10 законов безопасности Ubuntu
Ubuntu считается безопасной операционной системой. Но нарушение базовых принципов защиты способно скомпрометировать даже самую надежную ОС. Как не стать легкой добычей киберпреступников?
1. Подписи репозиториев. Чем их больше, тем хуже. Каждый добавленный публичный ключ увеличивает вероятность подмены содержимого пакета. Периодически просматривайте список ключей (apt-key list) и удаляйте потерявшие актуальность.
2. Будьте осторожны с добавлением новых пакетных репозиториев. Обязательно проверяйте источник пакетов и оценивайте степень доверия к его владельцу. Не забывайте, что через репозитории распространяется бинарный код, выполняемый от имени администратора системы. Добавить неизвестный репозиторий — то же самое, что выполнить под root неизвестный код.
3. Используйте сложные пароли. Пароли вида 123456 — причина №1 всех сетевых инцидентов с печальным итогом. Полезные статьи: «Генерация ультрастройкого пароля одной строкой в Linux», «Скорректированы правила выбора надежных паролей».
4. Осторожнее с root! Не только не работайте без особой нужды под root, но и запретите вход в систему под этим именем. Настройте sshd так, чтобы и он не пускал (PermitRootLogin no). Используйте права администратора только тогда, когда они действительно необходимы.
5. Используйте анализаторы сетевой активности. Например, Wireshark позволяет засечь несанкционированный обмен данными с внешней сетью. Это позволит легко обнаружить вирусы, трояны и даже некоторые руткиты. Можно использовать инструменты попроще — например, tcpdump.
6. Регулярно обновляйте систему. Незакрытые вовремя уязвимости — самый простой способ проникнуть в вашу систему. Настройте автоматическое обновление.
7. Не занимайтесь копипастой в терминал тех команд, значение которых не понимаете. На форуме вам могут подсунуть код, с помощью которого вы рискуете удалить все данные или даже протроянить свой компьютер. Опасность многократно возрастает, если вы вводите команды от имени администратора.
8. Обязательно установите межсетевой экран. Если слабо разбираетесь в его настройке, используйте надстройки с графическим интерфейсом. Базовая настройка iptables обязательна для всех. Вот тут хорошее руководство.
9. Открытые порты. Держите их всегда под контролем. Команды netstat -l -n -a и lsof -iTCP помогут в этом.
10. Неиспользуемые сервисы. Отключите их. Особенно те, которые предоставляют сетевой доступ (ssh, apache, nginx, postfix и т.п.). Оставьте только нужные.
Комментарии
De'MON
18 октября, 2012 - 21:11
Статья полезная.Это даже не советы,а "Правила".Их нужно показывать после первого запуска после установки дистрибутива(типа:"Внимание!Прочтите и выучите эти правила,перед тем как пользоваться системой) :)
pomodor
18 октября, 2012 - 21:20
Согласен. Более того, дистрибутивы при установке показывают условия использования, которые никто не читает, можно было бы показывать эти правила и устраивать по завершению миниэкзамен. Такие простейшие меры сократили бы количество лохов на порядок. ;)
MrBison
19 октября, 2012 - 08:27
Количество пользователей тоже упало бы на порядок.
Чингачгук
2 марта, 2016 - 20:00
всё верно. мне вот однажды понравилось(давненько было — но не со времён "принятия лицензии") когда кнопка "согласие" активировалась только после скроллинга до окончания. След.шаг ввести мини тест после прочтения лицензии — дабы понять читал чел или нет что ему писали, ну это конечно уже круто но тем не менее к примеру права на управление автомобилем тоже выдают после теста и все с этим считаются ибо правильно;)
имхо...
Чингачгук
19 октября, 2012 - 08:40
По третьему пункту имеет смысл дополнить:
sudo apt-get install wireshark gufw rkhunter chkrootkit clamtkЧингачгук
15 ноября, 2012 - 18:39
о, думал уже зарегаться и задать "вопрос статью" и тут в тему
---
7. Будьте осторожны с добавлением новых пакетных репозиториев. Обязательно проверяйте источник пакетов и оценивайте насколько ему можно доверять.
---
совет конечно полезный, но абсолютно бестолковый в повседневной жизни, меня кстати этот вопрос давно мучит, даже не будем трогать мифическую или сферическую домохозяйку в вакууме которой поставили убунту, возьмем околоайтишного нового юзера
- какими методами он может "оценить источник"? если, как я понимаю даже на том же лаунчпаде, "проверок" нет и (не)умышленно можно посадить в код че угодно. Или я таки ошибаюсь?
на убунтуфоруме сказали - "смари сам чо ставишь, э")
pomodor
15 ноября, 2012 - 18:48
А мне кажется, что проверить как раз достаточно просто. Прогуглить адрес репозитория и посмотреть сколько народу на него ссылается и в каком контексте.
Чингачгук
15 ноября, 2012 - 20:01
разумеется я не рассматривал тривиальные варианты
но, окей, хотим слушать музыку из вконтактика в ритмбоксе (5 минут назад захотелось мне и как раз достаточно массовый пример и есть че "уводить" у пользователя), гуглим.. форумы.. блаблабла.. получаем
launchpad.net/rhythmbox-plugin-vkontakte
как бы напрашивается вопрос "и чо?", возможно не самый удачный пример, но давайте смотреть правде в глаза 90% юзеров любой системы не будут заниматься глубоким гуглением перекрестных ссылок, анализировать отзывы о ПО именно за последнее время, а популярный пакет мог за последнюю неделю трансформироваться в "ботовода" и байбай прыщики, при этом имея кучу положительных отзывов со старта разработки.
Это конечно все надуманно и нашептано моей паранойей, но как по мне при таком положении дел, выражение "система без вирусов доступная даже чайнику" несколько... не соответствует действительности)
pomodor
15 ноября, 2012 - 21:03
Тут уж ничего не поделаешь. Либо музыка из Вконтактика, либо безопасность. :) Кстати, не понимаю я всеобщего увлечения музыкой из файлопомойки Павлентия. Есть же более удобные и качественные файлопомойки с флаками. Зачем? Где смысл? Где логика? ;)
pomodor
15 ноября, 2012 - 21:06
К тому же, в соцсетях многие под реальными именами, там все протоколируется и сохраняется навсегда. Стоит ли потреблять там контрафакт, собирая на себя компромат, чтобы потом суд запросил инфо и отправил на отдых?
Чингачгук
16 ноября, 2012 - 21:33
причина банальна - удобно, даже мне, не по этим делам, акк вычищен, но не удаляю так как удобно искать/смотреть/слушать/играть иногда (че греха таить :) ) + стал замечать увеличение кол-ва народа "кому за 40", видать из-за игр регятся.
вопрос же не о музыке из вконтактика и безопасности, ты прекрасно это понимаешь ведь, вопрос о безопасности как таковой
Чингачгук
2 марта, 2016 - 21:46
Кстати, если не ошибаюсь gufw вроде тоже позволяет смотреть вх.исх. соединения, tcpdump не обязателен.
Lessa
3 марта, 2016 - 09:23
90% проблем у юзверей от копипаста.. Привычка копипастить все подряд часто выходит боком.. Проверять репозитории наверное нужно, но как сделать на деле.. если репозиторий для твоего дистра находится на офсайте программы, я думаю, что ему можно доверять.. фиревал обычно уже включен по-умолчанию..
Я бы еще добавила про запуск скриптов из непонятных источников, в той же убунте (по-моему) галочка на исполнение по умолчанию стоит.. Хоть вирусов для линукса трудно найти, но троянчик могут подкинуть
Чингачгук
12 марта, 2016 - 14:36
судя по статье, линукс мало чем от винды отличается )))
Комментировать