„Linux Hardenining“: patarimai, kaip apsaugoti jūsų distribuciją ir padaryti ją saugesnę

Daug straipsnių paskelbta „Linux“ paskirstymai saugesni, pvz., TAILS (kuris užtikrina jūsų privatumą ir anonimiškumą žiniatinklyje), „Whonix“ („Linux“, skirtas paranojiškam saugumui) ir kiti „distros“, kuriais siekiama būti saugiems. Bet, žinoma, ne visi vartotojai nori naudoti šiuos paskirstymus. Štai kodėl šiame straipsnyje pateiksime keletą rekomendacijų dėl «„Linux“ grūdinimas«Tai reiškia, kad jūsų distribucija (kokia ji bebūtų) būtų saugesnė.

Red Hat, SUSE, CentOS, openSUSE, Ubuntu, Debian, Arch Linux, Linux Mint, ... koks skirtumas. Bet koks platinimas gali būti saugus kaip saugiausia, jei ją išmanai nuodugniai ir moki apsisaugoti nuo grėsmių, kurios tau kelia grėsmę. Tam galite veikti ne tik programinės įrangos, bet ir aparatūros lygiu.

Bendrieji saugos triušiai:

Šiame skyriuje aš jums duosiu keletą labai pagrindiniai ir paprasti patarimai kuriems nereikia kompiuterinių žinių, kad juos suprastume, jie yra tik sveikas protas, bet kartais to nedarome dėl neatsargumo ar nepriežiūros:

• Neįkelkite asmeninių ar neskelbtinų duomenų į debesį. Debesis, nepaisant to, ar jis yra nemokamas, ar ne, ar jis yra daugiau ar mažiau saugus, yra geras įrankis, kuriuo galite disponuoti savo duomenimis, kad ir kur eitumėte. Tačiau stenkitės neįkelti duomenų, kurių nenorite „dalintis“ su stebinčiaisiais. Šio tipo jautresni duomenys turėtų būti laikomi asmeniškesnėje laikmenoje, pavyzdžiui, SD kortelėje ar „Pendrive“.
• Pavyzdžiui, jei naudojatės kompiuteriu prieigai prie interneto ir dirbate su svarbiais duomenimis, įsivaizduokite, kad prisijungėte prie BYOD pamišimo ir namo parsivežėte kai kuriuos verslo duomenis. Na, tokiomis aplinkybėmis neveikia internete, pabandykite būti atjungtas (kodėl norite būti prisijungę prie darbo, pavyzdžiui, kai „LibreOffice“ redaguoja tekstą?). Atjungtas kompiuteris yra saugiausias, prisiminkite tai.
• Susijęs su aukščiau nepalikite svarbių duomenų vietiniame standžiajame diske dirbdami internete. Aš rekomenduoju turėti išorinį standųjį diską arba kito tipo atmintį (atminties korteles, rašymo įrenginius ir kt.), Kuriuose turite šią informaciją. Taigi mes sukursime barjerą tarp savo prijungtos įrangos ir tos „neprijungtos“ atminties, kur yra svarbūs duomenys.
• Padarykite atsargines kopijas duomenų, kuriuos laikote įdomiais arba kurių nenorite prarasti. Kai užpuolikas, naudodamasis pažeidžiamumais, pateks į jūsų kompiuterį ir išplės privilegijas, galės be kliūčių ištrinti ar tvarkyti bet kokius duomenis. Štai kodėl geriau turėti atsarginę kopiją.
• Nepalikite forumuose duomenų apie silpnąsias vietas ar komentarų internete. Pavyzdžiui, jei kompiuteryje turite saugos problemų ir jame yra atvirų prievadų, kuriuos norite uždaryti, nepalikite savo problemos forume, kur galite kreiptis, nes ji gali būti naudojama prieš jus. Kažkas, turėdamas blogų ketinimų, gali naudoti tą informaciją ieškodamas savo tobulos aukos. Geriau susiraskite patikimą techniką, kuris padėtų juos išspręsti. Taip pat įprasta, kad įmonės internete talpina skelbimus, tokius kaip „Aš ieškau IT saugumo eksperto“ arba „Apsaugos skyriui reikalingi darbuotojai. Tai gali reikšti galimą silpnumą minėtoje įmonėje, o kibernetinis nusikaltėlis gali naudoti tokio tipo puslapius ieškodamas lengvų aukų ... Jums taip pat nėra gerai palikti informaciją apie jūsų naudojamą sistemą ir versijas, kažkas galėtų naudoti išnaudojimus išnaudodamas šios versijos pažeidžiamumų. Trumpai tariant, kuo daugiau užpuolikas apie jus nežino, tuo sunkiau jam bus atakuoti. Atminkite, kad užpuolikai paprastai prieš ataką vykdo procesą, vadinamą „informacijos rinkimu“, ir jis susideda iš informacijos apie auką rinkimo, kuri gali būti panaudota prieš juos.
• Nuolat atnaujinkite savo įrangą Su naujausiais atnaujinimais ir pataisomis atminkite, kad daugeliu atvejų jie ne tik pagerina funkcijas, bet ir ištaiso klaidas bei pažeidžiamumus, kad nebūtų išnaudojami.
• Naudokite griežtus slaptažodžius. Niekada nedėkite į žodyną pavadinimų ar slaptažodžių, pvz., 12345, nes naudojant žodyno atakas juos galima greitai pašalinti. Taip pat nepalikite slaptažodžių pagal numatytuosius nustatymus, nes juos galima lengvai aptikti. Taip pat nenaudokite gimimo datų, giminaičių, augintinių vardų ar skonio. Tokius slaptažodžius gali lengvai atspėti socialinė inžinerija. Geriausia naudoti ilgą slaptažodį su skaičiais, didžiosiomis ir mažosiomis raidėmis bei simboliais. Nenaudokite pagrindinių slaptažodžių viskam, tai yra, jei turite el. Pašto abonementą ir operacinės sistemos seansą, nenaudokite to paties abiem. Tai yra kažkas, ką „Windows 8“ jie įsuko iki apačios, nes prisijungimo slaptažodis yra toks pats kaip jūsų „Hotmail“ / „Outlook“ paskyros. Saugus slaptažodis yra „auite3YUQK && w-“. Žiaurios jėgos dėka tai būtų galima pasiekti, tačiau laikas, skirtas jai, neverta ...
• Neįdiekite paketų iš nežinomų šaltinių ir jei įmanoma. Naudokite šaltinio kodo paketus iš oficialios norimos įdiegti programos svetainės. Jei paketai kelia abejonių, rekomenduoju naudoti tokią smėlio dėžės aplinką kaip „Glimpse“. Tai, ko pasieksite, yra tai, kad visos „Glimpse“ įdiegtos programos gali veikti paprastai, tačiau bandant skaityti ar rašyti duomenis, tai atsispindi tik „sandbox“ aplinkoje, izoliuojant jūsų sistemą nuo problemų.
• naudojimas kuo mažiau sistemos privilegijų. Ir kai jums reikia privilegijų užduočiai atlikti, rekomenduojama prieš sudarant „su“ naudoti „sudo“.

Kiti šiek tiek daugiau techninių patarimų:

Be ankstesniame skyriuje pateiktų patarimų, taip pat labai rekomenduojama atlikti šiuos veiksmus, kad jūsų platinimas būtų dar saugesnis. Atminkite, kad jūsų platinimas gali būti kiek sauguAš turiu omenyje, kad kuo daugiau laiko praleidi konfigūruodamas ir užtikrindamas, tuo geriau.

„Linux“ ir užkardos / UTM saugos rinkiniai:

naudojimas „SELinux“ arba „AppArmor“ sustiprinti savo „Linux“. Šios sistemos yra šiek tiek sudėtingos, tačiau galite pamatyti vadovus, kurie jums labai padės. „AppArmor“ gali apriboti net programas, jautrias išnaudojimams ir kitiems nepageidaujamiems proceso veiksmams. „AppArmor“ buvo įtrauktas į „Linux“ branduolį nuo 2.6.36 versijos. Jo konfigūracijos failas saugomas aplanke /etc/apparmor.d

Uždarykite visus prievadus, kurių nenaudojate dažnai. Tai būtų įdomu, net jei turite fizinę užkardą, tai yra geriausia. Kitas variantas yra skirti seną ar nenaudotą įrangą, kad jūsų namų tinkle būtų įdiegta UTM arba užkarda (galite naudoti tokius paskirstymus kaip IPCop, m0n0wall ir kt.). Taip pat galite sukonfigūruoti „iptables“, kad filtruotumėte tai, ko nenorite. Norėdami juos uždaryti, galite naudoti „iptables / netfilter“, kuris integruoja patį „Linux“ branduolį. Rekomenduoju susipažinti su „netfilter“ ir „iptables“ vadovais, nes jie yra gana sudėtingi ir jų negalima paaiškinti straipsnyje. Jūs galite pamatyti atidarytus prievadus įvesdami terminalą:

netstat -nap

Fizinė mūsų įrangos apsauga:

Taip pat galite fiziškai apsaugoti savo kompiuterį tuo atveju, jei nepasitikite aplinkiniu arba turite palikti kompiuterį kur nors, kur tik gali pasiekti kiti žmonės. Norėdami tai padaryti, galite išjungti įkrovą kitomis priemonėmis nei kietasis diskas BIOS / UEFI ir slaptažodis apsaugo BIOS / UEFI, todėl jie negali jo modifikuoti be jo. Tai neleis kam nors imti įkrovos USB ar išorinio standžiojo disko su įdiegta operacine sistema ir negalės iš jo pasiekti jūsų duomenų, net nereikės prisijungti prie jūsų platintojo. Norėdami jį apsaugoti, eikite į BIOS / UEFI, skyriuje Sauga galite pridėti slaptažodį.

Tą patį galite padaryti su GRUB, apsaugo jį slaptažodžiu:

grub-mkpasswd-pbkdf2

Įveskite GRUB slaptažodis norite ir jis bus užkoduotas SHA512. Tada nukopijuokite užšifruotą slaptažodį (tą, kuris rodomas skiltyje „Jūsų PBKDF2 yra“), kad galėtumėte naudoti vėliau:

sudo nano /boot/grub/grub.cfg

Sukurkite vartotoją pradžioje ir įdėkite šifruotas slaptažodis. Pvz., Jei anksčiau nukopijuotas slaptažodis buvo „grub.pbkdf2.sha512.10000.58AA8513IEH723“:

set superusers=”isaac”
password_pbkdf2 isaac grub.pbkdf2.sha512.10000.58AA8513IEH723

Ir išsaugokite pakeitimus ...

Mažiau programinės įrangos = daugiau saugumo:

Sumažinkite įdiegtų paketų skaičių. Įdiekite tik tuos, kurių jums reikia, ir jei ketinate nebenaudoti, geriausia jį pašalinti. Kuo mažiau turite programinės įrangos, tuo mažiau pažeidžiamumų. Atsimink tai. Tą patį patariu ir su tam tikrų programų paslaugomis ar demonais, kurie veikia paleidus sistemą. Jei jų nenaudojate, įjunkite „išjungimo“ režimą.

Saugiai ištrinkite informaciją:

Kai ištrinsite informaciją disko, atminties kortelės ar skaidinio ar tiesiog failo ar katalogo, atlikite tai saugiai. Net jei manote, kad jį ištrynėte, jį galima lengvai atkurti. Lygiai taip pat, kaip fiziškai nėra naudinga išmesti dokumentą su asmens duomenimis į šiukšliadėžę, nes kas nors galėtų jį išimti iš konteinerio ir pamatyti, todėl jūs turite sunaikinti popierių, tas pats vyksta ir skaičiuojant. Pavyzdžiui, galite užpildyti atmintį atsitiktiniais arba nuliniais duomenimis, kad perrašytumėte duomenis, kurių nenorite atskleisti. Tam galite naudoti (kad jis veiktų, turite jį paleisti su privilegijomis ir / dev / sdax pakeisti įrenginiu ar skaidiniu, su kuriuo norite elgtis jūsų atveju ...)

dd if=/dev/zeo of=/dev/sdax bs=1M
dd if=/dev/unrandom of=/dev/sdax bs=1M

Jei to, ko nori, yra ištrinti tam tikrą failą visam laikui, galite naudoti „susmulkintą“. Pvz., Įsivaizduokite, kad norite ištrinti failą, vadinamą „passwords.txt“, kur turite sistemos slaptažodžius. Mes galime naudoti susmulkintą ir perrašytą, pavyzdžiui, 26 kartus aukščiau, kad garantuotume, jog jo nebus galima atkurti ištrynus:

shred -u -z -n 26 contraseñas.txt

Yra tokių įrankių kaip „HardWipe“, „Eraser“ ar „Secure Delete“, kuriuos galite įdiegti „Nuvalykite“ (visam laikui ištrinkite) atmintines, SWAP skaidiniai, RAM ir kt.

Vartotojo abonementai ir slaptažodžiai:

Pagerinkite slaptažodžių sistemą su tokiais įrankiais kaip S / KEY ar SecurID dinaminės slaptažodžių schemos sukūrimui. Įsitikinkite, kad / etc / passwd kataloge nėra užšifruoto slaptažodžio. Turime geriau naudoti / etc / shadow. Tam galite naudoti „pwconv“ ir „grpconv“, kad sukurtumėte naujus vartotojus ir grupes, bet turėdami paslėptą slaptažodį. Kitas įdomus dalykas yra redaguoti failą / etc / default / passwd, kad pasibaigtų jūsų slaptažodžių galiojimas ir priverstumėte juos periodiškai atnaujinti. Taigi, jei jie gaus slaptažodį, jis neteks amžinai, nes jį dažnai keisite. Naudodami failą /etc/login.defs taip pat galite sustiprinti slaptažodžių sistemą. Redaguokite jį, ieškodami įrašų PASS_MAX_DAYS ir PASS_MIN_DAYS, kad nurodytumėte minimalias ir maksimalias dienas, kurių slaptažodis gali trukti iki galiojimo pabaigos. PASS_WARN_AGE rodomas pranešimas, kuriame pranešama, kad slaptažodis greitai baigsis po X dienos. Patariu pamatyti šio failo vadovą, nes įrašų yra labai daug.

The sąskaitos, kurios nenaudojamos ir jie yra / etc / passwd, jie turi turėti apvalkalo kintamąjį / bin / false. Jei tai kitas, pakeiskite jį į šį. Tokiu būdu jų negalima naudoti norint gauti apvalkalą. Taip pat įdomu modifikuoti PATH kintamąjį mūsų terminale, kad dabartinis katalogas "." Neatsirastų. Tai reiškia, kad jis turi pasikeisti iš „./user/local/sbin/:/usr/local/bin:/usr/bin:/bin“ į „/ user / local / sbin /: / usr / local / bin: / usr / bin: / bin “.

Rekomenduotina naudoti „Kerberos“ kaip tinklo autentifikavimo metodas.

PAM (prijungiamas autentifikavimo modulis) tai kažkas panašaus į „Microsoft Active Directory“. Tai suteikia bendrą, lanksčią tapatybės nustatymo schemą su aiškiais privalumais. Galite pažvelgti į /etc/pam.d/ katalogą ir ieškoti informacijos internete. Čia paaiškinti gana plačiai ...

Stebėkite privilegijas skirtingų katalogų. Pvz., / Root turėtų priklausyti šakniniam vartotojui ir šaknų grupei su „drwx - - - - - -“ leidimais. Žiniatinklyje galite rasti informacijos apie tai, kokias teises turėtų turėti kiekvienas „Linux“ katalogų medžio katalogas. Kitokia konfigūracija gali būti pavojinga.

Šifruoti duomenis:

Šifruoja katalogo ar skaidinio turinį kur turite reikiamos informacijos. Tam galite naudoti LUKS arba su „eCryptFS“. Pvz., Įsivaizduokite, kad norime užšifruoti / namo vartotoją, vardu Isaac:

sudo apt-get install ecryptfs-utils
ecryptfs-setup-private
ecryptfs-migrate-home -u isaac

Po aukščiau nurodykite slaptafrazę arba slaptažodį, kai paprašysite ...

Norėdami sukurti privatus katalogasPavyzdžiui, vadinamas „privačiu“, mes taip pat galime naudoti „eCryptFS“. Tame kataloge galime įdėti dalykus, kuriuos norime užšifruoti, kad pašalintume jį iš kitų:

mkdir /home/isaac/privado
chmod 700 /home/isaac/privado
mount -t ecryptfs /home/isaa/privado

Tai užduos mums klausimus apie skirtingus parametrus. Pirma, tai leis mums pasirinkti tarp slaptažodžių, „OpenSSL“ ... ir turime pasirinkti 1, ty „slaptafrazę“. Tada du kartus įveskite norimą slaptažodį, kad patikrintume. Po to mes pasirenkame norimą šifravimo tipą (AES, Blowfish, DES3, CAST, ...). Aš norėčiau pasirinkti pirmąjį, AES, tada pristatysime rakto baito tipą (16, 32 arba 64). Pagaliau į paskutinį klausimą atsakome „taip“. Dabar galite prijungti ir atjungti šį katalogą, kad galėtumėte jį naudoti.

Jei tik nori užšifruoti konkrečius failus, galite naudoti „scrypt“ arba „PGP“. Pvz., Failą, pavadintą „passwords.txt“, galite atitinkamai užšifruoti ir iššifruoti naudodami šias komandas (abiem atvejais jis paprašys jūsų slaptažodžio):

scrypt <contraseñas.txt>contraseñas.crypt
scrypt <contraseñas.crypt>contraseñas.txt

Dviejų žingsnių patvirtinimas naudojant „Google“ autentifikavimo priemonę:

Pridėti patvirtinimas dviem etapais savo sistemoje. Taigi, net jei jūsų slaptažodis bus pavogtas, jie neturės prieigos prie jūsų sistemos. Pavyzdžiui, „Ubuntu“ ir jo „Unity“ aplinkoje galime naudoti „LightDM“, tačiau principus galima eksportuoti į kitus skyrelius. Tam jums reikės planšetinio kompiuterio ar išmaniojo telefono, jame turite įdiegti „Google“ autentifikavimo priemonę iš „Play“ parduotuvės. Tada kompiuteryje pirmas dalykas yra įdiegti „Google Authenticator PAM“ ir jį paleisti:

sudo apt-get install libpam-google-authenticator
google-authenticator

Kai paklausite, ar patvirtinimo raktai bus pagrįsti laiku, mes atsakome teigiamai su y. Dabar mums rodomas QR kodas, kurį reikia atpažinti "Google" autentifikavimo Išmaniajame telefone kita galimybė yra įvesti slaptą raktą tiesiai iš programos (tai yra tas, kuris kompiuteryje pasirodė kaip „Jūsų nauja paslaptis:“). Tai suteiks mums kodų seriją, jei išmaniojo telefono nesinešime su savimi ir būtų gerai juos nepamiršti, jei musė skristų. Ir toliau atsakome yon pagal savo pageidavimus.

Dabar atidarome (naudodami „nano“, „gedit“ ar mėgstamą teksto rengyklę) konfigūracijos failas su:

sudo gedit /etc/pam.d/lightdm

Pridedame eilutę:

auth required pam_google_authenticator.so nullok

Mes sutaupome ir kitą kartą prisijungus, mūsų bus paprašyta patvirtinimo raktas kad mūsų mobilusis generuos mums.

Jei vieną dieną ar norite pašalinti patvirtinimą dviem veiksmais, jūs tiesiog turite ištrinti eilutę „auth required pam_google_authenticator.so nullok“ iš failo /etc/pam.d/lightdm
Atminkite, kad sveikas protas ir atsargumas yra geriausias sąjungininkas. GNU / Linux aplinka yra saugi, tačiau bet kuris prie tinklo prijungtas kompiuteris nebėra saugus, nesvarbu, kokia gera operacinė sistema naudojate. Jei turite klausimų, problemų ar pasiūlymų, galite palikti savo komentaras. Tikiuosi, kad tai padės ...