Линук Харденининг: савети како да заштитите свој дистро и учините га сигурнијим

Многи чланци су објављени на Линук дистрибуције сигурнији, као што су ТАИЛС (који осигурава вашу приватност и анонимност на мрежи), Вхоник (Линук за сигурносни параноик) и друге дистро-ове с циљем да буду сигурни. Али наравно, не желе сви корисници да користе ове дистрибуције. Због тога ћемо у овом чланку дати низ препорука за «Каљење Линук-а«, То јест, учините вашу дистрибуцију (ма каква она) сигурнијом.

Ред Хат, СУСЕ, ЦентОС, опенСУСЕ, Убунту, Дебиан, Арцх Линук, Линук Минт, ... каква је разлика. Свака дистрибуција може бити сигурна као најсигурнији ако га знате из дубине и знате како се заштитити од опасности које вам прете. А за ово можете деловати на многим нивоима, не само на софтверском, већ и на хардверском нивоу.

Зечеви генеричке заштите:

У овом одељку ћу вам дати неколико врло основни и једноставни савети којима није потребно рачунарско знање да би их разумели, они су само здрав разум, али који понекад не спроводимо из непажње или непажње:

• Не отпремајте личне или осетљиве податке у облак. Облак, без обзира да ли је бесплатан или не и да ли је мање или више сигуран, добар је алат за доступност података где год да идете. Али покушајте да не отпремате податке које не желите да „делите“ са гледаоцима. Ова врста осетљивијих података мора се преносити у личнијим медијима, као што су СД картица или пендриве.
• Ако на пример користите рачунар за приступ Интернету и радите са важним подацима, замислите да сте се придружили тренду БИОД и понели неке пословне податке кући. Па, у оваквим околностима, не раде на мрежи, покушајте да будете искључени (зашто желите да будете повезани са радом, на пример са ЛибреОффице уређивањем текста?). Искључени рачунар је најсигурнији, упамтите то.
• С тим у вези, не остављајте важне податке на локалном чврстом диску када радите на мрежи. Препоручујем да имате спољни чврсти диск или другу врсту меморије (меморијске картице, оловке итд.) У којој имате ове информације. Тако ћемо поставити препреку између наше повезане опреме и те „неповезане“ меморије где су важни подаци.
• Направите резервне копије података које сматрате занимљивим или не желите да изгубите. Када користе рањивости да би ушли у ваш рачунар и повећали привилегије, нападач ће моћи да избрише или манипулише било којим подацима без препрека. Због тога је боље имати резервну копију.
• Не остављајте податке о својим слабим тачкама на форумима или коментаре на мрежама. Ако на пример на рачунару имате сигурносних проблема и он има отворене портове које желите да затворите, не остављајте свој проблем на форуму за помоћ јер се може користити против вас. Неко са лошим намерама може да користи те информације да би потражио своју савршену жртву. Боље је да нађете поузданог техничара који ће вам помоћи да их решите. Такође је уобичајено да компаније стављају огласе на Интернет попут „Тражим стручњака за ИТ безбедност“ или „Потребан је кадар за одељење безбедности“. То може указивати на могућу слабост у поменутој компанији, а сајбер криминалац може да користи ове врсте страница за тражење лакших жртава ... Такође није добро за вас да остављате информације о систему који користите и верзијама, неко би могао да користи експлоатације да би их искористио рањивости те верзије. Укратко, што вас нападач више не зна, то ће му бити теже да нападне. Имајте на уму да нападачи обично спроводе поступак прије напада који се назива „прикупљање информација“ и састоји се од прикупљања информација о жртви које се могу користити против њих.
• Редовно ажурирајте своју опрему Уз најновија ажурирања и закрпе, имајте на уму да у многим приликама то не само да побољшава функционалности, већ исправља и грешке и рањивости како их не би искористили.
• Користите јаке лозинке. Никада не стављајте имена која се налазе у речнику или лозинке попут 12345, јер се нападима на речник могу брзо уклонити. Такође, лозинке не остављајте подразумевано, јер их је лако открити. Такође не користите датуме рођења, имена рођака, кућних љубимаца или о свом укусу. Друштвени инжењеринг може лако погодити те врсте лозинки. Најбоље је користити дугу лозинку са бројевима, великим и малим словима и симболима. Не користите главне лозинке за све, односно ако имате налог е-поште и сесију оперативног система, немојте користити исте за обе. То је нешто што су у оперативном систему Виндовс 8 зајебали до дна, јер је лозинка за пријављивање иста као и ваш Хотмаил / Оутлоок налог. Сигурна лозинка је типа: "ауите3ИУКК && в-". Грубом силом то би могло да се постигне, али време посвећено томе не вреди ...
• Не инсталирајте пакете из непознатих извора а ако је могуће. Користите пакете изворног кода са званичне веб локације програма који желите да инсталирате. Ако су пакети сумњиви, препоручујем вам да користите окружење песковина као што је Глимпсе. Оно што ћете постићи је да све апликације које инсталирате у програму Глимпсе могу нормално да раде, али када покушавате да читате или пишете податке, то се одражава само у окружењу песковника, изолујући ваш систем од проблема.
• употреба системских привилегија што је мање могуће. А када су вам потребне неке привилегије за неки задатак, препоручује се да користите „судо“, пожељно пре „су“.

Остали мало техничкији савети:

Поред савета из претходног одељка, такође се препоручује да следите следеће кораке како бисте своју дистрибуцију учинили још сигурнијом. Имајте на уму да ваша дистрибуција може бити колико год желите сигурниМислим, што више времена потрошите на конфигурисање и осигурање, то боље.

Сигурносни пакети у Линуку и заштитном зиду / УТМ:

употреба СЕЛинук или АппАрмор да ојача свој Линук. Ови системи су донекле сложени, али можете видети приручнике који ће вам пуно помоћи. АппАрмор може ограничити чак и апликације осетљиве на експлоатације и друге нежељене радње процеса. АппАрмор је укључен у Линук кернел од верзије 2.6.36. Његова конфигурациона датотека се чува у /етц/аппармор.д

Затворите све портове које не користите често. Било би занимљиво чак и ако имате физички заштитни зид, то је најбоље. Друга опција је посвећивање старе или неискоришћене опреме за примену УТМ-а или заштитног зида за вашу кућну мрежу (можете користити дистрибуције као што су ИПЦоп, м0н0валл, ...). Такође можете да конфигуришете иптаблес да филтрира оно што не желите. Да бисте их затворили, можете користити „иптаблес / нетфилтер“ који интегрише сам Линук кернел. Препоручујем вам да погледате приручнике за нетфилтер и иптаблес, јер су прилично сложени и не могу се објаснити у чланку. Портове које сте отворили можете видети тако што ћете откуцати у терминалу:

netstat -nap

Физичка заштита наше опреме:

Опрему можете и физички да заштитите у случају да не верујете некоме око себе или морате да оставите опрему негде на дохват руке других људи. За то можете онемогућити покретање система на други начин, осим са чврстог диска у БИОС / УЕФИ и заштитите БИОС / УЕФИ лозинком тако да га не могу мењати без њега. Ово ће спречити некога да узме УСБ или спољни чврсти диск за покретање са инсталираним оперативним системом и да може да приступи вашим подацима са њега, чак и без потребе да се пријави у вашу дистро. Да бисте је заштитили, приступите БИОС-у / УЕФИ-у, у одељак Безбедност можете додати лозинку.

То можете учинити и са ГРУБ, штити га лозинком:

grub-mkpasswd-pbkdf2

Унесите лозинка за ГРУБ желите и биће кодирано у СХА512. Затим копирајте шифровану лозинку (ону која се појављује у „Ваш ПБКДФ2 је“) да бисте је касније користили:

sudo nano /boot/grub/grub.cfg

На почетку креирајте корисника и ставите шифрована лозинка. На пример, ако је претходно копирана лозинка била „груб.пбкдф2.сха512.10000.58АА8513ИЕХ723“:

set superusers=”isaac”
password_pbkdf2 isaac grub.pbkdf2.sha512.10000.58AA8513IEH723

И сачувајте промене ...

Мање софтвера = већа сигурност:

Смањите број инсталираних пакета. Инсталирајте само оне који су вам потребни, а ако ћете престати да их користите, најбоље је да га деинсталирате. Што мање софтвера имате, то је мање рањивости. Запамти то. Исто вам саветујем са услугама или демонима одређених програма који се покрећу када се систем покрене. Ако их не користите, ставите их у режим „искључено“.

Сигурно избришите информације:

Када избришете информације диска, меморијске картице или партиције или једноставно датотеке или директоријума, учините то сигурно. Чак и ако мислите да сте га избрисали, лако се може опоравити. Као што физички није корисно бацати документ са личним подацима у смеће, јер би неко могао да га извади из контејнера и види, тако да морате да уништите папир, исто се дешава и у рачунарству. На пример, можете да напуните меморију случајним или нултовим подацима да бисте преписали податке које не желите да излажете. За ово можете да користите (да би то функционисало, морате га покренути са привилегијама и заменити / дев / сдак уређајем или партицијом на који желите да делујете у вашем случају ...):

dd if=/dev/zeo of=/dev/sdax bs=1M
dd if=/dev/unrandom of=/dev/sdax bs=1M

Ако желите оно што желите заувек избришите одређену датотеку, можете да користите „исецкати“. На пример, замислите да желите да избришете датотеку звану пассвордс.ткт где су записане системске лозинке. Можемо да користимо исецање и преписивање, на пример 26 пута горе како бисмо гарантовали да се неће моћи опоравити након брисања:

shred -u -z -n 26 contraseñas.txt

Постоје алати попут ХардВипе, Ерасер или Сецуре Делете на које можете да инсталирате „Обришите“ (трајно избришите) сећања, СВАП партиције, РАМ итд.

Кориснички налози и лозинке:

Побољшајте систем лозинки помоћу алата попут С / КЕИ или СецурИД за креирање динамичке шеме лозинки. Уверите се да у директоријуму / етц / пассвд нема шифроване лозинке. Морамо боље да користимо / етц / схадов. За ово можете да користите „пвцонв“ и „грпцонв“ за стварање нових корисника и група, али са скривеном лозинком. Још једна занимљива ствар је уређивање датотеке / етц / дефаулт / пассвд како би истекле лозинке и приморали вас да их повремено обнављате. Дакле, ако добију лозинку, она неће трајати заувек, јер ћете је често мењати. Помоћу датотеке /етц/логин.дефс такође можете ојачати систем лозинки. Уредите га, тражећи ставке ПАСС_МАКС_ДАИС и ПАСС_МИН_ДАИС да бисте одредили минимални и максимални број дана које лозинка може трајати пре истека. ПАСС_ВАРН_АГЕ приказује поруку која вас обавештава да ће лозинка ускоро истећи за Кс дана. Саветујем вам да погледате приручник о овој датотеци, јер је уноса веома много.

Тхе рачуни који се не користе и они су присутни у / етц / пассвд, морају имати променљиву љуске / бин / фалсе. Ако је друго, промените га у овај. На тај начин се не могу користити за добијање љуске. Такође је занимљиво изменити променљиву ПАТХ на нашем терминалу тако да се тренутни директоријум "." Не појави. Односно, мора се променити из „./усер/лоцал/сбин/:/уср/лоцал/бин:/уср/бин:/бин“ у „/ усер / лоцал / сбин /: / уср / лоцал / бин: / уср / бин: / бин ”.

Било би препоручљиво да користите Керберос као мрежна метода аутентификације.

ПАМ (прикључни модул за потврду идентитета) то је нешто попут Мицрософт Ацтиве Дирецтори. Пружа заједничку, флексибилну шему аутентификације са јасним предностима. Можете да погледате директоријум /етц/пам.д/ и потражите информације на вебу. Овде је прилично опширно објаснити ...

Припазите на привилегије различитих директоријума. На пример, / роот треба да припада роот кориснику и роот групи, са дозволама „дрвк - - - - - -“. На Интернету можете пронаћи информације о томе које дозволе треба да има сваки директоријум у Линук стаблу директоријума. Другачија конфигурација може бити опасна.

Шифрујте своје податке:

Шифрира садржај директорија или партиције где имате релевантне информације. За ово можете користити ЛУКС или са еЦриптФС. На пример, замислимо да желимо да шифрујемо / хоме корисника по имену исаац:

sudo apt-get install ecryptfs-utils
ecryptfs-setup-private
ecryptfs-migrate-home -u isaac

Након наведеног, наведите приступну фразу или лозинку када вас питају ...

Да бисте креирали приватни директоријумНа пример, назван "приватно", такође можемо користити еЦриптФС. У тај директоријум можемо ставити ствари које желимо да шифрујемо како бисмо их уклонили са погледа других:

mkdir /home/isaac/privado
chmod 700 /home/isaac/privado
mount -t ecryptfs /home/isaa/privado

Постављаће нам питања о различитим параметрима. Прво, омогућиће нам да бирамо између лозинки, ОпенССЛ, ... и морамо да изаберемо 1, односно „лозинку“. Затим уносимо лозинку коју желимо два пута да верификујемо. Након тога бирамо жељени тип шифровања (АЕС, Бловфисх, ДЕС3, ЦАСТ, ...). Изабрао бих први, АЕС, а затим уводимо бајт тип кључа (16, 32 или 64). И на крају, на последње питање одговарамо са „да“. Сада можете да монтирате и демонтирате овај директоријум да бисте га користили.

Ако само желите шифрирање одређених датотека, можете користити сцрипт или ПГП. На пример, датотеку названу пассвордс.ткт, можете користити следеће наредбе за шифровање, односно дешифровање (у оба случаја затражит ће од вас лозинку):

scrypt <contraseñas.txt>contraseñas.crypt
scrypt <contraseñas.crypt>contraseñas.txt

Верификација у два корака помоћу Гоогле Аутхентицатор-а:

Додај верификација у два корака у вашем систему. Стога, чак и ако вам лозинку украду, они неће имати приступ вашем систему. На пример, за Убунту и његово Унити окружење можемо користити ЛигхтДМ, али принципи се могу извести у друге дистро-ове. За ово ће вам требати таблет или паметни телефон, у њему морате да инсталирате Гоогле Аутхентицатор из Плаи продавнице. Затим на ПЦ, прва ствар је да инсталирате Гоогле Аутхентицатор ПАМ и покренете га:

sudo apt-get install libpam-google-authenticator
google-authenticator

Када нас питате да ли ће кључеви за верификацију бити засновани на времену, одговоримо потврдно са и. Сада нам показује КР код за препознавање Гоогле Аутхентицатор са вашег паметног телефона, друга опција је да тајни кључ унесете директно из апликације (он је онај који се на рачунару појавио као „Ваша нова тајна је:“). И даће нам низ шифри у случају да паметни телефон не носимо са собом и да би било добро да их имамо на уму у случају да муве лети. И настављамо да одговарамо ион у складу са нашим жељама.

Сада смо отворили (помоћу нано, гедит или вашег омиљеног уређивача текста) конфигурациона датотека са:

sudo gedit /etc/pam.d/lightdm

И додајемо ред:

auth required pam_google_authenticator.so nullok

Штедимо и следећи пут када се пријавите, затражиће од нас верификациони кључ који ће наш мобилни телефон генерирати за нас.

Ако једног дана да ли желите да уклоните верификацију у XNUMX корака, само треба да избришете ред „аутх рекуиред пам_гоогле_аутхентицатор.со нуллок“ из датотеке /етц/пам.д/лигхтдм
Запамтите, здрав разум и опрез је најбољи савезник. ГНУ / Линук окружење је сигурно, али било који рачунар повезан на мрежу више није сигуран, без обзира на то колико добар оперативни систем користите. Ако имате било каквих питања, проблема или предлога, можете да их оставите цоментарио. Надам се да ће помоћи ...