8 приёмов улучшающих безопасность в Linux

Безопасность /
Безопасность: linux security
Спросите любого гика, и он вам скажет, как интересно устанавливать Linux на новую машину. Если вы пытаетесь протестировать новый дистрибутив или установить обновлённую версию, есть в этом действии нечто сакральное, возвышающее вас над всем сущим, и на секунду делающее сверхчеловеком, этаким полубогом в доспехах, повергающим, своим сверкающим на солнце клинком, Горгону Медузу.

Хотя Linux более безопасен, чем Windows, все еще есть шаги, которые необходимо предпринять после установки, чтобы захардкорить систему на длительные приятные часы работы в ней. Выполните эти шаги, чтобы сделать ваш Linux дистрибутив защищённым как неприступная крепость. Более продвинутый пользователь чем я, безусловно возразит, что это не всё, что нужно еще сделать так-то и так, но пардон, я не всезнайка, прошу в комментариях дополнить.

1. Обновите систему

После первой загрузки в новоустановленную систему, сразу рекомендую обновить её до самых актуальных версий пакетов. Обусловлено это тем, что в новых версиях закрыты старые уязвимости и известные баги и добавились новые уязвимости и неизвестные баги.
В Manjaro Linux это делается простым:
yaourt -Syyuu

В Ubuntu и прочих Fedora сами знаете как.

2. Включите файрвол

Файрвол(firewall, межсетевой экран, брандмауэр) — технологический барьер, предназначенный для предотвращения несанкционированного или нежелательного сообщения между компьютерными сетями или хостами. Простыми словами это та штука которая не позволит гипотетическому злоумышленнику произвести несанкционированные действия на вашем ПК. В линукс уже есть iptables -встроенная утилита командной строки представляющая интерфейс управления работой межсетевого экрана. Если есть желание, то можно раскурить маны разобраться в ней и настроить всё с помощью неё. Но если вы ленивая жопа привыкли к удобным утилитам с графическим интерфейсом, то ваш выбор GUFW — графическая надстройка над другой утилитой командной строки ufw, выполняющую аналогичную функцию iptables.

3. Установите антивирусное ПО

На вопросе необходимости антивирусов в операционных системах на базе Linux, лопнуло немало пуканов сконцентрировано внимание, как приверженцев идеи их использования, так и противников. Лично я считаю, что безопасности много не бывает, и если вы ставите перед собой цель построение защищённой системы, то неплохо бы установить этот вид ПО. Перечислю известные мне неплохие решения — ClamAV, Sophos, ESET, Comodo и Bitdefender.

4. Контроль сторонних приложений

Если вы устанавливаете приложения не из официальных репозиториев, то я бы порекомендовал устанавливать их в каталог /opt. Так же рекомендую проверить автозапускаемые процессы и программы и явно вам ненужные удалить из автозапуска. Чтобы посмотреть их список можно воспользоваться незатейливой командой:
netstat -npl

Ну а убить можно например с помощью htop
Неиспользуемые службы systemd можно отключать по имени службы:
systemctl disable servicename 
где вместо servicename имя ненужной службы.

5. Отключение входа под Root в SSH

Для этого достаточно отредактировать файл /etc/ssh/sshd_config в вашем любимом текстовом редакторе, и убрать комментарий # в начале строки:
#PermitRootLogin no
сохраните файл и перезапустите ssh в зависимости от вашей системы инициализации:
sudo /etc/init.d/sshd restart
или
sudo systemctl restart sshd.service

6. Включаем защиту BIOS

Откройте ваши настройки биос и отключите загрузку с CD/DVD, USB, внешних & floppy носителей. После чего включите и задайте хороший пароль BIOS.

7. Проведите аудит своей системы

Существует много различных утилит для аудита системы. Я пользовался Lynis — утилиту с открытым исходным кодом, которая выполняет местную оценку безопасности и аудит служб на уязвимость.
Для запуска аудита выполняем команду:
./lynis audit system

8. Запрещаем считывание с USB

Для тру параноиков желающих не позволить супостату подключить USB к вашему ПК. Создаём в директории /etc/modprobe.d/ файл usb-storage.conf:
sudo nano /etc/modprobe.d/usb-storage.conf
следующего содержания:
install usb-storage /bin/true
Перезагружаем систему и наслаждаемся невозможностью смонтировать USB.
3 комментария
SpoliatoR
Ну с BIOS как то уж круто )) Да и вообще применив некоторые вещи стоит записать пароли… на клавиатуре… снизу ))))
Думаю для параноиков стоит добавить это Cкрытие файлов и папок в Nemo & Nautilus
И это думаю интересно будет читателям Criptkeeper — легкий способ для криптования -декриптования папок и директорий
DmitriyDmitrievich
в sshd_config теперь такая строчка PermitRootLogin prohibit-password, чего оно означает и как с ней быть, раскомментировать или нет?)
manjarqo
По умолчанию значение директивы конфигурации PermitRootLogin изменено с «yes» на «prohibit-password», т.е. удалённый вход под пользователем root с парольной и интерактивной аутентификацией теперь запрещён. При указании значений without-password или prohibit-password допускается только аутентификация по ключам или через GSSAPI
Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.