Linux Hardenining: sfaturi pentru a vă proteja distribuția și a o face mai sigură

Multe articole au fost publicate pe Distribuții Linux mai sigure, cum ar fi TAILS (care vă asigură confidențialitatea și anonimatul pe web), Whonix (un Linux pentru securitate paranoică) și alte distribuții destinate să fie în siguranță. Dar, desigur, nu toți utilizatorii vor să folosească aceste distribuții. De aceea, în acest articol vom oferi o serie de recomandări pentru «Întărirea Linux«Adică, faceți-vă distribuția (oricare ar fi aceasta) mai sigură.

Red Hat, SUSE, CentOS, openSUSE, Ubuntu, Debian, Arch Linux, Linux Mint, ... ce diferență are. Orice distribuție poate fi sigură ca cel mai sigur dacă îl cunoașteți în profunzime și știți cum să vă protejați de pericolele care vă amenință. Și pentru aceasta puteți acționa la mai multe niveluri, nu numai la nivel de software, ci și la nivel de hardware.

Iepuri de siguranță generici:

În această secțiune vă voi oferi câteva sfaturi foarte de bază și simple care nu au nevoie de cunoștințe informatice pentru a le înțelege, acestea sunt doar bun simț, dar pe care uneori nu le realizăm din neglijență sau neglijență:

• Nu încărcați date personale sau sensibile în cloud. Cloud-ul, indiferent dacă este gratuit sau nu și dacă este mai mult sau mai puțin sigur, este un instrument bun pentru a elimina datele dvs. oriunde ați merge. Încercați însă să nu încărcați date pe care nu doriți să le „partajați” cu spectatorii. Acest tip de date mai sensibile trebuie să fie transportat într-un mediu mai personal, cum ar fi un card SD sau un pendrive.
• Dacă utilizați un computer pentru a accesa Internetul și pentru a lucra cu date importante, de exemplu, imaginați-vă că v-ați alăturat nebuniei BYOD și ați luat acasă unele date despre afaceri. Ei bine, în astfel de circumstanțe, nu lucrați online, încercați să fiți deconectat (de ce doriți să fiți conectat pentru a lucra de exemplu cu LibreOffice editând un text?). Un computer deconectat este cel mai sigur, nu uitați.
• Legat de cele de mai sus, nu lăsați date importante pe hard diskul local atunci când lucrați online. Vă recomand să aveți un hard disk extern sau un alt tip de memorie (carduri de memorie, pen drive-uri etc.) în care să aveți aceste informații. Astfel vom pune o barieră între echipamentul nostru conectat și acea memorie „neconectată” acolo unde sunt datele importante.
• Faceți copii de rezervă din datele pe care le considerați interesante sau pe care nu doriți să le pierdeți. Atunci când utilizează vulnerabilități pentru a intra în computerul dvs. și pentru a intensifica privilegiile, atacatorul va putea șterge sau manipula orice date fără impedimente. De aceea este mai bine să aveți o copie de rezervă.
• Nu lăsați date despre punctele slabe pe forumuri sau comentarii pe paginile web. Dacă, de exemplu, aveți probleme de securitate pe computer și are porturi deschise pe care doriți să le închideți, nu lăsați problema într-un forum pentru ajutor, deoarece poate fi folosită împotriva dvs. Cineva cu intenții rele poate folosi aceste informații pentru a-și căuta victima perfectă. Este mai bine să găsiți un tehnician de încredere care să vă ajute să le rezolvați. De asemenea, este obișnuit ca companiile să pună reclame pe Internet, cum ar fi „Caut un expert în securitate IT” sau „Este nevoie de personal pentru departamentul de securitate. Acest lucru poate indica o posibilă slăbiciune în compania respectivă și un criminal cibernetic poate utiliza aceste tipuri de pagini pentru a căuta victime ușoare ... De asemenea, nu este bine să lăsați informații despre sistemul pe care îl utilizați și versiunile sale, cineva ar putea folosi exploit-uri pentru a exploata vulnerabilitățile acelei versiuni. Pe scurt, cu cât atacatorul nu este la curent cu tine, cu atât îi va fi mai dificil să atace. Rețineți că atacatorii efectuează de obicei un proces anterior atacului numit „culegere de informații” și constă în colectarea informațiilor despre victimă care pot fi folosite împotriva lor.
• Păstrați echipamentul actualizat Cu cele mai recente actualizări și patch-uri, amintiți-vă că, de multe ori, acestea nu numai că îmbunătățesc funcționalitățile, ci și corectează erorile și vulnerabilitățile, astfel încât să nu fie exploatate.
• Folosiți parole puternice. Nu introduceți niciodată nume care sunt în dicționar sau parole precum 12345, deoarece cu atacurile din dicționar pot fi eliminate rapid. De asemenea, nu lăsați parolele în mod implicit, deoarece acestea sunt ușor de detectat. De asemenea, nu utilizați datele nașterii, numele rudelor, animalele de companie sau despre gusturile dvs. Aceste tipuri de parole pot fi ușor ghicite prin ingineria socială. Cel mai bine este să folosiți o parolă lungă cu cifre, litere mari și mici, și simboluri. De asemenea, nu utilizați parole master pentru orice, adică dacă aveți un cont de e-mail și o sesiune a unui sistem de operare, nu utilizați același lucru pentru ambele. Acesta este un lucru pe care în Windows 8 l-au înșurubat până la capăt, deoarece parola de conectare este aceeași cu contul dvs. Hotmail / Outlook. O parolă sigură este de tipul: "auite3YUQK && w-". Prin forță brută ar putea fi atins, dar timpul dedicat acesteia face să nu merite ...
• Nu instalați pachete din surse necunoscute și dacă este posibil. Utilizați pachetele de cod sursă de pe site-ul oficial al programului pe care doriți să îl instalați. Dacă pachetele sunt îndoielnice, vă recomand să utilizați un mediu sandbox precum Glimpse. Ceea ce veți realiza este că toate aplicațiile pe care le instalați în Glimpse pot rula normal, dar când încercați să citiți sau să scrieți date, acestea se reflectă numai în mediul sandbox, izolându-vă sistemul de probleme.
• utilizări privilegii de sistem cât mai puțin posibil. Și când aveți nevoie de privilegii pentru o sarcină, este recomandat să utilizați „sudo” de preferință înainte de „su”.

Alte sfaturi puțin mai tehnice:

În plus față de sfaturile din secțiunea anterioară, este, de asemenea, foarte recomandat să urmați pașii următori pentru a vă face distribuția mai sigură. Rețineți că distribuția dvs. poate fi oricât de sigur vreiAdică, cu cât petreci mai mult timp configurând și securizând, cu atât mai bine.

Suite de securitate în Linux și Firewall / UTM:

utilizări SELinux sau AppArmor pentru a vă fortifica Linux-ul. Aceste sisteme sunt oarecum complexe, dar puteți vedea manuale care vă vor ajuta foarte mult. AppArmor poate restricționa chiar și aplicațiile sensibile la exploatări și alte acțiuni de proces nedorite. AppArmor a fost inclus în nucleul Linux începând cu versiunea 2.6.36. Fișierul său de configurare este stocat în /etc/apparmor.d

Închideți toate porturile pe care nu le utilizați frecvent. Ar fi interesant chiar dacă aveți un firewall fizic, acesta este cel mai bun. O altă opțiune este să dedicați un echipament vechi sau neutilizat pentru a implementa un UTM sau un firewall pentru rețeaua dvs. de acasă (puteți utiliza distribuții precum IPCop, m0n0wall, ...). De asemenea, puteți configura iptables pentru a filtra ceea ce nu doriți. Pentru a le închide, puteți utiliza „iptables / netfilter” care integrează nucleul Linux în sine. Vă recomand să consultați manuale despre netfilter și iptables, deoarece acestea sunt destul de complexe și nu ar putea fi explicate într-un articol. Puteți vedea porturile pe care le-ați deschis tastând în terminal:

netstat -nap

Protecția fizică a echipamentelor noastre:

De asemenea, vă puteți proteja fizic computerul în cazul în care nu aveți încredere în cineva din jur sau trebuie să vă lăsați computerul undeva la îndemâna altor persoane. Pentru aceasta, puteți dezactiva boot-ul din alte mijloace decât hard diskul dvs. din BIOS / UEFI și parola protejează BIOS-ul / UEFI, astfel încât să nu-l poată modifica fără el. Acest lucru va împiedica pe cineva să preia un USB bootabil sau un hard disk extern cu un sistem de operare instalat și să vă poată accesa datele de pe acesta, fără a fi nevoie chiar să vă conectați la distro. Pentru a-l proteja, accesați BIOS / UEFI, în secțiunea Securitate puteți adăuga parola.

Puteți face același lucru cu GRUB, protejându-l prin parolă:

grub-mkpasswd-pbkdf2

Introduceți fișierul parola pentru GRUB doriți și va fi codat în SHA512. Apoi copiați parola criptată (cea care apare în „PBKDF2 este”) pentru a o utiliza ulterior:

sudo nano /boot/grub/grub.cfg

Creați un utilizator la început și puneți parola criptată. De exemplu, dacă parola copiată anterior a fost „grub.pbkdf2.sha512.10000.58AA8513IEH723”:

set superusers=”isaac”
password_pbkdf2 isaac grub.pbkdf2.sha512.10000.58AA8513IEH723

Și salvați modificările ...

Software mai mic = mai multă securitate:

Minimizați numărul de pachete instalate. Instalați doar cele de care aveți nevoie și, dacă doriți să nu mai utilizați unul, cel mai bine este să îl dezinstalați. Cu cât aveți mai puțin software, cu atât mai puține vulnerabilități. Ține minte asta. La fel vă sfătuiesc cu serviciile sau demonii anumitor programe care rulează la pornirea sistemului. Dacă nu le folosiți, puneți-le în modul „off”.

Ștergeți în siguranță informațiile:

Când ștergeți informații a unui disc, a unei cartele de memorie sau a unei partiții, sau doar a unui fișier sau director, faceți-o în siguranță. Chiar dacă credeți că l-ați șters, acesta poate fi recuperat cu ușurință. La fel cum fizic nu este util să aruncați un document cu date personale în coșul de gunoi, deoarece cineva ar putea să-l scoată din container și să-l vadă, așa că trebuie să distrugeți hârtia, același lucru se întâmplă și în calcul. De exemplu, puteți umple memoria cu date aleatorii sau nule pentru a suprascrie datele pe care nu doriți să le expuneți. Pentru aceasta puteți utiliza (pentru ca acesta să funcționeze, trebuie să îl rulați cu privilegii și să înlocuiți / dev / sdax cu dispozitivul sau partiția pe care doriți să acționați în cazul dvs. ...):

dd if=/dev/zeo of=/dev/sdax bs=1M
dd if=/dev/unrandom of=/dev/sdax bs=1M

Dacă ceea ce vrei este ștergeți definitiv un fișier specific, puteți utiliza „mărunțiș”. De exemplu, imaginați-vă că doriți să ștergeți un fișier numit passwords.txt în care aveți parole de sistem scrise. Putem folosi shred și suprascrie de exemplu de 26 de ori mai sus pentru a garanta că nu poate fi recuperat după ștergere:

shred -u -z -n 26 contraseñas.txt

Există instrumente precum HardWipe, Eraser sau Secure Delete pe care le puteți instala „Ștergeți” (ștergeți definitiv) amintirile, Partiții SWAP, RAM etc.

Conturi de utilizator și parole:

Îmbunătățiți sistemul de parole cu instrumente precum S / KEY sau SecurID pentru a crea o schemă dinamică de parole. Asigurați-vă că nu există o parolă criptată în directorul / etc / passwd. Trebuie să folosim mai bine / etc / shadow. Pentru aceasta puteți utiliza „pwconv” și „grpconv” pentru a crea noi utilizatori și grupuri, dar cu o parolă ascunsă. Un alt lucru interesant este să editați fișierul / etc / default / passwd pentru a vă expira parolele și a vă obliga să le reînnoiți periodic. Deci, dacă primesc o parolă, aceasta nu va dura pentru totdeauna, deoarece o veți schimba frecvent. Cu fișierul /etc/login.defs puteți, de asemenea, fortifica sistemul de parole. Editați-o, căutând intrarea PASS_MAX_DAYS și PASS_MIN_DAYS pentru a specifica zilele minime și maxime pe care le poate dura o parolă înainte de expirare. PASS_WARN_AGE afișează un mesaj pentru a vă informa că parola va expira în curând în X zile. Vă sfătuiesc să vedeți un manual pe acest fișier, deoarece intrările sunt foarte numeroase.

Las conturi care nu sunt utilizate și sunt prezenți în / etc / passwd, trebuie să aibă variabila Shell / bin / false. Dacă este altul, schimbați-l cu acesta. În felul acesta nu pot fi folosiți pentru a obține o coajă. De asemenea, este interesant să modificăm variabila PATH din terminalul nostru astfel încât directorul curent "." Să nu apară. Adică, trebuie să se schimbe de la „./user/local/sbin/:/usr/local/bin:/usr/bin:/bin” la „/ user / local / sbin /: / usr / local / bin: / usr / bin: / bin ”.

Ar fi recomandat să utilizați Kerberos ca metodă de autentificare a rețelei.

PAM (modul de autentificare conectabil) este ceva de genul Microsoft Active Directory. Oferă o schemă de autentificare comună, flexibilă, cu avantaje clare. Puteți arunca o privire la directorul /etc/pam.d/ și puteți căuta informații pe web. Este destul de extins să explic aici ...

Fii cu ochii pe privilegii a diferitelor directoare. De exemplu, / root ar trebui să aparțină utilizatorului root și grupului root, cu permisiunile „drwx - - - - - -”. Puteți găsi informații pe web despre permisiunile pe care ar trebui să le aibă fiecare director din arborele directorului Linux. O altă configurație ar putea fi periculoasă.

Criptați-vă datele:

Criptează conținutul unui director sau partiție unde aveți informații relevante. Pentru aceasta puteți utiliza LUKS sau cu eCryptFS. De exemplu, imaginați-vă că vrem să criptăm / acasă un utilizator numit isaac:

sudo apt-get install ecryptfs-utils
ecryptfs-setup-private
ecryptfs-migrate-home -u isaac

După cele de mai sus, indicați parola sau parola când vi se solicită ...

Pentru a crea un director privatDe exemplu numit „privat” putem folosi și eCryptFS. În acel director putem pune lucrurile pe care dorim să le criptăm pentru a le elimina din viziunea altora:

mkdir /home/isaac/privado
chmod 700 /home/isaac/privado
mount -t ecryptfs /home/isaa/privado

Ne va pune întrebări despre diferiți parametri. Mai întâi ne va permite să alegem între parole, OpenSSL, ... și trebuie să alegem 1, adică „expresie de acces”. Apoi introducem parola pe care dorim să o verificăm de două ori. După aceea, alegem tipul de criptare dorit (AES, Blowfish, DES3, CAST, ...). Aș alege-o pe prima, AES și apoi introducem tipul de octeți al cheii (16, 32 sau 64). Și în cele din urmă răspundem la ultima întrebare cu un „da”. Acum puteți monta și demonta acest director pentru al utiliza.

Dacă vrei doar criptați fișiere specifice, puteți utiliza scrypt sau PGP. De exemplu, un fișier numit passwords.txt, puteți utiliza următoarele comenzi pentru a cripta și decripta respectiv (în ambele cazuri vă va cere o parolă):

scrypt <contraseñas.txt>contraseñas.crypt
scrypt <contraseñas.crypt>contraseñas.txt

Verificare în doi pași cu Google Authenticator:

ADD verificare în doi pași în sistemul dvs. Astfel, chiar dacă parola dvs. este furată, aceștia nu vor avea acces la sistemul dvs. De exemplu, pentru Ubuntu și mediul său Unity putem folosi LightDM, dar principiile pot fi exportate către alte distribuții. Veți avea nevoie de o tabletă sau un smartphone pentru aceasta, în ea trebuie să instalați Google Authenticator din Magazinul Play. Apoi, pe computer, primul lucru de făcut este să instalați Google Authenticator PAM și să îl porniți:

sudo apt-get install libpam-google-authenticator
google-authenticator

Când ne întrebați dacă cheile de verificare se vor baza pe timp, răspundem afirmativ cu a și. Acum ne arată un cod QR pentru a fi recunoscut Google Authenticator De pe telefonul smartphone, o altă opțiune este să introduceți cheia secretă direct din aplicație (este cea care a apărut pe computer ca „Noul tău secret este:”). Și ne va oferi o serie de coduri în cazul în care nu purtăm smartphone-ul cu noi și ar fi bine să le avem în vedere în caz că muștele. Și continuăm să răspundem cu dvs. în funcție de preferințele noastre.

Acum deschidem (cu nano, gedit sau editorul dvs. de text preferat) Fișier de configurare cu:

sudo gedit /etc/pam.d/lightdm

Și adăugăm linia:

auth required pam_google_authenticator.so nullok

Economisim și data viitoare când vă conectați, ne va solicita cheie de verificare pe care mobilul nostru îl va genera pentru noi.

Dacă într-o zi doriți să eliminați verificarea în doi pași, trebuie doar să ștergeți linia „auth required pam_google_authenticator.so nullok” din fișierul /etc/pam.d/lightdm
Amintiți-vă, bunul simț și precauție este cel mai bun aliat. Un mediu GNU / Linux este sigur, dar orice computer conectat la o rețea nu mai este sigur, indiferent cât de bun este sistemul de operare pe care îl utilizați. Dacă aveți întrebări, probleme sau sugestii, vă puteți lăsa comentariu. Sper că ajută…