedostojen avulla, että monissa tapauksissa ne paitsi parantavat toimintoja, myös korjaavat virheet ja haavoittuvuudet, jotta niitä ei hyödynnetä.
  • Käytä vahvoja salasanoja. Älä koskaan laita sanakirjassa olevia nimiä tai salasanoja, kuten 12345, koska sanakirjahyökkäyksillä ne voidaan poistaa nopeasti. Älä myöskään jätä salasanoja oletuksena, koska ne ovat helposti havaittavissa. Älä myöskään käytä syntymäaikoja, sukulaisten, lemmikkien nimiä tai makusi. Tällaiset salasanat voidaan helposti arvata sosiaalisen suunnittelun avulla. On parasta käyttää pitkää salasanaa, jossa on numeroita, isoja ja pieniä kirjaimia sekä symboleja. Älä myöskään käytä pääsalasanoja kaikkeen, eli jos sinulla on sähköpostitili ja käyttöjärjestelmäistunto, älä käytä samoja molemmissa. Tämä on jotain, jonka Windows 8: ssa he ovat kiertäneet pohjaan, koska sisäänkirjautumisen salasana on sama kuin Hotmail / Outlook-tilisi. Suojattu salasana on tyyppiä: "auite3YUQK && w-". Raa'alla voimalla se voitaisiin saavuttaa, mutta sille omistettu aika ei salli sen ...
  • Älä asenna paketteja tuntemattomista lähteistä ja jos mahdollista. Käytä lähdekoodipaketteja asennettavan ohjelman virallisella verkkosivustolla. Jos paketit ovat kyseenalaisia, suosittelen, että käytät hiekkalaatikkoympäristöä, kuten Glimpse. Saavutat, että kaikki Glimpseen asentamasi sovellukset voivat toimia normaalisti, mutta kun yrität lukea tai kirjoittaa tietoja, se näkyy vain hiekkalaatikkoympäristössä, eristäen järjestelmän ongelmista.
  • käyttötarkoitukset järjestelmän käyttöoikeudet mahdollisimman vähän. Ja kun tarvitset etuoikeuksia tehtävään, on suositeltavaa käyttää "sudo" mieluiten ennen "su".

Muita hieman teknisiä vinkkejä:

Tietoturva, näppäimistön riippulukko

Edellisessä osassa esitettyjen neuvojen lisäksi on erittäin suositeltavaa, että noudatat seuraavia ohjeita, jotta distosi olisi entistä turvallisempi. Muista, että jakelusi voi olla niin turvallista kuin haluatTarkoitan, mitä enemmän aikaa vietät konfigurointiin ja suojaamiseen, sitä parempi.

Tietoturvapaketit Linuxissa ja palomuurissa / UTM:

käyttötarkoitukset SELinux tai AppArmor vahvistaa Linuxiasi. Nämä järjestelmät ovat jonkin verran monimutkaisia, mutta näet käyttöoppaat, jotka auttavat sinua paljon. AppArmor voi rajoittaa jopa sovelluksia, jotka ovat herkkiä hyödyntämiselle ja muille ei-toivotuille prosessitoiminnoille. AppArmor on sisällytetty Linux-ytimeen versiosta 2.6.36 lähtien. Sen asetustiedosto on tallennettu tiedostoon /etc/apparmor.d

Sulje kaikki portit, joita et käytä usein. Se olisi mielenkiintoista, vaikka sinulla olisi fyysinen palomuuri, se on parasta. Toinen vaihtoehto on omistaa vanha tai käyttämätön laite UTM: n tai palomuurin toteuttamiseen kotiverkkoosi (voit käyttää jakeluja, kuten IPCop, m0n0wall, ...). Voit myös määrittää iptables suodattamaan mitä et halua. Voit sulkea ne käyttämällä "iptables / netfilter" -ohjelmaa, joka integroi itse Linux-ytimen. Suosittelen, että tutustut netfilterin ja iptablesin käsikirjoihin, koska ne ovat melko monimutkaisia ​​eikä niitä voida selittää artikkelissa. Näet avaamasi portit kirjoittamalla päätelaitteeseen:

netstat -nap

Laitteidemme fyysinen suojaus:

Voit myös fyysisesti suojata laitteitasi, jos et luota johonkin ympärilläsi tai jos sinun on jätettävä laitteesi jonnekin muiden ihmisten ulottuville. Tätä varten voit poistaa käynnistämisen käytöstä muulla tavalla kuin kiintolevylläsi BIOS / UEFI ja salasana suojaavat BIOS / UEFI: tä, joten he eivät voi muokata sitä ilman sitä. Tämä estää jotakuta ottamasta käynnistyskelpoista USB-muistia tai ulkoista kiintolevyä, johon on asennettu käyttöjärjestelmä, ja pääsemästä siihen tietoihisi ilman edes kirjautumista distroosi. Suojaa se avaamalla BIOS / UEFI. Suojaus-osiossa voit lisätä salasanan.

Voit tehdä saman GRUB, suojaa se salasanalla:

grub-mkpasswd-pbkdf2

Syötä GRUB-salasana haluat ja se koodataan SHA512: een. Kopioi sitten salattu salasana (joka näkyy kohdassa "PBKDF2 on"), jotta voit käyttää sitä myöhemmin:

sudo nano /boot/grub/grub.cfg

Luo käyttäjä alkuun ja laita salattu salasana. Esimerkiksi, jos aiemmin kopioitu salasana oli "grub.pbkdf2.sha512.10000.58AA8513IEH723":

set superusers=”isaac”
password_pbkdf2 isaac grub.pbkdf2.sha512.10000.58AA8513IEH723

Ja tallenna muutokset ...

Vähemmän ohjelmistoja = enemmän turvallisuutta:

Pienennä asennettujen pakettien määrää. Asenna vain tarvitsemasi, ja jos aiot lopettaa sen käytön, on parasta poistaa se. Mitä vähemmän ohjelmistoja sinulla on, sitä vähemmän haavoittuvuuksia. Muista se. Sama neuvoin tiettyjen ohjelmien palveluissa tai demoneissa, jotka suoritetaan järjestelmän käynnistyessä. Jos et käytä niitä, aseta ne "pois" -tilaan.

Poista tiedot turvallisesti:

Kun poistat tietoja levy, muistikortti tai osio tai yksinkertaisesti tiedosto tai hakemisto, tee se turvallisesti. Vaikka luulet poistaneen sen, se voidaan palauttaa helposti. Aivan kuten fyysisesti, ei ole hyödyllistä heittää henkilötietoja sisältävä asiakirja roskakoriin, koska joku voi ottaa sen pois säiliöstä ja nähdä sen, joten sinun on tuhottava paperi, sama tapahtuu myös laskennassa. Voit esimerkiksi täyttää muistin satunnaisilla tai tyhjillä tiedoilla korvata tiedot, joita et halua paljastaa. Tätä varten voit käyttää sitä (jotta se toimisi, sinun on suoritettava se oikeuksilla ja korvattava / dev / sdax laitteella tai osiolla, jota haluat käyttää tapauksessasi ...):

dd if=/dev/zeo of=/dev/sdax bs=1M
dd if=/dev/unrandom of=/dev/sdax bs=1M

Jos mitä haluat, on poista tietty tiedosto lopullisesti, voit käyttää "silputtua". Kuvittele esimerkiksi, että haluat poistaa tiedoston nimeltä passwords.txt, johon olet kirjoittanut järjestelmän salasanat. Voimme käyttää pilkkoa ja korvata esimerkiksi 26 kertaa yllä varmistaaksemme, että sitä ei voida palauttaa poistamisen jälkeen:

shred -u -z -n 26 contraseñas.txt

On työkaluja, kuten HardWipe, Eraser tai Secure Delete, joihin voit asentaa "Pyyhi" (poista pysyvästi) muistit, SWAP-osiot, RAM jne.

Käyttäjätilit ja salasanat:

Paranna salasanajärjestelmää työkaluilla, kuten S / KEY tai SecurID dynaamisen salasanamallin luomiseksi. Varmista, että hakemistossa / etc / passwd ei ole salattua salasanaa. Meidän on käytettävä paremmin tiedostoa / etc / shadow. Tätä varten voit luoda uusia käyttäjiä ja ryhmiä "pwconv" ja "grpconv", mutta piilotetulla salasanalla. Toinen mielenkiintoinen asia on muokata / etc / default / passwd-tiedostoa vanhentamaan salasanasi ja pakottaa sinut uusimaan ne säännöllisesti. Joten jos he saavat salasanan, se ei kestä ikuisesti, koska vaihdat sitä usein. Tiedostolla /etc/login.defs voit myös vahvistaa salasanajärjestelmää. Muokkaa sitä etsimällä PASS_MAX_DAYS- ja PASS_MIN_DAYS-merkinnät, jotta voit määrittää vähimmäis- ja enimmäispäivät, jotka salasana voi kestää ennen vanhenemista. PASS_WARN_AGE näyttää viestin, jossa kerrotaan, että salasana vanhenee pian X päivän kuluttua. Kehotan sinua katsomaan tämän tiedoston käyttöoppaan, koska merkintöjä on paljon.

Las tilit, joita ei käytetä ja he ovat läsnä tiedostossa / etc / passwd, heillä on oltava Shell-muuttuja / bin / false. Jos se on toinen, vaihda se tähän. Tällä tavoin niitä ei voida käyttää kuoren saamiseen. On myös mielenkiintoista muuttaa päätelaitteemme PATH-muuttujaa niin, että nykyinen hakemisto "." Ei tule näkyviin. Toisin sanoen sen on vaihdettava tiedostosta "./user/local/sbin/:/usr/local/bin:/usr/bin:/bin" muotoon "/ user / local / sbin /: / usr / local / bin: / usr / bin: / bin ”.

On suositeltavaa käyttää Kerberos verkon todennusmenetelmänä.

PAM (Pluggable Authentication Module) se on jotain Microsoft Active Directory. Se tarjoaa yhteisen, joustavan todennustavan, jolla on selkeät edut. Voit katsoa hakemistoa /etc/pam.d/ ja etsiä tietoja verkosta. Tässä on melko laaja selittää ...

Pidä silmällä etuoikeuksia eri hakemistoista. Esimerkiksi / root: n tulisi kuulua juurikäyttäjälle ja juuriryhmälle "drwx - - - - - -" -oikeuksilla. Löydät tietoa verkosta siitä, mitä käyttöoikeuksia jokaisella hakemistolla Linux-hakemistopuussa pitäisi olla. Eri kokoonpano voi olla vaarallinen.

Salaa tietosi:

Salaa hakemiston tai osion sisällön missä sinulla on asiaankuuluvia tietoja. Tätä varten voit käyttää LUKS: ää tai eCryptFS: ää. Kuvittele esimerkiksi, että haluamme salata / Isaac-käyttäjän koti:

sudo apt-get install ecryptfs-utils
ecryptfs-setup-private
ecryptfs-migrate-home -u isaac

Ilmoita ylläolevan jälkeen salasana tai salasana pyydettäessä ...

Voit luoda yksityinen hakemistoEsimerkiksi nimeltään "yksityinen" voimme käyttää myös eCryptFS: ää. Tähän hakemistoon voimme laittaa salattavat asiat poistamaan se muiden näkymästä:

mkdir /home/isaac/privado
chmod 700 /home/isaac/privado
mount -t ecryptfs /home/isaa/privado

Se kysyy meiltä kysymyksiä eri parametreista. Ensinnäkin se antaa meidän valita salasanojen, OpenSSL: n, ... ja meidän on valittava 1, eli "salasana". Sitten annamme salasanan, jonka haluamme tarkistaa kahdesti. Sen jälkeen valitsemme haluamasi salaustyypin (AES, Blowfish, DES3, CAST, ...). Valitsisin ensimmäisen, AES, ja sitten esitellään avaimen tavutyyppi (16, 32 tai 64). Viimeiseksi vastaamme viimeiseen kysymykseen "kyllä". Nyt voit liittää ja irrottaa tämän hakemiston käyttääksesi sitä.

Jos haluat vain salata tietyt tiedostot, voit käyttää scryptia tai PGP: tä. Esimerkiksi passwords.txt-nimisen tiedoston avulla voit salata ja purkaa vastaavasti seuraavia komentoja (molemmissa tapauksissa se pyytää sinulta salasanaa):

scrypt <contraseñas.txt>contraseñas.crypt
scrypt <contraseñas.crypt>contraseñas.txt

Kaksivaiheinen vahvistus Google Authenticatorilla:

Google AUthenticator Ubutnun terminaalissa

lisää kaksivaiheinen vahvistus järjestelmässäsi. Näin ollen vaikka salasanasi varastettaisiin, heillä ei ole pääsyä järjestelmääsi. Esimerkiksi Ubuntussa ja sen Unity-ympäristössä voimme käyttää LightDM: ää, mutta periaatteet voidaan viedä muihin distroihin. Tarvitset tätä varten tabletin tai älypuhelimen, johon sinun on asennettava Google Authenticator Play Kaupasta. Sitten tietokoneella ensimmäinen asia on asentaa Google Authenticator PAM ja käynnistää se:

sudo apt-get install libpam-google-authenticator
google-authenticator

Kun kysyt, perustuvatko vahvistusavaimet ajallaan, vastaamme myöntävästi y: llä. Nyt se näyttää meille QR-koodin, joka tunnistetaan Google Authenticator älypuhelimestasi, toinen vaihtoehto on syöttää salainen avain suoraan sovelluksesta (se on se, joka ilmestyi tietokoneelle nimellä "Uusi salaisuutesi on:"). Ja se antaa meille sarjan koodeja, jos emme kuljeta älypuhelinta mukanamme ja että olisi hyvä pitää ne mielessä, jos lentää. Ja jatkamme vastaamista yonilla mieltymystemme mukaan.

Nyt avataan (nanolla, geditillä tai suosikkitekstieditorilla) määritystiedosto kanssa:

sudo gedit /etc/pam.d/lightdm

Ja lisätään rivi:

auth required pam_google_authenticator.so nullok

Tallennamme ja seuraavan kerran, kun kirjaudut sisään, se pyytää meiltä vahvistusavain jonka matkapuhelimemme tuottaa meille.

Jos jonain päivänä haluatko poistaa kaksivaiheisen vahvistuksen, sinun tarvitsee vain poistaa rivi "auth required pam_google_authenticator.so nullok" tiedostosta /etc/pam.d/lightdm
Muista, että terve järki ja varovaisuus on paras liittolainen. GNU / Linux-ympäristö on turvallinen, mutta kaikki verkkoon liitetyt tietokoneet eivät ole enää turvallisia, käyttämästäsi käyttöjärjestelmästä riippumatta. Jos sinulla on kysyttävää, ongelmia tai ehdotuksia, voit jättää Comentario. Toivon, että se auttaa ...


Kommentti, jätä sinun

Jätä kommentti

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

*

*

  1. Vastaa tiedoista: AB Internet Networks 2008 SL
  2. Tietojen tarkoitus: Roskapostin hallinta, kommenttien hallinta.
  3. Laillistaminen: Suostumuksesi
  4. Tietojen välittäminen: Tietoja ei luovuteta kolmansille osapuolille muutoin kuin lain nojalla.
  5. Tietojen varastointi: Occentus Networks (EU) isännöi tietokantaa
  6. Oikeudet: Voit milloin tahansa rajoittaa, palauttaa ja poistaa tietojasi.

  1.   Nuria dijo

    Hei hyvä, katso kommentoin; Olen asentanut google-autentikaattorin Raspbianiin ongelmitta ja mobiilisovellus rekisteröi itsensä hyvin ja antaa minulle koodin, mutta kun vadelma käynnistetään uudelleen ja järjestelmä käynnistetään uudelleen, se ei pyydä minua syöttämään kaksoistodennuskoodia. syöttää käyttäjänimi ja salasana.

    Kiitos. Tervehdys.