Linux Hardenining：保護髮行版並使其更安全的提示

多篇文章發表於 Linux發行版 更安全，例如 TAILS（確保您在網絡上的隱私和匿名）、Whonix（針對安全偏執狂的 Linux）和其他旨在確保安全的發行版。 但當然，並非所有用戶都想使用這些發行版。 這就是為什麼在本文中我們將為 «Linux加固«，也就是說，讓您的發行版（無論它是什麼）更加安全。

Red Hat、SUSE、CentOS、openSUSE、Ubuntu、Debian、Arch Linux、Linux Mint 等等。 任何發行版都可以是安全的 如果您深入了解並知道如何保護自己免受等待著您的危險，那麼這是最安全的。 為此，您可以在多個級別上採取行動，不僅可以在軟件級別上進行，還可以在硬件級別上進行操作。

通用安全兔：

在本節中我將為您提供一些 非常基本和簡單的提示 不需要計算機知識來理解它們，它們只是常識，但有時我們由於粗心或粗心而沒有執行：

• 不要將個人或敏感數據上傳到雲端。 雲，無論它是否免費，無論它的安全程度如何，都是一個很好的工具，可以讓您隨時隨地保存數據。 但盡量不要上傳您不想與好奇的人“分享”的數據。 此類更敏感的數據應保存在更個人化的介質上，例如 SD 卡或隨身碟。
• 例如，如果您使用計算機訪問互聯網並處理重要數據，想像一下您已經加入了 BYOD 趨勢並將一些業務數據帶回家。 那麼，在這種情況下， 不在線工作，嘗試離線（為什麼要在線工作，例如使用 LibreOffice 編輯文本？）。 請記住，斷開連接的計算機是最安全的。
• 與上述相關， 在線工作時不要將重要數據留在本地硬盤上。 我建議您擁有一個外部硬盤驅動器或其他類型的存儲器（存儲卡、隨身碟等）來保存此信息。 通過這種方式，我們將在連接的設備和重要數據所在的“未連接”內存之間設置屏障。
• 製作備份副本 您認為有趣或不想丟失的數據。 當他們利用漏洞侵入您的計算機並提升權限時，攻擊者將能夠毫無阻礙地刪除或操縱任何數據。 這就是為什麼最好有備份。
• 不要在論壇中留下有關您的弱點的數據 或網站上的評論。 例如，如果您的計算機存在安全問題，並且該計算機具有您想要關閉的開放端口，請不要將您的問題留在論壇上尋求幫助，因為它可能會被用來對付您。 不懷好意的人可以利用這些信息來找到完美的受害者。 最好找一個值得信賴的技術人員來幫助你解決這些問題。 公司在互聯網上發布“我正在尋找計算機安全專家”或“安全部門需要人員”等廣告也很常見。 這可能表明該公司可能存在弱點，網絡犯罪分子可以使用這些類型的頁面來尋找容易的受害者...您留下有關您使用的系統和版本的信息也不好，有人可能會利用漏洞來利用所述版本中的漏洞。 簡而言之，攻擊者越不了解你，他就越難攻擊。 請記住，攻擊者通常在攻擊之前執行一個稱為“信息收集”的過程，其中包括收集可用於攻擊他們的有關受害者的信息。
• 讓您的設備保持最新狀態 請記住，使用最新的更新和補丁，在許多情況下，它們不僅可以改進功能，還可以糾正錯誤和漏洞，使其不被利用。
• 使用強密碼。 切勿輸入字典中的姓名或密碼（例如 12345），因為字典攻擊可以快速刪除它們。 也不要保留默認密碼，因為它們很容易被檢測到。 也不要使用出生日期、家庭成員的姓名、寵物或您的品味。 這些類型的密碼很容易被社會工程破解。 最好使用包含數字、大小寫字母和符號的長密碼。 另外，不要對所有內容都使用主密碼，也就是說，如果您有一個電子郵件帳戶和一個操作系統會話，請不要對兩者使用相同的密碼。 這在 Windows 8 中完全搞砸了，因為登錄密碼與您的 Hotmail/Outlook 帳戶相同。 強密碼的類型為：“auite3YUQK&&w-”。 通過蠻力可以實現，但投入的時間使它不值得......
• 不要安裝未知來源的軟件包 如果可能的話。 使用您要安裝的程序的官方網站上的源代碼包。 如果這些軟件包是可疑的，我建議使用像 Glimpse 這樣的沙箱環境。 您將實現的是，您在 Glimpse 中安裝的所有應用程序都可以正常運行，但是當嘗試讀取或寫入數據時，它們只會反映在沙箱環境中，從而將您的系統與問題隔離。
• 使用 盡可能少的系統權限。 當您需要某些任務的權限時，建議您最好在“su”之前使用“sudo”。

更多技術提示：

除了上一節中看到的提示之外，還強烈建議您按照以下步驟操作，以使您的發行版更加安全。 請記住，您的發行版可能是 如您所願安全我的意思是，您花在配置和保護上的時間越多越好。

Linux 和防火牆/UTM 安全套件：

使用 SELinux 或 AppArmor 強化您的 Linux。 這些系統有些複雜，但是你可以看看手冊，對你有很大幫助。 AppArmor 甚至可以限制敏感應用程序免受攻擊和其他不需要的進程操作。 從版本 2.6.36 開始，AppArmor 已包含在 Linux 內核中。 其配置文件存儲在/etc/apparmor.d中

關閉所有不使用的端口 頻繁地。 如果您有物理防火牆，那就更有趣了，那是最好的。 另一種選擇是專門使用一台舊計算機或一台您不使用的計算機來為您的家庭網絡實施 UTM 或防火牆（您可以使用 IPCop、m0n0wall 等發行版，...）。 您還可以配置 iptables 來過濾掉您不想要的內容。 要關閉它們，您可以使用“iptables/netfilter”，它集成了 Linux 內核本身。 我建議查閱有關 netfilter 和 iptables 的手冊，因為它們相當複雜，無法在一篇文章中解釋清楚。 您可以通過在終端中輸入以下內容來查看已打開的端口：

netstat -nap

我們設備的物理保護：

如果您不信任周圍的人或者您必須將設備留在其他人可以觸及的地方，您還可以對設備進行物理保護。 為此，您可以禁用從硬盤驅動器以外的介質啟動 BIOS / UEFI 密碼保護 BIOS/UEFI，這樣他們就無法在沒有密碼的情況下對其進行修改。 這樣，您就可以防止某人獲取已安裝操作系統的可引導 USB 或外部硬盤驅動器並能夠從中訪問您的數據，甚至無需登錄您的發行版。 要保護它，請訪問 BIOS/UEFI，在“安全”部分中您可以添加密碼。

你可以用同樣的方法 GRUB，用密碼保護它:

grub-mkpasswd-pbkdf2

輸入 GRUB 的密碼 你想要的，它將被編碼為 SHA512。 然後復制加密密碼（“Your PBKDF2 is”中出現的密碼）以供稍後使用：

sudo nano /boot/grub/grub.cfg

在啟動時創建一個用戶並為其指定 加密密碼。 例如，如果之前複製的密碼是“grub.pbkdf2.sha512.10000.58AA8513IEH723”：

set superusers=”isaac”
password_pbkdf2 isaac grub.pbkdf2.sha512.10000.58AA8513IEH723

並保存更改...

更少的軟件 = 更高的安全性：

最小化安裝的軟件包數量。 僅安裝您需要的那些，如果您要停止使用某個，最好將其卸載。 您擁有的軟件越少，漏洞就越少。 記住它。 我還為您提供系統啟動時運行的某些程序的服務或守護進程的建議。 如果您不使用它們，請將它們置於“關閉”模式。

安全刪除信息：

當您刪除信息時 從磁盤、存儲卡或分區，或者只是文件或目錄，安全地執行此操作。 即使您認為已刪除它，也可以輕鬆恢復。 正如將含有個人數據的文檔扔進垃圾桶在物理上毫無用處一樣，因為有人可以將其從容器中取出並看到它，所以紙張必須被銷毀，同樣的事情也發生在計算中。 例如，您可以用隨機或空數據填充內存來覆蓋您不想暴露的數據。 為此，您可以使用（要使其工作，您必須以特權運行它，並將 /dev/sdax 替換為您想要在您的情況下執行操作的設備或分區...）：

dd if=/dev/zeo of=/dev/sdax bs=1M
dd if=/dev/unrandom of=/dev/sdax bs=1M

如果你想要的是 永久刪除特定文件，你可以使用“切碎”。 例如，假設您想要刪除一個名為“passwords.txt”的文件，其中記錄了系統密碼。 我們可以在上面使用粉碎和覆蓋例如26次以確保刪除後無法恢復：

shred -u -z -n 26 contraseñas.txt

您可以安裝 HardWipe、Eraser 或 Secure Delete 等工具 “擦除”（永久刪除）記憶、SWAP分區、RAM等。

用戶帳號和密碼：

完善密碼系統 使用 S/KEY 或 SecurID 等工具創建動態密碼方案。 確保 /etc/passwd 目錄中沒有加密的密碼。 我們必須更好地使用/etc/shadow。 為此，您可以使用“pwconv”和“grpconv”創建新用戶和組，但使用隱藏密碼。 另一個有趣的事情是編輯 /etc/default/passwd 文件以使您的密碼過期並強制您定期更新它們。 因此，即使他們獲得了密碼，它也不會永遠存在，因為您會經常更改它。 使用 /etc/login.defs 文件，您還可以強化密碼系統。 編輯它，查找 PASS_MAX_DAYS 和 PASS_MIN_DAYS 條目來指定密碼在過期之前可以持續的最短和最長天數。 PASS_WARN_AGE 顯示一條消息，警告您密碼將在 X 天內過期。 我建議您查看該文件的手冊，因為條目非常多。

該 未使用的帳戶 並存在於 /etc/passwd 中，它們必須具有 shell 變量 /bin/false。 如果是另一個，則將其更改為這個。 這樣它們就不能被用來獲取 shell。 修改終端的 PATH 變量以使當前目錄“.”不會出現也很有趣。 也就是說，它必須從“./user/local/sbin/:/usr/local/bin:/usr/bin:/bin”更改為“/user/local/sbin/:/usr/local/bin: /usr/bin:/bin”。

建議您使用 Kerberos 作為網絡身份驗證方法.

PAM（可插拔身份驗證模塊） 它與 Microsoft Active Directory 類似。 它提供了一種通用、靈活的身份驗證方案，具有明顯的優勢。 您可以查看/etc/pam.d/目錄並在Internet上搜索信息。 這裡解釋太長了...

觀看特權 來自不同的目錄。 例如/root應該屬於root用戶和root組，具有“drwx – – – – – –”權限。 您可以在互聯網上搜索有關Linux目錄樹中每個目錄應具有哪些權限的信息。 不同的配置可能會很危險。

加密您的數據：

加密目錄或分區的內容 您有相關信息的地方。 為此，您可以使用 LUKS 或 eCryptFS。 例如，假設我們要加密名為 isaac 的用戶的 /home：

sudo apt-get install ecryptfs-utils
ecryptfs-setup-private
ecryptfs-migrate-home -u isaac

在完成上述操作後，當它詢問您時，請輸入密碼或密碼...

創建一個 私人目錄，例如稱為“私有”我們也可以使用eCryptFS。 在該目錄中，我們可以放置我們想要加密的內容，以將其從其他人的視圖中刪除：

mkdir /home/isaac/privado
chmod 700 /home/isaac/privado
mount -t ecryptfs /home/isaa/privado

它會詢問我們有關不同參數的問題。 首先，它會讓我們在密碼、OpenSSL 之間進行選擇，...，我們必須選擇 1，即“passphrase”。 然後我們輸入我們想要的密碼兩次來驗證。 之後，我們選擇所需的加密類型（AES、Blowfish、DES3、CAST，...）。 我會選擇第一個，AES，然後輸入密鑰的字節類型（16、32 或 64）。 最後我們用“是”回答最後一個問題。 現在您可以掛載和卸載該目錄來使用它。

如果你只想 加密特定文件，您可以使用 scrypt 或 PGP。 例如，一個名為passwords.txt的文件，您可以使用以下命令分別進行加密和解密（在這兩種情況下它都會要求您輸入密碼）：

scrypt <contraseñas.txt>contraseñas.crypt
scrypt <contraseñas.crypt>contraseñas.txt

使用 Google Authenticator 進行兩步驗證：

新增 兩步驗證 在你的系統中。 因此，即使他們竊取了您的密碼，他們也無法訪問您的系統。 例如，對於 Ubuntu 及其 Unity 環境，我們可以使用 LightDM，但原理可以導出到其他發行版。 為此，您需要一台平板電腦或智能手機，並且必須從 Play 商店安裝 Google Authenticator。 然後在PC上，首先是安裝Google Authenticator PAM並啟動它：

sudo apt-get install libpam-google-authenticator
google-authenticator

當被問及驗證密鑰是否基於時間時，我們用 y 回答“是”。 現在它向我們展示了一個可以識別的二維碼 谷歌的Authenticator 從您的智能手機上，另一種選擇是直接從應用程序輸入密鑰（它在 PC 上顯示為“您的新密鑰是：”）。 如果我們沒有攜帶智能手機，它會給我們一系列代碼，最好記住它們以防萬一。 我們繼續根據我們的喜好回答您。

現在我們打開（使用 nano、gedit 或您最喜歡的文本編輯器） 配置文件 使用：

sudo gedit /etc/pam.d/lightdm

然後添加以下行：

auth required pam_google_authenticator.so nullok

我們保存，下次您登錄時會詢問我們 驗證密鑰 我們的手機將為我們生成。

如果有一天 您想分兩步刪除驗證，您只需從 /etc/pam.d/lightdm 文件中刪除“auth required pam_google_authenticator.so nullok”行
請記住，常識和謹慎是最好的盟友。 GNU/Linux 環境是安全的，但是任何連接到網絡的計算機都不再安全，無論您使用的操作系統有多好。 如果您有任何疑問、問題或建議，可以留下您的 評論。 我希望它有幫助……