Най-доброто ръководство за сигурността на десктоп Linux
Защитата на настолен Linux обикновено се счита за фундаментално по-стабилна от Windows. Това обаче не означава, че можете да „инсталирате и забравите“ за работния плот на Linux. Нуждае се от защита толкова, колкото всяка друга операционна система. В тази статия ще предоставим някои практически съвети как да направите това.
Като започнем, кратък преглед на начина, по който е замислен и разработен Linux, ще ви помогне да разберете защо сигурността на десктоп Linux е по-трудна за разбиване от някои други десктоп операционни системи.
Кратка история на Linux
В началото на 90-те студент от финландския университет на име Линус Торвалдс започна работа върху Unix-подобно ядро, след като беше вдъхновен от намалена Unix-подобна операционна система, нареченаMINIX. Ядрото узря и в крайна сметка се превърна в ядрото за операционни системи като Android, ChromeOS и операционната система за десктоп/сървър, която днес наричаме Linux.
Правилният Linux е само ядрото на операционната система, с което хората не взаимодействат. Всичко, което някога сте виждали на машина с Linux, е приложение, а не Linux, но името преобладава, за да обозначава цялата операционна система, за голямо огорчение на Ричард Столман и Проектът GNU (Gnu не е Unix).
Проектът GNU започва, когато Торвалдс е на 14 години и 7 години преди да бъде замислено ядрото на Linux. Възпитаник на MIT Ричард Столман (RMSв хакерските кръгове) признаха по-рано, че за да могат хората наистина да притежават своите цифрови данни, всичко, използвано за създаването на тези данни, включително операционната система и всички нейни спомагателни компоненти, трябва да бъде непатентовано. За тази цел RMS основава проекта GNU и написва първия лиценз за безплатен (като непатентован) софтуер, известен като Общ публичен лиценз на GNU през 1989 г. До 1991 г. проектът GNU създаде редица помощни програми, но все още нямаше работещо ядро, което беше наречено GNU Hurd . на Торвалд Linux ядрото стана по-жизнеспособна алтернатива на Hurd и тъй като Torvald го пусна под GNU General Public License, стана по-целесъобразно да се комбинира с помощните програми на GNU. Така се появява първата операционна система, която не е патентована.
Заден план:
Думата в софтуерните среди се отнася до софтуер, който не е патентован и може да се използва от всеки за всякакви цели. Разграничението между двете възможни значения на думата е описано с фразата. В опит да се направи това разграничение по-лесно за предаване, терминът (F/ZAGUBA, или FLOSS, понякога само FOSS) беше измислен като начин за обединяване и. И в двата случая думата за вкъщи е, че в този контекст се отнася до факта, че софтуерът не е патентован и е свободен за използване и модифициране.
Проектът GNU поддържа, че днешният наистина е софтуер на GNU, работещ с ядро на Linux и следователно трябва с право да се наричаGNU/Linuxза да гарантират, че проектът GNU получава подходяща заслуга за техните инструменти. За съжаление, хората са показали, че е малко вероятно да си направят труда да се опитват да увият езика си около фразата, така че битката да е почти загубена.
Обратно към ядрото на Torvald: MINIX беше обикновена образователна операционна система написана от Андрю Таненбаум като учебно пособие за неговия учебник, който Торвалдс използва в университета. MINIX все още съществува днес и е насочен основно към вградени системи с ниски ресурси. Торвалдс използва това знание, за да създаде свое собствено ядро и така се роди Linux.
Дефиниции
Ядро
Linux е монолитно ядро. Без да се затъвате в плевелите, това по същество означава, че ядрото работи изцялопространство на ядрото. Паметта на компютъра се предоставя по различни начини. Паметта, до която потребителските приложения имат достъп, се наричапотребителско пространство. Памет, за която са достъпни само привилегировани процеси като тези, изисквани от операционната системапространство на ядрото. Това означава, че за потребителските приложения е трудно да повлияят на операционната система, тъй като приложенията нямат достъп до процесите на ядрото.
Зловреден софтуер
Зловреден софтуер е общият термин за всеки тип софтуер, който прави нещо лошо. Вируси, потенциално нежелани програми (PUP) и шпионски софтуер са примери за зловреден софтуер.
Шпионски софтуер
Шпионският софтуер се опитва да открадне чувствителна информация от вашия компютър и да я предаде на лошия човек. Популярни методи за шпиониране са кийлогъри, които предават всеки клавиш, който натиснете, и програми за проследяване на браузъра, които проследяват сайтовете, които посещавате в мрежата.
Ботнет мрежи
Ботнет мрежите се използват за стартиране на разпределени атаки за отказ на услуга (DDoS) срещу уебсайтове. За да свали целеви уебсайт, нападателят обикновено се нуждае от хиляди, ако не и стотици хиляди компютри на свое разположение. Тъй като всъщност не е практично да притежавате или наемате толкова много компютри, лошите момчета използват вашия компютър.
Те правят това, като ви подмамват да инсталирате техния ботнет код на вашия компютър, обикновено чрез стандартни фишинг техники. След като ботнет злонамереният софтуер е инсталиран на вашата система, той докладва на лошия човек, обикновено в IRC канал и след това заспива. Когато лошият има достатъчно готови ботове, той им издава команди и ботът на вашия компютър, както и много други, оживяват и започват да изпращат злоупотребяващ трафик към целевия сайт. Вие, потребителят, оставате в блажено неведение, че компютърът ви се използва по този начин.
Вируси и червеи
Вирусът или червеят е част от зловреден софтуер, който има допълнителната характеристика да може да се възпроизвежда. Повечето зловреден софтуер се инсталира веднъж и ако лошият иска да зарази друг компютър, той трябва да убеди собственика на този компютър също да инсталира неговия зловреден софтуер и т.н. Обратно, вирус или червей ще се инсталира сам и след това ще търси други свързани в мрежата компютри, на които може да се копира.
Скорошните огнища на WannaCry и други атаки на ransomware бяха червеи. Един човек в организацията по погрешка кликна върху фишинг връзка и червеят беше инсталиран на неговия компютър. След това обхождаше мрежата, за да намери други компютри и за много кратко време всеки компютър в мрежата беше заразен.
Начини, по които Linux е по-сигурен от Windows
Привилегии по подразбиране
Много фундаментален принцип за сигурност е този наНай-малка привилегия. Този принцип гласи, че всеки субект, потребител или друг, трябва да получи само минималното количество привилегии, необходими за изпълнение на работата му и не повече. Например, потребител, който трябва само да създава документи и да ги отпечатва, не се нуждае и от възможността да променя скрийнсейвъра или да има достъп до интернет.
За многопотребителски операционни системи има втори също толкова важен принципИзолация. Принципът на изолация се използва по много начини. В този случай е най-добре да се използва за описание на разделянето на потребителите. Не трябва да се позволява дейностите на един потребител да засягат други и данните, принадлежащи на един потребител, трябва да бъдат достъпни за друг потребител, освен ако не е изрично разрешено.
Linux е изграден като многопотребителска операционна система от първия ден и следователно тези принципи са вградени. Windows е проектирана като настолна система за един потребител и към нея с течение на времето са добавени различни функции, за да се справят със слабостите на оригиналния дизайн в свят, свързан с интернет.
По-популярните дистрибуции на Linux създават непривилегирован потребителски акаунт за ежедневна употреба, докато настолен потребител на Windows обикновено е потребител на ниво администратор. Контрол на потребителските акаунти (UAC) беше въведен в Windows Vista, за да създаде повече бариера пред инсталирането и изисква потребителите специално да разрешават определени действия, като щракнат върху бутона OK, когато бъдат подканени.
Като се изискват администраторски права за инсталиране на програми, е по-трудно да се внедри зловреден софтуер. Най-слабото звено във всяка верига за сигурност обаче е потребителят. Докато тези инструменти за ескалиране на привилегии са напълно функционални в света сега, много потребители просто ще въведат своята администраторска парола или ще щракнат върху бутона OK, за да позволят извършването на високо привилегировани дейности, когато се появи подканата. Голяма база от потребители, които нямат знанията да разберат защо са подканени да предоставят повишени идентификационни данни, прави много трудно тези инструменти да бъдат наистина ефективни.
Осиновяване
Има много дискусии относно това дали по-ниският процент на приемане на Linux се дължи на това, че е по-малка цел за зловреден софтуер и следователно възникват по-малко инфекции.
Всички зловреден софтуер не са еднакви. Авторите на зловреден софтуер пишат своите програми с някаква конкретна цел. Много злонамерени програми се използват за набиране на нищо неподозиращи компютри, за да станат част от ботнет. Някои злонамерени програми са написани за кражба на идентификационни данни за влизане в чувствителни сайтове. Някои са написани, за да разрушат компютъра, на който са инсталирани. Във всеки от тези случаи авторът на зловреден софтуер иска да бъде ефективен. Целта е да напишете кода веднъж и след това да го внедрите многократно на възможно най-много различни компютри. Имайки предвид тази цел, очевидно е, че писането на зловреден софтуер за Windows е по-добра цел от писането на зловреден софтуер за Linux.
На практика е невъзможно да се открие истинската степен на приемане на Linux. Част от проблема е, че Linux е вграден в толкова много потребителски устройства, че дори не е ясно как да броим едно устройство като Linux устройство. Другият основен препъникамък е, че настолният Linux е софтуер FLOSS, така че няма данни за продажби, които могат да се използват. Всичко, което наистина можем да направим, е да разгледаме вторични данни, като изтегляния на Linux, или да помолим хората да го направят регистрирайте се като потребители на Linux . Различни методологии поставиха възприемането на работния плот на Linux някъде между 1 и 34 процента, което е толкова голяма вариация, че е почти безполезно. Някои хора от индустрията отбелязват, че показателите в почти всички проучвания са ориентирани към САЩ, така че не отразяват глобалния пазарен дял и може да достигнат до 12 процента в световен мащаб.
Това, което знаем обаче, е, че е изключително малко вероятно да има повече използвани настолни компютри с Linux, отколкото настолни компютри с Windows. Като автор на злонамерен софтуер би било по-разумно да напишете код на Windows, тъй като това ще осигури по-широка база за атака, с която да работите.
Отворен код
TheОтворен кодМетодологията за разработка на софтуер е противоположна на начина, по който софтуерът обикновено се е разработвал в миналото. Повечето софтуерни приложения се създават вътрешно и изходният код е патентован и скрит от всеки извън компанията. Обратно, софтуерът с отворен код е точно това – отворен. Той се публикува в публични хранилища на кодове, за да позволи на всеки да види кода, да го прегледа за грешки и дори да го модифицира и да внесе своите промени обратно в основния проект.
Поддръжниците на Open Source използватЗаконът на Линусза да илюстрира защо това е по-добрата методология за развитие.
.
Противниците на отворения код използват наблюдението на Робърт Глас, че тъй като броят на грешките, открити в кода, не се мащабира линейно с броя на рецензентите, законът е грешка. Изглежда има някаква заслуга в това. Има примери за проекти с отворен код, които имат бъгове, открити години след първото им въвеждане.
AppArmor
ПриложениеликацияБроняе на ниво ядроЗадължителен контрол на достъпа(MAC) функция, която ограничава приложенията от достъп до класове компютърни ресурси. Например AppArmor може да позволи на текстов процесор да чете и записва файлове на локалния твърд диск, но да му откаже достъп до интернет за изпращане на съобщения.
Спомнете си, че след написването на зловреден софтуер, следващата най-трудна задача на лошите е да подмамят хората да го внедрят в техните системи. Често срещан начин да направите това е например да поставите зловреден софтуер в някакъв напълно различен тип файл файлове със субтитри на филми . Приложение като AppArmor може да бъде конфигурирано да забранява на тези файлове всякакви възможности за запис или интернет, тъй като файл със субтитри няма да има нужда от тези функции. При това всеки зловреден софтуер във файла няма да може да копира себе си или като новоназначен член на ботнет.
AppArmor беше въведен в ядрото на Linux 2.6.36 (октомври 2010 г.) и се появи за първи път в OpenSUSE Linux и е активиран по подразбиране в Ubuntu от 7.10. AppArmor вероятно не се нуждае от много настройка за стандартна настолна система, тъй като настройките по подразбиране са достатъчно добри, за да отблъснат повечето опити за злонамерен софтуер. По-дълбоко обяснение как работи AppArmor и как може да се персонализира е в уикито на Ubuntu.
SELinux
СсигурностИnhancedLinuxе друга MAC система, която предхожда AppArmor с няколко години. Агенцията за национална сигурност на Съединените щати (NSA) създаде SELinux като серия от пачове на ядрото и инструменти за потребителско пространство. За първи път беше включен в тестовата версия 2.6.0 на ядрото на Linux (2003).
Повечето потребители на настолни компютри намират SELinux за сложен за конфигуриране и също така изисква файлова система, която поддържа етикети, докато AppArmor не се интересува от типа на файловата система. Поради тези причини AppArmor пое ролята на преобладаваща MAC система за настолни Linux системи.
Как да защитите вашата Linux машина
Антивирусна програма
Има някои статии в интернет, които твърдят, че антивирусната програма просто не е необходима на работния плот на Linux. Този късоглед поглед върху света помага за разпространението на зловреден софтуер. Всеки компютър, свързан към интернет, участва в тази мрежа и има способността да получава злонамерени файлове. Не струва нищо, буквално, да стартирате антивирусна програма на Linux, така че е мистерия защо някои автори смятат, че неизползването на антивирусна програма за Linux си струва риска. Има достатъчно доказателства за Linux зловреден софтуер в съществуване.
Важно е да стартирате антивирусна програма на Linux машина, дори ако смятате, че не сте изложени на риск от заразяване. Повечето настолни компютри с Linux са част от домашна или офис мрежа, която включва и компютри с Windows. Въпреки че е малко вероятно Linux машина да бъде заразена от Windows вирус, тя може лесно да пренесе злонамерения софтуер до Windows машините. За да влошат нещата, Linux сървърите често се използват като файлови сървъри или сървъри за електронна поща в офис среда, което означава, че те непрекъснато обменят файлове с другите компютри в офиса. Злонамерен файл, съхраняван на машина с Linux, която се доставя на работни станции с Windows, е лошо нещо, което антивирусната програма ще помогне да открие.
ClamAV е често срещано антивирусно приложение F/LOSS, което може да бъде инсталиран лесно от хранилищата на Ubuntu. Статията, към която се свързах, има подробни инструкции как да инсталирате и конфигурирате ClamAV.
Инсталирането му на версия на Debian, като самия Debian или някой от вариантите на Ubuntu, обикновено е толкова просто, колкото използването на apt-get.
|_+_|Тази команда трябва да инсталира clamav, freshclam (програмата за актуализиране на подписи) и графичния потребителски интерфейс (clamtk). Ще искате да актуализирате ClamAV веднага след инсталирането, за да сте сигурни, че имате най-актуалните подписи. Това може да стане от панела с настройки в потребителския интерфейс на ClamTK.
Или можете да го направите от командния ред, като използвате |_+_| команда.
|_+_|След това се уверете, че ClamAV ще сканира за всеки тип зловреден софтуер вНастройкиопция.
И накрая, има смисъл да настроите график за сканиране, което може да се направи и отПланировчикпанел.
ClamAV може да се инсталира в дистрибуции, базирани на Redhat Packagmage Manager (RPM), като се използва yum или специфичния за дистрибуцията пакетен мениджър.
|_+_|Руткитове
Руткитовете са друга опасност и антивирусните програми може да не са в състояние да ги открият. Тъй като вирусът може наистина да зарази система само ако се управлява от root или администраторски потребител, често срещан вектор за атака за Linux е да подмами потребителя да инсталира един от тези руткитове. Руткитът е част от злонамерен софтуер, който е в състояние да получи разрешения на ниво root на Linux кутия, без потребителят да знае за това. Руткитовете обикновено са в комплект с друг, легитимен на вид софтуер, който подмамва потребителя да стане root за инсталиране. По това време руткитът също се инсталира и тъй като инсталацията е извършена като root потребител, руткитът вече има и права на root. Руткитите са много трудни за откриване, защото имат способността да променят всеки файл в системата, което означава, че могат да прикрият следите си. Някои лоши момчета обаче са небрежни и сканират за руткитове с помощта на подобно приложение chkrootkit понякога може да го разкрие. Ако вашата система е била заразена с руткит, най-добрият начин на действие е да приемете, че цялата система е била компрометирана и да я форматирате. Трябва също така да внимавате да инсталирате каквито и да било приложения от резервно копие след преинсталиране на вашата система, ако не можете да определите откъде е дошъл руткитът. В крайна сметка може да преинсталирате руткита.
Chkrootkit може да се инсталира от хранилищата на Ubuntu с помощта на apt-get.
|_+_|Конгруентната команда в базирана на RPM система е:
|_+_|За да видите тестовете, които ckrootkit може да извърши, използвайте превключвателя -l (L):
|_+_|Командата |_+_| може да се стартира без никакви опции, което ще изпълни всички тестове. Има много резултати от този тип проверка. Критичността на всеки резултат е в дясната колона и може да варира от до до.
|_+_|Компетентен системен администратор ще трябва да оцени тези съобщения. По своята същност руткитите са много трудни за откриване, така че chkrootkit обикновено може да ви уведоми само когато види нещо не съвсем правилно. Системният администратор ще трябва да проучи всеки случай, за да определи дали има действителен риск или е фалшив положителен резултат.
Tripwire
Трудно е да се води дискусия за сигурността на Linux без Tripwire идва. Tripwire е a. Това просто означава, че е инсталиран на хост (компютър) вместо в мрежа и може да открие дали файловете са били променени от нарушител.
Споменавам го само в тази статия, за да отбележа, че Tripwire е предназначен за използване на сървъри, а не на настолни компютри. Вероятно теоретично е възможно да го инсталирате на десктоп, въпреки че това не е предназначението му.
Защитна стена
Вече всички сме се запознали с думата защитна стена, но може да не е ясно какво прави. Истинската физическа защитна стена е огнеустойчива стена, която спира пожара в една стая от разпространение в друга стая. Истинските защитни стени са често срещани в офис сгради и жилищни комплекси. Пренасяйки тази концепция в интернет, защитната стена е софтуер, който предотвратява навлизането на трафик от един сегмент на мрежата в друг сегмент. По-конкретно, той спира трафика от интернет, идващ към вашата домашна мрежа, освен ако не е изрично поискано.
Повечето къщи вероятно имат рутер в наши дни и рутерът изпълнява някои от основните функции на защитната стена. Рутерът изобщо не трябва да е конфигуриран да приема входящи връзки, но е най-добре винаги да проверявате инструкциите на рутера, за да сте сигурни. Добра двойна проверка за отворени входящи портове е Gibson Research Щитът е вдигнат! порт проверка.
Вариантите на Ubuntu идват сUltimate Firewall(UFW) инсталиран или в хранилищата. За да видите дали е инсталиран, въведете |_+_| в командния ред. Ако получите нещо като |_+_| след това се инсталира. Ако не е инсталиран, apt-get ще направи това вместо вас. По желание инсталирайте gufw, ако искате графичният потребителски интерфейс да конфигурира UFW, въпреки че е изключително лесен за работа само от обвивката.
|_+_|UFW няма да се активира след инсталиране.
|_+_|Първо ще трябва да създадете правило или две, след което можете да го активирате. За да разрешите само моя IP достъп през SSH, командата изглежда така (използвайте собствения си IP, а не 11.22.33.44):
|_+_|За да проверите дали е взето, използвайте статус:
|_+_|За да премахнете правило, най-лесно е да го направите по номер. Изпълнете състояние с тази опция за номер и след това изтрийте това числово правило:
|_+_| |_+_|За да активирате защитната стена, използвайте |_+_|:
|_+_|За да го деактивирате, използвайте |_+_|:
|_+_|UFW всъщност е просто интерфейс за IPTables, както можете да видите, ако стартирате |_+_| когато UFW е активиран. Има много интерфейси за IPTables или IPTables могат да се използват директно, но UFW го прави много лесно.
Графичният потребителски интерфейс позволява всички същите функции.
Актуализации
Някои от най-лесно използваемите вектори на атака във всеки софтуер са известни слабости. На хакерски език терминът[експлойт от нулев ден]( https://en.wikipedia.org/wiki/Zero-day_(компютинг) (или само ) се отнася до експлойт, който е открит, но все още не е известен от доставчика на софтуера. Всъщност това дава възможност на продавача да го поправи, след като разбере за това. Това означава, че нулевите дни са най-опасните от всички експлойти, защото лошите момчета активно ги експлоатират, докато продавачът се надпреварва да ги закърпи. Рано или късно доставчикът ще го закърпи и ще издаде актуализация за своя продукт, която затваря този експлойт.
Когато доставчикът издаде корекцията, уязвимостта ще стане много широко известна. Други лоши момчета, които все още не са знаели за уязвимостта, могат да изтеглят актуализацията и да я анализират. В много случаи те са в състояние да открият какъв е експлойтът въз основа на това, което е променено в актуализацията. След това те могат да използват тази информация, за да търсят екземпляри на това приложение, които все още не са актуализирани.
От това можете да заключите, че изчакването за актуализиране на софтуера на вашия компютър просто оставя вашата система отворена за по-дълъг период от време, когато може да бъде успешно атакувана. Важно е поне да прилагате актуализациисигурностактуализации на вашата система, възможно най-скоро след като станат налични.
Като изключително нагледен пример за опасността от 0-дни, неотдавнашният WannaCry ransomware атака който зарази повече от четвърт милион компютри в над 150 държави, използва 0-дневен експлойт в протокола Microsoft Windows Server Message Block (SMB), наз. В този случай EternalBlue не беше нов; общоприето е, че е бил открит от Агенцията за национална сигурност на САЩ преди години. Вместо да информира Microsoft за уязвимостта по това време, NSA мълчи за нея и я използва за атака на компютри по целия свят в продължение на години. NSA разкри уязвимостта на Microsoft едва след като експлойтът беше откраднат от тях от хакерската група The Shadow Brokers и публикуван на света.
интернет
Интернет е най-ефективната система за доставяне на злонамерен софтуер, измислян някога от хората. Всеки и навсякъде може да ви изпрати злонамерен софтуер чрез обичайни ежедневни методи, като имейл. Ако се увлечете и инсталирате зловреден софтуер, компютърът ви може да започне да изпраща данни на лошия човек по интернет веднага. В случай че ransomware , доста бързо ще стане очевидно, че вашият компютър е заразен. Въпреки това, ако злонамереният софтуер е проектиран да набира вашия компютър в ботнет или тихо да регистрира всичките ви потребителски имена и пароли, може никога да не забележите, че е инсталиран, освен ако не използвате антивирусна защита и защита от злонамерен софтуер.
Може да е трудно за лош човек да премине през защитни стени, рутери и антивирусни програми. По-лесно е да атакувате отвътре, като ви подмамите да стартирате програми. Докато много от нас започват да разбират фишинг имейли , много по-трудно се откриваизтегляне от шофиранеатаки. Drive-by атаките се отнасят до сайтове, които изтеглят злонамерен Javascript или друго изпълнимо съдържание във вашия браузър, без да знаете за това. От многото начини за това Javascript и Flash са най-лошите нарушители.
Javascript
Сърфирането в мрежата с активиран Javascript предизвиква атака. Има много хора, които ще кажат, че интернет е напълно развален без Javacript и следователно не е практично да го изключвате, но това не е вярно. Използване на плъгин като ScriptBlock за Chrome или NoScript за Firefox ще ви позволи достъп с едно кликване до активиране на Javascript за сайтове, които се нуждаят от него. Позицията по подразбиране е да деактивирате Javascript и след това да го активирате за всеки сайт. Това означава, че при бъдещи посещения на сайтове, на които вече имате доверие, ще бъде разрешено да изпълняват Javascript.
Светкавица
Adobe Flash е толкова опасен, че написах цяла статия по темата Flash уязвимости . Flash има един от най-високите нива на критична уязвимост от всеки софтуер, за който знам.
NoScript за Firefox блокира Flash, както и Javascript, а Chrome има Flash изключен по подразбиране. Ще трябва да отидете в http://chrome/settings/content, за да активирате Flash в Chrome. Ако трябва да го направите, можете да използвате плъгин като Flashcontrol за да контролирате кои сайтове имат право да изпълняват Flash.
Виртуални частни мрежи (VPN)
VPN мрежите са стандартен слой за сигурност, за който повечето хора, загрижени за сигурността и поверителността, знаят. Работният плот на Linux е просто още една свързана с интернет машина и като такава няма специални защити срещу шпиониране на мрежата. Следователно използването на VPN на Linux машина е също толкова важно, колкото използването на VPN с всяка друга операционна система.
Когато използвате VPN, мрежовият трафик, който напуска вашия работен плот, е криптиран и не се дешифрира, докато не достигне до VPN сървъра, който използвате. Входящият трафик се криптира на VPN сървъра и се дешифрира само когато пристигне на вашата машина. Това означава, че сте защитени донякъде срещу подслушване от вашия интернет доставчик. Ако сте в ситуация, в която използвате ненадеждна мрежа, като обществен wifi, тогава VPN е от съществено значение като това криптиране ще попречи на лошите в същата мрежа да могат да четат вашите пакети.
В наши дни има нарастваща поддръжка за VPN мрежи, които поддържат Linux. Ако сте донякъде технически разбиран, можете да изберете изградете свой собствен VPN сървър, като използвате инстанция на Amazon EC2. Ако предпочитате просто да имате нещо, което работи веднага, Comparitech поддържа списък с Linux VPN доставчици тук .
OpenVPN е най-разпространеният VPN протокол на Linux и много от предложенията на доставчиците всъщност използват OpenVPN под капака. OpenVPN е популярен, защото използва надеждния SSL протокол, може да работи на всеки порт и поддържа Perfect Forward Secrecy. Ако използвате VPN, предоставен от доставчика, потърсете такъв, който използва OpenVPN.
Целостта на изтеглянето
Фишинг имейлите обикновено се опитват да ви накарат да направите едно от двете неща: да ви подмамят да влезете във фалшив сайт, за да може лошият човек да открадне вашето потребителско име и парола, или да ви подмамят да инсталирате някакъв софтуер на вашата система, който ще бъде от полза за лошия човек по някакъв начин. Тъй като ефективността на фишинг имейлите пада, лошите трябва да намерят други начини да ни подмамят. Един от тези начини е да направят техния злонамерен софтуер да изглежда като добър софтуер и ние да го инсталираме нарочно.
Разширенията за злонамерен софтуер обикновено ще инсталират реклами във вашата система или ще пренасочат търсенията ви към някаква генерираща приходи търсачка, или ще инсталират други приложения, които не искате, заедно с разширението, което искате. Тази практика е толкова широко разпространена сега, че лошите момчета купуват изоставени разширения с добри оценки и инжектират зловреден софтуер в тях. Това е по-ефективно от разработването на нова добавка, тъй като новите добавки започват без оценки и подлежат на по-високо ниво на проверка от магазините за добавки на браузъра.
Източник на изтеглянето
Важно е да внимавате какво точно изтегляте и откъде го изтегляте. Например изтеглянето на антивирусна програма от легитимния уебсайт на доставчика вероятно е ОК. Изтеглянето му от уебсайт на трета страна с име на домейн, което не изглежда свързано с доставчика, вероятно не е ОК. Това се отнася и за хранилищата за дистрибуция на Linux, които са разгледани по-късно в тази статия.
Контролни суми на файлове
Някои приложения всъщност не са благоприятни за изтегляне от едно място, като например уебсайт на доставчик. Много приложения, особено приложения за сигурност и поверителност, се разпространяват чрез други методи като торенти. Без един идентифицируем източник на изтегляне е по-трудно да определите дали можете да се доверите напълно на приложението. Един метод, който някои автори на софтуер използват, е да предоставят математическа контролна сума на тяхното приложение. След това потребителите могат да изпълнят същата математическа функция срещу файла, който са изтеглили, и ако двете суми съвпадат, тогава е вероятно файлът да не е бил променен.
MD5
Докато MD5 е доста категорично отхвърлен като надеждна контролна сума , все още се използва широко. Използвайки chkrootkit като пример, виждам, че MD5 подписът за zip файла е публикуван на сайта на chkrootkit като |_+_|. Трябва да мога да се доверя на това, тъй като идва директно от официална връзка chkrootkit сайт.
След това получавам копие на същия zip файл от торент или друг източник и стартирам md5sum срещу моя новоизтеглен файл:
|_+_|Тъй като контролните суми съвпадат, това е разумна гаранция, че файлът не е бил случайно повреден. Но поради слабости в алгоритъма MD5, не може да бъде гаранция, че файлът не е бил умишлено променен и изработен по такъв начин, че да се гарантира, че контролната сума на MD5 не се променя.
Същият процес с по-силен алгоритъм ще осигури по-високо ниво на увереност, че изтеглянето не е променено. Използването на подпис SHA256 срещу изтегляне на OpenOffice е един пример. Подписът OpenOffice SHA256 е на Страница за изтегляне на OpenOffice ”
|_+_|Имам нужда както от файла с контролна сума SHA256, така и от моето изтегляне със същото име, за да направя това работа:
|_+_|В края на последния ред означава, че контролната сума SHA256 на файла tar.gz съвпада.
Доверени репо сделки
Първият път за инсталиране за повечето потребители на Linux са хранилищата за разпространение. Използване на инструменти като |_+_| или |_+_| е удобен начин за инсталиране на софтуер, за който е известно, че е съвместим с вашата конкретна дистрибуция. Тези репо сделки се одитират и проверяват от поддържащите дистрибуцията, така че има доста високо ниво на увереност, че приложенията в репо сделките са безопасни. Въпреки че може да се окаже, че дадено приложение има някакъв присъщ недостатък надолу по пътя, би било трудно за някой да промени злонамерено приложение в репо и да прехвърли тази промяна през вратарите.
Като каза това, има много неофициални репо сделки и те изобщо не се пазят. В Ubuntu може да се добави софтуерно репо с помощта на apt-get и името на Персонален пакетен архив (PPA) така и замяна на REPOSITORY_NAME с приложимото репо.
|_+_|Имайте предвид, че трябва да използвате |_+_| команда за добавяне на хранилище. Това е знак, че по този начин се доверявате на софтуера в този PPA. Вие също ще използвате sudo, за да инсталирате софтуер от този PPA, когато му дойде времето, така че е важно да сте сигурни, че му се доверявате.
Много PPA се предоставят от разработчиците на Ubuntu като начин да се предложи по-актуален софтуер, който не е включен в Ubuntu, или да се предостави софтуер, който изобщо не е включен в Ubuntu. По същество обаче вие инсталирате софтуер от неизвестен източник, така че трябва да се вземат предвид същите предпазни мерки като изтеглянето от уебсайт.
Opsec
Практиките за оперативна сигурност (OpSec) не се различават в Linux от всяка друга операционна система. OpSec е практика, която противникът може да използва, за да събере големи количества привидно тривиална и несвързана информация за вас и след това да я събере, за да направи нещо много нетривиално и вредно. Класически примери са опити за използване на техники за социално инженерство, за да се получи информация за възстановяване на парола, като моминските имена на майката и имената на първите домашни любимци, след което да се използва тази информация за проникване в акаунт в Amazon или Apple. Оттам могат да бъдат получени дати на раждане, пощенски адреси и евентуално информация за кредитна карта, което позволява по-нататъшно ескалиране на атаката до още по-важно ниво, като например банкови преводи.
Важни ежедневни съображения на OpSec са неща като:
- Не използвайте повторно пароли в сайтове. Над 50 милиона акаунта са били хакнати и продадени от началото на Have I Been Pwned. Тези сметки са злато за лошите, защото те знаят, че много от тези комбинации от потребителско име и парола ще работят на много сайтове.
- Използвайте двуфакторно удостоверяване, когато е възможно. Двуфакторна автентификация (2FA) означава, че трябва да предоставите два вида удостоверяване, за да влезете в акаунта си. Първото обикновено е вашата парола. Вторият обикновено е цифров код, който се предоставя от приложение за удостоверяване, като Google Authenticator, или се изпраща чрез SMS текстово съобщение до вашия телефон. Цифровите кодове се променят обикновено всяка минута или при всяка употреба. Предимството на сигурността тук е, че ако някой лош човек успее да получи вашето потребителско име и парола, пак ще бъде невъзможно да влезете в акаунта си без този 2FA код. Само малък брой уебсайтове поддържат 2FA в момента, но трябва да го активирате, когато е възможно.
- Стремете се да избягвате публикуването на лична информация като вашия адрес или рождена дата онлайн. Информацията за адреса обикновено се намира сравнително лесно, тъй като толкова много организации публикуват неща като списъци с членове или записи за дарения.
- Шифроване: Най-малкото използвайте криптиране на диска и се уверете, че компютърът ви е изключен, когато не го използвате. Това ще шифрова вашия твърд диск, така че дори и да бъде откраднат, ще бъде трудно да възстановите данните от него. На по-високи нива използвайте файлово криптиране за вашите по-чувствителни файлове, така че те да бъдат криптирани дори когато компютърът работи или е в режим на готовност.
- Използвайте мениджър на пароли. Следването на правило №1 (не използвайте повторно пароли) е почти невъзможно без използването на мениджър на пароли. Броят на паролите, необходими за навигиране в днешния интернет, бързо ще надхвърли способността на всеки да ги управлява ръчно. В допълнение, повечето мениджъри на пароли имат функция за бележки. Това е полезно, защото няма причина да използвате действителните реални отговори на въпроси за възстановяване на парола. Измислянето на фалшиви отговори и след това съхраняването им като бележки във вашия мениджър на пароли може да осуети лошите, дори ако са успели да получат правилните отговори.
В заключение, сигурността е работа 24/7. Няма точка, в която ще сте въвели достатъчно сигурност и ще защитите компютъра си. Следването на основите, които изложих тук, ще затрудни проникването на вас и на случайни хакери. Заплахите обаче се развиват ежедневно и може да се наложи да промените практиките, за да сте в крак. Също така е най-добре да планирате предварително. Помислете какво ще правитекогати си хакнат, неакоти си хакнат. Малко подготовка може да направи този ден много по-малко стресиращ.