Как правильно защитить компьютер с Linux

Question

Очевидно, что существуют разные способы обеспечения безопасности на основе домашних и профессиональных компьютеров. Мои вопросы обычно касаются защиты домашних компьютеров, но профессиональная защита определенно приветствуется :) Знание - сила.

С тех пор, как пару лет назад я переехал в замечательный мир Linux, я даже не задумывался о безопасности. Ввиду того, что большинство мошенников с низким сроком службы создают вирусы для компьютеров под управлением Windows, поскольку они более распространены.

Но как мне узнать, в безопасности ли я от кого-то, кто захочет, чтобы я или мои вещи нашли. Я знаю, что у любого, кто полон решимости войти в волю, нет никаких сомнений. Но какие шаги я могу предпринять, чтобы гарантировать, что я защищен от таких вещей, как мошеннические корневые оболочки и автоматические атаки? Кроме того, есть ли своего рода встроенный брандмауэр / антивирус в других дистрибутивах Linux?

Я знаю, что этот вопрос достаточно широк, поскольку существует множество способов, которыми кто-то может скомпрометировать вашу систему, но, возможно, вы могли бы поделиться тем, что вы сделали, чтобы убедиться, что вы в безопасности.

РЕДАКТИРОВАТЬ: Я решил не разрешать root-вход через ssh и изменить порт, слушает что-то случайное. Надеюсь, это шаг в правильном направлении. В настоящее время смотрю на iptables и закрываю сервисы. Надеюсь, этот вопрос получит много качественных ответов (у него уже есть 3), и это поможет другим параноикам :)

РЕДАКТИРОВАТЬ 2: Есть некоторые проблемы с Iptables, но это оказывается хорошим инструментом

РЕДАКТИРОВАТЬ 3: Пока никто не коснулся вопроса шифрования жесткого диска. Это того стоит? Я никогда не использовал его раньше, поэтому я не знаю, как все это работает. Насколько легко это сделать?

Еще одно изменение: с точки зрения сервисов, которые должны работать в вашей системе, какие из них должны или должны работать? Какие порты должны быть открыты на вашем ящике? Конечно, это зависит от того, что вы используете, но что открыто по умолчанию и что опасно?

Answer 1

Вы можете стать очень хитрым с iptables . Посмотрите на man page и вы увидите, насколько сложен этот программный продукт. Помимо того, что вы не подключаетесь к сети, как упоминалось выше, это, вероятно, примерно так же хорошо, как вы можете сделать.

Если вы используете ssh , обязательно не используйте пароли, а вместо этого используйте открытые ключи.

Устанавливайте программное обеспечение только из надежных репозиториев дистрибутива. Существуют различные меры, которые помогают поддерживать целостность пакетов, найденных в репозиториях.

Поддерживайте свою систему в актуальном состоянии.

Не запускайте с правами root - повышайте привилегии только тогда, когда это необходимо.

При просмотре веб-страниц используйте такие вещи, как FlashBlock/AdBlock/NoScript.

Не паникуйте

Answer 2

Вы будете в порядке с установкой Linux из коробки, просто отключите все службы, которые вы не используете. Если это домашний компьютер, то вам не о чем беспокоиться.

Я годами запускаю Ubuntu на своем рабочем столе, отключив всего несколько служб, таких как Bluetooth и общий доступ к папкам, а затем использую ОС. Вы можете установить антивирус, если хотите, но он на самом деле не нужен.

Answer 3

Это очень сильно зависит от того, для чего вы его используете и какие порты открыты. Например, если у вас есть много сервисов, доступных в Интернете, и они часто используются неправильно, fail2ban - это здорово - я использую его, например, для блокировки случайных ssh-эксплойтов.

Не использовать вашу учетную запись root также является здравым смыслом. Способ ubuntu не иметь корневой учетной записи на самом деле имеет свои преимущества, а ваши обычные атаки грубой силы будут пытаться угадать имена пользователей и пароли.

Наконец, как уже упоминалось ранее, уменьшите подверженность угрозам - отключите все неиспользуемые сервисы и все порты, которые не нужны немедленно.

Answer 4

Ознакомьтесь с руководством АНБ по обеспечению безопасности Red Hat Linux. Это хорошее руководство для блокировки базовой системы. Возможно, вы не используете Red Hat, но она дает вам хорошее представление о том, на что обратить внимание. Конечно, если вы предоставляете какие-либо услуги в своей системе, вам нужно будет рассмотреть риски, связанные с этими услугами.

Answer 5

Шифрование жесткого диска является относительно простым и простым в настройке. Некоторые дистрибутивы (особенно Ubuntu) предлагают зашифровать ваш домашний каталог для вас во время установки.

Стоит ли это того или нет? Что ж, это не защитит ваши данные от чьего-либо взлома интернета - как только компьютер загрузится и файловые системы смонтированы (зашифрованы или нет), компьютер сможет прочитать данные - и, следовательно, злоумышленник сможет прочитать данные.

От чего он вас защищает, так это от того, что кто-то физически вломился в ваш дом и украл ваш компьютер. Это мешает им получить доступ к вашим данным. Не так много домохозяек хотят получить данные; они просто хотят продать компьютер за быстрый доллар, чтобы пойти и купить еще лекарств.

Вам лучше шифровать конфиденциальные файлы индивидуально, так что только вы можете получить к ним ключ / парольную фразу. Это предотвратит их легкое чтение злоумышленником.