Die uiteindelike gids vir desktop Linux-sekuriteit


Desktop Linux-sekuriteit word oor die algemeen beskou as fundamenteel meer robuust as Windows. Dit beteken egter nie dat u van u Linux-tafelblad kan “installeer en vergeet” nie. Dit benodig soveel beskerming as enige ander bedryfstelsel. In hierdie artikel gee ons ‘n paar praktiese advies oor hoe om dit te doen.


As u aan die gang gaan, sal ‘n kort oorsig oor hoe Linux bedink en ontwikkel is, help om te verstaan ​​hoekom desktop Linux-sekuriteit ‘n moeiliker neut is om te kraak as ander desktop-stelsels.. 

‘N Kort geskiedenis van Linux

In die vroeë 90’s het ‘n Finse student met die naam Linus Torvalds aan ‘n Unix-agtige kern begin werk nadat hy geïnspireer is deur ‘n afgeskaalde Unix-agtige bedryfstelsel genaamd MINIX. Die kern het verouder en het uiteindelik die kern geword vir bedryfstelsels soos Android, ChromeOS en die desktop / server OS waarna ons vandag Linux noem..

Linux behoorlik is slegs die bedryfstelselkern waarmee mense nie interaksie het nie. Alles wat u al ooit op ‘n Linux-masjien gesien het, is ‘n toepassing en nie Linux nie, en tog het die naam die oorhand gekry om die hele bedryfstelsel te kenne te gee, baie tot die spyt van Richard Stallman en die GNU (Gnu’s Not Unix) -projek.

Die GNU-projek het begin toe Torvalds 14 jaar oud was, en 7 jaar voordat die Linux-kern verwek is. MIT-alumnus Richard Stallman (RMS in hacker-kringe) het vroeër erken dat mense regtig hul digitale data moes besit, al wat gebruik moes word om die data te skep, insluitend die bedryfstelsel en al die bykomende komponente, hoef nie te besit nie. Vir die doel het RMS die GNU-projek gestig en die eerste gratis (soos in nie-eiendom) sagtewarelisensie geskryf wat in 1989 bekend staan ​​as die GNU General Public License. Teen 1991 het die GNU-projek ‘n aantal hulpprogramme geskep, maar het steeds nie ‘n werkende kern, wat die GNU Hurd genoem is. Torvald se Linux-kern het ‘n meer haalbare alternatief vir die Hurd geword, en omdat Torvald dit onder die GNU General Public License vrygestel het, het dit beter geword om dit met die GNU-nutsfunksies te kombineer. Dus het die eerste nie-eiendomsbedryfstelsel ontstaan.

agtergrond:

Die woord Gratis in sagtewarekringe verwys na sagteware wat nie eie is nie en deur enigeen vir enige doel gebruik kan word. Die onderskeid tussen die twee moontlike betekenisse van die woord vry word beskryf met die frase vry soos in spraak of vry soos in bier. In ‘n poging om hierdie onderskeid makliker te maak, is die term Free / Libre Open Source Software (F / LOSS, of FLOSS, soms net FOSS) bedoel as ‘n manier om vryheid en vryheid te betwis. In beide gevalle verwys die wegneemetes uit hierdie konteks vry na die feit dat die sagteware nie-eiendomsreg is, en vry om te gebruik en te verander.

Die GNU-projek hou vol dat die hedendaagse Linux regtig GNU-sagteware is wat met ‘n Linux-kern werk en daarom moet dit met reg GNU / Linux genoem word om te verseker dat die GNU-projek behoorlik krediet kry vir hul gereedskap. Ongelukkig het mense getoon dat hulle waarskynlik nie die moeite doen om hul tonge om die frase GNU / Linux te draai nie, sodat die stryd alles behalwe verlore gaan..

Terug na die kern van Torvald: MINIX was ‘n opvoedkundige bedryfstelsel met kaal bene, geskryf deur Andrew Tanenbaum as ‘n onderriginstrument vir sy handboek wat Torvalds aan die Universiteit gebruik het. MINIX bestaan ​​vandag nog en is hoofsaaklik gemik op ingebedde stelsels met ‘n lae hulpbron. Torvalds het die kennis gebruik om sy eie kern te skep en Linux is gebore.

Definisies

Kern

Linux is ‘n monolitiese kern. Sonder om in die onkruid vasgeval te raak, beteken dit in wese dat die kern heeltemal in die kernruimte werk. Die geheue van ‘n rekenaar word op verskillende maniere beskikbaar gestel. Geheue waartoe gebruikersprogramme toegang kan kry, word gebruikersruimte genoem. Geheue dat slegs bevoorregte prosesse soos dié wat deur die bestuurstelsel benodig word, slegs vir kernruimte beskikbaar is. Dit beteken dat dit moeilik is vir gebruikersprogramme om die bedryfstelsel te beïnvloed, aangesien die toepassings nie toegang tot die kern se prosesse het nie.

malware

Kwaadwilligheid is die generiese term vir enige soort sagteware wat iets sleg doen. Virusse, potensiële ongewenste programme (PUP) en spyware is almal voorbeelde van wanware.

spyware

Spyware probeer sensitiewe inligting vanaf u rekenaar steel en dit aan die slegte man stuur. Populêre metodes om te spioeneer is keyloggers wat elke sleutel wat u druk uitstuur, en blaaier-spoorsnyers wat die webwerwe wat u besoek op die web dophou..

botnets

Botnette is RoBOT NETwerke wat gebruik word om DDoS-aanvalle op Distribueerde Denial of Service (webwerwe) te loods. Om ‘n teikenwebwerf af te bring, het ‘n aanvaller in die algemeen duisende, indien nie honderdduisende, rekenaars tot sy beskikking nodig nie. Aangesien dit nie prakties is om baie rekenaars te besit of te huur nie, gebruik slegte ouens u rekenaar.

Dit doen hulle op grond van die feit dat u ‘n truuk gee om hul botnetkode op u rekenaar te installeer, gewoonlik deur standaard uitvissingstegnieke. Sodra die botnet-malware op u stelsel geïnstalleer is, meld dit by die slegte man aan, gewoonlik op ‘n IRC-kanaal en gaan dan aan die slaap. As die slegte ou genoeg bots het om te gaan, gee hy opdragte aan hulle en die bot op u rekenaar, en baie ander, word lewendig en begin verkeerde verkeer op die geteikende webwerf stuur. U, die gebruiker, bly salig onbewus daarvan dat u rekenaar op hierdie manier gebruik word.

Virusse en wurms

‘N Virus of ‘n wurm is ‘n stuk malware wat die bykomende eienskap het dat hy homself kan repliseer. Die meeste malware installeer homself een keer, en as die slegte ou ‘n ander rekenaar wil besmet, moet hy die eienaar van die rekenaar oortuig om ook sy malware te installeer, ensovoorts. In teenstelling daarmee sal ‘n virus of wurm homself installeer en dan soek na ander netwerkverbindende rekenaars waarop dit homself kan kopieer.

Die onlangse uitbrake van WannaCry en ander ransomware-aanvalle was wurms. Een persoon in die organisasie het per ongeluk op ‘n phishing-skakel geklik en die wurm is op hul rekenaar geïnstalleer. Daarna het dit deur die netwerk gekruip om ander rekenaars te vind, en in ‘n baie kort tydjie is elke rekenaar in die netwerk besmet.

Maniere waarop Linux veiliger is as Windows

Voorregte is standaard

‘N Baie fundamentele veiligheidsbeginsel is dié van Least Privilege. Hierdie beginsel bepaal dat enige entiteit, gebruiker of andersins, slegs die minimum voorregte moet kry wat nodig is om sy werk te verrig en nie meer nie. Byvoorbeeld, ‘n gebruiker wat slegs dokumente moet skep en druk, hoef ook nie die skermbesparing te verander of toegang tot die internet te kry nie.

‘N Tweede ewe belangrike beginsel is vir die gebruiker-stelsels met meerdere gebruikers, Isolasie. Die beginsel van isolasie word op baie maniere gebruik. In hierdie geval is dit die beste om die skeiding van gebruikers te beskryf. Die aktiwiteite van een gebruiker moet nie toegelaat word om ander te beïnvloed nie, en data wat aan een gebruiker behoort, moet toeganklik wees vir ‘n ander gebruiker, tensy dit spesifiek toegelaat word.

Linux is van die eerste dag af gebou as ‘n meervoudige gebruikerstelsel en het daarom hierdie beginsels ingebak. Windows is ontwerp as ‘n enkelgebruiker-tafelstelsel en het mettertyd verskillende funksies daaraan toegevoeg om die swakhede van die oorspronklike ontwerp in die ‘n internet-gekoppelde wêreld.

Die meer gewilde Linux-verspreidings skep ‘n nie-bevoorregte gebruikerrekening vir daaglikse gebruik, terwyl ‘n Windows-gebruiker gewoonlik ‘n administratiewe gebruiker is. Gebruikerrekeningbeheer (UAC) is in Windows Vista bekendgestel om meer van die installasie-hindernis te skep en vereis dat gebruikers sekere aksies spesifiek magtig deur op ‘n OK-knoppie te klik wanneer daar gevra word..

As u administrateurregte benodig om programme te installeer, is dit moeiliker om wanware te ontplooi. Die gebruiker is egter die swakste skakel in enige sekuriteitsketting. Alhoewel hierdie voorwaardes-eskaleringsinstrumente in die wêreld nou funksioneel is, sal baie gebruikers eenvoudig hul administrateurwagwoord invoer, of op die OK-knoppie klik om toelaat dat hoogs bevoorregte aktiwiteite plaasvind wanneer die vraag gevra word. ‘N Groot gebruikersbasis wat nie die kennis het om te verstaan ​​hoekom hulle gevra word om verhoogde geloofsbriewe te lewer nie, maak dit baie moeilik om hierdie instrumente effektief te hê.

aanneming

Daar is baie bespreking oor die vraag of ‘n laer aannemingstempo van Linux toegeskryf word aan ‘n kleiner teiken vir malware, en minder infeksies voorkom.

Alle malware word nie gelyk geskep nie. Malware-outeurs skryf hul programme met ‘n spesifieke doel voor oë. Baie malware-programme word gebruik om niksvermoedende rekenaars te werf om deel te word van ‘n botnet. Sommige malware is geskryf om aanmeldbewyse vir sensitiewe webwerwe te steel. Sommige is geskryf om die rekenaar waarop dit geïnstalleer is, bloot te vernietig. In enige van hierdie gevalle wil die outeur van skadelike programme doeltreffend wees. Die doel is om die kode een keer te skryf en dit dan herhaaldelik op soveel verskillende rekenaars as moontlik te gebruik. Met die doel in gedagte, is dit voor die hand liggend dat die skryf van malware vir Windows ‘n beter doel is as om malware vir Linux te skryf.

Dit is feitlik onmoontlik om die ware tempo van Linux-aanneming te ontdek. ‘N Deel van die probleem is dat Linux soveel ingeboude verbruikers is dat dit nie eens duidelik is hoe om ‘n toestel as ‘n Linux-toestel te tel nie. Die ander groot struikelblok is dat desktop Linux FLOSS-sagteware is, dus is daar geen verkoopsnommers wat gebruik kan word nie. Al wat ons regtig kan doen, is om na sekondêre data soos Linux-aflaaie te kyk of mense te vra om as Linux-gebruikers te registreer. Met verskillende metodologieë is Linux-aanneming oral tussen een en 34 persent beskikbaar, wat so ‘n groot variasie is dat dit behalwe nutteloos is. Sommige bedryfsinsiders merk op dat die statistieke in byna alle studies US-sentraal is, en dus weerspieël dit nie die wêreldwye markaandeel nie en kan dit wêreldwyd so hoog as 12 persent wees..

Wat ons wel weet, is dat dit uiters onwaarskynlik is dat daar meer Linux-desktops gebruik word as Windows-desktops. As ‘n malware-skrywer is dit meer sinvol om Windows-kode te skryf, aangesien dit ‘n groter aanvalsbasis bied om mee te werk.

Oop bron

Die open source-sagteware-ontwikkelingsmetodologie is die teenoorgestelde van hoe tipies sagteware in die verlede ontwikkel is. Die meeste sagtewaretoepassings word intern vervaardig en die bronkode is eie en versteek vir enigeen buite die onderneming. Daarteenoor is Open Source-sagteware net dit – oop. Dit word in openbare kode-bewaarplekke gepubliseer om elkeen in staat te stel om die kode te sien, na foute te kyk, en dit selfs aan te pas en hul veranderinge by te dra tot die hoofprojek.

Voorstanders van open source gebruik die wet van Linus om te illustreer waarom dit die beter ontwikkelingsmetodologie is.

Linus se wet:

genoeg oogballe gegee, alle foute is vlak.

Teenstanders van Open Source gebruik Robert Glass se waarneming dat aangesien die aantal foute wat in die kode ontdek is nie lineêr met die hoeveelheid beoordelaars skaal nie, die wet ‘n fout is. Dit lyk asof daar ‘n mate van verdienste hieraan verbonde is. Daar is voorbeelde van open source projekte wat foute ontbloot het jare nadat hulle die eerste keer bekendgestel is.

AppArmor

application wapens is ‘n kern-vlak-verpligte toegangsbeheer-funksie (MAC) wat toepassings beperk tot toegang tot klasse rekenaarbronne. AppArmor kan byvoorbeeld ‘n woordverwerker toelaat om lêers op die plaaslike hardeskyf te lees en te skryf, maar weier dat dit toegang tot die internet het om boodskappe te stuur.

Onthou dat die slegste ouens die moeilikste taak is om mense ná die skryf van die malware te mislei om dit op hul stelsels te ontplooi. ‘N Algemene manier om dit te doen, is om malware binne ‘n heeltemal ander lêer te plak, byvoorbeeld filmondertitelêers. ‘N Program soos AppArmor kan gekonfigureer word om hierdie lêers enige skryf- of internetfunksies te verbied, aangesien ‘n subtitellêer nie nodig is vir die funksies nie. Sodoende kan enige malware in die lêer homself nie kopieer of as ‘n nuut gewerfde botnetlid huis toe roep nie.

AppArmor is in die Linux-kern 2.6.36 (Okt 2010) bekendgestel en verskyn eerste in OpenSUSE Linux en is sedert 7.10 by verstek in Ubuntu geaktiveer. AppArmor het waarskynlik nie veel verstelling nodig vir ‘n standaard tafelrekenaarstelsel nie, aangesien die standaardinstellings goed genoeg is om die meeste malware-pogings af te weer. ‘N Dieper uiteensetting van hoe AppArmor werk en hoe dit aangepas kan word, is op die Ubuntu-wiki.

SELinux

Security Enhanced Linux is ‘n ander MAC-stelsel wat AppArmor ‘n paar jaar voorafgaan. Die Amerikaanse nasionale veiligheidsagentskap (NSA) het SELinux geskep as ‘n reeks korrelpatches en gebruikersruimte-instrumente. Dit is die eerste keer opgeneem in die 2.6.0-toetsweergawe van die Linux-kern (2003).

Die meeste desktopgebruikers vind SELinux ingewikkeld om te konfigureer, en dit vereis ook ‘n lêerstelsel wat etikette ondersteun, terwyl AppArmor nie omgee vir die tipe lêerstelsel nie. Om hierdie redes neem AppArmor die oorheersende MAC-stelsel vir desktop Linux-stelsels oor.

Hoe u Linux-masjien kan beskerm

antivirus

Daar is artikels op die internet wat beweer dat antivirus op ‘n Linux-tafelblad nie nodig is nie. Hierdie kortsigtige wêreldbeskouing help die verspreiding van wanware. Elke rekenaar wat aan die internet gekoppel is, neem deel aan die netwerk en het die vermoë om kwaadwillige lêers te ontvang. Dit kos letterlik niks om antivirus op Linux uit te voer nie, so dit is ‘n raaisel waarom sommige skrywers voel dat die gebruik van Linux-antivirus nie die moeite werd is nie. Daar bestaan ​​genoeg bewyse van Linux-malware.

Dit is belangrik om antivirus op ‘n Linux-masjien te laat loop, selfs as u voel dat u nie die risiko loop om besmet te raak nie. Die meeste Linux-desktops is deel van ‘n tuis- of kantoornetwerk wat ook Windows-rekenaars insluit. Alhoewel dit onwaarskynlik is dat ‘n Linux-masjien deur ‘n Windows-virus besmet kan wees, kan dit die malware maklik na die Windows-masjiene vervoer. Om sake te vererger, word Linux-bedieners gereeld as lêerservers of e-posbedieners in kantooromgewings gebruik, wat beteken dat hulle voortdurend lêers met die ander rekenaars in die kantoor uitruil. ‘N Kwaadwillige lêer wat op ‘n Linux-masjien geberg is en aan Windows-werkstasies bedien word, is ‘n slegte ding wat antivirus sal help om op te spoor.

ClamAV is ‘n algemene F / LOSS antivirus-toepassing wat maklik vanaf Ubuntu-bewaarplekke geïnstalleer kan word. Die artikel waaraan ek gekoppel het, bevat gedetailleerde instruksies oor die installering en instel van ClamAV.

Die installering daarvan op ‘n Debian-stam soos Debian self, of enige van die Ubuntu-variante is gewoonlik so eenvoudig soos om apt-get te gebruik.

sudo apt-get update && sudo apt-get installeer clamav clamtk

Die opdrag moet clamav, freshclam (die handtekeningopdaterer) en die grafiese gebruikerskoppelvlak (clamtk) installeer. U sal ClamAV onmiddellik na die installasie wil opdateer om seker te maak dat u die nuutste handtekeninge het. Dit kan gedoen word vanaf die instellingspaneel in die ClamTK-gebruikerskoppelvlak.

-ClamTK-update nodig

Of u kan dit vanaf die opdragreël met behulp van die opdrag Freshclam doen.

$ sudo varsklam
Die ClamAV-opdateringsproses is op Sondag 16 Jul 08:58:18 2017 begin
main.cld is op datum (weergawe: 58, sigs: 4566249, f-vlak: 60, bouer: sigmgr)
Daily.cld is op datum (weergawe: 23568, sigs: 1740160, f-vlak: 63, bouer: neo)
bytecode.cld is op datum (weergawe: 306, sigs: 65, f-vlak: 63, bouer: raynman)

Maak seker dat ClamAV in die instellingsopsie na alle soorte malware kyk.

ClamTK-kies-all-opsies-1

Uiteindelik is dit sinvol om ‘n skanderingskema op te stel, wat ook vanaf die Planner-paneel gedoen kan word.

ClamTK-skedule-stel

ClamAV kan geïnstalleer word in Redhat Packagmage Manager (RPM) -gebaseerde distros met behulp van yum of die distospesifieke pakketbestuurder.

sudo yum installeer clamav clamd

gemorspos

Rootkits is ‘n ander gevaar, en antivirusprogramme kan dit nie opspoor nie. Aangesien ‘n virus slegs ‘n stelsel kan besmet as dit deur ‘n wortel- of administrateurgebruiker bestuur word, is ‘n algemene aanvalvektor vir Linux om die gebruiker te mislei om een ​​van hierdie wortelstelle te installeer. ‘N Rootkit is ‘n stuk malware wat in staat is om regte op wortelvlak op ‘n Linux-vak te kry sonder dat die gebruiker dit weet. Rootkits word oor die algemeen saamgevoeg met ander, wettige voorkoms, sagteware wat die gebruiker in die wiele ry vir installasie. Destyds installeer die rootkit ook, en aangesien die installasie as die wortelgebruiker gedoen is, het die rootkit nou ook worteltoestemmings. Rootkits is baie moeilik om op te spoor omdat dit die lêer op die stelsel kan verander, wat beteken dat hulle hul spore kan dek. Sommige slegte ouens is egter slordig, en dit kan soms ontbloot word deur wortelstelle met behulp van app soos chkrootkit. As u stelsel met ‘n wortelstel geïnfekteer is, is dit die beste om te aanvaar dat die hele stelsel in die gedrang is en dit formateer. U moet ook versigtig wees om enige toepassings vanaf ‘n rugsteun te installeer nadat u u stelsel weer geïnstalleer is, as u nie kan bepaal waar die rootkit in die eerste plek vandaan kom nie. U kan uiteindelik die wortelstel weer installeer.

Chkrootkit kan vanaf die Ubuntu-bewaarplekke geïnstalleer word met behulp van apt-get.

$ sudo geskik om chkrootkit te installeer

Die kongruente opdrag in ‘n RPM-gebaseerde stelsel is:

$ sudo yum installeer chkrootkit

Gebruik die -l (L) -skakelaar om die toetse te sien wat ckrootkit kan uitvoer.

$ chkrootkit -l
/ usr / sbin / chkrootkit: toetse: aliens asp bindshell lkm rexedcs sniffer w55808 wted scalper slapper z2 chkutmp OSX_RSPLUG amd basename biff chfn chsh cron crontab datum du dirname echo egrep env vind fingerd gpm grep hdparm sudcopadd lsof pos mingetty netstat met die naam passwd pidof pop2 pop3 ps pstree rpcinfo rlogind rshd slogin sendmail sshd syslogd teer tcpd tcpdump top telnetd tydige traceroute vdir w skryf

Die opdrag sudo chkrootkit kan uitgevoer word sonder enige opsies wat al die toetse sal uitvoer. Daar is baie afvoer van hierdie tipe tjek. Die kritiek op elke resultaat is in die regterkantste kolom en kan wissel van moontlike rootkit tot verdagte lêers tot niks gevind nie.

Sarching for Linux / Ebury – Operation Windigo ssh … Moontlike Linux / Ebury – Operation Windigo installetd

Soek na 64-bit Linux Rootkit … niks gevind nie

As u na verdagte lêers en advertensies soek, kan dit ‘n rukkie duur … Die volgende verdagte lêers en kaarte is gevind:
/usr/lib/python3/dist-packages/PyQt4/uic/widget-plugins/.noinit

Kontroleer ‘chfn’ … nie besmet nie

‘N Bekwame stelseladministrateur sal hierdie boodskappe moet beoordeel. Rootkits is van nature baie moeilik om op te spoor, so chkrootkit kan jou gewoonlik net laat weet as dit iets nie heeltemal reg sien nie. ‘N Sysadmin sal elke geval moet ondersoek om vas te stel of daar ‘n werklike risiko bestaan ​​of dat dit ‘n vals positief is.

Trip Wire

Dit is moeilik om ‘n bespreking oor Linux-sekuriteit te hê sonder dat Tripwire na vore kom. Tripwire is ‘n gasheer-gebaseerde indringingsopsporingstelsel. Dit beteken net dat dit op ‘n gasheer (rekenaar) in plaas van op ‘n netwerk geïnstalleer is, en dat dit kan opspoor of lêers deur ‘n indringer verander is.

Ek noem dit slegs in hierdie artikel om aan te dui dat Tripwire bedoel is vir gebruik op bedieners, nie op tafelrekenaars nie. Dit is teoreties moontlik om dit op ‘n tafelblad te installeer, hoewel dit nie die bedoelde doel is nie.

firewall

Ons het almal nou al met die woord firewall vertroud geraak, maar dit is miskien nie duidelik wat dit doen nie. ‘N Egte, fisieke firewall is ‘n brandweerstandige muur wat keer dat ‘n brand in een kamer na ‘n ander kamer versprei. Regte brandmure kom gereeld voor in kantoorgeboue en woonstelkompleks. Deur die konsep op die internet te gebruik, is ‘n firewall sagteware wat verhoed dat die verkeer in een segment van die netwerk in ‘n ander segment kom. Dit stop spesifiek die verkeer vanaf die internet wat na u tuisnetwerk kom, tensy dit spesifiek versoek word.

Die meeste huise het waarskynlik deesdae ‘n router en die router voer sommige van die basiese firewall-funksies uit. ‘N Router moet glad nie ingestel wees om inkomende verbindings te aanvaar nie, maar dit is die beste om altyd seker te maak dat die router-instruksies seker is. ‘N Goeie tweekontrole vir oop inkomende hawens is Gibson Research se Shield’s Up! hawe checker.

Ubuntu-variante kom met die Ultimate Firewall (UFW) geïnstalleer, of in die bewaarplekke. Om te sien of dit geïnstalleer is, type ufw op die opdragreël. As u iets soos $ ufw kry
FOUT: nie genoeg argumenteer dan is dit geïnstalleer nie. As dit nie geïnstalleer is nie, sal apt-get dit vir u doen. Alternatiewelik, installeer gufw as u wil hê dat die grafiese gebruikerskoppelvlak UFW moet opstel, hoewel dit uiters maklik is om te hanteer.

$ sudo apt-get install ufw gufw

UFW sal nie na installasie geaktiveer word nie.

$ sudo ufw status
Status: onaktief

U moet eers ‘n reël of twee opstel, en dan kan u dit aktiveer. Om slegs my IP-toegang via SSH toe te laat, lyk die opdrag soos volg (gebruik u eie IP, nie 11.22.33.44 nie):

$ sudo ufw laat proto tcp toe vanaf 11.22.33.44 na enige hawe 2222

Gebruik status om te kontroleer of dit geneem is:

$ sudo ufw status
Status: aktief

Tot aksie vanaf
— —— —-
2222 LAAT 11.22.33.44

Om ‘n reël te verwyder, is dit die maklikste om dit volgens nommer te doen. Begin status met daardie nommeropsie en verwyder dan die getalreël:

$ sudo ufw status genommer
Status: aktief

Tot aksie vanaf
— —— —-
[1] 2222 LAAT IN 11.22.33.44 $ sudo ufw delete 1
verwydering:
laat toe vanaf 11.22.33.44 na enige poort 2222 proto tcp
Gaan voort met bewerking (y | n)?

Om die firewall te aktiveer, gebruik enable:

$ sudo ufw inskakel
Opdrag kan bestaande ssh-verbindings ontwrig. Gaan u voort met bewerking (y | n)? y
Firewall is aktief en geaktiveer tydens die opstart van die stelsel

Gebruik dit om dit te deaktiveer:

$ sudo ufw deaktiveer
Firewall is gestop en gedeaktiveer met die aanvang van die stelsel

UFW is regtig net ‘n front-end vir IPTables, aangesien u kan sien of u sudo iptables bestuur – L wanneer UFW geaktiveer is. Daar is baie voorpunte vir IPTables, of IPTables kan direk gebruik word, maar UFW maak dit baie maklik.

Die grafiese UI laat dieselfde funksies toe.

UFW-stel

updates

Van die maklikste aanvalvektore wat maklik gebruik kan word in enige sagteware is bekende swakhede. In hacker parlance verwys die term [exploit nul dag] (https://en.wikipedia.org/wiki/Zero-day_ (rekenaar) (of net 0-dag) na ‘n ontginning wat ontdek is, maar nog nie bekend is nie deur die sagtewareverskaffer. Dit gee die verkoper dus nul dae om dit reg te maak sodra hulle daarvan bewus word. Dit beteken dat nul-dae die gevaarlikste is van alle uitbuiting omdat die slegte ouens dit aktief uitbuit terwyl die verkoper wedywer. Die verkoper sal dit vroeër of later pleister en ‘n opdatering vir hul produk uitreik wat die ontginning sluit.

As die verkoper die pleister uitreik, sal die kwesbaarheid baie algemeen bekend word. Ander slegte ouens wat nog nie van die kwesbaarheid weet nie, kan die opdatering aflaai en dit ontleed. In baie gevalle is hulle in staat om te ontdek wat die uitbuiting gebaseer is op wat in die opdatering verander is. Hulle kan dan hierdie inligting gebruik om te gaan jag vir gevalle van hierdie toepassing wat nog nie opgedateer is nie.

U kan hieruit aflei dat die wag op die opdatering van sagteware op u rekenaar u stelsel bloot vir ‘n langer periode oop hou wanneer dit suksesvol aangeval kan word. Dit is belangrik om opdaterings, ten minste veiligheidsopdaterings, op u stelsel toe te pas, so gou as prakties nadat dit beskikbaar is.

As ‘n uiters grafiese voorbeeld van die gevaar van 0-dae, het die onlangse WannaCry-ransomware-aanval wat meer as ‘n kwart miljoen rekenaars in meer as 150 lande besmet het, gebruik gemaak van ‘n 0-dae-uitbuiting in Microsoft Windows Server Message Block (SMB) -protokol genaamd EternalBlue. In hierdie geval was EternalBlue nie nuut nie; daar word algemeen aanvaar dat dit jare gelede deur die Amerikaanse nasionale veiligheidsagentskap ontdek is. In plaas daarvan om Microsoft destyds oor die kwesbaarheid in te lig, het die NSA stil gehou daaroor en dit jare lank gebruik om rekenaars wêreldwyd aan te val. Die NSA het eers die kwesbaarheid vir Microsoft bekend gemaak nadat die uitbuiting deur die hacker-groep The Shadow Brokers by hulle gesteel is en aan die wêreld gepubliseer is.

internet

Die internet is die doeltreffendste afleweringstelsel van malware wat ooit deur mense ontwikkel is. Enigiemand, waar ook al, kan malware op jou stuur via algemene alledaagse metodes soos e-pos. As u daarvoor val en die malware installeer, kan u rekenaar dadelik data via die internet na die slegte ou stuur. In die geval van ransomware sou dit redelik vinnig blyk dat u rekenaar besmet geraak het. As die wanware egter ontwerp is om u rekenaar in ‘n botnet te werf, of al u gebruikersname en wagwoorde stilweg aanteken, sal u moontlik nooit opmerk dat dit geïnstalleer is nie, tensy u antivirus- en malware-beskerming gebruik..

Dit kan moeilik wees vir ‘n slegte man om deur firewalls, routers en antivirus te kom. Dit is makliker om van binne af aan te val deur u te laat loop van programme. Alhoewel baie van ons vaardig raak aan e-posvissings, is dit baie moeiliker om aanvalle vir aflaai-aflaaie op te spoor. Wegry-aanvalle verwys na webwerwe wat kwaadwillige Javascript of ander uitvoerbare inhoud na u blaaier aflaai sonder dat u daarvan weet. Van die vele maniere om dit te doen, Javascript en Flash, is die ergste oortreders.

Javascript

Om op die web te surf met Javascript ingeskakel is ‘n uitnodigende aanval. Daar is baie wat sal sê dat die internet sonder Javacript heeltemal gebreek is en dat dit dus nie prakties is om dit af te skakel nie, maar dit is nie waar nie. As u ‘n inprop soos ScriptBlock vir Chrome of NoScript vir Firefox gebruik, sal u met een klik toegang tot Javascript moontlik maak vir webwerwe wat dit benodig. Die standaardposisie is om Javascript uit te skakel en dit dan op ‘n webwerf-vir-webwerf-basis in te skakel. Dit beteken dat toekomstige besoeke aan werwe wat u reeds vertrou, toegelaat sal word om Javascript uit te voer.

flits

Adobe Flash is so gevaarlik dat ek ‘n hele stuk oor die kwesbaarheid van Flash geskryf het. Flash het een van die hoogste kritieke kwesbaarheidsyfers vir enige stukkie sagteware waarvan ek bewus is.

NoScript vir Firefox blokkeer sowel Flash as Javascript, en Chrome is Flash by verstek afgeskakel. U sal http: // chrome / instellings / inhoud uit u pad moet gaan om Flash in Chrome moontlik te maak. As u dit moet doen, kan u ‘n inprop soos Flashcontrol gebruik om te kontroleer watter webwerwe Flash-uit te voer.

Virtuele privaat netwerke (VPN’s)

OpenVPN-logo

VPN’s is ‘n standaard sekuriteitslaag waarvan die meeste mense met sekuriteit en privaatheid bewus is. ‘N Linux-tafelrekenaar is net nog ‘n internetverbinde masjien en het as sodanig geen spesiale beskerming teen netwerksnuffel nie. Daarom is dit net so noodsaaklik om ‘n VPN op ‘n Linux-masjien te gebruik as om ‘n VPN met enige ander bedryfstelsel te gebruik.

Wanneer u ‘n VPN gebruik, is netwerkverkeer wat u rekenaar verlaat, geïnkripteer en word dit nie ontsyfer totdat dit die VPN-bediener bereik wat u gebruik nie. Inkomende verkeer word op die VPN-bediener geënkripteer en word slegs ontsyfer as dit op u rekenaar kom. Dit beteken dat u ‘n bietjie beskerm word deur u ISP. As u in ‘n situasie verkeer waarin u ‘n onbetroubare netwerk gebruik, soos openbare wifi, is ‘n VPN noodsaaklik, aangesien die kodering sal verhoed dat slegte ouens in dieselfde netwerk u pakkies kan lees..

Daar is groeiende ondersteuning vir VPN’s wat Linux deesdae ondersteun. As u ietwat tegnies vaardig is, kan u kies om u eie VPN-bediener te bou met ‘n Amazon EC2-instansie. As u liewer iets wil hê wat buite die boks werk, hou Comparitech ‘n lys van Linux VPN-verskaffers hier.

OpenVPN is die algemeenste VPN-protokol op Linux en baie van die aanbieders van aanbieders gebruik eintlik OpenVPN onder die enjinkap. OpenVPN is gewild omdat dit die vertroude SSL-protokol gebruik, op elke poort kan werk en Perfect Forward Secrecy ondersteun. As u ‘n VPN-verskaffer wat voorsien word, gebruik, soek dan een wat OpenVPN gebruik.

Laai integriteit af

In die algemeen probeer uitvissings-e-posstukke u help om een ​​van twee dinge te doen: probeer u om aan te meld by ‘n vals webwerf sodat die slegte ou u gebruikersnaam en wagwoord kan steel, of u kan mislei om sagteware op u stelsel te installeer wat die slegte ou sal bevoordeel. een of ander manier. Namate die doeltreffendheid van phishing-e-posse daal, moet slegte ouens ander maniere vind om ons te mislei. Een van hierdie maniere is om hul malware te laat lyk soos goeie sagteware en ons installeer dit doelbewus.

Malware-uitbreidings sal gewoonlik advertensies op u stelsel installeer of u soektogte herlei na een of ander inkomstegenererende soekenjin, of hulle sal ander toepassings installeer wat u nie wil hê nie, saam met die uitbreiding wat u wil hê. Hierdie praktyk is nou so wydverspreid dat slegte ouens verlate uitbreidings met goeie graderings koop en wanware daarin spuit. Dit is meer effektief as om ‘n nuwe byvoeging te ontwikkel, want nuwe byvoegings begin met geen graderings nie en is onderhewig aan ‘n hoër vlak van ondersoek deur die blaaier se add-on-winkels.

Bron van die aflaai

Dit is belangrik om op die uitkyk te wees vir presies wat u aflaai en waar u dit aflaai. Byvoorbeeld, dit is waarskynlik OK om ‘n antivirusprogram van die wettige webwerf van die verkoper af te laai. Dit is waarskynlik nie goed om dit van een of ander derdeparty-webwerf af te laai met ‘n domeinnaam nie. Dit geld ook vir Linux-verspreidingsbewaarplekke, wat later in hierdie artikel behandel word.

Lêer tjeksums

Sommige toepassings is nie bevorderlik vir die aflaai van ‘n enkele plek soos die webwerf van ‘n verkoper nie. Baie toepassings, veral sekuriteits- en privaatheidstoepassings, word versprei oor ander metodes soos torrents. Sonder ‘n enkele herkenbare bron, is dit moeiliker om te bepaal of u die toepassing ten volle kan vertrou. ‘N Metode wat sommige sagteware-outeurs gebruik, is om ‘n wiskundige oorsig van hul toepassing te gee. Gebruikers kan dan dieselfde wiskundige funksie uitvoer teen die lêer wat hulle afgelaai het, en as die twee somme ooreenstem, is dit waarskynlik dat die lêer nie verander is nie.

MD5

Alhoewel MD5 taamlik afgeskryf is as ‘n betroubare kontrolesom, is dit steeds wyd gebruik. As ek ‘n voorbeeld van chkrootkit gebruik, sien ek dat die MD5-handtekening vir die zip-lêer op die chkrootkit-webwerf verskyn as a6d7851f76c79b29b053dc9d93e0a4b0. Ek sou dit kon vertrou, aangesien dit direk kom vanaf ‘n skakel op die amptelike webwerf van chkrootkit.

Ek kry dan ‘n kopie van dieselfde zip-lêer vanaf ‘n torrent, of een of ander bron, en hardloop md5sum teen my nuut afgelaaide lêer:

$ md5sum chkrootkit-m.zip
a6d7851f76c79b29b053dc9d93e0a4b0 chkrootkit-m.zip

Sedert die kontroleeksamen ooreenstem, is dit ‘n redelike versekering dat die lêer nie per ongeluk beskadig is nie. As gevolg van die swakhede in die MD5-algoritme, kan dit nie die versekering wees dat die lêer nie opsetlik verander en vervaardig is om te verseker dat die MD5-kontrolesom nie verander nie.

Dieselfde proses met ‘n sterker algoritme sal ‘n hoër vlak van vertroue bied dat die aflaai nie verander is nie. Die gebruik van die SHA256-handtekening teen ‘n OpenOffice-aflaai is een voorbeeld. Die OpenOffice SHA256-handtekening is op die OpenOffice-aflaai bladsy “

f54cbd0908bd918aa42d03b62c97bfea485070196d1ad1fe27af892da1761824 Apache_OpenOffice_4.1.3_Linux_x86_install-deb_en-GB.tar.gz

Ek benodig beide die SHA256-kontrolesumlêer sowel as my dieselfde naam om dit te laat werk:

$ ls -l Apache_OpenOffice *
-rw-rw-r– 1 xxx xxx 145578419 Jul 16 10:11 Apache_OpenOffice_4.1.3_Linux_x86_install-deb_en-GB.tar.gz
-rw-rw-r– 1 xxx xxx 125 Jul 16 10:11 Apache_OpenOffice_4.1.3_Linux_x86_install-deb_en-GB.tar.gz.sha256
$
$ sha256sum -c Apache_OpenOffice_4.1.3_Linux_x86_install-deb_en-GB.tar.gz.sha256
Apache_OpenOffice_4.1.3_Linux_x86_install-deb_en-GB.tar.gz: OK

Die OK aan die einde van die laaste reël beteken dat die tar.gz-lêer se SHA256-kontrolesom ooreenstem.

Betroubare repo’s

Die eerste installasiepad vir die meeste Linux-gebruikers is die verspreidingsbewaarplekke. Die gebruik van gereedskap soos yum of apt-get is ‘n maklike manier om sagteware te installeer wat bekend is dat dit versoenbaar is met u spesifieke distro. Die herverkrygings word deur die verspreidingsonderhouers geouditeer en nagegaan, so daar is ‘n redelike hoë mate van vertroue dat toepassings in die herverkope veilig is. Alhoewel dit kan blyk dat daar ‘n inherente fout op die toepassing van ‘n toepassing is, is dit moeilik vir iemand om ‘n aansoek kwaadwillig in ‘n repo te verander en die verandering verby die hekwagters te kry.

Daar gesê, is daar baie nie-amptelike herbevestigings, en dit word glad nie bewaak nie. In Ubuntu kan ‘n sagteware repo bygevoeg word deur apt-get en die naam van die Personal Package Archive (PPA) te gebruik, en REPOSITORY_NAME deur die toepaslike repo te vervang.

sudo apt-add-repository ppa: REPOSITORY_NAME

Let daarop dat u die sudo-opdrag moet gebruik om ‘n bewaarplek by te voeg. Dit is ‘n teken dat u die sagteware in daardie PPA vertrou. U sal ook sudo gebruik om sagteware van daardie PPA te installeer wanneer die tyd aanbreek, dus dit is belangrik om seker te wees dat u dit vertrou.

Baie PPA’s word deur Ubuntu-ontwikkelaars voorsien as ‘n manier om meer huidige sagteware aan te bied wat nie by Ubuntu ingesluit is nie, of om sagteware te voorsien wat glad nie by Ubuntu ingesluit is nie. U installeer egter in wese sagteware vanaf ‘n onbekende bron, dus moet dieselfde voorsorgmaatreëls as die aflaai van ‘n webwerf oorweeg word.

Opsec

Operasionele beveiliging (OpSec) -praktyke verskil nie in Linux as met enige ander bedryfstelsel nie. OpSec is ‘n praktyk wat ‘n teëstander kan gebruik om groot hoeveelhede oënskynlike triviale en onverwante inligting oor u in te samel, en dan alles saam te stel om ‘n baie nie-triviale en skadelike ding te doen. Klassieke voorbeelde probeer om sosiale ingenieurswese-tegnieke te gebruik om inligting oor wagwoordherwinning te verkry, soos ma’s se nooiensvan en name van eerste troeteldiere, en gebruik dan die inligting om in ‘n Amazon- of Apple-rekening in te breek. Daarvandaan kan geboortedatums, e-posadresse en moontlik kredietkaartinligting verkry word, wat die aanval moontlik verhoog tot ‘n nog belangriker vlak soos bankoorplasings..

Belangrike dag-tot-dag OpSec-oorwegings is dinge soos:

  • Moenie wagwoorde op verskillende werwe hergebruik nie. Meer as 50 miljoen rekeninge is sedert die begin van die boekjaar gekap en verkoop. Daardie afvalstowwe is goud vir slegte ouens, want hulle weet dat baie van die gebruikersnaam en wagwoordkombinasies op baie werwe werk.
  • Gebruik twee-faktor-verifikasie waar beskikbaar. Tweefaktor-verifikasie (2FA) beteken dat u twee soorte verifikasie moet verskaf om by u rekening aan te meld. Die eerste is gewoonlik u wagwoord. Die tweede is gewoonlik ‘n numeriese kode wat deur ‘n outentiseerderprogram soos Google Authenticator voorsien word, of per SMS-boodskap na u telefoon gestuur word. Die numeriese kodes verander, gewoonlik elke minuut of vir elke gebruik. Die veiligheidsvoordeel hier is dat as ‘n slegte man u gebruikersnaam en wagwoord kon verkry, dit steeds onmoontlik sou wees om by u rekening aan te meld sonder daardie 2FA-kode. Slegs ‘n klein aantal webwerwe ondersteun tans 2FA, maar u moet dit waar moontlik inskakel.
  • Probeer om die publikasie van persoonlike inligting soos u adres of geboortedatum aanlyn te vermy. Adresinligting is gewoonlik redelik maklik om te vind omdat so baie organisasies dinge publiseer soos ledelyste, of skenkingsrekords.
  • enkripsie: Gebruik ten minste die skyfkodering en maak seker dat u rekenaar gesluit is wanneer u dit nie gebruik nie. Dit sal u hardeskyf enkripteer, selfs al word dit gesteel, sal dit moeilik wees om data daarvan te herwin. Gebruik op hoër vlakke lêerkripsie vir u sensitiewer lêers, sodat dit geïnkripteer word, selfs as die rekenaar loop of in standby is..
  • Gebruik ‘n wagwoordbestuurder. Volgende reël 1 (moenie wagwoorde hergebruik nie) is byna onmoontlik sonder die gebruik van ‘n wagwoordbestuurder. Die aantal wagwoorde wat benodig word om op die internet van vandag te navigeer, sal vinniger oortref as iemand die vermoë het om dit met die hand te bestuur. Daarbenewens het die meeste wagwoordbestuurders ‘n notasfunksie. Dit is nuttig omdat daar geen rede is om die regte antwoorde op vrae oor wagwoordherstel te gebruik nie. As u vals antwoorde uitmaak en dit dan as aantekeninge in u wagwoordbestuurder bêre, kan dit slegte ouens wees, selfs al het hulle daarin geslaag om die regte antwoorde te kry.

Ten slotte is sekuriteit ‘n 24/7 werk. Daar is geen punt waar u genoeg sekuriteit geïmplementeer het nie en u klaar is met die beveiliging van u rekenaar. As u die basiese beginsels hierin volg, sal u vrugte met ‘n hoë hang en moeiliker maak vir toevallige hackers om deur te dring. Bedreigings ontwikkel egter daagliks, en u moet moontlik praktyke verander om tred te hou. Dit is ook die beste om vooruit te beplan. Oorweeg wat u sal doen as u gekap word, nie as u gekap word nie. ‘N Bietjie voorbereiding kan daardie dag baie minder stresvol maak.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map