7 действенных советов по защите Linux от взлома
В последнее время много претензий высказывается по поводу безопасности Linux. Некоторые горячие головы даже стали заявлять, что Linux является более уязвимой системой, нежели Windows. А ведь в подавляющем большинстве случаев, виноват не «дырявый Linux», а элементарное незнание правил Linux-гигиены. Вот 7 простых советов, следование которым убережет вас от проблем.
1. Никогда не используйте слабые пароли
Все почему-то думают, что злоумышленник не пожелает подбирать именно ваш пароль. Возможно, он действительно не станет этого делать. Но в случае компрометации сервера, взломщик получит файл с хэшами паролей всех пользователей. При попытке восстановить значения по хэшу, первыми поддадутся слабые пароли. А учитывая, что многие пользователи часто используют один и тот же пароль везде, где только можно, последствия могут быть печальными.
Пароль должен быть не короче 11 символов, содержать буквы в обоих регистрах, цифры и спецсимволы. Не можете придумать такой пароль — воспользуйтесь генератором паролей.
Научитесь запоминать пароли, а не писать их на бумажке и лепить к монитору.
2. Установите пароль на BIOS
Пароль на BIOS, в некоторых случаях, может затруднить злоумышленнику доступ к вашим данным.
3. Обязательно отключите неиспользуемые службы
Не пользуетесь ssh? Отключите! Запущен web-сервер? А он точно вам нужен? Если не знаете как вывести список работающих служб и отключить некоторые из них, используйте вспомогательный софт.
4. Обновляйтесь быстро и полностью
Устанавливайте все заплатки, которые связаны с безопасностью. Старайтесь обновляться как можно более оперативно. В программах часто находят дыры и пока пользователь размышляет о необходимости обновиться (а некоторые даже откладывают обновления на несколько дней), уязвимости в программах эксплуатируются, устанавлюваются руткиты, которые потом вычистить довольно проблематично.
Кстати, есть забавный дистрибутив Linux Mint, в котором обновления безопасности делятся на категории: «это можно установить», «с этим можно погодить» и «а это вообще можно не устанавливать». Если вам нужна безопасность, то избегайте использования подобных дистрибутивов.
5. В локалке тоже есть враги
Не доверяйте пользователям локальной сети. Многие предоставляют ресурсы своего компьютера пользователям из локальной сети. Такой подход к политике безопасности частично оправдан, ведь локального злоумышленника проще вычислить и надавать ему по голове табуретом, что многих потенциальных хакеров останавливает. Но злоумышленник из внешней сети может получить доступ к одному из компьютеров локальной сети и уже с него предпринимать атаки.
6. Защищайте свою приватность
Изучите встроенные средства безопасности вашего дистрибутива. Многие дистрибутивы предоставляют возможность удалять следы активности пользователя, как браузеры позволяют удалять кэш и историю посещений. Например, в Ubuntu можно зайти в "Системные настройки" и выбрать пункт "Приватность", чтобы указать какие виды пользовательской активности не стоит отслеживать.
7. Используйте шифрование. Всегда, когда есть такая возможность
Многие программы имеют опцию шифрования данных. Внимательно изучите все предоставляемые возможности и рассмотрите как они могли бы вам помочь усилить общую безопасность системы. Шифрование осложняет незаметную подмену данных и защитит от лишних вопросов полицейских, когда те придут изымать ваш комп.
Комментарии
reflexius
5 июля, 2017 - 09:00
Все рекомендации имеют очевидный смысл, кроме выпада в сторону Linux Mint. Автору рекомендовано ознакомиться с руководством пользователя Linux Mint, прежде чем выдавать собственные фантазии за реальность. Пишу это критическое замечание, т.к. Linux Mint — один из наиболее удобных дистрибутивов для переходящих с Windows на Linux и подобные опусы лишь вводят в заблуждение начинающих линуксоидов. Все, подчеркиваю — ВСЕ обновления безопасности показаны в менеджере обновлений Linux Mint и отмечены для обновления ПО УМОЛЧАНИЮ. Ни на какие категории они не делятся, разве что только в воображении автора.
pomodor
5 июля, 2017 - 15:17
А чо, Mint — дистрибутив без единого изъяна, просто идеальный? Да еще неприкасаемый, который нельзя критиковать?
Да ну? А это что?
5 уровней, 2 последних отключены по умолчанию.
reflexius
6 июля, 2017 - 07:40
Нет, конечно, не без изъяна. Как и все остальные дистрибутивы Linux. Но проблема заключается в том, что аргументируя свою точку зрения по тому или иному вопросу, многие авторы очень далеко уходят от реальности и слишком часто выдают желаемое за действительное. Не хочу вдаваться в полемику, потому, что это будет пустая полемика, а хотелось бы, чтобы это было обсуждение. Использовать устаревшие данные, старые скриншоты и вырванные из контекста цитаты — не лучшие средства доказательства правоты, кто бы там что не доказывал.
Ваш скриншот очень старый и не соответствует содержанию и функциям текущего менеджера обновлений.
Вот новый, со списком обновлений по-умолчанию. Самый первый столбец (Type) — это тип обновления. Серая стрелка вниз — обновление пакета, красный восклицательный знак — обновление безопасности.
Во-первых, видно, уровней больше 3-х. Во-вторых, обновления безопасности есть на всех уровнях и отмечены для обновления. В-третьих, мы видим, что показаны, но не выделены обновления, связанные с ядром. Обновления 5-го уровня (опасные) не показываются, это действительно оставлено на усмотрение пользователя.
Вот окно настроек менеджера обновлений с установленными по умолчанию типами обновлений.
Таким образом, единственное, что может быть предметом дискуссии — это обновления версии ядра и связанных с ним драйверов для железа. Вот и все. По Вашему мнению, обновлять нужно по принципу "все, что есть, то и будем есть". По-моему мнению — нет. Никакой достойной аргументации, почему я должен обновлять ядро автоматически я не вижу. Все остальные претензии к Linux Mint на сегодняшний день просто не соответствуют действительности.
pomodor
5 июля, 2017 - 15:42
Что касается простоты Минта. Windows тоже прост. Отсюда вирусы, трояны и эпидемии. Где простота, там проблемы.
Приговор Минту.
reflexius
6 июля, 2017 - 07:21
Цитата соответствует положению дел в прошлом, года 3-4 назад. Сегодня это уже не соответствует действительности. Приговор отменяется :)
Чингачгук
6 июля, 2017 - 01:33
Если локальному злоумышленнику система недоступна, то остается ломать только те проги, что выходят в интернет :)
Если нет запущенного сервера, то выходят только браузеры и сервис NTP :)
Texnoline
6 июля, 2017 - 14:41
лучше по-дефолту, ставить все обновления безопасности и для ядра, для драйверов, ибо низкоуровневый доступ — это самая "мякотка", для зловредов различных!:)
Чингачгук
7 июля, 2017 - 23:55
Спасибо за совет, но я всегда прислушиваюсь к мнению большинства разработчиков, что ядро это критический элемент системы и без острой необходимости от обновления ядра стоит воздержаться.
Не верите? Спросите у любого разработчика любого дистрибутива Linux.
Чингачгук
8 июля, 2017 - 12:49
А как зловред получает низкоуровневый доступ в современных версиях Linux ?
Чингачгук
29 июля, 2017 - 16:24
Легко. Критические дыры в ядре отыскиваются по несколько штук в месяц, а кроме них есть ещё и дыры во всякой шняге, работающей под рутом, а потому поиметь доступ можно элементарно. Ну а потом через insmod подгружаешь что надо прямо в ядро и наслаждаешься.
Чингачгук
7 июля, 2017 - 19:24
Не припомню похожего случая, когда бы я оценил и статью и все комментарии нашего уважаемого pomodor(a) оценкой в "кол". ))
pomodor
7 июля, 2017 - 21:20
Да, у хомячков плохо с умением аргументированно отстаивать позицию. Даже когда нападают на их фетиш. Максимум — могут где-то подсернуть в голосовалке. :) А поскольку всем плевать на голоса хомячков, то обычно об этом еще и в комментариях напишут. Ну, я к этому отношусь спокойно, иначе бы программно запретил себе ставить плохие оценки. ;)
leserf50
8 июля, 2017 - 11:26
Я правильно делаю?
1. Создаю текстовый файл и ограничиваю права в свойствах всем, кроме меня.
2. Копирую команду в терминал:
gpg --gen-random --armor 1 32
3.Чищу полученный пароль от лишних знаков, то есть чтобы оставались только числа и буквы.
4. Копирую пароль в текстовый файл и сохраняю.
Надо будет пароль — копирую его оттуда. Пароли просто не запомню, они длинные очень.
Я домашний пользователь. Мне до лампочки эти работы. И вантуз забыл. Для большей безопасности. Например, от всяких там "WannaCry".
reflexius
8 июля, 2017 - 22:51
Вы в вопросе и дальнейшем описании смешали разные аспекты безопасности. В целом, Вы делаете правильно. Но я бы исключил пункт 3, т.к. "лишние" знаки делают Ваш пароль более стойким.
Для удобного управления паролями (создание, хранение, использование) лучше, все-таки, использовать не текстовые файлы, а специализированные программы. Можно порекомендовать, например, KeePassX (Linux) или KeePass (Windows). Обе программы имеются в репозиториях, но KeePassX на Linux — абсолютный победитель по простоте, скорости и удобству работы. Категорически не рекомендую пользоваться всевозможные онлайн сервисами по хранению паролей.
Наличие сложного пароля не защищает Вас от WannaCry, потому что любой шифровальщик будет шифровать под теми правами, которые сможет получить. То есть, изначально у него уже будут Ваши права и Ваш файл с паролем он зашифрует также успешно, как и другие, к которым Вы имеете права на запись. Но тема шифровальщиков очень обширна и вряд ли возможно ее раскрыть в комментариях. Главная проблема зловредов не техническая, а психологическая. Абсолютное большинство пользователей либо не знают того, что нужно для безопасной работы на компьюере, либо не видят проблем там, где они существуют. Главное, на что нужно обратить внимание — это Ваши привычки работы на компьютере и, в частности, с электронной почтой, т.к. сегодня это основной канал попадания зловредов на компьютер. Не открывайте вложения от незнакомых отправителей или, еще лучше, запретите любые вложения в почте от недоверенных отправителей. Используйте раздельные ящики для разных типов отправителей (проще установить органичения). Делайте хотя бы еженедельные бэкапы системы. Бэкапы рабочих документов лучше делать ежедневно (программ для этого предостаточно). Если есть желание и знаете как, наилучшим способом защиты от зловредов является изоляция получения почты в пространстве виртуальной машины.
leserf50
9 июля, 2017 - 09:45
Те самые +,=? А в выводе команды получения пароля они есть.
Некоторые сайты показывают подобное:
Используйте только латинские буквы и цифры.
Пароль должен содержать не менее 6 и не более 16 символов и состоять из латинских букв и цифр.
Пробелы недопустимы.
Я знаю, что некоторые сайты "вредят".
За keepassx - спасибо! Ещё и генератор паролей есть!
То есть команда генерации пароля не нужна?Между ними нет разницы.Чингачгук
18 февраля, 2020 - 16:04
Дите вы с какой планеты свались. у вас там что все наивные
поставьте тупую кали линукс и посмотрите еине забудьте при этом посмотреть как она вас залаживает если у вас нет серьезьных денег сидите и не трепыхайтесь еще лучше походите по хакерским форумам надеюсь эйфория быстро с вас с падет
leserf50
18 февраля, 2020 - 16:17
э, дружок, этому посту уже 3 года с лишним, с тех пор линукс-Ъ-фанатизм прошёл, паролями я уже так давно не заморачиваюсь, к тому же занимаю нейтральную позицию среди linux/windows/android юзеров, срачи стараюсь обходить стороной...
Чингачгук
26 августа, 2017 - 16:34
Про полицейских (последний пункт) — забавно! Будто они не попросят у Вас ключ/пароль от зашифрованного. Недавно в вБритании посадили же за отказ назвать пароль. И логично.
Чингачгук
10 мая, 2018 - 17:36
статья ни о чем
пока вы не блокируете редактирования grub во время загрузки, ни чего не поможет.
Прописывается параметр в загрузку ядра и я загружаюсь в систему по root и делаю все что угодно
Чингачгук
18 февраля, 2020 - 11:26
О чем здесь вообще речь? Начнем с того, если обычный пользователь Ubuntu примет вложение в письме, то оно 99,9% будет относиться к миру Windows и только 0% с чем-то вероятность появления скрипта, который не факт что еще запустится. Про вирусы и атаки в мире Линукс забудьте минимум как на дцать лет. Ошибаюсь? Пример в студию, ссылку! Чтобы я тупо с лайфсиди зашел на сайт, кликнул, скачал и оно само запустилось в системе! Это именно то, что делает обычный виндоюзер. Он скачивает музыку, а там файлик muzon.mp3..............exe он его кидает на десктоп и вуаля, заразился. Но в мире Linux это невозможно, хотябы из-за chmod.
Чингачгук
18 февраля, 2020 - 15:43
Тебя в каком роддоме родили не подскажешь.
Сначала перелопать безопасносность в в линух а уже потом высказывай свое мнение. Да думаю хватило бы рекомендадаций от от ANB Что ни чмо так вечно со своми рекомендациями лезет уровень маразма просто поражает
Чингачгук
19 февраля, 2020 - 11:48
я также грубил всем подряд когда работал на заводе у станка. Думаю что вам следует отправиться в бан.
Texnoline
22 февраля, 2020 - 15:38
Вот, все начинается с азбуки - а не с ядреной физики, тьфу *лядь, с ядерной...но всем по*уй на это, тем более молодняку, пример: Файл EXE, создаваемый компоновщиком, состоит из двух частей:
- управляющая информация для загрузчика;
- загрузочный модуль.
+ по своей структуре, это самый злой в плане секурности архивный контейнер, вот откуда у него растут гребаные костыли...:))) учите азбуку посоны и с Вами будет Сила!
Ну, а если ФГМ достигает орбиты Марса, то можете считать его обычным файлом исполняемым, как завещал великий и ужасный Билли:)))
Комментировать