Utwardzanie Linuksa: Wskazówki dotyczące ochrony Distro i uczynienia go bardziej bezpiecznym

Opublikowano wiele artykułów Dystrybucje Linuksa bezpieczniejsze, takie jak TAILS (zapewniające prywatność i anonimowość w sieci), Whonix (Linux dla paranoików bezpieczeństwa) i inne dystrybucje mające na celu zapewnienie bezpieczeństwa. Ale oczywiście nie wszyscy użytkownicy chcą korzystać z tych dystrybucji. Dlatego w tym artykule podamy szereg zaleceń dla «Utwardzanie Linuksa«, To znaczy, uczyń swoją dystrybucję (cokolwiek to jest) bezpieczniejszą.

Red Hat, SUSE, CentOS, openSUSE, Ubuntu, Debian, Arch Linux, Linux Mint… jaka to różnica. Każda dystrybucja może być bezpieczna jako najbezpieczniejszy, jeśli znasz go dogłębnie i wiesz, jak chronić się przed niebezpieczeństwami, które Ci grożą. W tym celu możesz działać na wielu poziomach, nie tylko na poziomie oprogramowania, ale także sprzętu.

Ogólne króliki bezpieczne:

W tej sekcji podam Ci kilka bardzo podstawowe i proste wskazówki które nie potrzebują wiedzy komputerowej, aby je zrozumieć, są one tylko zdrowym rozsądkiem, ale których czasami nie wykonujemy z powodu nieostrożności lub niedbalstwa

• Nie przesyłaj danych osobowych ani wrażliwych do chmury. Chmura, niezależnie od tego, czy jest bezpłatna, czy nie i czy jest mniej lub bardziej bezpieczna, jest dobrym narzędziem do pozbycia się danych, gdziekolwiek jesteś. Ale staraj się nie przesyłać danych, których nie chcesz „udostępniać” widzom. Tego typu bardziej wrażliwe dane muszą być przenoszone na bardziej osobistym nośniku, takim jak karta SD lub pendrive.
• Jeśli korzystasz na przykład z komputera, aby uzyskać dostęp do Internetu i pracować z ważnymi danymi, wyobraź sobie, że dołączyłeś do szaleństwa BYOD i zabrałeś do domu niektóre dane biznesowe. Cóż, w takich okolicznościach nie pracuj online, spróbuj się rozłączyć (dlaczego chcesz mieć połączenie, aby pracować na przykład przy edytowaniu tekstu przez LibreOffice?). Odłączony komputer jest najbezpieczniejszy, pamiętaj o tym.
• W związku z powyższym, nie zostawiaj ważnych danych na lokalnym dysku twardym podczas pracy online. Zalecam posiadanie zewnętrznego dysku twardego lub innego rodzaju pamięci (karty pamięci, pendrive'y itp.), W których posiadasz te informacje. W ten sposób stworzymy barierę między naszym podłączonym sprzętem a „niepołączoną” pamięcią, w której znajdują się ważne dane.
• Zrób kopie zapasowe danych, które uważasz za interesujące lub których nie chcesz stracić. Gdy wykorzystają luki w zabezpieczeniach, aby dostać się do twojego komputera i eskalować uprawnienia, osoba atakująca będzie mogła bez przeszkód usunąć lub manipulować dowolnymi danymi. Dlatego lepiej mieć kopię zapasową.
• Nie zostawiaj danych o swoich słabych punktach na forach lub komentarze w internecie. Jeśli na przykład masz problemy z bezpieczeństwem na swoim komputerze i ma on otwarte porty, które chcesz zamknąć, nie zostawiaj swojego problemu na forum w celu uzyskania pomocy, ponieważ może on zostać wykorzystany przeciwko tobie. Ktoś ze złymi intencjami może wykorzystać te informacje do wyszukania swojej idealnej ofiary. Lepiej jest znaleźć zaufanego technika, który pomoże Ci je rozwiązać. Firmy często umieszczają w Internecie reklamy typu „Szukam eksperta ds. Bezpieczeństwa IT” lub „Potrzebny jest personel do działu bezpieczeństwa. Może to wskazywać na możliwą słabość wspomnianej firmy, a cyberprzestępca może używać tego typu stron do wyszukiwania łatwych ofiar ... Nie jest również dobre, abyś zostawiał informacje o używanym systemie i wersjach, ponieważ ktoś mógłby wykorzystać exploity do wykorzystania luki w tej wersji. Krótko mówiąc, im bardziej napastnik jest nieświadomy ciebie, tym trudniej będzie mu zaatakować. Należy pamiętać, że atakujący zwykle przeprowadzają proces przed atakiem zwany „zbieraniem informacji” i polega na zebraniu informacji o ofierze, które można wykorzystać przeciwko nim.
• Aktualizuj swój sprzęt Dzięki najnowszym aktualizacjom i poprawkom pamiętaj, że w wielu przypadkach nie tylko poprawiają one funkcjonalność, ale także korygują błędy i luki w zabezpieczeniach, aby nie zostały wykorzystane.
• Używaj silnych haseł. Nigdy nie umieszczaj nazw znajdujących się w słowniku ani haseł, takich jak 12345, ponieważ dzięki atakom słownikowym można je szybko usunąć. Nie pozostawiaj też domyślnie haseł, ponieważ są one łatwo wykrywalne. Nie używaj również dat urodzenia, imion krewnych, zwierząt domowych ani swoich upodobań. Tego rodzaju hasła można łatwo odgadnąć za pomocą inżynierii społecznej. Najlepiej jest używać długiego hasła zawierającego cyfry, wielkie i małe litery oraz symbole. Nie używaj też haseł głównych do wszystkiego, to znaczy, jeśli masz konto e-mail i sesję systemu operacyjnego, nie używaj tego samego do obu. Jest to coś, co w systemie Windows 8 schrzanili do samego końca, ponieważ hasło do logowania jest takie samo jak do konta Hotmail / Outlook. Bezpieczne hasło jest typu: „auite3YUQK && w-”. Z brutalną siłą można to osiągnąć, ale poświęcony temu czas sprawia, że ​​nie warto ...
• Nie instaluj pakietów z nieznanych źródeł i jeśli to możliwe. Skorzystaj z pakietów kodu źródłowego z oficjalnej strony programu, który chcesz zainstalować. Jeśli pakiety są wątpliwe, zalecam użycie środowiska piaskownicy, takiego jak Glimpse. Osiągniesz to, że wszystkie aplikacje, które zainstalujesz w Glimpse, mogą działać normalnie, ale podczas próby odczytu lub zapisu danych jest to odzwierciedlone tylko w środowisku piaskownicy, izolując system od problemów.
• Użyj jak najmniej uprawnień systemowych. A kiedy potrzebujesz uprawnień do zadania, zaleca się użycie „sudo”, najlepiej przed „su”.

Inne nieco bardziej techniczne wskazówki:

Oprócz porad przedstawionych w poprzedniej sekcji, zdecydowanie zaleca się również wykonanie poniższych kroków, aby Twoja dystrybucja była jeszcze bezpieczniejsza. Pamiętaj, że Twoja dystrybucja może być tak bezpiecznie, jak chceszChodzi mi o to, że im więcej czasu spędzasz na konfigurowaniu i zabezpieczaniu, tym lepiej.

Pakiety bezpieczeństwa w systemie Linux i Firewall / UTM:

Użyj SELinux lub AppArmor aby wzmocnić twój Linux. Systemy te są dość skomplikowane, ale możesz zobaczyć podręczniki, które bardzo ci pomogą. AppArmor może ograniczyć nawet wrażliwe aplikacje przed exploitami i innymi niepożądanymi działaniami procesów. AppArmor został dołączony do jądra Linuksa od wersji 2.6.36. Jego plik konfiguracyjny jest przechowywany w /etc/apparmor.d

Zamknij wszystkie porty, których nie używasz często. Byłoby interesujące, nawet jeśli masz fizyczną zaporę ogniową, to jest najlepsze. Inną opcją jest przeznaczenie starego lub nieużywanego sprzętu do wdrożenia UTM lub zapory sieciowej w sieci domowej (możesz użyć dystrybucji, takich jak IPCop, m0n0wall, ...). Możesz także skonfigurować iptables, aby odfiltrowywał to, czego nie chcesz. Aby je zamknąć, możesz użyć „iptables / netfilter”, który integruje samo jądro Linuksa. Zalecam zapoznanie się z podręcznikami do netfilter i iptables, ponieważ są one dość złożone i nie można ich wyjaśnić w artykule. Możesz zobaczyć otwarte porty, wpisując w terminalu:

netstat -nap

Fizyczna ochrona naszego sprzętu:

Możesz także fizycznie zabezpieczyć swój komputer na wypadek, gdyby nie ufasz komuś w pobliżu lub musisz zostawić komputer w miejscu niedostępnym dla innych osób. W tym celu możesz wyłączyć bootowanie z innych środków niż dysk twardy w pliku BIOS / UEFI i hasłem chronią BIOS / UEFI, aby nie mogli go modyfikować bez niego. Uniemożliwi to komuś zabranie bootowalnego dysku USB lub zewnętrznego dysku twardego z zainstalowanym systemem operacyjnym i uzyskanie dostępu do twoich danych bez konieczności logowania się do dystrybucji. Aby go zabezpieczyć, uzyskaj dostęp do BIOS / UEFI, w sekcji Bezpieczeństwo możesz dodać hasło.

Możesz zrobić to samo z GRUB, chroniąc go hasłem:

grub-mkpasswd-pbkdf2

Wejdz do hasło do GRUB-a chcesz i zostanie zakodowany w SHA512. Następnie skopiuj zaszyfrowane hasło (to, które pojawia się w polu „Twój PBKDF2 to”) do wykorzystania później:

sudo nano /boot/grub/grub.cfg

Utwórz użytkownika na początku i umieść plik zaszyfrowane hasło. Na przykład, jeśli wcześniej skopiowane hasło to „grub.pbkdf2.sha512.10000.58AA8513IEH723”:

set superusers=”isaac”
password_pbkdf2 isaac grub.pbkdf2.sha512.10000.58AA8513IEH723

I zapisz zmiany ...

Mniej oprogramowania = większe bezpieczeństwo:

Zminimalizuj liczbę zainstalowanych pakietów. Instaluj tylko te, których potrzebujesz, a jeśli zamierzasz przestać z nich korzystać, najlepiej je odinstalować. Im mniej masz oprogramowania, tym mniej luk w zabezpieczeniach. Pamiętam. To samo radzę z usługami lub demonami niektórych programów, które działają podczas uruchamiania systemu. Jeśli ich nie używasz, przełącz je w tryb „wyłączony”.

Bezpiecznie usuwaj informacje:

Kiedy usuwasz informacje dysku, karty pamięci lub partycji lub po prostu pliku lub katalogu, zrób to bezpiecznie. Nawet jeśli uważasz, że go usunąłeś, można go łatwo odzyskać. Tak jak fizycznie nie warto wyrzucać do kosza dokumentu z danymi osobowymi, bo ktoś mógłby go wyjąć z kontenera i zobaczyć, tak i papier trzeba zniszczyć, to samo dzieje się z komputerami. Na przykład możesz wypełnić pamięć danymi losowymi lub zerowymi, aby nadpisać dane, których nie chcesz ujawniać. W tym celu możesz użyć (aby działało, musisz uruchomić go z uprawnieniami i zamienić / dev / sdax na urządzenie lub partycję, na której chcesz działać w swoim przypadku ...):

dd if=/dev/zeo of=/dev/sdax bs=1M
dd if=/dev/unrandom of=/dev/sdax bs=1M

Jeśli chcesz usunąć określony plik na zawsze, możesz użyć „shred”. Na przykład wyobraź sobie, że chcesz usunąć plik o nazwie passwords.txt, w którym masz zapisane hasła systemowe. Możemy użyć shred i nadpisać na przykład 26 razy powyżej, aby zagwarantować, że nie będzie można go odzyskać po usunięciu:

shred -u -z -n 26 contraseñas.txt

Istnieją narzędzia, takie jak HardWipe, Eraser lub Secure Delete, w których możesz zainstalować „Wipe” (trwałe usunięcie) pamięci, Partycje SWAP, pamięć RAM itp.

Konta użytkowników i hasła:

Popraw system haseł za pomocą narzędzi takich jak S / KEY lub SecurID, aby utworzyć schemat dynamicznego hasła. Upewnij się, że w katalogu / etc / passwd nie ma zaszyfrowanego hasła. Musimy lepiej używać / etc / shadow. W tym celu możesz użyć "pwconv" i "grpconv" do tworzenia nowych użytkowników i grup, ale z ukrytym hasłem. Inną interesującą rzeczą jest edycja pliku / etc / default / passwd w celu wygaśnięcia haseł i wymuszenia ich okresowego odnawiania. Więc jeśli otrzymają hasło, nie będzie ono trwać wiecznie, ponieważ będziesz je często zmieniać. Za pomocą pliku /etc/login.defs możesz także wzmocnić system haseł. Edytuj go, wyszukując wpis PASS_MAX_DAYS i PASS_MIN_DAYS, aby określić minimalną i maksymalną liczbę dni, przez które hasło może obowiązywać przed wygaśnięciem. PASS_WARN_AGE wyświetla komunikat informujący, że hasło wkrótce wygaśnie za X dni. Radzę zapoznać się z instrukcją dotyczącą tego pliku, ponieważ wpisów jest bardzo wiele.

Te konta, które nie są używane i są obecne w / etc / passwd, muszą mieć zmienną Shell / bin / false. Jeśli jest inny, zmień go na ten. W ten sposób nie można ich użyć do zdobycia muszli. Interesujące jest również zmodyfikowanie zmiennej PATH w naszym terminalu, tak aby bieżący katalog nie pojawiał się. Oznacza to, że musi się zmienić z „./user/local/sbin/:/usr/local/bin:/usr/bin:/bin” na „/ user / local / sbin /: / usr / local / bin: / usr / bin: / bin ”.

Zaleca się użycie Kerberos jako metoda uwierzytelniania sieciowego.

PAM (podłączany moduł uwierzytelniania) jest to coś w rodzaju Microsoft Active Directory. Zapewnia wspólny, elastyczny schemat uwierzytelniania z wyraźnymi zaletami. Możesz zajrzeć do katalogu /etc/pam.d/ i poszukać informacji w Internecie. Wyjaśnienie tutaj jest dość obszerne ...

Miej oko na przywileje różnych katalogów. Na przykład / root powinien należeć do użytkownika root i grupy root, z uprawnieniami „drwx - - - - - -”. W Internecie można znaleźć informacje o uprawnieniach, jakie powinien mieć każdy katalog w drzewie katalogów Linuksa. Inna konfiguracja może być niebezpieczna.

Zaszyfruj swoje dane:

Szyfruje zawartość katalogu lub partycji gdzie masz istotne informacje. W tym celu możesz użyć LUKS lub eCryptFS. Na przykład wyobraź sobie, że chcemy zaszyfrować / home użytkownika o imieniu isaac:

sudo apt-get install ecryptfs-utils
ecryptfs-setup-private
ecryptfs-migrate-home -u isaac

Po powyższym podaj hasło lub hasło, gdy zostaniesz o to poproszony ...

Aby utworzyć katalog prywatnyNa przykład nazywany „prywatnym”, możemy również użyć eCryptFS. W tym katalogu możemy umieścić rzeczy, które chcemy zaszyfrować, aby usunąć je z widoku innych:

mkdir /home/isaac/privado
chmod 700 /home/isaac/privado
mount -t ecryptfs /home/isaa/privado

Zada nam pytania dotyczące różnych parametrów. Po pierwsze, pozwoli nam wybrać pomiędzy hasłami, OpenSSL, ... i musimy wybrać 1, czyli „hasło”. Następnie dwukrotnie wpisujemy hasło, które chcemy zweryfikować. Następnie wybieramy żądany typ szyfrowania (AES, Blowfish, DES3, CAST, ...). Wybrałbym pierwszy, AES, a następnie wprowadzamy typ bajtowy klucza (16, 32 lub 64). I na koniec odpowiadamy na ostatnie pytanie „tak”. Teraz możesz zamontować i odmontować ten katalog, aby z niego korzystać.

Jeśli tylko chcesz zaszyfruj określone pliki, możesz użyć scrypt lub PGP. Na przykład plik o nazwie passwords.txt, możesz użyć następujących poleceń, aby odpowiednio zaszyfrować i odszyfrować (w obu przypadkach poprosi Cię o hasło):

scrypt <contraseñas.txt>contraseñas.crypt
scrypt <contraseñas.crypt>contraseñas.txt

Weryfikacja dwuetapowa za pomocą Google Authenticator:

Dodaj weryfikacja dwuetapowa w twoim systemie. Dlatego nawet jeśli Twoje hasło zostanie skradzione, nie będą miały dostępu do Twojego systemu. Na przykład w przypadku Ubuntu i jego środowiska Unity możemy używać LightDM, ale zasady można wyeksportować do innych dystrybucji. Będziesz do tego potrzebował tabletu lub smartfona, w którym musisz zainstalować Google Authenticator ze Sklepu Play. Następnie na komputerze pierwszą rzeczą do zrobienia jest zainstalowanie Google Authenticator PAM i uruchomienie go:

sudo apt-get install libpam-google-authenticator
google-authenticator

Kiedy pytasz nas, czy klucze weryfikacyjne będą oparte na czasie, odpowiadamy twierdząco y. Teraz pokazuje nam kod QR do rozpoznania Google Authenticator Ze smartfona inną opcją jest wprowadzenie tajnego klucza bezpośrednio z aplikacji (jest to ten, który pojawił się na komputerze jako „Twój nowy sekret to:”). I da nam serię kodów na wypadek, gdybyśmy nie nosili ze sobą smartfona i dobrze byłoby mieć je na uwadze w przypadku much. I nadal odpowiadamy z tobą zgodnie z naszymi preferencjami.

Teraz otwieramy (za pomocą nano, gedit lub ulubionego edytora tekstu) plik plik konfiguracyjny z:

sudo gedit /etc/pam.d/lightdm

I dodajemy wiersz:

auth required pam_google_authenticator.so nullok

Zapisujemy i następnym razem, gdy się zalogujesz, poprosi nas o podanie klucz weryfikacyjny które wygeneruje dla nas nasz telefon komórkowy.

Jeśli pewnego dnia czy chcesz usunąć weryfikację dwuetapową, wystarczy usunąć wiersz „auth required pam_google_authenticator.so nullok” z pliku /etc/pam.d/lightdm
Pamiętaj, zdrowy rozsądek i ostrożność są najlepszym sprzymierzeńcem. Środowisko GNU / Linux jest bezpieczne, ale każdy komputer podłączony do sieci nie jest już bezpieczny, bez względu na to, jak dobry jest używany system operacyjny. Jeśli masz jakieś pytania, problemy lub sugestie, możesz zostawić swój komentarz. Mam nadzieję, że to pomoże…