Bir Linux bilgisayarı düzgün bir şekilde güvenlik altına alma

Açıkçası, profesyonel bilgisayarlara karşı evde güvence altına almak için farklı yöntemler vardır. Sorularım genellikle ev masaüstü bilgisayarlarını güvenceye almakla ilgili, ancak profesyonel koruma kesinlikle hoş geldiniz :) Bilgi güçtür.

Birkaç yıl önce harika Linux dünyasına geçtiğimden beri, güvenliği hiç düşünmemiştim. En düşük ömürlü pislik görmek, Windows makineleri için virüsleri daha bol görmelerini sağlar.

Ama bana veya eşyalarıma ulaşmak isteyen herhangi birinden güvende / güvende olduğumu nasıl anlarım. İçeri girecek kadar kararlı olan herkesin bunu yapacağını biliyorum. Ancak haydut kök kabukları ve otomatik saldırılar gibi şeylerden korunmamı sağlamak için hangi adımları atabilirim? Ayrıca, daha fazla Linux dağıtımında bir tür yerleşik güvenlik duvarı / antivirüs var mı?

Birisi sisteminizin güvenliğini aşmak için tonlarca yol olduğu için bu sorunun oldukça geniş olduğunu biliyorum, ama belki de güvende olduğunuzdan emin olmak için yaptıklarınızı paylaşabilirsiniz.

EDIT: ssh aracılığıyla kök giriş izin vermemeye karar verdi ve bağlantı noktasını değiştirmek için rastgele bir şey dinler. Umarım bu doğru yönde bir adımdır. Şu anda iptables bakarak ve hizmetleri kapatma. Umarım bu soru çok sayıda kaliteli yanıt alır (zaten 3 var) ve diğer paranoidlere yardımcı olacaktır :)

EDIT 2: Bazı iptables sorunları var, ancak iyi bir araç olduğunu kanıtlıyor

DÜZENLEME 3: Şimdilik hiç kimse sabit disk şifreleme konusuna değinmedi. Buna değer mi? Daha önce hiç kullanmadım, bu yüzden nasıl çalıştığını bilmiyorum. Bunu başarmak ne kadar kolay?

Bir düzenleme daha: sisteminizde çalışması gereken hizmetler açısından, hangileri çalıştırılmalı veya çalıştırılmalıdır? Kutunuzda hangi portlar açık olmalıdır? Tabii ki bu ne kullandığınıza bağlıdır, ancak varsayılan olarak ne açılır ve tehlikeli olan nedir?

İle çok zor alabilirsiniz iptables. Bir göz atın man pageve bu yazılım parçasının ne kadar karmaşık olduğunu göreceksiniz. Yukarıda belirtildiği gibi ağa bağlanmamanın yanı sıra, bu muhtemelen yapabileceğiniz kadar iyidir.

Kullanıyorsanız sshşifreleri değil, genel anahtarları kullandığınızdan emin olun.

Yazılımı yalnızca dağıtımın güvenilir depolarından yükleyin. Söz konusu depolarda bulunan paketlerin bütünlüğünü korumaya yardımcı olan çeşitli önlemler mevcuttur.

Sisteminizi güncel tutun.

Kök olarak çalıştırma - ayrıcalıkları yalnızca gerektiğinde yükseltin.

Web'de gezinirken FlashBlock / AdBlock / NoScript gibi şeyleri kullanın.

Panik yapma.

Kutudan çıktığı gibi linux kurulumunda iyi olacaksınız, sadece kullanmadığınız hizmetleri devre dışı bırakın. Bir ev bilgisayarıysa, endişelenmeniz gereken önemli bir şey yoktur.

Ubuntu'yu yıllardır masaüstümde, bluetooth ve klasör paylaşımı gibi birkaç hizmet devre dışı bırakılıyor ve işletim sistemini kullanıyorum. İsterseniz bir virüsten koruma yazılımı yükleyebilirsiniz, ancak gerçekten gerekli değildir.

Ne için kullandığınıza ve açık olan bağlantı noktalarına çok bağlıdır. Örneğin, internete maruz kalan çok sayıda hizmetiniz varsa ve bunlar genellikle kötüye kullanılan şeylerse , fail2ban harika - örneğin rastgele ssh istismarlarını engellemek için kullanın.

Kök hesabınızı kullanmamak da sağduyu. Bir root hesabına sahip olmamanın ubuntu yolu aslında bazı haklara sahiptir ve ortak kaba kuvvet saldırılarınız kullanıcı adlarını ve şifreleri tahmin etmeye çalışır.

Son olarak, daha önce de belirtildiği gibi, tehdit riskinizi azaltın - kullanılmayan hizmetleri ve hemen ihtiyaç duyulmayan bağlantı noktalarını kapatın.

Red Hat Linux'u korumaya yönelik NSA kılavuzuna bir göz atın . Temel bir sistemi kilitlemek için iyi bir başlangıç ​​kılavuzudur. Red Hat kullanmıyor olabilirsiniz, ancak size neye bakmanız gerektiği konusunda iyi bir fikir verir. Elbette, sisteminizde herhangi bir hizmet sağlarsanız, bu hizmetlerden kaynaklanan risklere bakmanız gerekir.

Sabit disk şifrelemesi kurulumu nispeten basit ve kolaydır. Bazı dağıtımlar (özellikle Ubuntu), kurulum sırasında ana dizininizi sizin için şifrelemeyi teklif eder.

Buna değip değmeyeceği mi? Verilerinizi internete girmeden birine karşı koruyamaz - bilgisayar önyüklendikten ve dosya sistemleri kurulduktan (şifreli veya değil) bilgisayar verileri okuyabilir ve böylece saldırgan verileri okuyabilir.

Sizi karşı koruyan şey, fiziksel olarak evinize girip bilgisayarınızı çalan birisidir. Verilerinize ulaşmalarını engeller. Birçok ev kırıcısı verileri istemez; onlar sadece daha fazla ilaç puan gidebilirsiniz hızlı bir kova için bilgisayar satmak istiyorum.

Hassas dosyalarınızı tek tek şifrelemek daha iyidir, böylece bir anahtar / parola ile bunlara yalnızca siz erişebilirsiniz. Bu, bir saldırgan tarafından kolayca okunmasını önleyecektir.