Безопасность в Linux - понятие относительное. Гайд по обеспечению безопасности Linux-системы

Существует расхожее мнение о том, что Linux характеризуется слабой безопасностью, так как она бесплатно распространяется и создается огромным коллективом, разбросанным по всему миру. Так ли это на самом деле?

Linux представляет собой свободно распространяемое ядро Unix-подобной системы, написанное Линусом Торвалдсом (1991 г., Финляндия) при помощи большого числа добровольцев со всей сети Internet. Linux обладает всеми свойствами современной Unix-системы, включая настоящую многозадачность, развитую подсистему управления памятью и сетевую подсистему. Большую часть базовых системных компонентов Linux унаследовала от проекта GNU, целью которого является создание свободной микроядерной операционной системы (ОС) с лицом Unix.

ОС Linux создавалась сумбурной командой Unix-экспертов, хакеров и случайно прибившихся еще более подозрительных личностей. Хотя система невольно отражает эту тяжелую наследственность и хотя процесс создания Linux выглядел как дезорганизованные усилия добровольцев, система получилась на удивление мощной, надежной, быстрой и к тому же бесплатной.

На сегодняшний день существует множество различных поставок Linux, дистрибутивов, которые можно разделить на дистрибутивы общего назначения и специализированные (например, Linux Router - урезанная поставка Linux для создания дешевого маршрутизатора на базе старого PC и др.). В настоящей статье под словосочетанием <ОС Linux> будем понимать дистрибутивы Linux общего назначения.

Большая часть ядра Linux написана на языке С, благодаря чему система достаточно легко переносится на различные аппаратные архитектуры. Сегодня официальное ядро Linux работает на платформе Intel (начиная с i386), Digital Alpha (64-bit), Motorolla 68k, Mips, PowerPC, Sparc, Sparc64, StrongArm. Ядро Linux способно работать на многопроцессорных SMP-системах, обеспечивая эффективное использование всех процессоров. Разработчики Linux стараются соблюдать стандарты POSIX и Open Group, обеспечивая тем самым переносимость программного обеспечения (ПО) с другими Unix-платформами.

Диапазон применения Linux очень широк: от создания спецэффектов в фильме <Титаник> Джеймса Камерона до создания фирмой Intel в ближайшем будущем Internet-терминалов на базе именно этой ОС. Конечно, одной из причин огромной популярности Linux является ее бесплатность, что, безусловно, снижает себестоимость продуктов, для создания которых она применяется. Но не только в этом дело. Главная причина ее популярности состоит в том, что это действительно мощная и надежная, многопользовательская и многозадачная ОС.

Существует расхожее мнение о том, что Linux характеризуется слабой безопасностью. Но это в корне не верно. Linux - детище глобальной сети Internet и именно поэтому безопасности при ее разработке всегда уделялось огромное внимание. Не случайно в вопросах защищенности Linux всегда выгодно отличалась от многих современных ОС, в том числе многих коммерческих версий Unix.

В настоящее время существуют два основных подхода, используемых для обеспечения безопасности ОС: над слабо защищенной ОС <навешивается> для усиления защитный экран (firewall), или firewall наряду с десятком других средств защиты интегрируется на уровне ядра системы.

Первый подход использует фирма Microsoft и это подтверждает анализ последних версий Windows NT. Разработчики Linux выбрали для себя второй подход (код firewall встроен непосредственно в ядро Linux, начиная с версии 2.0). В результате была получена мощная интегрированная система защиты. Краткому знакомству с этой системой и посвящена данная статья.

При создании системы защиты для любой ОС нужно четко понимать, что реализовать на практике полностью безопасную компьютерную систему невозможно. Можно создать лишь дополнительные препятствия для злоумышленника, пытающегося проникнуть в систему. Причем объем и качество реализованных средств защиты зависят от области использования Linux. Кроме того, необходимо брать в расчет, что с ростом количества установленных средств защиты система становится все более враждебной для рядового пользователя. Поэтому главная задача при создании системы защиты - нащупать ту точку баланса, которая будет приемлемой для политики управления Linux-системой.

При использовании системы защиты необходимо выполнять простые правила: постоянно следить за активностью в системе с помощью системного журнала, поддерживать систему на самом современном уровне (установка текущих версий программного обеспечения, в которых имеются заплатки для обнаруженных в процессе эксплуатации так называемых дыр в защите). Во многих случаях этого более чем достаточно для обеспечения должного уровня безопасности.

Для того чтобы оценить эффективность системы защиты ОС Linux, необходимо четко разобраться с тем, какие же угрозы могут быть реализованы злоумышленниками на уровне ОС в той или иной конкретной ситуации.

Атаки на уровне ОС

На уровне ОС происходит большое количество хакерских атак. Это объясняется очень просто: ведь взломав защиту ОС, злоумышленник может получить доступ к любым ресурсам сети (вплоть до баз данных).

Среди людей несведущих бытует мнение, что самые эффективные атаки на ОС организуются с помощью сложнейших средств, использующих последние достижения науки и техники, а хакер должен быть программистом высочайшей квалификации. Это не совсем так. Конечно, хорошо быть в курсе всех новинок в области компьютерной техники. Да и высокая квалификация никогда не бывает лишней. Однако искусство хакера состоит отнюдь не в том, чтобы разрушать любую, самую <крутую> компьютерную защиту. Взломщику нужно просто найти слабое место в конкретной защитной системе и с максимальной выгодой для себя воспользоваться им. При этом простейшие методы атаки оказываются ничуть не хуже самых изощренных, поскольку простой алгоритм реже порождает ошибки и сбои.

Успех реализации того или иного алгоритма хакерской атаки на практике в значительной степени зависит от архитектуры и конфигурации конкретной ОС - объекта атаки. Рассмотрим, какие механизмы противодействия различным атакам применяются в ОС Linux.

Традиционные способы защиты, используемые в Linux

Традиционные способы защиты ОС в основном связаны с физической безопасностью. Физическая безопасность - это первый уровень безопасности, который необходимо обеспечить для любой компьютерной системы. Причем к очевидным методам обеспечения физической безопасности относятся замки на дверях, кабели в коробах, закрытые ящики столов, средства видеонаблюдения и т. п. Для усиления этих проверенных временем мероприятий можно использовать также компьютерные замки различных конструкций, основное назначение которых сводится к следующему:

Предотвращение хищения компьютера и его комплектующих;

Предотвращение возможности перезагрузки компьютера посторонним, а также использования собственных дисководов или иного периферийного оборудования;

Прерывание работы компьютера при вскрытии корпуса;

Блокировка работы с клавиатурой и мышью.

При установке Linux-системы необходимо внимательно ознакомиться с документацией на BIOS. BIOS представляет собой ближайший к аппаратным средствам слой ПО, и многие загрузчики Linux используют функции BIOS для защиты от перезагрузки системы злоумышленниками, а также манипулирования Linux-системой.

Некоторые загрузчики Linux позволяют установить пароль, запрашиваемый при загрузке системы. Так, при работе с LILO (Linux Loader) можно использовать параметры (позволяет установить пароль для начальной загрузки) и (разрешает загрузку после указания определенных опций в ответ на запрос LILO).

Периодически появляется необходимость отлучаться от компьютера. В таких ситуациях полезно заблокировать консоль, чтобы исключить возможность ознакомления с вашим именем и результатами работы. Для решения этой задачи в Linux используются программы xlock и vlock. С помощью xlock блокируется доступ для X дисплея (для восстановления доступа необходимо ввести регистрационный пароль). В отличие от xlock vlock позволяет заблокировать работу отдельных (или всех) виртуальных консолей Linux-машины. При использовании этих полезных программ нужно четко понимать, что они не защищают от перезагрузки или других способов прерывания работы системы.

Большинство методов, с помощью которых злоумышленник может получить доступ к ресурсам, требуют перезагрузки или выключения питания машины. В связи с этим нужно очень серьезно относиться к любым признакам взлома как на корпусе, так и внутри компьютера, фиксировать и анализировать все странности и несоответствия в системном журнале. При этом нужно исходить из того, что любой взломщик всегда пытается скрыть следы своего присутствия. Для просмотра системного журнала обычно достаточно проверить содержимое файлов syslog, messages, faillog и maillog в каталоге /var/log. Полезно также установить скрипт ротации журнальных файлов или демона, который сохраняет журналы на заданную глубину (в последних дистрибутивах Red Hat для этого используется пакет logrotate).

Несколько слов о локальной безопасности Linux-систем. Она обычно связана с двумя моментами: защита от локальных пользователей и защита от администратора системы. Не секрет, что получение доступа к счетам локальных пользователей - это первая задача, которую ставит перед собой злоумышленник, пытаясь проникнуть в систему. Если надежные средства локальной защиты отсутствуют, то, используя ошибки в ОС и/или неверно сконфигурированные службы, злоумышленник может легко изменить полномочия в сторону увеличения, что чревато тяжелыми последствиями. Общие правила, которые необходимо соблюдать для повышения локальной защиты состоят в следующем: предоставление минимально необходимого уровня привилегий; контроль за регистрацией всех пользователей; своевременное изъятие счетов пользователей. Нужно постоянно помнить о том, что неконтролируемые счета - идеальный плацдарм для проникновения в систему.

Необдуманные и некорректные действия администратора также представляют серьезную опасность для Linux-системы. Поэтому администратор всегда должен помнить о том, что постоянная работа со счетом суперпользователя (root) - очень опасный стиль (в качестве компромисса лучше использовать команды su или sudo). Права суперпользователя он должен использовать только для решения специфических задач, в остальных случаях рекомендуется использовать обычный пользовательский счет. В дополнение к этому при выполнении сложных команд администратор должен использовать такие режимы, которые не приведут к потере данных. И последнее: администратор не должен забывать о существовании <троянских коней>, так как программы этого типа при запуске с правами суперпользователя могут внести серьезные нарушения в систему защиты. Для исключения этого необходимо тщательно контролировать процесс установки программ на компьютере (в частности, дистрибутив RedHat предусматривает использование цифровых подписей md5 и pgp для проверки целостности rmp-файлов во время установки системы).

Защита Linux с помощью паролей

Анализ рисков на уровне ОС показывает, что наибольшую опасность представляют действия злоумышленников, связанные с кражей или подбором паролей. Защита паролей поэтому должна занимать ведущее место в системе защиты любой ОС.

Защита паролей - область, в которой Linux существенно отличается от многих коммерческих версий Unix и других ОС, причем в лучшую сторону.

В большинстве современных реализаций Linux программа passwd не позволяет пользователю вводить легко разгадываемые пароли путем предупреждения о потенциальной опасности пароля (ввод пароля при этом, к сожалению, не блокируется). Для проверки устойчивости ансамбля конкретного пароля к подбору существует немало программ. Причем используются они с успехом как системными администраторами, так и взломщиками. Наиболее распространенные представители этого класса программ - Crack и John Ripper. Стоит отметить, что эти программы требуют дополнительного процессорного времени, но эта потеря вполне оправдана - замена слабых паролей значительно снижает вероятность проникновения в систему.

Linux обеспечивает защиту паролей с помощью трех основных механизмов:

1. Шифрование паролей.

2. Механизм <теневых паролей>.

3. Механизм подключаемых модулей аутентификации PAM (Pluggable Authentication Modules).

Кратко рассмотрим суть этих механизмов.

Шифрование паролей.

В Linux для шифрования паролей традиционно используется алгоритм DES. Зашифрованный пароль обычно помещается в файл /etc/passwd. При попытке пользователя зарегистрироваться в системе введенный им пароль шифруется и затем сравнивается с записью в парольном файле. При совпадении система разрешает доступ. В программе шифрования паролей используется однонаправленное шифрование (достигается за счет того, что ключом для шифрования пароля является сам пароль). К сожалению, в настоящее время алгоритм DES уязвим к атаке со стороны мощных компьютеров (использование прямого перебора или подбора в большинстве случаев приводит к отгадыванию паролей). Поэтому для Linux были разработаны дополнительно к шифрованию еще два мощных механизма защиты.

Механизм <теневых паролей>.

Суть этого механизма проста: парольный файл, даже зашифрованный, доступен только системному администратору. Для этого он помещается в файл /etc/shadow, права на чтение которого принадлежат только суперпользователям. Для реализации подобной схемы защиты в Linux используется набор программных средств Shadow Suite. В большинстве дистрибутивов Linux механизм <теневых паролей> по умолчанию не задействован (кроме, пожалуй, RedHat). Но именно Linux выгодно отличает наличие новейшего механизма, с помощью которого можно легко организовать мощную систему защиты. Это технология подключаемых модулей аутентификации (PAM).

Механизм PAM.

Модули безопасности - это набор открытых библиотек, предназначенных для выполнения набора функций (ввод пароля или проверка его подлинности). Любая программа, использующая систему защиты, может использовать PAM-модули и обеспечить в результате любой уровень безопасности. При использовании этого новейшего механизма программист концентрирует свое внимание на решении прикладной задачи. Ему не надо изобретать систему защиты, при этом также гарантируется, что он в этой системе не наставит <дыр>. Технология PAM позволяет реализовать некоторые новые возможности при создании системы защиты: в модулях безопасности применяются нестандартные процедуры шифрования (MD5 и им подобные); установка ограничений на использование пользователями системных ресурсов (предотвращение инициализации атак типа <Отказ в обслуживании>); установка разрешения отдельным пользователям регистрации только в фиксированные промежутки времени и только с определенных терминалов или узлов.

Дополнительные средства защиты Linux

Защита данных.

Для контроля целостности данных, которая может быть нарушена в результате как локальных, так и сетевых атак, в Linux используется пакет Tripwire. При запуске он вычисляет контрольные суммы всех основных двоичных и конфигурационных файлов, после чего сравнивает их с эталонными значениями, хранящимися в специальной базе данных. В результате администратор имеет возможность контролировать любые изменения в системе. Целесообразно разместить Tripwire на закрытом от записи гибком магнитном диске и ежедневно запускать.

Безусловно, что для повышения конфиденциальности полезно хранить данные на дисках в зашифрованном виде. Для обеспечения сквозного шифрования всей файловой системы в Linux используются криптографические файловые системы CFS (Cryptographic File System) и TCFS (Transparent Cryptographic File System).

Защита дисплеев.

Защита графического дисплея - важный момент в обеспечении безопасности системы. Она направлена на исключение возможности перехвата пароля, ознакомления с информацией, выводимой на экран, и т. п. Для организации этой защиты в Linux предусмотрены следующие средства:

Программа xhost (позволяет указать, каким узлам разрешен доступ к вашему дисплею);

Регистрация с использованием xdm (x display manager) - для каждого пользователя генерируется 128-битный ключ (cookie);

Организация обмена с помощью защищенной оболочки ssh (secure shell) - в сети исключается поток незашифрованных данных.

Дополнительно к этому для организации контроля доступа к видеоподсистеме компьютера в рамках Linux разработан проект GGI (Generic Graphics Interface). Идея GGI состоит в переносе части кода, обслуживающего видеоадаптеры, в ядро Linux. С помощью GGI практически исключается возможность запуска на вашей консоли фальшивых программ регистрации.

Сетевая защита. По мере развития сетевых технологий вопросы безопасности при работе в сети становятся все более актуальными. Практика показывает, что зачастую именно сетевые атаки проходят наиболее успешно. Поэтому в современных ОС сетевой защите уделяется очень серьезное внимание. В Linux для обеспечения сетевой безопасности тоже применяется несколько эффективных средств:

Защищенная оболочка ssh для предотвращения атак, в которых для получения паролей используются анализаторы протоколов;

Программы tcp_wrapper для ограничения доступа к различным службам вашего компьютера;

Сетевые сканеры для выявления уязвимых мест компьютера;

Демон tcpd для обнаружения попыток сканирования портов со стороны злоумышленников (в дополнение к этому средству полезно регулярно просматривать файлы системного журнала);

Системашифрования PGP (Pretty Good Privacy);

Программа stelnet (защищенная версия хорошо известной программы telnet);

Программа qmail (защищенная доставка электронной почты);

Программа ipfwadm для настройки межсетевых экранов (firewall);

Режим проверки паролей входных соединений для систем, разрешающих подключение по внешним коммутируемым линиям связи или локальной сети.

Отрадно отметить, что многие из перечисленных средств включены в состав последних дистрибутивов Linux.

Заключение

Linux - это уникальная ОС, построенная на основе ОС Unix с двадцатипятилетней историей. На сегодняшний день это, пожалуй, единственный пример столь масштабного и плодотворного сотрудничества специалистов всего мира, объединенных сетью Internet. Именно поэтому любая подсистема этой ОС, в том числе и подсистема защиты, представляет большой практический интерес и содержит много особенностей, некоторые из них не нашли свое достаточное отражение в данной статье.

Несмотря на оголтелую пропаганду решений <от Microsoft>, ОС семейства Unix, к числу которых относится и Linux, получают все большее распространение и захватывают те области применения микроЭВМ, для которых важна надежность системы в целом, означающая не только безотказность работы в течение длительного времени (месяцы и годы), но также и защиту от несанкционированного доступа.

В рамках Linux разработана мощная интегрированная система защиты, способная обеспечить безопасность систем, работающих в различных условиях (от домашних компьютеров до банковских систем). Благодаря самому духу разработки Linux различные заплатки в системе защиты появляются гораздо быстрее, чем это происходит в коммерческих ОС, и это делает Linux идеальной платформой для построения надежных вычислительных систем.

Специалисты по безопасности ОС считают, что будущее именно за технологией подключаемых модулей аутентификации (PAM), разработанной в ОС Linux. И снова Linux впереди и ждет, когда за ней последует весь мир

Найдется не один "туз в рукаве", чтобы посягнуть на дорогие вам биты и байты - от фото на документы до данных кредитных карточек.

Наиболее подвержены риску атаки компьютеры, подключенные к интернету, хотя машины без выхода во внешний мир уязвимы не меньше. Призадумайтесь: что может случиться с вашим старым ноутбуком или жестким диском , которые вы выбросили? Вооружившись современными инструментами восстановления данных (многие из которых доступны для бесплатного скачивания), хакер легко восстановит информацию с вашего диска, невзирая на ОС, в которой вы работали. Если жесткий диск содержит данные (неважно, поврежденные или нет), эти данные могут быть восстановлены, банковские счета воссозданы; записанные разговоры в чатах можно реконструировать, а изображения - реставрировать.

Но не пугайтесь. Не стоит бросать пользоваться компьютером . Хотя сделать машину, подключенную к Internet, неуязвимой для атак, практически невозможно, вы можете серьезно осложнить задачу атакующему и гарантировать, что он не извлечет ничего полезного из скомпрометированной системы. Особенно греет душу то, что с помощью Linux и некоторых программ на основе защитить вашу установленную копию Linux будет совсем не сложно.

"Золотого правила" безопасности, подходящего в каждом конкретном случае, не существует (а будь на свете такое правило, его уже давно взломали бы). Над безопасностью нужно работать индивидуально. Следуя приведенным в этой статье советам и пользуясь описанными здесь инструментами, вы научитесь адаптировать их под свой дистрибутив Linux .

Защитить ваш компьютер под управлением ОС Linux помогут следующие простые рекомендации.

Обновление операционной системы

Кроме обновлений, дистрибутивы обычно имеют список рассылки по вопросам безопасности - для рассылки анонсов обнаруженных уязвимостей, а также и пакетов для исправления этих уязвимостей. Как правило, хорошей идеей будет отслеживать список рассылки вашего дистрибутива, касающийся безопасности, а также регулярно выискивать обновления безопасности к наиболее критичным для вас пакетам. Между моментом объявления об обнаружении уязвимости и закачкой пакета обновления в репозиторий обычно имеется временной зазор; списки рассылки подскажут, как скачать и установить обновления вручную.

Блокировка неиспользуемых сервисов

Не обновляйтесь каждые полгода

У большинства настольных дистрибутивов Linux новые релизы выходят раз в полгода, но это совсем не значит, что вы обязаны устанавливать последний релиз только потому, что он уже вышел. Ubuntu отмечает некоторые релизы как LTS (Long Term Support) - релизы с долговременной поддержкой: для настольной системы - три года, а для серверной - пять лет. Это намного дольше, чем 18 месяцев стандартного релиза Ubuntu.

LTS-релизы хотя и не особенный авангард, но с позиций безопасности защищены куда лучше стандартных. Их пакеты гораздо стабильнее и тщательнее протестированы, по сравнению с пакетами более новых версий, не снабженных долгосрочной поддержкой. Если вашей целью является создание именно максимально защищенной системы, остановите свой выбор на одном из стабильных релизов с долгосрочной поддержкой, не поддаваясь искушению сразу же выполнить обновление при появлении новейшей версии.

Не самая передовая, но должным образом поддерживаемая система более стабильна и надежнее защищена, чем новейший релиз.

Александр БОБРОВ

Спросите любого гика, и он вам скажет, как интересно устанавливать Linux на новую машину. Если вы пытаетесь протестировать новый дистрибутив или установить обновлённую версию, есть в этом действии нечто сакральное, возвышающее вас над всем сущим, и на секунду делающее сверхчеловеком, этаким полубогом в доспехах, повергающим, своим сверкающим на солнце клинком, Горгону Медузу.

Хотя Linux более безопасен, чем Windows, все еще есть шаги, которые необходимо предпринять после установки, чтобы захардкорить систему на длительные приятные часы работы в ней. Выполните эти шаги, чтобы сделать ваш Linux дистрибутив защищённым как неприступная крепость. Более продвинутый пользователь чем я, безусловно возразит, что это не всё, что нужно еще сделать так-то и так, но пардон, я не всезнайка, прошу в комментариях дополнить.

1. Обновите систему

После первой загрузки в новоустановленную систему, сразу рекомендую обновить её до самых актуальных версий пакетов. Обусловлено это тем, что в новых версиях закрыты старые уязвимости и известные баги и добавились новые уязвимости и неизвестные баги.
В Manjaro Linux это делается простым:
yaourt -Syyuu
В Ubuntu и прочих Fedora сами знаете как.

2. Включите файрвол

Файрвол(firewall, межсетевой экран, брандмауэр) - технологический барьер, предназначенный для предотвращения несанкционированного или нежелательного сообщения между компьютерными сетями или хостами. Простыми словами это та штука которая не позволит гипотетическому злоумышленнику произвести несанкционированные действия на вашем ПК. В линукс уже есть iptables -встроенная утилита командной строки представляющая интерфейс управления работой межсетевого экрана. Если есть желание, то можно раскурить маны разобраться в ней и настроить всё с помощью неё. Но если вы ленивая жопа привыкли к удобным утилитам с графическим интерфейсом, то ваш выбор GUFW — графическая надстройка над другой утилитой командной строки ufw, выполняющую аналогичную функцию iptables.

3. Установите антивирусное ПО

На вопросе необходимости антивирусов в операционных системах на базе Linux, лопнуло немало пуканов сконцентрировано внимание, как приверженцев идеи их использования, так и противников. Лично я считаю, что безопасности много не бывает, и если вы ставите перед собой цель построение защищённой системы, то неплохо бы установить этот вид ПО. Перечислю известные мне неплохие решения — ClamAV, Sophos, ESET, Comodo и Bitdefender.

4. Контроль сторонних приложений

Если вы устанавливаете приложения не из официальных репозиториев, то я бы порекомендовал устанавливать их в каталог /opt . Так же рекомендую проверить автозапускаемые процессы и программы и явно вам ненужные удалить из автозапуска. Чтобы посмотреть их список можно воспользоваться незатейливой командой:
netstat -npl
Ну а убить можно например с помощью
Неиспользуемые службы systemd можно отключать по имени службы:
systemctl disable servicename где вместо servicename имя ненужной службы.

5. Отключение входа под Root в SSH

Для этого достаточно отредактировать файл /etc/ssh/sshd_config в вашем любимом текстовом редакторе, и убрать комментарий # в начале строки:
#PermitRootLogin no сохраните файл и перезапустите ssh в зависимости от вашей системы инициализации:
sudo /etc/init.d/sshd restart или sudo systemctl restart sshd.service

6. Включаем защиту BIOS

Откройте ваши настройки биос и отключите загрузку с CD/DVD, USB, внешних & floppy носителей. После чего включите и задайте хороший пароль BIOS.

7. Проведите аудит своей системы

Существует много различных утилит для аудита системы. Я пользовался Lynis — утилиту с открытым исходным кодом, которая выполняет местную оценку безопасности и аудит служб на уязвимость.
Для запуска аудита выполняем команду:
./lynis audit system

8. Запрещаем считывание с USB

Для тру параноиков желающих не позволить супостату подключить USB к вашему ПК. Создаём в директории /etc/modprobe.d/ файл usb-storage.conf:
sudo nano /etc/modprobe.d/usb-storage.conf следующего содержания:
install usb-storage /bin/true Перезагружаем систему и наслаждаемся невозможностью смонтировать USB.

Без сомнения, только что установленная система Linux намного устойчивее к различным вредоносным программам, шпионскому программному обеспечению и действиям хакеров, чем такая же версия Windows. Но тем не менее большинство систем Linux используют настройки по умолчанию, которые не совсем безопасны по своей сути.

Некоторые дистрибутивы Linux рассчитаны на то, чтобы быть максимально безопасными из коробки, но, как правило, они вызывают очень много трудностей у новичков, особенно не специалистов в сфере компьютерной безопасности.

Ubuntu - это самый популярный дистрибутив из всех используемых на сегодняшний день дистрибутивов Linux. Это связано с множеством факторов, одним из них является то, что он наиболее простой для начинающих пользователей. В этом есть свои положительные стороны, но также по этой причине в системе есть несколько слабых мест, которые разработчики оставили, выбрав удобство пользователя. В этой статье мы рассмотрим как выполняется настройка безопасности Ubuntu 16.04. Эти настройки не так сложны, но они помогут вам сделать систему более стойкой к самым распространенным методам атак.

Первым делом вы должны знать, что нужно держать свою систему постоянно обновленной и в самом актуальном состоянии. Постоянно обнаруживаются новые уязвимости в ядре и программном обеспечении, примером может послужить та же Drity COW. Разработчики закрывают эти баги очень быстро, но чтобы применить эти исправления на своей системе вам нужно ее своевременно обновлять.

Другое важное замечание - это пароль пользователя. Не используйте пользователя без пароля. Если вам нужно давать доступ к компьютеру другим людям, создайте новый аккаунт, например, гостевой. Но всегда используйте пароли. Операционная система Linux была изначально построена как многопользовательская система с учетом обеспечения безопасности для всех пользователей, поэтому не стоит упускать эту возможность. Но это все советы, которые вы и так, наверное уже знаете, давайте рассмотрим действительно полезные способы увеличить безопасность ubuntu.

1. Настройка общей памяти

По умолчанию весь объем общей памяти /run/shm доступен для чтения и записи с возможностью выполнения программ. Это считается брешью в безопасности и многие эксплойты используют /run/shm для атак на запущенные сервисы. Для большинства настольных, а особенно серверных устройств рекомендуется монтировать этот файл в режиме только для чтения. Для этого нужно добавить такую строчку в /etc/fstab:

sudo vi /etc/fstab

none /run/shm tmpfs defaults,ro 0 0

Но, тем не менее, некоторые программы не будут работать, если /run/shm доступен только для чтения, одна из них - это Google Chrome. Если вы используете Google Chrome, то мы должны сохранить возможность записи, но можем запретить выполнение программ, для этого добавьте такую строчку вместо предложенной выше:

none /run/shm tmpfs rw,noexec,nosuid,nodev 0 0

2. Запретить использовать su для не администраторов

Помимо вашего аккаунта, в Ubuntu есть еще гостевая учетная запись, которую вы можете использовать чтобы дать попользоваться вашим ноутбуком другу. Утилита su позволяет выполнять программы от имени другого пользователя. Это очень полезно при администрировании системы и жизненно важно при правильном применении. Но, тем не менее, к этой утилите могут получить доступ все пользователи Linux, а это уже злоупотребление. Чтобы запретить гостевому аккаунту доступ к команде su выполните:

sudo dpkg-statoverride --update--add root sudo 4750 /bin/su

3. Защитите свой домашний каталог

Ваш домашний каталог по умолчанию будет доступен каждому пользователю в системе. Так что если у вас есть гостевая учетная запись, то гость сможет получить полный доступ ко всем вашим личным файлам и документам. Но вы можете сделать его доступным только вам. Откройте терминал и выполните следующую команду:

chmod 0700 /home/имя_пользователя

Она устанавливает права таким образом, чтобы владельцу папки, то есть вам было доступно все, а другие пользователи даже не могли посмотреть содержимое. В качестве альтернативы можно установить разрешения 750, которые предоставят доступ на чтение в вашей папке для пользователей из той же группы, что и вы:

chmod 0750 /home/имя_пользователя

Теперь безопасность Ubuntu 16.04, а особенно ваших личных данных будет немного выше.

4. Отключите вход по SSH от имени root

По умолчанию в Ubuntu вы можете войти в систему по SSH от имени суперпользователя Несмотря на то, что вы устанавливаете пароль для пользователя root, это может быть потенциально опасно, поскольку если пароль очень простой, то злоумышленник сможет его перебрать и получить полный контроль над компьютером. Возможно, в вашей системе не установлена служба sshd. Чтобы проверить выполните:

Если вы получите сообщение connection refused, то это будет значить, что SSH сервер не установлен и вы можете пропустить этот шаг. Но если он установлен, то его нужно настроить с помощью конфигурационного файла /etc/ssh/sshd_config. Откройте этот файл и замените строку:

PermitRootLogin yes

PermitRootLogin no

Готово, теперь по ssh в вашу систему будет сложнее прорваться, но настройка безопасности в ubuntu 16.04 еще не завершена.

5. Установите фаервол

Возможно, на вашем компьютере установлен не только сервер ssh, но и служба баз данных и веб-сервер apache или nginx. Если это домашний компьютер, то, скорее всего, вы бы не хотели чтобы кто-то еще мог подключиться к вашему локальному сайту или базе данных. Чтобы это предотвратить нужно установить фаервол. В Ubuntu рекомендуется использовать gufw, так как он разработан специально для этой системы.

Для установки выполните:

sudo apt install gufw

Затем нужно открыть программу, включить защиту и заблокировать все входящие соединения. Разрешить только нужные порты для браузера и других известных программ. Подробнее читайте в инструкции .

6. Защита от MITM атак

Суть MITM атаки или атаки "Человек посередине" в том, что другой человек перехватывает все пакеты, которые вы передаете серверу, таким образом, может получить все ваши пароли и личные данные. Не ото всех атак подобного рода мы можем защититься, но довольно популярна в публичных локальных сетях разновидность MITM атак - ARP атака. С помощью особенностей протокола ARP злоумышленник выдает перед вашим компьютером себя за роутер и вы отправляете все свои пакеты с данными ему. От этого можно очень просто защититься с помощью утилиты TuxCut.

В официальных репозиториях программы нет, поэтому для ее установки нужно скачать пакет с GitHub:

wget https://github.com/a-atalla/tuxcut/releases/download/6.1/tuxcut_6.1_amd64.deb

Затем установите полученный пакет:

sudo apt install tuxcut_6.1_amd64.deb

Перед тем, как запускать программу, запустите ее сервис:

sudo systemctl start tuxcutd

Главное окно утилиты выглядит вот так:

Здесь отображены IP адреса всех пользователей, подключенных к сети, а также соответствующий каждому из них MAC адрес. Если отметить галочку Protection Mode, то программа будет защищать от ARP атак. Вы можете использовать ее в публичных сетях, например, в общественном wifi, где опасаетесь за свою безопасность.

Выводы

Ну вот и все, теперь настройка безопасности Ubuntu 16.04 завершена и ваша система стала намного безопаснее. Мы перекрыли самые распространенные векторы атак и методов проникновения в систему используемых хакерами. Если вы знаете другие полезные способы улучшить безопасность в Ubuntu пишите в комментариях!

Компьютеры подвержены риску просто при соединении с Интернетом. Среди возможного риска вирусы, черви, трояны, шпионские программы, руфситы, вредоносные хакеры, фишинг, фарминг и социальная инженерия. Мри обсуждении безопасности профессионалы IT часто используют выражение: «Единственный способ по-настоящему защитить компьютер - закрыть его в стальном ящике»; в общем, не используйте компьютер, и вы будете в безопасности. Понятно, что это непрактично, так как компьютеры используются каждый день, поэтому вместо того чтобы бояться, будьте хитрее. Понимание того, как безопасно работать на компьютере и какие меры нужно предпринимать, — это разница между счастливым пользователем компьютера и тем, кто теряет свои файлы.

Передовой опыт компьютерной безопасности
Перед тем как изучать способы защитить компьютер под управлением Ubuntu, необходимо изучить некоторые термины и обратить внимание на основные принципы.

Терминология
В этой главе будут обсуждаться термины, объясненные ниже. Важно ознакомиться с ними, так как они часто встречаются на форумах, связанных с безопасностью.
. Ботнет (botnet). Несколько компьютеров (зомби), которые контролируются другим компьютером или пользователем. Обычно создается вирусом или другими вредоносными программами.
. Брандмауэр (firewall). Программный или аппаратный пакет, цель которого — предотвращать неавторизированпый доступ к компьютерной системе или сети.
. Взломщик (cracker). Человек, получающий доступ к компьютерной системе без разрешения.
. Вирус (virus). Программа, способная копировать себя, чтобы заразить компьютер без ведома оператора. Вирусы могут уничтожать или портить данные на зараженных компьютерах.
. Вредоносные программы (malware). Слово таксаге — это сокращение от malicious software. В общем, это любые программы, которые могут нанести компьютерной системе вред. Например, вирусы, трояны и черви.
. Зомби (zombie). Компьютер, зараженный вирусом, который позволяет кому-то управлять собой.
. Руткит (rootkit). Вредоносная программа, которая позволяет обращаться к компьютеру под управлением GNU/Linux с нравами пользователя root. В Microsoft Windows нападающий может получить права администратора.
. Социальная инженерия (Social engineering). Высокотехнологичная версия мошенничества. Метод обмана пользователей, при котором они сообщают информацию, которую можно использовать для «авторизированного» доступа к компьютерной системе или сети.
. Троян (trojan). Сокращение от «троянский конь» (Trojan horse), это компьютерная программа, устанавливаемая под видом другой программы. Она открывает доступ к компьютеру для нападающего.
. Уязвимость (vulnerability). Слабость компьютерной системы, процедуры или сетевой защиты, которую могут использовать взломщики, чтобы получить доступ к системе.
. Фарминг (pharming). Технология, при которой изменяются навигационные структуры DNS и человек перенаправляется на сайт злоумышленника, а не на сайт, на который он хотел попасть. Так часто собирают банковскую и другую личную информацию от ничего не подозревающих пользователей.
. Психинг (phishing). Технология, заключающаяся в посылке поддельного электронного письма или сообщения якобы от банка или фирмы. В сообщении у пользователя обычно запрашиваются информация об учетной записи и пароль. Сообщение также может содержать ссылки на поддельные веб-сайты, на которых у пользователя может спрашиваться подобная информация, и этой информацией затем пользуются злоумышленники.
. Хакер (hacker). Человек, который с помощью знаний и таланта решает сложные проблемы, связанные с компьютерами.
. Червь (worm). Вредоносная программа, которая может создавать свои копии, чтобы распространиться по компьютерной сети.
. Эксплойт (exploit). Ошибка в программном обеспечении, которой пользуются хакеры, чтобы получить доступ к компьютерной системе или сети.
Если вы искали сведения о GNU/Linux и Ubuntu в Интернете, то. вероятно, видели статьи и сообщения па форумах, в которых расхваливается безопасность этой операционной системы по сравнению с Microsoft Windows. Если вы еще этого не сделали, наберите в Google строку GNU/ Linux + security, и вы поймете, о чем я говорю.

При установке Microsoft Windows пользователи должны создать начальную учетную запись. Этой учетной записи сразу присваиваются права администратора, и, значит, пользователю разрешено все. Поэтому, если под этой учетной записью будет запущена вредоносная программа, она получит полный доступ к компьютеру. Ubuntu использует другой подход. Пользователи, созданные во время установки, не могут делать все, что хотят. Помните, как при установке вам надо было набирать sudo? Это потому что пользователь - не администратор, или root, как это называется в GNU/Linux. По этой причине инструменты Add/ Remove и Synaptic Package Manager запрашивают пароль, если вы пробуете что-то установить. Такой подход, безусловно, работает, так как и Microsoft теперь использует подобную процедуру в операционной системе Winodows Vista.

Еще одна причина, по которой GNU/Linux безопаснее Microsoft Windows, заключается в том, что количество вредоносных программ, заражающих Microsoft Windows, очень велико по сравнению с GNU/Linux. Отличаются и пользователи этих операционных систем. Windows — самая популярная операционная система в домах и офисах. Эта доля рынка включает большое число пользователей, которые не заботятся о безопасности компьютера. Люди, работающие с GNU/Linux, отличаются — они продвинулись на шаг дальше по сравнению с обычными пользователями и знают о компьютерах больше. Конечно, это только теория, и миллионы пользователей хорошо знакомы с Microsoft Windows. Данная теория указывает на то, сколь важен пользователь при поддержании безопасности компьютера. Установка таких программ, как антивирус и брандмауэр, - это ваша задача. Следует обеспечить частые обновления этих и всех других приложений. Что еще важнее, необходимо использовать приложения безопасности.