Основы безопасности в Linux!
Всем доброго утра или тихой ночи!:)
Сегодня утром (у меня кстати оно и есть...) пришла мысль запостить основы безопасности, для правоверных линуксоидов в наше тревожное время!
Начнем:
1. Все начинается с паролей и также на них и заканчивается, для кого-то:(. Они везде: в окне логина в Linux-дистрибутиве, в формах регистрации на интернет-сайтах, на FTP- и SSH-серверах и на экране блокировки смартфона. Стандарт для паролей сегодня — это 8–12 символов в разном регистре с включением цифр, но мало кто его соблюдает:(. Генерировать такие пароли своим собственным умом довольно утомительно (мы в голову едим, а не напрягаем нейронные сети коры головного мозга), но есть простой способ сделать это автоматически:
$ openssl rand -base64 6
Никаких внешних приложений, никаких расширений для веб-браузеров, OpenSSL есть на любой машине. Хотя, если кому-то будет удобней, он может установить и использовать для этих целей pwgen (поговаривают, пароль получится более стойким):
$ pwgen -Bs 8 1
Где хранить пароли? Сегодня у каждого юзера их так много:(, хотя лучше хранить в головном мозге, ментальных зондов еще британские ученные не создали на этой планете:))). Довериться системе автосохранения браузера? Можно, но кто знает, как Google или Mozilla будет к ним относиться и к вашей глупости!? Сноуден рассказывал, что не очень хорошо. Поэтому пароли надо хранить на самой машине в зашифрованном контейнере. Отцы-основатели рекомендуют использовать для этого KeePassX. Штука графическая, что не сильно нравится самим отцам-основателям, но зато работает везде, включая известный гугль-зонд Android (KeePassDroid).
2. Шифрование — как много в этом слове для русского…
Сегодня шифрование везде и нигде одновременно. Нас заставляют пользоваться HTTPS-версиями сайтов, а нам все равно. Нам говорят: «Шифруй домашний каталог», а мы говорим: «Потом настрою». Нам говорят: «Любимое занятие сотрудников Dropbox — это ржать над личными фотками юзеров», а мы: «Пусть ржут». Между тем шифрование — это единственное относительное (подчеркиваю относительность для криптоатак...) средство защиты на сегодняшний день. А еще оно очень доступно и сглаживает морщины.
В Linux можно найти "тонны" средств шифрования всего и вся, от разделов на жестком диске до одиночных файлов. Три наиболее известных и проверенных временем инструмента — это dm-crypt/LUKS, ecryptfs и encfs. Первый шифрует целые диски и разделы, второй и третий — каталоги с важной информацией, каждый файл в отдельности, что очень удобно, если потребуется делать инкрементальные бэкапы или использовать в связке с Dropbox или с Mega. Также есть несколько менее известных инструментов, включая (несчастный) TrueCrypt например.
Сразу оговорюсь, что шифровать весь диск целиком — задача сложная и, что самое важное, бесполезная. Мало чего конфиденциального в корневом каталоге может найти злобный школьник - ккакер:), а вот домашний каталог и своп просто кладезь инфы. Причем второй даже больше, чем первый, так как туда могут попасть данные и пароли уже в расшифрованном виде (нормальные адекватные кодеры - запрещают системе скидывать такие данные в своп, но таких меньшинство). Настроить шифрование и того и другого очень просто, достаточно установить инструменты ecrypts:
И, собственно, включить шифрование:
$ sudo ecryptfs-setup-swap
$ ecryptfs-setup-private
Далее достаточно ввести свой пароль, используемый для логина, и рестартануть систему. Первая команда зашифрует и перемонтирует своп, изменив нужные строки в /etc/fstab. Вторая — создаст каталоги ~/.Private и ~/Private, в которых будут храниться зашифрованные и расшифрованные файлы соответственно. При входе в систему будет срабатывать PAM-модуль pam_ecryptfs.so, который смонтирует первый каталог на второй с прозрачным шифрованием данных. После размонтирования ~/Private окажется пуст, а ~/.Private будет содержать все файлы в зашифрованном виде.
Не возбраняется шифровать и весь домашний каталог целиком:) The Good.
Производительность при этом упадет не сильно - применяйте SSD по-шустрее:), зато под защитой окажутся вообще все файлы, включая тот же сетевой каталог ~/Dropbox. Делается это так:
# ecryptfs-migrate-home -u name user
Кстати, места на диске должно быть в 2,5 раза больше, чем данных у name user^), так что рекомендуется заранее почиститься. После завершения операции следует сразу войти под юзером и проверить работоспособность:
$ mount | grep Private
/home/name user/.Private on /home/name user type ecryptfs ...
Если все ок, незашифрованную копию данных можно просто килльнуть:
$ sudo rm -r /home/name user.*
3. Заметаем следы^:)
Пароли в относительно "надежном" месте, личные файлы тоже, что теперь? А теперь мы должны позаботиться о том, чтобы какие-то куски наших личных данных не попали в чужие руки. Ни для кого не секрет, что при удалении файла его актуальное содержимое остается на носителе даже в том случае, если после этого произвести форматирование. Наши зашифрованные данные будут в сохранности даже после стирания, но как быть с флешками и прочими картами памяти? Здесь нам пригодится утилита srm, которая не просто удаляет файл, но и заполняет оставшиеся после него блоки данных мусором (господа полицейские могут, удивляться потом, вспомнил 2005 год и техническую экспертизу, которая возилась 6 месяцев с 2-я моими HDD по 160 Gb^) ):
$ sudo apt-get install secure-delete
$ srm секретный-файл.txt home-video.mpg
Как всегда, все просто до неприличия. Далее, если речь идет о всем носителе, то можно воспользоваться старым добрым dd:
# dd if=/dev/zero of=/dev/sdb
Эта команда сотрет все данные на флешке sdb. Далее останется создать таблицу разделов (с одним разделом) и отформатировать в нужную ФС. Использовать для этого рекомендуется fdisk и mkfs.vfat, но можно обойтись и графическим gparted (одним из моих любимых приложений...:) ).
А на сегодня ВСЁ, берегите свои данные и личную жизнь...
Комментарии
pomodor
7 октября, 2014 - 01:46
Советы годные. Жалко только, что из-за дебильного заголовка статью почти никто не читает.
Советую давать предельно точные заголовки, максимально раскрывающие суть статьи. Очень советую прочитать о заголовках вот эту гениальную заметку.
Texnoline
7 октября, 2014 - 08:50
Автор ресурса, я рад конечно конструктивной критики в свой адрес:)
Но по-поводу перла: "
о дебильности заголовкасвоих статей» — я совсем НЕ согласен, хотя эту «гениальную заметку» любезно предоставленную Вами прочитал!:)Краткий пример, известных МИРОВЫХ компаний с «дебильными слоганами":
"— What else?/Что еще?" — компания NESPRESSO;
"— Schhh! You know who?/Шшшш! Знаете что?" — компания Schweppes;
" — Regardez-moi dans les yeux / Посмотри мне в глаза, я сказала в ГЛАЗА!" — компания Wonderbra;
" — Maybe she’s born with it. Maybe it’s Maybelline / Может быть она с этим родилась. Может это Maybelline" — компания Maybelline;
" — Do you have the bunny inside? / У вас есть кролик внутри?" компания Energizer;
" — Jump in / Запрыгивай» проект Xbox 360;)
" — Where do you want to go today? / Куда вы хотите пойти сегодня?" компания Microsoft ;(
Наши российские компании и их слоганы:
"Яйца молодецкие не зря так называются: вкус не забывается!" ОАО «Солигорская птицефабрика";
"Ни хрЮна себе пельмени!" «Три поросенка», пельмени:)
"Не теряя времени — теряй годы» «Мирра-Люкс», косметика;
И далее...
P.S. Вы могли мне написать о своей реакции и в личку, тогда бы я сразу прореагировал и изменил бы заголовок!
pomodor
7 октября, 2014 - 17:47
Какое отношение имеют рекламные слоганы к новостным заголовкам? Заголовок должен дать понять о чем идет речь в статье, чтобы пользователь по одному лишь заголовку решил, читать ему статью или нет. Рекламные слоганы нужны для того, чтобы маркетолог мог прийти в кассу и потребовать зарплату.
Texnoline
7 октября, 2014 - 20:00
о дебильных слоганах:
Обычно выделяют такие основные уровни психологического воздействия рекламы:
когнитивный (познавательный аспект, передача информации, сообщения);
аффективный (эмоциональный аспект, формирование отношения);
суггестивный (внушение):
конативный (определение поведения, бихевиористская стадия).
Сущность когнитивного воздействия состоит в передаче определенного объема информации, совокупности данных о товаре; факторов, характеризующих его качество и т.п.
Целью аффективного воздействия является превращение массива передаваемой информации в систему установок, мотивов и принципов получателя обращения. Инструментами формирования отношения являются частое повторение одних и тех же аргументов, приведение логических доказательств сказанного, формирование благоприятных ассоциаций и т.д.
Внушение предполагает использование как осознаваемых психологических элементов, так и элементов бессознательного. Это связано с тем, что определенная часть рекламного послания может усваиваться адресатом, минуя сферу активного мышления. Результатом внушения может быть убежденность. получаемая без логических доказательств.
Конативное воздействие обращения реализуется в «подталкивании» получателя к действию (конечно, к покупке), подсказывание ему ожидаемых от него действий.
Осознание необходимости этих основных уровней воздействия рекламного обращения на сознание человека легло в основу множества рекламных моделей.
Вот такой психо-социальный хакинг у маркетологов и социологов, нашего якобы прогрессивного Человечества, стоит на вооружении.
pomodor
7 октября, 2014 - 21:07
Это Вы к чему?
Texnoline
7 октября, 2014 - 09:15
Что и сделал, прямо сейчас! С Уважением к Вам:)
pomodor
7 октября, 2014 - 17:42
Благодарю! Уже намного лучше, но все равно заголовки — говно. :) Может все же почитаете советы по ссылке выше? Эти советы дает не какой-нибудь хрен с горы, а чувак, который работал в Ленте.ру и достиг просветления на почве подбора правильных заголовков.
pomodor
7 октября, 2014 - 18:10
Рассмотрим новые версии заголовков. Не подумайте только, что я пытаюсь придраться. Вовсе нет. Это в порядке дружеской дискуссии, которая поможет нам всем разобраться, какие всё же придумывать заголовки, чтобы статью прочитало как можно больше людей. Мы все в этом заинтересованы. Итак:
1. «Основы безопасности в Linux!». Восклицательный знак тут совершенно лишний. Вы же не в атаку людей поднимаете. Сам заголовок ничего не говорит о содержании статьи. Там советы для бабушек не запускать трояны от каккеров? Под основами можно понимать что угодно.
2. «Заявление Президента России о тотальном контроле в Рунете...» Зачем здесь многоточие? К тому же, можно дать более емкий заголовок: «Путин против тотального контроля за Рунетом».
3. «Классика DDOS - атак!!!». Целых три знака восклицания. Наверное, вопрос жизни и смерти? Во-вторых, правильно писать так: DDoS-атак. Есть тире, а есть дефис. Принципиально разные вещи.
4. «Потенциальная помощь, для любимого ресурса!:)». Ненужная запятая, смайлик в заголовке — диагноз. :)
5. «Компания «СБЛ-Техноложис» и ФТС России - как "распилили" миллиард федерального бюджета!!!». Уже лучше! По крайней мере, приблизительно понятно о чем речь. Можно убрать неуместные восклицания и знак минуса.
6. «Рецепт линуксоида....!» Какой рецепт? Кулинарный? Тогда почему линуксоида? Линуксоида расчленили, сделали из него пирожки и поделились рецептом? А что это за знак — «....»? Многоточие с точкой в конце? А восклицание зачем? Все ждали этот рецепт всю свою жизнь и наконец дождались?
Texnoline
7 октября, 2014 - 20:02
Хорошо, частично согласен с Вами. Перечитаю в свободное время еще раз данную статью.
pomodor
7 октября, 2014 - 21:10
Спасибо. Рад, что Вы не оскорбились как барышня, а приняли к сведению мои советы. Это именно мои субъективные советы. Хотите прислушивайтесь, хотите — нет. Буду рад, если кто-нибудь по делу покритикует и мои заголовки.
Комментировать