7 действенных советов по защите Linux от взлома

Как защитить Linux от взлома

В последнее время много претензий высказывается по поводу безопасности Linux. Некоторые горячие головы даже стали заявлять, что Linux является более уязвимой системой, нежели Windows. А ведь в подавляющем большинстве случаев, виноват не «дырявый Linux», а элементарное незнание правил Linux-гигиены. Вот 7 простых советов, следование которым убережет вас от проблем.

1. Никогда не используйте слабые пароли

Все почему-то думают, что злоумышленник не пожелает подбирать именно ваш пароль. Возможно, он действительно не станет этого делать. Но в случае компрометации сервера, взломщик получит файл с хэшами паролей всех пользователей. При попытке восстановить значения по хэшу, первыми поддадутся слабые пароли. А учитывая, что многие пользователи часто используют один и тот же пароль везде, где только можно, последствия могут быть печальными.

Пароль должен быть не короче 11 символов, содержать буквы в обоих регистрах, цифры и спецсимволы. Не можете придумать такой пароль — воспользуйтесь генератором паролей.

Научитесь запоминать пароли, а не писать их на бумажке и лепить к монитору.

2. Установите пароль на BIOS

Пароль на BIOS, в некоторых случаях, может затруднить злоумышленнику доступ к вашим данным.

3. Обязательно отключите неиспользуемые службы

Не пользуетесь ssh? Отключите! Запущен web-сервер? А он точно вам нужен? Если не знаете как вывести список работающих служб и отключить некоторые из них, используйте вспомогательный софт.

4. Обновляйтесь быстро и полностью

Устанавливайте все заплатки, которые связаны с безопасностью. Старайтесь обновляться как можно более оперативно. В программах часто находят дыры и пока пользователь размышляет о необходимости обновиться (а некоторые даже откладывают обновления на несколько дней), уязвимости в программах эксплуатируются, устанавлюваются руткиты, которые потом вычистить довольно проблематично.

Кстати, есть забавный дистрибутив Linux Mint, в котором обновления безопасности делятся на категории: «это можно установить», «с этим можно погодить» и «а это вообще можно не устанавливать». Если вам нужна безопасность, то избегайте использования подобных дистрибутивов.

5. В локалке тоже есть враги

Не доверяйте пользователям локальной сети. Многие предоставляют ресурсы своего компьютера пользователям из локальной сети. Такой подход к политике безопасности частично оправдан, ведь локального злоумышленника проще вычислить и надавать ему по голове табуретом, что многих потенциальных хакеров останавливает. Но злоумышленник из внешней сети может получить доступ к одному из компьютеров локальной сети и уже с него предпринимать атаки.

6. Защищайте свою приватность

Изучите встроенные средства безопасности вашего дистрибутива. Многие дистрибутивы предоставляют возможность удалять следы активности пользователя, как браузеры позволяют удалять кэш и историю посещений. Например, в Ubuntu можно зайти в "Системные настройки" и выбрать пункт "Приватность", чтобы указать какие виды пользовательской активности не стоит отслеживать.

7. Используйте шифрование. Всегда, когда есть такая возможность

Многие программы имеют опцию шифрования данных. Внимательно изучите все предоставляемые возможности и рассмотрите как они могли бы вам помочь усилить общую безопасность системы. Шифрование осложняет незаметную подмену данных и защитит от лишних вопросов полицейских, когда те придут изымать ваш комп.

Ваша оценка: Нет Средняя оценка: 3.6 (18 votes)
reflexius

Все рекомендации имеют очевидный смысл, кроме выпада в сторону Linux Mint. Автору рекомендовано ознакомиться с руководством пользователя Linux Mint, прежде чем выдавать собственные фантазии за реальность. Пишу это критическое замечание, т.к. Linux Mint — один из наиболее удобных дистрибутивов для переходящих с Windows на Linux и подобные опусы лишь вводят в заблуждение начинающих линуксоидов. Все, подчеркиваю — ВСЕ обновления безопасности показаны в менеджере обновлений Linux Mint и отмечены для обновления ПО УМОЛЧАНИЮ. Ни на какие категории они не делятся, разве что только в воображении автора.

Ваша оценка: Нет Средняя оценка: 4.1 (15 votes)
pomodor

А чо, Mint — дистрибутив без единого изъяна, просто идеальный? Да еще неприкасаемый, который нельзя критиковать?

Все, подчеркиваю — ВСЕ обновления безопасности показаны в менеджере обновлений Linux Mint и отмечены для обновления ПО УМОЛЧАНИЮ. Ни на какие категории они не делятся, разве что только в воображении автора.

Да ну? А это что?

Небезопасность Mint

5 уровней, 2 последних отключены по умолчанию.

Ваша оценка: Нет Средняя оценка: 3.8 (5 votes)
reflexius

Нет, конечно, не без изъяна. Как и все остальные дистрибутивы Linux. Но проблема заключается в том, что аргументируя свою точку зрения по тому или иному вопросу, многие авторы очень далеко уходят от реальности и слишком часто выдают желаемое за действительное. Не хочу вдаваться в полемику, потому, что это будет пустая полемика, а хотелось бы, чтобы это было обсуждение. Использовать устаревшие данные, старые скриншоты и вырванные из контекста цитаты — не лучшие средства доказательства правоты, кто бы там что не доказывал.

Ваш скриншот очень старый и не соответствует содержанию и функциям текущего менеджера обновлений.

Вот новый, со списком обновлений по-умолчанию. Самый первый столбец (Type) — это тип обновления. Серая стрелка вниз — обновление пакета, красный восклицательный знак — обновление безопасности.

Selection_156

Во-первых, видно, уровней больше 3-х. Во-вторых, обновления безопасности есть на всех уровнях и отмечены для обновления. В-третьих, мы видим, что показаны, но не выделены обновления, связанные с ядром. Обновления 5-го уровня (опасные) не показываются, это действительно оставлено на усмотрение пользователя.

Вот окно настроек менеджера обновлений с установленными по умолчанию типами обновлений.

Selection_155

Таким образом, единственное, что может быть предметом дискуссии — это обновления версии ядра и связанных с ним драйверов для железа. Вот и все. По Вашему мнению, обновлять нужно по принципу "все, что есть, то и будем есть". По-моему мнению — нет. Никакой достойной аргументации, почему я должен обновлять ядро автоматически я не вижу. Все остальные претензии к Linux Mint на сегодняшний день просто не соответствуют действительности.

Ваша оценка: Нет Средняя оценка: 4 (7 votes)
pomodor

Что касается простоты Минта. Windows тоже прост. Отсюда вирусы, трояны и эпидемии. Где простота, там проблемы.

The default update settings of Linux Mint would not update the Linux kernel or notify the user when security updates and bug fixes were published upstream (from Ubuntu, which Mint is directly based on, or Debian, which is the basis of Ubuntu). This default behavior left users vulnerable to root exploits, and potential hardware issues for which patches were issued alongside security fixes. Other upstream updates were also blacklisted from Linux Mint for conflicting with the design of the Cinnamon desktop.

Приговор Минту.

Ваша оценка: Нет Средняя оценка: 3 (7 votes)
reflexius

Цитата соответствует положению дел в прошлом, года 3-4 назад. Сегодня это уже не соответствует действительности. Приговор отменяется :)

Ваша оценка: Нет Средняя оценка: 4.3 (4 votes)

Если локальному злоумышленнику система недоступна, то остается ломать только те проги, что выходят в интернет :)
Если нет запущенного сервера, то выходят только браузеры и сервис NTP :)

Ваша оценка: Нет Средняя оценка: 5 (1 vote)
Texnoline

лучше по-дефолту, ставить все обновления безопасности и для ядра, для драйверов, ибо низкоуровневый доступ — это самая "мякотка", для зловредов различных!:)

Ваша оценка: Нет Средняя оценка: 3.7 (6 votes)

Спасибо за совет, но я всегда прислушиваюсь к мнению большинства разработчиков, что ядро это критический элемент системы и без острой необходимости от обновления ядра стоит воздержаться.
Не верите? Спросите у любого разработчика любого дистрибутива Linux.

Ваша оценка: Нет Средняя оценка: 3.7 (6 votes)

А как зловред получает низкоуровневый доступ в современных версиях Linux ?

Ваша оценка: Нет Средняя оценка: 5 (1 vote)

Легко. Критические дыры в ядре отыскиваются по несколько штук в месяц, а кроме них есть ещё и дыры во всякой шняге, работающей под рутом, а потому поиметь доступ можно элементарно. Ну а потом через insmod подгружаешь что надо прямо в ядро и наслаждаешься.

Ваша оценка: Нет

Не припомню похожего случая, когда бы я оценил и статью и все комментарии нашего уважаемого pomodor(a) оценкой в "кол". ))

Ваша оценка: Нет Средняя оценка: 3.8 (4 votes)
pomodor

Да, у хомячков плохо с умением аргументированно отстаивать позицию. Даже когда нападают на их фетиш. Максимум — могут где-то подсернуть в голосовалке. :) А поскольку всем плевать на голоса хомячков, то обычно об этом еще и в комментариях напишут. Ну, я к этому отношусь спокойно, иначе бы программно запретил себе ставить плохие оценки. ;)

Ваша оценка: Нет Средняя оценка: 3 (6 votes)

Я правильно делаю?
1. Создаю текстовый файл и ограничиваю права в свойствах всем, кроме меня.
2. Копирую команду в терминал:
gpg --gen-random --armor 1 32
3.Чищу полученный пароль от лишних знаков, то есть чтобы оставались только числа и буквы.
4. Копирую пароль в текстовый файл и сохраняю.
Надо будет пароль — копирую его оттуда. Пароли просто не запомню, они длинные очень.
Я домашний пользователь. Мне до лампочки эти работы. И вантуз забыл. Для большей безопасности. Например, от всяких там "WannaCry".

Ваша оценка: Нет
reflexius

Вы в вопросе и дальнейшем описании смешали разные аспекты безопасности. В целом, Вы делаете правильно. Но я бы исключил пункт 3, т.к. "лишние" знаки делают Ваш пароль более стойким.

Для удобного управления паролями (создание, хранение, использование) лучше, все-таки, использовать не текстовые файлы, а специализированные программы. Можно порекомендовать, например, KeePassX (Linux) или KeePass (Windows). Обе программы имеются в репозиториях, но KeePassX на Linux — абсолютный победитель по простоте, скорости и удобству работы. Категорически не рекомендую пользоваться всевозможные онлайн сервисами по хранению паролей.

Наличие сложного пароля не защищает Вас от WannaCry, потому что любой шифровальщик будет шифровать под теми правами, которые сможет получить. То есть, изначально у него уже будут Ваши права и Ваш файл с паролем он зашифрует также успешно, как и другие, к которым Вы имеете права на запись. Но тема шифровальщиков очень обширна и вряд ли возможно ее раскрыть в комментариях. Главная проблема зловредов не техническая, а психологическая. Абсолютное большинство пользователей либо не знают того, что нужно для безопасной работы на компьюере, либо не видят проблем там, где они существуют. Главное, на что нужно обратить внимание — это Ваши привычки работы на компьютере и, в частности, с электронной почтой, т.к. сегодня это основной канал попадания зловредов на компьютер. Не открывайте вложения от незнакомых отправителей или, еще лучше, запретите любые вложения в почте от недоверенных отправителей. Используйте раздельные ящики для разных типов отправителей (проще установить органичения). Делайте хотя бы еженедельные бэкапы системы. Бэкапы рабочих документов лучше делать ежедневно (программ для этого предостаточно). Если есть желание и знаете как, наилучшим способом защиты от зловредов является изоляция получения почты в пространстве виртуальной машины.

Ваша оценка: Нет Средняя оценка: 5 (1 vote)

Но я бы исключил пункт 3, т.к. "лишние" знаки делают Ваш пароль более стойким.

Те самые +,=? А в выводе команды получения пароля они есть.
Некоторые сайты показывают подобное:

Используйте только латинские буквы и цифры.
Пароль должен содержать не менее 6 и не более 16 символов и состоять из латинских букв и цифр.
Пробелы недопустимы.

Я знаю, что некоторые сайты "вредят".
За keepassx - спасибо! Ещё и генератор паролей есть! То есть команда генерации пароля не нужна? Между ними нет разницы.

Ваша оценка: Нет

Про полицейских (последний пункт) — забавно! Будто они не попросят у Вас ключ/пароль от зашифрованного. Недавно в вБритании посадили же за отказ назвать пароль. И логично.

Ваша оценка: Нет
Отправить комментарий
КАПЧА
Вы человек? Подсказка: зарегистрируйтесь, чтобы этот вопрос больше никогда не возникал. Кстати, анонимные ссылки запрещены.
CAPTCHA на основе изображений
Enter the characters shown in the image.