Hardenining Linux: këshilla për të mbrojtur distro tuaj dhe për ta bërë atë më të sigurt

Isaac

Minuta 14

Ngurtësimi i Linux dy tux, një i pambrojtur dhe një me forca të blinduara

Shumë artikuj janë botuar në Shpërndarjet Linux më të sigurta, të tilla si TAILS (e cila siguron privatësinë dhe anonimitetin tuaj në internet), Whonix (një Linux për paranojakun e sigurisë) dhe distrot tjera që synojnë të jenë të sigurt. Por sigurisht, jo të gjithë përdoruesit duan të përdorin këto shpërndarje. Kjo është arsyeja pse në këtë artikull ne do të japim një seri rekomandimesh për «Ngurtësimi i Linux«, Kjo është, bëjeni distro tuaj (çfarëdo që të jetë) më të sigurt.

Red Hat, SUSE, CentOS, openSUSE, Ubuntu, Debian, Arch Linux, Linux Mint, ... çfarë ndryshimi bën ai. Çdo shpërndarje mund të jetë e sigurt si më e sigurta nëse e dini në thellësi dhe dini si të mbroni veten nga rreziqet që ju kërcënojnë. Dhe për këtë ju mund të veproni në shumë nivele, jo vetëm në nivelin e softuerit, por edhe në nivelin e pajisjes.

Lepujt gjenerikë të sigurisë:

Qarku i mbyllur i sigurisë së pajisjes

Në këtë pjesë do t'ju jap disa këshilla shumë themelore dhe të thjeshta që nuk kanë nevojë për njohuri kompjuterike për t'i kuptuar ato, ato janë vetëm mendje të shëndoshë, por që nganjëherë nuk i kryejmë për shkak të pakujdesisë ose neglizhencës:

  • Mos ngarkoni të dhëna personale ose të ndjeshme në re. Re, pavarësisht nëse është falas apo jo dhe nëse është pak a shumë e sigurt, është një mjet i mirë për të disponuar të dhënat tuaja kudo që të shkoni. Por përpiquni të mos ngarkoni të dhëna që nuk doni t'i "ndani" me vëzhguesit. Ky lloj i të dhënave më të ndjeshme duhet të bartet në një medium më personal, të tilla si një kartë SD ose pendrive.
  • Nëse përdorni një kompjuter për të hyrë në internet dhe për të punuar me të dhëna të rëndësishme, për shembull, imagjinoni se jeni bashkuar me maninë e BYOD dhe keni marrë disa të dhëna biznesi në shtëpi. Epo, në këto lloj rrethanash, mos puno online, përpiquni të shkëputeni (pse doni të jeni të lidhur për të punuar për shembull me LibreOffice që redakton një tekst?). Një kompjuter i shkëputur është më i sigurti, mos harroni atë.
  • Lidhur me sa më sipër, mos lini të dhëna të rëndësishme në hard drive lokal kur punoni në internet. Unë ju rekomandoj që të keni një hard disk të jashtëm ose një lloj memorie tjetër (karta memorie, stilolapsa etj.) Në të cilën keni këtë informacion. Kështu ne do të vendosim një pengesë midis pajisjeve tona të lidhura dhe asaj kujtese "jo të lidhur" aty ku janë të dhënat e rëndësishme.
  • Bëni kopje rezervë të të dhënave që ju i konsideroni interesante ose nuk doni t'i humbni. Kur ata përdorin dobësi për të hyrë në kompjuterin tuaj dhe për të përshkallëzuar privilegjet, sulmuesi do të jetë në gjendje të fshijë ose manipulojë çdo të dhënë pa pengesa. Kjo është arsyeja pse është më mirë të keni një kopje rezervë.
  • Mos lini të dhëna në lidhje me pikat tuaja të dobëta në forume ose komente mbi rrjetat. Nëse për shembull keni probleme të sigurisë në kompjuterin tuaj dhe ai ka porte të hapura që dëshironi t'i mbyllni, mos e lini problemin tuaj në një forum për ndihmë, sepse mund të përdoret kundër jush. Dikush me qëllime të këqija mund ta përdorë atë informacion për të kërkuar viktimën e tij të përsosur. Shtë më mirë që të gjeni një teknik të besuar për t'ju ndihmuar në zgjidhjen e tyre. Isshtë gjithashtu e zakonshme që kompanitë të vendosin reklama në internet të tilla si "Unë jam duke kërkuar një ekspert të sigurisë IT" ose "Personeli është i nevojshëm për departamentin e sigurisë". Kjo mund të tregojë një dobësi të mundshme në kompaninë në fjalë dhe një kriminel kibernetik mund të përdorë këto lloje faqesh për të kërkuar viktima të lehta ... Gjithashtu nuk është mirë për ju të lini informacione në lidhje me sistemin që përdorni dhe versionet, dikush mund të përdorë shfrytëzimet për të shfrytëzuar dobësitë e këtij versioni. Me pak fjalë, sa më shumë që sulmuesi nuk ka dijeni për ju, aq më e vështirë do të jetë për të që të sulmojë. Mbani në mend se sulmuesit zakonisht kryejnë një proces para sulmit të quajtur "mbledhja e informacionit" dhe konsiston në mbledhjen e informacionit në lidhje me viktimën që mund të përdoret kundër tyre.
  • Mbani pajisjet tuaja të azhurnuara Me azhurnimet dhe rregullimet më të fundit, mos harroni se në shumë raste, këto jo vetëm përmirësojnë funksionalitetet, por gjithashtu korrigjojnë defektet dhe dobësitë në mënyrë që të mos shfrytëzohen.
  • Përdorni fjalëkalime të forta. Asnjëherë mos vendosni emra që janë në fjalor ose fjalëkalime si 12345, pasi që me sulmet e fjalorit ato mund të hiqen shpejt. Gjithashtu, mos lini fjalëkalime si parazgjedhje, pasi ato janë lehtësisht të dallueshme. Mos përdorni gjithashtu datat e lindjes, emrat e të afërmve, kafshët shtëpiake ose për shijet tuaja. Këto lloj fjalëkalimesh mund të merren me mend lehtë nga inxhinieri sociale. Bestshtë më mirë të përdorni një fjalëkalim të gjatë me numra, shkronja të mëdha dhe të vogla dhe simbole. Mos përdorni fjalëkalime kryesore për gjithçka, domethënë nëse keni një llogari emaili dhe një sesion të sistemit operativ, mos përdorni të njëjtën gjë për të dy. Kjo është diçka që në Windows 8 ata e kanë vidhosur deri në fund, pasi që fjalëkalimi për t'u identifikuar është i njëjtë me llogarinë tuaj Hotmail / Outlook. Një fjalëkalim i sigurt është i llojit: "auite3YUQK && w-". Me forcë brutale mund të arrihet, por koha kushtuar saj e bën atë të mos ia vlejë ...
  • Mos instaloni paketa nga burime të panjohura dhe nëse është e mundur. Përdorni paketat e kodit burimor nga faqja zyrtare e internetit e programit që dëshironi të instaloni. Nëse paketat janë të dyshimta, unë ju rekomandoj që të përdorni një mjedis sandbox si Glimpse. Ajo që do të arrini është që të gjitha aplikacionet që instaloni në Glimpse mund të funksionojnë normalisht, por kur përpiqeni të lexoni ose shkruani të dhëna, ato reflektohen vetëm brenda mjedisit të sandbox, duke izoluar sistemin tuaj nga problemet.
  • përdorime privilegjet e sistemit sa më pak të jetë e mundur. Dhe kur ju duhen privilegje për një detyrë, rekomandohet që të përdorni "sudo" mundësisht para "su".

Këshilla të tjera pak më teknike:

Siguria e kompjuterit, dry në tastierë

Përveç këshillës së parë në seksionin e mëparshëm, gjithashtu rekomandohet shumë që të ndiqni hapat e mëposhtëm për ta bërë distro-në tuaj edhe më të sigurt. Mbani në mend se shpërndarja juaj mund të jetë aq të sigurt sa të doniDua të them, sa më shumë kohë që kaloni duke konfiguruar dhe siguruar, aq më mirë.

Suitat e sigurisë në Linux dhe Firewall / UTM:

përdorime SELinux ose AppArmor për të forcuar Linux-in tuaj. Këto sisteme janë disi komplekse, por ju mund të shihni manuale që do t'ju ndihmojnë shumë. AppArmor mund të kufizojë edhe aplikacione të ndjeshme ndaj shfrytëzimeve dhe veprimeve të tjera të padëshiruara të procesit. AppArmor është përfshirë në kernelin Linux që nga versioni 2.6.36. Skedari i tij i konfigurimit ruhet në /etc/apparmor.d

Mbyllni të gjitha portat që nuk përdorni shpesh Do të ishte interesante edhe nëse keni një Firewall fizik, kjo është më e mira. Një tjetër mundësi është të kushtoni një pajisje të vjetër ose të papërdorur për të zbatuar një UTM ose Firewall për rrjetin tuaj të shtëpisë (mund të përdorni shpërndarje të tilla si IPCop, m0n0wall, ...). Ju gjithashtu mund të konfiguroni iptables për të filtruar atë që nuk dëshironi. Për t'i mbyllur ato mund të përdorni "iptables / netfilter" që integron vetë kernelin Linux. Unë ju rekomandoj që të konsultoheni me manualet për filtrin dhe iptablet, pasi ato janë mjaft komplekse dhe nuk mund të shpjegohen në një artikull. Ju mund të shihni portet që keni hapur duke shtypur në terminal:

netstat -nap

Mbrojtja fizike e pajisjeve tona:

Ju gjithashtu mund të mbroni fizikisht pajisjet tuaja në rast se nuk i besoni dikujt përreth jush ose duhet të lini pajisjet diku brenda mundësive të njerëzve të tjerë. Për këtë ju mund të çaktivizoni boot-in nga mjete të tjera nga disku juaj i ngurtë në BIOS / UEFI dhe fjalëkalimi mbrojnë BIOS / UEFI kështu që ata nuk mund ta modifikojnë atë pa të. Kjo do të parandalojë që dikush të marrë një USB bootable ose një hard disk të jashtëm me një sistem operativ të instaluar dhe të jetë në gjendje të hyjë në të dhënat tuaja prej tij, madje pa pasur nevojë të hyni në distro tuaj. Për ta mbrojtur atë, hyni në BIOS / UEFI, në seksionin e Sigurisë mund të shtoni fjalëkalimin.

Ju mund të bëni të njëjtën gjë me GRUB, duke e mbrojtur me fjalëkalim:

grub-mkpasswd-pbkdf2

Hyni në fjalëkalimi për GRUB ju dëshironi dhe do të kodifikohet në SHA512. Pastaj kopjoni fjalëkalimin e koduar (ai që shfaqet në "PBKDF2 juaj është") për përdorim të mëvonshëm:

sudo nano /boot/grub/grub.cfg

Krijoni një përdorues në fillim dhe vendosni fjalëkalim i koduar. Për shembull, nëse fjalëkalimi i kopjuar më parë ishte "grub.pbkdf2.sha512.10000.58AA8513IEH723":

set superusers=”isaac”
password_pbkdf2 isaac grub.pbkdf2.sha512.10000.58AA8513IEH723

Dhe ruajini ndryshimet ...

Më pak softuer = më shumë siguri:

Minimizoni numrin e paketave të instaluara. Instaloni vetëm ato që ju duhen dhe nëse do të ndaloni së përdoruri një, është më mirë ta çinstaloni. Sa më pak softuer të keni, aq më pak dobësi. Mos harroni atë. Të njëjtën gjë ju këshilloj me shërbimet ose demonët e programeve të caktuara që ekzekutohen kur fillon sistemi. Nëse nuk i përdorni, vendosini në modalitetin "off".

Fshini në mënyrë të sigurt informacionin:

Kur fshini informacionin të një disku, karte kujtese ose ndarjeje, ose thjesht një skedari ose direktorie, bëjeni atë në mënyrë të sigurt. Edhe nëse mendoni se e keni fshirë, mund të rikuperohet lehtësisht. Ashtu si fizikisht nuk është e dobishme të hidhni një dokument me të dhëna personale në koshin e plehrave, sepse dikush mund ta nxjerrë atë nga ena dhe ta shohë, kështu që ju duhet ta shkatërroni letrën, e njëjta gjë ndodh në llogaritjen. Për shembull, mund të mbushni kujtesën me të dhëna të rastit ose null për të mbishkruar të dhëna që nuk doni t'i ekspozoni. Për këtë mund të përdorni (që të funksionojë duhet ta ekzekutoni me privilegje dhe të zëvendësoni / dev / sdax me pajisjen ose ndarjen që dëshironi të veproni në rastin tuaj ...)

dd if=/dev/zeo of=/dev/sdax bs=1M
dd if=/dev/unrandom of=/dev/sdax bs=1M

Nëse ajo që ju dëshironi është fshini një skedar specifik përgjithmonë, mund të përdorni "copëto". Për shembull, imagjinoni se dëshironi të fshini një skedar të quajtur fjalëkalime.txt ku keni shkruar fjalëkalimet e sistemit. Ne mund të përdorim copëtimin dhe mbishkrimin për shembull 26 herë më lart për të garantuar që nuk mund të rikuperohet pas fshirjes:

shred -u -z -n 26 contraseñas.txt

Ka mjete si HardWipe, Eraser ose Secure Delete të cilat mund t'i instaloni "Fshij" (fshij përgjithmonë) kujtimet, Ndarjet SWAP, RAM, etj.

Llogaritë e përdoruesit dhe fjalëkalimet:

Përmirësoni sistemin e fjalëkalimit me mjete si S / KEY ose SecurID për të krijuar një skemë dinamike të fjalëkalimit. Sigurohuni që të mos ketë fjalëkalim të koduar në direktorinë / etc / passwd. Ne duhet të përdorim më mirë / etj / hije. Për këtë ju mund të përdorni "pwconv" dhe "grpconv" për të krijuar përdorues dhe grupe të reja, por me një fjalëkalim të fshehur. Një tjetër gjë interesante është të redaktoni skedarin / etc / default / passwd për të skaduar fjalëkalimet tuaja dhe t'ju detyrojë t'i rinovoni ato në mënyrë periodike. Pra, nëse ata marrin një fjalëkalim, ai nuk do të zgjasë përgjithmonë, pasi që ju do ta ndryshoni atë shpesh. Me skedarin /etc/login.defs gjithashtu mund të forconi sistemin e fjalëkalimit. Redaktoni atë, duke kërkuar hyrjen PASS_MAX_DAYS dhe PASS_MIN_DAYS për të përcaktuar ditët minimale dhe maksimale që një fjalëkalim mund të zgjasë para skadimit. PASS_WARN_AGE shfaq një mesazh për t'ju informuar se fjalëkalimi do të skadojë së shpejti për X ditë. Unë ju këshilloj të shihni një manual në lidhje me këtë skedar, pasi shënimet janë shumë të shumta.

L llogaritë që nuk janë duke u përdorur dhe ato janë të pranishme në / etc / passwd, ata duhet të kenë ndryshoren Shell / bin / false. Nëse është tjetër, ndryshojeni në këtë. Në atë mënyrë ato nuk mund të përdoren për të marrë një guaskë. Alsoshtë gjithashtu interesante të modifikoni ndryshoren PATH në terminalin tonë në mënyrë që "" drejtoria aktuale të mos shfaqet. Kjo do të thotë, duhet të ndryshojë nga "./user/local/sbin/:/usr/local/bin:/usr/bin:/bin" në "/ user / local / sbin /: / usr / local / bin: / usr / bin: / bin ”.

Do të rekomandohej që të përdorni Kerberos si metodë e vërtetimit të rrjetit.

PAM (Moduli i Vërtetimit Pluggable) është diçka si Microsoft Active Directory. Ai siguron një skemë të përbashkët, fleksibile të vërtetimit me përparësi të qarta. Ju mund të hidhni një vështrim në direktorinë /etc/pam.d/ dhe të kërkoni për informacion në internet. Quiteshtë mjaft e gjerë për të shpjeguar këtu ...

Vëzhgoni privilegjet të drejtorive të ndryshme. Për shembull, / root duhet t'i përkasë përdoruesit root dhe grupit root, me lejet "drwx - - - - - -". Ju mund të gjeni informacion në ueb në lidhje me lejet që duhet të ketë secili direktori në pemën e drejtorive Linux. Një konfigurim i ndryshëm mund të jetë i rrezikshëm.

Encrypt të dhënat tuaja:

Enkripton përmbajtjen e një direktorie ose ndarjeje ku keni informacione përkatëse. Për këtë ju mund të përdorni LUKS ose me eCryptFS. Për shembull, imagjinoni se duam të kriptojmë / shtëpinë e një përdoruesi të quajtur isaac:

sudo apt-get install ecryptfs-utils
ecryptfs-setup-private
ecryptfs-migrate-home -u isaac

Pas sa më sipër, tregoni frazën e kalimit ose fjalëkalimin kur të pyeteni ...

Për të krijuar një direktori privatePër shembull të quajtur "private" ne gjithashtu mund të përdorim eCryptFS. Në atë direktori mund të vendosim gjërat që duam të kodifikojmë për ta hequr atë nga pamja e të tjerëve:

mkdir /home/isaac/privado
chmod 700 /home/isaac/privado
mount -t ecryptfs /home/isaa/privado

Do të na bëjë pyetje në lidhje me parametra të ndryshëm. Së pari, do të na lejojë të zgjedhim midis fjalëkalimeve, OpenSSL, ... dhe ne duhet të zgjedhim 1, domethënë "frazën e kalimit". Pastaj ne vendosim fjalëkalimin që duam dy herë për të verifikuar. Pas kësaj, ne zgjedhim llojin e enkriptimit që duam (AES, Blowfish, DES3, CAST, ...). Unë do të zgjidhja të parën, AES dhe pastaj prezantojmë llojin bajt të çelësit (16, 32 ose 64). Dhe së fundmi ne i përgjigjemi pyetjes së fundit me një "po". Tani mund ta montoni dhe çmontoni këtë direktori për ta përdorur.

Nëse thjesht dëshironi kriptoni skedarë specifikë, ju mund të përdorni scrypt ose PGP. Për shembull, një skedar i quajtur fjalëkalime.txt, mund të përdorni komandat e mëposhtme për të kriptuar dhe dekriptuar përkatësisht (në të dy rastet do t'ju kërkojë një fjalëkalim):

scrypt <contraseñas.txt>contraseñas.crypt
scrypt <contraseñas.crypt>contraseñas.txt

Verifikimi me dy hapa me Google Authenticator:

Google AUthenticator në terminalin Ubutnu

Adds verifikim me dy hapa në sistemin tuaj. Kështu, edhe nëse fjalëkalimi juaj vidhet, ata nuk do të kenë qasje në sistemin tuaj. Për shembull, për Ubuntu dhe mjedisin e saj Unity ne mund të përdorim LightDM, por parimet mund të eksportohen në distro të tjera. Ju do të keni nevojë për një tabletë ose smartphone për këtë, në të duhet të instaloni Google Authenticator nga Play Store. Pastaj në PC, gjëja e parë është instalimi i Google Authenticator PAM dhe fillimi i tij:

sudo apt-get install libpam-google-authenticator
google-authenticator

Kur na pyetni nëse çelësat e verifikimit do të bazohen në kohë, ne ju përgjigjemi në mënyrë pozitive me një y. Tani na tregon një kod QR për tu njohur Autentifikuesi i Google Nga smartphone-i juaj, një mundësi tjetër është futja e çelësit sekret direkt nga aplikacioni (është ai që shfaqet në PC si "Sekreti juaj i ri është:"). Dhe do të na japë një sërë kodesh në rast se nuk mbajmë smartphone me vete dhe do të ishte mirë t'i mbani në mend në rast se fluturon. Dhe ne vazhdojmë të përgjigjemi me yon sipas preferencave tona.

Tani ne hapim (me nano, gedit, ose redaktuesin tuaj të preferuar të tekstit) skedari i konfigurimit me:

sudo gedit /etc/pam.d/lightdm

Dhe shtojmë rreshtin:

auth required pam_google_authenticator.so nullok

Ne kursejmë dhe herën tjetër kur të identifikoheni, do të na kërkojë çelësi i verifikimit që celulari ynë do të gjenerojë për ne.

Nëse një ditë doni të hiqni verifikimin me XNUMX hapa, ju thjesht duhet të fshini rreshtin "kërkohet autor pam_google_authenticator.so nullok" nga skedari /etc/pam.d/lightdm
Mos harroni, mendja e shëndoshë dhe kujdesi është aleati më i mirë. Një mjedis GNU / Linux është i sigurt, por çdo kompjuter i lidhur në një rrjet nuk është më i sigurt, pa marrë parasysh sa i mirë është sistemi operativ që përdorni. Nëse keni ndonjë pyetje, problem apo sugjerim, mund të lini tuajin koment. Shpresoj të ndihmojë


Lini komentin tuaj

Adresa juaj e emailit nuk do të publikohet. Fusha e kërkuar janë shënuar me *

*

*

  1. Përgjegjës për të dhënat: AB Internet Networks 2008 SL
  2. Qëllimi i të dhënave: Kontrolloni SPAM, menaxhimin e komenteve.
  3. Legjitimimi: Pëlqimi juaj
  4. Komunikimi i të dhënave: Të dhënat nuk do t'u komunikohen palëve të treta përveç me detyrim ligjor.
  5. Ruajtja e të dhënave: Baza e të dhënave e organizuar nga Occentus Networks (BE)
  6. Të drejtat: Në çdo kohë mund të kufizoni, rikuperoni dhe fshini informacionin tuaj.

  1.   nuria dijo
    më parë Vjet 8

    Pershendetje mire, shiko komentoj; Unë kam instaluar google-vërtetues në një Raspbian pa asnjë problem dhe aplikacioni celular regjistrohet mirë dhe më siguron kodin, por kur rinis përsëri mjedrën dhe rifillon sistemin nuk më kërkon të fus kodin e dyfishtë të vërtetimit. Vetëm mua më duket për të futur emrin e përdoruesit dhe fjalëkalimin.

    Faleminderit shume. Të gjitha të mirat.

    Përgjigju Nuria