So sichern Sie einen Linux-Computer ordnungsgemäß

16

Offensichtlich gibt es verschiedene Methoden für die Sicherung von Heimcomputern im Vergleich zu professionellen Computern. Meine Fragen beziehen sich im Allgemeinen auf die Sicherung von Heim-Desktops, aber professioneller Schutz ist auf jeden Fall willkommen :) Wissen ist Macht.

Seitdem ich vor ein paar Jahren in die wundervolle Welt von Linux gewechselt bin, habe ich nie wirklich an Sicherheit gedacht. Als der am wenigsten lebende Abschaum gelten Viren für Windows-Computer, da sie häufiger vorkommen.

Aber woher weiß ich, ob ich vor allen sicher bin, die auf mich oder meine Sachen loswerden wollen? Ich weiß, dass jeder, der entschlossen genug ist, in das Testament einzusteigen, keine Frage ist. Aber welche Schritte kann ich unternehmen, um mich vor Dingen wie Schurkenwurzelschalen und automatischen Angriffen zu schützen? Gibt es auch eine Art integrierte Firewall / Antivirus in mehr Linux-Distributionen?

Ich weiß, dass diese Frage recht weit gefasst ist, da es unzählige Möglichkeiten gibt, wie jemand Ihr System gefährden könnte, aber vielleicht können Sie uns mitteilen, was Sie getan haben, um sicherzustellen, dass Sie in Sicherheit sind.

BEARBEITEN: Ich habe beschlossen, keine root-Anmeldung über ssh zuzulassen und den Port zu ändern, der zufällig abgehört wird. Hoffentlich ist dies ein Schritt in die richtige Richtung. Derzeit werden iptables und das Herunterfahren von Diensten untersucht. Hoffentlich bekommt diese Frage viele gute Antworten (es gibt bereits 3) und sie hilft anderen Paranoiden :)

EDIT 2: Ich habe einige Probleme mit iptables, aber es hat sich als gutes Werkzeug erwiesen

EDIT 3: Bisher hat noch niemand das Thema Festplattenverschlüsselung angesprochen. Lohnt sich das? Ich habe es noch nie benutzt und weiß nicht, wie es funktioniert. Wie einfach ist das zu erreichen?

Noch eine Änderung: In Bezug auf Dienste, die auf Ihrem System ausgeführt werden sollen, welche sollten oder sollten ausgeführt werden? Welche Ports sollten auf deiner Box offen sein? Das hängt natürlich davon ab, was Sie verwenden, aber was ist standardmäßig geöffnet und was ist gefährlich?

n0pe
quelle
9
Stellen Sie keine Verbindung zum Internet her.
Wuffers
Es gibt keine Möglichkeit, etwas vollständig abzusichern, es wird immer eine Lücke in Ihrem System geben
Sandeep Bansal,
Ich erwähnte, dass in meiner obigen Frage auch die Frage von "vollständig" auf "richtig"
geändert wurde
Richtig? Oh, in diesem Fall schließen Sie es an nichts an. (Diese Frage verdient eine Menge Stimmen!)
Randolf Richardson
3
Wenn die Bedrohung nicht über das Internet dorthin gelangen kann, kann sie über Sneakernet dorthin gelangen. Das heißt, Sie arbeiten daran, die häufigsten Sicherheitslücken zu beseitigen, die für Ihre Betriebssituation spezifisch sind, anstatt in Paranoia zu verfallen, indem Sie versuchen, alle möglichen Bedrohungen zu minimieren.
music2myear

Antworten:

8

Sie können mit sehr knifflig werden iptables. Schauen Sie sich das an man pageund Sie werden sehen, wie komplex diese Software ist. Abgesehen davon, dass Sie nicht wie oben erwähnt eine Verbindung zum Netz hergestellt haben, ist dies wahrscheinlich so gut wie möglich.

Verwenden Sie in diesem sshFall keine Kennwörter, sondern öffentliche Schlüssel.

Installieren Sie nur Software von den vertrauenswürdigen Repos der Distribution. Es gibt verschiedene Maßnahmen, die dazu beitragen, die Integrität der gefundenen Pakete zu erhalten.

Halten Sie Ihr System auf dem neuesten Stand.

Führen Sie nicht als Root aus, sondern erhöhen Sie die Berechtigungen nur, wenn dies erforderlich ist.

Verwenden Sie beim Surfen im Internet beispielsweise FlashBlock / AdBlock / NoScript.

Keine Panik.

boehj
quelle
2
+1 für die Hitchhicker Referenz! ähm .... in 34 min (Abstimmung cap -_-)
n0pe
3
Ich mag UFW, um iptables für bloße Sterbliche zugänglich zu machen;)
Andrew Lambert
Haha ... ah ja, danke dafür. Einverstanden, dass UPW einen Blick wert ist.
Boehj
Das ist UFW, sorry. Hatte gestern einen schlechten Tippfehler. :)
Boehj
Lesen Sie nicht die Manpages für iptables, sondern frozentux.net/iptables-tutorial/iptables-tutorial.html
cybernard
5

Sie werden mit einer sofort einsatzbereiten Linux-Installation zufrieden sein. Deaktivieren Sie einfach alle Dienste, die Sie nicht verwenden. Wenn es sich um einen Heim-PC handelt, müssen Sie sich keine Sorgen machen.

Ich habe seit Jahren Ubuntu auf meinem Desktop ausgeführt, wobei nur einige Dienste wie Bluetooth und Ordnerfreigabe deaktiviert waren, und benutze dann das Betriebssystem. Sie können ein Antivirenprogramm installieren, das jedoch nicht wirklich benötigt wird.

Sandeep Bansal
quelle
Vielen Dank, ich werde später heute einen Blick auf meine Dienste werfen, wenn ich die Chance dazu bekomme.
Nr.
5

Es hängt sehr stark davon ab, wofür Sie es verwenden und welche Ports geöffnet sind. Wenn Sie zum Beispiel viele Dienste im Internet haben und diese häufig missbraucht werden, ist fail2ban fantastisch - ich verwende es beispielsweise, um zufällige SSH-Exploits zu blockieren.

Die Nichtbenutzung Ihres Root-Kontos ist ebenfalls vernünftig. Die Ubuntu-Methode, keinen Root-Account zu haben, hat tatsächlich einige Vorteile, und Ihre gewöhnlichen Brute-Force-Angriffe würden versuchen, Benutzernamen UND Passwörter zu erraten.

Verringern Sie schließlich, wie bereits erwähnt, die Bedrohung, indem Sie nicht verwendete Dienste und nicht sofort benötigte Ports herunterfahren.

Geselle Geek
quelle
Ubuntu hat keinen Root-Account? Ich habe das vor OpenSuse benutzt und immer den Befehl sudo benutzt. Bedeutet das, dass sudo einen Root-Benutzer "virtualisiert" oder so?
Nr.
2
Es gibt tatsächlich einen Root-Account ohne Passwort. sudo erhöht vorübergehend deine Rechte auf root, aber du kannst dich nicht als root anmelden, ohne sudo su
Journeyman Geek
sehr cool, wusste nicht, dass
n0pe
Wenn Sie root ein Passwort mit sudo passwd root geben, können Sie sich als root anmelden, ohne dass dies erforderlich wäre.
Stacey Richards
4

Lesen Sie den NSA-Leitfaden zur Sicherung von Red Hat Linux . Es ist ein guter Leitfaden für den Einstieg in das Sperren eines Basissystems. Möglicherweise verwenden Sie Red Hat nicht, aber es gibt Ihnen eine gute Vorstellung davon, was Sie sich ansehen müssen. Wenn Sie auf Ihrem System Dienste bereitstellen, müssen Sie sich natürlich mit den Risiken aus diesen Diensten befassen.

Xenoaktiv
quelle
2

Die Festplattenverschlüsselung ist relativ einfach und unkompliziert einzurichten. Einige Distributionen (insbesondere Ubuntu) bieten an, Ihr Home-Verzeichnis bei der Installation für Sie zu verschlüsseln.

Ob es sich lohnt oder nicht? Nun, es schützt Ihre Daten nicht vor dem Eindringen von Personen aus dem Internet - sobald der Computer gestartet ist und die Dateisysteme eingehängt sind (verschlüsselt oder nicht), kann der Computer die Daten lesen - und somit kann der Angreifer die Daten lesen.

Was es Sie schützt, ist jemand, der physisch in Ihr Haus einbricht und Ihren Computer stiehlt. Es verhindert, dass sie auf Ihre Daten zugreifen können. Nicht viele Mörder wollen die Daten haben. Sie wollen nur den Computer für ein schnelles Geld weiterverkaufen, damit sie mehr Drogen nehmen können.

Sie sollten Ihre vertraulichen Dateien besser einzeln verschlüsseln, damit nur Sie sie mit einem Schlüssel / einer Passphrase abrufen können. Dadurch wird verhindert, dass sie von einem Angreifer leicht gelesen werden können.

Majenko
quelle