Linux Hardenining: savjeti kako zaštititi vaš distro i učiniti ga sigurnijim

Mnogi članci su objavljeni na Linux distribucije sigurniji, poput TAILS (koji osigurava vašu privatnost i anonimnost na webu), Whonix (Linux za sigurnosne paranoike) i druge distro-ove s ciljem da budu sigurni. Ali naravno, ne žele svi korisnici koristiti ove distribucije. Zbog toga ćemo u ovom članku dati niz preporuka za «Linux kaljenje«, To jest, učinite vašu distribuciju (ma kakva ona) sigurnijom.

Red Hat, SUSE, CentOS, openSUSE, Ubuntu, Debian, Arch Linux, Linux Mint, ... kakva je razlika. Svaka distribucija može biti sigurna kao najsigurniji ako ga znate iz dubine i znate kako se zaštititi od opasnosti koje vam prijete. A za to je moguće djelovati na više nivoa, ne samo na softverskom, već i na hardverskom nivou.

Generički zaštitni kunići:

U ovom dijelu ću vam dati nekoliko vrlo osnovni i jednostavni savjeti kojima nije potrebno računarsko znanje da bi ih razumjeli, oni su samo zdrav razum, ali koji ponekad ne obavimo zbog nepažnje ili nepažnje:

• Ne prenosite lične ili osjetljive podatke u oblak. Oblak, bez obzira je li besplatan ili nije i je li manje ili više siguran, dobar je alat za dostupnost podataka kamo god krenuli. Ali pokušajte ne prenositi podatke koje ne želite "dijeliti" s promatračima. Ova vrsta osjetljivijih podataka mora se prenositi u osobnijem mediju, kao što je SD kartica ili pendrive.
• Ako, na primjer, koristite računar za pristup Internetu i rad s važnim podacima, zamislite da ste se pridružili trendu BYOD i poneli neke poslovne podatke kući. Pa, u ovakvim okolnostima, ne rade na mreži, pokušajte biti isključeni (zašto želite biti povezani s radom, na primjer s LibreOffice uređivanjem teksta?). Isključeni računar je najsigurniji, upamtite to.
• S tim u vezi, ne ostavljajte važne podatke na lokalnom tvrdom disku kada radite na mreži. Preporučujem vam vanjski tvrdi disk ili drugu vrstu memorije (memorijske kartice, pogoni olovke itd.) U kojoj imate ove informacije. Tako ćemo postaviti prepreku između naše povezane opreme i one "nepovezane" memorije u kojoj su važni podaci.
• Napravite sigurnosne kopije podataka koje smatrate zanimljivima ili ne želite izgubiti. Kada koriste ranjivosti za ulazak u vaše računalo i eskaliraju privilegije, napadač će moći nesmetano izbrisati ili manipulirati bilo kojim podacima. Zbog toga je bolje imati sigurnosnu kopiju.
• Ne ostavljajte podatke o svojim slabostima na forumima ili komentare na mrežama. Ako na primjer imate sigurnosnih problema na računaru i on ima otvorene priključke koje želite zatvoriti, nemojte svoj problem ostavljati na forumu za pomoć jer se može koristiti protiv vas. Neko sa lošim namjerama može koristiti te podatke kako bi potražio svoju savršenu žrtvu. Bolje je da pronađete pouzdanog tehničara koji će vam pomoći da ih riješite. Takođe je uobičajeno da kompanije stavljaju oglase na Internet poput "Tražim stručnjaka za IT sigurnost" ili "Potrebno je osoblje za odjel sigurnosti". To može ukazivati ​​na moguću slabost u spomenutoj kompaniji, a cyber kriminalac može koristiti ove vrste stranica kako bi tražio lake žrtve ... Također nije dobro za vas da ostavljate informacije o sistemu koji koristite i verzijama, neko bi mogao iskoristiti exploit-ove za eksploataciju ranjivosti te verzije. Ukratko, što vas napadač više ne zna, to će mu biti teže napadati. Imajte na umu da napadači obično provode postupak prije napada koji se naziva „prikupljanje informacija“, a sastoji se od prikupljanja informacija o žrtvi koje se mogu koristiti protiv njih.
• Redovno ažurirajte svoju opremu Uz najnovija ažuriranja i zakrpe, imajte na umu da oni u mnogim prilikama ne samo da poboljšavaju funkcionalnosti, već i ispravljaju greške i ranjivosti tako da se ne koriste.
• Koristite jake lozinke. Nikada ne stavljajte imena koja se nalaze u rječniku ili lozinke poput 12345, jer se napadima na rječnike mogu brzo ukloniti. Takođe, lozinke nemojte ostavljati po defaultu, jer ih je lako otkriti. Takođe ne koristite datume rođenja, imena rođaka, kućnih ljubimaca ili podatke o svom ukusu. Društveni inženjering može lako pogoditi te vrste lozinki. Najbolje je koristiti dugu lozinku s brojevima, velikim i malim slovima i simbolima. Takođe, nemojte koristiti glavne lozinke za sve, odnosno ako imate račun e-pošte i sesiju operativnog sistema, nemojte koristiti iste za oboje. To je nešto što su u sustavu Windows 8 zajebali do dna, jer je lozinka za prijavu ista kao i vaš Hotmail / Outlook račun. Sigurna lozinka je tipa: "auite3YUQK && w-". Grubom silom to bi se moglo postići, ali vrijeme posvećeno tome ne vrijedi ...
• Ne instalirajte pakete iz nepoznatih izvora i ako je moguće. Koristite pakete izvornog koda sa službenog web mjesta programa koji želite instalirati. Ako su paketi upitni, preporučujem vam da koristite okruženje za testiranje poput Glimpse. Ono što ćete postići je da se sve aplikacije koje instalirate u programu Glimpse mogu normalno pokretati, ali kada pokušavate čitati ili pisati podatke, to se odražava samo u okruženju pješčanika, izolirajući vaš sistem od problema.
• Koristite sistemskih privilegija što je manje moguće. A kada su vam potrebne privilegije za zadatak, preporučuje se da koristite "sudo", poželjno prije "su".

Ostali malo tehnički savjeti:

Pored savjeta iz prethodnog odjeljka, također se preporučuje da slijedite sljedeće korake kako biste svoju distribuciju učinili još sigurnijom. Imajte na umu da vaša distribucija može biti koliko god želite sigurniMislim, što više vremena potrošite na konfiguriranje i osiguranje, to bolje.

Sigurnosni paketi u Linuxu i vatrozidu / UTM:

Koristite SELinux ili AppArmor da ojača vaš Linux. Ovi su sustavi donekle složeni, ali možete vidjeti priručnike koji će vam puno pomoći. AppArmor može ograničiti čak i aplikacije osjetljive na eksploatacije i druge neželjene radnje postupka. AppArmor je uključen u Linux kernel od verzije 2.6.36. Njegova konfiguracijska datoteka pohranjena je u /etc/apparmor.d

Zatvorite sve portove koje ne koristite često. Bilo bi zanimljivo čak i ako imate fizički zaštitni zid, to je najbolje. Druga opcija je posvetiti staru ili neiskorištenu opremu za implementaciju UTM-a ili zaštitnog zida za vašu kućnu mrežu (možete koristiti distribucije poput IPCop, m0n0wall, ...). Također možete konfigurirati iptables da filtrira ono što ne želite. Da biste ih zatvorili, možete koristiti "iptables / netfilter" koji integrira sam Linux kernel. Preporučujem vam da pogledate priručnike za netfilter i iptables, jer su prilično složeni i ne mogu se objasniti u članku. Portove koje ste otvorili možete vidjeti upisivanjem u terminal:

netstat -nap

Fizička zaštita naše opreme:

Možete i fizički zaštititi svoj računar u slučaju da ne vjerujete nekome iz svoje okoline ili morate svoj računar ostaviti negdje nadomak drugih ljudi. Za to možete onemogućiti pokretanje sa drugih načina osim tvrdog diska u BIOS / UEFI i lozinkom štite BIOS / UEFI tako da ga bez njega ne mogu mijenjati. To će spriječiti nekoga da uzme USB ili spoljni čvrsti disk za pokretanje sa instaliranim operativnim sistemom i da može pristupiti vašim podacima s njega, čak i bez potrebe da se prijavi u vašu distro. Da biste je zaštitili, pristupite BIOS-u / UEFI-u, u odjeljak Sigurnost možete dodati lozinku.

To možete učiniti i sa GRUB, štiti ga lozinkom:

grub-mkpasswd-pbkdf2

Unesite lozinka za GRUB želite i bit će kodiran u SHA512. Zatim kopirajte šifriranu lozinku (onu koja se pojavljuje u „Vaš PBKDF2 je“) da biste je kasnije koristili:

sudo nano /boot/grub/grub.cfg

Kreirajte korisnika na početku i stavite šifrirana lozinka. Na primjer, ako je prethodno kopirana lozinka bila "grub.pbkdf2.sha512.10000.58AA8513IEH723":

set superusers=”isaac”
password_pbkdf2 isaac grub.pbkdf2.sha512.10000.58AA8513IEH723

I sačuvajte promjene ...

Manje softvera = veća sigurnost:

Smanjite broj instaliranih paketa. Instalirajte samo one koji su vam potrebni, a ako ćete prestati koristiti jedan, najbolje je da ga deinstalirate. Što manje softvera imate, to je manje ranjivosti. Zapamti to. Isto vam savjetujem usluge ili demone određenih programa koji se pokreću kada se sistem pokrene. Ako ih ne koristite, stavite ih u "isključeni" način rada.

Sigurno izbrišite podatke:

Kada izbrišete informacije diska, memorijske kartice ili particije ili jednostavno datoteke ili direktorija, učinite to sigurno. Čak i ako mislite da ste ga izbrisali, lako se može oporaviti. Kao što fizički nije korisno baciti dokument s ličnim podacima u smeće, jer bi ga netko mogao izvaditi iz kontejnera i vidjeti ga, tako da morate uništiti papir, isto se događa i u računanju. Na primjer, možete napuniti memoriju slučajnim ili nula podacima da biste prepisali podatke koje ne želite izložiti. Za to možete koristiti (da bi to funkcioniralo, morate ga izvršiti s privilegijama i zamijeniti / dev / sdax uređajem ili particijom na kojem želite djelovati u vašem slučaju ...):

dd if=/dev/zeo of=/dev/sdax bs=1M
dd if=/dev/unrandom of=/dev/sdax bs=1M

Ako želite ono što želite zauvijek izbriši određenu datoteku, možete koristiti "shred". Na primjer, zamislite da želite izbrisati datoteku zvanu passwords.txt u kojoj su zapisane sistemske lozinke. Možemo koristiti shred i overwrite, na primjer 26 puta gore, kako bismo zajamčili da se neće moći oporaviti nakon brisanja:

shred -u -z -n 26 contraseñas.txt

Postoje alati poput HardWipe, Eraser ili Secure Delete na koje možete instalirati "Obriši" (trajno izbriši) sjećanja, SWAP particije, RAM itd.

Korisnički računi i lozinke:

Poboljšajte sistem lozinki pomoću alata poput S / KEY ili SecurID za stvaranje dinamičke šeme lozinke. Uvjerite se da u direktoriju / etc / passwd nema šifrirane lozinke. Moramo bolje koristiti / etc / shadow. Za to možete koristiti "pwconv" i "grpconv" za stvaranje novih korisnika i grupa, ali sa skrivenom lozinkom. Još jedna zanimljiva stvar je uređivanje datoteke / etc / default / passwd kako bi istekle lozinke i prisilile vas da ih povremeno obnavljate. Dakle, ako dobiju lozinku, ona neće trajati vječno, jer ćete je često mijenjati. Pomoću datoteke /etc/login.defs takođe možete ojačati sistem lozinki. Uredite ga, tražeći unose PASS_MAX_DAYS i PASS_MIN_DAYS da odredite minimalni i maksimalni broj dana koje lozinka može trajati prije isteka. PASS_WARN_AGE prikazuje poruku koja vas obaveštava da će lozinka uskoro isteći za X dana. Savjetujem vam da pogledate priručnik o ovoj datoteci, jer su unosi vrlo brojni.

u računi koji se ne koriste i oni su prisutni u / etc / passwd, moraju imati Shell varijablu / bin / false. Ako je druga, promijenite je u ovu. Na taj način se ne mogu koristiti za dobijanje ljuske. Također je zanimljivo izmijeniti varijablu PATH u našem terminalu tako da se trenutni direktorij "." Ne pojavi. Odnosno, mora se promijeniti iz “./user/local/sbin/:/usr/local/bin:/usr/bin:/bin” u “/ user / local / sbin /: / usr / local / bin: / usr / bin: / bin ”.

Bilo bi preporučeno da koristite Kerberos kao mrežna metoda provjere autentičnosti.

PAM (priključni modul za provjeru autentičnosti) to je nešto poput Microsoft Active Directory. Pruža zajedničku, fleksibilnu shemu provjere autentičnosti s jasnim prednostima. Možete pogledati direktorij /etc/pam.d/ i potražiti informacije na webu. Ovdje je prilično opširno objasniti ...

Pripazite na privilegije različitih direktorija. Na primjer, / root bi trebao pripadati root korisniku i root grupi, s dozvolama "drwx - - - - - -". Na webu možete pronaći informacije o tome koje dozvole treba imati svaki direktorij u Linux stablu direktorija. Drugačija konfiguracija može biti opasna.

Šifrirajte svoje podatke:

Šifrira sadržaj direktorija ili particije gdje imate relevantne informacije. Za ovo možete koristiti LUKS ili s eCryptFS. Na primjer, zamislimo da želimo šifrirati / početnu stranicu korisnika koji se zove isaac:

sudo apt-get install ecryptfs-utils
ecryptfs-setup-private
ecryptfs-migrate-home -u isaac

Nakon navedenog, navedite pristupnu frazu ili lozinku kada se to zatraži ...

Da biste kreirali privatni direktorijNa primjer, nazvan "privatno", također možemo koristiti eCryptFS. U taj direktorij možemo staviti stvari koje želimo šifrirati kako bismo ih uklonili s pogleda drugih:

mkdir /home/isaac/privado
chmod 700 /home/isaac/privado
mount -t ecryptfs /home/isaa/privado

Postavit će nam pitanja o različitim parametrima. Prvo, omogućit će nam da biramo između lozinki, OpenSSL, ... i moramo odabrati 1, odnosno "lozinku". Zatim unosimo lozinku koju želimo dva puta provjeriti. Nakon toga odabiremo vrstu šifriranja koju želimo (AES, Blowfish, DES3, CAST, ...). Odabrao bih prvi, AES, a zatim uvodimo bajt tip ključa (16, 32 ili 64). I na kraju, na posljednje pitanje odgovaramo sa "da". Sada možete montirati i demontirati ovaj direktorij da biste ga koristili.

Ako samo želite šifriranje određenih datoteka, možete koristiti scrypt ili PGP. Na primjer, datoteku nazvanu passwords.txt, možete koristiti sljedeće naredbe za šifriranje, odnosno dešifriranje (u oba slučaja tražit će od vas lozinku):

scrypt <contraseñas.txt>contraseñas.crypt
scrypt <contraseñas.crypt>contraseñas.txt

Potvrda u dva koraka pomoću Google Autentifikatora:

Dodaj provjera u dva koraka u vašem sistemu. Stoga, čak i ako vam lozinku ukradu, neće imati pristup vašem sistemu. Na primjer, za Ubuntu i njegovo Unity okruženje možemo koristiti LightDM, ali principi se mogu izvesti u druge distro sisteme. Za ovo će vam trebati tablet ili pametni telefon, u njemu morate instalirati Google Authenticator iz Trgovine Play. Zatim na PC, prva stvar je da instalirate Google Authenticator PAM i pokrenete ga:

sudo apt-get install libpam-google-authenticator
google-authenticator

Kada nas pitate hoće li se verifikacijski ključevi zasnivati ​​na vremenu, odgovorimo potvrdno s y. Sada nam pokazuje QR kod koji ćemo prepoznati Google Authenticator sa vašeg pametnog telefona, druga mogućnost je unos tajnog ključa direktno iz aplikacije (on je onaj koji se na računaru pojavio kao „Vaša nova tajna je:“). I dat će nam niz kodova u slučaju da pametni telefon ne nosimo sa sobom i da bi bilo dobro imati ih na umu u slučaju muha. I nastavljamo odgovarati yon u skladu s našim željama.

Sada otvaramo (pomoću nano, gedit ili vašeg omiljenog uređivača teksta) konfiguracijska datoteka sa:

sudo gedit /etc/pam.d/lightdm

I dodajemo red:

auth required pam_google_authenticator.so nullok

Štedimo i kada se sljedeći put prijavite, zatražit će od nas potvrdni ključ koji će naš mobilni uređaj generirati za nas.

Ako jednog dana želite li ukloniti potvrdu u XNUMX koraka, samo morate izbrisati redak "auth required pam_google_authenticator.so nullok" iz datoteke /etc/pam.d/lightdm
Zapamtite, zdrav razum i oprez je najbolji saveznik. GNU / Linux okruženje je sigurno, ali bilo koji računar povezan na mrežu više nije siguran, bez obzira na to koliko dobar operativni sistem koristite. Ako imate bilo kakvih pitanja, problema ili prijedloga, možete ih ostaviti komentar. Nadam se da će pomoći ...