מאמרים רבים פורסמו ב- הפצות לינוקס מאובטחים יותר, כגון TAILS (שמבטיח את פרטיותך ואת האנונימיות שלך באינטרנט), Whonix (לינוקס לפרנואיד אבטחה) והפצות אחרות שמטרתן להיות בטוחה. אך כמובן, לא כל המשתמשים רוצים להשתמש בהפצות אלה. לכן במאמר זה אנו נותנים סדרת המלצות עבור «התקשות לינוקסכלומר, הפוך את ההפצה שלך (מה שזה לא יהיה) לבטוח יותר.
רד האט, SUSE, CentOS, openSUSE, אובונטו, דביאן, Arch Linux, Linux Mint, ... איזה הבדל זה משנה. כל הפצה יכולה להיות בטוחה הכי בטוח אם אתה יודע את זה לעומק ויודע להגן על עצמך מפני הסכנות שמאיימות עליך. ולשם כך ניתן לנקוט בפעולות ברמות רבות, לא רק ברמת התוכנה, אלא גם ברמת החומרה.
ארנבות בטיחות גנריות:
בחלק זה אתן לך כמה טיפים בסיסיים ופשוטים מאוד שאינם זקוקים לידע ממוחשב כדי להבין אותם, הם רק השכל הישר, אך שלפעמים אנו לא מבצעים זאת בגלל חוסר זהירות או חוסר זהירות:
- אל תעלו נתונים אישיים או רגישים לענן. הענן, בין אם הוא בחינם ובין אם הוא מאובטח פחות או יותר, הוא כלי טוב שיהיו נתונים זמינים בכל מקום אליו תלכו. אך נסו לא להעלות נתונים שאינכם רוצים "לשתף" עם הצופים. סוג זה של נתונים רגישים יותר חייב להישאר במדיום אישי יותר, כגון כרטיס SD או pendrive.
- אם אתה משתמש במחשב כדי לגשת לאינטרנט ולעבוד עם נתונים חשובים, למשל, דמיין שהצטרפת למגמת BYOD ולקחת כמה נתונים עסקיים הביתה. ובכן, בנסיבות מסוג זה, לא עובד באינטרנט, נסה להיות מנותק (מדוע אתה רוצה להיות מחובר לעבודה למשל עם LibreOffice בעריכת טקסט?). מחשב מנותק הוא הבטוח ביותר, זכרו זאת.
- קשור לעיל, אל תשאיר נתונים חשובים בכונן הקשיח המקומי בעת עבודה מקוונת. אני ממליץ שיהיה לך כונן קשיח חיצוני או סוג אחר של זיכרון (כרטיסי זיכרון, כונני עטים וכו ') שיש ברשותך מידע זה. כך נשים מחסום בין הציוד המחובר שלנו לבין אותו זיכרון "לא מחובר" במקום בו נמצאים הנתונים החשובים.
- צור עותקי גיבוי מהנתונים שנחשבים לך מעניינים או שאינם מעוניינים לאבד. כאשר הם משתמשים בפגיעות כדי להיכנס למחשב שלך ולהגביר את ההרשאות, התוקף יוכל למחוק או לתפעל כל נתונים ללא מכשולים. לכן עדיף שיהיה גיבוי.
- אל תשאיר בפורומים נתונים על נקודות התורפה שלך או הערות ברשת. אם למשל יש לך בעיות אבטחה במחשב שלך ויש לו יציאות פתוחות שברצונך לסגור, אל תשאיר את הבעיה שלך בפורום לעזרה, מכיוון שניתן להשתמש בה נגדך. מישהו עם כוונות רעות יכול להשתמש במידע הזה כדי לחפש את הקורבן המושלם שלו. עדיף שתמצא טכנאי מהימן שיעזור לך לפתור אותם. מקובל גם שחברות מעלות מודעות באינטרנט כמו "אני מחפש מומחה לאבטחת IT" או "דרוש כוח אדם למחלקת האבטחה." זה עשוי להצביע על חולשה אפשרית בחברה האמורה ופושע סייבר יכול להשתמש בדפים מסוג זה כדי לחפש קורבנות קלים ... לא טוב לך להשאיר מידע על המערכת בה אתה משתמש וגרסאות, מישהו יכול להשתמש במנצלים כדי לנצל. נקודות תורפה של גרסה זו. בקיצור, ככל שהתוקף לא מודע אליך יותר, כך יהיה לו קשה יותר לתקוף. יש לזכור שתוקפים מבצעים בדרך כלל תהליך לפני ההתקפה הנקרא "איסוף מידע" והוא מורכב מאיסוף מידע אודות הקורבן שיכול לשמש נגדם.
- עדכן את הציוד שלך עם העדכונים והתיקונים האחרונים, זכור כי בהזדמנויות רבות אלה לא רק משפרים את הפונקציונליות, אלא גם מתקנים באגים ופגיעות כך שלא ינוצלו.
- השתמש בסיסמאות חזקות. לעולם אל תשים שמות שנמצאים במילון או סיסמאות כמו 12345, מכיוון שעם התקפות מילוניות ניתן להסיר אותן במהירות. כמו כן, אל תשאיר סיסמאות כברירת מחדל, מכיוון שניתן לזהות אותן בקלות. כמו כן אל תשתמש בתאריכי לידה, שמות של קרובי משפחה, חיות מחמד או על פי טעמך. סוגים אלה של סיסמאות ניתנים לנחש בקלות על ידי הנדסה חברתית. עדיף להשתמש בסיסמה ארוכה עם מספרים, אותיות קטנות וסימנים. כמו כן, אל תשתמש בסיסמאות ראשי לכל דבר, כלומר, אם יש לך חשבון דוא"ל והפעלה של מערכת הפעלה, אל תשתמש באותה מידה עבור שניהם. זה משהו שב- Windows 8 הם התברגו לתחתית, מכיוון שהסיסמה להתחברות זהה לחשבון Hotmail / Outlook שלך. סיסמה מאובטחת היא מהסוג: "auite3YUQK && w-". בכוח אכזרי ניתן היה להשיג זאת, אך הזמן המוקדש לכך גורם לכך שלא יהיה שווה את זה ...
- אל תתקין חבילות ממקורות לא ידועים ואם אפשר. השתמש בחבילות קוד המקור מהאתר הרשמי של התוכנית שברצונך להתקין. אם החבילות מוטלות בספק, אני ממליץ להשתמש בסביבת ארגזי חול כמו Glimpse. מה שתשיג הוא שכל היישומים שתתקין ב- Glimpse יכולים לפעול כרגיל, אך כשאתה מנסה לקרוא או לכתוב נתונים, זה בא לידי ביטוי רק בסביבת ארגז החול, ומבודד את המערכת שלך מבעיות.
- שימוש הרשאות מערכת כמה שפחות. וכשאתה זקוק להרשאות למשימה, מומלץ להשתמש ב"סודו "רצוי לפני" su ".
טיפים טכניים מעט יותר:
בנוסף לעצות שנראו בסעיף הקודם, מומלץ מאוד לבצע את הצעדים הבאים כדי להפוך את ההפצה שלך לבטוחה עוד יותר. זכור שההפצה שלך יכולה להיות בטוח כמו שאתה רוצהכלומר, ככל שאתה משקיע יותר זמן בתצורה ואבטחה, כן ייטב.
חבילות אבטחה בלינוקס ובחומת האש / UTM:
שימוש SELinux או AppArmor לחזק את לינוקס שלך. מערכות אלו מורכבות במקצת, אך ניתן לראות מדריכים שיעזרו לכם רבות. AppArmor יכול להגביל אפילו יישומים הרגישים למעללים ולפעולות תהליכי לא רצויות אחרות. AppArmor נכלל בליבת הלינוקס החל מגרסת 2.6.36. קובץ התצורה שלו מאוחסן ב /etc/apparmor.d
סגור את כל היציאות שאינך משתמש בהן בתדירות גבוהה. זה יהיה מעניין גם אם יש לך חומת אש פיזית, זה הכי טוב. אפשרות נוספת היא להקדיש ציוד ישן או שאינו בשימוש ליישום UTM או חומת אש לרשת הביתית שלך (אתה יכול להשתמש בהפצות כגון IPCop, m0n0wall, ...). אתה יכול גם להגדיר טבלאות ipt כדי לסנן את מה שאתה לא רוצה. כדי לסגור אותם תוכלו להשתמש ב- "iptables / netfilter" המשלב את ליבת הלינוקס עצמה. אני ממליץ לך להתייעץ עם מדריכים בנושא netfilter ו- iptables, מכיוון שהם מורכבים למדי ולא ניתן היה להסביר אותם במאמר. אתה יכול לראות את היציאות שפתוחות על ידי הקלדת המסוף:
netstat -nap
הגנה פיזית על הציוד שלנו:
אתה יכול גם להגן פיזית על המחשב שלך במקרה שאתה לא סומך על מישהו סביבך או שאתה צריך להשאיר את המחשב איפשהו בהישג ידם של אנשים אחרים. לשם כך אתה יכול להשבית את האתחול מאמצעים אחרים מלבד הכונן הקשיח שלך BIOS / UEFI ולהגן על ה- BIOS / UEFI באמצעות סיסמה כך שלא יוכלו לשנות אותו בלעדיו. זה ימנע ממישהו לקחת USB הניתן לאתחול או כונן קשיח חיצוני עם מערכת הפעלה מותקנת ולהיות מסוגל לגשת לנתונים שלך ממנו, מבלי שיהיה צורך להיכנס למחשב שלך. כדי להגן עליו, גש ל- BIOS / UEFI, בחלק האבטחה אתה יכול להוסיף את הסיסמה.
אתה יכול לעשות את אותו הדבר עם GRUB, מגן עליו באמצעות סיסמה:
grub-mkpasswd-pbkdf2
להיכנס ל סיסמה ל- GRUB אתה רוצה וזה יקודד ב- SHA512. לאחר מכן העתק את הסיסמה המוצפנת (זו המופיעה ב"ה PBKDF2 שלך היא ") לשימוש מאוחר יותר:
sudo nano /boot/grub/grub.cfg
צור משתמש בהתחלה ושם את סיסמא מוצפנת. לדוגמה, אם הסיסמה שהועתקה בעבר הייתה "grub.pbkdf2.sha512.10000.58AA8513IEH723":
set superusers=”isaac” password_pbkdf2 isaac grub.pbkdf2.sha512.10000.58AA8513IEH723
ושמור את השינויים ...
פחות תוכנה = יותר אבטחה:
צמצם את מספר החבילות המותקנות. התקן רק את אלה שאתה צריך ואם אתה מתכוון להפסיק להשתמש באחד, עדיף להסיר אותו. ככל שיש לך פחות תוכנה, כך יש פחות נקודות תורפה. תזכור את זה. אותו הדבר אני מייעץ לך לגבי השירותים או הדמונים של תוכניות מסוימות הפועלות בעת הפעלת המערכת. אם אינך משתמש בהם, הכנס אותם למצב "כבוי".
מחק מידע בבטחה:
כשאתה מוחק מידע של דיסק, כרטיס זיכרון או מחיצה, או פשוט קובץ או ספריה, עשו זאת בבטחה. גם אם אתה חושב שמחקת אותו, ניתן לשחזר אותו בקלות. כמו שפיזית זה לא שימושי לזרוק מסמך עם נתונים אישיים לפח, מכיוון שמישהו יכול להוציא אותו מהמיכל ולראות אותו, אז אתה צריך להשמיד את הנייר, אותו דבר קורה במחשוב. לדוגמה, באפשרותך למלא את הזיכרון בנתונים אקראיים או nullיים כדי להחליף נתונים שאינך מעוניין לחשוף. לשם כך אתה יכול להשתמש (כדי שזה יעבוד עליך להריץ אותו עם הרשאות ולהחליף / dev / sdax עם המכשיר או המחיצה שאתה רוצה לפעול במקרה שלך ...):
dd if=/dev/zeo of=/dev/sdax bs=1M dd if=/dev/unrandom of=/dev/sdax bs=1M
אם מה שאתה רוצה זה למחוק קובץ ספציפי לנצח, אתה יכול להשתמש ב"גרוס ". לדוגמא, דמיין שברצונך למחוק קובץ בשם passwords.txt ובו רשומות סיסמאות מערכת. אנו יכולים להשתמש בגרוס וכתיבה למשל 26 פעמים לעיל כדי להבטיח שלא ניתן יהיה לשחזר אותו לאחר המחיקה:
shred -u -z -n 26 contraseñas.txt
ישנם כלים כמו HardWipe, Eraser או Secure Delete שתוכל להתקין אליהם "מחק" (מחק לצמיתות) זיכרונות, מחיצות SWAP, זיכרון RAM וכו '.
חשבונות משתמש וסיסמאות:
שפר את מערכת הסיסמאות בעזרת כלים כמו S / KEY או SecurID ליצירת ערכת סיסמאות דינמיות. ודא שאין סיסמה מוצפנת בספריה / etc / passwd. עלינו להשתמש טוב יותר ב- / etc / shadow. לשם כך תוכלו להשתמש ב- "pwconv" ו- "grpconv" כדי ליצור משתמשים וקבוצות חדשים, אך עם סיסמה נסתרת. דבר מעניין נוסף הוא לערוך את קובץ / etc / default / passwd כדי לפוג את הסיסמאות שלך ולאלץ אותך לחדש אותן מעת לעת. אז אם הם יקבלו סיסמה, היא לא תימשך לנצח, מכיוון שתשנה אותה לעתים קרובות. באמצעות הקובץ /etc/login.defs תוכלו גם לחזק את מערכת הסיסמאות. ערוך אותו, מחפש את הערך PASS_MAX_DAYS ו- PASS_MIN_DAYS כדי לציין את הימים המינימליים והמקסימליים שסיסמה יכולה להימשך לפני תפוגת התוקף. PASS_WARN_AGE מציג הודעה שתיידע אותך שהסיסמה תפוג בעוד X ימים בקרוב. אני ממליץ לך לראות מדריך אודות קובץ זה, מכיוון שהערכים רבים מאוד.
לאס חשבונות שאינם בשימוש והם קיימים ב- / etc / passwd, עליהם להיות המשתנה של Shell / bin / false. אם זה אחר, שנה אותו לזה. בדרך זו לא ניתן להשתמש בהם כדי להשיג מעטפת. מעניין גם לשנות את המשתנה PATH במסוף שלנו כך שהספריה הנוכחית "." לא תופיע. כלומר, עליו לשנות מ- ./user/local/sbin/:/usr/local/bin:/usr/bin:/bin "ל-" / user / local / sbin /: / usr / local / bin: / usr / bin: / bin ”.
מומלץ להשתמש Kerberos כשיטת אימות רשת.
PAM (מודול אימות ניתן לחיבור) זה משהו כמו Microsoft Active Directory. הוא מספק ערכת אימות נפוצה וגמישה עם יתרונות ברורים. אתה יכול להעיף מבט בספריה /etc/pam.d/ ולחפש מידע באינטרנט. זה די נרחב להסביר כאן ...
עקוב אחר הפריבילגיות מהספריות השונות. לדוגמא, / root צריך להיות שייך למשתמש השורש ולקבוצת השורשים, עם הרשאות "drwx - - - - - -". תוכל למצוא מידע באינטרנט על ההרשאות של כל ספרייה בעץ הספריות של לינוקס. תצורה שונה עלולה להיות מסוכנת.
הצפן את הנתונים שלך:
מצפין את תוכן הספריה או המחיצה שם יש לך מידע רלוונטי. לשם כך תוכלו להשתמש ב- LUKS או עם eCryptFS. לדוגמא, דמיין שברצוננו להצפין / בית של משתמש בשם isaac:
sudo apt-get install ecryptfs-utils ecryptfs-setup-private ecryptfs-migrate-home -u isaac
לאחר האמור לעיל, ציין את משפט הסיסמה או הסיסמה כשנשאל ...
כדי ליצור מדריך פרטילדוגמא בשם "פרטי" אנו יכולים גם להשתמש ב- eCryptFS. בספרייה זו אנו יכולים לשים את הדברים שאנו רוצים להצפין כדי להסיר אותם מעיני אחרים:
mkdir /home/isaac/privado chmod 700 /home/isaac/privado mount -t ecryptfs /home/isaa/privado
זה ישאל אותנו שאלות לגבי פרמטרים שונים. ראשית, זה יאפשר לנו לבחור בין סיסמאות, OpenSSL, ... ועלינו לבחור 1, כלומר "משפט סיסמה". ואז אנחנו מזינים את הסיסמה שאנחנו רוצים לאמת פעמיים. לאחר מכן, אנו בוחרים את סוג ההצפנה הרצוי לנו (AES, Blowfish, DES3, CAST, ...). הייתי בוחר הראשון, AES ואז אנו מציגים את סוג הבייט של המקש (16, 32 או 64). ולבסוף אנו עונים על השאלה האחרונה ב"כן ". עכשיו אתה יכול לעלות ולבטל את הספרייה הזו כדי להשתמש בה.
אם אתה רק רוצה להצפין קבצים ספציפיים, אתה יכול להשתמש ב- scrypt או ב- PGP. לדוגמה, קובץ הנקרא passwords.txt, באפשרותך להשתמש בפקודות הבאות כדי להצפין ולפענח בהתאמה (בשני המקרים הוא יבקש ממך סיסמה):
scrypt <contraseñas.txt>contraseñas.crypt scrypt <contraseñas.crypt>contraseñas.txt
אימות דו-שלבי באמצעות מאמת גוגל:
הוסף אימות דו-שלבי במערכת שלך. לפיכך, גם אם הסיסמה שלך נגנבת, לא תהיה להם גישה למערכת שלך. לדוגמא, עבור אובונטו וסביבת האחדות שלה אנו יכולים להשתמש ב- LightDM, אך ניתן לייצא את העקרונות להפצות אחרות. תצטרך טאבלט או טלפון חכם לשם כך, עליך להתקין את Google Authenticator מחנות Play. ואז במחשב האישי, הדבר הראשון הוא להתקין את ה- PAM של Google Authenticator ולהפעיל אותו:
sudo apt-get install libpam-google-authenticator google-authenticator
כשאתה שואל אותנו אם מפתחות האימות יתבססו על זמן, אנו עונים בחיוב עם y. עכשיו זה מראה לנו קוד QR שיש להכיר איתו מאמת Google מהסמארטפון שלך, אפשרות נוספת היא להזין את המפתח הסודי ישירות מהאפליקציה (הוא זה שהופיע במחשב כ"הסוד החדש שלך הוא: "). וזה ייתן לנו סדרת קודים למקרה שלא נשא אתנו את הסמארטפון ושתיהיה טוב לזכור אותם במקרה והזבובים. ואנחנו ממשיכים להשיב עם יון בהתאם להעדפותינו.
כעת אנו פותחים (עם ננו, gedit או עורך הטקסט המועדף עליך) על קובץ תצורה עם:
sudo gedit /etc/pam.d/lightdm
ואנחנו מוסיפים את השורה:
auth required pam_google_authenticator.so nullok
אנו שומרים ובפעם הבאה שתיכנס, היא תבקש מאיתנו את מפתח אימות שהנייד שלנו ייצור עבורנו.
אם יום אחד האם ברצונך להסיר אימות דו-שלבי, אתה רק צריך למחוק את השורה "נדרש אימות pam_google_authenticator.so nullok" מהקובץ /etc/pam.d/lightdm
זכרו, השכל הישר וזהירות הוא בעל הברית הטוב ביותר. סביבת GNU / Linux מאובטחת, אך כל מחשב המחובר לרשת אינו מאובטח עוד, לא משנה כמה טובה מערכת ההפעלה בה אתה משתמש. אם יש לך שאלות, בעיות או הצעות, אתה יכול לעזוב את תגובה. אני מקווה שזה עוזר…
שלום טוב, תראה אני מגיב; התקנתי גוגל-מאמת ב- Raspbian בלי שום בעיה והאפליקציה הסלולרית נרשמת היטב ומספקת לי את הקוד, אבל כשאתה מפעיל מחדש את הפטל ומפעיל מחדש את המערכת הוא לא מבקש ממני להזין את קוד האימות הכפול זה נראה לי רק להזנת שם המשתמש והסיסמה.
תודה רבה. ברכת שלום.