Linux Hardenining: Tipps fir Ären Distro ze schützen a méi sécher ze maachen

Harding Linux zwee Tuxen, een defenslos an een an der Rüstung

Vill Artikele goufen publizéiert op Linux Verdeelungen méi sécher, wéi TAILS (déi Är Privatsphär an Anonymitéit um Internet garantéiert), Whonix (e Linux fir Sécherheetsparanoiden) an aner Distros fir sécher ze sinn. Awer natierlech, net all Benotzer wëllen dës Verdeelunge benotzen. Duerfir gi mir an dësem Artikel eng Serie vu Empfehlungen fir de «Linux Härtung«, Dat ass, maacht Ären Distro (egal wéi et ass) méi sécher.

Red Hat, SUSE, CentOS, openSUSE, Ubuntu, Debian, Arch Linux, Linux Mint, ... wéi en Ënnerscheed mécht et. All Verdeelung ka sécher sinn als déi sécherst wann Dir et an der Déift wësst a wësst wéi Dir Iech vun de Gefore schütze kënnt déi Iech bedrohen. A fir dëst kënnt Dir op ville Niveauen handelen, net nëmmen um Software Niveau, awer och um Hardwareniveau.

Generesch Sécherheetshuesen:

Hardware Sécherheets Padlocked Circuit

An dëser Sektioun ginn ech Iech e puer ganz Basis an einfach Tipps déi kee Computerkenntnisser brauche fir se ze verstoen, si sinn nëmme gesonde Mënscheverstand awer dat maache mir heiansdo net wéinst Onbedenklechkeet oder Onbedenklechkeet:

  • Eroplueden net perséinlech oder sensibel Daten an d'Wollek. D'Wollek, egal ob et gratis ass oder net an ob et méi oder manner sécher ass, ass e gutt Tool fir Är Donnéeën verfügbar ze hunn wou Dir gitt. Probéiert awer net Daten eropzelueden déi Dir net mat den Zuschauer "deele" wëllt. Dës Zort vu méi sensiblen Donnéeë muss an engem méi perséinleche Medium gedroe ginn, sou wéi eng SD Kaart oder Pendrive.
  • Wann Dir e Computer benotzt fir Zougang zum Internet ze kréien a mat wichtegen Daten ze schaffen, zum Beispill, stellt Iech vir datt Dir an de BYOD-Wahnsinn bäitrieden an e puer Geschäftsdaten heem geholl hutt. Gutt, an dësen Ëmstänn, net online schaffen, probéiert ze trennen (firwat wëllt Dir verbonne sinn fir zum Beispill mat LibreOffice ze schaffen fir en Text z'änneren?). En deconnectéierte Computer ass dee séchersten, denk drun.
  • Zesummenhang mat den uewe genannten, verloosse keng wichteg Daten op der lokaler Festplack wann Dir online schafft. Ech recommandéieren datt Dir eng extern Festplack oder eng aner Zort Gedächtnis hutt (Memory Cards, Pen Drive, etc.) an deenen Dir dës Informatioun hutt. Sou wäerte mir eng Barrière setzen tëscht eiser verbonne Ausrüstung an deem "net verbonne" Gedächtnis wou déi wichteg Donnéeë sinn.
  • Maacht Backupskopien vun den Daten déi Dir als interessant fannt oder net wëllt verléieren. Wann se Schwachstelle benotze fir Äre Computer anzeginn a Privilegien eropzesetzen, kann den Ugräifer all Daten ouni Behënnerungen läschen oder manipuléieren. Dofir ass et besser e Backup ze hunn.
  • Loosst keng Daten iwwer Är schwaach Punkten a Foren oder Kommentaren op de Weben. Wann Dir zum Beispill Sécherheetsprobleemer op Ärem Computer hutt an et huet oppe Ports déi Dir wëllt zoumaachen, loosst Äre Problem net an engem Forum fir Hëllef, well et ka géint Iech benotzt ginn. Een mat schlechten Intentiounen kann dës Informatioun benotze fir no hirem perfekte Affer ze sichen. Et ass besser datt Dir en zouverléissegen Techniker fannt fir Iech ze léisen. Et ass och heefeg fir Firmen Annoncen um Internet ze setzen wéi "Ech sichen en IT Sécherheetsexpert" oder "Personal brauch fir de Sécherheetsdepartement." Dëst kann eng méiglech Schwächt an där Firma uginn an e Cyberkriminal kann dës Säiten benotze fir no einfachen Affer ze sichen ... Et ass och net gutt fir Iech Informatiounen iwwer de System ze verloossen deen Dir benotzt a Versiounen, iergendeen kéint Exploiten benotze fir auszenotzen Schwachstelle vun där Versioun. Kuerz, wat de Stiermer Iech net bewosst ass, wat et méi schwéier ass fir hien ze attackéieren. Denkt drun datt Ugräifer normalerweis e Prozess virum Attacke maachen "Informatiounsversammlung" genannt an et besteet aus Informatioun iwwer d'Affer ze sammelen déi géint si kënne benotzt ginn.
  • Halen Är Equipement aktualiséiert Mat de leschten Updates a Patches, erënnert Iech datt bei ville Geleeënheeten dës net nëmmen d'Funktionalitéiten verbesseren, se korrigéieren och Bugs a Schwachstelle sou datt se net exploitéiert ginn.
  • Benotzt staark Passwierder. Setzt ni Nimm déi am Wierderbuch sinn oder Passwierder wéi 12345, well mat Wierderbuchattacken kënne se séier ewechgeholl ginn. Loosst och net Passwierder par défaut, well se einfach erkennbar sinn. Benotzt och net Gebuertsdatum, Nimm vu Familljen, Hausdéieren oder iwwer Äre Goût. Dës Aarte vu Passwierder kënne ganz einfach vu Sozialtechnik geroden. Et ass am beschten e laangt Passwuert mat Zuelen, Grouss- a kleng Buschtawen a Symboler ze benotzen. Benotzt och net Master Passwierder fir alles, dat ass, wann Dir en E-Mail-Kont an eng Betribssystem Sessioun hutt, benotzt net datselwecht fir béid. Dëst ass eppes wat am Windows 8 se bis ënnen verschrauft hunn, well de Passwuert fir Iech unzemellen ass déiselwecht wéi Ären Hotmail / Outlook Kont. E séchert Passwuert ass vum Typ: "auite3YUQK && w-". Mat brutaler Kraaft kéint et erreecht ginn, awer d'Zäit déi et gewidmet ass mécht et net wäert ...
  • Installéiert keng Packagen aus onbekannte Quellen a wa méiglech. Benotzt d'Source Code Packagen vun der offizieller Websäit vum Programm deen Dir installéiere wëllt. Wann d'Packagen zweifelhaft sinn, empfeelen ech datt Dir e Sandkëscht Ëmfeld wéi Glimpse benotzt. Wat Dir erreecht ass datt all Uwendungen déi Dir am Glimpse installéiere kënnt normalerweis lafen, awer wann Dir probéiert Daten ze liesen oder ze schreiwen, gëtt et nëmmen am Sandkëscht Ëmfeld reflektéiert, Äre System vu Probleemer isoléiert.
  • Benotzt System Privilegien sou mann wéi méiglech. A wann Dir Privilegë fir eng Aufgab braucht, da gëtt et recommandéiert datt Dir "Sudo" am léifsten virum "su" benotzt.

Aner liicht méi technesch Tipps:

Computersécherheet, Hängeschloss op der Tastatur

Niewent dem Berodung an der viregter Sektioun ass et och recommandéiert datt Dir déi folgend Schrëtt follegt fir Är Distro nach méi sécher ze maachen. Bedenkt datt Är Verdeelung ka sinn sou sécher wéi Dir wëlltEch mengen, wat méi Zäit Dir konfiguréiert a geséchert verbréngt, wat besser ass.

Sécherheetssuiten an Linux a Firewall / UTM:

Benotzt SELinux oder AppArmor fir Äert Linux ze verstäerken. Dës Systemer sinn e bësse komplex, awer Dir kënnt Handbüroen gesinn, déi Iech vill hëllefen. AppArmor kann och sensibel Uwendunge limitéieren aus Exploiten an aneren ongewollte Prozessaktiounen. AppArmor gouf am Linux Kernel ab Versioun 2.6.36 abegraff. Seng Konfiguratiounsdatei ass an /etc/apparmor.d gespäichert

Maacht all Ports zou, déi Dir net benotzt dacks. Et wier interessant och wann Dir eng kierperlech Firewall hutt, dat ass dat Bescht. Eng aner Optioun ass eng al oder onbenotzt Ausrüstung ze widmen fir en UTM oder Firewall fir Äert Heemennetz z'implementéieren (Dir kënnt Verdeelunge wéi IPCop, m0n0wall, ...) benotzen. Dir kënnt och iptables konfiguréieren fir erauszefilteren wat Dir net wëllt. Fir se zouzemaachen kënnt Dir "iptables / netfilter" benotzen deen de Linux Kernel selwer integréiert. Ech recommandéieren Iech Handbüroen op Netfilter an iptables ze konsultéieren, well se zimlech komplex sinn an an engem Artikel net erkläert kënne ginn. Dir kënnt d'Ports gesinn déi Dir opgemaach hutt andeems Dir am Terminal tippt:

netstat -nap

Kierperleche Schutz vun eiser Ausrüstung:

Dir kënnt och Äre Computer kierperlech schützen am Fall wou Dir engem net ronderëm Iech traut oder Dir musst Äre Computer iergendwou an der Reechwäit vun anere Leit hannerloossen. Fir dëst kënnt Dir de Boot vun anere Mëttelen ausschalten wéi Är Festplack an der BIOS / UEFI a Passwuert de BIOS / UEFI schützen sou datt se et net ouni se änneren. Dëst wäert verhënneren datt een eng bootbar USB oder extern Festplatte mat engem installéiert Betribssystem hëlt a fäeg ass Zougang zu Ären Daten dovun ze kréien, ouni datt Dir Iech selwer an Är Distro aloggt. Fir et ze schützen, gitt op de BIOS / UEFI, an der Sécherheets Sektioun kënnt Dir de Passwuert derbäisetzen.

Dir kënnt dat selwecht maache mat GRUB, Passwuert ze schützen:

grub-mkpasswd-pbkdf2

Gitt d ' Passwuert fir GRUB Dir wëllt an et gëtt am SHA512 kodéiert. Da kopéiert dat verschlësselte Passwuert (deen dat an "Äre PBKDF2 ass") fir méi spéit ze benotzen:

sudo nano /boot/grub/grub.cfg

Erstellt e Benotzer am Ufank a setzt de verschlësselt Passwuert. Zum Beispill, wann dat virdru kopéiert Passwuert "grub.pbkdf2.sha512.10000.58AA8513IEH723" war:

set superusers=”isaac”
password_pbkdf2 isaac grub.pbkdf2.sha512.10000.58AA8513IEH723

A späichert d'Ännerungen ...

Manner Software = méi Sécherheet:

Miniméiert d'Zuel vun installéiert Packagen. Installéiert nëmmen déi, déi Dir braucht, a wann Dir ophale mat engem ze benotzen, ass et am beschten et z'installéieren. Wat manner Software Dir hutt, wat manner Schwachlëchkeet ass. Denkt drun. Datselwecht roden ech Iech mat de Servicer oder Dämonen vu bestëmmte Programmer déi lafen wann de System ufänkt. Wann Dir se net benotzt, setzt se am "aus" Modus.

Sécher Informatioun läschen:

Wann Dir Informatioun läscht vun enger Disk, enger Speicherkaart oder Partition, oder einfach engem Fichier oder Verzeechnes, maach et sécher. Och wann Dir mengt Dir hätt et geläscht, kann et einfach erëmfonnt ginn. Just wéi kierperlech ass et net nëtzlech en Dokument mat perséinlechen Daten an den Dreck ze geheien, well een et aus dem Container eraushuele kann an et gesäit, also musst Dir de Pabeier zerstéieren, datselwecht geschitt am Rechen. Zum Beispill kënnt Dir Erënnerung mat zoufällegen oder null Daten ausfëllen fir Daten ze iwwerschreiwe déi Dir net wëllt aussetzen. Fir dëst kënnt Dir benotzen (fir datt et funktionnéiert musst Dir et mat Privilegien ausféieren an / dev / sdax ersetzen mat dem Apparat oder der Partition, op déi Dir an Ärem Fall handele wëllt ...):

dd if=/dev/zeo of=/dev/sdax bs=1M
dd if=/dev/unrandom of=/dev/sdax bs=1M

Wann dat wat Dir wëllt ass läscht eng spezifesch Datei fir ëmmer, Dir kënnt "zerklengeren" benotzen. Zum Beispill, stellt Iech vir datt Dir eng Datei mam Numm passwords.txt läsche wëllt wou Dir Systempasswierder opgeschriwwen hutt. Mir kënnen zerklengert benotzen an iwwerschreiwe zum Beispill 26 Mol uewen fir ze garantéieren datt et net nom Läschen erëmfonnt ka ginn:

shred -u -z -n 26 contraseñas.txt

Et ginn Tools wéi HardWipe, Eraser oder Secure Delete déi Dir installéiere kënnt "Wëschen" (permanent läschen) Erënnerungen, SWAP Partitioner, RAM, etc.

Benotzerkonten a Passwierder:

Verbessert de Passwuert System mat Tools wéi S / KEY oder SecurID fir en dynamescht Passwuert Schema ze kreéieren. Gitt sécher datt et kee verschlësselte Passwuert am / etc / passwd Verzeechnes ass. Mir musse besser benotzen / etc / shadow. Fir dëst kënnt Dir "pwconv" an "grpconv" benotze fir nei Benotzer a Gruppen ze kreéieren, awer mat engem verstoppte Passwuert. Eng aner interessant Saach ass d'et / etc / default / passwd Datei z'änneren fir Är Passwierder ofzeleeën a forcéieren Iech se periodesch ze erneieren. Also wann se e Passwuert kréien, wäert et net fir ëmmer daueren, well Dir ännert et dacks. Mat der /etc/login.defs Datei kënnt Dir och de Passwuert System befestegen. Ännert et, sicht no de PASS_MAX_DAYS an PASS_MIN_DAYS Entrée fir de Minimum a Maximum Deeg unzepassen, e Passwuert virum Auslaaf dauere kann. PASS_WARN_AGE weist eng Noriicht fir Iech ze wëssen datt de Passwuert geschwënn an X Deeg ofleeft. Ech roden Iech e Handbuch fir dës Datei ze gesinn, well d'Entréeën ganz vill sinn.

der Konten déi net benotzt ginn a si sinn an / etc / passwd präsent, se mussen d'Shell Variabel / bin / falsch hunn. Wann et eng aner ass, ännert se op dës. Sou kënne se net benotzt gi fir eng Schuel ze kréien. Et ass och interessant d'PATH Variabel an eisem Terminal z'änneren, sou datt den aktuelle Verzeechnes "." Erschéngt net. Dat heescht, et muss änneren "./user/local/sbin/:/usr/local/bin:/usr/bin:/bin" op "/ user / local / sbin /: / usr / local / bin: / usr / bin: / bin ”.

Et wier recommandéiert datt Dir benotzt Kerberos als Netzwierk Authentifikatiounsmethod.

PAM (Pluggable Authentifikatiounsmodul) et ass eppes wéi Microsoft Active Directory. Et bitt e gemeinsamt, flexibel Authentifikatiounsschema mat klore Virdeeler. Dir kënnt am /etc/pam.d/ Verzeechnes kucken a no Informatioun am Internet sichen. Et ass zimmlech extensiv hei z'erklären ...

Halen en Aa op d'Privilegien vun de verschiddenen Telefonsbicher. Zum Beispill / root sollt zum Rootbenutzer an der Rootgrupp gehéieren, mat "drwx - - - - - - -" Permissiounen. Dir fannt Informatioun um Internet iwwer wéi eng Permissiounen all Verzeechnes am Linux Verzeechnesbaum soll hunn. Eng aner Konfiguratioun kéint geféierlech sinn.

Verschlësselt Är Donnéeën:

Verschlësselt den Inhalt vun engem Verzeechnes oder Partitur wou Dir relevant Informatioun hutt. Fir dëst kënnt Dir LUKS oder mat eCryptFS benotzen. Zum Beispill, stellt Iech vir, mir wëlle verschlësselen / heem vun engem Benotzer mam Numm isaac:

sudo apt-get install ecryptfs-utils
ecryptfs-setup-private
ecryptfs-migrate-home -u isaac

No der uewen, uginn de Passwuert oder Passwuert wann gefrot ...

Fir e ze kreéieren private VerzeechnesZum Beispill "privat" genannt kënne mir och eCryptFS benotzen. An dësem Verzeechnes kënne mir d'Saache setzen déi mir verschlëssele wëllen fir se aus der Vue vun aneren ze läschen:

mkdir /home/isaac/privado
chmod 700 /home/isaac/privado
mount -t ecryptfs /home/isaa/privado

Et wäert eis Froen iwwer verschidde Parameteren stellen. Als éischt léisst et eis wielen tëscht Passwierder, OpenSSL, ... a mir musse 1 wielen, dat heescht "Passphrase". Da gi mir d'Passwuert an dat mir zweemol wëlle verifizéieren. Duerno wielt mir déi Zort Verschlësselung déi mir wëllen (AES, Blowfish, DES3, CAST, ...). Ech géif déi éischt wielen, AES an da stelle mir de Byttyp vum Schlëssel vir (16, 32 oder 64). An endlech äntweren mir déi lescht Fro mat engem "Jo". Elo kënnt Dir dëse Verzeechnes montéieren an ofmontéieren fir se ze benotzen.

Wann Dir just wëllt spezifesch Dateie verschlësselen, Dir kënnt Scrypt oder PGP benotzen. Zum Beispill, eng Datei mam Numm passwords.txt, Dir kënnt déi folgend Kommandoen benotze fir respektiv ze verschlësselen an ze entschlësselen (a béide Fäll wäert et Iech ëm e Passwuert froen)

scrypt <contraseñas.txt>contraseñas.crypt
scrypt <contraseñas.crypt>contraseñas.txt

Zwee-Schrëtt Verifikatioun mam Google Authenticator:

Google AUthenticator am Ubutnu Terminal

Füügt zweestuflech Verifizéierung an Ärem System. Also, och wann Äert Passwuert geklaut gëtt, hunn se keen Zougang zu Ärem System. Zum Beispill fir Ubuntu a säin Unity-Ëmfeld kënne mir LightDM benotzen, awer d'Prinzipie kënnen an aner Distros exportéiert ginn. Dir braucht en Tablet oder Smartphone dofir, an et musst Dir Google Authenticator aus dem Play Store installéieren. Dann um PC ass déi éischt Saach Google Authenticator PAM installéieren an ufänken:

sudo apt-get install libpam-google-authenticator
google-authenticator

Wann Dir eis frot ob d'Verifikatiounsschlësselen op der Zäit baséieren, äntweren mir bestätegend mat engem y. Elo weist et eis e QR Code fir unerkannt ze ginn Google Authenticator vun Ärem Smartphone, eng aner Optioun ass de Geheimschlëssel direkt vun der App unzeginn (et ass deen deen um PC als "Äert neit Geheimnis ass:") erschéngt. An et wäert eis eng Serie vu Coden ginn am Fall wou mir de Smartphone net bei eis droen an datt et gutt wier se am Kapp ze hunn am Fall wou d'Mécken. A mir äntweren weider mat Yon no eise Virléiften.

Elo maache mir op (mat Nano, Gedit, oder Ärem Liiblingstexteditor) Configuratiounsdatei mat:

sudo gedit /etc/pam.d/lightdm

A mir addéieren d'Linn:

auth required pam_google_authenticator.so nullok

Mir späicheren an d'nächst Kéier wann Dir Iech aloggt, freet et eis fir de Verifikatiounsschlëssel datt eisen Handy fir eis generéiert.

Wann een Dag wëllt Dir XNUMX-Schrëtt Verifikatioun läschen, Dir musst just d'Linn "auth required pam_google_authenticator.so nullok" aus der Datei läschen /etc/pam.d/lightdm
Denkt drun, gesonde Mënscheverstand a Virsiicht ass dee beschten Alliéierten. E GNU / Linux Ëmfeld ass sécher, awer all Computer mat engem Netzwierk ass net méi sécher, egal wéi gutt de Betribssystem Dir benotzt. Wann Dir Froen, Probleemer oder Virschléi hutt, kënnt Dir Är kommentéieren. Ech hoffen et hëlleft ...


E Kommentar, loosst ären

Gitt Äre Kommentar

Är Email Adress gëtt net publizéiert ginn. Néideg Felder sinn markéiert mat *

*

*

  1. Responsabel fir d'Donnéeën: AB Internet Networks 2008 SL
  2. Zweck vun den Donnéeën: Kontroll SPAM, Kommentarmanagement.
  3. Legitimatioun: Är Zoustëmmung
  4. Kommunikatioun vun den Donnéeën: D'Donnéeë ginn net un Drëttubidder matgedeelt ausser duerch legal Verpflichtung.
  5. Datenspeicher: Datebank gehost vun Occentus Networks (EU)
  6. Rechter: Zu all Moment kënnt Dir Är Informatioun limitéieren, recuperéieren an läschen.

  1.   nuria sot

    Hallo gutt, kuck ech kommentéieren; Ech hunn google-Authentizator op engem Raspbian installéiert ouni Problem an déi mobil Applikatioun registréiert sech gutt a gëtt mir de Code, awer wann Dir den Hambier nei starten an de System neu starten da freet et mech net den Duebelen Authentifikatiounscode anzeginn Et schéngt mir nëmme fir Benotzernumm a Passwuert anzeginn.

    Villmols Merci. Nëmmen dat Bescht.