10 законов безопасности Ubuntu

Ubuntu считается безопасной операционной системой. Но нарушение базовых принципов защиты способно скомпрометировать даже самую надежную ОС. Как не стать легкой добычей киберпреступников?

Безопасность Ubuntu

1. Подписи репозиториев. Чем их больше, тем хуже. Каждый добавленный публичный ключ увеличивает вероятность подмены содержимого пакета. Периодически просматривайте список ключей (apt-key list) и удаляйте потерявшие актуальность.

2. Будьте осторожны с добавлением новых пакетных репозиториев. Обязательно проверяйте источник пакетов и оценивайте степень доверия к его владельцу. Не забывайте, что через репозитории распространяется бинарный код, выполняемый от имени администратора системы. Добавить неизвестный репозиторий — то же самое, что выполнить под root неизвестный код.

3. Используйте сложные пароли. Пароли вида 123456 — причина №1 всех сетевых инцидентов с печальным итогом. Полезные статьи: «Генерация ультрастройкого пароля одной строкой в Linux», «Скорректированы правила выбора надежных паролей».

4. Осторожнее с root! Не только не работайте без особой нужды под root, но и запретите вход в систему под этим именем. Настройте sshd так, чтобы и он не пускал (PermitRootLogin no). Используйте права администратора только тогда, когда они действительно необходимы.

5. Используйте анализаторы сетевой активности. Например, Wireshark позволяет засечь несанкционированный обмен данными с внешней сетью. Это позволит легко обнаружить вирусы, трояны и даже некоторые руткиты. Можно использовать инструменты попроще — например, tcpdump.

6. Регулярно обновляйте систему. Незакрытые вовремя уязвимости — самый простой способ проникнуть в вашу систему. Настройте автоматическое обновление.

7. Не занимайтесь копипастой в терминал тех команд, значение которых не понимаете. На форуме вам могут подсунуть код, с помощью которого вы рискуете удалить все данные или даже протроянить свой компьютер. Опасность многократно возрастает, если вы вводите команды от имени администратора.

8. Обязательно установите межсетевой экран. Если слабо разбираетесь в его настройке, используйте надстройки с графическим интерфейсом. Базовая настройка iptables обязательна для всех. Вот тут хорошее руководство.

9. Открытые порты. Держите их всегда под контролем. Команды netstat -l -n -a и lsof -iTCP помогут в этом.

10. Неиспользуемые сервисы. Отключите их. Особенно те, которые предоставляют сетевой доступ (ssh, apache, nginx, postfix и т.п.). Оставьте только нужные.

Ваша оценка: Нет Средняя оценка: 5 (15 votes)
De'MON

Статья полезная.Это даже не советы,а "Правила".Их нужно показывать после первого запуска после установки дистрибутива(типа:"Внимание!Прочтите и выучите эти правила,перед тем как пользоваться системой) :)

Ваша оценка: Нет Средняя оценка: 5 (6 votes)
pomodor

Согласен. Более того, дистрибутивы при установке показывают условия использования, которые никто не читает, можно было бы показывать эти правила и устраивать по завершению миниэкзамен. Такие простейшие меры сократили бы количество лохов на порядок. ;)

Ваша оценка: Нет Средняя оценка: 4.2 (5 votes)

Количество пользователей тоже упало бы на порядок.

Ваша оценка: Нет Средняя оценка: 3.2 (6 votes)

всё верно. мне вот однажды понравилось(давненько было — но не со времён "принятия лицензии") когда кнопка "согласие" активировалась только после скроллинга до окончания. След.шаг ввести мини тест после прочтения лицензии — дабы понять читал чел или нет что ему писали, ну это конечно уже круто но тем не менее к примеру права на управление автомобилем тоже выдают после теста и все с этим считаются ибо правильно;)
имхо...

Ваша оценка: Нет

По третьему пункту имеет смысл дополнить:
sudo apt-get install wireshark gufw rkhunter chkrootkit clamtk

Ваша оценка: Нет Средняя оценка: 5 (2 votes)

о, думал уже зарегаться и задать "вопрос статью" и тут в тему
---
7. Будьте осторожны с добавлением новых пакетных репозиториев. Обязательно проверяйте источник пакетов и оценивайте насколько ему можно доверять.
---

совет конечно полезный, но абсолютно бестолковый в повседневной жизни, меня кстати этот вопрос давно мучит, даже не будем трогать мифическую или сферическую домохозяйку в вакууме которой поставили убунту, возьмем околоайтишного нового юзера
- какими методами он может "оценить источник"? если, как я понимаю даже на том же лаунчпаде, "проверок" нет и (не)умышленно можно посадить в код че угодно. Или я таки ошибаюсь?
на убунтуфоруме сказали - "смари сам чо ставишь, э")

Ваша оценка: Нет Средняя оценка: 4.8 (4 votes)
pomodor

А мне кажется, что проверить как раз достаточно просто. Прогуглить адрес репозитория и посмотреть сколько народу на него ссылается и в каком контексте.

Ваша оценка: Нет Средняя оценка: 5 (2 votes)

разумеется я не рассматривал тривиальные варианты
но, окей, хотим слушать музыку из вконтактика в ритмбоксе (5 минут назад захотелось мне и как раз достаточно массовый пример и есть че "уводить" у пользователя), гуглим.. форумы.. блаблабла.. получаем
launchpad.net/rhythmbox-plugin-vkontakte
как бы напрашивается вопрос "и чо?", возможно не самый удачный пример, но давайте смотреть правде в глаза 90% юзеров любой системы не будут заниматься глубоким гуглением перекрестных ссылок, анализировать отзывы о ПО именно за последнее время, а популярный пакет мог за последнюю неделю трансформироваться в "ботовода" и байбай прыщики, при этом имея кучу положительных отзывов со старта разработки.
Это конечно все надуманно и нашептано моей паранойей, но как по мне при таком положении дел, выражение "система без вирусов доступная даже чайнику" несколько... не соответствует действительности)

Ваша оценка: Нет Средняя оценка: 4 (4 votes)
pomodor

Тут уж ничего не поделаешь. Либо музыка из Вконтактика, либо безопасность. :) Кстати, не понимаю я всеобщего увлечения музыкой из файлопомойки Павлентия. Есть же более удобные и качественные файлопомойки с флаками. Зачем? Где смысл? Где логика? ;)

Ваша оценка: Нет Средняя оценка: 3.7 (3 votes)
pomodor

К тому же, в соцсетях многие под реальными именами, там все протоколируется и сохраняется навсегда. Стоит ли потреблять там контрафакт, собирая на себя компромат, чтобы потом суд запросил инфо и отправил на отдых?

Ваша оценка: Нет Средняя оценка: 5 (1 vote)

причина банальна - удобно, даже мне, не по этим делам, акк вычищен, но не удаляю так как удобно искать/смотреть/слушать/играть иногда (че греха таить :) ) + стал замечать увеличение кол-ва народа "кому за 40", видать из-за игр регятся.
вопрос же не о музыке из вконтактика и безопасности, ты прекрасно это понимаешь ведь, вопрос о безопасности как таковой

Ваша оценка: Нет Средняя оценка: 5 (2 votes)

Кстати, если не ошибаюсь gufw вроде тоже позволяет смотреть вх.исх. соединения, tcpdump не обязателен.

Ваша оценка: Нет Средняя оценка: 4 (1 vote)

90% проблем у юзверей от копипаста.. Привычка копипастить все подряд часто выходит боком.. Проверять репозитории наверное нужно, но как сделать на деле.. если репозиторий для твоего дистра находится на офсайте программы, я думаю, что ему можно доверять.. фиревал обычно уже включен по-умолчанию..
Я бы еще добавила про запуск скриптов из непонятных источников, в той же убунте (по-моему) галочка на исполнение по умолчанию стоит.. Хоть вирусов для линукса трудно найти, но троянчик могут подкинуть

Ваша оценка: Нет Средняя оценка: 3.5 (2 votes)

судя по статье, линукс мало чем от винды отличается )))

Ваша оценка: Нет Средняя оценка: 5 (1 vote)
Отправить комментарий
КАПЧА
Вы человек? Подсказка: зарегистрируйтесь, чтобы этот вопрос больше никогда не возникал. Кстати, анонимные ссылки запрещены.
CAPTCHA на основе изображений
Enter the characters shown in the image.