Debianにはharden、コンピュータをより安全にするために設計されたいくつかのパッケージが付属しています。私のニーズは非常に単純です。ワープロとWebブラウジングです。私は、あるのを知っていること、などがインターネットを使用する必要があり、ソフトウェアのみSSH、Telnetを使用しない、特別なサーバを実行しないiceweaselとapt。
hardenこれらのニーズに適したパッケージはありますか?回答:
デフォルトのユーザーインストールでは、サーバーアプリケーションとしてインストールされたsshのみがインストールされており、aptitude remove openssh-server使用する他のパッケージマネージャー経由でアンインストールできます。
アプリケーションのネットワークアクセスを制限することは困難です。
{{編集:ただし、必要な機能(プロセスごとのファイアウォール、インタラクティブなユーザーインターフェイス)を提供するように見えるLeopard Flowerが開発されました。}} プロセスごとのファイアウォールを参照してください。トピックの詳細については。複雑なソリューションを使用せずに、iptables ownerモジュールを介してネットワークアクセスを特別なユーザーにのみ制限できます。
通常のユーザーとして、harden-*パッケージは必要ありません。おそらくインストールされていない可能性のある安全でないパッケージと競合するか、ネットワーク侵入システムなど、構成と保守が複雑すぎる通常のシステム用のセキュリティパッケージをインストールします。
iptablesの厳密な使用に同意します。(ほとんどのディストリビューションで)カーネルを利用する非常にシンプルなコマンドラインベースのファイアウォールです。
私が行うもう1つの提案は、selinuxです。現在、debianがデフォルトで付属しているかどうかはわかりません。つまり、Selinuxは必須のアクセス制御であり、カーネルレベルでアプリケーションと外部リソース(ファイルやシステムプロパティなど)との間の通信を制御します。補足として、NSAの支援を得て開発されました。selinuxプロファイルを使用すると、アプリケーションがその範囲を超えてファイルを読み取ることを防止できます。
不要なデーモンを無効にするなどのベストプラクティスと組み合わせて、適切なファイアウォールルールselinuxは、このボックスを強化するために探しているオプションかもしれません。
残念ながら、littlesnitchまたはzonealarmに代わるLinuxはないようで、GUIを備えたファイアウォールのほとんどは必要なままになります。もちろんiptables、接続追跡を使用すると、かなりの数の便利なことができます。
見過ごされがちなユーティリティの1つはtcpwrappersです。にルールを追加し/etc/hosts.denyます:
ALL: PARANOID
また、次の行をに追加して、pingおよびその他のICMP応答を無効にします/etc/sysctl.conf。
net.ipv4.icmp_echo_ignore_all = 1
tcpwrappersは、オプトインです。プログラムを実際に有効にするには、プログラムをラッパーライブラリにリンクする必要があります。 iceweaselではありません。LD_PRELOAD必要に応じて、トリックを介してそれを強制することができます。
LD_PRELOAD。プログラムはそれをサポートする必要があります。静的にリンクされたプログラムの場合、LD_PRELOADとにかく動作しません。
Linuxでのネットワークフィルタリング/ファイアウォールの最も一般的な基本はでiptables、これはアプリケーションベースでは機能しません。必要なのは、プログラムがネットワークリソースにアクセスできないように制限できるセキュリティポリシープログラムです。2つのアプローチは、SELinuxとAppArmorです。
AppArmorレシピの例をいくつか示します。そのうちの1つは、Firefox / Iceweaselのネットワークアクセスを可能にします。