Boas práticas de segurança para sua distribuição GNU / Linux

Isaac

Minutos 4

Segurança: cadeado no circuito

Se você está preocupado com segurança em seu sistema operacional, essas são algumas boas práticas e dicas que você pode desenvolver em sua distribuição GNU / Linux favorita para ficar um pouco mais seguro. Você já sabe que, por padrão, os sistemas * nix são mais seguros do que o Microsoft Windows, mas não são à prova de falhas. Nada é 100% seguro. Mas com essa segurança extra e com a ajuda dessas recomendações, você ficará um pouco mais tranquilo em termos de possíveis ataques.

Além disso, são dicas muito simples que não são complicadas para a maioria dos usuários, mas devido à preguiça ou preguiça, muitos negligenciam. Você já sabe que gastar um tempo configurando corretamente seu sistema e outros programas pode poupar sustos. Se você quiser saber o que você pode fazer para proteger seu sistema, aqui estão nossas recomendações ...

Os 10 mandamentos de segurança:

  1. Sempre baixe software de fontes confiáveis. E isso também implica na imagem de sua distro, os drivers e aplicativos. Por exemplo, se você baixar aplicativos, tente usar o centro de software de sua distro, os repositórios oficiais ou, na falta disso, o site oficial do projeto, mas nunca sites de terceiros. Isso não garante nada, eles poderiam ter atacado o servidor oficial e alterado o binário ou as fontes, mas pelo menos isso é mais complicado. Se você tentar baixar drivers, poderá fazer isso no GitHub, se eles forem de código aberto, ou no site oficial do dispositivo de hardware, se forem proprietários. E para videogames idem, por exemplo, do Steam da Valve. Isso impedirá que você baixe software com possíveis códigos maliciosos. Lembre-se de que se você usar o Wine, as vulnerabilidades desses programas do Windows também podem afetá-lo ...
  2. Desabilite o usuário root quando possível. Sempre use sudo.
  3. Nunca use o X Windows ou navegadores como raiz. Nem outros programas nos quais você não confia totalmente.
  4. Use um senha forte. Isso deve ter no mínimo 8 caracteres. Não deve ser composto de palavras conhecidas, datas de nascimento, etc. O ideal é usar uma combinação de letras maiúsculas, minúsculas, números e símbolos. Por exemplo: aWrT-z_M44d0 $
  5. Não use essa mesma senha para tudo, ou seja, evite senhas mestras. Porque se eles descobrirem, eles podem ter acesso a tudo. Embora sejam parcelas (cercas), eles podem entrar em um sistema, mas não em todos os serviços.
  6. Desinstale todo o software que você não vai usar. Faça o mesmo com os serviços, você deve desativar todos os serviços que não considera necessários no seu caso. Feche as portas que você não usa.
  7. Se você acha que foi vítima de um ataque ou que eles têm sua senha, tudo bem mude suas senhas. Se a verificação em duas etapas for possível em seus sistemas, vá em frente.
  8. Mantenha o sistema sempre atualizadoou. Os novos patches cobrem algumas vulnerabilidades conhecidas. Isso impedirá que eles sejam aproveitados.
  9. Não forneça detalhes excessivos ao se inscrever em serviços online. É melhor usar datas ou nomes falsos se não for estritamente necessário usar os reais. Além disso, não publique detalhes técnicos ou do sistema em fóruns públicos.
  10. Se você receber mensagens de e-mail com anexos raros, com extensões como .pdf.iso, etc, não baixe nada. Além disso, evite navegar em sites estranhos ou baixar programas que aparecem neles. Também ignora possíveis mensagens SMS ou de qualquer outro tipo solicitando a reativação de um serviço, ou fornecer a senha de um serviço. Eles podem ser práticas de phishing.

Além disso, Eu também te aconselho outra coisa:

Política Para usuário normal
 Para um servidor
Desative o protocolo SSH Sim, se você não for usá-lo. Em qualquer caso, desative o acesso root, defina uma senha forte e altere a porta padrão. Não, geralmente será necessário para administração remota. Mas você pode garantir isso com uma boa configuração.
Configurar iptables Você deve ter pelo menos algumas regras básicas definidas. É essencial ter um sistema complexo de regras para proteger o servidor.
IDS Não é necessário. Sim, você deve ter sistemas de proteção auxiliares, como um IDS, etc.
Segurança física / de inicialização Não é essencial, mas não faria mal colocar uma senha no BIOS / UEFI e no GRUB. É essencial restringir o acesso por meio de proteção física.
Encriptação de dados Não é essencial, mas é altamente recomendável criptografar o disco. Vai depender de cada caso. Em alguns, deve ser feito, em outros não. Ou talvez apenas em algumas partições. Dependerá do tipo de servidor.
VPN É aconselhável usar uma VPN configurada para o seu roteador, de forma que todos os dispositivos que você conectar estejam protegidos. Ou, pelo menos, faça naquele que você mais usa. Não, devido à natureza do servidor, ele não deve estar atrás de uma VPN.
Habilitar SELinux ou AppArmor Sim, você deve configurá-lo. Sim, é essencial.
Monitore as permissões, atributos e tenha uma boa política de administração. Recomendável. Essencial.

Deixe um comentário

Seu endereço de email não será publicado. Campos obrigatórios são marcados com *

*

*

  1. Responsável pelos dados: AB Internet Networks 2008 SL
  2. Finalidade dos dados: Controle de SPAM, gerenciamento de comentários.
  3. Legitimação: Seu consentimento
  4. Comunicação de dados: Os dados não serão comunicados a terceiros, exceto por obrigação legal.
  5. Armazenamento de dados: banco de dados hospedado pela Occentus Networks (UE)
  6. Direitos: A qualquer momento você pode limitar, recuperar e excluir suas informações.

  1.   mlpbcn dito
    atrás Anos 4

    O artigo é muito bom, mas agora você tem que fazer um explicando claramente como são feitos todos os conselhos que você dá, porque por exemplo não sei quantos deles são feitos e que uso Linux há cerca de 10 anos. E eu considero que o que este artigo expõe é extremamente importante e que você não deve apenas dizer o que fazer, mas também explicar como se faz.

    Responder a mlpbcn
  2.   Daniel dito
    atrás Anos 4

    Artigo muito bom, um vídeo de demonstração seria muito bom e ajudaria todos os usuários GNU / Linux, tanto novatos quanto avançados. Saudações.

    Resposta a Danilo
  3.   Aradnix dito
    atrás Anos 4

    O conselho em geral é bom, mas houve uma vulnerabilidade recente com o sudo, que além das críticas, é um detalhe que não deve passar despercebido porque muitas distros ainda não o corrigiram, o patch para o sudo não está em todo lugar.

    A outra coisa é que existem várias dicas que contradizem o que foi dito no segundo parágrafo por não serem triviais ou simples, por exemplo, quais são as regras mínimas que um usuário comum, mortal, deve configurar? Ou o que é um IDS, vem por padrão, como é desabilitado? Para os interessados, como a segurança física é habilitada na inicialização? Como configurar uma VPN para o roteador, qual serviço VPN é recomendado e Não coletar meus dados e realmente respeitar minha privacidade? Essa não é uma pergunta fácil de responder.

    SElinux no Fedora anos atrás eles eram um pé no saco e configurá-lo não era fácil, novamente você tem que explicar como fazer e / ou com o App Armor o mesmo. Finalmente, como você tem uma boa política de administração? levando em consideração que muitos usuários estão longe de ser um perfil de administrador de sistema que podem ter uma ideia mais clara deste problema.

    Espero que este artigo seja a ponta do iceberg de vários outros sobre segurança, onde se aprofunda nessas recomendações que, embora estejam corretas, não são claras nem simples para um grande número de usuários.

    Resposta a Aradnix
  4.   Fernando dito
    atrás Anos 4

    Olá, concordo com os outros uma pequena explicação sobre alguns dos tópicos discutidos não faria mal. Mas talvez estejamos estragando a surpresa hahaha. Saudações e bom artigo.

    Responder ao fernando