Aucun de nous ne veut que des informations personnelles aient des mains des autres. Mais comment protéger le système des attaques et de détournement de fonds? Ne pas avoir à lire les manuels kilomètres pour la mise en place et les algorithmes de cryptage? Pas nécessairement. Dans cet article, je vous dirai comment rendre le système Linux en toute sécurité littéralement en 30 minutes.
introduction
Nous vivons dans un siècle appareils mobiles et permanent en ligne. Nous allons dans un café avec un ordinateur portable et courons sur des serveurs Web maison affichés sur Internet. Nous sommes enregistrés sur des centaines de sites et utilisons les mêmes mots de passe pour les services Web. Dans nos poches, il y a toujours un smartphone dans lequel des dizaines de mots de passe sont bouchées et des clés de plusieurs serveurs SSH sont stockées. Nous sommes tellement habitués au fait que les services tiers s'occupent de notre confidentialité, ce qui a déjà cessé de faire attention à elle.
Lorsque j'ai perdu le smartphone, j'ai eu beaucoup de chance que l'Antiko installé sur elle était fonctionnant et autorisée à effacer à distance toutes les données de la mémoire de l'appareil. Quand j'étais inattentif ouvrit le port SSH sur une voiture maison avec un utilisateur sans mot de passe (!) Au monde extérieur (!!), j'ai eu beaucoup de chance que le script-kiddy soit mis sur la voiture, qui, en plus de L'histoire ridicule de Shell n'a laissé aucune trace grave de leur séjour dans le système. Lorsque j'ai accidentellement publié sur la liste Internet avec mon mot de passe de Gmail, j'ai eu beaucoup de chance que j'ai trouvé une personne gentille qui m'avait prévenue à ce sujet.
Peut-être que je suis une brise-lames, mais je crois fermement que de tels incidents ont eu lieu à beaucoup de ceux qui ont lu ces lignes. Et bien, si ces gens, contrairement à moi, prennent sérieusement soin de la protection de leur voiture. Après tout, l'antigeleur ne pouvait pas fonctionner, et au lieu du script-Kiddi, des personnes sérieuses pourraient entrer dans la voiture et je ne pouvais pas perdre un smartphone, mais un ordinateur portable, où il n'y avait pas d'autre protection à l'exception du mot de passe de l'utilisateur. Non, comptez sur un seul facteur authentification Google Et des mots de passe stupides de notre époque ne doivent pas être définitivement, vous avez besoin de quelque chose de plus sérieux.
Cet article est un guide uniccsoïde paranoïaque, dédié à la protection totale de la voiture Linux de tout et de tout. Je ne résoudrai pas dire que tout décrit ici est nécessairement destiné à être utilisé. Un totalement inversement, il s'agit d'une collection de recettes, d'informations pouvant être utilisées pour se protéger et les données sur ces frontières, où elle est nécessaire dans votre situation particulière.
Mot de passe!
Tout commence par des mots de passe. Ils sont partout: dans la fenêtre de connexion de la distribution Linux, dans les formes d'inscription sur les sites Internet, sur les serveurs FTP et SSH et sur l'écran de verrouillage du smartphone. Standard pour les mots de passe d'aujourd'hui est de 8 à 12 caractères dans différents registres avec l'inclusion de nombres. Générez de tels mots de passe avec leur propre esprit est assez fastidieux, mais il existe un moyen facile de le faire automatiquement:
$ Openssl rand -base64 6
Aucune application externe, aucune extension pour navigateurs Web, OpenSSL ne figure sur aucune machine. Bien que, si une personne est plus pratique, elle peut installer et utiliser pwgen à cette fin (par exemple, le mot de passe sera plus résistant):
$ Pwgen -bs 8 1
Où stocker des mots de passe? Aujourd'hui, chaque utilisateur a tant d'entre eux qu'il est tout simplement impossible de tout stocker dans la tête. Trust un système de stockage automatique de navigateur? Vous pouvez, mais qui sait comment Google ou Mozilla les concernera. Snowden a dit que pas très bien. Par conséquent, les mots de passe doivent être stockés sur la machine elle-même dans le conteneur crypté. Les fondateurs sont recommandés pour utiliser Keepassx pour cela. La pièce est graphique, ce qui ne ressemble pas beaucoup aux fondateurs eux-mêmes, mais cela fonctionne partout, y compris la célèbre analyse Google Android (Keepsdroid). Il ne restera que de traverser la base de données avec des mots de passe.
Crypter
Cryptage - Autant dans ce mot ... Aujourd'hui, le cryptage est partout et nulle part en même temps. Nous sommes obligés d'utiliser des versions HTTPS de sites et nous ne nous soucions pas. On nous dit: "Catalogue de cratacherie", et nous disons: "Ensuite, vous allez configurer." On nous dit: "L'occupation préférée des employés de Dropbox est de rejoindre les images personnelles des utilisateurs" et nous: "Laissez Rzut". Pendant ce temps, le cryptage est le seul moyen de protection absolu aujourd'hui. Et il est très disponible et lisse les rides.
Sous Linux, vous pouvez trouver des tonnes d'outils de cryptage tout et tout, contre des partitions sur le disque dur aux fichiers unique. Les trois outils les plus connus et testés sont DM-Crypt / Luks, Ecryptfs et FCFS. Le premier chiffre des disques entiers et des sections, deuxième et troisième - catalogues avec une information importantChaque fichier séparément, qui est très pratique si vous devez faire des sauvegardes incrémentielles ou utiliser dans un paquet avec Dropbox. Il existe également plusieurs outils moins connus, notamment Truecrypt, par exemple.
Faites immédiatement une réservation qui crypter le disque entier est entièrement - la tâche est compliquée et, surtout, inutile. Il n'y a rien de particulièrement confidentiel dans le catalogue racinaire et ne peut pas être, mais le répertoire domestique et l'échange sont juste un couple d'informations. De plus, la seconde est encore supérieure à la première, car il peut être donné des données et des mots de passe déjà sous forme décodée (les programmeurs normaux interdisent au système de lancer de telles données dans un échange, mais une telle minorité). Configurez le cryptage et d'autres très simples, il suffit d'installer des outils Ecrypt:
$ sudo apt-get installer ecryptfs-utils
Et, en fait, activer le cryptage:
$ sudo ecryptfs-setup-swap $ ecryptfs-setup-privé
Ensuite, il suffit d'entrer votre mot de passe utilisé pour la connexion et de rebondir dans le système. Oui, tout est vraiment si simple. La première équipe crypte et remonte Swap en changeant les chaînes désirées dans / etc / fstab. La seconde - créer des répertoires ~ / .private et ~ / privé, dans lesquels des fichiers cryptés et déchiffrés seront stockés respectivement. Lors de la connexion au système, le module PAM_ECRYPTFS.SO PAM sera déclenché, ce qui monte le premier répertoire de la seconde avec le cryptage de données transparentes. Après que la nichée ~ / privé soit vide, et ~ / .private contiendra tous les fichiers sous forme cryptée.
Il n'est pas interdit de chiffrer entièrement tout le répertoire de la maison. La performance ne tombera pas beaucoup, mais tous les fichiers seront sous la protection, y compris le même catalogue de réseau ~ / Dropbox. Ceci est fait comme ceci:
# Ecryptfs-migrate-home -u Vasya
À propos, l'espace disque doit être 2,5 fois plus que les données VASYA, donc je vous recommande de le nettoyer à l'avance. Une fois l'opération terminée, entrez immédiatement l'utilisateur VASYA et vérifiez les performances:
$ Mont | grep privé /home/vasya/.private on / home / Vasya type ecryptfs ...
Si tout va bien, une copie non cryptée des données peut être perdue:
$ sudo rm -r /home/vasya.* 
Notez les traces
OK, les mots de passe sont dans un endroit sûr, des fichiers personnels aussi, que maintenant? Et maintenant, nous devons veiller à ce que certaines pièces de nos données personnelles entrent dans des mains étrangères. Ce n'est pas un secret pour quiconque, lors de la suppression d'un fichier, son contenu actuel reste sur le transporteur même si elle est formatée. Nos données cryptées seront en préservation même après l'effacement, mais qu'en est-il des lecteurs flash et d'autres cartes mémoire? Ici, nous utilisons l'utilitaire SRM, qui ne supprime pas simplement le fichier, mais remplit également les blocs de données qui reste à la poubelle:
$ sudo apt-get installer sécurisé-Supprimer $ SRM Secret File.txt Home-Video.mpg
# DD if \u003d / dev / zéro de \u003d / dev / sdb
Cette commande effacera toutes les données sur le lecteur flash SDB. Ensuite, il sera laissé à créer une table de partition (avec une section) et format dans la FS souhaitée. Il est recommandé d'utiliser FDISK et MKFS.VFAT pour le faire, mais vous pouvez faire et graphique GParted.
Prévenir l'attaque bruteforce
Fail2Ban - Un démon qui considère les journaux pour tentative de choisir des mots de passe pour les services réseau. Si de telles tentatives sont trouvées, l'adresse IP suspecte est bloquée par des emballages IPTABLES ou TCP. Le service est capable d'informer l'hôte de l'incident de messagerie et de réinitialiser le blocage via régler le temps. Initialement, Fail2Ban a été développé pour protéger SSH, aujourd'hui des exemples prêts à l'emploi pour Apache, Lightpd, Postfix, Exim, Cyrus IMAP, nommés, etc. De plus, un processus Fail2Ban peut immédiatement protéger plusieurs services à la fois.
À Ubuntu / Debian pour l'installation, nous recrutons:
# Apt-get install écho2ban
Les conversions sont situées dans le répertoire / etc / échec.ban. Après avoir modifié la configuration, vous devez redémarrer Fail2Ban par la commande:
# /etc/init.d/fail2ban redémarrez.
Menace de l'extérieur
Maintenant, prenez soin des menaces émanant du sous-sol internet. Ici, je devrais commencer une histoire à propos de IPtables et de PF, a commencé sur la machine en surbrillance exécutant OpenBSD, mais tout cela est négligé lorsqu'il y a un iPkungfu. Ce que c'est? Il s'agit d'un script qui produira tout le travail sale sur la configuration du pare-feu pour nous, sans avoir à établir des listes de kilomètres des règles. Installer:
$ sudo apt-get install iPkungfu
Règles config:
$ sudo vi /etc/ipkungfu/ipkungfu.conf # Le réseau localSi vous avez - écrivez l'adresse du réseau avec le masque, non - écrire une adresse de bouclage local_net \u003d "127.0.0.1" # Notre voiture n'est pas une passerelle de passerelle \u003d 0 # Fermer les ports souhaités interdits_ports \u003d "135 137 139" # Blocage de pinggi, 90% Kiddov tombe à ce stade bloc_pings \u003d 1 # gouttes de paquets suspects (différents types d'inondations) suspect \u003d "goutte" # Drop "incorrect" paquets (certains types de DOS) connus_BAD \u003d "DROP" # Numérisation du port ? À la poubelle! Port_scan \u003d "goutte"
Pour allumer l'iPkungfu, ouvrez le fichier / etc / par défaut / iPkungfu et modifiez la chaîne IPKFStart \u003d 0 sur ipkfstart \u003d 1. Run:
$ sudo ipkungfu.
De plus, nous faisons des modifications dans /etc/sysctl.conf:
$ sudo vi /etc/systcl.conf # Drop ICMP Redirects (contre les attaques de type MITM) net.ipv4.conf.all.accept_redirects \u003d 0 net.apv6.conf.all.accept_redirects \u003d 0 # Inclure TCP Syncookies Net.IPV4 .tcp_nyncookies \u003d 1 # Différents Tweaks (protection d'usurpation, augmentation des connexions TCP "demi-ouverture" et ainsi de suite) net.ipv4.tcp_timpstamps \u003d 0 net.ipv4.conf.all.rp_filter \u003d 1 net.ipv4.tcp_max_syn_backlog \u003d 1280 noyau .core_us_pid \u003d 1.
Activer les modifications:
$ sudo sysctl -p
Nous révélons l'invasion
Snort est l'un des outils d'administration préférés et la principale caractéristique de tous les guides de sécurité. Chose longue histoire et les caractéristiques colossales qui sont dévouées de livres entiers. Ce qu'il fait dans notre guide par réglage rapide système de sécurité? Et ici c'est l'endroit, Snort ne peut pas configurer:
$ sudo apt-get installer snort $ snort -d
Tout! Je ne plaisante pas, les réglages de sniff standard sont plus que suffisants pour protéger les services de réseau standard, si, bien sûr, vous avez. Vous n'avez besoin que de regarder à travers le journal de temps en temps. Et vous pouvez détecter des chaînes du type d'entre eux:
[**] Tentative de dépassement de la réponse de la sonde MS-SQL [**] http://www.securityfocus.com/bid/9407]
Oops. Quelqu'un a essayé d'appeler le débordement de la mémoire tampon dans MySQL. Il y a aussi une référence à la page avec une description détaillée du problème. Beauté.
Quelqu'un son malade ...
Quelqu'un surtout intelligent a pu contourner notre pare-feu, passer par Snort, obtenir droits des racines Dans le système et se rend maintenant au système régulièrement à l'aide de l'arrière-plan installé. Pas bon, le backdoor doit être trouvé, supprimer et rafraîchir le système. Pour rechercher Rootkits et Backdoors, nous utilisons Rkhunter:
$ sudo apt-get install rkhunter
Cours:
$ sudo rkhunter -c --sk
Softtina vérifiera l'ensemble du système pour la présence de rootkits et affichera les résultats à l'écran. Si les logiciels malveillants sont toujours là, Rkhunter indiquera et peut être perdu. Un journal plus détaillé est ici: /var/log/rkhunter.log. Ranger Rkhunter est meilleur en tant que tâche cron quotidienne:
$ sudo vi /etc/cron.daily/rkhunter.sh #! / bin / bash / usr / bin / rkhunter -c --cronjob 2\u003e & 1 | Mail -s "Résultats de l'analyse Rkhunter" [Email protégé]
Nous remplaçons l'adresse e-mail de Vasya à votre exécutable de script:
$ sudo chmod + x /etc/cron.daily/rkhunter.sh
$ sudo rkhunter-update
Au fait, il peut être ajouté avant la commande de vérification dans le scénario Cronario. Deux autres outils de recherche rootkit:
$ sudo apt-get installer tigre $ sudo tigre $ sudo apt-get install lynis $ sudo lynis -c
En substance, les mêmes œufs de Faberge de la vue des yeux d'un oiseau, mais ils ont des bases différentes. Il peut être possible d'identifier ce que Rkhunter a manqué. Eh bien, sur les debsums de snack - un outil de réconciliation des fichiers de somme de contrôle, paquets installés Avec une norme. Mettre:
$ sudo apt-get installageums
Exécuter un chèque:
$ sudo debsums -ac
Comme toujours? La course peut être ajoutée au travail cron.
Dehors
Parlons maintenant de la manière de maintenir votre anonymat sur le réseau et l'accès aux sites et aux pages bloqués à la demande de divers organismes à main droite et d'autres organisations de la Mizuline. Le moyen le plus simple à faire est d'utiliser l'un des milliers de serveurs proxy du monde entier. Beaucoup d'entre eux sont libres, mais coupent souvent le canal à la vitesse d'un ancien modem analogique.
Pour marcher tranquillement sur des sites et seulement si nécessaire, allumez le proxy, vous pouvez utiliser l'une des nombreuses extensions pour Chrome et Firefox, qui se trouvent facilement dans le catalogue du commutateur proxy. Nous installons, conduisons une liste des proxies nécessaires et passons à la liste souhaitée, voir au lieu de la page "L'accès à la page est limité à la demande de M. Skumbrevich."
Dans ces situations où l'ensemble du site a été sous le filtre et son adresse a été apportée à la liste noire du côté des serveurs DNS des fournisseurs, vous pouvez utiliser des serveurs DNS gratuits, dont les adresses sont publiées. Il suffit de prendre deux adresses que vous aimez et d'ajouter dans /etc/resolv.conf:
Nameerver 156.154.70.22 Nameerver 156.154.71.22
Pour créer différents types de clients DHCP et de NetworkManagers, les fichiers reçus du fournisseur ou le routeur sont effectués par les fichiers reçus du fournisseur ou du routeur, nous établissons le fichier non-destinataire à l'aide d'attributs étendus:
$ Sudo chattr + i /etc/resolv.conf
Après cela, le fichier sera protégé de l'enregistrement pour tous, y compris la racine.
Pour augmenter votre séjour sur le réseau, vous pouvez également utiliser le démon Dnscrypt, qui cryptera toutes les demandes au serveur DNS en plus du serveur proxy utilisé pour se connecter au site lui-même. Installer:
$ wget http://download.dnscrypt.org/dnscrypt-proxy/dnscrypt-proxy-1.3.2.tar.bz2 $ Bunzip2 -CD Dnscrypt-proxy - *. Tar.bz2 | tar xvf - $ CD Dnscrypt-proxy- * $ sudo apt-get Installer Build-Essential $ ./configure && make -j2 $ sudo faire installer
Nous spécifions dans /etc/Resolv.conf Loopback Adresse:
$ VI /etc/resolv.conf de noms de noms 127.0.0.1
Exécuter le démon:
$ sudo dnscrypt-proxy --Daemoniser
Au fait, la version de Dnscrypt est pour Windows, iOS et Android.
Routage de boucle
Qu'est-ce que le routage de lukovaya? Ceci est tor. Et TOR, à son tour, un système vous permet de créer un réseau entièrement anonyme avec accès à Internet. Le terme "oignon" ici est appliqué par rapport au modèle de travail auquel tout package de réseau sera "emballé" en trois couches de cryptage et aura lieu sur le chemin du destinataire via trois nœuds, dont chacun prendra sa propre couche et transmettre le résultat plus loin. Bien sûr, tout est plus compliqué, mais il est important pour nous seulement que c'est l'un des rares types d'organisation de réseau vous permettant de maintenir un anonymat complet.
Néanmoins, où il y a anonymat, il y a aussi des problèmes de connexion. Et le Tor est d'au moins trois d'entre eux: il est monstrueusement lent (grâce au cryptage et à la transmission à travers la chaîne de tête), il créera une charge sur votre réseau (car vous serez l'un des nœuds), et c'est vulnérable à l'interception du trafic. Ce dernier est une conséquence naturelle de l'option d'accès à Internet à partir du réseau Tor-Network: le dernier nœud (sortie) supprimera la dernière couche de cryptage et peut accéder aux données.
Néanmoins, Tor est très facile à installer et à utiliser:
$ sudo apt-get installer tor
Tout, maintenant sur la machine locale, il y aura un serveur proxy menant au réseau Tor. Adresse: 127.0.0.1:9050, vous pouvez vous rendre dans le navigateur à l'aide de toutes les mêmes extensions, de bien ou d'ajouter les paramètres. N'oubliez pas que c'est des chaussettes et non du proxy HTTP.
Info
La version Tor pour Android s'appelle Orbot.À introduire par B. ligne de commande Le mot de passe n'a pas été enregistré dans l'histoire, vous pouvez utiliser une astuce délicate appelée "Ajouter un espace au début de l'équipe".
Ecryptfs est utilisé pour chiffrer le répertoire domestique à Ubuntu.
Lutte contre les inondations.
Je donnerai plusieurs équipes pouvant aider avec votre inondation d'hôte.
Compter le nombre de connexions à un port spécifique:
$ netstat -na -na | Grep ": port \\" | Wc -l.
Compter le nombre de connexions TCP "semi-ouvertes":
$ netstat -na -na | Grep ": port \\" | Grep syn_rcvd | Wc -l.
Affichez la liste des adresses IP à partir de laquelle les demandes de connexion vont:
$ netstat -na -na | Grep ": port \\" | Trier | UNIQ -C | Trier -nr | moins
Analyse des forfaits suspects avec TCPDump:
# TCPDump -N -I -I Eth0 -S 0 -W Output.txt DST Port port et serveur IP hôte
Déposez la connexion attaquante:
# Iptables -A Entrée -S Attaque IP Attaque -P TCP -Destination-Port Port -J Drop
Limite nombre maximum Connexions "semi-ouvertes" d'une adresse IP à un port spécifique:
# IPTABLE -I INPUT -P -P TCP --SYN --DPORT PORT -MPLIMIT --IPLIMIT-HIM-10 -J DROP
Éteignez les réponses aux demandes ECHO ICMP:
# iptables -A entrée -P ICMP -J DROP --ICMP-TYPE 8
conclusions
C'est tout. Sans entrer dans les détails et sans la nécessité d'étudier les manuels, nous avons créé une boîte à linux, qui est protégée de l'invasion de l'extérieur, des rootkits et d'autres contagasis, d'une intervention humaine directement, de l'interception du trafic et de la surveillance. Il reste seulement de mettre à jour le système régulièrement, interdire l'entrée de mot de passe sur SSH, supprimer des services inutiles et prévenir les erreurs de configuration.
Lors de la conférence annuelle de Linuxcon en 2015, le créateur de la GNU / Linux Kernel Linus Torvalds a partagé son opinion sur la sécurité du système. Il a souligné la nécessité d'atténuer l'effet de la présence de certains bugs de protection compétente de sorte que lorsque la couche suivante soit violée, la couche suivante chevauche le problème.
Dans ce matériau, nous essaierons de révéler ce sujet d'un point de vue pratique:
7. Installez les écrans réseau
Récemment, il y avait une nouvelle vulnérabilité à effectuer des attaques DDO sur le serveur sous contrôle Linux. Le bogue dans le noyau du système est apparu de la version 3.6 à la fin de 2012. La vulnérabilité permet aux pirates d'introduire des virus dans des fichiers de téléchargement, des pages Web et de divulguer des connexions Tor, et pour le piratage, il n'est pas nécessaire de faire beaucoup d'effort - la méthode de réglage IP fonctionnera.Préjudice maximum pour les connexions HTTPS ou SSH cryptées - Interruption de la connexion, mais dans le trafic non protégé, l'attaquant peut mettre de nouveau contenu, y compris programmes malveillants. Pour protéger contre de telles attaques, le pare-feu convient.
Bloquer l'accès avec pare-feu
Le pare-feu est l'un des outils les plus importants pour bloquer le trafic entrant non désiré. Nous vous recommandons de passer uniquement un trafic vraiment juste et d'interdire complètement le reste.
Pour filtrer les packages dans la plupart des distributions Linux, il existe un contrôleur IPTABLE. Nous utilisons habituellement des utilisateurs expérimentés et pour une configuration simplifiée, vous pouvez utiliser UFW Utilities à Debian / Ubuntu ou Parewalld à Fedora.
8. Désactiver les services inutiles
Les spécialistes de l'Université de Virginie recommande de désactiver tous les services que vous n'utilisez pas. Quelque processus en arrière-plan Installé sur l'autoload et fonctionnent jusqu'à ce que le système soit éteint. Pour configurer ces programmes, vous devez vérifier les scripts d'initialisation. Les services en cours d'exécution peuvent être effectués via INETD ou XINETD.Si votre système est configuré via INETD, puis dans le fichier /etc/inetd.conf, vous pouvez modifier une liste des programmes de fond de démons, pour désactiver le téléchargement du service, il suffit de mettre le signe "#" au début de la ligne. , la transformant de l'exécutable dans le commentaire.
Si le système utilise XINETD, sa configuration sera dans le répertoire /etc/xinetd.d. Chaque fichier de répertoires définit un service pouvant être désactivé en spécifiant le désactivation \u003d oui, comme dans cet exemple:
Doigt de service (socket_type \u003d flux wett \u003d aucun utilisateur \u003d personne serveur de personne \u003d /usr/sbin/in.fingerd désactiver \u003d oui)
Il convient également de vérifier les processus constants qui ne sont pas contrôlés par INETD ou XINETD. Vous pouvez configurer les scripts de démarrage dans /etc/init.d ou / etc / inittab. Après les modifications apportées, exécutez la commande sous le compte root.
/etc/rc.d/init.d/inet redémarrez.
9. Protégez le serveur physiquement
Il est impossible de protéger complètement contre les attaques d'attaquants avec un accès physique au serveur. Par conséquent, il est nécessaire de sécuriser la pièce où se trouve votre système. Les centres de données sont sérieusement suivis par la sécurité, limite l'accès aux serveurs, les chambres d'installation sont installées et prescrives de sécurité continue.Pour entrer dans le centre de données, tous les visiteurs doivent subir certaines étapes d'authentification. Il est également fortement recommandé d'utiliser des capteurs de mouvement dans toutes les pièces du centre.
10. Protégez le serveur de l'accès non autorisé
Le système d'accès ou les identifiants d'accès non autorisé collecte des données et des fichiers de configuration de données et compare en outre ces données avec de nouvelles modifications afin de déterminer s'ils sont nocifs pour le système.Par exemple, TripWire et Aide Tools collectent une base de données sur fichiers système et protégez-les à l'aide d'un ensemble de clés. PSAD est utilisé pour suivre activité suspecte Utiliser des rapports de pare-feu.
BRO est conçu pour surveiller le réseau, suivi des schémas suspects, collecter des statistiques, exécuter des commandes système et générer des alertes. Rkhunter peut être utilisé pour protéger contre les virus, le plus souvent rootkit. Cet utilitaire vérifie votre système basé sur des vulnérabilités connues et peut définir des paramètres dangereux dans les applications.
Conclusion
Les outils et les paramètres ci-dessus vous aideront à protéger partiellement le système, mais la sécurité dépend de votre comportement et de comprendre la situation. Sans soin, prudence et auto-étude constante, toutes les mesures de protection peuvent ne pas fonctionner.Que nous écrivons d'autre:
Mots clés:
- 1Cloud.
- linux.
- Ib
Selon mes observations, beaucoup de ceux qui choisissent Linux uniquement parce qu'il pense que ce système d'exploitation est protégé beaucoup mieux que Windows. En fait, tout n'est pas si sans équivoque. La sécurité et en fait sont une "puce" de ce système, qui couvre la zone du noyau Linux au bureau. Cependant, le système laisse toujours de bonnes chances de tous ceux qui souhaitent "légitiser" dans votre dossier / maison. Linux, il est tout à fait possible, complètement au-delà des vers et des virus qui sont écrits pour Windows, cependant, les vers et les virus sont une partie relativement faible du problème. Les attaquants ont beaucoup de leurs "as dans la manche", grâce auxquels ils peuvent accéder à des informations importantes que vous commencez, en commençant par la photo aux documents et à la fin des cartes de crédit.
Le risque le plus susceptible d'attaque est des ordinateurs connectés au réseau, cependant, les dispositifs sans quitter le «monde externe» ne sont pas moins vulnérables. Par exemple, que peut arriver à l'ancien ordinateur portable ou avec disque durQuel utilisateur ejaches? Après tout, il existe des outils assez puissants pour récupérer des informations et beaucoup sont tout à fait accessibles à téléchargement Gratuit. Grâce à eux, chaque médium Sysadmin peut restaurer les données de votre disque et peu importe le système d'exploitation avec lequel vous avez travaillé. S'il y a des données sur le disque dur et qu'il n'a pas d'importance, qu'ils soient endommagés ou non, ces données peuvent être restaurées. Par exemple, vous pouvez recréer des comptes bancaires, reconstruire les conversations enregistrées dans les discussions, vous pouvez également restaurer des images.
C'est normal, mais cela ne vaut pas la peine pour cela d'arrêter complètement d'utiliser un PC. Faites une voiture qui est connectée à Internet, invulnérable aux attaques est presque impossible. Mais il est possible de compliquer fermement la tâche de l'attaque, en veillant à ce qu'il ne puisse pas «obtenir» quelque chose d'utile du système déjà compromis. Tirez particulièrement l'âme qu'avec l'aide de Linux elle-même, ainsi que certains programmes créés sur la base de la source ouverte, afin de garantir la protection de votre système d'exploitation Linux.
Nous discuterons de certains aspects de la sécurité Linux dans les messages suivants et commençons avec vous-même, à mon avis, important - avec des mises à jour. S'ils sont désactivés, il s'agit donc d'un problème grave, et si, par exemple, une personne de contrefaçon Windows préfère soudainement de se cacher à partir de l'outil de mise à jour automatique, puis dans le cas de Linux, ce comportement n'a tout simplement pas de sens.
Toutes les grandes distributions Linux (parmi lesquelles Debian, Fedora et Ubuntu) se ventent de leurs propres spécialistes de la sécurité qui travaillent à la main avec des équipes de soutien au paquet, offrant une protection maximale des utilisateurs de diverses vulnérabilités de sécurité. Ces commandes doivent garantir la détection des vulnérabilités à temps et devraient également produire rapidement "Patchwork", qui contemplera rapidement tous les "trous" détectés.
La distribution est que vous possède nécessairement un référentiel qui est entièrement affecté à la mise à jour du système de sécurité. Il ne sera nécessaire que d'activer ce référentiel (d'ailleurs, il est tout à fait possible, il est déjà fait à l'avance) et déterminez, manuellement ou dans mode automatique Installer les mises à jour.
Par exemple, à Ubuntu, vous devrez sélectionner l'administration système dans le menu Administration système, puis les sources logicielles. Ensuite, dans l'onglet Mises à jour, vous devez spécifier la fréquence à laquelle la distribution doit "tester" le référentiel de sécurité, à la recherche de nouvelles mises à jour sur elle et de déterminer si le système doit installer des mises à jour automatiquement, ou il doit être demandé à un utilisateur de confirmation avant installation de mises à jour. La dernière option peut être appelée plus intéressante, car elle vous permettra de visualiser les mises à jour de leur installation. D'autre part, il n'est pas nécessaire de voir souvent, généralement tout est en ordre avec des mises à jour et le choix de installation automatique Vous économiserez un peu de votre temps.
Outre les mises à jour, les distributions ont souvent une liste de distribution spéciale associée aux problèmes de sécurité. Pour envoyer les annonces de ces vulnérabilités détectées, ainsi que de distribuer des paquets qui corrigent les données de vulnérabilité. Il sera tout à fait raisonnable de suivre une liste de la liste de distribution qui concerne la sécurité et de trouver régulièrement des mises à jour de sécurité dans les forfaits les plus importants pour vous. Entre l'annonce de la vulnérabilité et le téléchargement du package de mise à jour dans le référentiel s'éteint généralement pendant un moment; Les listes de diffusion montreront comment télécharger et installer manuellement les mises à jour.
Restez anonyme sur Internet, ce n'est pas toujours le même que d'un surf de navigation sécurisé. Il est important de conserver les informations techniques maximales sur votre appareil de sécurité à partir des yeux indiscrets de manière à ce que les attaquants ne puissent pas utiliser la vulnérabilité de votre système et voler vos données confidentielles et les utiliser pour vos propres objectifs pouvant entraîner de graves conséquences.
Si vous souhaitez rester anonyme sur le réseau et protéger vos données, nous examinerons les distributions Linux les plus sûres qui vous aideront à cela.
La plupart des outils énumérés dans cet article peuvent être utilisés totalement gratuits. Outre eux, il existe également des options payantes, par exemple, VPN, mais ces outils gratuits Cool avec votre tâche beaucoup mieux. Le besoin de sécurité sur Internet est en croissance constante, il y a toujours le risque de cyberatalisme et d'écouter les services spéciaux. Il n'est pas surprenant que plusieurs distributions créent immédiatement, combinant des outils garantissant un maximum d'anonymat dans le réseau.
Ces distributions étaient initialement axées sur des spécialistes étroits, mais dans dernièrement Ils ont marqué une grande popularité. En ce qui concerne la demande de tels systèmes par les utilisateurs, ils développent et ajoutaient constamment de nouveaux, peut-être maintenant il y a plus de vingt ans, mais nous ne considérerons que les meilleures distributions Linux sécurisées.
La plupart d'entre eux sont utilisés pour fournir un anonymat au logiciel TOR qui fournit en effet haut niveau L'anonymat, contrairement aux fournisseurs VPN qui connaissent toujours votre vraie adresse IP.
Mais VPN présente maintenant de nombreux avantages, ce qui en fait la meilleure option dans certains cas. Si la vitesse de connexion est importante pour vous ou si vous allez transmettre des fichiers via P2P, vous gagnerez le VPN.
Avant de considérer les distributions Linux les plus sûres, parlons de la manière dont l'anonymat est fourni par Tor. TOR ou le routeur d'oignon est un protocole de cryptage standard développé dans la marine américaine.
Tor logiciel fonctionne avec plusieurs nœuds, il offre une fiabilité élevée et une anonymie. Les données lors du passage à travers un nœud aléatoire à chaque fois sont agités et deviennent complètement déchiffrées uniquement sur le dernier nœud. Les développeurs TOR sont également responsables de la création d'une distribution de queue qui recommande d'utiliser Edward Snowden.
Maintenant retour à VPN. Habituellement, ce sont des services payants, trouvent bon, vPN gratuit. très difficile. La qualité du service VPN dépend du fournisseur, mais en règle générale, la vitesse du travail serveurs VPN Beaucoup plus rapide que tor.
1. Tails - LiveCD anonyme
Si vous voulez rester inconnu sur Internet, Tails est un excellent choix. Son objectif principal est de s'assurer que vous ne laissez aucune trace numérique lors de la navigation sur le Web. C'est l'une des plus fréquemment utilisées pour assurer l'anonymat des distributions et le seul, où toutes les connexions Internet sont envoyées via TOR.
Habituellement, les queues sont installées sur le lecteur flash USB, toutes les données sont stockées en RAM et, après la fin, elle est effacée. Le système d'exploitation est basé sur Debian et est livré avec un ensemble d'outils open source spécifiquement conçus pour assurer la confidentialité. L'adresse MAC et les fenêtres de camouflage sont prises en charge ici lorsque le système ressemble beaucoup à Windows 8.
Tails utilise version obsolète Gnome, qui a l'air laid et minimiser sans la possibilité de configuration et d'amélioration supplémentaires, car les fichiers entre sessions ne sont pas enregistrés. Peu importe que cela n'a pas d'importance pour beaucoup, car les queues effectuent son travail. Distribution a une excellente documentation et vous pouvez le lire sur le site officiel.
2. Jondo Live-DVD
Jondo Live-DVD est une solution commerciale pour anonymat dans le réseau. Il fonctionne de la même manière sur TOR, vos données sont également transmises via un certain nombre de serveurs de jonyphoton mixtes. Sur chaque nœud, les données sont agitées. C'est une excellente alternative pour les queues, surtout si vous recherchez quelque chose avec moins limité interface utilisateur.
Comme Tails, la distribution est basée sur Debian, et comprend également un ensemble d'outils pour assurer l'anonymat et les applications les plus fréquemment utilisées.
Jondo Live-DVD est service payéPour une utilisation commerciale. Il se concentre sur l'utilisation des entreprises, ainsi que plus rapidement que les impôts et ne prend pas également en charge les dossiers d'enregistrement.
Si vous avez besoin de quelque chose de complètement différent, vous serez intéressé par Whonix. Il utilise une approche complètement différente. Ce n'est pas un LiveCD. Whonix fonctionne dans la machine virtuelle VirtualBox, le système est isolé de votre système principal, réduisant ainsi le risque de capture de virus ou d'éclairer leurs données sur le réseau.
Whonix se compose de deux parties. Whonix Gatway agit comme une passerelle Tor, la deuxième - Whonix Workstation est entièrement isolée du réseau et dirige toutes ses connexions réseau via la passerelle Tor.
Ainsi, ici, vous devez utiliser deux machines virtuellesCe qui peut créer certains problèmes si vous avez des équipements faibles. Mais néanmoins ça marche. TRUE, ce n'est pas la distribution Linux la plus sûre, en tant que CD Live, car les données ne sont pas enregistrées sur le disque dur.
Whonix est basé sur Debian, mais KDE est utilisé comme environnement de bureau. Le système d'exploitation ne convient pas à une utilisation quotidienne et vous ne pouvez l'utiliser que sur la machine virtuelle.
4. Qubes OS
C'est une autre distribution pour assurer l'anonymat recommandé par Snowden. Qubes essaie de corriger les lacunes de toutes les distributions précédentes avec une interface utilisateur non suffisante et personnalisable. Ceci est une distribution pour une utilisation quotidienne qui combine la puissance de Tor et Whonix.
Il y a une approche complètement différente de l'anonymat. QUBES IDEA - Sécurité par séparation. Cela signifie que votre vie numérique sera divisée entre isolé machines virtuelles. Toute application commence dans un environnement virtuel distinct.
Il convient de noter que Qubes vient par défaut avec l'ordinateur portable phare du purisme. Cet ordinateur portable est considéré comme le périphérique le plus sûr pour les utilisateurs. Et cela est vrai, étant donné le puissant logiciel de cette distribution.
Si vous avez besoin d'une distribution pratique pour une utilisation quotidienne avec toutes les fonctionnalités standard et des applications familières, Qubes OS peut être un excellent choix. Contrairement à ce qui précède, il est répertorié, il peut être installé sur un disque dur.
5. UPR (Ubuntu Confidentialité Remix)
UPR, il s'agit d'une autre distribution axée sur la sécurité installée. Il convient aux utilisateurs et fournit un support isolé dans lequel des données confidentielles peuvent être sûres.
En juge déjà par le nom, nous pouvons dire qu'il est basé sur Ubuntu. Distribution propose un surf sécurisé sur Internet et utiliser des lecteurs flash cryptés pour protection efficace Vos données d'un accès non autorisé. La distribution est fournie avec des outils prédéfinis pour le cryptage, tels que GnuPG et Trucrypt. UPR est conçu uniquement pour surf en sécurité Sur Internet, et pas pour l'anonymat. Il est parfait, si vous souhaitez installer le système sur votre ordinateur et ne pas utiliser LiveCD. Si vous avez également besoin d'anonymat pour installer TOR ou Connect VPN.
conclusions
Considérant que les queues sont les plus courantes de tous ceux mentionnés dans cet article, vous pouvez alors décider que c'est le plus sûr. Mais d'autres distributions servent parfaitement leur objectif. Donc, tout ne repose que dans des préférences personnelles.
Le plus souvent, les attaques sont soumises au côté le plus fort de la sécurité du système d'exploitation libre. Quel est le plus fier des linuxoïdes et ce qui est le plus apprécié. Nous apportons à votre attention 5 mythes principaux.
La source
Mythe 1. Linux est dangereux, car les codes de code source sont disponibles pour l'étude des pirates informatiques. Les utilisateurs privés sont peu susceptibles de choisir un code complexe, mais les pirates informatiques seront d'exploiter les vulnérabilités trouvées. En plus,
Ce qui est vraiment: Voir manuellement des millions de lignes code source Et non requis. Cette tâche est résolue par des analyseurs de code statistique et des complexes logiciels spéciaux pour l'audit. Les erreurs aléatoires et délibérées sont remplies d'une machine, puis un expert traite déjà de chaque cas spécifique. Pour le binaire fermé code Windows cela ne fonctionne pas. Voici déjà là où vous pouvez vraiment cacher le signet.
Virus
Mythe 2. Sous Linux, il y a peu de virus, mais seulement parce que Linux est un lowopulaire système opérateur. Dès que le nombre d'utilisateurs augmente, les virus seront retirés et Linux lui-même ne différera pas des fenêtres en termes de susceptibilité à la grâce du réseau.
Ce qui est vraiment: 2% utilisateurs de Linux - Ce sont des dizaines de millions d'ordinateurs. Si c'était vraiment simple, cela aurait été créé depuis longtemps. Android est également à 95% de Linux. Appareils sur base de données Android Déjà un milliard. Eh bien, où sont les épidémies?
Utilisateurs expérimentés
Mythe 3. Linux est plus sûr, mais seulement du fait que Linux utilise des utilisateurs plus expérimentés. Si Linux a commencé à utiliser tout, les mêmes épidémies d'infection informatique commenceront.
Ce qui est vraiment: En partie c'est vrai. Mais pas seulement des virus, mais aussi des imbéciles. Pour cela, il n'aime pas beaucoup d'utilisateurs de fenêtres qui ont essayé d'aller à Linux, mais pas attrapés. Par exemple, Windows encourage effectivement le travail en vertu de l'administrateur. comptabilité (L'utilisateur colle moins). Linux ne permettra pas de travailler constamment sous la racine.
Encore des virus
Mythe 4. Sous Linux a également des virus.
Antivirus
Mythe 5. En dessous de Installation de Linux Antivirus est obligatoire.
Ce qui est vraiment: Obligatoire est de configurer les IPTABLES et l'abstinence de connecter des repositeurs douteux de la tierce partie. Ensuite, pas besoin d'antivirus. De plus, les spécialistes du marketing des entreprises antivirus.
