Linux Hardenining: tipy na ochranu vašej distribúcie a zvýšenie jej bezpečnosti

Mnoho článkov bolo publikovaných dňa Linuxové distribúcie bezpečnejšie, ako napríklad TAILS (ktoré zaisťujú vaše súkromie a anonymitu na sieti), Whonix (systém Linux s bezpečnostným paranoidom) a ďalšie distribúcie zamerané na bezpečnosť. Ale samozrejme, nie všetci používatelia chcú tieto distribúcie používať. Preto v tomto článku uvedieme sériu odporúčaní pre «Linuxové kalenie«, To znamená, aby bolo vaše distro (akékoľvek) bezpečnejšie.

Red Hat, SUSE, CentOS, openSUSE, Ubuntu, Debian, Arch Linux, Linux Mint,… aký je v tom rozdiel. Akákoľvek distribúcia môže byť bezpečná ako najbezpečnejšie, ak to viete do hĺbky a viete, ako sa chrániť pred nebezpečenstvom, ktoré vám hrozí. A preto je možné pôsobiť na mnohých úrovniach, a to nielen na softvérovej, ale aj na hardvérovej úrovni.

Všeobecné bezpečnostné králiky:

V tejto časti vám niektoré uvediem veľmi základné a jednoduché tipy ktorí nepotrebujú počítačové znalosti, aby im rozumeli, sú iba zdravým sedliackym rozumom, ale ktorý niekedy z dôvodu neopatrnosti alebo neopatrnosti nekonáme:

• Do cloudu nenahrávajte osobné ani citlivé údaje. Cloud, bez ohľadu na to, či je zadarmo alebo nie a či je viac alebo menej bezpečný, je dobrým nástrojom na likvidáciu vašich údajov, nech ste kdekoľvek. Snažte sa však nenahrávať údaje, ktoré nechcete „zdieľať“ s prizerajúcimi sa ľuďmi. Tento typ citlivejších údajov musí byť prenášaný na osobnejšom médiu, napríklad na SD karte alebo pendrive.
• Ak napríklad na prístup na internet používate počítač a pracujete s dôležitými údajmi, predstavte si, že ste sa pripojili k šialenstvu BYOD a priniesli si domov nejaké obchodné údaje. Za takýchto okolností, nepracujte online, skúste sa odpojiť (prečo chcete byť pripojení, aby ste mohli pracovať napríklad s LibreOffice úpravou textu?). Odpojený počítač je najbezpečnejší, pamätajte na to.
• V súvislosti s vyššie uvedeným pri práci online nenechávajte dôležité údaje na lokálnom pevnom disku. Odporúčam vám mať k dispozícii externý pevný disk alebo iný typ pamäte (pamäťové karty, perá atď.), V ktorom máte tieto informácie. Takto položíme bariéru medzi naše pripojené zariadenie a „nepripojenú“ pamäť, kde sú dôležité údaje.
• Vytvorte záložné kópie údajov, ktoré považujete za zaujímavé alebo o ktoré nechcete prísť. Ak útočník použije na vstup do vášho počítača zraniteľné miesta a zvýši oprávnenie, bude môcť bez akýchkoľvek prekážok vymazať alebo manipulovať s ľubovoľnými údajmi. Preto je lepšie mať zálohu.
• Nenechávajte údaje o svojich slabých stránkach na fórach alebo komentáre na weboch. Ak máte napríklad problémy so zabezpečením v počítači a má otvorené porty, ktoré chcete zavrieť, nenechávajte svoj problém na fóre o pomoc, pretože ho možno použiť proti vám. Niekto so zlým úmyslom môže tieto informácie použiť na hľadanie svojej dokonalej obete. Radšej si vyhľadajte dôveryhodného technika, ktorý vám ich pomôže vyriešiť. Spoločnosti tiež bežne zverejňujú na internete inzeráty ako „Hľadám odborníka na bezpečnosť IT“ alebo „Pre oddelenie zabezpečenia je potrebný personál“. To môže naznačovať možnú slabosť v spomínanej spoločnosti a počítačový zločinec môže pomocou týchto typov stránok hľadať ľahké obete ... Nie je tiež dobré, aby ste nechávali informácie o systéme, ktorý používate, a jeho verziách, niekto by mohol využiť exploity na zneužitie zraniteľnosti tejto verzie. Stručne povedané, čím viac vás útočník nevie, tým ťažšie bude pre neho útočiť. Majte na pamäti, že útočníci zvyčajne pred útokom uskutočnia proces s názvom „zhromažďovanie informácií“, ktorý spočíva v zhromažďovaní informácií o obeti, ktoré je možné proti nim použiť.
• Udržujte svoje vybavenie aktualizované S najnovšími aktualizáciami a opravami pamätajte na to, že pri mnohých príležitostiach vylepšujú nielen funkčnosť, ale aj opravujú chyby a chyby zabezpečenia, aby neboli zneužité.
• Používajte silné heslá. Nikdy nedávajte mená, ktoré sú v slovníku, alebo heslá ako 12345, pretože pomocou slovníkových útokov sa dajú rýchlo odstrániť. Tiež nenechávajte heslá v predvolenom nastavení, pretože sú ľahko rozpoznateľné. Nepoužívajte tiež dátumy narodenia, mená príbuzných, domácich miláčikov alebo informácie o vašom vkusu. Takéto druhy hesiel možno ľahko odhadnúť pomocou sociálneho inžinierstva. Najlepšie je použiť dlhé heslo s číslami, malými a malými písmenami a symbolmi. Nepoužívajte tiež hlavné heslá na všetko, to znamená, že ak máte e-mailový účet a reláciu operačného systému, nepoužívajte to isté pre obe. To je niečo, čo v systéme Windows 8 zaskrutkovali nadol, pretože heslo na prihlásenie je rovnaké ako vaše konto Hotmail / Outlook. Zabezpečené heslo je typu: „auite3YUQK && w-“. Hrubou silou sa to dalo dosiahnuť, ale čas venovaný tomu nestojí za to ...
• Neinštalujte balíčky z neznámych zdrojov a ak je to možné. Použite balíčky zdrojových kódov z oficiálnej webovej stránky programu, ktorý chcete nainštalovať. Ak sú balíčky otázne, odporúčam vám použiť prostredie karantény ako Glimpse. Dosiahnete tým, že všetky aplikácie, ktoré nainštalujete do aplikácie Glimpse, môžu bežať normálne, ale pri pokuse o čítanie alebo zápis údajov sa to prejaví iba v prostredí karantény, čím sa izoluje váš systém od problémov.
• použitie oprávnenie systému čo najmenšie. A keď potrebujete pre úlohu privilégiá, odporúča sa použiť „sudo“ prednostne pred „su“.

Ďalšie trochu technickejšie tipy:

Okrem odporúčaní uvedených v predchádzajúcej časti sa tiež dôrazne odporúča postupovať podľa nasledujúcich krokov, aby bola distribúcia ešte bezpečnejšia. Majte na pamäti, že vaša distribúcia môže byť tak bezpečné, ako chceteMyslím tým, čím viac času strávite konfiguráciou a zabezpečením, tým lepšie.

Balíky zabezpečenia v systémoch Linux a Firewall / UTM:

použitie SELinux alebo AppArmor na posilnenie vášho Linuxu. Tieto systémy sú trochu zložité, ale môžete si pozrieť manuály, ktoré vám veľmi pomôžu. AppArmor môže obmedziť aj citlivé aplikácie pred zneužitím a inými nechcenými akciami procesu. AppArmor bol do jadra Linuxu zahrnutý od verzie 2.6.36. Jeho konfiguračný súbor je uložený v /etc/apparmor.d

Zatvorte všetky nepoužívané porty často. Bolo by zaujímavé, aj keby ste mali fyzický Firewall, to je najlepšie. Ďalšou možnosťou je vyhradiť staré alebo nepoužívané zariadenie na implementáciu UTM alebo Firewall pre vašu domácu sieť (môžete použiť distribúcie ako IPCop, m0n0wall, ...). Môžete tiež nakonfigurovať iptables na filtrovanie toho, čo nechcete. Na ich zatvorenie môžete použiť program „iptables / netfilter“, ktorý integruje samotné jadro systému Linux. Odporúčam vám prečítať si príručky k netfilteru a iptables, pretože sú pomerne zložité a nemožno ich vysvetliť v článku. Otvorené porty môžete zobraziť zadaním do terminálu:

netstat -nap

Fyzická ochrana našich zariadení:

Svoje vybavenie môžete tiež fyzicky chrániť v prípade, že nedôverujete niekomu vo svojom okolí alebo musíte svoje zariadenie nechať niekde v dosahu iných ľudí. Za týmto účelom môžete vypnúť bootovanie z iných prostriedkov ako z pevného disku v priečinku BIOS / UEFI a heslom chrániť systém BIOS / UEFI, aby ho bez neho nemohli upravovať. To zabráni tomu, aby si niekto vzal bootovateľný USB alebo externý pevný disk s nainštalovaným operačným systémom a mohol z neho získať prístup k vašim dátam bez nutnosti prihlásenia do vašej distribúcie. Na jeho ochranu vstúpte do systému BIOS / UEFI, v sekcii Zabezpečenie môžete pridať heslo.

To isté môžete urobiť s GRUB, chrániaci ho heslom:

grub-mkpasswd-pbkdf2

Zadajte znak heslo pre GRUB chcete a bude zakódovaný v SHA512. Potom skopírujte šifrované heslo (heslo, ktoré sa zobrazuje v časti „Váš PBKDF2 je“) a použite ho neskôr:

sudo nano /boot/grub/grub.cfg

Vytvorte užívateľa na začiatku a vložte šifrované heslo. Napríklad ak bolo predtým skopírované heslo „grub.pbkdf2.sha512.10000.58AA8513IEH723“:

set superusers=”isaac”
password_pbkdf2 isaac grub.pbkdf2.sha512.10000.58AA8513IEH723

A uložiť zmeny ...

Menej softvéru = viac bezpečnosti:

Minimalizujte počet nainštalovaných balíkov. Nainštalujte si iba tie, ktoré potrebujete. Ak chcete niektorý z nich prestať používať, je najlepšie ho odinštalovať. Čím menej softvéru máte, tým menej zraniteľností. Zapamätaj si to. To isté vám radím so službami alebo démonmi určitých programov, ktoré sa spúšťajú pri štarte systému. Ak ich nepoužívate, prepnite ich do režimu „vypnuté“.

Bezpečne odstrániť informácie:

Keď odstránite informácie disku, pamäťovej karty alebo oddielu, alebo jednoducho súboru alebo adresára, urobte to bezpečne. Aj keď si myslíte, že ste ho odstránili, dá sa ľahko obnoviť. Rovnako ako fyzicky nie je užitočné vyhodiť dokument s osobnými údajmi do koša, pretože by ho niekto mohol vytiahnuť z kontajnera a vidieť ho, takže musíte zničiť papier, to isté sa deje aj vo výpočtoch. Napríklad môžete vyplniť pamäť náhodnými alebo nulovými údajmi, čím prepíšete údaje, ktoré nechcete vystaviť. Môžete to použiť (aby to fungovalo, musíte to spustiť s oprávneniami a nahradiť / dev / sdax zariadením alebo oddielom, s ktorým chcete vo vašom prípade konať ...):

dd if=/dev/zeo of=/dev/sdax bs=1M
dd if=/dev/unrandom of=/dev/sdax bs=1M

Ak chcete konkrétny súbor navždy odstrániť, môžete použiť „skartovať“. Predstavte si napríklad, že chcete vymazať súbor s názvom passwords.txt, kde máte zapísané systémové heslá. Skartovanie a prepisovanie môžeme použiť napríklad 26-krát vyššie, aby sme zaručili, že ho po odstránení nebude možné obnoviť:

shred -u -z -n 26 contraseñas.txt

Môžete nainštalovať nástroje ako HardWipe, Eraser alebo Secure Delete „Vymazanie“ (trvalé odstránenie) pamätí, Oddiely SWAP, RAM atď.

Používateľské účty a heslá:

Vylepšiť systém hesiel pomocou nástrojov ako S / KEY alebo SecurID na vytvorenie schémy dynamického hesla. Uistite sa, že v adresári / etc / passwd nie je šifrované heslo. Musíme lepšie použiť / etc / shadow. Na tento účel môžete pomocou súborov „pwconv“ a „grpconv“ vytvoriť nových používateľov a skupiny, ale so skrytým heslom. Ďalšou zaujímavou vecou je upraviť súbor / etc / default / passwd tak, aby platnosť vašich hesiel vypršala a prinútili vás ich pravidelne obnovovať. Ak teda dostanú heslo, nebude to trvať večne, pretože ich budete často meniť. So súborom /etc/login.defs môžete tiež posilniť systém hesiel. Upravte ho a vyhľadajte položky PASS_MAX_DAYS a PASS_MIN_DAYS, aby ste určili minimálny a maximálny počet dní, počas ktorých môže heslo trvať pred vypršaním platnosti. PASS_WARN_AGE zobrazí správu s oznámením, že platnosť hesla čoskoro vyprší o X dní. Odporúčam vám pozrieť si manuál k tomuto súboru, pretože záznamov je veľmi veľa.

L účty, ktoré sa nepoužívajú a sú prítomné v / etc / passwd, musia mať premennú Shell / bin / false. Ak je iný, zmeňte ho na tento. Takto ich nemožno použiť na získanie škrupiny. Je tiež zaujímavé upraviť premennú PATH v našom termináli tak, aby sa aktuálny adresár „.“ Nezobrazoval. To znamená, že sa musí zmeniť z „./user/local/sbin/:/usr/local/bin:/usr/bin:/bin“ na „/ user / local / sbin /: / usr / local / bin: / usr / bin: / bin “.

Odporúča sa, aby ste použili Kerberos ako metóda sieťovej autentifikácie.

PAM (zásuvný autentifikačný modul) je to niečo ako Microsoft Active Directory. Poskytuje spoločnú flexibilnú schému autentifikácie s jasnými výhodami. Môžete sa pozrieť do adresára /etc/pam.d/ a vyhľadať informácie na webe. Je dosť rozsiahle vysvetľovať ich tu ...

Dávajte pozor na výsady rôznych adresárov. Napríklad / root by mal vlastniť užívateľ root a skupina root s oprávneniami „drwx - - - - - -“. Na webe nájdete informácie o tom, aké povolenia by mal mať každý adresár v strome adresárov systému Linux. Iná konfigurácia môže byť nebezpečná.

Šifrovať vaše dáta:

Šifruje obsah adresára alebo oddielu kde máte relevantné informácie. Môžete na to použiť LUKS alebo eCryptFS. Napríklad si predstavme, že chceme zašifrovať / domov používateľa s menom isaac:

sudo apt-get install ecryptfs-utils
ecryptfs-setup-private
ecryptfs-migrate-home -u isaac

Po vyššie uvedenom uveďte prístupovú frázu alebo heslo, keď sa zobrazí výzva ...

Ak chcete vytvoriť súkromný adresárNapríklad s názvom „súkromné“ môžeme tiež použiť eCryptFS. Do tohto adresára môžeme vložiť veci, ktoré chceme zašifrovať, aby sme ich odstránili z pohľadu ostatných:

mkdir /home/isaac/privado
chmod 700 /home/isaac/privado
mount -t ecryptfs /home/isaa/privado

Bude nám klásť otázky týkajúce sa rôznych parametrov. Najprv nám umožní zvoliť si medzi heslami, OpenSSL, ... a musíme zvoliť 1, teda „prístupovú frázu“. Potom dvakrát zadáme heslo, ktoré chceme overiť. Potom zvolíme požadovaný typ šifrovania (AES, Blowfish, DES3, CAST, ...). Vybral by som prvý, AES a potom predstavíme bajtový typ kľúča (16, 32 alebo 64). A nakoniec na poslednú otázku odpovieme „áno“. Teraz môžete tento adresár pripojiť a odpojiť, aby ste ho mohli používať.

Ak len chcete šifrovanie konkrétnych súborov, môžete použiť scrypt alebo PGP. Napríklad súbor s názvom passwords.txt môžete na šifrovanie a dešifrovanie použiť nasledujúce príkazy (v oboch prípadoch vás požiada o heslo):

scrypt <contraseñas.txt>contraseñas.crypt
scrypt <contraseñas.crypt>contraseñas.txt

Dvojstupňové overenie pomocou aplikácie Google Authenticator:

pridáva dvojstupňové overenie vo vašom systéme. Preto aj v prípade odcudzenia hesla nebudú mať prístup do vášho systému. Napríklad pre Ubuntu a jeho prostredie Unity môžeme použiť LightDM, ale princípy je možné exportovať do iných distribúcií. Budete na to potrebovať tablet alebo smartphone, v ktorom si musíte nainštalovať aplikáciu Google Authenticator z Obchodu Play. Potom na PC najskôr nainštalujte aplikáciu Google Authenticator PAM a spustite ju:

sudo apt-get install libpam-google-authenticator
google-authenticator

Keď sa nás pýtate, či budú overovacie kľúče založené na čase, odpovieme kladne písmenom a. Teraz nám ukazuje QR kód na rozpoznanie Google Authenticator Ďalšou možnosťou vo vašom smartfóne je zadanie tajného kľúča priamo z aplikácie (jedná sa o ten, ktorý sa v počítači zobrazil ako „Váš nový tajný kľúč je:“). A dá nám sériu kódov pre prípad, že so sebou smartfón nebudeme nosiť, a bolo by dobré ich mať na pamäti pre prípad, že budú muchy. A naďalej odpovedáme medzi rokmi podľa našich preferencií.

Teraz otvárame (pomocou nano, gedit alebo vášho obľúbeného textového editora) konfiguračný súbor s:

sudo gedit /etc/pam.d/lightdm

A pridáme riadok:

auth required pam_google_authenticator.so nullok

Ukladáme a pri ďalšom prihlásení vás požiada o overovací kľúč ktoré náš mobil vygeneruje pre nás.

Keby jedného dňa chcete odstrániť verifikáciu v dvoch krokoch, stačí vymazať riadok „vyžaduje sa autorizácia pam_google_authenticator.so nullok“ zo súboru /etc/pam.d/lightdm
Pamätajte, že zdravý rozum a opatrnosť sú najlepším spojencom. Prostredie GNU / Linux je bezpečné, ale akýkoľvek počítač pripojený k sieti už nie je bezpečný, bez ohľadu na to, aký dobrý operačný systém používate. Ak máte akékoľvek otázky, problémy alebo návrhy, môžete zanechať svoje comentario. Dúfam, že to pomôže ...