我正在寻找有关安全 linux 桌面的提示。保护服务器没有问题。最近的软件更新,仅运行所需的服务等。但是台式机呢?我正在考虑诸如 Noscript for Firefox 之类的细节。默认情况下,在 Ubuntu https://wiki.ubuntu.com/Security/Features中启用了 ASLR、PIE 和类似功能。我应该另外改变什么?有没有关注安全性的发行版?
安全的 Linux 桌面
信息安全
操作系统
linux
硬化
桌面
2021-08-31 18:39:25
4个回答
我建议按照粗略的优先顺序执行以下步骤:
启用自动更新。这是确保您始终运行所有软件的最佳修补版本的最佳方式。
打开防火墙。对于桌面来说,一个简单的策略通常就足够了:粗略地说,允许所有传出连接,阻止所有传入连接。这比跟踪所有可能正在监听和禁用它们的服务要容易得多;默认情况下简单地阻止所有传入连接即可关闭曝光。
启用自动备份。设置备份系统以自动和定期备份您的系统,无需您参与。这是确保您可以从妥协中恢复的最佳方法之一。安全不仅仅是预防;它还涉及从妥协中快速可靠地恢复。
到处使用 HTTPS。在您的浏览器中安装 HTTPS Everywhere(或 ForceHTTPS,或等效项),以确保您在每个支持它的站点上使用 HTTPS (SSL/TLS)。
使用 SSH。对于所有远程登录,请使用 SSH。创建一个私钥对。使用密码保护您的私钥。将您的公钥放入
authorized_keys您希望能够远程登录的所有帐户的文件中。避免所有未加密的流量(例如,telnet、FTP、IMAP、POP);改用加密变体。加密电子邮件流量。 如果您使用带有 POP 或 IMAP 的邮件客户端,请将其配置为使用 SSL/TLS 保护(例如,imaps 而不是 imap),以便与邮件提供商的连接被加密。大多数优秀的电子邮件提供商都会提供通过 SSL 或 TLS 进行连接的选项。
使用扫描您的电子邮件的电子邮件服务。 使用具有良好声誉的良好电子邮件提供商来阻止传入电子邮件中的垃圾邮件。好的垃圾邮件拦截软件通常也会拦截许多基于电子邮件的诈骗、网络钓鱼攻击和蠕虫。
可选:考虑全盘加密。 如果您有笔记本电脑,则可能需要启用全盘加密,以防止笔记本电脑丢失时数据泄露。Truecrypt 和 PGP 的产品有很好的口碑。如果您使用 Linux,大多数 Linux 发行版都允许您在安装 Linux 操作系统时设置全盘加密。
可选:启用 SELinux。如果您使用支持 SELinux 的发行版,请打开它。
可选:强化您的浏览器。 您可以考虑修改浏览器设置以保护自己。例如,考虑禁用第三方 cookie。考虑安装 AdBlock Plus。
可选:在您不在时注销。每当您的计算机无人看管时,您可能想要注销(或使用受密码保护的屏幕保护程序)。
首先让我说,无论如何我都不是安全专家。当您询问有关保护 linux 桌面的问题时,我认为您的问题是“作为一个从事个人计算而不是 Web 服务的人,我如何使用免费的 Unix 实现整体安全性。” 所以我想我会收集我对这个主题的想法,看看其他人对此有什么看法。我分享这一点的精神是帮助人们不必从头开始重新发现整个过程。我不会给出howto教程——很多都在网上,而且这已经非常长了。这意味着作为搜索网络的起点。
安全是一个过程,也是一个系统,需要多台计算机才能有效实施。例如,仅仅正确配置您的计算机是不够的。您还必须阅读日志并响应警报。为了获得最佳的安全性,还必须对使用计算机的方式做出一些常识性的行为改变。某些操作系统比其他操作系统更适合某些安全方面。由于它们是免费的,因此除了您使用所有这些工具的时间外,无需花费任何费用。
此过程的第一部分是弄清楚您要保护计算机免受什么侵害。例如,如果您住在犯罪率高的社区,您可能希望将它们锁在固定在建筑物上的安全上锁的保险箱中。我假设您希望在使用计算机进行操作时可以使用所有常规形式的通用安全性,这些计算机可以在软件、计算机硬件或软件和硬件行为中实现。
另外,我不确定您的设置有多大。我的许多建议都是企业一直在使用的东西,但世界上没有理由为什么个人不能也不应该在家中使用它们。如果这些事情中的任何一项是由企业完成的,那么他们会因尽职调查、遵守监管标准、实施最佳实践以及其他任何流行语而受到称赞。
网络安全
我对网络安全的最重要提示是将包含敏感数据的计算机与互联网隔离开来。大多数人拥有不止一台计算机。仅离线使用其中之一。您可以使用 apt-offline 等实用程序为任何基于 debian/ubuntu 的发行版获取更新和软件。
如果您有一台或多台计算机没有暴露在互联网上,那么破解它们就会变得更加困难。从理论上讲,您仍然可以从 Internet 下载二进制文件或文档,这些文件可以收集有关这台未连接计算机的信息,然后可以将信息转发回损坏的 USB 闪存驱动器。有些人试图通过仅将闪存驱动器安装在离线计算机上运行的虚拟机中来解决此问题。您还可以重新格式化闪存驱动器,然后再将其带回连接到互联网的计算机。这仍然留下了木马闪存驱动器 bios 的远程风险。我认为购买驱动器,您可以翻转侧面的开关以使其只读,这会阻止驱动器从未连接的计算机收集信息。如果我没记错的话,Ridata 销售这种驱动器。
所以…
提示 1:拥有一台只能离线使用的计算机。
提示 2:在 VM 中查看/检查从 Internet 获取的材料。
提示 3:擦洗您的闪存驱动器,或用于在计算机之间传输数据的任何类型的存储,然后再将其返回到连接到 Internet 的计算机。
技巧 4:比技巧 3 更好的是,使用带有只读开关的 USB 驱动器。
OpenBSD 确实设法做一些正确的事情。例如,它们使设置桥接防火墙、ipsec VPN、运行虚拟蜜网或制作具有authpf身份验证的无线接入点变得相对简单。简单,我的意思是设置起来非常简单和快速——如此之多,以至于您不想使用其他任何东西。桥接防火墙是可取的,因为它们没有网络地址。您可以在 DSL/有线/互联网路由器和无线接入点之间设置它们。由于 OpenBSD 是安全的,因为它使用默认安装设置(选择包 bsd、base.tgz、etc.tgz 和 man.tgz)没有远程漏洞,因此您需要的额外配置是最少的。
这是一些开始使用的配置
在/etc/hostname.bridge0:
if0
if1
blocknonip
up
(在哪里if0和if1应该被你的网络接口的名称替换)
在/etc/hostname.if0(和if1):
up
在/etc/sysctl.conf:
net.inet.ip.forwarding=1
就是这样,你有一座桥。然后你编辑/etc/pf.conf做你的防火墙。这是一个非常基本的防火墙,它阻止传入连接并允许传出连接。
在 /etc/pf.conf
set skip on lo
block in log all
block out log all
pass in quick on if1 # only firewall on one interface of the bridge
pass out quick on if1
pass out quick on if0 modulate state
antispoof quick for lo
你可以用 pf 做更多的事情,它在 pf 的手册页、pf faq和PF 手册中有描述。
提示 5:对于攻击者不可见的防火墙,请使用带有 OpenBSD/pf 的桥接防火墙。
提示 6:如果盒子有足够的功率,你可以/应该在这个盒子上至少有两个 NIDS,比如 snort 或 bro。
您需要至少每周手动申请新签名。
许多人会为此目的购买单独的低功耗计算机,例如 Alix 或 Soekris,因为它们的功耗低。您也可以在 ebay 等各种网站上在线找到它们。您还可以使用几乎任何具有 32mb 或更多内存以及 486 或更好处理器(这是 Soekrii 的所有部分)的旧计算机。您应该购买单独的计算机还是使用旧计算机,取决于您将节省多少电以及您居住的地方的电费。
OpenBSD 人群中另一个不可或缺的安全产品(当然不要忘记 SSH!)是运行honeyd虚拟蜜网的计算机。 Niels Provos的作者有一整本书叫Virtual Honeypots 。honeyd虚拟蜜网是一组虚拟蜜罐,蜜罐是一台计算机,它似乎正在运行攻击者可以与之交互的服务,您可以从中收集有关网络上攻击的方法和手段的信息。您可以配置数以万计的虚拟蜜罐运行各种不同的服务honeyd. 与其中任何一个的任何交互都是您的防火墙已被破坏的明确信号,它们使您可以了解更多关于攻击者的信息。它还可以更有效地将您自己的计算机从网络中隐藏起来,因为它似乎是众多计算机中的一台。
提示 7:让计算机运行一个带有honeyd.
提示 8: tee 注销到点阵行打印机,如果您还有另一台备用计算机,则使用单独的计算机,其唯一目的是从 UDP 端口上的网络计算机收集日志。
rsyslog 可以配置为执行此操作。
在网络安全方面你可以做的还有很多,但主要是做你可以离线的事情,使用防火墙,使用至少两个 NIDS,使用蜜网,并在监控和响应攻击时保持警惕。但总的来说,我建议您根据您对查看日志之类的操作的兴趣程度以及您要保护的内容的价值,让您的设置尽可能简单。
数据安全
保护数据意味着很多事情,例如保护数据免受损坏和丢失,确保数据被安全擦除或只有某些人可以访问它。(中央情报局信息安全三合会。)
整个磁盘加密是每个人都应该至少使用的东西。它现在在您安装基于 debian 的 linux 时提供,并且也可以在 BSD 中进行设置,并且需要更多的努力。例如,看看softraidOpenBSD。
技巧一:使用全盘加密
还建议异地存储。我建议使用带有一些热插拔或外部驱动器的计算机,至少对于包含您自己创建的文档和文件的所有文件。然后定期通过银行保险箱或朋友家旋转这些驱动器。然后,如果您的硬盘被盗,您并没有丢失任何数据/文字/家庭照片等。我不推荐云存储!
技巧 2:异地存储数据副本
为了防止由于设备故障和老化造成的数据损坏,有一套相当标准的流程,例如在多种媒体和多种媒体上使用多个副本(允许使用 ddrescue 等实用程序进行恢复),对数据进行校验和,然后对校验和进行校验和( BSD 实用程序mtree是一个很好的工具),每隔几年将数据迁移到新媒体,每年左右检查媒体是否存在损坏问题,并正确存储媒体。
例如,让我们考虑光学介质。对于您的重要文档和多媒体,应在单个会话中以低速在档案级黄金媒体(例如 MAM-A、JVC 或 Verbatim 黄金档案媒体)上进行刻录。然后 cd 刻录程序应该验证它们。然后您应该检查并手动验证它们是否正确刻录。任何东西都不应该用标记写在上面。它们应该放在一个不透明的珠宝盒中,仅靠外边缘固定它们。然后珠宝盒上可以贴上标签。然后它们应该直立存放,不要堆叠在黑暗的地方,温度在 40-60 华氏度之间,相对湿度较低。这至少是NIST 指南的要点。
提示 3:制作多份副本
提示 4:使用校验和工具对它们进行初始和定期测试
提示 5:遵循正确存储和处理介质的指南
提示 6:在新媒体可用时迁移数据
ZFS可以很容易地完成很多这样的工作,但是 ZFS 仍处于试验阶段,未来的版本不能保证与以前的版本向后兼容。因此,我建议在发布第一个稳定版本时运行像Open Indiana这样的发行版,并将其用于备份、镜像、拍摄快照和导出/导入池。
技巧 7:使用 ZFS 进行备份/镜像,而不是原始存档
数据安全性的另一个问题是验证您自己没有生成的数据和二进制文件的来源。如果一个值得信赖的朋友给你一个闪存驱动器,里面有一个她说她写的程序,那么就没有问题。但是,如果这位朋友让您去她的网站获取它,您可能会使用公钥基础设施 (PKI) 来验证它。那么你应该得到她的公钥,她应该在你面前签名。通常,提供软件或源代码的最终人是您甚至不认识的人。在这种情况下,如果更多的人聚在一起交换公钥并签署彼此的密钥,这会有所帮助。您可能不像您的朋友那样信任这些人,但至少您将能够验证他们数据的来源,只要通过一串密钥签名即可。
在许多情况下,您不会有任何朋友的朋友开发了您想要下载的东西。在这种情况下,您将不得不下载不受信任的签名文件。缓解恶意签名文件的一种可能方法是使用多个代理下载相同的文件,然后进行比较。
因此,
技巧 8:使用 PKI 和 gpg 等工具来验证下载内容的来源
提示 9:在提供校验和时验证您下载的文件的校验和
提示 10:当你遇到某人交换和签署密钥时,如果你还没有
为了安全删除,您需要有一个像 EXT2(不是 EXT3 和 EXT4)这样的非日志文件系统才能有效地使用像 shred 这样的实用程序。 shred -uz filename用于文件和find -type f -execdir shred -uz '{}' \;目录的根目录以粉碎目录。在 BSD 中,您可以使用-Prm 标志来安全擦除。
对于整个磁盘擦除,您可以使用 HDDerase,它实现了现代硬盘驱动器内置的本机擦除,然后是 DBAN 实用程序。
技巧 11:使用可用的实用程序,如shred、、rm -PHDDerase 和 DBAN 来安全地删除文件和驱动器
最后,对于您要确保保存的文件和照片,请将硬拷贝保存在无酸纸上。保存完好的硬拷贝应该比任何数字媒体至少保存一个世纪。
技巧 12:制作硬拷贝
程序安全
程序通常有错误。此外,程序或协议架构本身可能是安全漏洞的来源。例如,来自 adobe 或 microsoft 的大多数图形 Web 浏览器和程序(因为它们被广泛使用,而不是因为它们明显比其他任何东西都差)是错误和安全漏洞的取之不尽的来源。
此外,您可以使用所有可用工具来强化您的操作系统,直到它达到您想要的程度,审核源代码直到您死去,使用证明检查器验证源等,但是网络浏览器本身受到损害仍然可能损害您,即使它不会损害您的操作系统。
即便如此,花几分钟时间来强化操作系统也是值得的。同样,OpenBSD 通过提供大多数安全功能(例如默认的正确权限)使其变得容易。
提示 1:花几分钟时间来强化您的操作系统。
这是我对 OpenBSD 的建议。其中一些可能也适用于其他 BSD 和 linux,例如点 f.) 和 g.)。
a.)写一篇像样的pf.conf文章(pf faq、pf 手册页或 The Book of PF 中有很好的例子)。使用日志记录来监控无法通过防火墙的攻击。所以记得查看你的日志。您可以拥有一个标记有趣位的脚本和 cron 作业。
b.)更改/etc/rc.securelevel以使安全级别为 2。然后检查您的文件和chflags -R schg它们。我会为大部分、/etc所有、、、、/bin和其他一些文件/目录(如和和键登录)执行此操作。您可能需要手动调整日志轮换。 /sbin/usr/bsd/bootsappend/root/altroot/var/log
c.)关闭 ttys/gettys。如果您是唯一一个使用您的计算机的人,那么您只需要一台并且您不应该以 root 身份登录。因此,删除“安全”一词/etc/ttys并关闭除一个之外的其余部分。如果您需要以 root 身份工作,请sudo以另一个用户身份完成。要授予更多 sudo 权限,您始终可以boot -s在启动提示符下并/etc/sudoers从visudo那里进行编辑。
d.)使用 TCP Wrappers ( /etc/hosts.allow, /etc/hosts.deny)。 /etc/hosts.deny应该读:ALL: ALL。然后弄清楚你会允许什么。inetd_flags=NO还可以考虑通过放入There's a way to boobytrap TCP Wrappers 来完全关闭 inetd ,/etc/rc.conf.local 这在手册页中有解释,但我还没有这样做。
e.)mtree -cK sha1digest > snapshot_of_filesystem__on_date设置好一切后使用。然后cksum -a sha1那个文件。...如 mtree 手册页中所述。让它成为一个 cron 作业,并编写一个脚本来区分你的快照。同时保持主快照离线。如果关键文件已被您或您的机器以外的人篡改或访问,这可以提醒您。所以它有点像基于主机的IDS。
f.)拒绝 root 登录和端口转发/X11 转发/etc/ssh/sshd_config,尤其是在您运行 sshd 时!
g.)在/etc/fstabmount/usr ro中,并/tmp,/var,/home考虑noexec 您的用户是否可以登录到rkshshell。
h.)对允许用户使用的命令非常具体/etc/sudoers。因此,例如,/bin/cp如果您已经知道他们需要提升哪些目录/文件以 cp.
一世。)遵循“稳定”。每当有新补丁发布时都会收到警报并立即修补您的系统。我建议在单独的机器或该机器上的单独分区上构建所有内容,这样您就不必在生产机器上安装 comp.tgz。或者,有时从快照分支重新安装并合并配置文件会更容易。此外,如果您决定偏离默认安装,快照可让您运行最新版本的软件。另一方面,有时快照分支会破坏默认安装之外的一些软件,并且跟踪问题可能比重新编译用户空间更痛苦。当您(重新)编译时,一个技巧是在内存文件系统(MFS)中挂载 /usr/obj 如果您有内存以加快速度(请记住,在您完成新发行版之前永远不要重新启动)。此外,当您重新编译时,您可以在内核配置中禁用可加载内核模块(LKM)——这只是我的一个小问题。
j.) systrace仅对确定要打开哪些网络套接字或您使用的二进制文件/库有用。
k.)如果您使用 Xwindows,startx请从命令行使用,而不是 xdm/gdm/kdm。请务必-nolisten tcp在 的serverargsanddefault_serverargs部分添加选项/usr/X11R6/bin/startx。
尽管大多数密码都可以被破解,但如果密码更长并且每个字符具有高位熵,则会有所帮助。/dev/srandom您可以使用该命令获取熵相对较高的密码
cat /dev/srandom | tr -dc [:print:] | fold -w PWD_LENGTH | head -n NUM_OF_PWDS
其中PWD_LENGTH是表示所需密码长度的整数,是表示所需密码NUM_OF_PWDS数量的另一个整数。还要定期更改您的密码并安全地存储它们。我使用 40 多个字符的 root 密码。我并不是要掩盖安全存储密码的重要主题,但这已经太长了。
提示 2:使用具有高每位熵的长密码(>25 个字符)
更重要的是,我建议避免那些在网络上已知具有最多漏洞的东西。例如,我建议尽可能使用基于文本的浏览器(如 lynx)浏览网页,然后当您需要图像或 JavaScript 时,使用 firefox 或其无品牌的表亲和 noscript 插件。可以在“高级”选项卡下对 noscript 进行一些进一步的调整,例如禁用 webbug,或将默认白名单缩减到受信任的站点。使用图形浏览器的另一种替代方法是使用 wget 获取网页并在 VM 中离线查看它们。一些有用的 wget 标志是
-r -l NUM:允许您将网站的层次结构提取到第 NUM 级-np: 不要跟随其他网站的链接-k:使页面内部到其他页面的链接有效-p:获取页面上链接的图片和文档-nc: 不要两次获得相同的页面
Flash 和增强的 PDF 文件是巨大的安全问题。许多闪存文件可以直接使用youtube-dl和其他脚本/实用程序下载。
所以
提示 3:尽可能使用基于文本的浏览器
技巧 4:使用 wget 和 flash 下载器获取您想要查看图像的页面并在 VM 中打开和查看它们。
提示 5:对于其他所有内容,请使用带有 firefox 的 noscript 插件。
当然,如果您想花上几个小时,您可以使用 RBAC/MAC、Jails 和 ACL 以及 SELinux、GRsecurity 和其他 FreeBSD 等价物。始终存在安全性和可用性之间的权衡。最终,您或您的用户需要评估要权衡多少安全性以及您将花费多少时间进行微调,同时尽量不将自己锁定在自己的系统之外。
互联网隐私和匿名
甚至TOR也声称不能给你太多,而且它只是实验性的。鉴于此,我有一些关于相对隐私/匿名的提示。
一旦你找到了你想阅读的网站,通过点击条目下方的“代理这个”链接来使用他们的ixquick 代理服务。这适用于查看除具有某些活动内容的网页之外的所有网页。
提示 2:通过 HTTPS 隧道化您的 DNS 请求
server.privacyfoundation.de) 您需要安装socat和stunnel. port domain如果您确实使用此服务,那么您可以关闭/etc/pf.conf传出请求。
技巧 3:Liberte linux
技巧 4:使用http://furk.net/获取/代理种子并通过 https 将它们提供给您
提示 5:加密您的电子邮件
更重要的是,不要打开垃圾邮件,看在上帝的份上,不要.exe在 Windows 计算机上的垃圾邮件中运行附件!此外,不要接受来自与您有业务往来的任何人的电子邮件,作为进行涉及金钱、个人或帐户信息交换的通信的手段。并且不要单击声称来自企业的电子邮件中的任何链接,然后输入您的帐号和密码等个人信息!
技巧 6:实际检查 https 网站上的证书
提示 7:如果您必须使用社交网络,请使用侨民
提示 8:尽可能不要使用公共电子邮件服务器/服务。
这可以防止不受信任的第三方数据挖掘和在他们的邮件服务器上出售您的私人通信的问题,或者如果您使用加密电子邮件,甚至可以访问您的加密文件
提示 9:不要使用 3g/4g 互联网,并且将手机电池放在手机外面,除非您正在通话或等待电话。
提示 10:在公共 wifi 热点随机化你的 MAC 地址。
技巧 11:使用 Tor 浏览器包。
正如 panopticlick.eff.org 上所解释的,这可能是最有名的智胜浏览器配置文件的方法。请注意,使用 lynx 或任何其他基于文本的浏览器可用于唯一标识您的网站。
你够偏执吗?如果是,请尝试http://qubes-os.org/Home.html这是一个非常有趣的项目,但仍处于测试阶段,由 Joanna Rutkowska 和她的团队开发。它使用虚拟机来强制用户 gui 应用程序之间的隔离,以及许多其他不错的技巧。它只专注于成为桌面计算的安全环境。
如果您不想去那里,则有侧重于安全性的分发。
我可以列一个清单,但维基百科已经有一个很好的总结:http ://en.wikipedia.org/wiki/Security-focused_operating_system
我认为我们所有人都面临的问题是,您所担心的威胁是什么。整天上网并访问不太安全的网站的人比试图检查电子邮件的祖母更容易受到攻击。但祖母的风险更高,因为她无法区分真实电子邮件和网络钓鱼攻击。
另外需要考虑的是与可用性的权衡。我会说运行 lynx 本质上比运行 Firefox 更安全,因为基于文本的浏览器比全功能浏览器要利用的功能更少。
对于隐私偏执狂:我真的很喜欢为超级偏执狂准备的 Tor Live CD。https://tails.boum.org它允许用户创建一个用户会话,完成他们的工作,然后重新启动并擦除所有证明它发生的证据。隐私和安全是两个不同的游戏,但一些相同的预防措施重叠。
整体安全性:BSD 非常安全,但我认为开箱即用很难。
在我看来,像 Ubuntu 或 Centos 这样的最新的、积极维护的、开发良好的发行版在安全性和可用性之间保持平衡,但仍然可以让您控制环境以将其锁定到特定于您的环境的威胁。
其它你可能感兴趣的问题