Linux keményítés: Tippek a terjesztés védelméhez és biztonságosabbá tételéhez

Számos cikk jelent meg a Linux disztribúciók biztonságosabbak, mint például a TAILS (amely biztosítja az Ön magánéletét és névtelenségét az interneten), a Whonix (egy Linux a paranoid biztonság érdekében) és más disztribúciók, amelyek célja a biztonság. De természetesen nem minden felhasználó akarja használni ezeket a disztribúciókat. Ezért ebben a cikkben egy sor ajánlást fogunk adni a «Linux keményedés«, Vagyis tegye biztonságosabbá a disztribúcióját (bármi legyen is az).

Red Hat, SUSE, CentOS, openSUSE, Ubuntu, Debian, Arch Linux, Linux Mint, ... mi a különbség. Bármely terjesztés biztonságos lehet a legbiztonságosabbnak, ha alaposan ismeri és tudja, hogyan védje meg magát az Önt fenyegető veszélyektől. Ehhez számos szinten léphet fel, nemcsak a szoftver, hanem a hardver szintjén is.

Általános biztonsági nyulak:

Ebben a részben adok neked néhányat nagyon egyszerű és egyszerű tippek akiknek nincs szükségük számítógépes ismeretekre, hogy megértsék őket, csak józan ész, de néha nem gondatlanság vagy gondatlanság miatt hajtjuk végre:

• Ne töltsön fel személyes vagy bizalmas adatokat a felhőbe. A felhő, függetlenül attól, hogy ingyenes-e vagy sem, és hogy többé-kevésbé biztonságos-e, jó eszköz arra, hogy az adatait bárhová el tudja dobni. De ne próbáljon olyan adatokat feltölteni, amelyeket nem akar "megosztani" a bámészkodókkal. Az ilyen típusú érzékenyebb adatokat személyesebb adathordozón, például SD-kártyán vagy pendrive-ban kell tárolni.
• Ha számítógépet használ az internet eléréséhez és például fontos adatokkal dolgozik, akkor képzelje el, hogy csatlakozott a BYOD-őrülethez, és néhány üzleti adatot hazavitt. Nos, ilyen körülmények között nem működik online, próbáljon meg bontani (miért akar kapcsolódni a munkához, például a LibreOffice szövegszerkesztésével?). A leválasztott számítógép a legbiztonságosabb, ne feledje.
• A fentiekhez kapcsolódóan online munka közben ne hagyjon fontos adatokat a helyi merevlemezen. Azt javaslom, hogy legyen egy külső merevlemeze vagy más típusú memóriája (memóriakártyák, pendrive-ok stb.), Amelyekben meg vannak ezek az információk. Így gátat szabunk a csatlakoztatott berendezésünk és a "nem csatlakoztatott" memória között, ahol a fontos adatok vannak.
• Készítsen biztonsági másolatokat az Ön által érdekesnek tartott vagy elveszíteni nem kívánt adatok közül. Amikor biztonsági réseket használnak a számítógép belépéséhez és a jogosultságok fokozásához, a támadó akadálymentesen képes lesz minden adatot törölni vagy manipulálni. Ezért jobb, ha van biztonsági másolata.
• Ne hagyjon adatokat a gyengeségeiről a fórumokon vagy megjegyzések az interneten. Ha például biztonsági problémái vannak a számítógépén, és nyitott portjai vannak, amelyeket be akar zárni, ne hagyja a problémát fórumban segítségért, mert fel lehet használni ön ellen. Valaki rossz szándékkal felhasználhatja ezeket az információkat a tökéletes áldozata felkutatására. Jobb, ha talál egy megbízható technikust, aki segít megoldani őket. Az is gyakori, hogy a vállalatok olyan hirdetéseket tesznek fel az internetre, mint például "IT-biztonsági szakértőt keresek" vagy "A biztonsági osztályhoz személyzetre van szükség. Ez jelezheti az említett vállalat lehetséges gyengeségét, és egy számítógépes bűnöző ilyen típusú oldalakat használhat könnyű áldozatok felkutatására ... Az sem jó, ha információt hagy az Ön által használt rendszerről és verzióiról, valaki kihasználhatja a kihasználást annak a verziónak a sebezhetőségét. Röviden: minél többet nem ismer a támadó rólad, annál nehezebb lesz neki támadni. Ne feledje, hogy a támadók általában a támadást megelőzően hajtanak végre egy folyamatot, az úgynevezett „információgyűjtést”, amely az áldozatról az ellenük felhasználható információk gyűjtéséből áll.
• Tartsa naprakészen a berendezését A legfrissebb frissítésekkel és javításokkal ne feledje, hogy ezek sok esetben nem csak a funkcionalitást javítják, hanem hibákat és sebezhetőségeket is kijavítanak, így nem használják ki őket.
• Használjon erős jelszavakat. Soha ne tegye a szótárban szereplő neveket vagy olyan jelszavakat, mint az 12345, mivel a szótári támadásokkal gyorsan eltávolíthatók. Ne hagyja alapértelmezés szerint a jelszavakat is, mivel azok könnyen felismerhetők. Ne használjon születési dátumokat, rokonok, háziállatok nevét vagy az ízlését. Az ilyen típusú jelszavak könnyen kitalálhatók a szociális mérnökök segítségével. A legjobb, ha hosszú jelszót használ, számokkal, nagy- és kisbetűkkel, valamint szimbólumokkal. Ne használjon mindenhez mesterjelszavakat, vagyis ha rendelkezik e-mail fiókkal és egy operációs rendszer munkamenetével, ne használja ugyanazt mindkettőhöz. Ezt a Windows 8 rendszerben az aljára csavarták, mivel a bejelentkezéshez használt jelszó megegyezik a Hotmail / Outlook fiókkal. A biztonságos jelszó típusa: "auite3YUQK && w-". Nyers erővel el lehetne érni, de a rá fordított idő miatt nem éri meg ...
• Ne telepítsen ismeretlen forrásokból származó csomagokat és ha lehet. Használja a telepíteni kívánt program hivatalos webhelyének forráskód-csomagjait. Ha a csomagok megkérdőjelezhetők, javasoljuk, hogy használjon olyan homokozó környezetet, mint a Glimpse. Amit el fog érni, az az, hogy a Glimpse-ben telepített összes alkalmazás normálisan tud futtatni, de amikor adatokat olvasni vagy írni próbál, az csak a homokozó környezetben jelenik meg, elkülönítve a rendszert a problémáktól.
• használat a lehető legkevesebb rendszerjogosultságot. Ha pedig privilégiumokra van szüksége egy feladathoz, akkor ajánlott a "sudo" szót használni, lehetőleg a "su" előtt.

Egyéb valamivel több technikai tipp:

Az előző szakaszban látott tanácsok mellett azt is erősen ajánlott, hogy kövesse az alábbi lépéseket a terjesztés még biztonságosabbá tételéhez. Ne feledje, hogy a terjesztése lehet amennyire csak akarjaÚgy értem, minél több időt töltesz a konfigurálással és a biztonsággal, annál jobb.

Biztonsági csomagok Linux és tűzfal / UTM rendszerekben:

használat SELinux vagy AppArmor hogy megerősítsd a Linuxodat. Ezek a rendszerek kissé összetettek, de láthat olyan kézikönyveket, amelyek sokat segítenek Önnek. Az AppArmor még az érzékeny alkalmazásokat is korlátozhatja a kihasználások és más nem kívánt folyamatműveletek elől. Az AppArmor a 2.6.36-os verziótól kezdve bekerült a Linux kernelbe. Konfigurációs fájlja az /etc/apparmor.d fájlban található

Zárjon be minden portot, amelyet nem használ gyakran. Még akkor is érdekes lenne, ha van fizikai tűzfala, ez a legjobb. Egy másik lehetőség az, hogy egy régi vagy nem használt berendezést szentelnek az otthoni hálózat UTM vagy tűzfalának megvalósításához (használhat olyan disztribúciókat, mint az IPCop, m0n0wall, ...). Beállíthatja az iptables alkalmazást is, hogy kiszűrje, amit nem akar. A bezáráshoz használhatja az "iptables / netfilter" alkalmazást, amely integrálja magát a Linux kernelt is. Javaslom, hogy olvassa el a netfilter és az iptables kézikönyveit, mivel azok meglehetősen összetettek és egy cikkben nem magyarázhatók. Megtekintheti a megnyitott portokat a terminál beírásával:

netstat -nap

Berendezéseink fizikai védelme:

Fizikailag is megvédheti számítógépét, ha nem bízik valakiben a közelében, vagy ha valahol mások elől el kell hagynia a számítógépet. Ehhez a merevlemezen kívül más eszközről is letilthatja a rendszerindítást BIOS / UEFI és jelszóval védi a BIOS-t / UEFI-t, így nélküle nem tudják módosítani. Ez megakadályozza, hogy valaki indított USB-t vagy külső merevlemezt vegyen be telepített operációs rendszerrel, és hozzáférjen az adatokhoz, anélkül, hogy be kellene jelentkeznie a terjesztésébe. A védelem érdekében nyissa meg a BIOS / UEFI-t, a Biztonság részben adhatja meg a jelszót.

Ezzel is megteheti GRUB, jelszóval védi:

grub-mkpasswd-pbkdf2

Írd be a jelszó a GRUB-hoz és az SHA512 kódolásra kerül. Ezután másolja ki a titkosított jelszót (azt, amely a „A PBKDF2-nél van” részben látható) későbbi használatra:

sudo nano /boot/grub/grub.cfg

Hozzon létre egy felhasználót az elején, és tegye a titkosított jelszó. Például, ha a korábban másolt jelszó "grub.pbkdf2.sha512.10000.58AA8513IEH723" volt:

set superusers=”isaac”
password_pbkdf2 isaac grub.pbkdf2.sha512.10000.58AA8513IEH723

És mentse a változásokat ...

Kevesebb szoftver = nagyobb biztonság:

Minimalizálja a telepített csomagok számát. Csak azokat telepítse, amelyekre szüksége van, és ha abbahagyja az egyik használatát, a legjobb, ha eltávolítja. Minél kevesebb szoftvered van, annál kevesebb a sebezhetőség. Emlékezz rá. Ugyanezt tanácsolom Önnek bizonyos programok szolgáltatásaival vagy démonjaival, amelyek a rendszer indításakor futnak. Ha nem használja őket, állítsa "kikapcsolt" módba.

Információk biztonságos törlése:

Amikor információkat töröl lemez, memóriakártya vagy partíció, vagy csak fájl vagy könyvtár, biztonságosan végezze el. Még akkor is, ha úgy gondolja, hogy törölte, könnyen helyreállítható. Ahogy fizikailag sem hasznos, ha a személyes adatokkal rendelkező dokumentumot a kukába dobja, mert valaki kiveheti a tartályból és megnézheti, így meg kell semmisítenie a papírt, ugyanez történik a számítás során is. Például kitöltheti a memóriát véletlenszerű vagy nulladatokkal, hogy felülírja azokat az adatokat, amelyeket nem szeretne kitenni. Ehhez használhatja (a működéséhez privilégiumokkal kell futtatnia, és a / dev / sdax-t le kell cserélnie arra az eszközre vagy partícióra, amelyen az Ön esetében cselekedni szeretne ...):

dd if=/dev/zeo of=/dev/sdax bs=1M
dd if=/dev/unrandom of=/dev/sdax bs=1M

Ha azt akarod, akkor az egy adott fájlt örökre törölhet, használhatja az "aprított" szót. Képzelje el például, hogy törölni kíván egy passwords.txt nevű fájlt, ahol a rendszerjelszavakat leírta. Használhatunk aprítást és felülírást például a fenti 26 alkalommal, hogy garantáljuk, hogy a törlés után nem lehet helyreállítani:

shred -u -z -n 26 contraseñas.txt

Vannak olyan eszközök, mint a HardWipe, az Eraser vagy a Secure Delete, amelyekre telepíthető "Törölje" (véglegesen törölje) az emlékeket, SWAP partíciók, RAM stb.

Felhasználói fiókok és jelszavak:

Javítsa a jelszórendszert olyan eszközökkel, mint az S / KEY vagy a SecurID egy dinamikus jelszóséma létrehozásához. Győződjön meg arról, hogy nincs titkosított jelszó az / etc / passwd könyvtárban. Jobban kell használnunk az / etc / shadow alkalmazást. Ehhez a "pwconv" és a "grpconv" segítségével új felhasználókat és csoportokat hozhat létre, de rejtett jelszóval. Egy másik érdekes dolog az / etc / default / passwd fájl szerkesztése a jelszavak lejártáért, és azok időszakos megújításának kényszerítése. Tehát, ha kapnak egy jelszót, az nem fog örökké tartani, mivel gyakran változtatja meg. Az /etc/login.defs fájl segítségével megerősítheti a jelszórendszert is. Szerkessze meg, keresse meg a PASS_MAX_DAYS és PASS_MIN_DAYS bejegyzést, hogy meghatározza a jelszó lejárati ideje előtti minimális és maximális napot. A PASS_WARN_AGE üzenetet jelenít meg arról, hogy a jelszó hamarosan X nap múlva lejár. Azt tanácsolom, hogy olvassa el a fájl kézikönyvét, mivel a bejegyzések nagyon sokak.

az nem használt fiókok és az / etc / passwd fájlban vannak, a Shell / bin / false változóval kell rendelkezniük. Ha ez más, cserélje erre. Így nem használhatók héj megszerzésére. Érdekes a terminálunkban a PATH változó módosítása is, hogy az aktuális "" könyvtár ne jelenjen meg. Vagyis „./user/local/sbin/:/usr/local/bin:/usr/bin:/bin” -ről „/ user / local / sbin /: / usr / local / bin: / usr / bin: / bin ”.

Javasoljuk, hogy használja Kerberos mint hálózati hitelesítési módszer.

PAM (Pluggable Authentication Module) olyasmi, mint a Microsoft Active Directory. Közös, rugalmas hitelesítési sémát kínál, egyértelmű előnyökkel. Megtekintheti az /etc/pam.d/ könyvtárat, és információkat kereshet az interneten. Elég kiterjedt itt elmagyarázni ...

Tartsa szemmel a kiváltságokat a különböző könyvtárak közül. Például a / root-nak a root felhasználóhoz és a root-csoporthoz kell tartoznia, "drwx - - - - - -" engedélyekkel. Az interneten információkat talál arról, hogy milyen engedélyekkel kell rendelkeznie a Linux könyvtárfa minden könyvtárának. Egy másik konfiguráció veszélyes lehet.

Az adatok titkosítása:

Titkosítja egy könyvtár vagy partíció tartalmát ahol releváns információval rendelkezik. Ehhez használhatja a LUKS-t vagy az eCryptFS-t. Képzeljük el például, hogy egy isaac nevű felhasználó titkosítását szeretnénk:

sudo apt-get install ecryptfs-utils
ecryptfs-setup-private
ecryptfs-migrate-home -u isaac

A fentiek után kérjük jelezze a jelszót vagy jelszót ...

Hozzon létre egy privát könyvtárPéldául "privát" néven használhatjuk az eCryptFS-t is. Abban a könyvtárban elhelyezhetjük azokat a dolgokat, amelyeket titkosítani szeretnénk, hogy eltávolítsuk mások szemszögéből:

mkdir /home/isaac/privado
chmod 700 /home/isaac/privado
mount -t ecryptfs /home/isaa/privado

Kérdéseket fog feltenni nekünk a különböző paraméterekkel kapcsolatban. Először lehetővé teszi, hogy válasszunk a jelszavak, az OpenSSL és ... között, és 1-et, azaz "jelszót" kell választanunk. Ezután beírjuk a kétszer ellenőrizni kívánt jelszót. Ezt követően kiválasztjuk a kívánt titkosítás típusát (AES, Blowfish, DES3, CAST, ...). Én választanám az elsőt, az AES-t, majd bemutatjuk a kulcs bájt típusát (16, 32 vagy 64). És végül az utolsó kérdésre "igennel" válaszolunk. Most csatlakoztathatja és leválaszthatja ezt a könyvtárat a használatához.

Ha csak akarod titkosítani bizonyos fájlokat, használhat scrypt vagy PGP. Például a passwords.txt nevű fájl a következő parancsokat használhatja titkosításhoz és visszafejtéshez (mindkét esetben jelszót kér):

scrypt <contraseñas.txt>contraseñas.crypt
scrypt <contraseñas.crypt>contraseñas.txt

Kétlépcsős azonosítás a Google Authenticator segítségével:

hozzáteszi kétlépcsős azonosítás a rendszerében. Így akkor is, ha ellopják a jelszavát, nem férnek hozzá a rendszeréhez. Például az Ubuntu és annak Unity környezete számára használhatjuk a LightDM-et, de az elvek más diszkókba is exportálhatók. Ehhez táblagépre vagy okostelefonra lesz szükség, ebben telepítenie kell a Google Hitelesítőt a Play Áruházból. Ezután a PC-n az első dolog a Google Authenticator PAM telepítése és elindítása:

sudo apt-get install libpam-google-authenticator
google-authenticator

Amikor azt kérdezi tőlünk, hogy az ellenőrző kulcsok időn alapulnak-e, akkor igennel válaszolunk egy y-vel. Most megmutatja nekünk egy QR-kódot, amellyel fel lehet ismerni A Google Hitelesítő Az okostelefonról egy másik lehetőség az, hogy a titkos kulcsot közvetlenül az alkalmazásból írja be (ez az, amely a PC-n „Az új titkod:” néven jelent meg). És ez egy sor kódot ad nekünk arra az esetre, ha nem hordjuk magunkkal az okostelefont, és hogy jó lenne ezeket szem előtt tartani, ha a legyek repülnek. És továbbra is yon-nal válaszolunk preferenciáink szerint.

Most megnyitjuk (nano, gedit vagy kedvenc szövegszerkesztővel) a konfigurációs fájl val vel:

sudo gedit /etc/pam.d/lightdm

És hozzáadjuk a sort:

auth required pam_google_authenticator.so nullok

Mentünk, és amikor legközelebb bejelentkezik, a rendszer kéri tőlünk a ellenőrző kulcs hogy a mobilunk generál nekünk.

Ha egy napon el akarja távolítani a kétlépcsős azonosítást, csak törölnie kell az "auth required pam_google_authenticator.so nullok" sort az /etc/pam.d/lightdm fájlból
Ne feledje, hogy a józan ész és az óvatosság a legjobb szövetséges. A GNU / Linux környezet biztonságos, de a hálózathoz csatlakoztatott számítógépek már nem biztonságosak, függetlenül attól, hogy az operációs rendszer milyen jó. Ha bármilyen kérdése, problémája vagy javaslata van, akkor otthagyhatja megjegyzés. Remélem, hogy segít ...