Как да защитите своя новоинсталиран Ubuntu
Без съмнение прясно инсталирана Linux система е по-малко податлива на злонамерен софтуер, шпионски софтуер и хакерство от прясно инсталирана система Windows. Повечето Linux системи обаче са конфигурирани с някои настройки по подразбиране, които по своята същност са несигурни. Някои Linux дистрибуции са предназначени да бъдат инсталирани с много сигурни по подразбиране, но това води до системи, които имат значителни затруднения за новите потребители, особено тези, които не са специалисти по компютърна сигурност.
Ubuntu е може би най-популярният дистрибутор на Linux днес, и това се дължи на голям брой фактори, една от които е неговата приятелска работа с нови потребители. Много от настройките по подразбиране на Ubuntu са насочени към това да позволят на потребителите да използват своите системи веднага след инсталирането с възможно най-малко прекъсвания. Въпреки че това има своите положителни резултати, то също води до система, която има няколко слабости, като ги търгува за удобство на потребителите. Тази статия ще ви преведе през някои основни, но мощни конфигурационни промени, които ви показват как да защитите новосъздадения ви Ubuntu от много от обичайните методи за атака.
Повечето от тези промени в сигурността изискват редактиране на конфигурационни файлове и тези файлове обикновено се редактират само чрез root (супер потребител) достъп. Файловете за конфигуриране могат да бъдат отворени с коренния достъп по много начини, но три общи начина са изложени по-долу. Ако приемем файла, който искаме да отворим, е "/ file / config".
За да отворите чрез терминал:
sudoedit / файл / конфигурация
Или ако използвате Gnome, натиснете "Alt + F2" и въведете:
gksudo gedit / файл / конфиг
Или ако използвате KDE, натиснете "Alt + F2" и въведете:
kdesu kate / файл / конфиг
Забележка : в екранните снимки по-долу цялата редактиране се извършва с терминала, така че всички конфигурационни файлове се отварят с помощта на sudoedit
.
Основните неща
Това са стъпки за конфигуриране, които зависят от това как възнамерявате да използвате вашата система. Първата основна промяна е да зададете парола за вашия потребител. Дори и да сте единственият потребител в системата, е важно да защитите компютъра си с парола. Ако има вероятност да дадете достъп на вашата система до други потребители, създайте акаунт за гости (парола защитена също), която бихте дали на вашите гости. Linux е изграден като многопотребителска система от самото начало, така че превключването на потребители и множество потребители на една и съща система е неразделна част от използването на Linux.
Преконфигурирайте споделената памет
По подразбиране пространството на споделената памет (/ run / shm) е монтирано четене / запис, с възможност за изпълнение на програми. Това е забелязано в сигурността като уязвимо, с много налични възможности, където се използва "/ run / shm", докато се атакуват текущите услуги. За повечето конфигурации за настолни компютри и сървъри е препоръчително да го монтирате само като "четене", като добавите следния ред към файла "/ etc / fstab".
Отворете файла "/ etc / fstab":
sudoedit / etc / fstab
Добавете следния ред в края на файла:
няма по подразбиране / run / shm tmpfs, ro 0 0
Има обаче няколко програми, които няма да работят, ако "/ run / shm" е монтиран само за четене, като например Google Chrome. Ако използвате браузъра си като браузър (или възнамерявате да използвате Chrome), тогава "/ run / shm" трябва да бъде монтиран на четене / запис и вместо това трябва да добавите следния ред:
няма / run / shm tmpfs rw, noexec, nosuid, nodev 0 0
Отказва програма "su" на не-администратори
Освен вашия личен акаунт, Ubuntu идва с акаунт за гости, за да можете бързо да преминете към него и да придадете лаптопа си на приятеля си. "Su" е програма, която позволява на потребителя да изпълни програма като друг потребител на машината. Това е много полезно, когато се използва правилно и е жизненоважна част от известната система за сигурност на Linux. Въпреки това, той може да бъде злоупотребяван със стандартната система Ubuntu. За да откажете достъпа до профил "Гост" в програмата "su", въведете следното в терминал
sudo dpkg-statoverride - актуализация --Add root sudo 4750 / bin / su
Осигурете вашата домашна директория
Вашата домашна директория по подразбиране може да бъде достъпна от всеки друг потребител в системата. Така че, ако имате профил за гости, вашият потребител на гости може да отвори вашата домашна директория и да прегледа всичките ви лични файлове и документи. С тази стъпка вашият домашен указател ще бъде нечетлив от други потребители. Отворете терминал и въведете следната команда (Забележка: заменете "потребителско име" с името на потребителския ви акаунт).
chmod 0700 / начало / потребителско име
Друга възможност е да зададете разрешение от 0750 (прочетете тук, за да научите повече за разрешението за файлове в Linux), за да дадете достъп на потребителите в същата група като вас.
chmod 0750 / начало / потребителско име
Деактивиране на влизането в SSH корен
По подразбиране Ubuntu не допуска директен SSH достъп до коренния потребител. Ако обаче зададете парола за главния си акаунт, това може да представлява потенциално огромен риск за сигурността. Може да не сте инсталирали sshd на вашата система. За да потвърдите дали сте инсталирали SSH сървър, въведете терминал
ssh localhost
Ще получите съобщение за грешка "Отказано от връзката", ако нямате инсталиран SSH сървър, което означава, че можете безопасно да пренебрегнете останалата част от този съвет.
Ако имате инсталиран SSH сървър, той може да бъде конфигуриран чрез конфигурационния файл, намиращ се в "/ etc / ssh / sshd_config". Отворете този файл и заменете следния ред
PermitRootLogin да
с този ред
PermitRootLogin не
заключение
Поздравления. Имате измерима сигурна Ubuntu система. С горните промени в конфигурацията блокирахме някои от най-разпространените атакуващи вектори и методите на проникване, използвани за експлоатиране на Ubuntu системи. За повече съвети за сигурност, трикове и задълбочена информация за Ubuntu посетете Ubuntu Wiki.