Pengerasan Linux: Tip untuk Melindungi Distro Anda dan Menjadikannya Lebih Aman

Isaac

14 menit

Mengeraskan dua tuksedo Linux, satu tidak berdaya dan satu lagi berbaju besi

Banyak artikel telah diterbitkan di Distribusi Linux lebih aman, seperti TAILS (yang memastikan privasi dan anonimitas Anda di web), Whonix (Linux untuk paranoid keamanan), dan distro lain yang ditujukan untuk keamanan. Namun tentunya tidak semua pengguna ingin menggunakan distro tersebut. Itulah mengapa pada artikel ini kami akan memberikan sederet rekomendasi untuk «Pengerasan Linux«, Yaitu, buat distro Anda (apa pun itu) lebih aman.

Red Hat, SUSE, CentOS, openSUSE, Ubuntu, Debian, Arch Linux, Linux Mint,… apa bedanya. Distribusi apa pun bisa aman sebagai yang paling aman jika Anda mengetahuinya secara mendalam dan tahu bagaimana melindungi diri Anda dari bahaya yang mengancam Anda. Dan untuk ini, tindakan dapat diambil di berbagai tingkatan, tidak hanya di tingkat perangkat lunak, tetapi juga di tingkat perangkat keras.

Kelinci pengaman generik:

Sirkuit terkunci keamanan perangkat keras

Di bagian ini saya akan memberikan beberapa tip yang sangat mendasar dan sederhana yang tidak membutuhkan pengetahuan komputer untuk memahaminya, itu hanya akal sehat tetapi terkadang kita tidak melakukannya karena kecerobohan atau kecerobohan:

  • Jangan mengunggah data pribadi atau sensitif ke cloud. Cloud, terlepas dari apakah itu gratis atau tidak dan apakah itu lebih atau kurang aman, adalah alat yang baik untuk menyediakan data Anda ke mana pun Anda pergi. Tapi cobalah untuk tidak mengupload data yang tidak ingin Anda "bagikan" dengan penonton. Jenis data yang lebih sensitif ini harus dibawa dalam media yang lebih pribadi, seperti kartu SD atau flashdisk.
  • Jika Anda menggunakan komputer untuk mengakses Internet dan bekerja dengan data penting, misalnya, bayangkan Anda telah bergabung dengan tren BYOD dan telah membawa pulang beberapa data bisnis. Nah, dalam situasi seperti ini, jangan bekerja online, coba putuskan sambungan (mengapa Anda ingin terhubung ke kantor misalnya dengan LibreOffice mengedit teks?). Komputer yang terputus adalah yang paling aman, ingatlah itu.
  • Terkait dengan hal di atas, jangan tinggalkan data penting di hard drive lokal saat bekerja online. Saya menyarankan Anda memiliki hard drive eksternal atau jenis memori lain (kartu memori, pen drive, dll.) Di mana Anda memiliki informasi ini. Jadi kami akan menempatkan penghalang antara peralatan kami yang terhubung dan memori "tidak terhubung" di mana data penting berada.
  • Buat salinan cadangan dari data yang Anda anggap menarik atau tidak ingin hilang. Ketika mereka menggunakan kerentanan untuk memasuki komputer Anda dan meningkatkan hak istimewa, penyerang akan dapat menghapus atau memanipulasi data apa pun tanpa hambatan. Itulah mengapa lebih baik memiliki cadangan.
  • Jangan tinggalkan data tentang kelemahan Anda di forum atau komentar di web. Jika misalnya Anda memiliki masalah keamanan pada komputer Anda dan memiliki port terbuka yang ingin Anda tutup, jangan tinggalkan masalah Anda di forum bantuan, karena dapat digunakan untuk melawan Anda. Seseorang dengan niat buruk dapat menggunakan informasi itu untuk mencari korban yang sempurna. Lebih baik Anda menemukan teknisi tepercaya untuk membantu Anda menyelesaikannya. Juga umum bagi perusahaan untuk memasang iklan di Internet seperti "Saya mencari pakar keamanan TI" atau "Staf diperlukan untuk departemen keamanan". Ini mungkin menunjukkan kemungkinan kelemahan pada perusahaan tersebut dan penjahat dunia maya dapat menggunakan jenis halaman ini untuk mencari korban yang mudah ... Tidak baik juga bagi Anda untuk meninggalkan informasi tentang sistem yang Anda gunakan dan versinya, seseorang dapat menggunakan eksploitasi untuk mengeksploitasi kerentanan versi itu. Singkatnya, semakin penyerang tidak menyadari keberadaan Anda, semakin sulit baginya untuk menyerang. Perlu diingat bahwa penyerang biasanya melakukan proses sebelum serangan yang disebut "pengumpulan informasi" dan terdiri dari pengumpulan informasi tentang korban yang dapat digunakan untuk melawan mereka.
  • Selalu perbarui peralatan Anda Dengan pembaruan dan tambalan terbaru, ingatlah bahwa dalam banyak kesempatan, ini tidak hanya meningkatkan fungsionalitas, tetapi juga memperbaiki bug dan kerentanan agar tidak dieksploitasi.
  • Gunakan sandi yang kuat. Jangan pernah memasukkan nama yang ada dalam kamus atau kata sandi jenis 12345, karena dengan serangan kamus mereka dapat dihapus dengan cepat. Selain itu, jangan biarkan sandi secara default, karena mudah dideteksi. Juga jangan gunakan tanggal lahir, nama kerabat, hewan peliharaan atau tentang selera Anda. Jenis sandi tersebut dapat dengan mudah ditebak oleh manipulasi psikologis. Cara terbaik adalah menggunakan kata sandi yang panjang dengan angka, huruf besar dan huruf kecil, serta simbol. Juga, jangan gunakan kata sandi master untuk semuanya, yaitu, jika Anda memiliki akun email dan sesi sistem operasi, jangan gunakan yang sama untuk keduanya. Ini adalah sesuatu yang di Windows 8 mereka telah disekrup ke bawah, karena kata sandi untuk masuk sama dengan akun Hotmail / Outlook Anda. Kata sandi yang aman adalah dari jenis: "auite3YUQK && w-". Dengan kekuatan kasar itu bisa dicapai, tapi waktu yang didedikasikan untuk itu membuatnya tidak sepadan ...
  • Jangan menginstal paket dari sumber yang tidak dikenal dan jika memungkinkan. Gunakan paket kode sumber dari situs resmi program yang ingin Anda instal. Jika paketnya dipertanyakan, saya sarankan Anda menggunakan lingkungan kotak pasir seperti Glimpse. Apa yang akan Anda capai adalah bahwa semua aplikasi yang Anda instal di Glimpse dapat berjalan normal, tetapi ketika mencoba membaca atau menulis data, itu hanya tercermin dalam lingkungan kotak pasir, mengisolasi sistem Anda dari masalah.
  • Utiliza hak istimewa sistem sesedikit mungkin. Dan ketika Anda membutuhkan hak istimewa untuk suatu tugas, disarankan agar Anda menggunakan "sudo" lebih disukai sebelum "su".

Tip sedikit lebih teknis lainnya:

Keamanan Komputer, gembok pada keyboard

Selain saran yang terlihat di bagian sebelumnya, Anda juga sangat disarankan untuk mengikuti langkah-langkah berikut untuk membuat distro Anda lebih aman. Ingatlah bahwa distribusi Anda bisa seaman yang Anda inginkanMaksud saya, semakin banyak waktu yang Anda habiskan untuk mengonfigurasi dan mengamankan, semakin baik.

Suite keamanan di Linux dan Firewall / UTM:

Utiliza SELinux atau AppArmor untuk memperkuat Linux Anda. Sistem ini agak rumit, tetapi Anda dapat melihat manual yang akan banyak membantu Anda. AppArmor bahkan dapat membatasi aplikasi yang sensitif terhadap eksploitasi dan tindakan proses yang tidak diinginkan lainnya. AppArmor telah disertakan dalam kernel Linux pada versi 2.6.36. File konfigurasinya disimpan di /etc/apparmor.d

Tutup semua port yang tidak Anda gunakan sering. Akan menarik bahkan jika Anda memiliki Firewall fisik, itu yang terbaik. Pilihan lainnya adalah mendedikasikan peralatan lama atau yang tidak digunakan untuk mengimplementasikan UTM atau Firewall untuk jaringan rumah Anda (Anda dapat menggunakan distribusi seperti IPCop, m0n0wall, ...). Anda juga dapat mengkonfigurasi iptables untuk menyaring apa yang tidak Anda inginkan. Untuk menutupnya, Anda dapat menggunakan "iptables / netfilter" yang mengintegrasikan kernel Linux itu sendiri. Saya sarankan Anda membaca manual di netfilter dan iptables, karena mereka cukup rumit dan tidak dapat dijelaskan dalam sebuah artikel. Anda dapat melihat port yang telah Anda buka dengan mengetik di terminal:

netstat -nap

Perlindungan fisik peralatan kami:

Anda juga dapat melindungi komputer Anda secara fisik jika Anda tidak mempercayai seseorang di sekitar Anda atau Anda harus meninggalkan komputer di suatu tempat dalam jangkauan orang lain. Untuk ini, Anda dapat menonaktifkan boot dari cara lain selain hard drive Anda di file BIOS / UEFI dan kata sandi melindungi BIOS / UEFI sehingga mereka tidak dapat memodifikasinya tanpanya. Ini akan mencegah seseorang mengambil USB yang dapat di-boot atau hard drive eksternal dengan sistem operasi terpasang dan dapat mengakses data Anda darinya, bahkan tanpa harus masuk ke distro Anda. Untuk melindunginya, akses BIOS / UEFI, di bagian Keamanan Anda dapat menambahkan kata sandi.

Anda dapat melakukan hal yang sama dengan GRUB, melindunginya dengan kata sandi:

grub-mkpasswd-pbkdf2

Masukkan kata sandi untuk GRUB yang Anda inginkan dan itu akan dikodekan dalam SHA512. Kemudian salin sandi terenkripsi (yang muncul di "PBKDF2 Anda adalah") untuk digunakan nanti:

sudo nano /boot/grub/grub.cfg

Buat pengguna di awal dan letakkan file kata sandi terenkripsi. Misalnya, jika sandi yang disalin sebelumnya adalah "grub.pbkdf2.sha512.10000.58AA8513IEH723":

set superusers=”isaac”
password_pbkdf2 isaac grub.pbkdf2.sha512.10000.58AA8513IEH723

Dan simpan perubahannya ...

Lebih sedikit perangkat lunak = lebih banyak keamanan:

Minimalkan jumlah paket yang diinstal. Instal hanya yang Anda butuhkan dan jika Anda akan berhenti menggunakannya, yang terbaik adalah mencopot pemasangannya. Semakin sedikit perangkat lunak yang Anda miliki, semakin sedikit kerentanannya. Ingat itu. Hal yang sama saya sarankan kepada Anda dengan layanan atau daemon dari program tertentu yang berjalan saat sistem dimulai. Jika Anda tidak menggunakannya, alihkan ke mode "nonaktif".

Hapus informasi dengan aman:

Saat Anda menghapus informasi dari disk, kartu memori atau partisi, atau hanya file atau direktori, lakukan dengan aman. Bahkan jika Anda merasa telah menghapusnya, itu dapat dengan mudah dipulihkan. Sama seperti secara fisik tidak berguna untuk membuang dokumen dengan data pribadi ke tempat sampah, karena seseorang dapat mengeluarkannya dari wadah dan melihatnya, jadi Anda harus menghancurkan kertasnya, hal yang sama terjadi dalam komputasi. Misalnya, Anda dapat mengisi memori dengan data acak atau null untuk menimpa data yang tidak ingin Anda ungkapkan. Untuk ini, Anda dapat menggunakan (agar berfungsi, Anda harus menjalankannya dengan hak istimewa dan mengganti / dev / sdax dengan perangkat atau partisi yang ingin Anda tindak dalam kasus Anda ...):

dd if=/dev/zeo of=/dev/sdax bs=1M
dd if=/dev/unrandom of=/dev/sdax bs=1M

Jika yang Anda inginkan adalah hapus file tertentu selamanya, Anda dapat menggunakan "rusak". Misalnya, bayangkan Anda ingin menghapus file bernama password.txt yang memiliki kata sandi sistem tertulis. Kita dapat menggunakan shred and overwrite misalnya 26 kali di atas untuk menjamin bahwa itu tidak dapat dipulihkan setelah penghapusan:

shred -u -z -n 26 contraseñas.txt

Ada alat-alat seperti HardWipe, Eraser atau Secure Delete yang dapat Anda instal "Wipe" (hapus permanen) memori, Partisi SWAP, RAM, dll.

Akun pengguna dan kata sandi:

Tingkatkan sistem kata sandi dengan alat seperti S / KEY atau SecurID untuk membuat skema kata sandi dinamis. Pastikan tidak ada kata sandi terenkripsi di direktori / etc / passwd. Kita harus lebih baik menggunakan / etc / shadow. Untuk ini, Anda dapat menggunakan "pwconv" dan "grpconv" untuk membuat pengguna dan grup baru, tetapi dengan sandi tersembunyi. Hal menarik lainnya adalah mengedit file / etc / default / passwd agar kata sandi Anda kedaluwarsa dan memaksa Anda untuk memperbaruinya secara berkala. Jadi jika mereka mendapatkan kata sandi, itu tidak akan bertahan selamanya, karena Anda akan sering mengubahnya. Dengan file /etc/login.defs Anda juga dapat memperkuat sistem kata sandi. Edit, cari entri PASS_MAX_DAYS dan PASS_MIN_DAYS untuk menentukan hari minimum dan maksimum sebuah kata sandi dapat bertahan sebelum kedaluwarsa. PASS_WARN_AGE menampilkan pesan untuk memberi tahu Anda bahwa sandi akan segera kedaluwarsa dalam X hari. Saya menyarankan Anda untuk melihat manual tentang file ini, karena entri sangat banyak.

itu akun yang tidak sedang digunakan dan mereka ada di / etc / passwd, mereka harus memiliki variabel Shell / bin / false. Jika yang lain, ubah ke yang ini. Dengan cara itu mereka tidak bisa digunakan untuk mendapatkan cangkang. Menarik juga untuk memodifikasi variabel PATH di terminal kita sehingga direktori saat ini "." Tidak muncul. Artinya, itu harus berubah dari “./user/local/sbin/:/usr/local/bin:/usr/bin:/bin” menjadi “/ user / local / sbin /: / usr / local / bin: / usr / bin: / bin ”.

Akan disarankan agar Anda menggunakan Kerberos sebagai metode otentikasi jaringan.

PAM (Modul Otentikasi yang Dapat Dicolokkan) itu seperti Microsoft Active Directory. Ini menyediakan skema otentikasi umum dan fleksibel dengan keuntungan yang jelas. Anda dapat melihat direktori /etc/pam.d/ dan mencari informasi di web. Cukup ekstensif untuk dijelaskan di sini ...

Perhatikan hak-hak istimewanya dari direktori yang berbeda. Misalnya, / root harus dimiliki oleh pengguna root dan grup root, dengan izin "drwx - - - - - -". Anda dapat menemukan informasi di web tentang hak akses yang harus dimiliki setiap direktori di pohon direktori Linux. Konfigurasi yang berbeda bisa berbahaya.

Enkripsi data Anda:

Mengenkripsi konten direktori atau partisi di mana Anda memiliki informasi yang relevan. Untuk ini, Anda dapat menggunakan LUKS atau dengan eCryptFS. Misalnya, bayangkan kita ingin mengenkripsi / home dari pengguna bernama isaac:

sudo apt-get install ecryptfs-utils
ecryptfs-setup-private
ecryptfs-migrate-home -u isaac

Setelah di atas, tunjukkan kata sandi atau kata sandi ketika ditanya ...

Untuk membuat direktori pribadiMisalnya disebut "private" kita juga bisa menggunakan eCryptFS. Di direktori itu kita dapat meletakkan hal-hal yang ingin kita enkripsi untuk menghapusnya dari tampilan orang lain:

mkdir /home/isaac/privado
chmod 700 /home/isaac/privado
mount -t ecryptfs /home/isaa/privado

Ini akan mengajukan pertanyaan kepada kami tentang parameter yang berbeda. Pertama, ini akan membiarkan kita memilih antara kata sandi, OpenSSL, ... dan kita harus memilih 1, yaitu, "kata sandi". Kemudian kami memasukkan kata sandi yang ingin kami verifikasi dua kali. Setelah itu, kami memilih jenis enkripsi yang kami inginkan (AES, Blowfish, DES3, CAST, ...). Saya akan memilih yang pertama, AES dan kemudian kami memperkenalkan tipe byte dari kunci (16, 32 atau 64). Dan akhirnya kami menjawab pertanyaan terakhir dengan "ya". Sekarang Anda dapat memasang dan melepas direktori ini untuk menggunakannya.

Jika Anda hanya ingin mengenkripsi file tertentu, Anda dapat menggunakan scrypt atau PGP. Misalnya, file bernama password.txt, Anda dapat menggunakan perintah berikut untuk mengenkripsi dan mendekripsi masing-masing (dalam kedua kasus itu akan meminta Anda untuk memasukkan kata sandi):

scrypt <contraseñas.txt>contraseñas.crypt
scrypt <contraseñas.crypt>contraseñas.txt

Verifikasi dua langkah dengan Google Authenticator:

Google AUthenticator di terminal Ubutnu

Tambah verifikasi dua langkah di sistem Anda. Jadi, meskipun kata sandi Anda dicuri, mereka tidak akan memiliki akses ke sistem Anda. Misalnya, untuk Ubuntu dan lingkungan Unity-nya kita dapat menggunakan LightDM, tetapi prinsipnya dapat diekspor ke distro lain. Anda memerlukan tablet atau smartphone untuk ini, di dalamnya Anda harus menginstal Google Authenticator dari Play Store. Kemudian di PC, hal pertama yang harus dilakukan adalah menginstal Google Authenticator PAM dan memulainya:

sudo apt-get install libpam-google-authenticator
google-authenticator

Ketika Anda bertanya kepada kami apakah kunci verifikasi akan didasarkan pada waktu, kami menjawab dengan tegas dengan y. Sekarang ini menunjukkan kepada kita kode QR untuk dikenali Google Authenticator Dari ponsel cerdas Anda, opsi lainnya adalah memasukkan kunci rahasia langsung dari aplikasi (yang muncul di PC sebagai "Rahasia baru Anda adalah:"). Dan itu akan memberi kita serangkaian kode jika kita tidak membawa smartphone bersama kita dan akan lebih baik untuk mengingatnya jika ada lalat. Dan kami terus membalas dengan yon sesuai dengan preferensi kami.

Sekarang kami membuka (dengan nano, gedit, atau editor teks favorit Anda) file konfigurasi dengan:

sudo gedit /etc/pam.d/lightdm

Dan kami menambahkan baris:

auth required pam_google_authenticator.so nullok

Kami menyimpan dan saat berikutnya Anda masuk, itu akan meminta kami untuk kunci verifikasi yang akan dihasilkan oleh ponsel kita untuk kita.

Jika suatu hari apakah Anda ingin menghapus verifikasi XNUMX langkah, Anda hanya perlu menghapus baris "auth diperlukan pam_google_authenticator.so nullok" dari file /etc/pam.d/lightdm
Ingat, akal sehat dan kehati-hatian adalah sekutu terbaik. Lingkungan GNU / Linux aman, tetapi komputer mana pun yang terhubung ke jaringan tidak lagi aman, tidak peduli seberapa bagus sistem operasi yang Anda gunakan. Jika Anda memiliki pertanyaan, masalah, atau saran, Anda dapat meninggalkan komentar. Saya harap ini membantu…


tinggalkan Komentar Anda

Alamat email Anda tidak akan dipublikasikan. Bidang yang harus diisi ditandai dengan *

*

*

  1. Bertanggung jawab atas data: AB Internet Networks 2008 SL
  2. Tujuan data: Mengontrol SPAM, manajemen komentar.
  3. Legitimasi: Persetujuan Anda
  4. Komunikasi data: Data tidak akan dikomunikasikan kepada pihak ketiga kecuali dengan kewajiban hukum.
  5. Penyimpanan data: Basis data dihosting oleh Occentus Networks (UE)
  6. Hak: Anda dapat membatasi, memulihkan, dan menghapus informasi Anda kapan saja.

  1.   Nuria dijo
    dahulu 8 tahun

    Halo bagus, lihat saya berkomentar; Saya telah menginstal google-authenticator pada Raspbian tanpa masalah apa pun dan aplikasi seluler mendaftar dengan baik dan memberi saya kode, tetapi ketika memulai ulang raspberry dan memulai ulang sistem itu tidak meminta saya untuk memasukkan kode otentikasi ganda. Itu hanya muncul untuk saya untuk memasukkan nama pengguna dan kata sandi.

    Terima kasih banyak. Salam.

    Balas Nuria