Какой более безопасный в сети линукс поставить. Технически подкованные пользователи

Из этого Сравнения.Часть их из более ранних Сравне­ний успели отпасть, поэтому здесь мы оцениваем дистрибутивы еще и по графику выхода релизов.

Кроме того, мы рассмотрим их механизмы обеспечения конфиденциальности оценим их в зависимости от обес­печиваемых аспектов безопасности: например, дистрибутив с защитой только от утечек в системе безопас­ности во время вашего пребывания онлайн будет оценен ниже, чем тот, что защищает вашу конфиденциальность оффлайн.

Документация и поддержка также сильно повысят шансы подоб­ного спец-дистрибутива, как и простота в использовании, это мы тоже протес­тируем. И, наконец, поскольку целью является постоянное использование этих дистрибутивов в качестве настоль­ных, мы протестируем их пригодность как повседневных дистрибутивов для выполнения обычных задач.

• Предисловие
• Защита
• Гибкость развертывания
• Простота в работе
• Документация и поддержка
• Состояние разработки
• Приложения для защиты
• Вердикт

Приватность — одна из про­блем, постоянно привлекаю­щих наше внимание: на страницах нашего сайта вы уже читали о дистрибутивах, укрепляющих вашу кон­фиденциальность. И мы возвра­щаемся к ним снова. Наша одержимость этой темой сравнима с той ситуацией, ко­гда Боб Марли явился на концерт через два дня после стрельбы в него и произнес зна­менитую фразу:

«У тех, кто старается сде­лать этот мир хуже, нет выходных. Так поче­му они должны быть у меня?».

Точно так же, нет недостатка в любителях отследить все наши действия онлайн, и нам приходится предпринимать профилактические меры и задействовать все ресурсы, чтобы пресечь их попытки нарушить на­шу конфиденциальность.

Все дистрибу­тивы в этом Сравнении были созданы спе­циально, чтобы снабдить вас средствами защиты вашей приватности и предотвра­щения случайных утечек.

Подходы у них могут быть разные, и у каждого — свои достоинства и недостатки. Одни использу­ют направление вашего WEB-­трафика через хорошо известные сети анонимности типа ; другие применяют новаторские мето­ды, такие, как безопасность посредством разбиения на части.

Кроме того, посколь­ку безопасность и анонимность идут рука об руку, использование этих дистрибутивов поможет защитить ваш компьютер от и других заинтересованных деанонимизировать вас или взломать ваш компьютер.

Защита

Какие механизмы они используют?

У , как и у его коллег, модифицированное ядро вместе с другими инструментами, например, DNSCrypt, для предотвращения имитации имени домена через аутентифи­кацию коммуникаций между компьютером и DNS-­преобразователем.

TENS еще вклю­чает приложение для шифрования и де­шифрации отдельных файлов и целых ди­ректорий, и работает со смарт-­картами Common Access Card (CAC) [Карта Обще­го Доступа] и Personal Identity Verification (PIV) [Удостоверения Личности] от Мини­стерства обороны США для доступа к от­крытым не для всех сайтам правительства.

Построен вокруг Tor, открытой сети анонимных серверов для прикрытия вашей личности.

Tails также содержит инструменты, помогающие настроить сеть, и браузер с расширениями защиты конфиденциальности с солидной репутацией, плюс ряд ценных криптографических инструментов для шифрования дисков и онлайн-коммуникаций.

Эксплуатирует концепцию безопасности через изоляцию и поставляется в виде двух виртуальных машин. Смысл подобной формы в том, чтобы изолировать среду, в которой вы работаете, от точки доступа к Интернету.

Вдобавок Whonix направляет весь интернет-­трафик через Tor. Благодаря подобной структуре, даже если один из компьютеров окажется скомпрометирован, выяснить ваш реальный IP­-адрес будет невозможно.

Позиционируется как «компьютерная платформа для защиты от злоумышленника» и анонимизирует весь ваш интернет­ трафик, направляя его через сеть Tor. Ядро дистрибутива усиленно заплатками от проекта Grsecurity, что делает Subgraph OS более устойчивой к уязвимостям системы безопасности.

Помимо всего этого, дистрибутив запускает многие настольные приложения внутри песочницы, чтобы сократить риск в случае наличия бреши.

Аналогичный уровень всесторонней защиты вы найдете и в : он тоже сначала направляет все соединения с Ин­тернетом через VPN, а затем передает их в сеть Tor. Kodachi также снабжен ря­дом инструментов для легкой замены иден­тификационной информации, например, страны выхода из Tor и перенастройки ва­ших DNS­-серверов и прочего одним щелч­ком.

Дистрибутив шифрует соединение с DNS­-преобразователем и включает хо­рошо известные инструменты шифрова­ния и конфиденциальности для шифрова­ния всех ваших локальных файлов, писем электронной почты и мгновенных сообще­ний. По окончании использования Kodachi удаляет следы этого использования с ком­пьютера при выключении.

Гибкость развертывания

Как взаимодействуют с физическими дисками?

Персистентное хранение и конфи­денциальность не слишком хоро­шо сочетаются друг с другом. Хо­тя все дистрибутивы в нашем Сравнении тщательно избегают взаимодействия с жесткими дисками на компьютере, некоторые дают вам возможность закрепить их, если, по ­вашему, преимущества постоянной ус­тановки перевешивают ее недостатки.

Единственным исключением является TENS , который вообще нельзя установить. Отсутствует механизм установки также и для Whonix . Проект предлагает несколько механизмов развертывания, самый удоб­ный из которых — скачать виртуальные машины, которые функционируют как лю­бой другой установленный дистрибутив.

Linux Kodachi включает скрипт установки, который помогает поставить дистрибутив на жесткий диск, как любой обычный ди­стрибутив Linux. Однако этот установщик весьма рудиментарен и использует GParted для нарезки диска. Вы также не можете из­менить имя пользователя по умолчанию, иначе многие индивидуальные скрипты по­сле установки работать не будут.

Tails особо заботится о том, чтобы не ис­пользовать жесткие диски компьютера, даже если на них есть место для свопинга, но включает программу установки, чтобы создать постоянный раздел на том же уст­ройстве USB, с которого вы загружаетесь, или на другом USB­-хранилище. Программа установки позволяет выбрать тип данных, которые вы хотите сохранить с помощью таких опций, как ключи SSH, настройки Pidgin, конфигурация Icedove и электрон­ной почты, пакеты APT и т. д. У вас также есть опция создать папку для хранения лю­бых персональных документов. Даже если вы создали постоянный том, Tails дает воз­можность загрузиться в первоначальную среду, если вам в данный момент не нужен доступ к вашим личным данным.

Простота в работе

Нужны ли специальные навыки для работы с ними?

Приватность и анонимность — две разных концепции, которые часто путают. При­ватность — это возможность придержать некоторые вещи исключительно за собой; и наобо­рот, анонимность — это когда вы не возражаете против того, чтобы другие видели ваши действия, но пусть никто не знает, что это именно вы.

Сохранение анонимности без нарушения кон­фиденциальности в Интернете требует опреде­ленного компромисса. Во ­первых, стоит ожидать меньшей скорости работы, поскольку пакеты дан­ных кружат по всему миру, прежде чем прибыть на ваш компьютер. Во вторых, некоторые дистри­бутивы придерживаются более строгой политики паролей, например, для сокрытия вашей инфор­мации для входа в систему или шифрования ва­ших файлов. Всё это не должно порочить удобство работы в Сети или на компьютере. Мы будем искать те дистрибутивы, которые обеспечивают максимальную безопасность при минимальных неудобствах.

Linux Kodachi

Дистрибутив загружает сильно измененный рабочий стол Xfce, который ото­бражает полезную информацию о системе прямо на рабочем столе, в том чис­ле состояние и IP­адрес VPN, MAC­адрес, IP­адрес Tor, потребление CPU, дан­ные памяти и трафика. Как только Kodachi установит соединение с Интернетом, вы сможете запустить Kodachi VPN, который также установит автоматическое соединение с Tor.

Анонимный Linux дистрибутив Linux Kodachi

Опытные пользователи могут подключиться через собствен­ный VPN. Дистрибутив также позволяет выбрать узлы выхода по странам с по­мощью опции инструментов Tor в доке. В доке имеются все приложения и ин­струменты частого пользования, например, Tor browser, инструменты VPN, инструменты DNS и приложения безопасности.

Пункт дока, отмеченный, как Pain Room, обеспечивает доступ к некоторым полезным инструментам конфи­денциальности, таким, как возможность создавать новый MAC­адрес, очищать ОЗУ и освобождать место.

Subgraph OS

Простота в использовании - одна из целей дистрибутива, в частности, для его инструментов конфиденциальности, но без ущерба их эффективности. С этой целью он использует рабочий стол Gnome 3. Подключившись к Интернету, ди­стрибутив устанавливает соединение с сетью Tor. После подключения можно запускать Tor browser из Activities Overview. Subgraph не включает Tor browser по умолчанию, но скачает его, как только вы его запустите в первый раз.

Анонимный Linux дистрибутив Subgraph OS

На пер­вый взгляд дистрибутив выглядит, как любой другой рабочий стол Gnome. Од­нако набор приложений по умолчанию раскрывает его истинные намерения. Вместо обычных приложений для общения Subgraph предлагает их альтерна­тивы, способствующие защите конфиденциальности, которые направляют всё общение через сеть Tor. Другое важное отличие в том, что разные приложения работают внутри изолированных песочниц, и вы можете отслеживать их с по­мощью значка с песочницей в меню состояния на верхней панели.

Tails

При запуске дистрибутива Tails показывает приветствие. Вы может выбрать использование Tails без каких­-либо изменений. Но в таком случае програм­ма приветствия позволит вам указать пароль для пользователя root и отклю­чить спуфинг MAC­-адреса, что на некоторых компьютерах вызовет проблемы при подключении к Интернету.

Анонимный Linux дистрибутив Tails

Когда вы выйдете онлайн, Tails автоматически подключится к сети Tor. Можно щелкнуть по значку Tor в строке состояния, чтобы просмотреть каналы и потоки. После подключения можете использо­вать Tor browser.

Еще одна сеть анонимности, которая периодически проти­вопоставляется Tor - I2P (Invisible Internet Project). Вы можете подключить­ся к I2P из Tails, передав загрузочный параметр i2p при загрузке. Дистрибутив подключится к сети I2P в фоне. Когда это будет сделано, запустите прилагаю­щийся I2P Browser, который переместит вас в панель управления I2P на осно­ве браузера.

Whonix

Как мы уже упоминали ранее, Whonix является парой виртуальных устройств на основе Debian, и их нужно запускать одновременно на двух отдельных вирту­альных машинах. Правила iptables на Whonix-Workstation вынуждают его под­ключаться только к виртуальной интернет­ LAN и перенаправлять весь трафик на шлюз Whonix­-Gateway. Эта схема вообще не позволяет приложениям узнать реальный IP-­адрес пользователя или получить доступ к любой информации на физическом оборудовании.

Анонимный Linux дистрибутив: Whonix

При первом запуске оба устройства проведут вас через краткий мастер настройки, чтобы вы познакомились с проектом и на­строили некоторые компоненты, например, репозитории. В дистрибутиве име­ется значок для Tor browser, но он не предлагается по умолчанию; вместо этого значок выводит скрипт для его скачивания из списка стабильных, новых и укрепленных релизов. И, наконец, WhonixCheck сканирует текущую установку и проверяет подключение Tor.

После загрузки TENS первым делом, еще до входа в рабочий стол, попросит вас принять лицензионное соглашение. Хотя дистрибутив использует рабо­чий стол Xfce 4, он напоминает Windows XP. Всё - от структуры рабочего сто­ла, дополненной кнопкой Windows Start, и до украшений окон - разработано так, чтобы копировать проприетарную ОС.

Анонимный Linux дистрибутив Trusted End Node Security

Использование TENS довольно ин­туитивное. Одной из отличительных особенностей дистрибутива является приложение Encryption Wizard. После запуска вы можете перетаскивать фай­лы и создавать пароли для их защиты. Все файлы впоследствии шифруются, и их можно пересылать по электронной почте с помощью Thunderbird и Davmail, которые доступны через опцию Secure Email в меню приложений.

Меню также подверглось изменениям, оно группирует приложения по их функции, напри­мер, Security and Configuration [Безопасность и Настройка], что удобно для на­чинающих пользователей.

Документация и поддержка

Что делать когда случается неизбежное?

Полезная документация и активные каналы поддержки играют важ­ную роль в освоении любой про­граммы. Особенно это верно для дистри­бутивов для защиты приватности, которые частенько нас огорчают, предполагая необ­ходимость обучения даже для тех, кто уже знаком с Linux.

Tails предлагает конечному пользова­телю углубленную документацию на раз­ных языках с общей информацией, первы­ми шагами, часто задаваемыми вопросами и подробными объяснениями, чтобы выбыли в курсе всех общих вопросов, отно­сящихся к конфиденциальности и важ­ности шифрования. Здесь даже есть чат-­рум XMPP, список рассылки по поддержке и форма для запроса функций.

Whonix тоже не бросит вас на произвол судьбы: его Wiki содержит подробную доку­ментацию. Дистрибутив также предлагает не сколько опций поддержки и имеет очень активный форум. Для помощи новым поль­зователям сайт TENS содержит несколько очень подробных FAQ, краткое руководство пользователя и справочник пользователя.

Linux Kodachi тоже имеет всю необходимую информацию для знакомства с дистрибу­тивом, включая руководство по установ­ке и полезные советы по использованию.

Сайт Subgraph OS подробно объясняет разные функции, ориентированные на кон­фиденциальность, и имеется также иллю­стрированный справочник в форматах ODF и HTML. Однако среди недостатков то, что TENS, Kodachi и Subgraph не имеют офици­альных средств поддержки - ни форумов, ни IRC. Иными словами, Subgraph пока что находится на самом начальном этапе.

Состояние разработки

Активно ли они поддерживаются?

Горькая правда о модели разработ­ки открытого кода в том, что про­екты выдыхаются и умирают. Это относится и к дистрибутивам безопасности и приватности, и уже было несколько весь­ма серьезных претендентов, которые либо погибли, либо впали в анабиоз.

Хотя обычно мы не оцениваем спец-ди­стрибутивы по состоянию их разработки, оно сыграет важную роль при оценке ди­стрибутивов в данном Сравнении. В конце концов, край не важно, чтобы выбранный вами дистрибутив не отставал от постоянно возникающих и развивающихся угроз ва­шей конфиденциальности - как онлайн, так и оффлайн.

Если вы с подозрением относитесь к но­вым проектам, вы, возможно, решите дер­жаться подальше от Subgraph, несмотря на его прекрасную функциональность, по­скольку проект находится на очень ранней стадии развития.

TENS, ранее известный как Lightweight Portable Security, обновля­ется регулярно, обычно посредством квар­тальных корректировочных версий. Ана­логично, Linux Kodachi, разрабатываемый провайдером профессиональных ИТ-­услуг в области безопасности, впервые вышел в 2013 г., но пребывал в состоянии спячки до 2016 г., и сейчас мы видим его релизы и обновления, выходящие регулярно.

Who­nix выпускает свои релизы весьма активно с самого своего появления в 2012 г. и полу­чает обновления каждые несколько меся­цев. Далее идет Tails, являющийся одним из дистрибутивов безопасности с луч­шей поддержкой, с быстрым темпом раз­работки и появлением новых релизов раз в несколько месяцев.

Приложения для защиты

Как они прикрывают пользователя?

В TENS есть инструменты, позволяю­щие проводить аутентификацию со смарт­-картами, выпущенными Министерством обороны США, и он вклю­чает публичную редакцию Encryption Wizard, созданного Исследовательской лаборато­рией ВВС США для шифрования докумен­тов и директорий.

Tails, помимо Tor, имеет AppArmor для изоляции приложений; PWGen для созда­ния сильных паролей; для управ­ления ими и AirCrackNG для аудита беспро­водных сетей. Кроме того, в Tails имеются кошелек Electrum Bitcoin, Nautilus Wipe для безопасного удаления файлов и MAT для затирания метаданных в файлах. Менед­жер обмена мгновенными сообщениями Pidgin снабжен плагином Off­The­Record (OTR), и для защиты от технологий восста­новления информации дистрибутив ис­пользует скрипты для очистки ОЗУ при пе­резагрузке или выключении.

Whonix тоже использует Tor для сокры­тия вашего IP­адреса и обхода цензуры и включает MAT. Он использует аноним­ный одноранговый IM, Ricochet и удоб­ное с точки зрения конфиденциальности сочетание клиентов электронной почты Thunderbird с TorBirdy. Однако Whonix куда менее забывчив, чем Tails, и дист­рибутив не предпринимает никаких спе­циальных мер для ограничения записи на диск и по умолчанию не шифрует со­храненные документы.

Linux Kodachi предусматривает па­кет инструментов защиты конфиденци­альности, и помимо Tor и VPN, там есть , VeraCrypt, Peer Guardian, инст­рументы для очистки ОЗУ, Enigmail, Pidgin OTR и много чего еще.

Subgraph OS запускает множество настольных приложений в песочнице безопасности Oz. Дистрибутив включа­ет CoyIM для сквозного шифрования чатов Jabber с помощью OTR. Subgraph использу­ет Ricochet и OnionShare, приложение ано­нимной одноранговой выдачи общего до­ступа к файлам. Далее имеется SubgraphFirewall, который применяет для каждого приложения политику фильтрования ис­ходящих соединений и удобен для мо­ниторинга непредвиденных соединений от приложений.

Вердикт

Пока Эдвард Сноуден не выступил со своими разоблачениями, по­давляющее большинство счита­ло тех, кто атаковал конфиденциальность, кем-­то вроде цифровых преступников, на­ходящихся как бы вне закона. Однако сей­час стало понятно, что мы находимся в са­мом разгаре информационной эры, когда нарушение нашей конфиденциальности яв­ляется не только популярной бизнес­-моде­лью, но и государственной практикой.

С учетом практики правительства США, касающейся конфиденциальности, трудно рекомендовать дистрибутив TENS, тем бо­лее при наличии куда лучших альтернатив. Одной из них является Whonix, который использует уникальный подход к обеспе­чению конфиденциальности, заключаю­щийся в разбиении на категории. И хотя мы вполне можем себе представить опыт­ных пользователей, осиливающих его на­стройку, нельзя ожидать того же от начи­нающих, которые, вероятно, даже не вполне осознают все связанные с этим проблемы.

Именно техническое превосходство дист­рибутива идет вразрез с удобством в ра­боте, предлагаемым такими его сотовари­щами, как Tails, одним из самых известных в плане обеспечения конфиденциальности и безопасности дистрибутивов. Он основан на сети Tor, регулярно обновляется и пре­доставляет вам все необходимые инстру­менты для того, чтобы замести свои сле­ды онлайн.

Однако и Linux Kodachi, и Subgraph OS затмевают остальных предлагаемой обо­ими защитой конфиденциальности. Оба используют среду песочницы для изоля­ции приложений друг от друга и ограни­чения отпечатка в системе, что размещает их среди лучших средств защиты вас и ва­ших данных. Оба дистрибутива также ис­пользуют сеть Tor, но Subgraph превосходит Kodachi по предлагаемым программам.

Над Subgraph OS трудится команда разработчиков, имеющих опыт разработ­ки приложений безопасности, и его одоб­рил даже Сноуден. Более того, не так давно Subgraph получил годичную поддержку разработки от Фонда открытых технологий . Не смотря на ран­нюю стадию разработки, Subgraph хорошо работает, но всё же победителем становит­ся не он, поскольку даже его разработчики пока не рекомендуют его для промышлен­ного применения.

И у нас остается Linux Kodachi, который мы и рекомендуем. Дистрибутив не отли­чается простотой установки, но предла­гаемые им приложения и использование маршрутизации трафика через VPN перед направлением его в сеть Tor добавляет еще один уровень защиты и позволяет склонить чашу весов в его пользу.

Linux — открытая операционная система, благодаря чему, каждый желающий может посмотреть ее исходный код. Ну, конечно же, мы понимаем, что простой человек мало чего сможет там разобрать, и тем не менее, возможность у него есть. Казалось бы, в таком случае, имея доступ к коду, изучив его, можно легко эксплуатировать найденные уязвимости (а они в любом случае есть). Но вместо этого Linux дистрибутивы до сих пор считаются безопаснее других операционных систем. Давайте попробуем разобраться почему так происходит.

Разграничение прав

Пользователи Window, как правило, очень часто, создавая свою учетную запись, дают ей права администратора. В этом случае намного проще работать в системе: при установке программ не нужно каждый раз вводить пароль, по этой же причине быстрее и легче запускать от имени администратора некоторые программы и т.п.

Но обратной стороной медали является то, что попав на такую систему, вирус также легко, как и пользователь, получает доступ ко всем важным частям ОС. По сути, он может делать все, на что запрограммирован.

В Linux же пользователи большую часть времени работают под обычной учетной записью, под которой нельзя как-либо изменять системные файлы, устанавливать или удалять ПО. Поэтому, даже если на компьютер и попадет какой-либо вирус, доступ у него будет разве что только к файлам в каталоге пользователя, поэтому большого вреда системе в целом он не нанесет.

Технически подкованные пользователи

Не секрет, что Linux пользователи — чаще всего люди, осознанно выбравшие эту систему. То есть это те, кто в определенной степени интересуется IT. Такие люди, как правило, подкованы в компьютерной безопасности (хотя бы на минимальном уровне) и они не станут безраздумно открывать подозрительные вложения в электронных письмах, запускать неизвестные им программы и скрипты. Кроме того, если даже человек и сделает это, запрос пароля администратора его может остановить в последний момент.

Круг пользователей других ОС более широк: это и дети, молодые люди далекие от IT индустрии, для которых компьютер — мультимедийное устройство, пожилые люди — которые вообще боятся современных устройств и стараются другой раз обходить их стороной. В этом случае есть большой шанс, что зловред, попавший на компьютер, будет приведен в действие.

IPtables

Высокого уровня безопасности на компьютерах с Linux добиваются также при помощи IPtables. Это интерфейс, который позволяет управлять работой брандмауэра netfilter в Linux. Также, часто под IPtables подразумевают и сам брандмауэр.

При помощи данной утилиты можно полностью контролировать доступ вашей системы в интернет. Создавая определенные правила, вы разрешаете или запрещаете входящий и исходящий трафик на любые порты и протоколы с любых IP и Mac адресов и подсетей. Естественно для этого потребуется время на знакомство с утилитой, но если вам важна безопасность или контроль над сетью, это того стоит.

Раздробленность

Очень часто Linux упрекают в том, что в нем единства. Существует множество дистрибутивов и окруженной рабочего стола, которые могут сильно различаться как по своей работе, так и внутреннем строении. Из-за этого, мол, распыляются силы разработчиков, которые вместо того, чтобы совместно работать над чем либо одним, отдельно друг от друга создают свои «велосипеды».

Но в плане безопасности данный факт играет положительную роль. Разнообразие дистрибутивов, оболочек, систем управления пакетами, почтовых клиентов, препятствуют широкому распространению вирусов. Ведь написать зловред, который сможет работать во всем этом «зоопарке» — очень сложно.

Архитектура Windows не настолько разнообразна, поэтому если вирус сможет попасть хотя бы на несколько компьютеров, он с легкостью сможет заражать и другие машины, особенно если они включены в одну сеть.

Система отслеживания событий

В Linux все события можно отслеживать при помощи лог-файлов. Если кто-нибудь будет пытаться попасть в систему и как-либо ее скомпрометировать, системный администратор (если это сервер) по логам легко сможет отследить каким образом это осуществляется и что уже успел сделать вирус или взломщик.

Небольшой процент пользователей

В сравнении с MacOS, а тем более Windows, процент пользователей Linux очень маленький (имеются ввиду домашние системы). В связи с этим, а также, как было сказано выше, большой раздробленностью платформы, писать вирусы под нее просто не выгодно. На написание вируса, который сможет работать хотя бы на самых распространенных дистрибутивах, требуется потратить больше времени, чем на его написание под другие ОС. При этом, выгода от этого непонятна.

Подводя итог

На самом деле, не существует систем, защищенных от хакеров на 100%. При наличии времени и большого желания можно взломать любую ОС. Естественно, нельзя сказать, что все системы имеют одинаковый уровень безопасности, но Linux здесь действительно в лидерах.

Однако нужно так же учитывать, что защита компьютера зависит не только от разработчиков дистрибутивов, но также от компетентности пользователя и правильного использования возможностей дистрибутива. И, как видим, Linux здесь тоже стоит на первом месте, поскольку большая часть его пользователей люди связанные с IT или им интересующиеся.

А как вы считаете: действительно ли Linux безопаснее других ОС и почему?

Предыдущая запись
Следующая запись

Никто из нас не хочет, чтобы личная информация попала в чужие руки. Но как защитить систему от атак и хищений данных? Неужели придется читать километровые мануалы по настройке и алгоритмам шифрования? Совсем не обязательно. В этой статье я расскажу, как сделать Linux-систему безопасной буквально за 30 минут.

Введение

Мы живем в век мобильных устройств и постоянного онлайна. Мы ходим в кафе с ноутбуком и запускаем на домашних машинах веб-серверы, выставленные в интернет. Мы регистрируемся на сотнях сайтов и используем одинаковые пароли для веб-сервисов. В наших карманах всегда лежит смартфон, в который забиты десятки паролей, и хранятся ключи от нескольких SSH-серверов. Мы настолько привыкли к тому, что сторонние сервисы заботятся о нашей конфиденциальности, что уже перестали уделять ей внимание.

Когда я потерял смартфон, мне сильно повезло, что установленный на него антивор оказался работоспособным и позволил удаленно стереть все данные из памяти девайса. Когда я по невнимательности открыл SSH-порт на домашней машине с юзером без пароля (!) во внешний мир (!!), мне сильно повезло, что на машину пробрались скрипт-кидди, которые кроме смешной истории шелла не оставили никаких серьезных следов своего пребывания в системе. Когда я случайно опубликовал в интернете листинг со своим паролем от Gmail, мне сильно повезло, что нашелся добрый человек, который предупредил меня об этом.

Может быть, я и раздолбай, но я твердо уверен, что подобные казусы случались со многими, кто читает эти строки. И хорошо, если эти люди, в отличие от меня, серьезно позаботились о защите своей машины. Ведь антивор мог бы и не сработать, и вместо скрипт-кидди в машину могли пробраться серьезные люди, и потерять я мог не смартфон, а ноутбук, на котором кроме пароля пользователя не было никакой другой защиты. Нет, полагаться на одну двухфакторную аутентификацию Google и дурацкие пароли в наш век определенно не стоит, нужно что-то более серьезное.

Эта статья - гайд параноидального юниксоида, посвященный тотальной защите Linux-машины от всего и вся. Я не решусь сказать, что все описанное здесь обязательно к применению. Совсем наоборот, это сборник рецептов, информацию из которого можно использовать для защиты себя и данных на тех рубежах, где это нужно именно в твоей конкретной ситуации.

Пароль!

Все начинается с паролей. Они везде: в окне логина в Linux-дистрибутиве, в формах регистрации на интернет-сайтах, на FTP- и SSH-серверах и на экране блокировки смартфона. Стандарт для паролей сегодня - это 8–12 символов в разном регистре с включением цифр. Генерировать такие пароли своим собственным умом довольно утомительно, но есть простой способ сделать это автоматически:

$ openssl rand -base64 6

Никаких внешних приложений, никаких расширений для веб-браузеров, OpenSSL есть на любой машине. Хотя, если кому-то будет удобней, он может установить и использовать для этих целей pwgen (поговаривают, пароль получится более стойким):

$ pwgen -Bs 8 1

Где хранить пароли? Сегодня у каждого юзера их так много, что хранить все в голове просто невозможно. Довериться системе автосохранения браузера? Можно, но кто знает, как Google или Mozilla будет к ним относиться. Сноуден рассказывал, что не очень хорошо. Поэтому пароли надо хранить на самой машине в зашифрованном контейнере. Отцы-основатели рекомендуют использовать для этого KeePassX. Штука графическая, что не сильно нравится самим отцам-основателям, но зато работает везде, включая известный гугль-зонд Android (KeePassDroid). Останется лишь перекинуть базу с паролями куда надо.

Шифруемся

Шифрование - как много в этом слове… Сегодня шифрование везде и нигде одновременно. Нас заставляют пользоваться HTTPS-версиями сайтов, а нам все равно. Нам говорят: «Шифруй домашний каталог», а мы говорим: «Потом настрою». Нам говорят: «Любимое занятие сотрудников Dropbox - это ржать над личными фотками юзеров», а мы: «Пусть ржут». Между тем шифрование - это единственное абсолютное средство защиты на сегодняшний день. А еще оно очень доступно и сглаживает морщины.

В Linux можно найти тонны средств шифрования всего и вся, от разделов на жестком диске до одиночных файлов. Три наиболее известных и проверенных временем инструмента - это dm-crypt/LUKS, ecryptfs и encfs. Первый шифрует целые диски и разделы, второй и третий - каталоги с важной информацией, каждый файл в отдельности, что очень удобно, если потребуется делать инкрементальные бэкапы или использовать в связке с Dropbox. Также есть несколько менее известных инструментов, включая TrueCrypt например.

Сразу оговорюсь, что шифровать весь диск целиком - задача сложная и, что самое важное, бесполезная. Ничего особо конфиденциального в корневом каталоге нет и быть не может, а вот домашний каталог и своп просто кладезь инфы. Причем второй даже больше, чем первый, так как туда могут попасть данные и пароли уже в расшифрованном виде (нормальные программеры запрещают системе скидывать такие данные в своп, но таких меньшинство). Настроить шифрование и того и другого очень просто, достаточно установить инструменты ecrypts:

$ sudo apt-get install ecryptfs-utils

И, собственно, включить шифрование:

$ sudo ecryptfs-setup-swap $ ecryptfs-setup-private

Далее достаточно ввести свой пароль, используемый для логина, и перезайти в систему. Да, все действительно так просто. Первая команда зашифрует и перемонтирует своп, изменив нужные строки в /etc/fstab. Вторая - создаст каталоги ~/.Private и ~/Private, в которых будут храниться зашифрованные и расшифрованные файлы соответственно. При входе в систему будет срабатывать PAM-модуль pam_ecryptfs.so, который смонтирует первый каталог на второй с прозрачным шифрованием данных. После размонтирования ~/Private окажется пуст, а ~/.Private будет содержать все файлы в зашифрованном виде.

Не возбраняется шифровать и весь домашний каталог целиком. Производительность при этом упадет не сильно, зато под защитой окажутся вообще все файлы, включая тот же сетевой каталог ~/Dropbox. Делается это так:

# ecryptfs-migrate-home -u vasya

Кстати, места на диске должно быть в 2,5 раза больше, чем данных у vasya, так что рекомендую заранее почиститься. После завершения операции следует сразу войти под юзером vasya и проверить работоспособность:

$ mount | grep Private /home/vasya/.Private on /home/vasya type ecryptfs ...

Если все ок, незашифрованную копию данных можно затереть:

$ sudo rm -r /home/vasya.*

Заметаем следы

ОK, пароли в надежном месте, личные файлы тоже, что теперь? А теперь мы должны позаботиться о том, чтобы какие-то куски наших личных данных не попали в чужие руки. Ни для кого не секрет, что при удалении файла его актуальное содержимое остается на носителе даже в том случае, если после этого произвести форматирование. Наши зашифрованные данные будут в сохранности даже после стирания, но как быть с флешками и прочими картами памяти? Здесь нам пригодится утилита srm, которая не просто удаляет файл, но и заполняет оставшиеся после него блоки данных мусором:

$ sudo apt-get install secure-delete $ srm секретный-файл.txt home-video.mpg

# dd if=/dev/zero of=/dev/sdb

Эта команда сотрет все данные на флешке sdb. Далее останется создать таблицу разделов (с одним разделом) и отформатировать в нужную ФС. Использовать для этого рекомендуется fdisk и mkfs.vfat, но можно обойтись и графическим gparted.

Предотвращение BruteForce-атак

Fail2ban - демон, который просматривает логи на предмет попыток подобрать пароли к сетевым сервисам. Если такие попытки найдены, то подозрительный IP-адрес блокируется средствами iptables или TCP Wrappers. Сервис способен оповещать владельца хоста об инциденте по email и сбрасывать блокировку через заданное время. Изначально Fail2ban разрабатывался для защиты SSH, сегодня предлагаются готовые примеры для Apache, lighttpd, Postfix, exim, Cyrus IMAP, named и так далее. Причем один процесс Fail2ban может защищать сразу несколько сервисов.

В Ubuntu/Debian для установки набираем:

# apt-get install fail2ban

Конфиги находятся в каталоге /etc/fail2ban. После изменения конфигурации следует перезапускать fail2ban командой:

# /etc/init.d/fail2ban restart

Угроза извне

Теперь позаботимся об угрозах, исходящих из недр всемирной паутины. Здесь я должен был бы начать рассказ об iptables и pf, запущенном на выделенной машине под управлением OpenBSD, но все это излишне, когда есть ipkungfu. Что это такое? Это скрипт, который произведет за нас всю грязную работу по конфигурированию брандмауэра, без необходимости составлять километровые списки правил. Устанавливаем:

$ sudo apt-get install ipkungfu

Правим конфиг:

$ sudo vi /etc/ipkungfu/ipkungfu.conf # Локальная сеть, если есть - пишем адрес сети вместе с маской, нет - пишем loopback-адрес LOCAL_NET="127.0.0.1" # Наша машина не является шлюзом GATEWAY=0 # Закрываем нужные порты FORBIDDEN_PORTS="135 137 139" # Блокируем пинги, 90% киддисов отвалится на этом этапе BLOCK_PINGS=1 # Дропаем подозрительные пакеты (разного рода флуд) SUSPECT="DROP" # Дропаем «неправильные» пакеты (некоторые типы DoS) KNOWN_BAD="DROP" # Сканирование портов? В трэш! PORT_SCAN="DROP"

Для включения ipkungfu открываем файл /etc/default/ipkungfu и меняем строку IPKFSTART = 0 на IPKFSTART = 1. Запускаем:

$ sudo ipkungfu

Дополнительно внесем правки в /etc/sysctl.conf:

$ sudo vi /etc/systcl.conf # Дропаем ICMP-редиректы (против атак типа MITM) net.ipv4.conf.all.accept_redirects=0 net.ipv6.conf.all.accept_redirects=0 # Включаем механизм TCP syncookies net.ipv4.tcp_syncookies=1 # Различные твики (защита от спуфинга, увеличение очереди «полуоткрытых» TCP-соединений и так далее) net.ipv4.tcp_timestamps=0 net.ipv4.conf.all.rp_filter=1 net.ipv4.tcp_max_syn_backlog=1280 kernel.core_uses_pid=1

Активируем изменения:

$ sudo sysctl -p

Выявляем вторжения

Snort - один из любимейших инструментов админов и главный фигурант всех руководств по безопасности. Штука с долгой историей и колоссальными возможностями, которой посвящены целые книги. Что он делает в нашем гайде по быстрой настройке безопасной системы? А здесь ему самое место, Snort можно и не конфигурировать:

$ sudo apt-get install snort $ snort -D

Все! Я не шучу, стандартных настроек Snort более чем достаточно для защиты типовых сетевых сервисов, если, конечно, они у тебя есть. Нужно только время от времени просматривать лог. А в нем можно обнаружить строки типа этих:

[**] MS-SQL probe response overflow attempt [**] http://www.securityfocus.com/bid/9407]

Упс. Кто-то пытался вызвать переполнение буфера в MySQL. Тут сразу есть и ссылочка на страницу с детальным описанием проблемы. Красота.

Кто-то наследил…

Кто-то особенно умный смог обойти наш брандмауэр, пройти мимо Snort, получить права root в системе и теперь ходит в систему регулярно, используя установленный бэкдор. Нехорошо, бэкдор надо найти, удалить, а систему обновить. Для поиска руткитов и бэкдоров используем rkhunter:

$ sudo apt-get install rkhunter

Запускаем:

$ sudo rkhunter -c --sk

Софтина проверит всю систему на наличие руткитов и выведет на экран результаты. Если зловред все-таки найдется, rkhunter укажет на место и его можно будет затереть. Более детальный лог располагается здесь: /var/log/rkhunter.log. Запускать rkhunter лучше в качестве cron-задания ежедневно:

$ sudo vi /etc/cron.daily/rkhunter.sh #!/bin/bash /usr/bin/rkhunter -c --cronjob 2>&1 | mail -s "RKhunter Scan Results" [email protected]

Заменяем email-адрес Васи на свой и делаем скрипт исполняемым:

$ sudo chmod +x /etc/cron.daily/rkhunter.sh

$ sudo rkhunter --update

Ее, кстати, можно добавить перед командой проверки в cron-сценарий. Еще два инструмента поиска руткитов:

$ sudo apt-get install tiger $ sudo tiger $ sudo apt-get install lynis $ sudo lynis -c

По сути, те же яйца Фаберже с высоты птичьего полета, но базы у них различные. Возможно, с их помощью удастся выявить то, что пропустил rkhunter. Ну и на закуску debsums - инструмент для сверки контрольных сумм файлов, установленных пакетов с эталоном. Ставим:

$ sudo apt-get install debsums

Запускаем проверку:

$ sudo debsums -ac

Как всегда? запуск можно добавить в задания cron.

За пределами

Теперь поговорим о том, как сохранить свою анонимность в Сети и получить доступ к сайтам и страницам, заблокированным по требованию различных организаций-правообладателей и прочих Мизулиных. Самый простой способ сделать это - воспользоваться одним из тысяч прокси-серверов по всему миру. Многие из них бесплатны, но зачастую обрезают канал до скорости древнего аналогового модема.

Чтобы спокойно ходить по сайтам и только в случае необходимости включать прокси, можно воспользоваться одним из множества расширений для Chrome и Firefox, которые легко находятся в каталоге по запросу proxy switcher. Устанавливаем, вбиваем список нужных прокси и переключаемся на нужный, увидев вместо страницы табличку «Доступ к странице ограничен по требованию господина Скумбриевича».

В тех ситуациях, когда под фильтр попал весь сайт и его адрес внесли в черный список на стороне DNS-серверов провайдеров, можно воспользоваться свободными DNS-серверами, адреса которых опубликованы . Просто берем два любых понравившихся адреса и добавляем в /etc/resolv.conf:

Nameserver 156.154.70.22 nameserver 156.154.71.22

Чтобы разного рода DHCP-клиенты и NetworkManager’ы не перезаписали файл адресами, полученными от провайдера или роутера, делаем файл неперезаписываемым с помощью расширенных атрибутов:

$ sudo chattr +i /etc/resolv.conf

После этого файл станет защищен от записи для всех, включая root.

Чтобы еще более анонимизировать свое пребывание в Сети, можно воспользоваться также демоном dnscrypt, который будет шифровать все запросы к DNS-серверу в дополнение к прокси-серверу, используемому для соединения с самим сайтом. Устанавливаем:

$ wget http://download.dnscrypt.org/dnscrypt-proxy/dnscrypt-proxy-1.3.2.tar.bz2 $ bunzip2 -cd dnscrypt-proxy-*.tar.bz2 | tar xvf - $ cd dnscrypt-proxy-* $ sudo apt-get install build-essential $ ./configure && make -j2 $ sudo make install

Указываем в /etc/resolv.conf loopback-адрес:

$ vi /etc/resolv.conf nameserver 127.0.0.1

Запускаем демон:

$ sudo dnscrypt-proxy --daemonize

Кстати, версии dnscrypt есть для Windows, iOS и Android.

Луковая маршрутизация

Что такое луковая маршрутизация? Это Tor. А Tor, в свою очередь, - это система, которая позволяет создать полностью анонимную сеть с выходом в интернет. Термин «луковый» здесь применен относительно модели работы, при которой любой сетевой пакет будет «обернут» в три слоя шифрования и пройдет на пути к адресату через три ноды, каждая из которых будет снимать свой слой и передавать результат дальше. Все, конечно, сложнее, но для нас важно только то, что это один из немногих типов организации сети, который позволяет сохранить полную анонимность.

Тем не менее, где есть анонимность, там есть и проблемы соединения. И у Tor их как минимум три: он чудовищно медленный (спасибо шифрованию и передаче через цепочку нод), он будет создавать нагрузку на твою сеть (потому что ты сам будешь одной из нод), и он уязвим для перехвата трафика. Последнее - естественное следствие возможности выхода в интернет из Tor-сети: последняя нода (выходная) будет снимать последний слой шифрования и может получить доступ к данным.

Тем не менее Tor очень легко установить и использовать:

$ sudo apt-get install tor

Все, теперь на локальной машине будет прокси-сервер, ведущий в сеть Tor. Адрес: 127.0.0.1:9050, вбить в браузер можно с помощью все того же расширения, ну или добавить через настройки. Имей в виду, что это SOCKS, а не HTTP-прокси.

INFO

Версия Tor для Android называется Orbot.

Чтобы введенный в командной строке пароль не был сохранен в истории, можно использовать хитрый трюк под названием «добавь в начале команды пробел».

Именно ecryptfs используется для шифрования домашнего каталога в Ubuntu.

Борьба с флудом

Приведу несколько команд, которые могут помочь при флуде твоего хоста.

Подсчет количества коннектов на определенный порт:

$ netstat -na | grep ":порт\ " | wc -l

Подсчет числа «полуоткрытых» TCP-соединений:

$ netstat -na | grep ":порт\ " | grep SYN_RCVD | wc -l

Просмотр списка IP-адресов, с которых идут запросы на подключение:

$ netstat -na | grep ":порт\ " | sort | uniq -c | sort -nr | less

Анализ подозрительных пакетов с помощью tcpdump:

# tcpdump -n -i eth0 -s 0 -w output.txt dst port порт and host IP-сервера

Дропаем подключения атакующего:

# iptables -A INPUT -s IP-атакующего -p tcp --destination-port порт -j DROP

Ограничиваем максимальное число «полуоткрытых» соединений с одного IP к конкретному порту:

# iptables -I INPUT -p tcp --syn --dport порт -m iplimit --iplimit-above 10 -j DROP

Отключаем ответы на запросы ICMP ECHO:

# iptables -A INPUT -p icmp -j DROP --icmp-type 8

Выводы

Вот и все. Не вдаваясь в детали и без необходимости изучения мануалов мы создали Linux-box, который защищен от вторжения извне, от руткитов и прочей заразы, от непосредственно вмешательства человека, от перехвата трафика и слежки. Остается лишь регулярно обновлять систему, запретить парольный вход по SSH, убрать лишние сервисы и не допускать ошибок конфигурирования.

Серверное администрирование ,

Системное администрирование

На ежегодной конференции LinuxCon в 2015 году создатель ядра GNU/Linux Линус Торвальдс поделился своим мнением по поводу безопасности системы. Он подчеркнул необходимость смягчения эффекта от наличия тех или иных багов грамотной защитой, чтобы при нарушении работы одного компонента следующий слой перекрывал проблему.

В этом материале мы постараемся раскрыть эту тему с практической точки зрения:

7. Установить сетевые экраны

Недавно была новая уязвимость, позволяющая проводить DDoS-атаки на сервера под управлением Linux. Баг в ядре системы появился с версии 3.6 в конце 2012 года. Уязвимость даёт возможность хакерам внедрять вирусы в файлы загрузки, веб-страницы и раскрывать Tor-соединения, причём для взлома не нужно прилагать много усилий - сработает метод IP-спуфинга.

Максимум вреда для зашифрованных соединений HTTPS или SSH - прерывание соединения, а вот в незащищённый трафик злоумышленник может поместить новое содержимое, в том числе вредоносные программы. Для защиты от подобных атак подойдёт firewall.

Блокировать доступ с помощью Firewall

Firewall - это один из самых важных инструментов блокирования нежелательного входящего трафика. Мы рекомендуем пропускать только действительно нужный трафик и полностью запретить весь остальной.

Для фильтрации пакетов в большинстве дистрибутивов Linux есть контроллер iptables. Обычно им пользуются опытные пользователи, а для упрощённой настройки можно использовать утилиты UFW в Debian/Ubuntu или FirewallD в Fedora.

8. Отключить ненужные сервисы

Специалисты из Университета Виргинии рекомендуют отключить все сервисы, которые вы не используете. Некоторые фоновые процессы установлены на автозагрузку и работают до отключения системы. Для настройки этих программ нужно проверить скрипты инициализации. Запуск сервисов может осуществляться через inetd или xinetd.

Если ваша система настроена через inetd, то в файле /etc/inetd.conf вы сможете отредактировать список фоновых программ «демонов», для отключения загрузки сервиса достаточно поставить в начале строки знак «#», превратив её из исполняемой в комментарий.

Если система использует xinetd, то её конфигурация будет в директории /etc/xinetd.d. Каждый файл директории определяет сервис, который можно отключить, указав пункт disable = yes, как в этом примере:

Service finger { socket_type = stream wait = no user = nobody server = /usr/sbin/in.fingerd disable = yes }
Также стоит проверить постоянные процессы, которые не управляются inetd или xinetd. Настроить скрипты запуска можно в директориях /etc/init.d или /etc/inittab. После проделанных изменений запустите команду под root-аккаунтом.

/etc/rc.d/init.d/inet restart

9. Защитить сервер физически

Невозможно полностью защититься от атак злоумышленника с физическим доступом к серверу. Поэтому необходимо обезопасить помещение, где расположена ваша система. Дата-центры серьёзно следят за безопасностью, ограничивают доступ к серверам, устанавливают камеры слежения и назначают постоянную охрану.

Для входа в дата-центр все посетители должны проходить определенные этапы аутентификации. Также настоятельно рекомендуется использовать датчики движения во всех помещениях центра.

10. Защитить сервер от неавторизованного доступа

Система неавторизованного доступа или IDS собирает данные о конфигурации системы и файлах и в дальнейшем сравнивает эти данные с новыми изменениями, чтобы определить, вредны ли они для системы.

Например, инструменты Tripwire и Aide собирают базу данных о системных файлах и защищают их с помощью набора ключей. Psad используется для отслеживания подозрительной активности с помощью отчётов firewall.

Bro создан для мониторинга сети, отслеживания подозрительных схем действия, сбора статистики, выполнения системных команд и генерация оповещений. RKHunter можно использовать для защиты от вирусов, чаще всего руткитов. Эта утилита проверяет вашу систему по базе известных уязвимостей и может определять небезопасные настройки в приложениях.

Заключение

Перечисленные выше инструменты и настройки помогут вам частично защитить систему, но безопасность зависит от вашего поведения и понимания ситуации. Без внимательности, осторожности и постоянного самообучения все защитные меры могут не сработать.

О чем еще мы пишем:

Теги:

• 1сloud
• linux
• ИБ

Добавить метки