Как работает защита в линукс системе. Безопасность в Linux - понятие относительное. Зашифруем файловую систему в Linux для более полной безопасности Linux

Найдется не один "туз в рукаве", чтобы посягнуть на дорогие вам биты и байты - от фото на документы до данных кредитных карточек.

Наиболее подвержены риску атаки компьютеры, подключенные к интернету, хотя машины без выхода во внешний мир уязвимы не меньше. Призадумайтесь: что может случиться с вашим старым ноутбуком или жестким диском , которые вы выбросили? Вооружившись современными инструментами восстановления данных (многие из которых доступны для бесплатного скачивания), хакер легко восстановит информацию с вашего диска, невзирая на ОС, в которой вы работали. Если жесткий диск содержит данные (неважно, поврежденные или нет), эти данные могут быть восстановлены, банковские счета воссозданы; записанные разговоры в чатах можно реконструировать, а изображения - реставрировать.

Но не пугайтесь. Не стоит бросать пользоваться компьютером . Хотя сделать машину, подключенную к Internet, неуязвимой для атак, практически невозможно, вы можете серьезно осложнить задачу атакующему и гарантировать, что он не извлечет ничего полезного из скомпрометированной системы. Особенно греет душу то, что с помощью Linux и некоторых программ на основе защитить вашу установленную копию Linux будет совсем не сложно.

"Золотого правила" безопасности, подходящего в каждом конкретном случае, не существует (а будь на свете такое правило, его уже давно взломали бы). Над безопасностью нужно работать индивидуально. Следуя приведенным в этой статье советам и пользуясь описанными здесь инструментами, вы научитесь адаптировать их под свой дистрибутив Linux .

Защитить ваш компьютер под управлением ОС Linux помогут следующие простые рекомендации.

Обновление операционной системы

Кроме обновлений, дистрибутивы обычно имеют список рассылки по вопросам безопасности - для рассылки анонсов обнаруженных уязвимостей, а также и пакетов для исправления этих уязвимостей. Как правило, хорошей идеей будет отслеживать список рассылки вашего дистрибутива, касающийся безопасности, а также регулярно выискивать обновления безопасности к наиболее критичным для вас пакетам. Между моментом объявления об обнаружении уязвимости и закачкой пакета обновления в репозиторий обычно имеется временной зазор; списки рассылки подскажут, как скачать и установить обновления вручную.

Блокировка неиспользуемых сервисов

Не обновляйтесь каждые полгода

У большинства настольных дистрибутивов Linux новые релизы выходят раз в полгода, но это совсем не значит, что вы обязаны устанавливать последний релиз только потому, что он уже вышел. Ubuntu отмечает некоторые релизы как LTS (Long Term Support) - релизы с долговременной поддержкой: для настольной системы - три года, а для серверной - пять лет. Это намного дольше, чем 18 месяцев стандартного релиза Ubuntu.

LTS-релизы хотя и не особенный авангард, но с позиций безопасности защищены куда лучше стандартных. Их пакеты гораздо стабильнее и тщательнее протестированы, по сравнению с пакетами более новых версий, не снабженных долгосрочной поддержкой. Если вашей целью является создание именно максимально защищенной системы, остановите свой выбор на одном из стабильных релизов с долгосрочной поддержкой, не поддаваясь искушению сразу же выполнить обновление при появлении новейшей версии.

Не самая передовая, но должным образом поддерживаемая система более стабильна и надежнее защищена, чем новейший релиз.

Александр БОБРОВ

Спросите любого гика, и он вам скажет, как интересно устанавливать Linux на новую машину. Если вы пытаетесь протестировать новый дистрибутив или установить обновлённую версию, есть в этом действии нечто сакральное, возвышающее вас над всем сущим, и на секунду делающее сверхчеловеком, этаким полубогом в доспехах, повергающим, своим сверкающим на солнце клинком, Горгону Медузу.

Хотя Linux более безопасен, чем Windows, все еще есть шаги, которые необходимо предпринять после установки, чтобы захардкорить систему на длительные приятные часы работы в ней. Выполните эти шаги, чтобы сделать ваш Linux дистрибутив защищённым как неприступная крепость. Более продвинутый пользователь чем я, безусловно возразит, что это не всё, что нужно еще сделать так-то и так, но пардон, я не всезнайка, прошу в комментариях дополнить.

1. Обновите систему

После первой загрузки в новоустановленную систему, сразу рекомендую обновить её до самых актуальных версий пакетов. Обусловлено это тем, что в новых версиях закрыты старые уязвимости и известные баги и добавились новые уязвимости и неизвестные баги.
В Manjaro Linux это делается простым:
yaourt -Syyuu
В Ubuntu и прочих Fedora сами знаете как.

2. Включите файрвол

Файрвол(firewall, межсетевой экран, брандмауэр) - технологический барьер, предназначенный для предотвращения несанкционированного или нежелательного сообщения между компьютерными сетями или хостами. Простыми словами это та штука которая не позволит гипотетическому злоумышленнику произвести несанкционированные действия на вашем ПК. В линукс уже есть iptables -встроенная утилита командной строки представляющая интерфейс управления работой межсетевого экрана. Если есть желание, то можно раскурить маны разобраться в ней и настроить всё с помощью неё. Но если вы ленивая жопа привыкли к удобным утилитам с графическим интерфейсом, то ваш выбор GUFW — графическая надстройка над другой утилитой командной строки ufw, выполняющую аналогичную функцию iptables.

3. Установите антивирусное ПО

На вопросе необходимости антивирусов в операционных системах на базе Linux, лопнуло немало пуканов сконцентрировано внимание, как приверженцев идеи их использования, так и противников. Лично я считаю, что безопасности много не бывает, и если вы ставите перед собой цель построение защищённой системы, то неплохо бы установить этот вид ПО. Перечислю известные мне неплохие решения — ClamAV, Sophos, ESET, Comodo и Bitdefender.

4. Контроль сторонних приложений

Если вы устанавливаете приложения не из официальных репозиториев, то я бы порекомендовал устанавливать их в каталог /opt . Так же рекомендую проверить автозапускаемые процессы и программы и явно вам ненужные удалить из автозапуска. Чтобы посмотреть их список можно воспользоваться незатейливой командой:
netstat -npl
Ну а убить можно например с помощью
Неиспользуемые службы systemd можно отключать по имени службы:
systemctl disable servicename где вместо servicename имя ненужной службы.

5. Отключение входа под Root в SSH

Для этого достаточно отредактировать файл /etc/ssh/sshd_config в вашем любимом текстовом редакторе, и убрать комментарий # в начале строки:
#PermitRootLogin no сохраните файл и перезапустите ssh в зависимости от вашей системы инициализации:
sudo /etc/init.d/sshd restart или sudo systemctl restart sshd.service

6. Включаем защиту BIOS

Откройте ваши настройки биос и отключите загрузку с CD/DVD, USB, внешних & floppy носителей. После чего включите и задайте хороший пароль BIOS.

7. Проведите аудит своей системы

Существует много различных утилит для аудита системы. Я пользовался Lynis — утилиту с открытым исходным кодом, которая выполняет местную оценку безопасности и аудит служб на уязвимость.
Для запуска аудита выполняем команду:
./lynis audit system

8. Запрещаем считывание с USB

Для тру параноиков желающих не позволить супостату подключить USB к вашему ПК. Создаём в директории /etc/modprobe.d/ файл usb-storage.conf:
sudo nano /etc/modprobe.d/usb-storage.conf следующего содержания:
install usb-storage /bin/true Перезагружаем систему и наслаждаемся невозможностью смонтировать USB.

На ежегодной конференции LinuxCon в 2015 году создатель ядра GNU/Linux Линус Торвальдс поделился своим мнением по поводу безопасности системы. Он подчеркнул необходимость смягчения эффекта от наличия тех или иных багов грамотной защитой, чтобы при нарушении работы одного компонента следующий слой перекрывал проблему.

В этом материале мы постараемся раскрыть эту тему с практической точки зрения:

7. Установить сетевые экраны

Максимум вреда для зашифрованных соединений HTTPS или SSH - прерывание соединения, а вот в незащищённый трафик злоумышленник может поместить новое содержимое, в том числе вредоносные программы. Для защиты от подобных атак подойдёт firewall.

Блокировать доступ с помощью Firewall

Firewall - это один из самых важных инструментов блокирования нежелательного входящего трафика. Мы рекомендуем пропускать только действительно нужный трафик и полностью запретить весь остальной.

Для фильтрации пакетов в большинстве дистрибутивов Linux есть контроллер iptables. Обычно им пользуются опытные пользователи, а для упрощённой настройки можно использовать утилиты UFW в Debian/Ubuntu или FirewallD в Fedora.

8. Отключить ненужные сервисы

Если ваша система настроена через inetd, то в файле /etc/inetd.conf вы сможете отредактировать список фоновых программ «демонов», для отключения загрузки сервиса достаточно поставить в начале строки знак «#», превратив её из исполняемой в комментарий.

Если система использует xinetd, то её конфигурация будет в директории /etc/xinetd.d. Каждый файл директории определяет сервис, который можно отключить, указав пункт disable = yes, как в этом примере:

Service finger { socket_type = stream wait = no user = nobody server = /usr/sbin/in.fingerd disable = yes }
Также стоит проверить постоянные процессы, которые не управляются inetd или xinetd. Настроить скрипты запуска можно в директориях /etc/init.d или /etc/inittab. После проделанных изменений запустите команду под root-аккаунтом.

/etc/rc.d/init.d/inet restart

9. Защитить сервер физически

Для входа в дата-центр все посетители должны проходить определенные этапы аутентификации. Также настоятельно рекомендуется использовать датчики движения во всех помещениях центра.

10. Защитить сервер от неавторизованного доступа

Например, инструменты Tripwire и Aide собирают базу данных о системных файлах и защищают их с помощью набора ключей. Psad используется для отслеживания подозрительной активности с помощью отчётов firewall.

Bro создан для мониторинга сети, отслеживания подозрительных схем действия, сбора статистики, выполнения системных команд и генерация оповещений. RKHunter можно использовать для защиты от вирусов, чаще всего руткитов. Эта утилита проверяет вашу систему по базе известных уязвимостей и может определять небезопасные настройки в приложениях.

Заключение

О чем еще мы пишем:

Теги: Добавить метки

Продолжаем знакомиться с документами, опубликованными британской правительственной комиссией Communications-Electronics Security Group, которая на днях назвала дистрибутив Ubuntu самой безопасной операционной системой для конечного пользователя.

Несмотря на то, что дистрибутив Ubuntu получил очень лестные оценки от специалистов по безопасности, претензий к Ubuntu тоже хватало . Рассмотрим как можно устранить некоторые потенциально опасные места в системе защиты Ubuntu и превратить дистрибутив в неприступную для сетевых негодяев крепость.

Пункт 8 документа «End User Devices Security Guidance: Ubuntu 12.04» называется Policy Recommendations и содержит конкретные советы администраторам компьютеров с Ubuntu.

Отключите командные оболочки (shell) по умолчанию

Уберите доступ к командным интерпретаторам: настройте программы добавления пользователей (например, useradd) таким образом, чтобы в качестве оболочки по умолчанию использовался файл /bin/false. Для этого нужно внести изменения в конфигурационные файлы /etc/default/useradd и /etc/adduser.conf.

Отдельные разделы для /tmp и /home с запретом на запуск файлов

Для директорий /tmp и /home требуется задать отдельные разделы и в конфигурационном файле /etc/fstab запретить для этих разделов запуск любых файлов, разрешив только чтение и запись. Делается это с помощью опций «noexec,nosuid,nodev».

Найдите и закройте все доступные для записи директории вне /home и /tmp

Иногда так получается, что на файловой системе появляются места за пределами директорий /home и /tmp, где непривилегированный пользователь может создавать и запускать файлы. Ищутся такие места довольно просто. Разумеется, команду нужно запускать от имени непривилегированного пользователя:

Find / -type d -writable

После обнаружения потенциально опасных директорий, смените группу владельца или права доступа, чтобы предотвратить возможность записи и исполнения.

Ограничьте использование скриптовых языков

Скриптовые языки (такие как Python, например) используются операционной системой для обеспечения нормального функционирования и не могут просто так быть деинсталлированы. Однако, скрипты создают дополнительную опасность, позволяя злоумышленнику загружать и исполнять собственные программы. Выход заключается в соответствующей настройке AppArmor. Необходимо разрешить запуск только системных сценариев (из /bin, /usr/bin и т.п.), а во всех остальных директориях запретить (/home, /tmp и т.д.). На примере Python:

#File: /etc/apparmor.d/usr.bin.python2.7 /usr/bin/python { #include /usr/bin/python2.7 mr, deny /home/** rw, deny /tmp/** rw, deny /some/user/writable/directory/** rw, /** rw, }

Грамотная настройка файервола в Ubuntu

Файервол должен быть сконфигурирован таким образом, чтобы блокировать все входящие соединения, разрешая только те, которые явно предоставляются внешним пользователям. Следующий пример запрещает через iptables все входящие соединения, кроме доступа к ssh (22 порт):

# разрешаем все исходящие и запрещаем все входящие / sbin/ iptables -F / sbin/ iptables -X / sbin/ iptables -P OUTPUT ACCEPT / sbin/ iptables -P FORWARD DROP / sbin/ iptables -P INPUT DROP # разрешаем входящий ssh / sbin/ iptables -A INPUT -p tcp --dport 22 -j ACCEPT # разрешаем stateful return traffic / sbin/ iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT # разрешаем любой трафик на интерфейсе lo / sbin/ iptables -A INPUT -i lo -j ACCEPT / sbin/ iptables -A OUTPUT -o lo -j ACCEPT

Сохраняем настройки в конфигурационном файле /etc/fw-rules и не забываем закрыть к нему доступ посторонним:

Iptables-save > / etc/ fw-rules chmod 400 / etc/ fw-rules

Остается заставить систему загружать правила при каждом включении. Для этого создаем файл /etc/init/netfilter.conf со следующим содержанием:

Description "netfilter firewall" start on (starting networking) pre-start script iptables-restore < /etc/fw-rules end script

Готово. Теперь можно расслабить булки.

Безусловно, можно сказать, что Linux более безопасен (защищен), чем Windows. Безопасность в Linux встроенная, а не прикрученная где то сбоку, как это реализовано в Windows. Безопасность системы Linux охватывает область от ядра до рабочего стола, но есть шансы для хакеров навредить вашему домашнему каталогу (/home).

Ваши байты с фотографиями, домашним видео, документами и данными кредитных карточек или кошельков — самая дорогая часть информации, содержащаяся на компьютере. Конечно, Linux не восприимчив ко всяким там интернет — червям и вирусам для Windows. Но злоумышленники могут найти способ для доступа к вашим данным на домашнем каталоге.

Подготовив свой старенький компьютер или жесткий диск перед продажей форматированием, вы думаете будет достаточно? Найдется куча современных инструментов для восстановления данных. Хакер с легкостью восстановит ваши данные с жесткого диска, не взирая на ОС в которой вы работали.

На эту тему вспоминается опыт одной компании по перекупке подержанных компьютеров и дисков. По ходу своей деятельности они вынесли вердикт, что 90% прежних хозяев своего компьютера перед продажей не позаботились должным образом об очистке своих носителей информации. И они извлекали очень щепетильные байты данных. Даже и представить страшно, что где — то в закромах вашего жесткого диска найдется информация для входа в ваш интернет банк или он — лайн кошелек.

Начните с основ безопасности Linux

Шагнем к основам (), которые подойдут почти к любым
дистрибутивам Linux.

Зашифруем файловую систему в Linux для более полной безопасности Linux

Пользовательские пароли не решат проблему, если вы хотите чтобы действительно никто не смог прочитать ваш домашний каталог (/home) или определенный размер байтов. Можно его так, чтобы даже пользователь с высшими привилегиями root не сможет сунуть свой нос.

Удаляйте щепетильные файлы так, чтобы их больше никто не восстановил

Если вы решили продать или подарить свой компьютер или носитель информации, не думайте, что простое форматирование безвозвратно удалит ваши файлы. Можно на ваш Linux установить инструмент secure-delete, в который входит утилита srm, предназначенная для безопасного удаления файлов.

Также не стоит забывать об имеющемся в ядре Linux брандмауэре. В состав всех дистрибутивов Linux входит lptables, которая является частью ядра. Lptables позволяет фильтровать сетевые пакеты. Конечно же, в терминале можно настроить эту утилиту. Но этот способ непосилен многим, в том числе и мне. Поэтому я устанавливаю, и произвожу настройку, с такой легкостью как будто играю в игру.

Как и все операционные системы, Linux склонен к накоплению всякого хлама при работе различных приложений. И это не его вина Linux, так как различные приложения, например, браузеры текстовые редакторы и даже видео плееры, работают не на уровне ядра и накапливают временные файлы. Можно установить утилиту BleachBit по универсальному удалению мусора.

Анонимный серфинг, скрываем свой IP — очень важно для безопасности вашей личности под ос Linux

В заключении я хочу поведать вам анонимном веб-серфинге. Иногда бывает так, что необходимо , как я это делаю, когда втайне от супруги посещаю сайты с эротическим содержанием. Конечно, я пошутил.

Атакующим будет сложно до вас добраться, если они не могут определить ваше место нахождения. Заметаем следы не сложной настройкой совместно работающих двух утилит под названием privoxy и tor.

По моему мнению, соблюдение и настройка всех этих правил обезопасит вас и ваш компьютер на 90%.

P.S. Я пользуясь облаком под названием dropbox. Храню в нем свои старые и новые, ещё не опубликованные статьи. Удобно иметь доступ к своим файлам с любой точки земли и на любом компьютере. При написании статей для сайта в текстовом редакторе, сохраняю свои текстовые документы с паролем и только после этого закачиваю на сервер dropbox. Никогда не стоит пренебрегать лишней безопасностью, которая сыграет вам только на руку.