Comment sécuriser correctement un ordinateur Linux

16

De toute évidence, il existe différentes méthodes de sécurisation basées sur les ordinateurs personnels par rapport aux ordinateurs professionnels. Mes questions concernent généralement la sécurisation des ordinateurs de bureau à domicile, mais la protection professionnelle est certainement la bienvenue :) La connaissance c'est le pouvoir.

Depuis mon arrivée dans le monde merveilleux de Linux il y a quelques années, je n'ai même jamais vraiment pensé à la sécurité. Étant donné que la plupart des écumes à faible durée de vie créent des virus pour les machines Windows, car elles sont plus abondantes.

Mais comment puis-je savoir si je suis à l'abri / à l'abri de quiconque veut m'en prendre à moi ou à mes affaires. Je sais que quiconque est suffisamment déterminé pour y participer le fera sans aucun doute. Mais quelles mesures puis-je prendre pour m'assurer que je suis protégé contre des choses comme les shell root voyous et les attaques automatiques? De plus, existe-t-il une sorte de pare-feu / antivirus intégré dans plus de distributions Linux?

Je sais que cette question est assez large car il existe de nombreuses façons de compromettre votre système, mais vous pourriez peut-être partager ce que vous avez fait pour vous assurer que vous étiez en sécurité.

EDIT: J'ai décidé de ne pas autoriser la connexion root via ssh et de changer le port est à l'écoute de quelque chose de aléatoire. J'espère que c'est un pas dans la bonne direction. Actuellement à la recherche d'iptables et de fermeture de services. Espérons que cette question obtiendra beaucoup de réponses de qualité (elle en a déjà 3) et qu'elle aidera d'autres paranoïdes :)

EDIT 2: J'ai des problèmes avec iptables, mais cela s'avère être un bon outil

EDIT 3: Pour l'instant, personne n'a abordé la question du cryptage du disque dur. Est-ce que cela en vaut la peine? Je ne l'ai jamais utilisé auparavant, donc je ne sais pas comment tout cela fonctionne. Est-ce facile à réaliser?

Une dernière modification: en termes de services qui devraient être exécutés sur votre système, lesquels devraient ou devraient être exécutés? Quels ports doivent être ouverts sur votre box? Bien sûr, cela dépend de ce que vous utilisez, mais qu'est-ce qui est ouvert par défaut et qu'est-ce qui est dangereux?

linux  security 
n0pe
source
9
Ne vous connectez pas à Internet.
Wuffers
Il n'y a aucun moyen de sécuriser complètement quoi que ce soit, il y aura toujours un trou pour pénétrer dans votre système quelque part
Sandeep Bansal
J'ai mentionné que dans ma question ci-dessus, la question a également été modifiée de "complètement" à "correctement"
n0pe
Correctement? Oh, dans ce cas, ne le connectez à rien. (Cette question mérite beaucoup de votes!)
Randolf Richardson
3
Si la menace ne peut pas y arriver via Internet, elle peut y arriver via sneakernet. Cela dit, vous travaillez pour remédier aux vulnérabilités les plus courantes propres à votre situation d'exploitation, plutôt que de tomber dans la paranoïa en tentant d'atténuer toutes les menaces possibles.
music2myear

Réponses:

8

Vous pouvez devenir très délicat avec iptables. Jetez un oeil à la man pageet vous verrez à quel point ce logiciel est complexe. En plus de ne pas se connecter au réseau comme mentionné ci-dessus, cela est probablement aussi bon que possible.

Si vous utilisez, sshassurez-vous de ne pas utiliser de mots de passe mais d'utiliser plutôt des clés publiques.

Installez uniquement les logiciels à partir des référentiels approuvés de la distribution. Il existe diverses mesures en place qui aident à maintenir l'intégrité des packages trouvés dans ledit référentiel.

Gardez votre système à jour.

Ne pas exécuter en tant que root - élever les privilèges uniquement lorsque vous le devez.

Lorsque vous naviguez sur le Web, utilisez des éléments tels que FlashBlock / AdBlock / NoScript.

Pas de panique.

boehj
source
2
+1 pour la référence de l'auto-stoppeur! euh .... dans 34 min (vote cap -_-)
n0pe
3
J'aime UFW pour avoir rendu iptables accessibles aux simples mortels;)
Andrew Lambert
Haha ... ah oui, merci pour ça. Convenu que UPW mérite d'être examiné.
boehj
C'est UFW, désolé. Hier, nous avons eu une mauvaise journée de faute de frappe. :)
boehj
Ne lisez pas les pages de manuel pour iptables, lisez plutôt frozentux.net/iptables-tutorial/iptables-tutorial.html
cybernard
5

Vous serez bien avec une installation linux prête à l'emploi, désactivez simplement tous les services que vous n'utilisez pas. S'il s'agit d'un ordinateur personnel, vous n'avez rien à craindre.

J'exécute Ubuntu sur mon bureau depuis des années avec seulement quelques services désactivés, comme le Bluetooth et le partage de dossiers, puis j'utilise le système d'exploitation. Vous pouvez installer un antivirus si vous le souhaitez mais ce n'est pas vraiment nécessaire.

Sandeep Bansal
source
Merci, je vais jeter un œil à mes services plus tard dans la journée quand j'en aurai l'occasion.
n0pe
5

Cela dépend très fortement de l'utilisation que vous en faites et des ports ouverts. Par exemple, si vous avez beaucoup de services exposés à Internet, et que ce sont des choses qui sont souvent mal utilisées, fail2ban est génial - je l'utilise pour bloquer des exploits aléatoires ssh par exemple.

Ne pas utiliser votre compte root est également du bon sens. La manière ubuntu de ne pas avoir de compte root a en fait un certain mérite, ainsi que vos attaques de force brute courantes essayeraient de deviner les noms d'utilisateur et les mots de passe.

Enfin, comme mentionné précédemment, réduisez votre exposition aux menaces - fermez tous les services non utilisés et tous les ports qui ne sont pas immédiatement nécessaires.

Compagnon Geek
source
Ubuntu n'a pas de compte root? J'ai utilisé cela avant OpenSuse et j'ai toujours utilisé la commande sudo. Est-ce à dire que sudo "virtualise" un utilisateur root ou quelque chose?
n0pe
2
il existe en fait un compte «root» sans mot de passe. sudo élève temporairement vos privilèges à root, mais vous ne pouvez pas réellement vous connecter en tant que root sans sudo su
Journeyman Geek
très cool, je ne savais pas
n0pe
Si vous donnez à root un mot de passe avec sudo passwd root, vous pouvez vous connecter en tant que root ... pas que vous en ayez besoin.
Stacey Richards
4

Jetez un œil au guide NSA pour sécuriser Red Hat Linux . C'est un bon guide de démarrage pour verrouiller un système de base. Vous n'utilisez peut-être pas Red Hat, mais cela vous donne une bonne idée de ce qu'il faut regarder. Bien sûr, si vous fournissez des services sur votre système, vous devrez examiner les risques associés à ces services.

Xenoactive
source
2

Le chiffrement du disque dur est relativement simple et simple à configurer. Certaines distributions (notamment Ubuntu) proposent de crypter votre répertoire personnel pour vous au moment de l'installation.

Que cela en vaille la peine ou non? Eh bien, cela ne protégera pas vos données contre une personne qui s'introduit sur Internet - une fois que l'ordinateur est démarré et que les systèmes de fichiers sont montés (cryptés ou non), l'ordinateur peut lire les données - et donc l'attaquant peut lire les données.

Ce que cela vous protège, c'est que quelqu'un s'introduise dans votre maison et vole votre ordinateur. Cela les empêche de pouvoir accéder à vos données. Pas beaucoup de briseurs de maisons veulent les données; ils veulent juste vendre l'ordinateur pour un prix rapide afin de pouvoir acheter des médicaments supplémentaires.

Vous feriez mieux de crypter individuellement vos fichiers sensibles afin que vous seul puissiez y accéder avec une clé / phrase de passe. Cela les empêchera d'être facilement lus par un attaquant.

Majenko
source
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.