Linux Hardenining: mga tip upang maprotektahan ang iyong distro at gawin itong mas ligtas

Maraming mga artikulo ang nai-publish sa Mga pamamahagi ng Linux mas ligtas, tulad ng TAILS (na tinitiyak ang iyong privacy at pagkawala ng lagda sa web), Whonix (isang Linux para sa paranoid sa seguridad) at iba pang mga distro na naglalayong ligtas. Ngunit syempre, hindi lahat ng mga gumagamit ay nais na gamitin ang mga pamamahagi. Iyon ang dahilan kung bakit sa artikulong ito magbibigay kami ng isang serye ng mga rekomendasyon para sa «Pagpapatigas ng Linux«, Iyon ay, gawing mas ligtas ang iyong distro (anuman ito).

Red Hat, SUSE, CentOS, openSUSE, Ubuntu, Debian, Arch Linux, Linux Mint, ... anong pagkakaiba ang ginagawa nito. Anumang pamamahagi ay maaaring ligtas bilang ang pinakaligtas kung alam mo ito nang malalim at alam kung paano protektahan ang iyong sarili mula sa mga panganib na nagbabanta sa iyo. At para dito, posible na kumilos sa maraming mga antas, hindi lamang sa antas ng software, kundi pati na rin sa antas ng hardware.

Mga generic na kuneho sa kaligtasan:

Sa seksyong ito bibigyan kita ng ilan napaka-basic at simpleng mga tip na hindi kailangan ng kaalaman sa computer upang maunawaan ang mga ito, ang mga ito ay karaniwang pang-unawa ngunit kung minsan hindi namin isinasagawa dahil sa kawalang ingat o kawalang-ingat:

• Huwag mag-upload ng personal o sensitibong data sa cloud. Ang cloud, hindi alintana kung ito ay libre o hindi at kung ito ay higit pa o hindi gaanong ligtas, ay isang mahusay na tool upang itapon ang iyong data saan ka man pumunta. Ngunit subukang huwag mag-upload ng data na hindi mo nais na "ibahagi" sa mga nanonood. Ang ganitong uri ng mas sensitibong data ay dapat dalhin sa isang mas personal na daluyan, tulad ng isang SD card o pendrive.
• Kung gumagamit ka ng isang computer upang ma-access ang Internet at magtrabaho kasama ang mahalagang data, halimbawa, isipin na sumali ka sa pagkahumaling sa BYOD at nag-uwi ng ilang data ng negosyo. Kaya, sa mga ganitong uri ng pangyayari, huwag magtrabaho sa online, subukang idiskonekta (bakit mo nais na konektado upang gumana halimbawa sa pag-edit ng LibreOffice ng isang teksto?). Ang isang nakakonektang computer ay ang pinakaligtas, tandaan na.
• Kaugnay sa nabanggit, huwag iwanan ang mahalagang data sa lokal na hard drive kapag nagtatrabaho sa online. Inirerekumenda ko na mayroon kang isang panlabas na hard drive o ibang uri ng memorya (mga memory card, pen drive, atbp.) Kung saan mayroon kang impormasyong ito. Sa gayon maglalagay kami ng isang hadlang sa pagitan ng aming nakakonektang kagamitan at ang memorya na "hindi konektado" kung saan naroon ang mahalagang data.
• Gumawa ng mga backup na kopya ng data na itinuturing mong kawili-wili o ayaw mawala. Kapag gumamit sila ng mga kahinaan upang ipasok ang iyong computer at palakihin ang mga pribilehiyo, magagawang burahin o manipulahin ng magsasalakay ang anumang data nang walang mga hadlang. Iyon ang dahilan kung bakit mas mahusay na magkaroon ng isang backup.
• Huwag mag-iwan ng data tungkol sa iyong mahinang mga puntos sa mga forum o mga puna sa webs. Kung halimbawa mayroon kang mga problema sa seguridad sa iyong computer at mayroon itong mga bukas na port na nais mong isara, huwag iwanan ang iyong problema sa isang forum para sa tulong, dahil maaari itong magamit laban sa iyo. Ang isang taong may masamang hangarin ay maaaring gumamit ng impormasyong iyon upang maghanap para sa kanilang perpektong biktima. Mas mabuti na makahanap ka ng isang pinagkakatiwalaang tekniko upang matulungan kang malutas ang mga ito. Karaniwan din para sa mga kumpanya na maglagay ng mga ad sa Internet tulad ng "Naghahanap ako para sa isang dalubhasa sa seguridad ng IT" o "Kailangan ng tauhan para sa departamento ng seguridad." Maaari itong ipahiwatig ang isang posibleng kahinaan sa nasabing kumpanya at ang isang cybercriminal ay maaaring gumamit ng mga ganitong uri ng mga pahina upang maghanap ng mga madaling biktima ... Hindi rin mabuti para sa iyo na mag-iwan ng impormasyon tungkol sa sistemang ginagamit mo at mga bersyon, maaaring gumamit ang isang tao ng pagsasamantala kahinaan ng bersyon na iyon. Sa madaling sabi, mas hindi ka namamalayan ng umaatake sa iyo, mas mahirap itong umatake. Tandaan na ang mga umaatake ay karaniwang nagsasagawa ng isang proseso bago ang pag-atake na tinatawag na "pangangalap ng impormasyon" at binubuo ito ng pagkolekta ng impormasyon tungkol sa biktima na maaaring magamit laban sa kanila.
• Panatilihing na-update ang iyong kagamitan Sa pinakabagong mga pag-update at pag-patch, tandaan na sa maraming mga okasyon, hindi lamang nito pinapabuti ang mga pagpapaandar, naitatama din nila ang mga bug at kahinaan upang hindi sila mapagsamantalahan.
• Gumamit ng malalakas na mga password. Huwag kailanman maglagay ng mga pangalan na nasa diksyunaryo o mga password tulad ng 12345, dahil sa mga pag-atake sa diksyunaryo maaari silang mabilis na matanggal. Gayundin, huwag iwanan ang mga password bilang default, dahil madali silang matukoy. Huwag ring gumamit ng mga petsa ng kapanganakan, mga pangalan ng kamag-anak, alagang hayop o tungkol sa iyong kagustuhan. Ang mga uri ng mga password ay maaaring madaling hulaan ng panlipunang engineering. Mahusay na gumamit ng isang mahabang password na may mga numero, malalaki at maliliit na titik, at simbolo. Gayundin, huwag gumamit ng mga master password para sa lahat, iyon ay, kung mayroon kang isang email account at session ng operating system, huwag gumamit ng pareho para sa pareho. Ito ay isang bagay na sa Windows 8 na-screwed sila hanggang sa ilalim, dahil ang password na mag-log in ay kapareho ng iyong Hotmail / Outlook account. Ang isang ligtas na password ay nasa uri: "auite3YUQK && w-". Sa pamamagitan ng mabangis na puwersa maaari itong makamit, ngunit ang oras na nakatuon sa ito ay ginagawang hindi katumbas ng halaga ...
• Huwag mag-install ng mga pakete mula sa hindi kilalang mga mapagkukunan at kung maaari. Gamitin ang mga package ng source code mula sa opisyal na website ng program na nais mong i-install. Kung kaduda-duda ang mga pakete, inirerekumenda kong gumamit ka ng isang sandbox environment tulad ng Glimpse. Ang makakamtan mo ay ang lahat ng mga application na na-install mo sa sulyap ay maaaring tumakbo nang normal, ngunit kapag sinusubukang basahin o sumulat ng data, makikita lamang ito sa loob ng kapaligiran ng sandbox, na ihiwalay ang iyong system mula sa mga problema.
• paggamit mga pribilehiyo ng system nang kaunti hangga't maaari. At kapag kailangan mo ng mga pribilehiyo para sa isang gawain, inirerekumenda na gumamit ka ng "sudo" na mas mabuti bago ang "su".

Iba pang bahagyang mas teknikal na mga tip:

Bilang karagdagan sa payo na nakita sa nakaraang seksyon, inirerekumenda din na sundin mo ang mga sumusunod na hakbang upang gawing mas ligtas ang iyong distro. Tandaan na ang iyong pamamahagi ay maaaring kasing ligtas ng gusto moIbig kong sabihin, mas maraming oras ang gugugol mo sa pag-configure at pag-secure, mas mabuti.

Mga security suite sa Linux at Firewall / UTM:

paggamit SELinux o AppArmor upang mapatibay ang iyong Linux. Ang mga system na ito ay medyo kumplikado, ngunit maaari mong makita ang mga manwal na makakatulong sa iyo ng malaki. Maaaring paghigpitan ng AppArmor kahit ang mga application na sensitibo sa mga pagsasamantala at iba pang mga hindi nais na pagkilos na proseso. Ang AppArmor ay naisama sa Linux kernel ng bersyon 2.6.36. Ang file ng pagsasaayos nito ay nakaimbak sa /etc/apparmor.d

Isara ang lahat ng mga port na hindi mo ginagamit madalas. Nakatutuwa kahit na mayroon kang isang pisikal na Firewall, iyon ang pinakamahusay. Ang isa pang pagpipilian ay upang ilaan ang isang luma o hindi nagamit na kagamitan upang magpatupad ng isang UTM o Firewall para sa iyong home network (maaari kang gumamit ng mga pamamahagi tulad ng IPCop, m0n0wall, ...). Maaari mo ring i-configure ang mga iptable upang ma-filter ang hindi mo gusto. Upang isara ang mga ito maaari mong gamitin ang "iptables / netfilter" na isinasama ang Linux kernel mismo. Inirerekumenda kong kumonsulta ka sa mga manwal sa netfilter at iptables, dahil ang mga ito ay medyo kumplikado at hindi maipaliwanag sa isang artikulo. Maaari mong makita ang mga port na iyong nabuksan sa pamamagitan ng pagta-type sa terminal:

netstat -nap

Pisikal na proteksyon ng aming kagamitan:

Maaari mo ring protektahan ang iyong computer kung sakaling hindi ka magtiwala sa isang tao sa paligid mo o kailangan mong iwanan ang iyong computer sa isang lugar na maabot ng ibang tao. Para sa mga ito maaari mong huwag paganahin ang boot mula sa iba pang mga paraan kaysa sa iyong hard drive sa BIOS / UEFI at protektahan ng password ang BIOS / UEFI upang hindi nila ito mabago nang wala ito. Pipigilan nito ang isang tao na kumuha ng isang bootable USB o panlabas na hard drive na may naka-install na operating system at ma-access ang iyong data mula rito, nang hindi na kinakailangang mag-log in sa iyong distro. Upang maprotektahan ito, i-access ang BIOS / UEFI, sa seksyon ng Seguridad maaari mong idagdag ang password.

Maaari mong gawin ang parehong sa GRUB, pinoprotektahan ito ng password:

grub-mkpasswd-pbkdf2

Pumasok sa password para sa GRUB gusto mo at mai-encode ito sa SHA512. Pagkatapos kopyahin ang naka-encrypt na password (ang lilitaw sa "Iyong PBKDF2 ay") para magamit sa ibang pagkakataon:

sudo nano /boot/grub/grub.cfg

Lumikha ng isang gumagamit sa simula at ilagay ang naka-encrypt na password. Halimbawa, kung ang dating kinopya ng password ay "grub.pbkdf2.sha512.10000.58AA8513IEH723":

set superusers=”isaac”
password_pbkdf2 isaac grub.pbkdf2.sha512.10000.58AA8513IEH723

At i-save ang mga pagbabago ...

Mas kaunting software = higit na seguridad:

I-minimize ang bilang ng mga naka-install na package. I-install lamang ang mga kailangan mo at kung titigil ka sa paggamit ng isa, mas mabuti na i-uninstall ito. Ang mas kaunting software na mayroon ka, mas kaunting mga kahinaan. Tandaan mo. Ang parehong ipinapayo ko sa iyo sa mga serbisyo o daemon ng ilang mga program na tumatakbo kapag nagsimula ang system. Kung hindi mo gagamitin ang mga ito, ilagay ang mga ito sa "off" mode.

Ligtas na tanggalin ang impormasyon:

Kapag tinanggal mo ang impormasyon ng isang disk, memory card o pagkahati, o isang file o direktoryo lamang, gawin itong ligtas. Kahit na sa palagay mo ay tinanggal mo ito, madali itong makuha. Tulad ng pisikal na ito ay hindi kapaki-pakinabang upang magtapon ng isang dokumento na may personal na data sa basurahan, dahil ang isang tao ay maaaring kumuha ito mula sa lalagyan at makita ito, kaya kailangan mong sirain ang papel, ang parehong bagay ang nangyayari sa computing. Halimbawa, maaari mong punan ang memorya ng random o null na data upang mai-overlap ang data na hindi mo nais na ilantad. Para sa mga ito maaari mong gamitin (para gumana ito kailangan mo itong patakbuhin sa mga pribilehiyo at palitan / dev / sdax ang aparato o pagkahati na nais mong kumilos sa iyong kaso ...):

dd if=/dev/zeo of=/dev/sdax bs=1M
dd if=/dev/unrandom of=/dev/sdax bs=1M

Kung ang gusto mo tanggalin ang isang tukoy na file magpakailanman, maaari mong gamitin ang "shred". Halimbawa, isipin na nais mong tanggalin ang isang file na tinatawag na passwords.txt kung saan mayroon kang nakasulat na mga password ng system. Maaari naming gamitin ang shred at patungan halimbawa 26 beses sa itaas upang ginagarantiyahan na hindi ito mababawi pagkatapos ng pagtanggal:

shred -u -z -n 26 contraseñas.txt

Mayroong mga tool tulad ng HardWipe, Eraser o Secure Delete na maaari mong mai-install "Punasan" (permanenteng tanggalin) ang mga alaala, Mga partisyon ng SWAP, RAM, atbp.

Mga account ng gumagamit at password:

Pagbutihin ang system ng password may mga tool tulad ng S / KEY o SecurID upang lumikha ng isang dynamic na scheme ng password. Tiyaking walang naka-encrypt na password sa direktoryo / etc / passwd. Kailangan nating gamitin ang mas mahusay / etc / anino. Para dito maaari mong gamitin ang "pwconv" at "grpconv" upang lumikha ng mga bagong gumagamit at pangkat, ngunit may isang nakatagong password. Ang isa pang kagiliw-giliw na bagay ay ang i-edit ang / etc / default / passwd file upang mag-expire ang iyong mga password at pilitin kang i-renew ang mga ito pana-panahon. Kaya't kung nakakuha sila ng isang password, hindi ito magtatagal magpakailanman, dahil palitan mo itong palitan. Gamit ang /etc/login.defs file maaari mo ring mapatibay ang system ng password. I-edit ito, hinahanap ang entry ng PASS_MAX_DAYS at PASS_MIN_DAYS upang tukuyin ang minimum at maximum na araw na maaaring tumagal ang isang password bago mag-expire. Nagpapakita ang PASS_WARN_AGE ng isang mensahe upang ipaalam sa iyo na ang password ay magtatapos sa X araw sa lalong madaling panahon. Pinapayuhan ko kayo na makita ang isang manu-manong sa file na ito, dahil ang mga entry ay napakarami.

ang mga account na hindi ginagamit at naroroon sila sa / etc / passwd, kailangan nilang magkaroon ng variable ng Shell / bin / false. Kung ito ay isa pa, baguhin ito sa isang ito. Sa ganoong paraan hindi sila maaaring magamit upang makakuha ng isang shell. Nakatutuwang baguhin din ang variable ng PATH sa aming terminal upang ang kasalukuyang direktoryo "." Hindi lilitaw. Iyon ay, kailangan itong baguhin mula sa "./user/local/sbin/:/usr/local/bin:/usr/bin:/bin" patungo sa "/ user / local / sbin /: / usr / local / bin: / usr / bin: / bin ”.

Inirerekumenda na gamitin mo Kerberos bilang isang pamamaraan ng pagpapatotoo sa network.

PAM (Pluggable Authentication Module) ito ay isang bagay tulad ng Microsoft Active Directory. Nagbibigay ito ng isang pangkaraniwang, kakayahang umangkop na pagpapatotoo na may malinaw na mga pakinabang. Maaari kang tumingin sa direktoryo /etc/pam.d/ at maghanap para sa impormasyon sa web. Medyo malawak ito upang ipaliwanag dito ...

Pagmasdan ang mga pribilehiyo ng iba't ibang mga direktoryo. Halimbawa, / ugat ay dapat nabibilang sa root user at ng root group, na may mga pahintulot na "drwx - - - - -". Maaari kang makahanap ng impormasyon sa web tungkol sa kung anong mga pahintulot ang dapat magkaroon ng bawat direktoryo sa puno ng direktoryo ng Linux. Ang isang iba't ibang pagsasaayos ay maaaring mapanganib.

I-encrypt ang iyong data:

Na-encrypt ang mga nilalaman ng isang direktoryo o pagkahati kung saan mayroon kang kaugnay na impormasyon. Para sa mga ito maaari mong gamitin ang LUKS o sa eCryptFS. Halimbawa, isipin na nais naming i-encrypt / tahanan ng isang gumagamit na nagngangalang isaac:

sudo apt-get install ecryptfs-utils
ecryptfs-setup-private
ecryptfs-migrate-home -u isaac

Matapos ang nasa itaas, ipahiwatig ang passphrase o password kapag tinanong ...

Upang lumikha ng a pribadong direktoryoHalimbawa na tinatawag na "pribado" maaari din kaming gumamit ng eCryptFS. Sa direktoryong iyon maaari naming ilagay ang mga bagay na nais naming i-encrypt upang alisin ito mula sa pagtingin ng iba:

mkdir /home/isaac/privado
chmod 700 /home/isaac/privado
mount -t ecryptfs /home/isaa/privado

Magtatanong ito sa amin ng tungkol sa iba't ibang mga parameter. Hahayaan muna kaming pumili sa pagitan ng mga password, OpenSSL, ... at dapat pumili ng 1, iyon ay, "passphrase". Pagkatapos ay ipinasok namin ang password na nais naming dalawang beses na i-verify. Pagkatapos nito, pipiliin namin ang uri ng nais na pag-encrypt (AES, Blowfish, DES3, CAST, ...). Pipiliin ko ang una, ang AES at pagkatapos ay ipakikilala namin ang byte na uri ng susi (16, 32 o 64). At sa wakas ay sinasagot namin ang huling tanong sa isang "oo". Ngayon ay maaari mong i-mount at i-unmount ang direktoryong ito upang magamit ito.

Kung gusto mo lang naka-encrypt na partikular na mga file, maaari mong gamitin ang scrypt o PGP. Halimbawa, isang file na tinatawag na passwords.txt, maaari mong gamitin ang mga sumusunod na utos upang i-encrypt at i-decrypt ayon sa pagkakabanggit (sa parehong kaso hihilingin ka nito para sa isang password):

scrypt <contraseñas.txt>contraseñas.crypt
scrypt <contraseñas.crypt>contraseñas.txt

Dalawang-hakbang na pag-verify sa Google Authenticator:

Idagdag dalawang hakbang na pag-verify sa iyong system. Kaya, kahit na ang iyong password ay ninakaw, hindi sila magkakaroon ng access sa iyong system. Halimbawa, para sa Ubuntu at sa kapaligiran ng Unity maaari naming gamitin ang LightDM, ngunit ang mga prinsipyo ay maaaring i-export sa iba pang mga distrito. Kakailanganin mo ang isang tablet o smartphone para dito, dito dapat mong mai-install ang Google Authenticator mula sa Play Store. Pagkatapos sa PC, ang unang bagay na dapat gawin ay i-install ang Google Authenticator PAM at simulan ito:

sudo apt-get install libpam-google-authenticator
google-authenticator

Kapag tinanong mo kami kung ang mga susi sa pag-verify ay ibabatay sa oras, tutugon kami ng isang y. Ipinapakita nito sa amin ang isang QR code na makikilala Google Authenticator Mula sa iyong smartphone, isa pang pagpipilian ay ipasok ang lihim na key nang direkta mula sa app (ito ang lumitaw sa PC bilang "Ang iyong bagong lihim ay:"). At bibigyan kami ng isang serye ng mga code kung sakaling hindi namin dalhin ang smartphone sa amin at makabubuting maisip ang mga ito kung sakaling lumilipad. At nagpatuloy kaming tumugon kasama yon ayon sa aming mga kagustuhan.

Ngayon ay buksan namin (kasama ang nano, gedit, o ang iyong paboritong text editor) ang file ng pagsasaayos na may:

sudo gedit /etc/pam.d/lightdm

At idinagdag namin ang linya:

auth required pam_google_authenticator.so nullok

Nagse-save kami at sa susunod na mag-log in ka, hihilingin ito sa amin para sa verification key na bubuo ang aming mobile para sa amin.

Kung isang araw nais mo bang alisin ang XNUMX-step na pag-verify, kailangan mo lamang tanggalin ang linya na "auth kinakailangan pam_google_authenticator.so nullok" mula sa file /etc/pam.d/lightdm
Tandaan, ang bait at pag-iingat ay ang pinakamahusay na kapanalig. Ang isang kapaligiran ng GNU / Linux ay ligtas, ngunit ang anumang computer na konektado sa isang network ay hindi na ligtas, gaano man kahusay ang ginagamit mong operating system. Kung mayroon kang anumang mga katanungan, problema o mungkahi, maaari mong iwanan ang iyong puna. Sana makatulong ito ...