Cara mengamankan komputer Linux dengan benar

16

Jelas, ada berbagai metode untuk mengamankan berdasarkan pada komputer rumah versus profesional. Pertanyaan saya umumnya berkaitan dengan pengamanan desktop rumah, tetapi perlindungan profesional pasti diterima :) Pengetahuan adalah kekuatan.

Sejak pindah ke dunia Linux yang luar biasa beberapa tahun yang lalu, saya bahkan tidak pernah benar-benar memikirkan keamanan. Melihat sebagian besar sampah rendah kehidupan membuat virus untuk mesin Windows melihat karena mereka lebih berlimpah.

Tapi bagaimana saya tahu jika saya aman / aman dari siapa saja yang ingin mendapatkan pada saya atau barang-barang saya. Saya tahu bahwa siapa pun yang cukup bertekad untuk masuk akan, tidak ada pertanyaan tentang itu. Tapi langkah apa yang bisa saya ambil untuk memastikan saya terlindungi dari hal-hal seperti cangkang root rog dan serangan otomatis? Juga, apakah ada semacam firewall / antivirus bawaan di lebih banyak distro Linux?

Saya tahu pertanyaan ini cukup luas karena ada banyak cara seseorang dapat membahayakan sistem Anda, tetapi mungkin Anda bisa membagikan apa yang Anda lakukan untuk memastikan Anda aman.

EDIT: Saya memutuskan untuk tidak mengizinkan login root melalui ssh dan untuk mengubah port mendengarkan sesuatu yang acak. Semoga ini langkah ke arah yang benar. Saat ini sedang melihat iptables dan mematikan layanan. Semoga pertanyaan ini akan mendapatkan banyak respons berkualitas (sudah ada 3) dan itu akan membantu paranoid lain :)

EDIT 2: Ada beberapa masalah iptables, tetapi terbukti menjadi alat yang bagus

EDIT 3: Sampai sekarang, belum ada yang menyentuh masalah enkripsi hard drive. Apakah ini sepadan? Saya tidak pernah menggunakannya sebelumnya jadi saya tidak tahu bagaimana cara kerjanya. Seberapa mudah ini dicapai?

Satu lagi edit: dalam hal layanan yang harus berjalan di sistem Anda, mana yang harus atau harus dijalankan? Port mana yang harus dibuka di komputer Anda? Tentu saja ini tergantung pada apa yang Anda gunakan, tetapi apa yang dibuka secara default dan apa yang berbahaya?

linux security n0pe
sumber
9
Jangan terhubung ke Internet.
Wuffers
Tidak ada cara untuk sepenuhnya mengamankan apa pun, akan selalu ada lubang untuk masuk ke sistem Anda di suatu tempat
Sandeep Bansal
Saya menyebutkan bahwa dalam pertanyaan saya di atas, pertanyaannya juga diubah dari "sepenuhnya" menjadi "dengan benar"
n0pe
Tepat? Oh, kalau begitu, jangan menghubungkannya dengan apa pun. (Pertanyaan ini layak mendapatkan banyak suara!)
Randolf Richardson
3
Jika ancaman tidak bisa sampai di sana melalui internet, itu bisa sampai di sana melalui sneakernet. Yang mengatakan, Anda bekerja untuk mengatasi kerentanan paling umum yang unik untuk situasi operasi Anda, daripada terjerumus dalam paranoia dengan mencoba mengurangi setiap dan semua kemungkinan ancaman.
music2myear

Jawaban:

8

Anda bisa menjadi sangat sulit iptables. Lihatlah man pagedan Anda akan melihat betapa rumitnya perangkat lunak ini. Selain tidak terhubung ke internet seperti yang disebutkan di atas, ini mungkin tentang sebaik yang Anda bisa lakukan.

Jika Anda menggunakan sshpastikan untuk tidak menggunakan kata sandi tetapi gunakan kunci publik.

Instal hanya perangkat lunak dari repo tepercaya distribusi. Ada berbagai langkah yang dilakukan untuk membantu menjaga integritas paket yang ditemukan.

Selalu perbarui sistem Anda.

Jangan jalankan sebagai root - tingkatkan hak istimewa hanya ketika Anda harus.

Saat menjelajah web gunakan hal-hal seperti FlashBlock / AdBlock / NoScript.

Jangan panik.

boehj
sumber
2
+1 untuk referensi Hitchhicker! err .... dalam 34 mnt (cap suara -_-)
n0pe
3
Saya suka UFW karena membuat iptables dapat diakses oleh manusia biasa;)
Andrew Lambert
Haha ... ah ya, terima kasih untuk itu. Setuju bahwa UPW layak untuk dilihat.
boehj
Itu UFW, maaf. Kemarin salah ketik salah. :)
boehj
Jangan membaca halaman manual untuk iptables sebagai gantinya, baca frozentux.net/iptables-tutorial/iptables-tutorial.html
cybernard
5

Anda akan baik-baik saja dengan instalasi linux di luar kotak, cukup nonaktifkan semua layanan yang tidak Anda gunakan. Jika ini adalah PC rumahan maka Anda tidak perlu khawatir.

Saya telah menjalankan Ubuntu di desktop saya selama bertahun-tahun dengan hanya beberapa layanan yang dinonaktifkan, seperti bluetooth dan berbagi folder dan kemudian menggunakan OS. Anda dapat menginstal antivirus jika Anda mau, tetapi itu tidak benar-benar diperlukan.

Sandeep Bansal
sumber
Terima kasih, saya akan melihat-lihat layanan saya hari ini ketika saya mendapat kesempatan.
n0pe
5

Ini sangat tergantung pada apa yang Anda gunakan, dan port apa yang terbuka. Misalnya, jika Anda memiliki banyak layanan yang terpapar ke internet, dan itu adalah hal-hal yang sering disalahgunakan, fail2ban luar biasa - saya menggunakannya untuk memblokir eksploitasi ssh acak misalnya.

Tidak menggunakan akun root Anda juga masuk akal. Cara ubuntu untuk tidak MEMILIKI akun root sebenarnya memiliki beberapa kelebihan serta serangan brute force umum Anda akan mencoba untuk menebak nama pengguna DAN kata sandi.

Akhirnya, seperti yang disebutkan sebelumnya, kurangi paparan ancaman Anda - matikan semua layanan yang tidak digunakan, dan port apa pun yang tidak segera diperlukan.

Journeyman Geek
sumber
Ubuntu tidak memiliki akun root? Saya menggunakan itu sebelum OpenSuse dan selalu menggunakan perintah sudo. Apakah itu berarti sudo "memvirtualisasikan" pengguna root atau sesuatu?
n0pe
2
sebenarnya ada akun 'root' tanpa kata sandi. sudo untuk sementara meningkatkan hak istimewa Anda untuk di-root, tetapi Anda tidak dapat benar-benar login sebagai root tanpa sudo su
Journeyman Geek
sangat keren, tidak tahu itu
n0pe
Jika Anda memberi root kata sandi dengan sudo passwd root maka Anda dapat login sebagai root ... bukan berarti Anda harus melakukannya.
Stacey Richards
4

Lihat panduan NSA untuk mengamankan Red Hat Linux . Ini adalah panduan pemula yang baik untuk mengunci sistem dasar. Anda mungkin tidak menggunakan Red Hat, tetapi itu memberi Anda ide yang baik tentang apa yang harus dilihat. Tentu saja, jika Anda memberikan layanan apa pun pada sistem Anda, maka Anda harus melihat risiko dari layanan tersebut.

Xenoaktif
sumber
2

Enkripsi hard drive relatif sederhana dan mudah diatur. Beberapa distro (terutama Ubuntu) menawarkan untuk mengenkripsi direktori home Anda untuk Anda pada saat instalasi.

Apakah itu layak atau tidak? Yah, itu tidak akan melindungi data Anda terhadap seseorang dari internet menerobos masuk - begitu komputer di-boot dan sistem file sudah terpasang (dienkripsi atau tidak) komputer dapat membaca data - dan karenanya penyerang dapat membaca data.

Apa yang melindungi Anda terhadap adalah seseorang secara fisik masuk ke rumah Anda dan mencuri komputer Anda. Ini menghentikan mereka untuk mendapatkan data Anda. Bukan berarti banyak penghuni rumah menginginkan data; mereka hanya ingin menjual komputer untuk uang cepat sehingga mereka dapat mencetak beberapa obat lagi.

Anda lebih baik mengenkripsi file-file sensitif Anda secara individual sehingga hanya Anda yang bisa mendapatkannya dengan kunci / pass-phrase. Itu akan mencegah mereka mudah dibaca oleh penyerang.

Majenko
sumber