LXF115:SafetyRules
|
|
|
Содержание |
10 лучших советов по безопасности Linux
- Заприте вашу машину на замок с помощью списка Грэма Моррисона, укрепляющего безопасность вашей системы. Нарушители, прочь!
Большая часть статей по безопасности в Linux уходят корнями в испытанные временем практики Unix. Поэтому все они бьют в одну и ту же точку: запереть сеть, минимизировать риск для системы ограничением доступа только теми, кому он действительно нужен. Потом делается вывод, сводимый к старому афоризму: «лучше перебдеть, чем недобдеть».
Такие технологии не то что бесполезны, но нередко неприменимы к типовой установке. Мы вдохнем новую жизнь в старую идею с помощью списка советов, подходящих всем. Благодаря им, ваша жизнь станет во много раз безопаснее. Пусть даже вы и не учтете все пункты – отказ от хотя бы одной плохой привычки будет добрым делом.
Без паники!
Главная проблема безопасности, с которой сталкиваемся мы, типичные пользователи, это наша собственная неуместная уверенность, что неприятностей не будет – мы стали нечувствительны к риску. Мы притерпелись к бессчетным обещаниям надвигающихся бедствий, вплоть до того, что куда ни зайдешь в Интернете, везде каркают о неминучей катастрофе. А поскольку покамест ничего не произошло, возникает ложное чувство безопасности. Однако границы онлайн-мира расширяются, не все их участки сразу же обретают защиту, и если вы не пали жертвой атаки, это только вопрос времени. К счастью, вы уже предприняли важный шаг по улучшению безопасности вашей системы – перешли на Linux. Худо ли, хорошо ли, но Linux не столь популярная мишень, как, например, Windows XP. Увы, в Linux столько приложений для мирового господства, лакомых для хакеров – и готовых, и доступных через менеджер пакетов – что риск все равно остается.
Ваша безопасность зависит от способа применения вашего компьютера. Если вы владелец сервера, вы под большей угрозой, чем обычный пользователь настольной системы. Если вы по случаю сели за Tetris на 486DX ваших родителей, вы, вероятно, в безопасности. Но это не значит, что пользователям настольной Linux-системы можно почивать на лаврах. Многие из нас освоили компьютеры в давние времена, еще до прихода широкополосной связи, и это делает нас уязвимыми для угроз, которые мы недооцениваем. Пока вы всего лишь сбрасываете почту через медлен- ный телефонный модем, ваш компьютер находится почти в пол- ной сохранности, но если машина всю ночь подключена к 8-МБит широкополосной сети – это совсем другое дело.
Безопасность системы немного похожа на оборону средневекового замка. Имея один вход, защищенный рвом (IP-адрес), подъемной решеткой (брандмауэр) и прочными воротами (механизм аутентификации), замок очень надежен. Но если вы приметесь пробивать другие ворота, держать решетку поднятой и допускать пересыхание рва, вы сильно снизите сопротивляемость замка любому потенциальному захватчику.
Системный администратор
Работает ли брандмауэр?
Пять лет назад выход в Сеть без брандмауэра считался глупостью, но сейчас некоторые дистрибутивы (например, Ubuntu), даже не включают его по умолчанию. Почему? Так ведь брандмауэр умеет только блокировать доступ из Интернета к опасным службам на вашем компьютере. Широкополосные маршрутизаторы обычно снабжены брандмауэром, а в стандартной установке Ubuntu отсутствуют интернет-службы, и брандмауэру делать нечего. Но вовсе не сложно поменять настройки или что-нибудь установить, и возникает уязвимость. В частности, рискованным представляется совместное использование файлов с Windows через Samba, а порты, отведенные LAN-протоколу, не должны быть достижимы из Иинтернета. Тут уж брандмауэр необходим.
К счастью, для его установки достаточно пары щелчков мыши. В ядре Linux функция брандмауэра есть по умолчанию, так что по сути добавляется лишь графическая оболочка. Наша любимая зовется ufw. Это утилита командной строки; в системах Ubuntu она установлена, но не активирована. Для запуска брандмауэра и блокирования всех входящих соединений введите sudo ufw enable, затем sudo ufw default deny. Потом сделайте исключения для нужных вам служб. Например, если у вас сервер SSH, для разрешения подключений к порту 22 (вариант по умолчанию) введите sudo ufw allow ssh. Интерфейс Gufw упрощает настройку.
ЭФФЕКТИВНОСТЬ: 7/10
Включите WPA на маршрутизаторе
Сейчас многие пользуются беспроводной сетью. Но стандартная схема безопасности, бывшая в ходу пару лет, легко взламывается. По мере передачи достаточного объема данных любая машина сумеет распознать ключи, используемые в сети с WEP, примерно за час. Если вы живете на хуторе Большие Грязи, проблемы вряд ли возникнут, но в густонаселенном городе это уже не так. Чем больше людей находится в радиусе действия вашей точки доступа, тем больше вероятность, что кому-то из них захочется взломать вашу систему. Это делается практически анонимно, и вы в жизни не отследите местонахождение злоумышленника.
Исправления на скорую руку, типа запрета на вещание имени вашей точки доступа или фильтрация MAC-адресов, здесь не помогут – перехватчик все равно извлечет эту информацию из ваших данных. Полностью защитить их сможет только шифрование на вашем маршрутизаторе, и если он не поддерживает ничего получше WEP, задумайтесь о покупке нового. Ищите модель, поддерживающую WPA, или, в идеальном случае, WPA2 – в любом из этих случаев ваши подключения будут куда безопаснее, чем с WEP. Большая часть современных маршрутизаторов поддерживает WPA2, но придется поменять на WPA также и клиентское оборудование. Единственное известное нам устройство без поддержки WPA – Nintendo DS.
ЭФФЕКТИВНОСТЬ: 8/10
Обслуживание
Ваша система обновлена?
Безопасность – это в общем-то здравый смысл, и легко додуматься, что самое очевидное – вести систему в ногу со временем. Однако этим легко пренебречь, если вы не понимаете, зачем нужны обновления. Проблема в том, что рядовая установка обычно содержит сотни программ и приложений, каждое из которых не свободно от ошибок. Если уязвимость критична, хакер проложит через нее дорожку к вашей системе.
Именно поэтому следует как можно скорее добывать исправленные версии скомпрометированных приложений, и практически любой серьезный дистрибутив Linux содержит утилиту для быстрого скачивания исправлений и имеет срок жизни, который истекает, когда разработчики уже не в состоянии выпускать обновления. Например, Ubuntu 8.10 будет исправляться до 2010 года, а версии с долгосрочной поддержкой (LTS) имеют в запасе еще год. У Mandriva, Fedora и OpenSUSE также есть сроки поддержки, и их программы автоматического обновления делают этот процесс по возможности безболезненным. Немедля запустите свою!
ЭФФЕКТИВНОСТЬ: 9/10
Не делать из-под root все
Одно из определяющих отличий Linux от Windows состоит в том, что пользователям со стандартными учетными записями не удастся нарушить целостность операционной системы – для этого надо войти в нее от имени администратора. Хотя можно регулярно использовать учетную запись root для задач системного администрирования, важно, чтобы эти задачи выполнялись отдельно от каждодневной рутины и от задач управления рабочим столом.
Некоторых бесит постоянный поток запросов на пароль, сопровождающий каждую задачу системного администрирования, и они решают постоянно подключаться от имени root. Это все равно что снять заземление музыкального оборудования ради устранения помех от грунта: проблема-то отпадет, однако вас может убить. Чем больше времени вы проводите под root’ом, тем больше вероятность совершить ошибку; то же относится к постоянному пребыванию под root в командной строке. Единственное решение – не уступать соблазну запускать все подряд из-под root.
ЭФФЕКТИВНОСТЬ: 6/10 Странное мнение автора, я бы поставил 10/10
Проверяйте неиспользуемые учетные записи
Если вы уже давно пользуетесь вашей системой, у вас, скорее всего, есть несколько учетных записей. Они создаются, скажем, для удобства других пользователей вашего компьютера, или для соответствия требованиям некоторых приложений: так, утилита потокового мультимедиа SqueezeCenter запускается только из-под отдельной учетной записи. Это и хорошо, и плохо. Конечно, это гарантия, что программы типа SqueezeCenter получат полный контроль над своими файлами и процессами, а случись что, навредят только сами себе. Однако в такой обстановке легко забыть, сколько у вас пользователей, а ведь каждая запись дает некий доступ к вашей системе.
Например, если у вас запущен сервер SSH, хакер имеет шанс подключиться к учетной записи SqueezeCenter, а вы будете не в курсе. Многие дистрибутивы содержат утилиты управления пользователями. Любителям OpenSUSE следует искать их в Yast, а Mandriva – в Центре управления. Ubuntu прячет Пользователей и группы в меню Администрирование. Удалите всех лишних, но будьте внимательны: не грохните тех, что требуются системным процессам.
ЭФФЕКТИВНОСТЬ: 4/10
Используйте группы и права доступа
Группы и права доступа – это технический аспект файловой системы, унаследованный от Unix, но они все еще полезны. Каждый пользователь может состоять в любом числе групп, а группа – просто разновидность пользователя. Многие дистрибутивы используют группы для ограничения доступа к конкретному оборудованию: этим самым доступом управляют права на файл, каталог или устройство. Чтобы посмотреть права доступа, щелкните правой кнопкой по файлу в обозревателе и выберите Свойства. Затем поменяйте параметры, чтобы ограничить доступ к ключевым файлам и устройствам.
ЭФФЕКТИВНОСТЬ: 7/10
Программы
Запускайте антивирус
В природе нет вирусов, способных навредить вашей системе, а появись такие, права доступа пользователей ограничат возможный ущерб вашими личными данными. Это плохие новости для тех, кто давно не делал резервных копий, и все же это намного лучше, чем если бы вирус превратил машину в бесполезный металлолом.
По этой причине настоятельно рекомендуем вам поставить антивирусный сканер. Использовать его достаточно при обращении или пересылке файлов, способных повредить менее устойчивым ОС. Потрясающее открытое антивирусное ПО – ClamAV. Добровольцы постоянно следят за свежестью вирусной базы данных, и ClamAV проще использовать, установив графический интерфейс к основной программе, работающей в командной строке. Мы бы посоветовали KlamAV для пользователей KDE и ClamTK для всех остальных. Оба позволяют обновлять вирусную базу данных и выбирать файлы и папки для сканирования, равно как проверять ZIP-архивы, документы и изображения. Если ClamAV обнаружит нечто подозрительное, он сообщит вам, а затем поместит файл во временное хранилище, называемое Карантином [Quarantine]. Таким образом, вы всегда сможете вернуть данные, если файл окажется важным.
ЭФФЕКТИВНОСТЬ: 5/10
Сколько лет резервной копии?
Вот что вам реально следует сделать, так это резервную копию своих данных. Слишком легко махнуть на нее рукой, но даже просто переброску пары файлов на Gmail или на внешний диск стоит сделать прямо сейчас.
Если вам нужна ультрасовременная утилита, которая пробудит вашу пытливость, почему бы не попробовать TimeVault? Она разработана Canonical и находится в бетастадии, но в корне меняет представление о резервировании данных. Откат на прежнее состояние ваших файлов и папок делается через серию снимков системы, содержащихся на удаленном устройстве хранения. TimeVault аккуратно копирует туда помеченные файлы и каталоги, пока вы заняты работой, и не нужно заботиться о планировании резервирования. Единственный недостаток TimeVault – она устанавливается легко только на Ubuntu.
Зайдите на https://launchpad.net/timevault и щелкните по ссылке Downloads, затем по самой верхней ссылке на скачивание. Передайте управление инсталлятору и нажмите на кнопку Установить пакет. Введите пароль root, и файлы установятся. TimeVault произведет свои настройки, и вам надо будет выйти и зайти в систему опять. TimeVault теперь содержится в меню Приложения > Система. Запустите ее, и в разделе апплетов на панели задач появится новый значок. Щелкните по нему правой кнопкой и выберите Preferences [Настройки]. В этом окне поменяйте каталог Snapshots root [Путь к снимкам] на устройство хранения и добавьте ваш домашний каталог в список Include [Включить]. Во вкладке Expire [Срок действия] также можно настроить способ сбора данных, после чего оставьте TimeVault работать в фоновом режиме – добавьте задачу в менеджер сеанса, чтобы процесс запускался автоматически при входе в систему. Когда придет пора восстановить данные, откройте Snapshot Browser [Обозреватель снимков] из значка TimeVault и выберите пункты, которые вы хотите восстановить на указанные дату и время.
ЭФФЕКТИВНОСТЬ: 9/10
Силен ли ваш пароль?
Нас частенько спрашивают про пароли; но уделяем ли мы им достаточно внимания? Пароли ныне означают много больше, чем преграждение доступа на рабочий стол: они стали ключом к опознанию вас в Сети. Одинаковые пароли для случайного форума и для банковского счета используют разве самые пропащие люди. Следует разделить службы на важнейшие для вашего онлайн-здоровья и на временные и незначительные. Рекомендуем иметь несколько паролей и использовать их для разных уровней безопасности. На самом верхнем уровне пароли должны быть надежными и уникальными.
Лучший способ этого добиться – применить настольный менеджер паролей. Обычно он запоминает все ваши пароли, автоматически заполняет онлайн-формы и содержит данные в безопасности с помощью суперпароля. Идея с виду не очень удачная, но доступ могут получить только лица, зашедшие на ваш рабочий стол. Наиболее известны KWallet для KDE и Password Manager от Figaro для Gnome. Для сайтов предлагаем использовать менеджер паролей Firefox и включение мастер-пароля со страницы Параметры > Безопасность.
ЭФФЕКТИВНОСТЬ: 8/10
У вас надежные данные?
При пересылке данных по небезопасной сети всегда есть возможность перехвата. Ответом служит шифрование: в этом случае, даже стянув ваши данные, вор ничего с них не поимеет.
Существуют десятки свободных утилит для шифрования, и многие основаны на GNU Privacy Guard, или сокращенно GnuPG. Это схема с открытым и закрытым ключом; и те, и другие можно создать внутри программы. Для шифрования и хранения данных можно завести собственные ключи, а вот файлы, зашифрованные с помощью открытых ключей других людей, расшифровываются только при помощи их закрытого ключа. Аналогично, файлы, зашифрованные с помощью вашего закрытого ключа, могут быть расшифрованы только с помощью вашего открытого ключа. Последний метод применяется для верификации источников данных, и им часто пользуются, подписывая электронную почту.
Самый популярный интерфейс для GnuPG называется Seahorse, а его KDE-эквивалент носит имя KGPG. Оба позволяют создавать ключи и интегрируются с почтовыми клиентами. Это проще, чем кажется. В Seahorse нажмите New, а затем PGP Key. Введите ваше имя и адрес электронной почты, а затем пароль. После этого сгенерируется ключ (GnuPG также принимает открытые ключи из ваших доверенных контактов). Теперь можете шифровать и дешифровать файлы в вашем файловом менеджере Nautilus, просто щелкнув по ним правой кнопкой мыши.
ЭФФЕКТИВНОСТЬ: 7/10
LXF