Журнал LinuxFormat - перейти на главную

LXF150:tut1

Материал из Linuxformat
Перейти к: навигация, поиск

Содержание

Защита: Укрепим рабочий стол

Оградите себя от онлайн-угроз, выбрав подходящее оружие борьбы против похитителей данных – Боб Мосс ведет мастер-класс по безопасности.
Наш эксперт

Боб Мосс Разрывается между исследованием Европы и обучением по курсу компьютерных технологий.

Антивирус на Linux?

Вам могут заявить, что Linux-машины нет нуждаются в антивирусном программном обеспечении, но несмотря на то, что число известных основных уязвимостей, вероятно, можно пересчитать по пальцам одной руки, нельзя сказать, что вы неуязвимы.

Всегда разумно установить антивирусную программу, такую как ClamAV. Для удобства пользователей Ubuntu мы добавим новые PPA, чтобы ClamAV был с последними обновлениями компонентов и вирусов. Перейдите в Центр Ubuntu Software, затем нажмите кнопку Редактировать > Источники ПО и добавьте в качестве стороннего репозитория:

ppa:ubuntu-clamav/ppa

Когда кэш обновится (вы увидите это в правой части окна), найдите пакет под названием Virus Scanner. Установите его и clamav-daemon (этот последний пакет, позволяющий ClamAV запускаться в фоновом режиме, вероятно, нужно установить через терминал обычным порядком).

Для запуска сканирования просто запустите GUI-приложение Virus Scanner и щелкните по соответствующей опции в окне. Также важно включить демон ClamAV, командой

sudo clamd

Вы должны запустить обновление вирусных сигнатур и полное сканирование системы, что можно делать вручную, по крайней мере раз в день. Однако, в отличие от нашего предыдущего урока по ClamAV (подписчики могут найти его в LXF131 на сайте Linux Format), теперь предусмотрен запуск этих задач по расписанию, через только что установленный клиент с графическим интерфейсом. Перейдите на Дополнительно > Расписание и просто установите плановое время выполнения этих задач – например, где-то около 3 часов утра. Тогда при первом вашем входе в компьютер будут обновляться определения вирусов и сканироваться система, без малейшего вмешательства с вашей стороны.

После нашумевших пробоев безопасности у Sony и Facebook высокопоставленные чиновники от промышленности обоснованно тревожатся: кто же подвергнется очередной атаке? И это касается не только правительства и корпораций – вам тоже легко пасть жертвой мошенничества и хитрости, о которых пишут в новостях, если хакер решит атаковать вашу систему. Атаке не обязательно целиться лично в вас, потому что хулиганы-скриптописцы и жулики уже засорили Интернет троянами, вирусами, шпионскими программами и фишингом. Суньтесь в петлю, и ловушка захлопнется, выдав преступникам доступ к вашим банковским счетам, паролям и конфиденциальным данным. А поскольку физически мошенники могут находиться в любой точке мира, полиция зачастую будет бессильна помочь вашей беде.

Однако, пока вы в ужасе не сбежали из Интернета, рад вам сообщить, что можно предпринять несколько простых шагов, чтобы отогнать ворюг – онлайн и оффлайн – желающих прорваться на вашу машину. Мы не обещаем уберечь вас от опасности прямых атак, но, надеюсь, предотвратим самые распространенные из них.

Скорая помощь

Знание – сила, поэтому держитесь в курсе последних угроз. Прекрасным местом для старта будут www.us-cert.gov/current, http://on.fb.me/mRPV0Y и http://bit.ly/rrRw0h.

Мастер паролей

Если в вашем пароле менее шести символов и он не является смесью букв в верхнем и нижнем регистре, цифр и символов, а вы его используете для всего и никогда не меняете, это позор.

Конечно, пароли трудно запоминать. Лучшие из них, как правило, употребляют памятные слова, которые вы изменили согласно правилам – по типу “f3@Th3r” (где «е» становится 3, @ заменяет «а» и t – это заглавная Т). Однако держать по отдельному паролю для каждого web-сервиса и для входа на каждый компьютер не всегда практично.

Хорошей идеей будет использовать расширения, подобные LastPass для web-служб (http://lastpass.com): оно шифрует пароли и дает к ним доступ через один мастер-пароль. Потом достаточно периодически менять пароль компьютера и мастер-пароль.

Чтобы изменить пароль на дистрибутиве Linux – скажем, Ubuntu – введите Users в вашем апплете поиска приложений и нажмите Пользователи и группы. Выберите имя пользователя в левой панели и нажмите кнопку Изменить рядом с паролем. Через это окно можно даже поручить Ubuntu сгенерировать случайный пароль для вас, хотя, по понятным причинам, вы должны убедиться, что способны его запомнить.

Firefox – сокрушитель врагов

Мы часто слышим, что продукты с открытым кодом, такие как Firefox от Mozilla по своей природе безопасны благодаря быстрому выпуску исправлений, но это не защитит вас от всех угроз в Интернет. К счастью, мы можем бороться с этим при помощи некоторых изменений в настройках браузера и умных дополнений.

Перейдите в Редактировать > Настройки; во вкладке Содержание можно отключить автоматическую загрузку изображений (рискованно в некоторых сценариях) и JavaScript. Мы пока оставим последний включенным, поскольку вскоре перейдем к дополнениям, ведущим борьбу с уязвимостями JavaScript. Перейдите на вкладку Безопасность; вы должны обнаружить, что все варианты отмечены, кроме мастер-пароля. Можно установить этот параметр, чтобы пользователи с физическим доступом к вашей машине не могли войти в ваши учетные записи в Интернет.

Большинство проблем с безопасностью, как правило, связаны с JavaScript или Flash-эксплойтами. Зайдя на http://addons.mozilla.org, вы найдете два полезных расширения – NoScript и FlashBlock. Первый находится в строке статуса вашего браузера и по умолчанию отключает все. Нужно просто указать сайты, которым вы доверяете. Вначале это придется делать регулярно, но со временем вы обнаружите, что он действует как брандмауэр, который блокирует вредоносные скрипты, пропуская скрипты только с доверенных сайтов.

FlashBlock позволяет определить исключения с самого начала (например, YouTube).

Другое полезное расширение – WOT (сеть доверия – Web of Trust). Оно позволяет пользователям отметить сайты красным, желтым или зеленым, в зависимости от их надежности. Оно ставит индикатор рядом со всеми ссылками в браузере и даже не позволит зайти на страницы, не внушающие доверия вообще. Единственный недостаток данного сервиса – медлительность при восстановлении сайтов, которые убрали свои вредоносные элементы.

И, наконец, расширение, о котором скажет почти каждый обычный пользователь Firefox: Adblock Plus. Оно молча убирает всякого рода рекламу с посещаемых вами сайтов, а также расширяет блокировку всплывающих окон в Firefox.

Ключики-замочки

Но надежные пароли помогут вам только до поры. Вы, например, спрячетесь от хакеров начального уровня, отключив вещание SSID в беспроводной сети, а если им все-таки удастся засечь вашу машину и взломать пароль, все ваши файлы в их власти.

По этой причине целесообразно шифровать конфиденциальные файлы и папки (и даже целые разделы /home, если мошенники имеют физический доступ к вашему компьютеру).

Для этого мы применим GnuPG — пользователи Ubuntu найдут его клиента в меню Пароли и ключи шифрования. Здесь можно создать свой ключ шифрования PGP, а затем сделать его резервную копию на внешнем накопителе (желательно на случай утраты пароля или необходимости переформатировать диск). После настройки вы должны увидеть пункт меню Шифровать, который появляется при нажатии правой кнопки мыши на файлах, показываемых в менеджере файлов.

Защита: Вредные привычки долой

Несколько простых процедур защитят вашу систему от атак.

До сих пор этот учебник рассматривал компоненты, добавляемые в систему, чтобы ее обезопасить. Но из виду нередко упускается существующее и характерное поведение самого пользователя.

Независимо от созданных преград, вы все равно можете ухитриться скачать порченые файлы и папки и заразить свою систему. Мы уже рассмотрели, почему важны установка надежного пароля и проверка целостности web-страницы, а наш следующий пункт очень прост: внимательно прислушивайтесь к тому, что говорит вам ваша система.

Если ваш антивирус сообщает, что нечто требует срочного внимания, сразу этим займитесь. Затем убедитесь, что установлены все имеющиеся последние обновления системы безопасности вашего дистрибутива. Пользователи Ubuntu могут установить Центр Ubuntu Software для загрузки и установки обновлений безопасности (оставив обновления программ как дополнительное упражнение). Просто откройте программу, перейдите в Редактировать > Источники Программного обеспечения и в Обновление отметьте возможность установки обновлений безопасности без подтверждения.

Скорая помощь

Если вы не прочь приложить руку к настройкам вашей системы и управлять привилегиями для ваших приложений и файлов, то подписчики могут обратиться к учебнику SELinux из LXF130 с сайта Linux Format.

Оплот целостности

Далее, обязательно проверяйте целостность файлов. С контрольными суммами MD5 вы обычно сталкиваетесь при скачивании дистрибутива Linux, так как это хороший способ гарантировать правильность. Тем не менее, они пригодятся и для проверки, что скачанный файл – тот самый, что представлен разработчиками, и что файл или папка не были изменены злонамеренно с момента последнего доступа к нему.

Два файла (например, копия и оригинал важного документа) сравниваются командой

md5sum file1.odt file2.odt

Она проверяет документы на идентичность. Для сравнения файлов с предыдущей датой понадобится экспорт хэша MD5 (значение, созданное в файле) с помощью

md5sum file1.odt file2.odt> files.odt.md5

Для важных файлов и папок желательно делать это периодически, убеждаясь, что их никто не портил. Чтобы проверить наличие вторжения, запустите:

md5sum -с files.odt.md5

Вывод покажет ‘OK’ для каждого файла, включенного вами в хэш-файл (в данном случае, важный файл и его копия). Если что-либо было изменено, значение хэша станет совершенно другим, и вы будете предупреждены соответственно. Это не полная система обнаружения вторжений, но на сегодняшний день самая простая.

Последний и самый важный пункт – обеспечить регулярное резервное копирование всех важных файлов (рассматривалось в учебнике прошлого месяца, доступном подписчикам на сайте Linux Format). Мы знаем, что делать это нудно, но надо. Если ваша система скомпрометирована, то пока вы не проверите файлы по их первоначальным хэшам MD5, нельзя будет сказать, были ли они инфицированы, то есть вы по сути потеряли их. Как и защита от наводнения, пожара и кражи, резервное копирование также очень важно, если вы хотите смягчить ущерб от нарушения безопасности.

Шаг за шагом: Установим и настроим Firestarter
1 Запустите мастер
При первом запуске Firestarter выберите тип соединения и способ присвоения вам IP-адреса (DHCP, если вы используете маршрутизатор Wi-Fi).
2 Поделитесь соединением
Если вы хотите, чтобы другие устройства в сети подключались к компьютеру по случаю соединения, установите флажок Enable Internet Connection Sharing.
3 Окно статуса
Здесь отображается текущее состояние брандмауэра и все активные в данный момент соединения.
4 Задайте политики
Здесь вы можете решить, следует ли добавить или удалить правила для входящих и исходящих соединений к и из вашей машины.
5 Добавьте правило
Выбрав тот или иной вариант, можно в явном виде поместить в белый или в черный список IP-адрес или домен.
6 Изменение предпочтений
Когда вы запретите заблокированные соединения, обнаруженные во вкладке События, можно настроить Firestarter через Редактировать
Несложно о брандмауэре

Итак, что такое брандмауэр? Проще говоря, он предотвращает нежелательные соединения на и от вашей машины.

Например, входящие соединения могут содержать вредоносный вирус, или вирус мог уже сидеть в вашей системе и добрых две недели рассылаться с каждым нажатием клавиши через исходящее соединение.

Без брандмауэра вашу систему легко взломать, вызвать переполнение буфера путем создания большего количества соединений, чем ваша машина может потянуть, и вообще применить всю гамму подлых методов взлома вашей системы.

Таким образом, несмотря на веские причины наличия программного брандмауэра в вашей системе, мы здесь рассмотрим, как установить ufw, брандмауэр, имеющий настольные клиенты и под Gnome, и под KDE.

Пользователи Ubuntu найдут GUI-клиент под названием Firewall Configuration через центр Ubuntu Software; он должен удовлетворить практически все ваши потребности настройки брандмауэра. После запуска разблокируйте интерфейс с помощью вашего пароля, чтобы делать какие-либо изменения.

Первым делом установите флажок Включен. По умолчанию входящие соединения запрещены, а исходящие соединения всегда разрешены. Хотя это подходит большинству пользователей, бывают случаи, когда нужно разрешить входящие соединения (например, удаленные входы для web-страниц, использование клиентов web-почты, VoIP и т. д.). Нажав кнопку Добавить правило, вы увидите целый ряд преднастроенных параметров, которые можно использовать на первой вкладке (то есть, чтобы разрешить входящие соединения для Skype и торрент-клиента Transmission).

Две другие вкладки позволяют блокировать конкретные адреса IP и TCP/UDP портов.

Если вы предпочитаете более тонкие настройки или хотите настроить множество других протоколов, не требуемых для обычных пользователей компьютеров, такие как логины SSH, и т. д., взгляните на наше руководство по пошаговой установке Firestarter: в нем учтены все эти расширенные возможности.

Персональные инструменты
купить
подписаться
Яндекс.Метрика