Linux Hardenining: tips for å beskytte distroen din og gjøre den sikrere

Isaac

14 minutter

Herding av Linux to tuxs, en forsvarsløs og en i rustning

Mange artikler har blitt publisert på Linux-distribusjoner sikrere, for eksempel TAILS (som sikrer ditt personvern og anonymitet på nettet), Whonix (en Linux for sikkerhetsparanoide) og andre distroer som er rettet mot å være trygge. Men selvfølgelig, ikke alle brukere vil bruke disse distribusjonene. Derfor vil vi i denne artikkelen gi en rekke anbefalinger for «Linux herding«Det vil si, gjør distroen din (hva det enn er) sikrere.

Red Hat, SUSE, CentOS, openSUSE, Ubuntu, Debian, Arch Linux, Linux Mint, ... hvilken forskjell gjør det. Enhver distribusjon kan være trygg som den tryggeste hvis du vet det på dybden og vet hvordan du kan beskytte deg mot farene som truer deg. Og for dette kan du handle på mange nivåer, ikke bare på programvarenivå, men også på maskinvarenivå.

Generiske sikkerhetskaniner:

Maskinvaresikkerhet hengelås krets

I denne delen vil jeg gi deg noen veldig enkle og enkle tips som ikke trenger datakunnskap for å forstå dem, de er bare sunn fornuft, men som vi noen ganger ikke utfører på grunn av uforsiktighet eller uforsiktighet:

  • Ikke last opp personlige eller sensitive data til skyen. Skyen, uansett om den er gratis eller ikke, og om den er mer eller mindre sikker, er et godt verktøy for å ha dataene dine tilgjengelige uansett hvor du går. Men prøv å ikke laste opp data du ikke vil "dele" med tilskuere. Denne typen mer følsomme data må bæres i et mer personlig medium, for eksempel et SD-kort eller pendrive.
  • Hvis du for eksempel bruker en datamaskin for å få tilgang til Internett og jobber med viktige data, kan du forestille deg at du har sluttet deg til BYOD-trenden og har tatt med deg noen forretningsdata. Vel, under slike omstendigheter, fungerer ikke på nettet, prøv å bli koblet fra (hvorfor vil du være koblet til å jobbe for eksempel med LibreOffice som redigerer en tekst?). En frakoblet datamaskin er den tryggeste, husk det.
  • Relatert til ovenstående, ikke la viktige data ligge på den lokale harddisken når du jobber på nettet. Jeg anbefaler at du har en ekstern harddisk eller en annen type minne (minnekort, pennstasjoner osv.) Der du har denne informasjonen. Dermed vil vi sette en barriere mellom vårt tilkoblede utstyr og det "ikke tilkoblede" minnet der viktige data er.
  • Lag sikkerhetskopier av dataene du anser som interessante eller ikke vil miste. Når de bruker sårbarheter for å angi datamaskinen din og eskalere privilegier, vil angriperen kunne slette eller manipulere data uten hindringer. Det er derfor det er bedre å ha en sikkerhetskopi.
  • Ikke legg igjen data om dine svake punkter i forumene eller kommentarer på nettene. Hvis du for eksempel har sikkerhetsproblemer på datamaskinen din og den har åpne porter du vil lukke, ikke la problemet være i et forum for hjelp, fordi det kan brukes mot deg. Noen med dårlige intensjoner kan bruke den informasjonen til å søke etter sitt perfekte offer. Det er bedre at du finner en pålitelig tekniker som hjelper deg med å løse dem. Det er også vanlig at bedrifter legger ut annonser på Internett, for eksempel "Jeg leter etter en IT-sikkerhetsekspert" eller "Personal trengs for sikkerhetsavdelingen." Dette kan indikere en mulig svakhet i nevnte selskap, og en nettkriminell kan bruke denne typen sider for å lete etter enkle ofre ... Det er heller ikke bra for deg å legge igjen informasjon om systemet du bruker og versjoner, noen kan bruke utnyttelser for å utnytte sårbarheter i den versjonen. Kort sagt, jo mer angriperen ikke er klar over deg, jo vanskeligere blir det for ham å angripe. Husk at angripere vanligvis utfører en prosess før angrepet kalt "informasjonsinnsamling", og den består i å samle informasjon om offeret som kan brukes mot dem.
  • Hold utstyret oppdatert Med de siste oppdateringene og oppdateringene, husk at disse ved mange anledninger ikke bare forbedrer funksjonalitet, de retter også feil og sårbarheter slik at de ikke blir utnyttet.
  • Bruk sterke passord. Sett aldri navn som er i ordboken eller passord som 12345, siden de ved ordbokangrep kan fjernes raskt. Ikke la passord ligge som standard, siden de lett kan oppdages. Ikke bruk fødselsdatoer, navn på slektninger, kjæledyr eller om din smak. Slike passord kan lett gjettes av sosialteknikk. Det er best å bruke et langt passord med tall, store og små bokstaver og symboler. Ikke bruk hovedpassord for alt, det vil si hvis du har en e-postkonto og en operativsystemøkt, ikke bruk det samme for begge. Dette er noe de i Windows 8 har skrudd opp til bunnen, siden passordet for å logge på er det samme som din Hotmail / Outlook-konto. Et sikkert passord er av typen: "auite3YUQK && w-". Med grov kraft kunne det oppnås, men tiden som er viet til det gjør at det ikke er verdt det ...
  • Ikke installer pakker fra ukjente kilder og om mulig. Bruk kildekodepakkene fra det offisielle nettstedet til programmet du vil installere. Hvis pakkene er tvilsomme, anbefaler jeg at du bruker et sandkassemiljø som Glimpse. Det du vil oppnå er at alle applikasjonene du installerer i Glimpse kan kjøres normalt, men når du prøver å lese eller skrive data, gjenspeiles det bare i sandkassemiljøet og isolerer systemet ditt fra problemer.
  • bruk systemrettigheter så lite som mulig. Og når du trenger privilegier for en oppgave, anbefales det at du bruker "sudo" helst før "su".

Andre litt mer tekniske tips:

Datasikkerhet, hengelås på tastaturet

I tillegg til rådene i forrige avsnitt, anbefales det også at du følger følgende trinn for å gjøre distribusjonen enda mer sikker. Husk at distribusjonen din kan være så trygg du vilJeg mener jo bedre tid du bruker på å konfigurere og sikre.

Sikkerhetsserier i Linux og brannmur / UTM:

bruk SELinux eller AppArmor for å styrke Linux. Disse systemene er litt komplekse, men du kan se manualer som vil hjelpe deg mye. AppArmor kan begrense selv applikasjoner som er følsomme for utnyttelser og andre uønskede prosesshandlinger. AppArmor er inkludert i Linux-kjernen fra versjon 2.6.36. Konfigurasjonsfilen er lagret i /etc/apparmor.d

Lukk alle porter du ikke bruker ofte. Det ville være interessant selv om du har en fysisk brannmur, det er det beste. Et annet alternativ er å dedikere et gammelt eller ubrukt utstyr til å implementere en UTM eller brannmur for hjemmenettverket ditt (du kan bruke distribusjoner som IPCop, m0n0wall, ...). Du kan også konfigurere iptables for å filtrere ut det du ikke vil ha. For å lukke dem kan du bruke "iptables / netfilter" som integrerer selve Linux-kjernen. Jeg anbefaler at du konsulterer håndbøker om netfilter og iptables, siden de er ganske kompliserte og ikke kunne forklares i en artikkel. Du kan se portene du har åpnet ved å skrive inn terminalen:

netstat -nap

Fysisk beskyttelse av utstyret vårt:

Du kan også fysisk beskytte datamaskinen din i tilfelle du ikke stoler på noen rundt deg, eller hvis du må la datamaskinen være et sted innenfor rekkevidde for andre mennesker. For dette kan du deaktivere støvelen fra andre måter enn harddisken din i BIOS / UEFI og passordbeskytte BIOS / UEFI slik at de ikke kan endre den uten den. Dette vil forhindre at noen tar en oppstartbar USB eller ekstern harddisk med et operativsystem installert og kan få tilgang til dataene dine fra den, uten å måtte logge på distroen din. For å beskytte den, få tilgang til BIOS / UEFI, i sikkerhetsdelen kan du legge til passordet.

Du kan gjøre det samme med GRUB, passordbeskytter den:

grub-mkpasswd-pbkdf2

Tast inn passord for GRUB du vil ha, og den blir kodet i SHA512. Kopier deretter det krypterte passordet (det som vises i "Din PBKDF2 er") for å bruke senere:

sudo nano /boot/grub/grub.cfg

Opprett en bruker i begynnelsen og sett kryptert passord. For eksempel hvis det tidligere kopierte passordet var "grub.pbkdf2.sha512.10000.58AA8513IEH723":

set superusers=”isaac”
password_pbkdf2 isaac grub.pbkdf2.sha512.10000.58AA8513IEH723

Og lagre endringene ...

Mindre programvare = mer sikkerhet:

Minimer antall installerte pakker. Installer bare de du trenger, og hvis du skal slutte å bruke en, er det best å avinstallere den. Jo mindre programvare du har, jo færre sårbarheter. Husk det. Det samme anbefaler jeg deg med tjenester eller demoner for visse programmer som kjører når systemet starter. Hvis du ikke bruker dem, må du sette dem i "av" -modus.

Slett informasjon trygt:

Når du sletter informasjon på en disk, minnekort eller partisjon, eller bare en fil eller katalog, gjør det trygt. Selv om du tror du har slettet den, kan den lett gjenopprettes. Akkurat som fysisk er det ikke nyttig å kaste et dokument med personlige data i søpla, fordi noen kan ta det ut av containeren og se det, så du må ødelegge papiret, det samme skjer i databehandling. For eksempel kan du fylle minne med tilfeldige eller null data for å overskrive data du ikke vil eksponere. For dette kan du bruke (for at det skal fungere må du kjøre det med privilegier og erstatte / dev / sdax med enheten eller partisjonen du vil handle på i ditt tilfelle ...):

dd if=/dev/zeo of=/dev/sdax bs=1M
dd if=/dev/unrandom of=/dev/sdax bs=1M

Hvis det du vil er slette en bestemt fil for alltid, kan du bruke "makulere". Tenk deg for eksempel at du vil slette en fil som heter passwords.txt der du har nedskrevet systempassord. Vi kan bruke makulering og overskriving for eksempel 26 ganger ovenfor for å garantere at den ikke kan gjenopprettes etter sletting:

shred -u -z -n 26 contraseñas.txt

Det er verktøy som HardWipe, Eraser eller Secure Delete som du kan installere på "Tørk" (slett permanent) minner, SWAP-partisjoner, RAM, etc.

Brukerkontoer og passord:

Forbedre passordsystemet med verktøy som S / KEY eller SecurID for å lage et dynamisk passordskjema. Forsikre deg om at det ikke er noe kryptert passord i / etc / passwd-katalogen. Vi må bruke / etc / shadow bedre. For dette kan du bruke "pwconv" og "grpconv" for å opprette nye brukere og grupper, men med et skjult passord. En annen interessant ting er å redigere / etc / default / passwd-filen for å utgå passordene dine og tvinge deg til å fornye dem med jevne mellomrom. Så hvis de får passord, vil det ikke vare evig, siden du vil endre det ofte. Med /etc/login.defs-filen kan du også styrke passordsystemet. Rediger den, og se etter oppføringen PASS_MAX_DAYS og PASS_MIN_DAYS for å spesifisere minimums- og maksimumsdager et passord kan vare før utløpet. PASS_WARN_AGE viser en melding om at passordet utløper om X dager snart. Jeg anbefaler deg å se en manual om denne filen, siden oppføringene er svært mange.

Las kontoer som ikke blir brukt og de er tilstede i / etc / passwd, de må ha Shell-variabelen / bin / false. Hvis det er en annen, kan du endre den til denne. På den måten kan de ikke brukes til å få et skall. Det er også interessant å endre PATH-variabelen i terminalen vår slik at den aktuelle katalogen "." Ikke vises. Det vil si at den må endres fra “./bruker/lokal/sbin/:/usr/local/bin:/usr/bin:/bin” til “/ user / local / sbin /: / usr / local / bin: / usr / bin: / bin ”.

Det anbefales at du bruker Kerberos som en nettverksgodkjenningsmetode.

PAM (Pluggable Authentication Module) det er noe som Microsoft Active Directory. Det gir en felles, fleksibel autentiseringsplan med klare fordeler. Du kan ta en titt i katalogen /etc/pam.d/ og søke etter informasjon på nettet. Det er ganske omfattende å forklare her ...

Hold øye med privilegiene av de forskjellige katalogene. For eksempel skal / root tilhøre rotbrukeren og rotgruppen, med "drwx - - - - - -" tillatelser. Du kan finne informasjon på nettet om hvilke tillatelser hver katalog i Linux-katalogtreet skal ha. En annen konfigurasjon kan være farlig.

Krypter dataene dine:

Krypterer innholdet i en katalog eller partisjon der du har relevant informasjon. For dette kan du bruke LUKS eller med eCryptFS. Tenk deg for eksempel at vi vil kryptere / hjem til en bruker som heter isaac:

sudo apt-get install ecryptfs-utils
ecryptfs-setup-private
ecryptfs-migrate-home -u isaac

Etter det ovennevnte, angi passordfrasen eller passordet når du blir spurt ...

Å lage en privat katalogFor eksempel kalt "privat" kan vi også bruke eCryptFS. I den katalogen kan vi plassere tingene vi vil kryptere for å fjerne det fra andres syn:

mkdir /home/isaac/privado
chmod 700 /home/isaac/privado
mount -t ecryptfs /home/isaa/privado

Det vil stille oss spørsmål om forskjellige parametere. Først vil det la oss velge mellom passord, OpenSSL, ... og vi må velge 1, det vil si "passordfrase". Deretter skriver vi inn passordet vi vil bekrefte to ganger. Etter det velger vi hvilken type kryptering vi vil ha (AES, Blowfish, DES3, CAST, ...). Jeg ville valgt den første, AES, og deretter introduserer vi byte-typen på nøkkelen (16, 32 eller 64). Og til slutt svarer vi det siste spørsmålet med et "ja". Nå kan du montere og demontere denne katalogen for å bruke den.

Hvis du bare vil kryptere spesifikke filer, kan du bruke scrypt eller PGP. For eksempel, en fil som heter passwords.txt, kan du bruke følgende kommandoer til å kryptere og dekryptere henholdsvis (i begge tilfeller vil det be deg om passord):

scrypt <contraseñas.txt>contraseñas.crypt
scrypt <contraseñas.crypt>contraseñas.txt

Totrinns bekreftelse med Google Authenticator:

Google AUthenticator i Ubutnu-terminalen

legger totrinns bekreftelse i systemet ditt. Dermed, selv om passordet ditt blir stjålet, vil de ikke ha tilgang til systemet ditt. For eksempel, for Ubuntu og dets enhetsmiljø, kan vi bruke LightDM, men prinsippene kan eksporteres til andre distroer. Du trenger et nettbrett eller smarttelefon for dette, i det må du installere Google Authenticator fra Play Store. Så på PCen er det første å installere Google Authenticator PAM og starte den opp:

sudo apt-get install libpam-google-authenticator
google-authenticator

Når du spør oss om bekreftelsesnøklene vil være basert på tid, svarer vi bekreftende med et y. Nå viser den oss en QR-kode å bli gjenkjent med Google Authenticator fra smarttelefonen din, er et annet alternativ å skrive inn den hemmelige nøkkelen direkte fra appen (det er den som dukket opp på PC-en som “Din nye hemmelighet er:”). Og det vil gi oss en serie koder i tilfelle vi ikke bærer smarttelefonen med oss, og at det ville være bra å ha dem i bakhodet i tilfelle fluene. Og vi fortsetter å svare med deg i henhold til våre preferanser.

Nå åpner vi (med nano, gedit eller din favoritt tekstredigerer) konfigurasjonsfil med:

sudo gedit /etc/pam.d/lightdm

Og vi legger til linjen:

auth required pam_google_authenticator.so nullok

Vi lagrer og neste gang du logger på, vil den be oss om bekreftelsesnøkkel som mobilen vår vil generere for oss.

Hvis en dag vil du fjerne totrinnsbekreftelse, du må bare slette linjen "auth required pam_google_authenticator.so nullok" fra filen /etc/pam.d/lightdm
Husk at sunn fornuft og forsiktighet er den beste allierte. Et GNU / Linux-miljø er sikkert, men enhver datamaskin som er koblet til et nettverk, er ikke lenger sikker, uansett hvor bra operativsystemet du bruker. Hvis du har spørsmål, problemer eller forslag, kan du legge igjen din Comentario. Jeg håper det hjelper ...


Legg igjen kommentaren

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *

*

*

  1. Ansvarlig for dataene: AB Internet Networks 2008 SL
  2. Formålet med dataene: Kontroller SPAM, kommentaradministrasjon.
  3. Legitimering: Ditt samtykke
  4. Kommunikasjon av dataene: Dataene vil ikke bli kommunisert til tredjeparter bortsett fra ved juridisk forpliktelse.
  5. Datalagring: Database vert for Occentus Networks (EU)
  6. Rettigheter: Når som helst kan du begrense, gjenopprette og slette informasjonen din.

  1.   Nuria sa
    hace 8 år

    Hei bra, se jeg kommenterer; Jeg har installert google-authenticator på en Raspbian uten problemer, og mobilapplikasjonen registrerer seg godt og gir meg koden, men når du starter bringebæren på nytt og starter systemet på nytt, ber den meg ikke om å oppgi den dobbelte autentiseringskoden. Det ser bare ut til meg for å angi brukernavn og passord.

    Takk så mye. Beste ønsker.

    Svar til Nuria