De veiligste Linux-distributies. Veilig surfen in Ubuntu
Op de jaarlijkse LinuxCon-conferentie in 2015 maakte de maker van de GNU/Linux-kernel bekend Linus Torvalds deelde zijn mening over de veiligheid van het systeem. Hij benadrukte de noodzaak om de gevolgen van bepaalde bugs te verzachten met competente bescherming, zodat als één component niet goed functioneert, de volgende laag het probleem bedekt.
In dit materiaal zullen we proberen dit onderwerp vanuit een praktisch oogpunt te behandelen:
7. Installeer firewalls
Onlangs was ik dat nieuwe kwetsbaarheid, waardoor u DDoS-aanvallen kunt uitvoeren op servers onder Linux-besturing. Eind 2012 verscheen er een bug in de systeemkern met versie 3.6. Door de kwetsbaarheid kunnen hackers virussen in downloadbestanden, webpagina's en open Tor-verbindingen injecteren, en hacken kost niet veel moeite: de IP-spoofing-methode zal werken.De grootste schade voor gecodeerde HTTPS- of SSH-verbindingen is het verbreken van de verbinding, maar een aanvaller kan nieuwe inhoud, waaronder malware, in onbeschermd verkeer invoegen. Een firewall is geschikt om u tegen dergelijke aanvallen te beschermen.
Blokkeer de toegang met behulp van Firewall
Firewall is een van de belangrijkste hulpmiddelen om ongewenst inkomend verkeer te blokkeren. We raden aan om alleen echt over te slaan benodigde verkeer en al het andere volledig verbieden.
Voor pakketfiltering hebben de meeste Linux-distributies een iptables-controller. Meestal gebruiken ze het ervaren gebruikers, en voor vereenvoudigde instellingen je kunt de UFW-hulpprogramma's in Debian/Ubuntu of FirewallD in Fedora gebruiken.
8. Schakel onnodige services uit
Experts van de Universiteit van Virginia raden aan om alle diensten die je niet gebruikt uit te schakelen. Sommige achtergrondprocessen zijn zo ingesteld dat ze automatisch worden gestart en worden uitgevoerd totdat het systeem wordt uitgeschakeld. Om deze programma's te configureren, moet u de initialisatiescripts controleren. Services kunnen worden gestart via inetd of xinetd.Als uw systeem is geconfigureerd via inetd, kunt u in het bestand /etc/inetd.conf de lijst met achtergrond-daemon-programma's bewerken; schakel het laden van de service uit, plaats gewoon een "#"-teken aan het begin van de regel, het van uitvoerbaar bestand in commentaar veranderen.
Als het systeem xinetd gebruikt, zal de configuratie zich in de map /etc/xinetd.d bevinden. Elk directorybestand definieert een service die kan worden uitgeschakeld door invalid = yes op te geven, zoals in dit voorbeeld:
Servicevinger ( socket_type = stream wachten = geen gebruiker = niemand server = /usr/sbin/in.fingerd uitschakelen = ja)
Het is ook de moeite waard om te controleren op persistente processen die niet door inetd of xinetd worden beheerd. U kunt opstartscripts configureren in de mappen /etc/init.d of /etc/inittab. Nadat de wijzigingen zijn aangebracht, voert u de opdracht uit onder het root-account.
/etc/rc.d/init.d/inet opnieuw opstarten
9. Bescherm de server fysiek
Het is onmogelijk om je volledig te beschermen tegen aanvallen van een aanvaller met fysieke toegang tot de server. Daarom is het noodzakelijk om de ruimte waar uw systeem zich bevindt te beveiligen. Datacenters houden serieus toezicht op de beveiliging, beperken de toegang tot servers, installeren beveiligingscamera’s en wijzen permanente beveiliging toe.Om het datacenter te betreden, moeten alle bezoekers bepaalde authenticatiestappen doorlopen. Het wordt ook sterk aanbevolen om bewegingssensoren te gebruiken in alle delen van het centrum.
10. Bescherm de server tegen ongeautoriseerde toegang
Een ongeautoriseerd toegangssysteem of IDS verzamelt systeemconfiguratie- en bestandsgegevens en vergelijkt deze gegevens verder met nieuwe wijzigingen om te bepalen of deze schadelijk zijn voor het systeem.De tools Tripwire en Aide verzamelen bijvoorbeeld een database van systeembestanden en bescherm ze met een set sleutels. Psad wordt gebruikt om verdachte activiteiten te monitoren met behulp van firewallrapporten.
Bro is ontworpen om het netwerk te monitoren, verdachte activiteitspatronen te volgen, statistieken te verzamelen, systeemopdrachten uit te voeren en waarschuwingen te genereren. RKHunter kan worden gebruikt om te beschermen tegen virussen, meestal rootkits. Dit hulpprogramma controleert uw systeem aan de hand van een database met bekende kwetsbaarheden en kan onveilige instellingen in applicaties identificeren.
Conclusie
Met de hierboven genoemde tools en instellingen kunt u het systeem gedeeltelijk beschermen, maar de veiligheid hangt af van uw gedrag en begrip van de situatie. Zonder zorg, voorzichtigheid en voortdurende zelfstudie werken alle beschermende maatregelen mogelijk niet.Waar we nog meer over schrijven:
Tags: tags toevoegen
Niemand van ons wil dat persoonlijke informatie in verkeerde handen viel. Maar hoe kunt u uw systeem beschermen tegen aanvallen en gegevensdiefstal? Moet je echt kilometerslange handleidingen lezen over setup- en encryptie-algoritmen? Helemaal niet nodig. In dit artikel vertel ik je hoe je een Linux-systeem in letterlijk 30 minuten veilig kunt maken.
Invoering
We leven in een tijdperk mobiele toestellen en permanent online. We gaan naar een café met een laptop en draaien webservers die zijn blootgesteld aan internet op onze thuismachines. We registreren ons op honderden sites en gebruiken dezelfde wachtwoorden voor webdiensten. We hebben altijd een smartphone op zak, met tientallen wachtwoorden erin en sleutels van verschillende SSH-servers. We zijn zo gewend aan diensten van derden die voor onze privacy zorgen, dat we er geen aandacht meer aan besteden.
Toen ik mijn smartphone verloor, had ik het geluk dat de daarop geïnstalleerde antidiefstalfunctie functioneel bleek te zijn en me in staat stelde om op afstand alle gegevens uit het geheugen van het apparaat te wissen. Toen ik per ongeluk een SSH-poort opende op een thuiscomputer met een gebruiker zonder wachtwoord (!) erin externe wereld(!!), had ik veel geluk dat scriptkinderen op de machine kwamen en, afgezien van de grappige geschiedenis van de shell, lieten ze geen serieuze sporen van hun aanwezigheid in het systeem achter. Toen ik per ongeluk een vermelding op internet plaatste met mijn Gmail-wachtwoord, had ik het geluk dat ik die vond. een aardig persoon, die mij hiervoor waarschuwde.
Misschien ben ik een mafkees, maar ik ben er vast van overtuigd dat soortgelijke incidenten zijn gebeurd met velen die deze regels lezen. En het is goed als deze mensen, in tegenstelling tot ik, serieus hun auto beschermen. De antidiefstal had immers misschien niet gewerkt, en in plaats van een scriptkiddy waren er misschien serieuze mensen in de auto gestapt, en was ik misschien geen smartphone kwijtgeraakt, maar een laptop, die geen andere bescherming had dan het gebruikerswachtwoord. . Nee, je moet tegenwoordig absoluut niet vertrouwen op de tweefactorauthenticatie en domme wachtwoorden van Google, je hebt iets serieuzers nodig.
Dit artikel is een gids voor een paranoïde Unixoid, gewijd aan de totale bescherming van een Linux-machine tegen van alles en nog wat. Ik aarzel om te zeggen dat alles wat hier wordt beschreven verplicht is voor gebruik. Integendeel, dit is een verzameling recepten, informatie waarmee u uzelf en uw gegevens kunt beschermen op die niveaus waar dat in uw specifieke situatie nodig is.
Wachtwoord!
Het begint allemaal met wachtwoorden. Ze zijn overal: in het inlogvenster van een Linux-distributie, in registratieformulieren op internetsites, op FTP- en SSH-servers en op het vergrendelscherm van een smartphone. De standaard voor wachtwoorden is tegenwoordig 8 tot 12 tekens in hoofdletters en cijfers, inclusief cijfers. Het genereren van dergelijke wachtwoorden met uw eigen geest is behoorlijk vervelend, maar er is een eenvoudige manier om dit automatisch te doen:
$ openssl rand -base64 6
Geen externe toepassingen, geen extensies voor webbrowsers, OpenSSL is beschikbaar op elke machine. Hoewel, als het voor iemand handiger is, ze pwgen voor deze doeleinden kunnen installeren en gebruiken (ze zeggen dat het wachtwoord sterker zal zijn):
$ pwgen-Bs 8 1
Waar wachtwoorden opslaan? Tegenwoordig heeft elke gebruiker er zoveel dat het simpelweg onmogelijk is om alles in zijn hoofd op te slaan. Vertrouw je op het automatische opslagsysteem van je browser? Het is mogelijk, maar wie weet hoe Google of Mozilla ermee zullen omgaan. Snowden zei dat het niet erg goed was. Daarom moeten wachtwoorden op de machine zelf worden opgeslagen in een gecodeerde container. De Founding Fathers adviseren hiervoor KeePassX te gebruiken. Het ding is grafisch, wat de grondleggers zelf niet zo leuk vinden, maar het werkt overal, inclusief de beroemde Android Google-sonde (KeePassDroid). Het enige dat overblijft is het overbrengen van de database met wachtwoorden naar waar nodig.
Laten we coderen
Encryptie - er zit zoveel in dit woord... Tegenwoordig is encryptie overal en nergens tegelijk. We zijn gedwongen om HTTPS-versies van websites te gebruiken, maar dat maakt ons niet uit. Ze vertellen ons: “Versleutel je thuismap”, en wij zeggen: “Dan zal ik het instellen.” Zij vertellen ons: “Het favoriete tijdverdrijf van Dropbox-medewerkers is lachen om de persoonlijke foto’s van gebruikers”, en wij: “Laat ze lachen.” Ondertussen is encryptie tegenwoordig het enige absolute beschermingsmiddel. Het is ook zeer betaalbaar en verzacht rimpels.
Linux heeft talloze versleutelingsopties voor alles, van partities op de harde schijf tot afzonderlijke bestanden. De drie meest bekende en beproefde tools zijn dm-crypt/LUKS, ecryptfs en encfs. De eerste codeert hele schijven en partities, de tweede en derde coderen mappen met belangrijke informatie, elk bestand afzonderlijk, wat erg handig is als je incrementele back-ups moet maken of deze in combinatie met Dropbox moet gebruiken. Er zijn ook verschillende minder bekende tools, waaronder bijvoorbeeld TrueCrypt.
Laat ik meteen voorop stellen dat het versleutelen van de hele schijf een moeilijke taak is en, belangrijker nog, nutteloos. Niets bijzonder vertrouwelijks aan hoofdmap nee en dat kan ook niet, maar de homedirectory en swap zijn gewoon een schat aan informatie. Bovendien is de tweede zelfs groter dan de eerste, omdat gegevens en wachtwoorden daar al in gedecodeerde vorm kunnen komen (normale programmeurs verbieden het systeem om dergelijke gegevens in een ruil te gooien, maar zulke mensen zijn in de minderheid). Het instellen van encryptie voor beide is heel eenvoudig, installeer gewoon de ecrypts-tools:
$ sudo apt-get install ecryptfs-utils
En schakel in feite codering in:
$ sudo ecryptfs-setup-swap $ ecryptfs-setup-private
Voer vervolgens gewoon uw wachtwoord in dat u gebruikt om in te loggen en log opnieuw in op het systeem. Ja, het is echt zo simpel. Met het eerste commando wordt de swap gecodeerd en opnieuw gekoppeld, waardoor deze wordt gewijzigd benodigde lijnen in /etc/fstab. De tweede zal de mappen ~/.Private en ~/Private aanmaken, waarin respectievelijk gecodeerde en gedecodeerde bestanden worden opgeslagen. Wanneer u inlogt, wordt de PAM-module pam_ecryptfs.so geactiveerd, die de eerste map aan de tweede koppelt met transparante encryptie gegevens. Na het ontkoppelen zal ~/Private leeg zijn en zal ~/.Private alle bestanden in gecodeerde vorm bevatten.
Het is niet verboden om de gehele homedirectory te versleutelen. In dit geval zullen de prestaties niet veel afnemen, maar worden alle bestanden, inclusief dezelfde, beschermd netwerkmap~/Dropbox. Dit wordt als volgt gedaan:
# ecryptfs-migrate-home -u vasya
Er zou trouwens 2,5 keer meer schijfruimte moeten zijn dan de gegevens van Vasya, dus ik raad aan om deze van tevoren op te ruimen. Na voltooiing van de bewerking moet u zich onmiddellijk aanmelden als gebruiker vasya en de functionaliteit controleren:
$mount | grep Privé /home/vasya/.Privé op /home/vasya type ecryptfs ...
Als alles in orde is, kan de ongecodeerde kopie van de gegevens worden overschreven:
$ sudo rm -r /home/vasya.* 
Onze sporen uitwissen
Oké, wachtwoorden staan op een veilige plek, ook persoonlijke bestanden, wat nu? En nu moeten we ervoor zorgen dat sommige stukjes van onze persoonlijke gegevens niet in verkeerde handen vallen. Het is geen geheim dat wanneer een bestand wordt verwijderd, de huidige inhoud op de media blijft staan, zelfs als het formatteren achteraf wordt uitgevoerd. Onze gecodeerde gegevens blijven veilig, zelfs nadat ze zijn gewist, maar hoe zit het met flashdrives en andere geheugenkaarten? Hier hebben we het hulpprogramma srm nodig, dat niet alleen het bestand verwijdert, maar ook de resterende datablokken met afval vult:
$ sudo apt-get install secure-delete $ srm secret-file.txt home-video.mpg
# dd if=/dev/zero of=/dev/sdb
Met deze opdracht worden alle gegevens op de sdb-flashdrive gewist. Vervolgens hoeft u alleen nog maar een partitietabel te maken (met één partitie) en deze in het gewenste bestandssysteem te formatteren. Het is aan te raden hiervoor fdisk en mkfs.vfat te gebruiken, maar je kunt ook uit de voeten met grafisch gparted.
BruteForce-aanvallen voorkomen
Fail2ban is een daemon die logbestanden scant op pogingen om wachtwoorden voor netwerkdiensten te raden. Als dergelijke pogingen worden gevonden, wordt het verdachte IP-adres geblokkeerd met behulp van iptables of TCP Wrappers. De service kan de hosteigenaar via e-mail op de hoogte stellen van het incident en de blokkering resetten via specifieke tijd. Fail2ban is oorspronkelijk ontwikkeld om SSH te beschermen; tegenwoordig worden er kant-en-klare voorbeelden aangeboden voor Apache, lighttpd, Postfix, Exim, Cyrus IMAP, genaamd, enzovoort. Bovendien kan één Fail2ban-proces meerdere services tegelijk beschermen.
In Ubuntu/Debian typen we om te installeren:
# apt-get install fail2ban
De configuraties bevinden zich in de map /etc/fail2ban. Na het wijzigen van de configuratie moet u fail2ban opnieuw opstarten met het commando:
# /etc/init.d/fail2ban opnieuw opstarten
Bedreiging van buitenaf
Laten we nu zorgen voor de bedreigingen die uit de diepte komen World Wide Web. Dit is waar ik zou moeten beginnen te praten over iptables en pf die draaien op een speciale machine waarop OpenBSD draait, maar dit alles is overbodig als er ipkungfu is. Wat het is? Dit is een script dat al het vuile werk van het configureren van de firewall voor ons opknapt, zonder kilometerslange lijsten met regels te hoeven schrijven. Installeren:
$ sudo apt-get install ipkungfu
De configuratie bewerken:
$ sudo vi /etc/ipkungfu/ipkungfu.conf # Lokaal netwerk, als die er is, schrijf dan het netwerkadres samen met het masker, zo niet, schrijf dan het loopback-adres LOCAL_NET="127.0.0.1" # Onze machine is geen gateway GATEWAY=0 # Sluit de noodzakelijke poorten FORBIDDEN_PORTS="135 137 139" # Blokkeer pings, 90% van de kiddies zal in dit stadium afvallen BLOCK_PINGS=1 # Laat verdachte pakketten vallen (verschillende soorten overstromingen) SUSPECT="DROP" # Drop "verkeerde" pakketten (sommige soorten DoS) KNOWN_BAD=" DROP" # Poorten scannen? Tras! PORT_SCAN="DROP"
Om ipkungfu in te schakelen, opent u het bestand /etc/default/ipkungfu en wijzigt u de regel IPKFSTART = 0 in IPKFSTART = 1. Voer uit:
$sudo ipkungfu
Laten we bovendien wijzigingen aanbrengen in /etc/sysctl.conf:
$ sudo vi /etc/systcl.conf # Laat ICMP-omleidingen vallen (tegen MITM-aanvallen) net.ipv4.conf.all.accept_redirects=0 net.ipv6.conf.all.accept_redirects=0 # Schakel het TCP-synchronisatiemechanisme net.ipv4 in. tcp_syncookies=1 # Verschillende aanpassingen (anti-spoofing, het vergroten van de wachtrij van “half-open” TCP-verbindingen, enz.) net.ipv4.tcp_timestamps=0 net.ipv4.conf.all.rp_filter=1 net.ipv4.tcp_max_syn_backlog= 1280 kernel.core_uses_pid=1
Activeer de wijzigingen:
$ sudo sysctl -p
Het detecteren van indringers
Snort is een van de favoriete tools van beheerders en een hoofdfiguur in alle beveiligingshandleidingen. Een ding met een lange geschiedenis en enorme mogelijkheden, waar hele boeken aan gewijd zijn. Wat doet het in onze gids? snelle installatie beveiligd systeem? En dit is waar het thuishoort; Snort hoeft niet te worden geconfigureerd:
$ sudo apt-get install snuiven $ snuiven -D
Alle! Ik maak geen grapje, standaard instellingen Snort is meer dan genoeg om typische netwerkdiensten te beschermen, als je die natuurlijk hebt. Je hoeft alleen maar af en toe naar het logboek te kijken. En daarin kun je regels als deze vinden:
[**] Poging tot overflow van MS-SQL-testrespons [**] http://www.securityfocus.com/bid/9407]
Oeps. Iemand heeft geprobeerd een bufferoverflow in MySQL te veroorzaken. Er is ook een link naar een pagina met een gedetailleerde beschrijving van het probleem. Schoonheid.
Iemand heeft geërfd...
Iemand die bijzonder slim was, slaagde erin onze firewall te omzeilen, voorbij Snort te komen, root-toegang tot het systeem te verkrijgen en nu regelmatig op het systeem in te loggen via de geïnstalleerde achterdeur. Niet goed, de achterdeur moet worden gevonden, verwijderd en het systeem moet worden bijgewerkt. Om naar rootkits en backdoors te zoeken gebruiken we rkhunter:
$ sudo apt-get install rkhunter
Laten we lanceren:
$ sudo rkhunter -c --sk
De software controleert het hele systeem op de aanwezigheid van rootkits en geeft de resultaten weer op het scherm. Als de malware nog steeds wordt gevonden, wijst rkhunter naar de locatie en kan deze worden gewist. Een meer gedetailleerd logboek vindt u hier: /var/log/rkhunter.log. Het is beter om rkhunter dagelijks als cronjob uit te voeren:
$ sudo vi /etc/cron.daily/rkhunter.sh #!/bin/bash /usr/bin/rkhunter -c --cronjob 2>&1 | mail -s "RKhunter-scanresultaten" [e-mailadres beveiligd]
We vervangen het e-mailadres van Vasya door het onze en maken het script uitvoerbaar:
$ sudo chmod +x /etc/cron.daily/rkhunter.sh
$ sudo rkhunter --update
Je kunt het trouwens toevoegen vóór de check-opdracht in het cron-script. Nog twee rootkit-zoekhulpmiddelen:
$ sudo apt-get install tijger $ sudo tijger $ sudo apt-get install lynis $ sudo lynis -c
Vanuit vogelperspectief zijn het in wezen dezelfde Faberge-eieren, maar ze hebben een verschillende basis. Misschien zal het met hun hulp mogelijk zijn om te identificeren wat rkhunter heeft gemist. En om te beginnen zijn debsums een verzoeningsinstrument. controlesommen bestanden, geïnstalleerde pakketten met de standaard. We zetten:
$ sudo apt-get install debsums
Laten we de controle uitvoeren:
$ sudo debsums -ac
Zoals gewoonlijk? de lancering kan worden toegevoegd aan cronjobs.
Buiten
Laten we het nu hebben over hoe u uw anonimiteit op internet kunt behouden en toegang kunt krijgen tot sites en pagina's die zijn geblokkeerd op verzoek van verschillende organisaties voor auteursrechthouders en andere Mizulins. De eenvoudigste manier om dit te doen is door een van de duizenden proxyservers over de hele wereld te gebruiken. Velen van hen zijn gratis, maar snijden het kanaal vaak af met de snelheid van een oud analoog modem.
Om eenvoudig door websites te surfen en alleen een proxy aan te zetten als dat nodig is, kunt u gebruik maken van een van de vele extensies voor Chrome en Firefox, die op verzoek van proxy-switcher eenvoudig in de directory te vinden zijn. We installeren, voeren de lijst met vereiste proxy's in en schakelen over naar de vereiste proxy, waarbij we in plaats van de pagina het bord zien "Toegang tot de pagina is beperkt op verzoek van de heer Skumbrievich."
In situaties waarin de hele site onder het filter kwam en het adres op de zwarte lijst stond aan de kant van de DNS-servers van de providers, kunt u gratis DNS-servers gebruiken waarvan de adressen worden gepubliceerd. Neem gewoon twee willekeurige adressen en voeg ze toe aan /etc/resolv.conf:
Naamserver 156.154.70.22 naamserver 156.154.71.22
Om te voorkomen dat verschillende DHCP-clients en NetworkManagers het bestand overschrijven met adressen ontvangen van de provider of router, maken we het bestand niet-herschrijfbaar met behulp van uitgebreide attributen:
$ sudo chattr +i /etc/resolv.conf
Hierna wordt het bestand voor iedereen, inclusief root, tegen schrijven beveiligd.
Om uw browse-ervaring verder te anonimiseren, kunt u ook de dnscrypt-daemon gebruiken, die alle verzoeken aan de DNS-server codeert, naast de proxyserver die wordt gebruikt om verbinding te maken met de site zelf. Installeren:
$ wget http://download.dnscrypt.org/dnscrypt-proxy/dnscrypt-proxy-1.3.2.tar.bz2 $ bunzip2 -cd dnscrypt-proxy-*.tar.bz2 | tar xvf - $ cd dnscrypt-proxy-* $ sudo apt-get install build-essential $ ./configure && make -j2 $ sudo make install
Specificeer het loopback-adres in /etc/resolv.conf:
$ vi /etc/resolv.conf naamserver 127.0.0.1
Laten we de daemon starten:
$ sudo dnscrypt-proxy --daemonize
Er zijn trouwens versies van dnscrypt voor Windows, iOS en Android.
Uien routering
Wat is uienroutering? Dit is Tor. En Tor is op zijn beurt een systeem waarmee u een volledig anoniem netwerk met internettoegang kunt creëren. De term ‘ui’ wordt hier gebruikt om te verwijzen naar een werkmodel waarin netwerk pakket zal worden “verpakt” in drie lagen encryptie en zal op weg naar de ontvanger drie knooppunten passeren, die elk hun eigen laag zullen verwijderen en het resultaat verder zullen verzenden. Alles is natuurlijk ingewikkelder, maar het enige belangrijke voor ons is dat dit een van de weinige soorten netwerkorganisaties is waarmee je volledige anonimiteit kunt behouden.
Waar er echter anonimiteit is, zijn er ook verbindingsproblemen. En Tor heeft er minstens drie: het is monsterlijk traag (dankzij encryptie en transmissie via een keten van knooppunten), het zal je netwerk belasten (omdat jij zelf een van de knooppunten zult zijn), en het is kwetsbaar tot verkeersonderschepping. Dit laatste is een natuurlijk gevolg van de mogelijkheid om vanuit het Tor-netwerk toegang te krijgen tot internet: het laatste knooppunt (output) verwijdert de laatste encryptielaag en kan toegang krijgen tot de gegevens.
Tor is echter heel eenvoudig te installeren en te gebruiken:
$ sudo apt-get installtor
Dat is alles, nu heeft de lokale machine een proxyserver die naar het Tor-netwerk leidt. Adres: 127.0.0.1:9050, u kunt het in de browser invoeren met dezelfde extensie, of het toevoegen via de instellingen. Houd er rekening mee dat dit SOCKS is en geen HTTP-proxy.
INFO
De Android-versie van Tor heet Orbot.Om te voorkomen dat het wachtwoord dat op de opdrachtregel is ingevoerd, in de geschiedenis wordt opgeslagen, kunt u een slimme truc gebruiken genaamd 'voeg een spatie toe aan het begin van de opdracht'.
Het is ecryptfs dat wordt gebruikt om de thuismap in Ubuntu te coderen.
Strijd tegen overstromingen
Ik zal een paar commando's geven die kunnen helpen bij het overstromen van je host.
Het aantal verbindingen op een specifieke poort tellen:
$ netstat -na | grep ":poort\ " | wc -l
Het aantal "half-open" TCP-verbindingen tellen:
$ netstat -na | grep ":poort\ " | grep SYN_RCVD | wc -l
Bekijk de lijst met IP-adressen waar verbindingsverzoeken vandaan komen:
$ netstat -na | grep ":poort\ " | sorteer | uniq -c | sorteer -nr | minder
Verdachte pakketten analyseren met tcpdump:
# tcpdump -n -i eth0 -s 0 -w output.txt dst-poort poort en host van de IP-server
We laten de verbindingen van de aanvaller vallen:
# iptables -A INPUT -s IP van de aanvaller -p tcp --destination-port port -j DROP
We beperken het maximale aantal “half-open” verbindingen van één IP naar een specifieke poort:
# iptables -I INPUT -p tcp --syn --dport port -m iplimit --iplimit-above 10 -j DROP
Reacties op ICMP ECHO-verzoeken uitschakelen:
# iptables -A INPUT -p icmp -j DROP --icmp-type 8
conclusies
Dat is alles. Zonder in details te treden en zonder de noodzaak om handleidingen te bestuderen, hebben we een Linux-box gemaakt die beschermd is tegen indringers van buitenaf, tegen rootkits en andere infecties, tegen directe menselijke tussenkomst, tegen onderschepping en surveillance van verkeer. Het enige dat overblijft is het systeem regelmatig bijwerken, verbieden wachtwoord invoeren via SSH, verwijder onnodige services en voorkom configuratiefouten.
De meest vaak aangevallen is de meest sterk punt gratis besturingssysteem - beveiliging. Waar Linux-mensen het meest trots op zijn en wat ze het meest waarderen. We brengen 5 belangrijke mythen onder uw aandacht.
Bron
Mythe 1. Linux is onveilig omdat de broncodes van programma's beschikbaar zijn voor hackers. Het is onwaarschijnlijk dat gewone gebruikers aan complexe code sleutelen, maar hackers zullen dat wel doen om later de gevonden kwetsbaarheden te misbruiken. Daarnaast,
Wat het werkelijk is: Het is niet nodig om handmatig miljoenen regels broncode te doorzoeken. Dit probleem wordt opgelost door statistische code-analysatoren en speciale softwarepakketten voor auditing. Willekeurige en opzettelijke fouten worden automatisch opgespoord en vervolgens behandelt een expert elk specifiek geval. Voor gesloten binaire code Windows het werkt niet. Hier kunt u heel gemakkelijk een bladwijzer verbergen.
Virussen
Mythe 2. Er zijn weinig virussen onder Linux, maar alleen omdat Linux een minder populair besturingssysteem is. Zodra het aantal gebruikers toeneemt, zullen ook virusschrijvers hun achterstand inhalen, en Linux zelf zal qua gevoeligheid voor netwerkinfecties niet verschillen van Windows.
Wat het werkelijk is: 2% van de Linux-gebruikers bestaat uit tientallen miljoenen computers. Als het echt eenvoudig zou zijn, dan zou het al lang geleden gecreëerd zijn. Android bestaat ook voor 95% uit Linux. Op apparaten gebaseerd Android al miljard. Dus waar zijn de epidemieën?
Geavanceerde gebruikers
Mythe 3. Linux is veiliger, maar alleen omdat Linux door meer ervaren gebruikers wordt gebruikt. Als iedereen Linux gaat gebruiken, zullen dezelfde epidemieën van computerinfecties beginnen.
Wat het werkelijk is: Dit is gedeeltelijk waar. Maar niet alleen tegen virussen, maar ook tegen dwazen. Dit is de reden waarom veel Windows-gebruikers die probeerden over te schakelen naar Linux maar het niet aankonden, het niet leuk vinden. In Windows wordt het werken onder een beheerdersaccount bijvoorbeeld zelfs aangemoedigd (de gebruiker wordt minder lastig gevallen). Linux staat niet toe dat je constant als root werkt.
Opnieuw virussen
Mythe 4. Linux kent ook virussen.
Antivirus
Mythe 5. Onder Linux is het installeren van een antivirusprogramma verplicht.
Wat het werkelijk is: Het is verplicht om iptables te configureren en geen dubieuze repository's van derden te verbinden. Dan is een antivirusprogramma niet nodig. Bovendien marketeers van antivirusbedrijven.
Publicatiedatum: donderdag 18 december 2008
Vertaling: Kovalenko AM
Overdrachtsdatum: 7 augustus 2009
Er is een algemene overtuiging dat als iemand overschakelt naar het gebruik van een Linux-distributie zoals Ubuntu, hij of zij overschakelt naar een Linux-distributie zoals Ubuntu desktop computer, waarna de beveiligingsproblemen zichzelf oplossen. Helaas gebeurt dit in werkelijkheid niet. Zoals elk besturingssysteem vandaag de dag heeft Ubuntu ook potentiële doelwitten voor exploits. Bufferoverflow, stackoverflow, vuile code, gebruikersfouten - en dit is een onvolledige lijst van bedreigingen die nog wel even kan doorgaan. Om deze en anderen tegen te gaan mogelijke bedreigingen, Ik zal je laten zien hoe je moet optreden eenvoudige stappen die ervoor zorgen dat u slimme strategieën gebruikt veilig werken in Ubuntu.
Antivirusbescherming?
Een van de meest voorkomende discussies is het al dan niet gebruiken van virusbescherming op Linux-computers. Mijn mening is deze: rootkits en virussen die zich op Linux richten, bestaan daadwerkelijk. Aan de ene kant zijn ze slechts een vage schaduw van de enorme omvang van de exploits die zich richten Microsoft Windows, en vanaf hier wordt het duidelijk dat het bedrieglijke gevoel van veiligheid dat uit dergelijke statistieken naar voren komt de waakzaamheid van mensen doet verstommen.Aan de andere kant, en ik wil dit benadrukken, is het idee om de inhoud van je computer te scannen om te doorzoeken gevaarlijke virussen heel gezond. Gebruik verwijderbare media, schijven, e-mail - elk van deze acties kan heel goed leiden tot toevallige ontvangst virussen samen met Windows-gebruikers. Houd er rekening mee dat ik geen onnodige verdenking bepleit, maar ik waarschuw iedereen wiens thuisnetwerk onaangekondigd wordt betreden voor de gevaren.
Daarom moet ik je advies geven dat logisch voortvloeit uit het bovenstaande: gebruik een programma (bijvoorbeeld ClamAV) om wekelijks op te treden virusscan. Hoewel we tegenwoordig omringd zijn door Windows-computers, is het uitvoeren van een wekelijkse scan eigenlijk een belangrijke taak die iedereen niet alleen zou moeten onthouden, maar zeker zou moeten doen.
Bescherming tegen kwaadaardige software?
Er bestaat nog steeds een aanzienlijke dreiging van kwaadaardige software. In het licht hiervan, de loutere weigering om te installeren of te lanceren onbekende toepassingen mag bieden goede hulp. Het is zeer onverstandig om te installeren verdacht programma, die u niet kent, op een van de platforms door “blind” nieuw ontdekte software te installeren zonder deze eerst te bestuderen. Omdat, zoals in het geval als het gebruik maakt van een gesloten programmacode- u zult niet eens kunnen achterhalen wat dit programma daadwerkelijk met uw computer doet.Artikelen over dit onderwerp:
- Maakt het gemakkelijk om SSH- en SFTP-scripts te schrijven met Python
- Firefox + Greasemonkey Turbocharge e-commercesite vanaf de clientzijde
- Linux-opdrachtregelinterface voor beginners, of wees niet bang voor de Linux-opdrachtregel!
- Grafisch computerbeheer op afstand voor Linux, deel 3
Opties voor firewallbescherming
Zoals bij elk besturingssysteem dat tegenwoordig met internet is verbonden, is het gebruik van een firewall voor Ubuntu OS een must. Voor Ubuntu-gebruikers dit betekent het gebruik van IPTables via UFW (Uncomplicated Firewall).Het is triest dat het idee om een firewall te gebruiken, zoals de meeste ideeën die door ingenieurs zijn bedacht, door gewone gebruikers niet als "eenvoudig" wordt beschouwd, en dat allemaal omdat de firewall het gebruik ervan vereist opdrachtregel. Deze schijnbare kloof in bruikbaarheid leidde tot de ontwikkeling GUI- Gufw.
Gufw biedt zeer eenvoudige functies om IPTables-instellingen op alle moderne Ubuntu-installaties in of uit te schakelen. Met Gufw kunt u ook letterlijk met één klik poortbeheer uitvoeren met behulp van vooraf geconfigureerde of geavanceerde port forwarding-opties.
Het gebruik van dit type bescherming zorgt vrijwel onmiddellijk na de eerste keer opstarten voor een passend niveau van firewallbeveiliging. Helaas doet een firewall zelf niets tegen het verkeer dat door uw netwerk of zelfs internet gaat. Samenvattend: een firewall is meer een poortwachter dan een motoragent, die potentiële bedreigingen voor uw netwerk opvangt.
OpenVPN en OpenSSH
Ondanks het feit dat de meeste zakelijke gebruikers OpenVPN moeten gebruiken om verbinding te maken met hun bedrijfsnetwerk, ben ik teleurgesteld dat de meeste mensen OpenSSH niet beschouwen als een alternatief voor thuiswerkers die verbinding moeten maken met beveiligde niet-VPN-netwerken.Zonder in details te treden over de implementatie van deze twee programma's, zal ik zeggen dat het idee is dat de gebruiker veilig verbinding kan maken met een externe computer/server, toegang kan krijgen tot externe shares/e-mail/documenten, enz. zonder dat u zich zorgen hoeft te maken dat het verkeer langs het hele pad (heen en terug) niet door een aanvaller in gevaar wordt gebracht.
Wat OpenVPN betreft, deze software stelt zakelijke gebruikers thuis in staat verbinding te maken met een virtueel netwerk prive netwerk De VPN van hun bedrijf is zo eenvoudig als maar kan. Van daaruit hebben ze toegang tot hun werkcomputers, kunnen ze documenten beheren of gewoon hun e-mail checken. Het punt is dat werknemers buiten staan lokaal kantoor veilig gebruik kunnen maken van de beveiligingsprotocollen die IT-personeel heeft opgesteld om van buitenaf verbinding te maken met het bedrijfsnetwerk, terwijl ze zich overal buiten het bedrijfsnetwerk bevinden, of het nu een thuiskantoor is of een ander onveilig netwerk.
Het opzetten van een OpenVPN-verbinding is vrij eenvoudig; u hoeft alleen maar het netwerkbeheerder-openvpn-pakket vanaf uw computer te installeren. Ubuntu-repository. Nadat deze en andere afhankelijkheden zijn geïnstalleerd, klikt u eenvoudig op het netwerkbeheerderpictogram en begint u met het instellen van de VPN. In de nieuwste versie van Ubuntu van vandaag, 8.10 ( ca. vertaler: op het moment van vertaling van het artikel is de nieuwste stabiele release van Ubuntu 9.04), kunnen gebruikers onmiddellijk na installatie van het besturingssysteem gebruiken VPN-verbindingen, nadat u ze eerder hebt geconfigureerd.
Versterking van de veiligheid op afstand en lokaal
Laten we nu naar huis gaan. Persoonlijk gebruik ik gedeeltelijk OpenSSH om vanuit huis verbinding te maken met het draadloze netwerk van mijn eigen koffiezaak. Door OpenSSH te gebruiken, kan ik werken met internettoepassingen zoals Evolution (e-mailclient), Firefox (webbrowser), enz., die ik anders niet in een coffeeshop zou gebruiken om informatie over te dragen.OpenSSH biedt ook een uitstekende mogelijkheid om bestanden en mappen te delen tussen computers in uw lokaal netwerk. Echter gebruik delen samen met Geen-IP ( ca. vertaler: een dienst die het dynamisch toegewezen IP-adres van een computer vervangt door een permanente naam die toegankelijk is via internet), kunt u bestanden en mappen consistent delen, waar u zich ook bevindt. En waar u ook bent, thuis of aan de andere kant van de wereld, u kunt altijd op dezelfde betrouwbare manier bestanden delen.
Laten we al het bovenstaande samenvatten. SSH en VPN zijn virtueel beveiligde bruggen van computer naar server of van computer naar computer. Maar hoe veilig deze tools ook lijken, dit betekent niet dat de gegevens veilig blijven tijdens het surfen op internet of het verzenden van een e-mail. Mogelijk wilt u enkele extra SSL-mogelijkheden implementeren HTTPS-protocol voor surfen op het web en SSL-beveiliging voor e-mailoverdracht heen en weer.
Uw Ubuntu-computer beveiligen voor lokaal gebruik
Tegenwoordig is het enige en misschien wel het grootste risico voor de veiligheid van uw computer algemeen geval, bevindt zich tussen de monitor en de stoel. Gebruikers, vooral op gedeelde computers, bieden meer problemen veiliger dan virussen of malware die per ongeluk uw computer binnendringen.Omdat we geen controle hebben over wat andere gebruikers doen gedeelde computer, bied ik een lijst aan met enkele nuttige hulpmiddelen en technieken die de beste manier zal u voorbereiden om te reageren op roekeloze acties van andere gebruikers.
Advies: Updates onder controle houden. Het niet up-to-date houden van het Ubuntu-systeem is een pad dat in de toekomst tot veel problemen zal leiden; het is beter om meerdere fouten te krijgen als je dat wel doet regelmatige updates. Beveiligingsupdates zijn van cruciaal belang.
Advies: Andere gebruikers blokkeren. U kunt direct voordeel behalen door een eerder werkende Ubuntu-installatie te verbergen voor een minder ervaren familielid of vriend. De beste manier om dit te doen is door een beperkt account toe te voegen regelmatige gebruiker voor iedereen die naast u achter de computer werkt. Vanuit het menu Gebruikers- en groepenbeheer, onder uw eigen superuser-account, schakelt u eenvoudig alle opties uit die u wilt uitschakelen voor de nieuw gemaakte beperkte rekening gebruiker.
Advies: Uw thuismap beveiligen. Meer voor de privacy dan voor de veiligheid, zonder de hoofdpijn van encryptie, kunt u eenvoudig de gebruikersrechten van de directory wijzigen door bijvoorbeeld chmod 0700 /home/$USER in een terminal uit te voeren. Stel dat u de enige bent die superuser/root-rechten heeft deze computer, kan niemand anders de inhoud van uw map zien. Als encryptie een must is, dan zijn er enkele geweldige HOWTO's, waarvan de beste . Ja, dit is heel moeilijk om te doen.
Advies: OpenDNS voor basisinhoudfiltering. Een van de beste manieren om te voorkomen dat gebruikers van uw Ubuntu-systeem toegang krijgen tot mogelijk frauduleuze sites of hosts met kwaadaardige software, is het gebruik van OpenDNS. Wijziging DNS-instellingen in uw netwerk kan op elke computer afzonderlijk worden uitgevoerd of op de gateway die als router fungeert.
Ubuntu is zo veilig als u het zelf maakt
Met de tips die ik hierboven heb gegeven, kom je zeker op weg veilig gebruik Ubuntu. Maar ondanks deze aanbevelingen kunt u altijd in de problemen komen.Omdat Linux echt heel rustig is krachtig systeem Iedereen met superuser-rechten moet zich ervan bewust zijn dat er opdrachten of shell-scripts zijn die in een terminal kunnen worden uitgevoerd en bij uitvoering aanzienlijke schade kunnen aanrichten. Eén soort van dergelijke schade komt in de vorm van gegevensverlies.
En nog een ding: in plaats van rond te rennen op de forums, op zoek naar een oplossing voor een probleem dat op zichzelf is ontstaan, is het beter om altijd een vertrouwde bron te raadplegen voordat u code uitvoert waarmee u niet bekend bent. Dit advies alleen al zal wonderen doen om ervoor te zorgen dat Ubuntu veilig wordt gebruikt.
Bedankt voor het artikel Datamation
En om de veiligheid van de omgeving om u heen te garanderen echt huis verpesten echte bescherming. Het huis zal worden beschermd tegen ongeoorloofde toegang door een metalen gaas met kettingschakels dat rond de omtrek van het terrein is gespannen.
Anoniem blijven op internet is niet altijd hetzelfde als veilig internetten. Het is belangrijk om zoveel mogelijk technische informatie over uw apparaat veilig te houden doordringende ogen om te voorkomen dat aanvallers misbruik maken van de kwetsbaarheden van uw systeem en uw vertrouwelijke gegevens stelen en deze voor hun eigen doeleinden gebruiken, wat ernstige gevolgen kan hebben.
Als je online anoniem wilt blijven en je gegevens wilt beschermen, zullen we in dit artikel kijken naar de veiligste Linux-distributies die je hierbij zullen helpen.
De meeste tools die in dit artikel worden genoemd, zijn volledig gratis te gebruiken. Daarnaast zijn er betaalde opties, bijvoorbeeld VPN, maar deze gratis gereedschap ze doen hun werk veel beter. De behoefte aan beveiliging op internet groeit voortdurend en er bestaat altijd het risico van cyberaanvallen en afluisteren door inlichtingendiensten. Het is niet verrassend dat er onmiddellijk verschillende distributies zijn gemaakt, waarbij tools worden gecombineerd die maximale anonimiteit op het netwerk bieden.
Deze distributies waren aanvankelijk gericht op beperkte specialisten, maar hebben de laatste tijd grote populariteit gewonnen. Vanwege de vraag naar dergelijke systemen van gebruikers, worden ze voortdurend ontwikkeld en komen er nieuwe bij, misschien zijn er nu meer dan twintig, maar we zullen alleen de best beveiligde Linux-distributies overwegen.
De meesten van hen gebruiken Tor-software om anonimiteit te garanderen, wat echt biedt hoog niveau anonimiteit, in tegenstelling tot VPN-aanbieders, die nog steeds uw echte IP-adres kennen.
Maar VPN heeft nog steeds veel voordelen, waardoor het de beste optie in sommige gevallen. Als verbindingssnelheid belangrijk voor u is of als u van plan bent bestanden via P2P over te dragen, zal een VPN winnen.
Voordat we naar de veiligste Linux-distributies kijken, laten we het hebben over hoe we ervoor kunnen zorgen Tor anonimiteit. Tor of The Onion Router is een standaard encryptieprotocol ontwikkeld door de Amerikaanse marine.
Tor-software werkt met meerdere knooppunten, wat een hoge betrouwbaarheid en anonimiteit garandeert. Wanneer gegevens door een willekeurig knooppunt gaan, worden ze elke keer opnieuw gecodeerd en worden ze pas volledig gedecodeerd bij het laatste knooppunt. De Tor-ontwikkelaars zijn ook verantwoordelijk voor het maken van de Tails-distributie, die Edward Snowden aanbeveelt.
Laten we nu teruggaan naar de VPN. Meestal zijn dit betaalde diensten; het vinden van een goede, gratis VPN is erg lastig. De kwaliteit van de VPN-service is afhankelijk van de provider, maar over het algemeen zijn VPN-servers veel sneller dan Tor.
1. Tails - anonieme LiveCD
Als je anoniem wilt blijven op internet, is Tails een goede keuze. Het belangrijkste doel is ervoor te zorgen dat u geen digitale sporen achterlaat tijdens het surfen op internet. Dit is een van de meest gebruikte distributies voor anonimiteit, en de enige waarbij alle internetverbindingen via Tor lopen.
Meestal wordt Tails op een flashstation geïnstalleerd, worden alle gegevens in het RAM opgeslagen en na voltooiing van het werk gewist. besturingssysteem gebaseerd op Debian en wordt geleverd met een groot aantal open source-tools broncode speciaal ontworpen om privacy te garanderen. Vervanging wordt hier ondersteund MAC-adressen en Windows-camouflage, wanneer het systeem erg op Windows 8 lijkt.
Staarten gebruikt verouderde versie Gnome, die er lelijk en minimalistisch uitziet zonder de mogelijkheid aanvullende instellingen en verbeteringen omdat bestanden niet tussen sessies worden opgeslagen. Voor velen maakt dit misschien niet uit, want Tails klaart de klus. De distributie heeft uitstekende documentatie en je kunt deze lezen op de officiële website.
2. JonDo Live-dvd
JonDo Live-DVD is een commerciële oplossing voor online anonimiteit. Het werkt op een vergelijkbare manier als Tor, waarbij uw gegevens ook worden overgedragen via een reeks gemengde JonDonym-servers. Op elk knooppunt worden de gegevens opnieuw gecodeerd. Dit geweldig alternatief voor Tails, vooral als je op zoek bent naar iets met een minder beperkende gebruikersinterface.
Net als Tails is de distributie gebaseerd op Debian en bevat deze ook een reeks tools om anonimiteit en de meest gebruikte applicaties te garanderen.
JonDo Live-DVD is een betaalde dienst voor commercieel gebruik. Het is gericht op gebruik in bedrijven, en is bovendien sneller dan Tails en ondersteunt ook het opslaan van bestanden niet.
Als je iets heel anders wilt, ben je geïnteresseerd in Whonix. Hier wordt een geheel andere aanpak gehanteerd. Dit is geen LiveCD. Whonix werkt virtueel VirtualBox-machine, is het systeem geïsoleerd van uw hoofdsysteem, waardoor het risico wordt verkleind dat u virussen oppikt of uw gegevens op het netwerk blootlegt.
Whonix bestaat uit twee delen. Whonix Gatway fungeert als een Tor-gateway, de tweede - Whonix Workstation is volledig geïsoleerd van het netwerk en routeert al zijn netwerk connecties via Tor-gateway.
Dus hier moet je er twee gebruiken virtuele machines wat kan creëren bepaalde problemen als je hebt zwakke uitrusting. Maar toch werkt het. Toegegeven, dit is niet het meest veilige distributie Linux is als een live-cd omdat er geen gegevens op de harde schijf worden opgeslagen.
Whonix is gebaseerd op Debian, maar gebruikt KDE als desktopomgeving. Het besturingssysteem is niet geschikt voor alledaags gebruik en je kunt het alleen op een virtuele machine gebruiken.
4.Qubes-besturingssysteem
Dit is een andere anonimiteitsdistributie die wordt aanbevolen door Snowden. Qubes probeert de tekortkomingen te corrigeren van alle voorgaande distributies die geen mooie en aanpasbare gebruikersinterface hadden. Dit is een distributie voor dagelijks gebruik die de kracht van Tor en Whonix combineert.
Dit is een compleet andere benadering van anonimiteit. Het idee achter Qubes is veiligheid door scheiding. Dit betekent dat uw digitale leven wordt verdeeld tussen geïsoleerde virtuele machines. Elke applicatie draait in een aparte virtuele omgeving.
Opgemerkt moet worden dat Qubes standaard wordt geleverd met de vlaggenschiplaptop van Purism. Deze laptop wordt beschouwd als het veiligste apparaat voor gebruikers. En dit is waar, gezien de machtigen software deze verdeling.
Als je nodig hebt handige distributie voor dagelijks gebruik met alle standaardfunctionaliteit en bekende applicaties kan Qubes OS worden uitstekende keuze. In tegenstelling tot de hierboven genoemde, kan het op een harde schijf worden geïnstalleerd.
5. UPR (Ubuntu Privacy Remix)
UPR is een andere installeerbare distributie die zich richt op beveiliging. Het is gebruiksvriendelijk en biedt geïsoleerde omgeving, waar gevoelige gegevens veilig kunnen worden bewaard.
Alleen al aan de naam kun je zien dat het gebaseerd is op Ubuntu. De distributie biedt veilig surfen op het internet en het gebruik van gecodeerde flashdrives effectieve bescherming uw gegevens tegen ongeoorloofde toegang. De distributie wordt vooraf geïnstalleerd met coderingstools zoals GnuPG en TrueCrypt. UPR is er alleen voor veilig internetten en niet voor anonimiteit. Het is geweldig als u het systeem op uw computer wilt installeren in plaats van een LiveCD te gebruiken. Als je ook anonimiteit nodig hebt, kun je Tor installeren of een VPN aansluiten.
conclusies
Gezien het feit dat Tails de meest voorkomende van alle genoemde soorten in dit artikel is, kunnen we besluiten dat dit de veiligste is. Maar andere distributies dienen hun doel ook goed. Het komt dus allemaal neer op persoonlijke voorkeur.
