Linux Adkeynta: Tilmaamaha lagu ilaalinayo Distro-gaaga oo aad uga dhigto mid amni badan

Hardening Linux laba tuxs ah, mid aan difaac lahayn iyo mid ku hubaysan

Maqaallo badan ayaa lagu daabacay Qaybinta Linux ammaan badan, sida TAILS (taas oo hubinaysa asturnaantaada iyo magacaaga internetka), Whonix (Linux oo loogu talagalay nabadgelyada nabadgelyada) iyo qalalaasaha kale ee loogu talagalay in lagu badbaado. Laakiin dabcan, maahan in isticmaaleyaasha oo dhami ay isticmaalaan qaybinta. Taasi waa sababta maqaalkan waxaan ku siin doonaa taxane ah talooyin ku saabsan «Adkaynta Linux«, Taasi waa, ka dhig mashiinkaaga (wax kastoo ay tahayba) mid aamin ah.

Red Hat, SUSE, CentOS, openSUSE, Ubuntu, Debian, Arch Linux, Linux Mint, difference maxay farqi u sameysaa. Qaybinta kasta waxay noqon kartaa mid ammaan ah sida ugu badbaado badan haddii aad si qoto dheer u taqaanid oo aad u ogaato sida aad uga badbaadi karto khataraha kugu soo food leh Tanna waxaad ku dhaqaaqi kartaa heerar badan, ma aha oo kaliya heerka barnaamijka, laakiin sidoo kale heerka qalabka.

Bakaylaha badbaadada guud:

Wareegga amniga kumbuyuutarka ee kumbuyuutarka

Qaybtaan waxaan ku siin doonaa xoogaa talooyin aasaasi ah oo fudud kuwaas oo aan u baahnayn aqoonta kombuyuutarka si ay u fahmaan, waa caqli caadi ah laakiin mararka qaarkood ma fulinno taxaddar la'aan ama taxaddar la'aan:

  • Ha ku shubin daruuraha xogta shakhsiga ah ama xasaasiga ah. Daruurku, iyadoon loo eegin inuu lacag la’aan yahay iyo in kale iyo inuu amni ka badan yahay ama ka yar yahay, waa aalad wanaagsan oo lagu tuuri karo xogtaada meel kasta oo aad tagto. Laakiin isku day inaadan soo dhigin xog aadan rabin inaad "la wadaagto" daawadayaasha. Noocan ah xogta xasaasiga ah waa in lagu qaadaa qaab shaqsiyeed ka badan, sida kaarka SD ama pendrive.
  • Haddii aad isticmaasho kumbuyuutar si aad u gasho internetka oo aad ula shaqeysid xog muhiim ah, tusaale ahaan, ka soo qaad inaad ku biirtay 'BYOD craze' isla markaana aad qaadatay xoogaa xog ganacsi ah gurigaaga. Hagaag, xaaladaha noocan ah, ha ku shaqeyn internetka, isku day in lagaa jaro (maxaad u dooneysaa in lagugu xiro shaqada tusaale ahaan LibreOffice oo qoraal tafatir ah?). Kumbiyuutar kala go'ay ayaa ugu badbaado badan, xusuusnow taas.
  • La xiriira kor, haka tagin xog muhiim ah oo ku saabsan darawalka adag ee deegaanka markaad ka shaqeyneyso khadka tooska ah. Waxaan kugula talinayaa inaad haysato dirawal adag oo dibedda ah ama nooc kale oo xusuusta ah (kaararka xusuusta, qalinka, iwm) oo aad ku hayso macluumaadkan. Sidaa awgeed waxaan dhigeynaa carqalad udhaxeysa qalabkayaga isku xiran iyo xusuusta "aan ku xirneyn" halka ay xogta muhiimka ahi taalo.
  • Samee nuqullo nuqul ah xogta aad u aragto mid xiiso leh ama aadan rabin inaad lumiso. Markay adeegsadaan nuglaanshaha inay soo galaan kombuyuutarkaaga oo ay sare u qaadaan mudnaanta, weeraryahanku wuxuu awood u yeelan doonaa inuu masaxo ama fara-geliyo wixii xog ah caqabado la'aan. Taasi waa sababta ay u fiicantahay in la helo keyd.
  • Ha uga tagin xogta ku saabsan dhibcahaaga daciifka ah goobaha ama faallooyin ku saabsan shabakadaha. Haddii tusaale ahaan aad dhibaato xagga amniga ah ka haysato kombuyuutarkaaga oo ay leedahay dekedo furan oo aad rabto inaad xirto, ha u dhaafin dhibaatadaada goob fagaare ah oo lagu caawinayo, maxaa yeelay waa loo isticmaali karaa adiga. Qof damac xun ayaa u adeegsan kara macluumaadkaas si uu u raadsado dhibbanayaashiisa kaamil ah. Way fiicantahay inaad hesho farsamayaqaan lagu kalsoon yahay oo kaa caawiya xallintooda. Sidoo kale waa wax iska caadi ah in shirkadaha ay xayeysiis geliyaan internetka sida "Waxaan raadinayaa khabiir xagga amniga IT ah" ama "Shaqaale ayaa looga baahan yahay waaxda amniga. Tani waxay muujin kartaa daciifnimo suurtagal ah oo ku jirta shirkadda la yiri iyo dambiile dambiile ah ayaa isticmaali kara bogagga noocan ah si aad u raadiso dhibbanayaal fudud ... nuglaanta noocaas. Marka la soo koobo, inta badan ee weeraryahanku aanu kaa war qabin, ayay ku sii adkaan doontaa inuu isagu weeraro. Maskaxda ku hay in weeraryahannadu inta badan fuliyaan hawlgal ka hor weerarka oo loo yaqaan "ururinta macluumaadka" waxayna ka kooban tahay ururinta macluumaadka ku saabsan dhibbanaha loo adeegsan karo iyaga.
  • Qalabkaaga cusbooneysii Cusboonaysiinta ugu dambeysa iyo dhejiska, xusuusnow in munaasabado badan, kuwani kaliya aysan hagaajinaynin waxqabadka, waxay sidoo kale saxaan cilladaha iyo dayacanka si aan looga faa'iideysan.
  • Adeegso furayaasha sirta ah. Waligaa ha dhigin magacyada kujira qaamuuska ama ereyada sirta ah sida 12345, maadaama weerarada qaamuuska si dhaqso ah looga saari karo. Sidoo kale, ha uga tagin ereyada sirta ah asal ahaan, maxaa yeelay si fudud ayaa lagu ogaan karaa. Sidoo kale ha isticmaalin taariikhaha dhalashada, magacyada qaraabada, xayawaanka rabbaayadaysan ama dookhaaga. Noocyada sirta ah waxaa si fudud lagu qiyaasi karaa injineernimada bulshada. Waxaa ugu wanaagsan in la isticmaalo lambar dheer oo wata nambarro, xarfaha waaweyn iyo kuwa yaryar, iyo astaamo. Sidoo kale, ha u adeegsan furaha sirta ah wax walba, taas oo ah, haddii aad leedahay koonto emayl iyo fadhi ku saabsan nidaamka hawlgalka, ha u wada isticmaalin labadaba. Tani waa wax ka mid ah Windows 8 ay hoos u jeex jeexeen, maaddaama ereyga sirta ah ee lagu galayaa uu la mid yahay koontadaada 'Hotmail / Outlook'. Furaha sirta ah ee aaminka ahi waa nooca: "auite3YUQK && w-". Xoog caayaan ah ayaa lagu gaari karaa, laakiin waqtiga u heellan ayaa ka dhigaysa mid aan u qalmin ...
  • Ha ku rakibin xirmooyinka meelaha aan lagaran oo hadday suurogal tahay. Isticmaal baakadaha koodhka ilaha ee bogga rasmiga ah ee barnaamijka aad rabto inaad rakibto. Haddii xirmooyinka ay su'aal ka taagan tahay, waxaan kugula talinayaa inaad isticmaasho jawi sanduuqa ciidda ah sida Glimpse. Waxa aad ku guuleysan doonto ayaa ah in dhammaan codsiyada aad ku rakibto Muuqaalka ay si caadi ah u socon karaan, laakiin markii la isku dayayo in la akhriyo ama la qoro xogta, waxaa kaliya ka muuqanaya deegaanka sanduuqa ciidda, iyadoo laga fogeynayo nidaamkaaga dhibaatooyinka.
  • Adeegso mudnaanta nidaamka sida ugu yar ee suurtogalka ah. Markaad ubaahantahay mudnaan shaqo, waxaa lagugula talinayaa inaad isticmaasho "sudo" doorbid kahor "su".

Tilmaamo kale oo farsamo oo xoogaa ah:

Amniga kombiyuutarka, qufulka kumbuyuutarka

Marka lagu daro talobixinta lagu arkay qaybtii hore, sidoo kale waxaa si weyn lagugula talinayaa inaad raacdo talaabooyinka soo socda si aad distoorkaaga uga dhigto mid aad u xasiloon. Maskaxda ku hay in qaybintaadu noqon karto sida aad rabto u badbaadoWaxaan ula jeedaa, waqtiga badan ee aad kubixiso qaabeynta iyo sugida, ayaa sifiican.

Qolalka amniga ee Linux iyo Firewall / UTM:

Adeegso SELinux ama AppArmor si aad u xoojiso Linux-kaaga. Nidaamyadani xoogaa way adag yihiin, laakiin waxaad arki kartaa buug-gacmeedyo wax badan kaa caawin doona. AppArmor wuu xaddidi karaa xitaa barnaamijyada xasaasiga u ah ka faa'iideysiga iyo tallaabooyinka kale ee nidaamka aan loo baahnayn. AppArmor waxaa lagu soo daray Linux kernel sida nooca 2.6.36. Faylka qaabeynta waxaa lagu keydiyaa /etc/apparmor.d

Xidho dhamaan dekeddaha aadan adeegsan had iyo jeer. Waxay noqon laheyd xiiso xitaa haddii aad leedahay Firewall jireed, taasi waa tan ugu fiican. Ikhtiyaar kale ayaa ah in loo hibeeyo qalab duug ah ama aan la adeegsan si loo hirgeliyo UTM ama Firewall ee shabakadaada gurigaaga (waad isticmaali kartaa qaybinta sida IPCop, m0n0wall, ...). Waxa kale oo aad habeyn kartaa iptables si aad u shaandheyso waxa aadan rabin. Si aad u xirto waxaad isticmaali kartaa "iptables / netfilter" oo isku dhafan kernel Linux lafteeda. Waxaan kugula talinayaa inaad la tashato buugaagta netfilter-ka iyo iptable-ka, maadaama ay aad u adag yihiin oo aan lagu sharixi karin maqaal. Waxaad arki kartaa dekedaha aad furtay adoo ku qoraya boosteejada:

netstat -nap

Ilaalinta jirka ee qalabkeena:

Waxaad sidoo kale jir ahaan u ilaalin kartaa kombiyuutarkaaga haddii ay dhacdo inaadan aaminin qof hareerahaaga ah ama waa inaad ka tagtaa kombiyuutarkaaga meel dadka kale ay gaaraan. Tan awgeed waad u joojin kartaa boot-ka habab kale oo aan ahayn wadistaada adag ee ku jira BIOS / UEFI iyo lambarka sirta ah ayaa ilaaliya BIOS / UEFI si aysan wax uga beddeli karin la'aantood. Tani waxay ka hortageysaa qof inuu qaato USB-ga la kici karo ama wadida adag ee dibadda oo leh nidaam hawlgal lagu rakibay iyo inuu awood u yeesho inuu ka helo xogtaada, isagoon xitaa u baahnayn inaad gasho qashinkaaga. Si aad u ilaaliso, u gal BIOS / UEFI, qaybta Amniga waxaad ku dari kartaa lambarka sirta ah.

Waxaad sidoo kale ku sameyn kartaa GRUB, sirta-ilaalinaysa:

grub-mkpasswd-pbkdf2

Gali ereyga sirta ah ee GRUB waad rabtaa waana lagu qori doonaa SHA512. Ka dib nuqul sirta sirta ah (midda ka muuqata "PBKDF2-kaaga waa") si aad hadhow u isticmaasho:

sudo nano /boot/grub/grub.cfg

Abuur isticmaale bilowga oo dhig password sir ah. Tusaale ahaan, haddii lambarka sirta ah ee hore loo soo guuriyey uu ahaa "grub.pbkdf2.sha512.10000.58AA8513IEH723":

set superusers=”isaac”
password_pbkdf2 isaac grub.pbkdf2.sha512.10000.58AA8513IEH723

Oo badbaadi isbeddelada ...

Yar software = nabadgelyo badan:

Yaree tirada baakadaha la rakibey. Kaliya rakib kuwa aad u baahan tahay oo haddii aad joojin doontid mid isticmaalkeeda, waxaa fiican inaad ka saarto. Barnaamijka yar ee aad haysato, nuglaanta ayaa yar. Xusuusnow. Isla sidaas ayaan kugula talinayaa adeegyada ama daanyeerada barnaamijyada qaarkood ee socda marka nidaamku bilowdo. Haddii aadan isticmaalin, ku rid qaabka "ka baxsan".

Si badbaado leh u tirtir macluumaadka:

Markaad tirtirto macluumaadka ee disk, kaadhka xusuusta ama xijaab, ama kaliya fayl ama tusaha, si ammaan ah u samee. Xitaa haddii aad u maleyneyso inaad tirtirtay, si fudud ayaa looga soo kaban karaa. Sida jir ahaan aysan waxtar u lahayn in dukumiinti ay kujiraan xog shakhsiyadeed lagu tuuro qashinka, maxaa yeelay qof ayaa kala soo bixi lahaa weelka oo arki kara, markaa waa inaad baabi'isaa warqadda, isla waxbaa ka dhaca xisaabinta. Tusaale ahaan, waxaad ku buuxin kartaa xusuusta xog aan munaasib ahayn ama aan waxba ka jirin si aad ugu qortid xogta aadan rabin inaad kashifto. Tan waxaad u adeegsan kartaa (si ay u shaqeyso waa inaad ku maamushaa mudnaanta oo aad ku beddeshaa / dev / sdax aaladda ama qaybta aad rabto inaad wax ka qabato kiiskaaga ...):

dd if=/dev/zeo of=/dev/sdax bs=1M
dd if=/dev/unrandom of=/dev/sdax bs=1M

Haddii aad rabto waa tirtir fayl cayiman weligaa, waad isticmaali kartaa "shred". Tusaale ahaan, ka fikir inaad rabto inaad tirtirto feyl la yiraahdo passwords.txt halkaasoo aad ku qorto lambarka sirta ah. Waxaan u isticmaali karnaa shiishka oo dib u qori karnaa tusaale ahaan 26 jeer kor ku xusan si aan u damaanad qaadno inaan dib loo soo celin karin tirtirka ka dib:

shred -u -z -n 26 contraseñas.txt

Waxaa jira qalab sida HardWipe, Eraser ama Secure Delete oo aad ku rakibi karto "Masax" (si joogto ah u tirtir) xusuusta, Qaybaha SWAP, RAM, iwm.

Xisaabaadka isticmaalaha iyo ereyada sirta ah:

Hagaajinta nidaamka sirta ah oo leh qalab sida S / KEY ama SecurID si loo abuuro nidaam sir ah oo firfircoon. Hubso inuusan ku jirin sirta sirta ah cinwaanka / iwm / passwd. Waa inaan si fiican u isticmaalnaa / iwm / hooska. Tan waxaad u isticmaali kartaa "pwconv" iyo "grpconv" si aad u abuurto isticmaaleyaal iyo kooxo cusub, laakiin leh lambar sir ah. Waxyaabaha kale ee xiisaha leh ayaa ah in wax laga beddelo faylka / iwm / default / passwd si uu u dhaco lambarkaaga sirta ah isla markaana kugu qasbo inaad u cusbooneysiiso xilliyo. Marka haddii ay helaan eray sir ah, weligiis ma sii jiri doono, maadaama aad si joogto ah u beddelayso. Faylka /etc/login.defs waxaad sidoo kale ku xoojin kartaa nidaamka sirta ah. Wax ka beddel, adoo raadinaya gelitaanka PASS_MAX_DAYS iyo PASS_MIN_DAYS si loo caddeeyo ugu yaraan iyo maalmaha ugu badan ee erayga sirta ah uu socon karo ka hor inta uusan dhicin. PASS_WARN_AGE wuxuu soo bandhigayaa fariin si uu kuugu ogeysiiyo in furaha sirta ah uu dhacayo maalmo X dhow. Waxaan kugula talinayaa inaad ku aragto buug ku yaal faylkan, maaddaama qoraallada ay aad u tiro badan yihiin.

ka koontooyinka aan la isticmaalin waxayna kujiraan / iwm / passwd, waa inay lahaadaan qolofta doorsoomaha / bin / beenta. Hadday mid kale tahay, u beddel tan. Qaabkaas looma isticmaali karo inay qolof helaan. Waxa kale oo xiiso leh in wax laga beddelo doorsoomaha waddada ee marinkeenna si diiwaanka hadda jira "." Ma muuqdo. Taasi waa, waa in laga beddelaa "./user/local/sbin/:/usr/local/bin:/usr/bin:/bin" loona beddelaa "/ user / local / sbin /: / usr / local / bin: / usr / bin: / bin ”.

Waxaa lagugula talin lahaa inaad isticmaasho Kerberos oo ah habka xaqiijinta shabakadda.

PAM (Module Aqoonsiga la qaadan karo) waa wax u eg Microsoft Active Directory. Waxay bixisaa qorshe aqoonsi oo caadi ah, dabacsan oo leh faa'iidooyin cad. Waad eegi kartaa cinwaanka /etc/pam.d/ waxaadna ka raadin kartaa macluumaadka shabakadda. Waa wax aad u ballaaran in lagu sharaxo halkan ...

Isha ku hay mudnaanta ee tusayaasha kala duwan. Tusaale ahaan, / xididku waa inuu ka mid ahaado isticmaalaha xididka iyo kooxda asalka ah, oo leh rukhsadaha "drwx - - - - - -". Waxaad ka raadin kartaa macluumaad ku saabsan waxa ku saabsan rukhsadaha buug kasta oo ku jira geedka Linux. Qaabeyn ka duwan ayaa qatar noqon karta.

Qarsoodi xogtaada:

Qarsoodi waxyaabaha ku jira galka ama xijaab halkaas oo aad hayso macluumaad khuseeya. Tan awgeed waxaad u isticmaali kartaa LUKS ama eCryptFS. Tusaale ahaan, qiyaasi inaan rabno inaan ku qarinno / guriyaha isticmaale la yiraahdo isaac:

sudo apt-get install ecryptfs-utils
ecryptfs-setup-private
ecryptfs-migrate-home -u isaac

Kadib kor ku xusan, tilmaam ereyga ama erayga sirta ah markii lagu weydiiyo ...

Si loo abuuro a buugga gaarka loo leeyahayTusaale ahaan loo yaqaan "private" waxaan kaloo isticmaali karnaa eCryptFS. Buuggaas waxaan ku dhejin karnaa waxyaabaha aan dooneyno inaan ku qarinno si aan uga saarno aragtida dadka kale:

mkdir /home/isaac/privado
chmod 700 /home/isaac/privado
mount -t ecryptfs /home/isaa/privado

Waxay na weydiin doontaa su'aalo ku saabsan xuduudaha kala duwan. Marka hore, waxay noo oggolaan doontaa inaan kala dooranno furaha sirta ah, OpenSSL, ... waana inaan doorannaa 1, taas oo ah, "passphrase". Kadibna waxaan galnaa erayga sirta ah ee aan rabno laba jeer si aan u xaqiijino. Intaa kadib, waxaan dooranaynaa nooca sirta ah ee aan dooneyno (AES, Blowfish, DES3, CAST, ...). Waxaan dooran lahaa midka ugu horeeya, AES ka dibna waxaan soo bandhigi doonaa nooca byte ee furaha (16, 32 ama 64). Ugu dambayntiina waxaan kaga jawaabeynaa su'aasha ugu dambeysa "haa". Hadda waad kicin kartaa oo ka bixi kartaa buuggan si aad u isticmaasho.

Hadaad kaliya rabto sir faylal gaar ah, waxaad isticmaali kartaa scrypt ama PGP. Tusaale ahaan, feyl la yiraahdo passwords.txt, waxaad u adeegsan kartaa amarradan soo socda si aad u xajiso oo aad u kala dhig dhigto (siday u kala horreeyaan labadaba waxay ku weydiin doontaa lambar sir ah)

scrypt <contraseñas.txt>contraseñas.crypt
scrypt <contraseñas.crypt>contraseñas.txt

Xaqiijinta laba-tallaabo leh Google Authenticator:

Google AU khabiir ku ah xarunta Ubutnu

Kudar xaqiijinta laba-tallaabo nidaamkaaga. Sidaa darteed, xitaa haddii lambarkaaga sirta ah la xado, ma heli doonaan marinka nidaamkaaga. Tusaale ahaan, Ubuntu iyo deegaankeeda Midnimo waxaan u isticmaali karnaa LightDM, laakiin mabaadi'da waxaa loo dhoofin karaa daris kale. Waxaad u baahan doontaa kaniiniga ama casriga ah tan, dhexdeeda waa inaad ku rakibtaa Google Authenticator Dukaanka Play. Kadib kombuyuutarka, waxa ugu horreeya ayaa ah in la rakibo Google Authenticator PAM oo la bilaabo:

sudo apt-get install libpam-google-authenticator
google-authenticator

Markaad na weydiiso haddii furayaasha xaqiijintu ay ku salaysnaan doonaan waqtiga, waxaan uga jawaabeynaa si sax ah a iyo. Hadda waxay na tuseysaa lambar QR ah oo nalagu aqoonsado Authenticator Google Laga soo bilaabo taleefankaaga casriga ah, ikhtiyaar kale ayaa ah inaad furaha sirta ah si toos ah uga soo gasho barnaamijka (waa midka ka muuqday kombuyuutarka "Sirtaada cusubi waa:"). Waxayna na siin doontaa lambarro taxane ah haddii aynaan la socon taleefannada casriga ah iyo inay fiicnaan lahayd in maskaxda lagu hayo haddii duqsiyadu dhacaan. Oo waxaan sii wadeynaa inaan ku jawaabno yoon sida aan doorbidnay.

Hadda waxaan furaynaa (nano, gedit, ama tifaftiraha qoraalka aad jeceshahay) the faylka qaabeynta leh:

sudo gedit /etc/pam.d/lightdm

Oo waxaannu ku darnaa khadka:

auth required pam_google_authenticator.so nullok

Waan keydinaa oo marka xigta ee aad gasho, ayaa na weydiin doonta fure xaqiijinta in moobilkeenu inoo abuuri doono.

Hadday maalin tahay ma rabtaa inaad ka saarto xaqiijinta XNUMX-tallaabo ah, waa inaad kaliya ka masaxdaa qadka "auth loo baahan yahay pam_google_authenticator.so nullok" faylka /etc/pam.d/lightdm
Xusuusnow, caqliga saliimka ah iyo taxaddarku waa saaxiibka ugu fiican. Jawiga GNU / Linux waa aamin, laakiin kombiyuutar kasta oo ku xiran shabakad amni ma sii ahaanayo, iyadoo aan loo eegin sida wanaagsan ee nidaamka qalliinka aad u isticmaasho. Haddii aad qabtid wax su'aalo ah, dhibaatooyin ama talo bixin ah, waad ka tagi kartaa taada faallo. Waxaan rajeynayaa inay waxtar leedahay…


Faallo, ka tag taada

Ka tag faalladaada

cinwaanka email aan la daabacin doonaa. Beeraha loo baahan yahay waxaa lagu calaamadeeyay la *

*

*

  1. Ka mas'uul ah xogta: AB Internet Networks 2008 SL
  2. Ujeedada xogta: Xakamaynta SPAM, maaraynta faallooyinka.
  3. Sharci: Oggolaanshahaaga
  4. Isgaarsiinta xogta: Xogta looma gudbin doono dhinacyada saddexaad marka laga reebo waajibaadka sharciga ah.
  5. Kaydinta xogta: Macluumaadka ay martigelisay Shabakadaha Occentus (EU)
  6. Xuquuqda: Waqti kasta oo aad xadidi karto, soo ceshan karto oo tirtiri karto macluumaadkaaga.

  1.   Nuria dijo

    Waad salaaman tihiin, fiiri anigu waan faalloonayaa; Waxaan ku rakibey google-xaqiijiye Raspbian ah wax dhib ah maleh barnaamijka mobilada si fiican ayuu isu diiwaangaliyaa wuuna i siiyaa lambarka, laakiin markii aan dib u bilaabayo miiska loo yaqaan 'raspberry' ee aan dib u bilaabayo nidaamka ma i weydiinayo inaan galo lambarka aqoonsiga laba laab Kaliya aniga ayaa ii muuqda inaad gasho username iyo password.

    Aad baad u mahadsantahay Salaan