Durcissement Linux: conseils pour protéger votre distribution et la rendre plus sécurisée

De nombreux articles ont été publiés sur Distributions Linux plus sécurisé, comme TAILS (qui garantit votre confidentialité et votre anonymat sur le Web), Whonix (un Linux pour la sécurité paranoïaque) et d'autres distributions visant à être en sécurité. Mais bien sûr, tous les utilisateurs ne souhaitent pas utiliser ces distributions. C'est pourquoi dans cet article nous donnerons une série de recommandations pour le «Durcissement Linux«, C'est-à-dire rendre votre distribution (quelle qu'elle soit) plus sécurisée.

Red Hat, SUSE, CentOS, openSUSE, Ubuntu, Debian, Arch Linux, Linux Mint,… quelle différence cela fait-il. Toute distribution peut être sûre comme le plus sûr si vous le connaissez en profondeur et savez vous protéger des dangers qui vous menacent. Et pour cela, vous pouvez agir à plusieurs niveaux, non seulement au niveau logiciel, mais également au niveau matériel.

Lapins de sécurité génériques:

Dans cette section, je vais vous donner quelques conseils très basiques et simples qui n'ont pas besoin de connaissances informatiques pour les comprendre, ce ne sont que du bon sens mais que parfois nous ne réalisons pas par imprudence ou imprudence:

• Ne téléchargez pas de données personnelles ou sensibles sur le cloud. Le cloud, qu'il soit gratuit ou non et qu'il soit plus ou moins sécurisé, est un bon outil pour que vos données soient disponibles où que vous alliez. Mais essayez de ne pas télécharger des données que vous ne souhaitez pas «partager» avec les spectateurs. Ce type de données plus sensibles doit être transporté sur un support plus personnel, comme une carte SD ou une clé USB.
• Si vous utilisez un ordinateur pour accéder à Internet et travailler avec des données importantes, par exemple, imaginez que vous avez rejoint la tendance BYOD et que vous avez ramené certaines données d'entreprise chez vous. Eh bien, dans ce genre de circonstances, ne fonctionne pas en ligne, essayez d'être déconnecté (pourquoi voulez-vous être connecté pour travailler par exemple avec LibreOffice éditant un texte?). Un ordinateur déconnecté est le plus sûr, rappelez-vous cela.
• En lien avec ce qui précède, ne laissez pas de données importantes sur le disque dur local lorsque vous travaillez en ligne. Je vous recommande d'avoir un disque dur externe ou un autre type de mémoire (cartes mémoire, clés USB, etc.) dans lequel vous avez ces informations. Ainsi nous mettrons une barrière entre nos équipements connectés et cette mémoire "non connectée" où se trouvent les données importantes.
• Faire des copies de sauvegarde des données que vous jugez intéressantes ou que vous ne voulez pas perdre. Lorsqu'ils utilisent des vulnérabilités pour pénétrer dans votre ordinateur et augmenter les privilèges, l'attaquant sera en mesure d'effacer ou de manipuler toutes les données sans entraves. C'est pourquoi il vaut mieux avoir une sauvegarde.
• Ne laissez pas de données sur vos points faibles dans les forums ou des commentaires sur les sites Web. Si par exemple vous avez des problèmes de sécurité sur votre ordinateur et qu'il a des ports ouverts que vous souhaitez fermer, ne laissez pas votre problème dans un forum pour obtenir de l'aide, car il peut être utilisé contre vous. Une personne mal intentionnée peut utiliser ces informations pour rechercher sa victime parfaite. Il vaut mieux que vous trouviez un technicien de confiance pour vous aider à les résoudre. Il est également courant que les entreprises mettent des publicités sur Internet telles que «Je recherche un expert en sécurité informatique» ou «Du personnel est nécessaire pour le service de sécurité». Cela peut indiquer une éventuelle faiblesse de ladite entreprise et un cybercriminel peut utiliser ces types de pages pour rechercher des victimes faciles ... Il n'est pas non plus bon pour vous de laisser des informations sur le système que vous utilisez et les versions, quelqu'un pourrait utiliser des exploits pour exploiter vulnérabilités de cette version. Bref, plus l'attaquant ne vous connaît pas, plus il lui sera difficile d'attaquer. Gardez à l'esprit que les attaquants effectuent généralement un processus avant l'attaque appelé «collecte d'informations» et il consiste à collecter des informations sur la victime qui peuvent être utilisées contre eux.
• Gardez votre équipement à jour Avec les dernières mises à jour et correctifs, rappelez-vous qu'à de nombreuses occasions, ceux-ci améliorent non seulement les fonctionnalités, mais corrigent également les bogues et les vulnérabilités afin qu'ils ne soient pas exploités.
• Utilisez des mots de passe forts. Ne mettez jamais des noms qui sont dans le dictionnaire ou des mots de passe comme 12345, car avec les attaques par dictionnaire, ils peuvent être supprimés rapidement. De plus, ne laissez pas les mots de passe par défaut, car ils sont facilement détectables. N'utilisez pas non plus de dates de naissance, de noms de parents, d'animaux de compagnie ou de vos goûts. Ces types de mots de passe peuvent être facilement devinés par l'ingénierie sociale. Il est préférable d'utiliser un mot de passe long avec des chiffres, des lettres majuscules et minuscules et des symboles. N'utilisez pas de mots de passe principaux pour tout, c'est-à-dire que si vous avez un compte de messagerie et une session de système d'exploitation, n'utilisez pas le même pour les deux. C'est quelque chose que dans Windows 8, ils ont foiré au fond, car le mot de passe pour se connecter est le même que votre compte Hotmail / Outlook. Un mot de passe sécurisé est du type: "auite3YUQK && w-". Par la force brute, cela pourrait être réalisé, mais le temps qui y est consacré n'en vaut pas la peine ...
• N'installez pas de packages provenant de sources inconnues et si possible. Utilisez les packages de code source du site officiel du programme que vous souhaitez installer. Si les packages sont douteux, je vous recommande d'utiliser un environnement sandbox comme Glimpse. Ce que vous obtiendrez, c'est que toutes les applications que vous installez dans Glimpse peuvent fonctionner normalement, mais lorsque vous essayez de lire ou d'écrire des données, cela ne se reflète que dans l'environnement sandbox, isolant votre système des problèmes.
• utilisation privilèges système aussi peu que possible. Et lorsque vous avez besoin de privilèges pour une tâche, il est recommandé d'utiliser "sudo" de préférence avant "su".

Autres conseils un peu plus techniques:

En plus des conseils de la section précédente, il est également fortement recommandé de suivre les étapes suivantes pour rendre votre distribution encore plus sécurisée. Gardez à l'esprit que votre distribution peut être aussi sûr que vous le souhaitezJe veux dire, plus vous passez de temps à configurer et à sécuriser, mieux c'est.

Suites de sécurité sous Linux et Firewall / UTM:

utilisation SELinux ou AppArmor pour fortifier votre Linux. Ces systèmes sont quelque peu complexes, mais vous pouvez voir des manuels qui vous aideront beaucoup. AppArmor peut restreindre même les applications sensibles aux exploits et autres actions de processus indésirables. AppArmor a été inclus dans le noyau Linux à partir de la version 2.6.36. Son fichier de configuration est stocké dans /etc/apparmor.d

Fermez tous les ports que vous n'utilisez pas souvent. Ce serait intéressant même si vous avez un pare-feu physique, c'est le meilleur. Une autre option est de dédier un équipement ancien ou inutilisé pour implémenter un UTM ou un Firewall pour votre réseau domestique (vous pouvez utiliser des distributions telles que IPCop, m0n0wall, ...). Vous pouvez également configurer iptables pour filtrer ce que vous ne voulez pas. Pour les fermer, vous pouvez utiliser "iptables / netfilter" qui intègre le noyau Linux lui-même. Je vous recommande de consulter les manuels sur netfilter et iptables, car ils sont assez complexes et ne peuvent pas être expliqués dans un article. Vous pouvez voir les ports que vous avez ouverts en tapant dans le terminal:

netstat -nap

Protection physique de nos équipements:

Vous pouvez également protéger physiquement votre ordinateur au cas où vous ne feriez pas confiance à quelqu'un de votre entourage ou si vous deviez laisser votre ordinateur à la portée d'autres personnes. Pour cela, vous pouvez désactiver le démarrage par d'autres moyens que votre disque dur dans le BIOS / UEFI et le mot de passe protègent le BIOS / UEFI afin qu'ils ne puissent pas le modifier sans lui. Cela empêchera quelqu'un de prendre une clé USB amorçable ou un disque dur externe avec un système d'exploitation installé et de pouvoir accéder à vos données à partir de celui-ci, sans même avoir à se connecter à votre distribution. Pour le protéger, accédez au BIOS / UEFI, dans la section Sécurité, vous pouvez ajouter le mot de passe.

Vous pouvez faire la même chose avec GRUB, le protéger par mot de passe:

grub-mkpasswd-pbkdf2

Entrer le mot de passe pour GRUB que vous voulez et il sera encodé en SHA512. Copiez ensuite le mot de passe crypté (celui qui apparaît dans «Votre PBKDF2 est») pour l'utiliser plus tard:

sudo nano /boot/grub/grub.cfg

Créez un utilisateur au début et mettez le mot de passe crypté. Par exemple, si le mot de passe précédemment copié était "grub.pbkdf2.sha512.10000.58AA8513IEH723":

set superusers=”isaac”
password_pbkdf2 isaac grub.pbkdf2.sha512.10000.58AA8513IEH723

Et enregistrez les modifications ...

Moins de logiciels = plus de sécurité:

Minimisez le nombre de packages installés. N'installez que ceux dont vous avez besoin et si vous ne souhaitez plus en utiliser un, il est préférable de le désinstaller. Moins vous avez de logiciels, moins il y a de vulnérabilités. Souviens toi. La même chose que je vous conseille avec les services ou démons de certains programmes qui s'exécutent au démarrage du système. Si vous ne les utilisez pas, mettez-les en mode "off".

Supprimer les informations en toute sécurité:

Lorsque vous supprimez des informations d'un disque, d'une carte mémoire ou d'une partition, ou simplement d'un fichier ou d'un répertoire, faites-le en toute sécurité. Même si vous pensez l'avoir supprimé, il peut être facilement récupéré. Tout aussi physiquement, il n'est pas utile de jeter un document contenant des données personnelles à la poubelle, car quelqu'un pourrait le sortir du conteneur et le voir, donc vous devez détruire le papier, la même chose se produit en informatique. Par exemple, vous pouvez remplir la mémoire avec des données aléatoires ou nulles pour remplacer les données que vous ne souhaitez pas exposer. Pour cela, vous pouvez utiliser (pour que cela fonctionne, vous devez l'exécuter avec des privilèges et remplacer / dev / sdax par le périphérique ou la partition sur laquelle vous souhaitez agir dans votre cas ...):

dd if=/dev/zeo of=/dev/sdax bs=1M
dd if=/dev/unrandom of=/dev/sdax bs=1M

Si ce que vous voulez est supprimer définitivement un fichier spécifique, vous pouvez utiliser "shred". Par exemple, imaginez que vous souhaitiez supprimer un fichier appelé passwords.txt dans lequel vous avez écrit des mots de passe système. Nous pouvons utiliser shred et overwrite par exemple 26 fois ci-dessus pour garantir qu'il ne pourra pas être récupéré après suppression:

shred -u -z -n 26 contraseñas.txt

Il existe des outils tels que HardWipe, Eraser ou Secure Delete sur lesquels vous pouvez installer "Effacer" (supprimer définitivement) les mémoires, Partitions SWAP, RAM, etc.

Comptes utilisateurs et mots de passe:

Améliorer le système de mot de passe avec des outils comme S / KEY ou SecurID pour créer un schéma de mot de passe dynamique. Assurez-vous qu'il n'y a pas de mot de passe chiffré dans le répertoire / etc / passwd. Nous devons mieux utiliser / etc / shadow. Pour cela, vous pouvez utiliser "pwconv" et "grpconv" pour créer de nouveaux utilisateurs et groupes, mais avec un mot de passe caché. Une autre chose intéressante est d'éditer le fichier / etc / default / passwd pour faire expirer vos mots de passe et vous forcer à les renouveler périodiquement. Donc, s'ils obtiennent un mot de passe, il ne durera pas éternellement, car vous le changerez fréquemment. Avec le fichier /etc/login.defs, vous pouvez également renforcer le système de mot de passe. Modifiez-le en recherchant les entrées PASS_MAX_DAYS et PASS_MIN_DAYS pour spécifier les jours minimum et maximum qu'un mot de passe peut durer avant l'expiration. PASS_WARN_AGE affiche un message pour vous informer que le mot de passe expirera dans X jours prochainement. Je vous conseille de consulter un manuel sur ce fichier, car les entrées sont très nombreuses.

Les comptes qui ne sont pas utilisés et ils sont présents dans / etc / passwd, ils doivent avoir la variable Shell / bin / false. Si c'est un autre, changez-le en celui-ci. De cette façon, ils ne peuvent pas être utilisés pour obtenir un shell. Il est également intéressant de modifier la variable PATH dans notre terminal pour que le répertoire courant "." N'apparaisse pas. Autrement dit, il doit passer de «./user/local/sbin/:/usr/local/bin:/usr/bin:/bin» à «/ user / local / sbin /: / usr / local / bin: / usr / bin: / bin ”.

Il serait recommandé d'utiliser Kerberos comme méthode d'authentification réseau.

PAM (module d'authentification enfichable) c'est quelque chose comme Microsoft Active Directory. Il fournit un schéma d'authentification commun et flexible avec des avantages évidents. Vous pouvez consulter le répertoire /etc/pam.d/ et rechercher des informations sur le Web. C'est assez long à expliquer ici ...

Gardez un œil sur les privilèges des différents répertoires. Par exemple, / root doit appartenir à l'utilisateur root et au groupe root, avec les permissions "drwx - - - - - -". Vous pouvez trouver des informations sur le Web sur les autorisations que chaque répertoire de l'arborescence de répertoires Linux doit avoir. Une configuration différente pourrait être dangereuse.

Cryptez vos données:

Crypte le contenu d'un répertoire ou d'une partition où vous avez des informations pertinentes. Pour cela, vous pouvez utiliser LUKS ou avec eCryptFS. Par exemple, imaginons que nous voulions chiffrer / home d'un utilisateur nommé isaac:

sudo apt-get install ecryptfs-utils
ecryptfs-setup-private
ecryptfs-migrate-home -u isaac

Après ce qui précède, indiquez la phrase de passe ou le mot de passe lorsque vous y êtes invité ...

Pour créer un annuaire privéPar exemple appelé "privé", nous pouvons également utiliser eCryptFS. Dans ce répertoire, nous pouvons mettre les choses que nous voulons crypter pour le supprimer de la vue des autres:

mkdir /home/isaac/privado
chmod 700 /home/isaac/privado
mount -t ecryptfs /home/isaa/privado

Il nous posera des questions sur différents paramètres. Tout d'abord, il nous permettra de choisir entre les mots de passe, OpenSSL, ... et nous devons choisir 1, c'est-à-dire "passphrase". Ensuite, nous entrons le mot de passe que nous voulons vérifier deux fois. Après cela, on choisit le type de cryptage que l'on souhaite (AES, Blowfish, DES3, CAST, ...). Je choisirais le premier, AES, puis nous introduisions le type d'octet de la clé (16, 32 ou 64). Et enfin nous répondons à la dernière question par un "oui". Vous pouvez maintenant monter et démonter ce répertoire pour l'utiliser.

Si vous voulez juste crypter des fichiers spécifiques, vous pouvez utiliser scrypt ou PGP. Par exemple, un fichier appelé passwords.txt, vous pouvez utiliser les commandes suivantes pour crypter et décrypter respectivement (dans les deux cas, il vous demandera un mot de passe):

scrypt <contraseñas.txt>contraseñas.crypt
scrypt <contraseñas.crypt>contraseñas.txt

Vérification en deux étapes avec Google Authenticator:

Ajouter vérification en deux étapes dans votre système. Ainsi, même si votre mot de passe est volé, ils n'auront pas accès à votre système. Par exemple, pour Ubuntu et son environnement Unity, nous pouvons utiliser LightDM, mais les principes peuvent être exportés vers d'autres distributions. Vous aurez besoin d'une tablette ou d'un smartphone pour cela, vous devez y installer Google Authenticator à partir du Play Store. Ensuite, sur le PC, la première chose à faire est d'installer Google Authenticator PAM et de le démarrer:

sudo apt-get install libpam-google-authenticator
google-authenticator

Lorsque vous nous demandez si les clés de vérification seront basées sur le temps, nous répondons par l'affirmative avec un et. Maintenant, il nous montre un code QR pour être reconnu avec Authentificateur Google Depuis votre smartphone, une autre option consiste à saisir la clé secrète directement depuis l'application (c'est celle qui est apparue sur le PC comme «Votre nouveau secret est:»). Et cela nous donnera une série de codes au cas où nous ne porterions pas le smartphone avec nous et qu'il serait bon de les avoir en tête au cas où les mouches voleraient. Et nous continuons à vous répondre selon nos préférences.

Maintenant, nous ouvrons (avec nano, gedit ou votre éditeur de texte préféré) le fichier de configuration avec:

sudo gedit /etc/pam.d/lightdm

Et nous ajoutons la ligne:

auth required pam_google_authenticator.so nullok

Nous sauvegardons et la prochaine fois que vous vous connecterez, il nous demandera le clé de vérification que notre mobile va générer pour nous.

Si un jour voulez-vous supprimer la vérification en deux étapes, il vous suffit de supprimer la ligne "auth required pam_google_authenticator.so nullok" du fichier /etc/pam.d/lightdm
N'oubliez pas que le bon sens et la prudence sont les meilleurs alliés. Un environnement GNU / Linux est sécurisé, mais tout ordinateur connecté à un réseau n'est plus sécurisé, quelle que soit la qualité du système d'exploitation que vous utilisez. Si vous avez des questions, des problèmes ou des suggestions, vous pouvez laisser votre commenter. J'espère que cela aide…