Linuxコンピューターを適切に保護する方法

16

明らかに、家庭用コンピューターとプロ用コンピューターに基づいて保護するためのさまざまな方法があります。私の質問は一般にホームデスクトップの保護に関するものですが、専門家による保護は絶対に歓迎します:)知識は力です。

数年前にLinuxの素晴らしい世界に移行して以来、私はセキュリティについて本当に考えたことがありませんでした。最も寿命の短いスカムと見なされると、Windowsマシンのウイルスはより豊富であると見なされます。

しかし、私または私のものに行きたい人から私が安全/安全であるかどうかをどのように知ることができますか?私は意志を得るのに十分に決心している人なら誰でも、それについては疑いの余地がないことを知っています。しかし、不正なルートシェルや自動攻撃などから保護されるようにするために、どのような手順を実行できますか?また、より多くのLinuxディストリビューションに一種のビルトインファイアウォール/アンチウイルスがありますか?

誰かがあなたのシステムを危険にさらす可能性のある方法がたくさんあるので、この質問は非常に広範であると知っていますが、あなたが安全であることを確認するためにあなたがしたことを共有できるかもしれません。

編集:私はssh経由のルートログインを許可せず、ポートがランダムに何かをリッスンするように変更することにしました。うまくいけば、これは正しい方向への一歩です。現在iptablesを見て、サービスをシャットダウンしています。うまくいけば、この質問が質の高い回答をたくさん得て(すでに3つもある)、他の妄想に役立つだろう:)

編集2:いくつかのiptablesの問題を取得しましたが、それは良いツールであることが証明されています

編集3:まだ、ハードドライブ暗号化の問題に触れた人はいません。これは価値がある?私は以前にそれを使用したことがないので、私はそれがすべてどのように機能するかを知りません。これは簡単に達成できますか?

もう1つの編集:システムで実行する必要があるサービスに関して、どのサービスを実行する必要がありますか?ボックスのどのポートを開く必要がありますか?もちろん、これは使用するものに依存しますが、デフォルトで何が開かれ、何が危険ですか?

linux  security 
n0pe
ソース
9
インターネットに接続しないでください。
ワッファー
完全に安全なものへの道はありません、常にお使いのシステムのどこかに入るために穴があるように起こっている
サンディープBansalは
上記の質問で、質問も「完全に」から「適切に」に変更されたことに言及しました
-n0pe
正しく?ああ、その場合は、何にも接続しないでください。(この質問は多くの票に値する!)
ランドルフリチャードソン
3
脅威がインターネット経由で到達できない場合、スニーカーネット経由で到達できます。そうは言っても、ありとあらゆる脅威を軽減しようとすることにより、妄想に陥るのではなく、運用状況に固有の最も一般的な脆弱性に対処するように働きます。
music2myear

回答:

8

あなたは非常にトリッキーになることができますiptables。を見てみると、man pageこのソフトウェアがどれほど複雑であるかがわかります。上記のようにネットに接続しないことを除けば、これはおそらくあなたができる限り良いことです。

使用してsshいる場合は、パスワードを使用せず、代わりに公開キーを使用してください。

ディストリビューションの信頼できるリポジトリからのみソフトウェアをインストールしてください。リポジトリに記載されているパッケージの整合性を維持するのに役立つさまざまな手段があります。

システムを最新の状態に保ちます。

ルートとして実行しないでください-必要な場合にのみ特権を上げてください。

Webを閲覧するときは、FlashBlock / AdBlock / NoScriptなどを使用します。

パニックにならないでください。

boehj
ソース
2
ヒッチヒッカーのリファレンスについては+1!エラー... 34分後(投票上限-_-)
n0pe
3
iptablesを単なる人間にアクセス可能にするUFWが好きです;)
アンドリューランバート
ハハ...ああ、はい、ありがとう。UPWに注目する価値があることに同意しました。
boehj
それはUFWです、ごめんなさい。昨日はタイプミスが悪かった。:)
boehj
iptablesのマニュアルページを読むのではなく、frozentux.net
tutorial /
5

すぐに使えるLinuxインストールで問題ありません。使用しないサービスを無効にしてください。自宅のPCであれば、心配することはありません。

私はデスクトップでUbuntuを何年も実行しており、Bluetoothやフォルダー共有などのいくつかのサービスを無効にしてからOSを使用しています。必要に応じてウイルス対策ソフトウェアをインストールできますが、実際には必要ありません。

サンディープバンサル
ソース
おかげで、機会があれば今日からサービスを見ていきます。
-n0pe
5

使用目的と開いているポートに大きく依存します。たとえば、多くのサービスがインターネットに公開されていて、それらが悪用されることが多い場合、 fail2banは素晴らしいです-たとえば、ランダムなsshエクスプロイトをブロックするために使用します。

ルートアカウントを使用しないことも常識です。ルートアカウントを持たないubuntuの方法には実際にいくつかのメリットがあり、一般的なブルートフォース攻撃はユーザー名とパスワードを推測しようとします。

最後に、前述のように、脅威にさらされる可能性を低くします。使用していないサービスや、すぐに必要ないポートはすべてシャットダウンします。

ジャーニーマンオタク
ソース
Ubuntuにはルートアカウントがありませんか?OpenSuseの前に使用し、常にsudoコマンドを使用しました。これは、sudoがrootユーザーなどを「仮想化」するということですか?
-n0pe
2
実際には、パスワードのない「root」アカウントがあります。sudoは一時的に特権をrootに昇格しますが、sudo suなしでは実際にrootとしてログインすることはできません
Journeyman Geek
非常にクールな、それを知らなかった
n0pe
sudo passwd rootを使用してrootにパスワードを与えると、rootとしてログインできます...する必要はありません。
ステイシーリチャーズ
4

見ていRed Hat Linuxの確保にNSAガイドを。基本的なシステムをロックダウンするための優れたスターターガイドです。Red Hatを使用していない可能性がありますが、何を見ればよいかがわかります。もちろん、システムでサービスを提供する場合は、それらのサービスのリスクを調べる必要があります。

ゼノアクティブ
ソース
2

ハードドライブの暗号化は比較的簡単で、セットアップが簡単です。一部のディストリビューション(特にUbuntu)は、インストール時にホームディレクトリを暗号化することを提案しています。

それが価値があるかどうか?さて、インターネットからの侵入からデータを保護することはできません-コンピューターが起動され、ファイルシステムがマウントされると(暗号化されているかどうかに関係なく)、コンピューターはデータを読み取ることができるため、攻撃者はデータを読み取ることができます。

それがあなたを保護するのは、誰かがあなたの家に物理的に侵入し、あなたのコンピューターを盗むことです。彼らがあなたのデータにアクセスできなくなるのです。多くの住宅破壊者がデータを望んでいるわけではありません。彼らはただもっとお金を稼ぐためにコンピューターを売りたいだけです。

機密ファイルを個別に暗号化して、キー/パスフレーズを使用してそれらにアクセスできるようにすることをお勧めします。これにより、攻撃者が簡単に読むことができなくなります。

マジェンコ
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.