Linux Hardenining: tips om je distro te beschermen en veiliger te maken

Isaac

14 minuten

Linux twee tuxs verharden, één weerloos en één in bepantsering

Er zijn veel artikelen op gepubliceerd Linux-distributies veiliger, zoals TAILS (dat uw privacy en anonimiteit op internet garandeert), Whonix (een Linux voor paranoïde beveiliging) en andere distributies die erop gericht zijn om veilig te zijn. Maar natuurlijk willen niet alle gebruikers deze distributies gebruiken. Daarom zullen we in dit artikel een reeks aanbevelingen doen voor de «Linux-verharding«, Dat wil zeggen, maak je distro (wat het ook is) veiliger.

Red Hat, SUSE, CentOS, openSUSE, Ubuntu, Debian, Arch Linux, Linux Mint,… wat maakt het uit. Elke distributie kan veilig zijn als het veiligste als u het grondig kent en weet hoe u uzelf kunt beschermen tegen de gevaren die u bedreigen. En hiervoor kunt u op veel niveaus handelen, niet alleen op softwareniveau, maar ook op hardwareniveau.

Generieke veiligheidskonijnen:

Circuit met hangslot voor hardware

In deze sectie zal ik je er een paar geven zeer eenvoudige en eenvoudige tips die geen computerkennis nodig hebben om ze te begrijpen, ze zijn alleen gezond verstand, maar dat doen we soms niet vanwege onzorgvuldigheid of onzorgvuldigheid:

  • Upload geen persoonlijke of gevoelige gegevens naar de cloud​ De cloud, of deze nu gratis is of niet en of deze min of meer veilig is, is een goed hulpmiddel om uw gegevens overal te verwijderen. Maar probeer geen gegevens te uploaden die u niet met toeschouwers wilt "delen". Dit soort meer gevoelige gegevens moet op een persoonlijker medium worden vervoerd, zoals een SD-kaart of pendrive.
  • Als je bijvoorbeeld een computer gebruikt om toegang te krijgen tot internet en met belangrijke gegevens werkt, stel je dan voor dat je je hebt aangesloten bij de BYOD-rage en wat zakelijke gegevens mee naar huis hebt genomen. Welnu, in dit soort omstandigheden werk niet online, probeer de verbinding te verbreken (waarom wil je verbonden zijn om bijvoorbeeld met LibreOffice een tekst te bewerken?). Een losgekoppelde computer is het veiligst, onthoud dat.
  • Gerelateerd aan het bovenstaande, laat geen belangrijke gegevens achter op de lokale harde schijf wanneer u online werkt​ Ik raad je aan om een ​​externe harde schijf of een ander type geheugen (geheugenkaarten, pen-drives, etc.) te hebben waarin je deze informatie hebt. We zullen dus een barrière plaatsen tussen onze aangesloten apparatuur en dat "niet-verbonden" geheugen waar de belangrijke gegevens zijn.
  • Maak reservekopieën van de gegevens die u interessant vindt of niet kwijt wilt raken. Wanneer ze kwetsbaarheden gebruiken om uw computer binnen te komen en rechten te escaleren, kan de aanvaller alle gegevens zonder belemmeringen wissen of manipuleren. Daarom is het beter om een ​​back-up te hebben.
  • Laat geen gegevens over uw zwakke punten achter op forums of opmerkingen op internet. Als u bijvoorbeeld beveiligingsproblemen heeft op uw computer en deze heeft open poorten die u wilt sluiten, laat uw probleem dan niet achter op een forum voor hulp, want het kan tegen u worden gebruikt. Iemand met slechte bedoelingen kan die informatie gebruiken om naar zijn perfecte slachtoffer te zoeken. Het is beter dat u een vertrouwde technicus zoekt om u te helpen ze op te lossen. Het is ook gebruikelijk dat bedrijven advertenties op internet plaatsen zoals "Ik zoek een IT-beveiligingsexpert" of "Er is personeel nodig voor de beveiligingsafdeling. Dit kan duiden op een mogelijke zwakte in dat bedrijf en een cybercrimineel kan dit soort pagina's gebruiken om gemakkelijke slachtoffers te zoeken ... Het is ook niet goed voor u om informatie achter te laten over het systeem dat u gebruikt en de versies, iemand zou exploits kunnen gebruiken om te exploiteren kwetsbaarheden van die versie. Kortom, hoe meer de aanvaller zich niet van u bewust is, hoe moeilijker het voor hem zal zijn om aan te vallen. Houd er rekening mee dat aanvallers meestal een proces uitvoeren voorafgaand aan de aanval dat "informatievergaring" wordt genoemd en dat het bestaat uit het verzamelen van informatie over het slachtoffer die tegen hen kan worden gebruikt.
  • Houd uw apparatuur up-to-date Onthoud met de laatste updates en patches dat deze in veel gevallen niet alleen de functionaliteiten verbeteren, maar ook bugs en kwetsbaarheden corrigeren zodat ze niet worden misbruikt.
  • Gebruik sterke wachtwoorden​ Zet nooit namen die in het woordenboek staan ​​of wachtwoorden zoals 12345, omdat ze met woordenboekaanvallen snel kunnen worden verwijderd. Laat ook geen wachtwoorden standaard achter, aangezien deze gemakkelijk te detecteren zijn. Gebruik ook geen geboortedata, namen van familieleden, huisdieren of over uw smaak. Dat soort wachtwoorden kunnen gemakkelijk worden geraden door social engineering. U kunt het beste een lang wachtwoord gebruiken met cijfers, hoofdletters en kleine letters en symbolen. Gebruik ook niet voor alles hoofdwachtwoorden, dat wil zeggen, als u een e-mailaccount en een sessie van een besturingssysteem hebt, gebruik dan niet voor beide hetzelfde. Dit is iets dat ze in Windows 8 helemaal hebben verpest, aangezien het wachtwoord om in te loggen hetzelfde is als je Hotmail / Outlook-account. Een veilig wachtwoord is van het type: "auite3YUQK && w-". Met brute kracht zou het kunnen worden bereikt, maar de tijd die eraan wordt besteed, maakt het het niet waard ...
  • Installeer geen pakketten van onbekende bronnen en indien mogelijk. Gebruik de broncodepakketten van de officiële website van het programma dat u wilt installeren. Als de pakketten twijfelachtig zijn, raad ik u aan een sandbox-omgeving zoals Glimpse te gebruiken. Wat u zult bereiken, is dat alle applicaties die u in Glimpse installeert normaal kunnen worden uitgevoerd, maar wanneer u probeert gegevens te lezen of te schrijven, wordt dit alleen weerspiegeld in de sandbox-omgeving, waardoor uw systeem wordt geïsoleerd van problemen.
  • gebruik systeemrechten zo min mogelijk​ En als je privileges nodig hebt voor een taak, is het raadzaam om "sudo" bij voorkeur vóór "su" te gebruiken.

Andere iets meer technische tips:

Computerbeveiliging, hangslot op toetsenbord

Naast het advies in de vorige sectie, wordt het ook ten zeerste aanbevolen om de volgende stappen te volgen om je distro nog veiliger te maken. Houd er rekening mee dat uw distributie dat kan zijn zo veilig als je wiltIk bedoel, hoe meer tijd je besteedt aan het configureren en beveiligen, hoe beter.

Beveiligingssuites in Linux en Firewall / UTM:

gebruik SELinux of AppArmor om uw Linux te versterken. Deze systemen zijn wat ingewikkeld, maar u kunt handleidingen raadplegen die u veel zullen helpen. AppArmor kan zelfs applicaties beperken die gevoelig zijn voor exploits en andere ongewenste procesacties. AppArmor is opgenomen in de Linux-kernel vanaf versie 2.6.36. Het configuratiebestand is opgeslagen in /etc/apparmor.d

Sluit alle poorten die u niet gebruikt vaak. Het zou interessant zijn, zelfs als u een fysieke firewall heeft, dat is het beste. Een andere optie is om oude of ongebruikte apparatuur te wijden om een ​​UTM of firewall voor uw thuisnetwerk te implementeren (u kunt distributies gebruiken zoals IPCop, m0n0wall, ...). U kunt ook iptables configureren om te filteren wat u niet wilt. Om ze te sluiten kun je "iptables / netfilter" gebruiken die de Linux-kernel zelf integreert. Ik raad je aan om handleidingen over netfilter en iptables te raadplegen, aangezien ze vrij complex zijn en niet in een artikel konden worden uitgelegd. U kunt de poorten die u heeft geopend zien door de terminal in te typen:

netstat -nap

Fysieke bescherming van onze apparatuur:

U kunt uw computer ook fysiek beschermen voor het geval u iemand om u heen niet vertrouwt of als u uw computer ergens binnen het bereik van andere mensen moet achterlaten. Hiervoor kunt u het opstarten op een andere manier uitschakelen dan uw harde schijf in het BIOS / UEFI en een wachtwoord beveiligen het BIOS / UEFI zodat ze het niet zonder kunnen wijzigen. Dit voorkomt dat iemand een opstartbare USB of externe harde schijf neemt waarop een besturingssysteem is geïnstalleerd en toegang heeft tot uw gegevens, zonder zelfs maar in te loggen op uw distro. Om het te beschermen, opent u het BIOS / UEFI, in het gedeelte Beveiliging kunt u het wachtwoord toevoegen.

U kunt hetzelfde doen met GRUB, beveiligt het met een wachtwoord:

grub-mkpasswd-pbkdf2

Voer het wachtwoord voor GRUB u wilt en het wordt gecodeerd in SHA512. Kopieer vervolgens het gecodeerde wachtwoord (het wachtwoord dat wordt weergegeven in "Uw PBKDF2 is") om later te gebruiken:

sudo nano /boot/grub/grub.cfg

Maak aan het begin een gebruiker en plaats het gecodeerd wachtwoord​ Als het eerder gekopieerde wachtwoord bijvoorbeeld "grub.pbkdf2.sha512.10000.58AA8513IEH723" was:

set superusers=”isaac”
password_pbkdf2 isaac grub.pbkdf2.sha512.10000.58AA8513IEH723

En bewaar de wijzigingen ...

Minder software = meer veiligheid:

Minimaliseer het aantal geïnstalleerde pakketten​ Installeer alleen degene die u nodig heeft en als u deze niet meer gebruikt, kunt u deze het beste verwijderen. Hoe minder software u heeft, hoe minder kwetsbaarheden. Onthoud het. Hetzelfde adviseer ik u met de services of daemons van bepaalde programma's die worden uitgevoerd wanneer het systeem opstart. Als u ze niet gebruikt, zet ze dan in de "uit" -modus.

Informatie veilig verwijderen:

Wanneer u informatie verwijdert van een schijf, geheugenkaart of partitie, of gewoon een bestand of directory, doe het dan veilig. Zelfs als u denkt dat u het heeft verwijderd, kan het gemakkelijk worden hersteld. Net zoals het fysiek niet zinvol is om een ​​document met persoonlijke gegevens in de prullenbak te gooien, omdat iemand het uit de container kan halen en het kan zien, dus je moet het papier vernietigen, hetzelfde gebeurt bij computers. U kunt het geheugen bijvoorbeeld vullen met willekeurige of nulgegevens om gegevens te overschrijven die u niet wilt weergeven. Hiervoor kunt u gebruiken (om ervoor te zorgen dat het werkt, moet u het met privileges uitvoeren en / dev / sdax vervangen door het apparaat of de partitie waarop u in uw geval wilt reageren ...):

dd if=/dev/zeo of=/dev/sdax bs=1M
dd if=/dev/unrandom of=/dev/sdax bs=1M

Als wat je wilt is verwijder een specifiek bestand voor altijd, kunt u "versnipperen" gebruiken. Stel u bijvoorbeeld voor dat u een bestand met de naam passwords.txt wilt verwijderen waarin u systeemwachtwoorden hebt opgeschreven. We kunnen hierboven bijvoorbeeld 26 keer versnipperen en overschrijven gebruiken om te garanderen dat het na verwijdering niet kan worden hersteld:

shred -u -z -n 26 contraseñas.txt

Er zijn tools zoals HardWipe, Eraser of Secure Delete die u kunt installeren "Wipe" (permanent verwijderen) herinneringen, SWAP-partities, RAM, etc.

Gebruikersaccounts en wachtwoorden:

Verbeter het wachtwoordsysteem met tools zoals S / KEY of SecurID om een ​​dynamisch wachtwoordschema te maken. Zorg ervoor dat er geen versleuteld wachtwoord in de map / etc / passwd staat. We moeten / etc / shadow beter gebruiken. Hiervoor kunt u "pwconv" en "grpconv" gebruiken om nieuwe gebruikers en groepen aan te maken, maar met een verborgen wachtwoord. Een ander interessant ding is om het bestand / etc / default / passwd te bewerken om uw wachtwoorden te laten verlopen en u te dwingen ze periodiek te vernieuwen. Dus als ze een wachtwoord krijgen, is het niet eeuwig geldig, aangezien u het regelmatig zult wijzigen. Met het bestand /etc/login.defs kunt u ook het wachtwoordsysteem versterken. Bewerk het en zoek naar de invoer PASS_MAX_DAYS en PASS_MIN_DAYS om de minimum en maximum dagen te specificeren dat een wachtwoord mag duren voordat het vervalt. PASS_WARN_AGE geeft een bericht weer om u te laten weten dat het wachtwoord binnenkort binnen X dagen verloopt. Ik raad u aan om een ​​handleiding over dit bestand te raadplegen, aangezien de vermeldingen zeer talrijk zijn.

De accounts die niet worden gebruikt en ze zijn aanwezig in / etc / passwd, ze moeten de Shell-variabele / bin / false hebben. Als het een andere is, verander deze dan in deze. Op die manier kunnen ze niet worden gebruikt om een ​​schaal te krijgen. Het is ook interessant om de PATH-variabele in onze terminal aan te passen zodat de huidige directory "." Niet verschijnt. Dat wil zeggen, het moet veranderen van “./user/local/sbin/:/usr/local/bin:/usr/bin:/bin” naar “/ user / local / sbin /: / usr / local / bin: / usr / bin: / bin ”.

Het wordt aanbevolen dat u gebruikmaakt van Kerberos als een netwerkverificatiemethode.

PAM (Pluggable Authentication Module) het is zoiets als Microsoft Active Directory. Het biedt een gemeenschappelijk, flexibel authenticatieschema met duidelijke voordelen. U kunt een kijkje nemen in de /etc/pam.d/ directory en informatie zoeken op internet. Het is vrij uitgebreid om hier uit te leggen ...

Houd de privileges in de gaten van de verschillende mappen. / Root moet bijvoorbeeld behoren tot de rootgebruiker en de rootgroep, met "drwx - - - - - -" permissies. U kunt op internet informatie vinden over welke machtigingen elke map in de Linux-mappenboom zou moeten hebben. Een andere configuratie kan gevaarlijk zijn.

Versleutel uw gegevens:

Versleutelt de inhoud van een map of partitie waar u relevante informatie heeft. Hiervoor kunt u LUKS of met eCryptFS gebruiken. Stel je bijvoorbeeld voor dat we / home van een gebruiker met de naam isaac willen versleutelen:

sudo apt-get install ecryptfs-utils
ecryptfs-setup-private
ecryptfs-migrate-home -u isaac

Geef na het bovenstaande de wachtwoordzin of het wachtwoord op wanneer daarom wordt gevraagd ...

Het creëren privé-directoryMet de naam "privé" kunnen we ook eCryptFS gebruiken. In die map kunnen we de dingen plaatsen die we willen versleutelen om het uit het zicht van anderen te verwijderen:

mkdir /home/isaac/privado
chmod 700 /home/isaac/privado
mount -t ecryptfs /home/isaa/privado

Het zal ons vragen stellen over verschillende parameters. Eerst laat het ons kiezen tussen wachtwoorden, OpenSSL, ... en we moeten er 1 kiezen, dat wil zeggen "wachtwoordzin". Vervolgens voeren we het wachtwoord in dat we twee keer willen verifiëren. Daarna kiezen we het type versleuteling dat we willen (AES, Blowfish, DES3, CAST, ...). Ik zou de eerste kiezen, AES en dan introduceren we het bytetype van de sleutel (16, 32 of 64). En tot slot beantwoorden we de laatste vraag met "ja". Nu kunt u deze map koppelen en ontkoppelen om deze te gebruiken.

Als je gewoon wilt codeer specifieke bestanden, kunt u scrypt of PGP gebruiken. In een bestand met de naam passwords.txt kunt u bijvoorbeeld de volgende opdrachten gebruiken om respectievelijk te coderen en decoderen (in beide gevallen wordt u om een ​​wachtwoord gevraagd):

scrypt <contraseñas.txt>contraseñas.crypt
scrypt <contraseñas.crypt>contraseñas.txt

Tweestapsverificatie met Google Authenticator:

Google AUthenticator in de Ubutnu-terminal

voegt tweestapsverificatie in uw systeem. Dus zelfs als uw wachtwoord wordt gestolen, hebben ze geen toegang tot uw systeem. Voor Ubuntu en zijn Unity-omgeving kunnen we bijvoorbeeld LightDM gebruiken, maar de principes kunnen naar andere distributies worden geëxporteerd. Hiervoor heeft u een tablet of smartphone nodig, hierin moet u Google Authenticator uit de Play Store installeren. Op de pc is het eerste dat u moet doen, Google Authenticator PAM installeren en opstarten:

sudo apt-get install libpam-google-authenticator
google-authenticator

Als u ons vraagt ​​of de verificatiesleutels op tijd zijn gebaseerd, antwoorden wij bevestigend met een en. Nu toont het ons een QR-code waarmee we kunnen worden herkend Google Authenticator Vanaf uw smartphone is een andere optie om de geheime sleutel rechtstreeks vanuit de app in te voeren (het is degene die op de pc verscheen als "Uw nieuwe geheim is:"). En het geeft ons een reeks codes voor het geval we de smartphone niet bij ons hebben en het zou goed zijn om ze in gedachten te houden voor het geval de vliegen. En we blijven met u antwoorden volgens onze voorkeuren.

Nu openen we (met nano, gedit of je favoriete teksteditor) het configuratiebestand met:

sudo gedit /etc/pam.d/lightdm

En we voegen de regel toe:

auth required pam_google_authenticator.so nullok

We slaan op en de volgende keer dat u inlogt, zal het ons om het verificatie sleutel die onze mobiel voor ons zal genereren.

Als een dag wilt u authenticatie in twee stappen verwijderen?, je hoeft alleen de regel "auth required pam_google_authenticator.so nullok" uit het bestand /etc/pam.d/lightdm te verwijderen
Onthoud dat gezond verstand en voorzichtigheid de beste bondgenoot zijn. Een GNU / Linux-omgeving is veilig, maar elke computer die op een netwerk is aangesloten, is niet langer veilig, ongeacht hoe goed het besturingssysteem dat u gebruikt. Als u vragen, problemen of suggesties heeft, kunt u uw commentaar​ Ik hoop dat het helpt…


Laat je reactie achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

*

*

  1. Verantwoordelijk voor de gegevens: AB Internet Networks 2008 SL
  2. Doel van de gegevens: Controle SPAM, commentaarbeheer.
  3. Legitimatie: uw toestemming
  4. Mededeling van de gegevens: De gegevens worden niet aan derden meegedeeld, behalve op grond van wettelijke verplichting.
  5. Gegevensopslag: database gehost door Occentus Networks (EU)
  6. Rechten: u kunt uw gegevens op elk moment beperken, herstellen en verwijderen.

  1.   Nuria zei
    geleden Tot 8 jaar

    Hallo goed, kijk ik reageer; Ik heb probleemloos google-authenticator op een Raspbian geïnstalleerd en de mobiele applicatie registreert goed en geeft me de code, maar bij het herstarten van de framboos en het herstarten van het systeem wordt me niet gevraagd om de dubbele authenticatiecode in te voeren. om gebruikersnaam en wachtwoord in te voeren.

    Thank you very much. Een groet.

    Reageer op Nuria