Как правильно обезопасить компьютер с Linux

Очевидно, что существуют разные методы обеспечения безопасности на основе домашних и профессиональных компьютеров. Мои вопросы обычно касаются защиты домашних компьютеров, но профессиональная защита определенно приветствуется :) Знание - сила.

С тех пор, как пару лет назад я переехал в замечательный мир Linux, я даже не задумывался о безопасности. Ввиду того, что большинство мошенников с низким сроком службы создают вирусы для компьютеров под управлением Windows, поскольку они более распространены.

Но как мне узнать, в безопасности ли я от кого-то, кто захочет, чтобы я или мои вещи нашли. Я знаю, что у любого, кто полон решимости войти в волю, нет никаких сомнений. Но какие шаги я могу предпринять, чтобы убедиться, что я защищен от таких вещей, как оболочки корневых жуликов и автоматические атаки? Кроме того, есть ли своего рода встроенный брандмауэр / антивирус в других дистрибутивах Linux?

Я знаю, что этот вопрос достаточно широк, поскольку существует множество способов, которыми кто-то может скомпрометировать вашу систему, но, возможно, вы могли бы поделиться тем, что вы сделали, чтобы убедиться, что вы в безопасности.

РЕДАКТИРОВАТЬ: Я решил не разрешать root-вход через ssh и изменить порт, слушает что-то случайное. Надеюсь, это шаг в правильном направлении. В настоящее время смотрю на iptables и закрываю сервисы. Надеемся, что этот вопрос получит много качественных ответов (у него уже есть 3), и это поможет другим параноикам :)

РЕДАКТИРОВАТЬ 2: Есть некоторые проблемы с Iptables, но это оказывается хорошим инструментом

РЕДАКТИРОВАТЬ 3: Пока никто не коснулся вопроса шифрования жесткого диска. Это того стоит? Я никогда не использовал его раньше, поэтому я не знаю, как все это работает. Насколько легко это сделать?

Еще одно изменение: с точки зрения сервисов, которые должны работать в вашей системе, какие из них должны или должны работать? Какие порты должны быть открыты на вашем ящике? Конечно, это зависит от того, что вы используете, но что открыто по умолчанию и что опасно?

Вы можете получить очень сложно с iptables. Взгляните на man pageи вы увидите, насколько сложен этот программный продукт. Помимо не соединения с сетью, как упомянуто выше, это, вероятно, примерно так же хорошо, как вы можете сделать.

Если вы используете ssh, убедитесь, что не используете пароли, а вместо этого используйте открытые ключи.

Устанавливайте программное обеспечение только из надежных репозиториев дистрибутива. Существуют различные меры, которые помогают поддерживать целостность пакетов, найденных в репозиториях.

Поддерживайте свою систему в актуальном состоянии.

Не запускайте с правами root - повышайте привилегии только тогда, когда это необходимо.

При просмотре веб-страниц используйте такие вещи, как FlashBlock / AdBlock / NoScript.

Не паникуйте.

Вы будете в порядке с установкой Linux из коробки, просто отключите все службы, которые вы не используете. Если это домашний компьютер, то вам не о чем беспокоиться.

Я годами запускаю Ubuntu на своем рабочем столе, отключив несколько служб, таких как Bluetooth и общий доступ к папкам, а затем использую ОС. Вы можете установить антивирус, если хотите, но он на самом деле не нужен.

Это очень сильно зависит от того, для чего вы его используете и какие порты открыты. Например, если у вас есть много сервисов, подключенных к Интернету, и они часто используются неправильно, fail2ban - это здорово - я использую его, например, для блокировки случайных ssh-эксплойтов.

Не использовать вашу учетную запись root также является здравым смыслом. Способ ubuntu не иметь корневой учетной записи на самом деле имеет свои достоинства, а ваши обычные атаки грубой силы будут пытаться угадать имена пользователей и пароли.

И наконец, как уже упоминалось ранее, снизьте уровень угрозы - отключите все неиспользуемые сервисы и все порты, которые не нужны немедленно.

Посмотрите руководство АНБ по обеспечению безопасности Red Hat Linux . Это хорошее руководство для блокировки базовой системы. Возможно, вы не используете Red Hat, но она дает вам хорошее представление о том, на что обратить внимание. Конечно, если вы предоставляете какие-либо услуги в своей системе, вам нужно будет рассмотреть риски, связанные с этими услугами.

Шифрование жесткого диска является относительно простым и простым в настройке. Некоторые дистрибутивы (особенно Ubuntu) предлагают зашифровать ваш домашний каталог для вас во время установки.

Стоит ли это того или нет? Что ж, это не защитит ваши данные от взлома Интернета - как только компьютер загрузится, и файловые системы смонтированы (зашифрованы или нет), компьютер сможет прочитать данные - и, следовательно, злоумышленник сможет прочитать данные.

От чего он защищает, так это от того, что кто-то физически вломился в ваш дом и украл ваш компьютер. Это мешает им получить доступ к вашим данным. Не так много домохозяек хотят получить данные; они просто хотят продать компьютер за быстрый доллар, чтобы пойти и купить еще лекарств.

Вам лучше по отдельности зашифровать ваши конфиденциальные файлы, чтобы только вы могли получить к ним ключ / парольную фразу. Это предотвратит их легкое чтение злоумышленником.