Як правильно захистити комп'ютер Linux

Очевидно, існують різні методи захисту на основі домашнього порівняно з професійними комп'ютерами. Мої питання, як правило, стосуються забезпечення домашніх робочих столів, але професійний захист, безумовно, вітається :) Знання - це сила.

З моменту переходу в чудовий світ Linux пару років тому я навіть по-справжньому не думав про безпеку. Розглядаючи як більшість негідників, що живуть із низьким рівнем життя, віруси для машин Windows сприймають як більш рясні.

Але як я можу знати, чи захищений / захищений від тих, хто хоче потрапити на мене чи мої речі. Я знаю, що у кожного, хто достатньо рішучий вступити у волю, про це не виникає сумнівів. Але які дії я можу зробити, щоб захистити себе від таких речей, як несанкціоновані корінні оболонки та автоматичні атаки? Крім того, чи є вбудований брандмауер / антивірус у більшості дистрибутивів Linux?

Я знаю, що це питання досить широке, оскільки існує безліч способів, як хтось може скомпрометувати вашу систему, але, можливо, ви можете поділитися тим, що зробили, щоб переконатися, що ви в безпеці.

EDIT: Я вирішив не дозволити вхід у систему через ssh і змінити порт слухає щось випадкове. Сподіваємось, це крок у правильному напрямку. В даний час переглядає iptables та вимикання послуг. Сподіваємось, це запитання отримає багато якісних відповідей (вже 3), і це допоможе іншим параноїкам :)

EDIT 2: Виникли деякі проблеми з iptables, але це виявляється хорошим інструментом

EDIT 3: Поки що ніхто не торкався питання шифрування жорсткого диска. Чи варто цього? Я ніколи не використовував його раніше, тому не знаю, як це все працює. Наскільки це легко досягти?

Ще одна редакція: з точки зору послуг, які мають працювати у вашій системі, які з них повинні або повинні працювати? Які порти мають бути відкриті у вашій коробці? Звичайно, це залежить від того, що ви використовуєте, але що відкривається за замовчуванням і що небезпечно?

З цим можна отримати дуже хитрість iptables. Погляньте на, man pageі ви побачите, наскільки складна ця програма. Окрім того, що не підключатись до мережі, як було сказано вище, це, мабуть, так само добре, як ви можете зробити.

Якщо ви використовуєте ssh, не використовуйте паролі, а використовуйте відкриті ключі.

Встановлюйте програмне забезпечення лише з надійних репостів дистрибутива. Існують різні заходи, які допомагають підтримувати цілісність пакетів, знайдених репост.

Будьте в курсі вашої системи.

Не запускайте як root - піднімайте привілеї лише тоді, коли це потрібно.

Під час перегляду Інтернету використовуйте такі речі, як FlashBlock / AdBlock / NoScript.

Не панікуйте.

У вас все буде добре, якщо встановити нестандартну Linux, просто вимкніть будь-які сервіси, якими ви не користуєтесь. Якщо це домашній ПК, то вам нічого серйозного турбуватися.

Я працюю Ubuntu на своєму робочому столі протягом багатьох років, і лише кілька служб вимкнено, як-от Bluetooth та спільний доступ до папок, а потім використовую ОС. Ви можете встановити антивірус, якщо хочете, але він насправді не потрібен.

Це дуже сильно залежить від того, для чого ви його використовуєте, і які порти відкриті. Наприклад, якщо у вас є багато служб, підданих доступу до Інтернету, і це речі, які часто зловживають, fail2ban - це приголомшливо - я використовую його, наприклад, для блокування випадкових ssh-подвигів.

Не використовувати ваш кореневий рахунок також є здоровим глуздом. Спосіб ubuntu відсутності кореневого акаунта насправді має деякі заслуги, а також ваші звичайні атаки грубої сили намагаються вгадати імена користувачів та паролі.

Нарешті, як згадувалося раніше, зменшіть ризик впливу - вимкнення будь-яких служб, які не використовуються, та будь-яких портів, які не потрібні відразу.

Перегляньте посібник з NSA щодо забезпечення Red Hat Linux . Це хороший посібник для запуску для блокування базової системи. Можливо, ви не використовуєте Red Hat, але він дає вам гарне уявлення про те, на що слід звернути увагу. Звичайно, якщо ви надаєте будь-які послуги у вашій системі, тоді вам потрібно буде переглянути ризики цих служб.

Шифрування жорсткого диска налаштовано порівняно просто і прямо. Деякі дистрибутиви (зокрема Ubuntu) пропонують зашифрувати домашній каталог для вас під час встановлення.

Варто це чи ні? Ну, це не захистить ваші дані від того, щоб хтось із Інтернету зламався - коли комп'ютер завантажиться і файлові системи змонтовані (зашифровані чи ні), комп'ютер може прочитати дані - і, отже, зловмисник може прочитати дані.

Те, що це захищає, - це те, що фізично ввірваються у ваш будинок і крадуть ваш комп'ютер. Це не дозволяє їм отримати доступ до ваших даних. Мало того, що багато будинків-розбивачів хочуть даних; вони просто хочуть продати комп’ютер за швидкий долар, щоб вони могли заробляти ще кілька ліків.

Вам краще індивідуально шифрувати ваші конфіденційні файли, щоб лише ви могли отримати на них ключ / фразу. Це не дозволить зловмиснику їх легко прочитати.