Настройка сетевой безопасности в ubuntu. Безопасность в Linux - понятие относительное. Возможности файловой системы
Дата публикации: четверг, 18 декабря 2008
Перевод: Коваленко А.М.
Дата перевода: 7 августа 2009 г.
Существует общее убеждение, что если кто-то переходит на использование дистрибутива Linux, например, такого как Ubuntu на настольном компьютере, то проблемы обеспечения безопасности решаются сами собой. К сожалению, в реальности этого не происходит. Подобно любой сегодняшней операционной системе, в Ubuntu также существуют потенциальные цели для эксплойтов. Переполнение буфера, переполнение стека, "грязный" код, ошибки пользователей - и это неполный список угроз, который можно было бы еще продолжить. Для противодействия этим и другим возможным угрозам, я покажу вам, как выполнить простые шаги, которые гарантируют, что вы используете разумные стратегии для безопасной работы в Ubuntu.
Анти-вирусная защита?
Один из наиболее часто возникающих споров - использовать или нет на компьютерах с Linux защиту от вирусов. Мое мнение следующее: руткиты и вирусы, чьей целью является Linux, существуют на самом деле. С одной стороны, они - бледная тень чистого объема эксплойтов, нацеленных на Microsoft Windows, и отсюда становится понятным тот факт, что обманчивое чувство безопасности, появляющееся от такой статистики, усыпляет бдительность людей.С другой стороны, и я хочу это подчеркнуть, - идея сканировать содержание вашего компьютера для поиска опасных вирусов очень здравая. Использование съемных носителей, дисков, электронной почты - каждое из этих действий вполне может привести к случайному получению вирусов совместно с пользователями Windows. Обратите внимание, что я не призываю к излишней подозрительности, но предупреждаю об опасности любого пользователя, в чью домашнюю сеть входят без предупреждения.
Поэтому я должен дать вам совет, логично проистекающий из вышеизложенного - используйте какую-либо программу (например, ClamAV) для выполнения еженедельного вирусного сканирования. Хотя сейчас мы и живем в окружении компьютеров Windows, выполнение еженедельного сканирования - это на самом деле та важная операция, о которой каждый должен не только помнить, но и которую непременно должен выполнять.
Защита от злонамеренного программного обеспечения?
Значительная угроза со стороны злонамеренного программного обеспечения все еще существует. В свете этого, уже сам по себе отказ от установки или запуска неизвестных приложений может оказать большую помощь. Весьма неразумно устанавливать подозрительную программу, которую вы не знаете, на любую из платформ путем "слепой" установки вновь обнаруженного программного обеспечения без его предварительного изучения. Потому, как в случае, если оно использует закрытый программный код - вы не сможете даже узнать, что же эта программа делает с вашим компьютером на самом деле.Статьи на эту тему:
- Облегчение написания скриптов SSH и SFTP с использованием Python
- Сайт электронной коммерции Firefox + Greasemonkey Turbocharge со стороны клиента
- Интерфейс командной строки Linux для начинающих, или, Не бойтесь командную строку Linux!
- Графическое удаленное управление компьютерами для Linux, часть 3
Возможности защиты с использованием брандмауэра
Как и для любой операционной системы подключенной к Интернет в наши дни, для ОС Ubuntu, использование брандмауэра - обязательно. Для пользователей Ubuntu это означает использование IPTables через UFW (Uncomplicated Firewall (Простой Брандмауэр)).Грустно, что идею использования брандмауэра, как и большинство идей придуманных инженерами, обычные пользователи не считают "простой", а все по причине того, что брандмауэр требует использования командной строки. Эта очевидная брешь в удобстве использования привела к разработке графического интерфейса - Gufw .
Gufw обеспечивает очень простые возможности для включения/выключения настроек IPTables во всех современных инсталляциях Ubuntu. Gufw также позволяет буквально "одним щелчком" управлять портами, применяя заранее настроенные или расширенные опции перенаправления портов.
Использование этого вида защиты будет обеспечивать подходящий уровень безопасности брандмауэра практически сразу при первом запуске. К несчастью, сам по себе брандмауэр ничего не делает с трафиком, передаваемым через вашу сеть или даже через Интернет. Резюмирую, - брандмауэр - это скорее "привратник" на входе, чем "полицейский на мотоцикле", отлавливающий потенциальные угрозы для вашей сети.
OpenVPN и OpenSSH
Несмотря на тот факт, что большинству корпоративных пользователей требуется использовать OpenVPN для подключения к сети предприятия, я был разочарован тем, что большинство людей не обращают внимания на OpenSSH как альтернативу для домашних работников, которым требуется подключение к безопасным не-VPN сетям.Не вдаваясь в подробности реализации двух этих программ, скажу, что идея состоит в том, что пользователь может безопасно подключаться к удаленному компьютеру/серверу, получать доступ к удаленным разделяемым ресурсам/электронной почте/документам и т.п. без беспокойства о том, что его трафик на всем пути прохождения (туда и обратно) не будет скомпрометирован злоумышленником.
Что касается OpenVPN, - это программное обеспечение позволяет находящимся дома корпоративным пользователям подключаться к серверу виртуальной частной сети (VPN) их компании настолько просто, насколько это вообще возможно. Оттуда они могут получить доступ к своим рабочим компьютерам, управлять документами или просто проверять почту. Суть в том, что работники за пределами локального офиса могут спокойно пользоваться протоколами безопасности, которые установил IT персонал для подключения к сети предприятия снаружи, находясь где-либо вне корпоративной сети, будь то домашний офис или любая другая небезопасная сеть.
Установку OpenVPN соединения выполнить достаточно просто, необходимо только установить пакет network-manager-openvpn из вашего репозитория Ubuntu. После этого и установки других зависимостей, просто щелкните мышью на значке менеджера сети (network-manager) и начните процесс настройки VPN. В сегодняшнем, последнем релизе Ubuntu, 8.10 (прим. переводчика: на момент перевода статьи последним стабильным релизом Ubuntu является 9.04 ), пользователи сразу после установки ОС могут воспользоваться VPN соединениями, предварительно настроив их.
Усиление Удаленной и Локальной безопасности
Теперь вернемся домой. Лично я частично использую OpenSSH для соединения из дома с беспроводной сетью моего собственного кофе-магазина. Использование OpenSSH позволяет мне работать с такими Интернет приложениями, как Evolution (клиент электронной почты), Firefox (web-браузер) и т.п., которые иначе я не стал бы использовать в кофе-магазине для передачи информации.OpenSSH так же обеспечивает замечательную возможность совместного доступа к файлам и папкам компьютеров в вашей локальной сети. Однако, используя совместный доступ вместе с No-IP (прим. переводчика: сервис, подменяющий динамически назначаемый IP-адрес компьютера каким-либо постоянным именем, доступным через Интернет ), вы можете организовать однообразный совместный доступ к файлам и папкам независимо от места, где вы находитесь в данный момент. При этом, где бы вы не находились, дома или на другом конце земного шара, вы получите одинаково надежный совместный доступ к файлам.
Подведем итог всего вышесказанного. SSH и VPN - это виртуальные безопасные мосты от компьютера к серверу или от компьютера к компьютеру. Но насколько бы безопасными не казались эти средства, это не означает, что при просматре Интернет-страницы или отправке электронной почты данные остаются в безопасности в процессе их передачи. Возможно, вы захотите внедрить дополнительно какие-то средства SSL, чтобы использовать протокол HTTPS для просмотра веб-страниц и SSL безопасность для передачи электронной почты туда и обратно.
Обеспечение безопасности вашего компьютера с Ubuntu для локального использования
На сегодняшний день, единственный и, пожалуй, самый большой риск для безопасности вашего компьютера, в общем случае, находится между монитором и стулом. Пользователи, особенно на совместно используемых компьютерах, обеспечивают больше проблем безопасности, чем любые вирусы или зловредное программное обеспечение, случайно проникшее на ваш компьютер.Поскольку мы не можем проконтролировать, что делают другие пользователи на общем компьютере, я предлагаю список некоторых полезных инструментов и техник, которые наилучшим образом подготовят вас к ответным действиям на любые безрассудные поступки, совершенные другими пользователями.
Совет: Сохранение обновлений под контролем . Отказ от поддержания системы Ubuntu в актуальном состоянии - путь, приводящий к получению множества проблем в дальнейшем, уж лучше получить несколько ошибок, в случае выполнения регулярных обновлений. Обновления безопасности - первостепенны.
Совет: Блокирование других пользователей . Немедленное преимущество вы можете получить, спрятав ранее работающую рабочую инсталляцию Ubuntu от менее опытного члена семьи или друга. Наилучший путь для того, чтобы это выполнить - добавить ограниченную в правах учетную запись обычного пользователя для всех тех, кто еще помимо вас работает за компьютером. Из меню администрирования пользователей и групп, под своей собственной учетной записью супер-пользователя, просто отключите любые опции, которые вы хотите запретить, для вновь создаваемой ограниченной учетной записи пользователя.
Совет: Обеспечение безопасности вашего домашнего каталога . Больше для обеспечения тайны, чем для безопасности, избежав головной боли от использования шифрования, вы можете легко и просто поменять привилегии пользователей для доступа к каталогу, например, выполнив команду chmod 0700 /home/$USER в терминале. Предположим, только вы один имеете права суперпользователя (super user/root) на данном компьютере, больше никто не может видеть содержания вашего каталога. Если шифрование обязательно, то есть несколько замечательных HOWTO, лучший из которых . Да, сделать это очень нелегко.
Совет: OpenDNS для базовой фильтрации содержимого . Одним из наилучших путей оградить пользователей вашей системы Ubuntu от доступа к потенциально мошенническим сайтам или узлам со злонамеренным программным обеспечением является использование OpenDNS. Изменение настроек DNS в вашей сети может быть выполнено как на каждом компьютере в отдельности, так и на шлюзе, выполняющем роль маршрутизатора.
Ubuntu настолько безопасна, насколько вы ее таковой сделаете
Используя советы, которые я дал выше, вы несомненно встанете на путь безопасного использования Ubuntu. Но, несмотря на наличие этих рекомендаций, вы всегда можете нарваться на неприятности.Поскольку Linux действительно весьма мощная система, любой у кого есть права супер-пользователя должен осознавать, что есть команды или сценарии оболочки, которые могут быть запущены в терминале и нанести при выполнении существенный вред . Один из типов такого вреда выражается в потере данных.
И еще, — вместо того, чтобы метаться по форумам, разыскивая решение проблемы, которая возникла сама по себе, лучше каждый раз консультироваться с доверенным источником перед запуском кода, с которым вы незнакомы. Один этот совет творит чудеса, гарантируя, что Ubuntu используется безопасно.
Благодарим за статью Datamation
А чтобы обеспечить безопасность территории вокруг вашего реального дома портебуеться настоящая защита. От несанкционированного проникновения дом защитит металлическая сетка рабитца натянутая по периметру участка.
Существует распространенное заблуждение, что сервера под управлением ОС Linux являются наиболее безопасными и защищенными от вторжений извне. К сожалению это не так, безопасность любого сервера зависит от ряда факторов и мероприятий по ее обеспечению и практически не зависит от применяемой операционной системы.
Мы решили начать цикл статей посвященных сетевой безопасности с Ubuntu Server, так как решения на данной платформе вызывают большой интерес у наших читателей и так как многие считают, что Linux решения безопасны сами по себе.
В тоже время роутер с выделенным IP-адресом является "воротами" к локальной сети и только от администратора будет зависеть будут эти ворота надежной преградой или окажутся дачной калиткой закрытой на гвоздик.
Еще одно частое заблуждение, рассуждения в стиле: "да кому он нужен, наш сервер, у нас ничего интересного нет". Действительно, ваша локальная сеть может не представлять для злоумышленников никакого интереса, однако они могут использовать взломанный сервер для рассылки спама, атак на другие сервера, анонимный прокси, короче говоря как отправную точку для своих темных делишек.
А это уже неприятно и может послужить источником разнообразных проблем: начиная от провайдера и заканчивая правоохранительными органами. Да и про распространение вирусов, кражу и уничтожение важной информации тоже забывать не стоит, как и о том, что простой предприятия приводит к вполне ощутимым убыткам.
Несмотря на то, что статья посвящена Ubuntu Server, вначале мы рассмотрим общие вопросы безопасности, которые в равной степени относятся к любой платформе и являются азами, без усвоения которых нет смысла обсуждать вопрос более детально.
С чего начинается безопасность?
Нет, безопасность не начинается с брандмауэра, она вообще не начинается с технических средств, безопасность начинается с пользователя. Ведь что толку от самой-самой крутой металлической двери установленной самыми лучшими специалистами если хозяин оставит ключ под ковриком?
Поэтому первое, что вы должны сделать - это провести аудит безопасности. Не пугайтесь этого слова, все не так сложно: начертите схематический план сети, на котором отметьте безопасную зону, зону потенциальной опасности и зону повышенной опасности, а также составьте список пользователей которые имеют (должны иметь доступ) к этим зонам.
К безопасной зоне следует отнести внутренние ресурсы сети доступ к которым извне отсутствует и для которых допустим низкий уровень безопасности. Это могут быть рабочие станции, файловые сервера и т.п. устройства доступ к которым ограничен локальной сетью предприятия.
К зоне потенциальной опасности стоит отнести сервера и устройства не имеющие непосредственного доступа к внешней сети, однако отдельные службы которых доступны извне, например веб и почтовые сервера находящиеся за брандмауэром, но при этом обслуживающие запросы из внешней сети.
К опасной зоне следует отнести устройства непосредственно доступные извне, в идеальном случае это должен быть один роутер.
По возможности потенциально опасную зону следует вынести в отдельную подсеть - демилитаризованную зону (DMZ), которая отделена от основной сети дополнительным брандмауэром.
Устройства локальной сети должны иметь доступ только к тем службам в DMZ, которые им необходимы, например SMTP, POP3, HTTP, остальные соединения должны блокироваться. Это позволит надежно изолировать злоумышленника или вредоносное ПО, воспользовавшихся уязвимостью в отдельном сервисе, демилитаризованной зоной, закрыв им доступ к основной сети.
Физически DMZ можно организовать поставив отдельный сервер / аппаратный брандмауэр или добавив дополнительную сетевую карту в роутер, однако в последнем случае придется уделить пристальное внимание безопасности роутера. Но в любом случае обеспечить безопасность одного сервера гораздо проще, чем группы серверов.
Следующим шагом должен стать анализ списка пользователей, всем ли им нужен доступ в DMZ и к роутеру (за исключением общедоступных служб), отдельное внимание следует уделить пользователям подключающимся извне.
Как правило, здесь требуется очень непопулярный шаг - введение в действие политики паролей. Все пароли пользователей имеющих доступ к критически важным сервисам и имеющих возможность подключаться извне должны содержать не менее 6 символов и иметь в составе, кроме строчных букв, символы двух категорий из трех: прописные буквы, цифры, неалфавитные символы.
Кроме того пароль не должен включать логин пользователя или его часть, не содержать дат и имен, которые можно связать с пользователем и, желательно, не являться словарным словом.
Неплохо завести практику менять пароли раз в 30-40 дней. Понятно, что подобная политика способна вызвать неприятие со стороны пользователей, но вы должны всегда помнить, что пароли типа 123 или qwerty равносильны ключу оставленному под ковриком.
Безопасность сервера - ничего лишнего.
Теперь, имея представление, что мы хотим защитить и от чего, перейдем к самому серверу. Составьте список всех служб и сервисов, затем подумайте, все ли они необходимы именно на этом сервере, либо их можно куда-либо вынести.
Чем меньше служб, тем проще обеспечить безопасность, тем меньше шанс компрометации сервера через критическую уязвимость в одной из них.
Сконфигурируйте службы, обслуживающие локальную сеть (например squid), таким образом, чтобы они принимали запросы исключительно с локального интерфейса. Чем меньше служб доступно извне, тем лучше.
Хорошим помощником в деле обеспечения безопасности будет сканер уязвимостей, которым следует просканировать внешний интерфейс сервера. Мы использовали демо-версию одного из самых известных продуктов - XSpider 7.7.
Сканер показывает открытые порты, пытается определить тип работающей службы и, если это удалось, уязвимости для нее. Как видим - правильно сконфигурированная система вполне безопасна, однако не стоит оставлять ключ под ковриком, наличие на роутере открытых портов 1723 (VPN) и 3389 (RDP, проброшен на терминальный сервер) хороший повод подумать о политике паролей.
Отдельно стоит поговорить о безопасности SSH, данная служба обычно используется администраторами для удаленного управления сервером и представляет повышенный интерес для злоумышленников. Настройки SSH хранятся в файле /etc/ssh/sshd_config , все описываемые ниже изменения вносятся в него. В первую очередь следует запретить авторизацию под пользователем root, для этого добавьте опцию:
PermitRootLogin no
Теперь злоумышленнику придется подбирать не только пароль, но еще и логин, при этом ему все равно будет неизвестен пароль суперпользователя (надеемся он не совпадает с вашим паролем). Все административные задачи при подключении извне стоит выполнять из-под sudo , входя в систему непривилегированным пользователем.
Стоит явно указать список разрешенных пользователей, при этом можно использовать записи типа user@host , которая разрешает указанному пользователю подключаться только с указанного хоста. Например чтобы разрешить пользователю ivanov подключаться из дома (IP 1.2.3.4) следует добавить следующую запись:
AllowUser [email protected]
Также запретите использование устаревшего и менее безопасного протокола SSH1, разрешив только вторую версию протокола, для этого приведите следующую строку к виду:
Protocol 2
Несмотря на все принятые меры попытки подключится к SSH и иным публичным сервисам все равно будут, чтобы предотвратить подбор паролей воспользуйтесь утилитой fail2ban , которая позволяет автоматически банить пользователя после нескольких неудачных попыток авторизации. Установить ее можно командой:
Sudo apt-get install fail2ban
Данная утилита готова к работе сразу после установки, однако мы бы советовали сразу изменить некоторые параметры, для этого внесите изменения в файл /etc/fail2ban/jail.conf . По умолчанию контролируется только доступ к SSH и время бана составляет 10 минут (600 секунд), на наш взгляд стоит его увеличить, изменив следующую опцию:
Bantime = 6000
После чего пролистайте файл и включите секции для работающих в вашей системе служб, установив после имени соответствующей секции параметр enabled в состояние true , например для службы proftpd это будет выглядеть так:
enabled = true
Еще один важный параметр maxretry , который отвечает за максимальное количество попыток подключения. После изменения настроек не забудьте перезапустить сервис:
Sudo /etc/init.d/fail2ban restart
Лог работы утилиты вы можете посмотреть в /var/log/fail2ban.log .
Многие пользователи считают Ubuntu попсовой, а Ubuntu Server не серьёзным. Многие забывают, что Ubuntu Server поддерживается 5 лет, а папа Debian 5.0 был на рынке 3 года - с 2009 по 2012 г.
По ценам поддержки - Ubuntu Server по сравнению с Red Hat можно и нужно сказать - достался вам даром, даже если вы закажете круглосуточную поддержку 24х7х365.
Посмотрите какие решения в плане безопасности внедрены во все версии Ubuntu и делают её безопасной и надёжной.
Возможности
Матрица возможностей безопасности
| Возможность | 8.04 LTS (Hardy Heron) | 10.04 LTS (Lucid Lynx) | 11.04 (Natty Narwhal) | 11.10 (Oneiric Ocelot) | 12.04 LTS (Precise Pangolin) | 12.10 (Quantal Quetzal) |
| Нет открытых портов | policy | policy | policy | policy | policy | policy |
| Хеш пароля | md5 | sha512 | sha512 | sha512 | sha512 | sha512 |
| SYN cookies | -- | kernel & sysctl | kernel & sysctl | kernel & sysctl | kernel & sysctl | kernel & sysctl |
| Возможности файловой системы | -- | kernel | kernel | kernel | kernel | kernel |
| Конфигурируемый файрвол | ufw | ufw | ufw | ufw | ufw | ufw |
| PR_SET_SECCOMP | kernel | kernel | kernel | kernel | kernel | kernel |
| AppArmor | 2.1 | 2.5 | 2.6.1 | 2.7.0~beta1 | 2.7.0 | 2.7.0 |
| SELinux | universe | universe | universe | universe | universe | universe |
| SMACK | -- | kernel | kernel | kernel | kernel | kernel |
| Шифрованный LVM | alt installer | alt installer | alt installer | alt installer | alt installer | alt installer |
| eCryptfs | -- | ~/Private or ~, filenames | ~/Private or ~, filenames | ~/Private or ~, filenames | ~/Private or ~, filenames | ~/Private or ~, filenames |
| Защита стека | gcc patch | gcc patch | gcc patch | gcc patch | gcc patch | gcc patch |
| Защита кучи | glibc | glibc | glibc | glibc | glibc | glibc |
| Обфусцированный указатель | glibc | glibc | glibc | glibc | glibc | glibc |
| Стек ASLR | kernel | kernel | kernel | kernel | kernel | kernel |
| Libs/mmap ASLR | kernel | kernel | kernel | kernel | kernel | kernel |
| Exec ASLR | kernel (-mm patch) | kernel | kernel | kernel | kernel | kernel |
| brk ASLR | kernel (exec ASLR) | kernel | kernel | kernel | kernel | kernel |
| VDSO ASLR | kernel | kernel | kernel | kernel | kernel | kernel |
| Сборка с PIE | -- | package list | package list | package list | package list | package list |
| -- | gcc patch | gcc patch | gcc patch | gcc patch | gcc patch | |
| Сборка с RELRO | -- | gcc patch | gcc patch | gcc patch | gcc patch | gcc patch |
| Сборка с BIND_NOW | -- | package list | package list | package list | package list | package list |
| Non-Executable Memory | PAE only | PAE, ia32 partial-NX-emulation | PAE, ia32 partial-NX-emulation | PAE, ia32 partial-NX-emulation | PAE, ia32 partial-NX-emulation | |
| Защита /proc/$pid/maps | kernel & sysctl | kernel | kernel | kernel | kernel | kernel |
| Ограничения символьных ссылок | -- | -- | kernel | kernel | kernel | kernel |
| Ограничения жёстких ссылок | -- | -- | kernel | kernel | kernel | kernel |
| ptrace scope | -- | -- | kernel | kernel | kernel | kernel |
| Защита 0-address | kernel & sysctl | kernel | kernel | kernel | kernel | kernel |
| Защита /dev/mem | kernel (-mm patch) | kernel | kernel | kernel | kernel | kernel |
| Отключён /dev/kmem | kernel (-mm patch) | kernel | kernel | kernel | kernel | kernel |
| Блокировка загрузки модулей | drop CAP_SYS_MODULES | sysctl | sysctl | sysctl | sysctl | sysctl |
| kernel | kernel | kernel | kernel | kernel | kernel | |
| Защита стека ядра | -- | kernel | kernel | kernel | kernel | kernel |
| Модуль RO/NX | -- | -- | kernel | kernel | kernel | kernel |
| -- | -- | kernel | kernel | kernel | kernel | |
| -- | -- | kernel | kernel | kernel | kernel | |
| Фильтрация системных вызовов | -- | -- | -- | kernel | kernel | kernel |
Нет открытых портов
Установленная по умолчанию Ubuntu не имеет открытых портов, доступных извне в сети. Исключение из этого правила только для сервисов сетевой инфраструктуры, такие как DHCP клиент и mDNS (Avahi/ZeroConf).
Когда устанавливается Ubuntu Server, администратор может установить дополнительные сетевые сервисы, например веб-сервер Apache. Но по умолчанию, на только что установленной системе, если сделать netstat -an --inet | grep LISTEN | grep -v 127.0.0.1 , то можно легко убедиться, что в Ubuntu без надобности не открываются порты для доступа из сетей к системе.
Хеш пароля
Системный пароль, используемый для входа в Ubuntu сохраняется в /etc/shadow. Давным-давно хеш пароля в DES сохранялся в /etc/passwd. Но современные Linux уже с давних пор хранят хеши в /etc/shadow и первое время использовался хеш основанный на MD5 с солью (salted MD5-based hashes crypt id 1). Так как у одинаковых паролей были одинаковые хеши без применения соли, то внедрение соли позволяло улучшить безопасность и усложнить взлом паролей множества пользователей системы.
Сейчас MD5 считается не надёжным и с ростом вычислительных возможностей компьютеров, с Ubuntu 8.10 применяется хеш SHA-512 с солью (salted SHA-512 based password hashes crypt id 6). Это делает взлом грубой силой с помощью перебора всех вариантов - невероятно сложным и долгим.
Подробнее man crypt.
Используйте test-glibc-security.py для тестов.
SYN cookies
Когда систему переполняют новыми сетевыми соединениями, механизм SYN cookie помогает снизить урон от SYN-flood атак.
Возможности файловой системы
Необходимость в setuid приложениях, которые работают с правами выше, чем тот кто их запустил, может быть уменьшена с применением возможностей файловых систем, таких как xattrs. Такие возможности снижают риск злоупотреблений над потенциально опасными setuid приложениями.
Ядро Linux поддерживает поддержку и есть инструментарий libcap2-bin для использования файловых возможностей типа xattrs для усиления безопасности setuid приложений.
Используйте для тестов test-kernel-security.py.
Конфигурируемый файрвол
ufw это фронтенд для iptables, который установлен и используется в Ubuntu, но включить его пользователь должен самостоятельно. UFW призван обеспечить лёгкий в использовании интерфейс для людей не знакомых с концепциями файрвола iptables, с его цепочками и таблицами.
В то же время UFW упрощает сложные команды iptables, чтобы помочь администратору, который знает что он делает.
UFW является помощником и основой уже для графических фронтендов.
Используйте для тестов ufw tests.
PR_SET_SECCOMP
AppArmor
SELinux
SELinux - система мандатного управления доступом, основанная на понятие inode - индексного дескриптора файловой системы.
Установка пакета selinux сделает нужные изменения и корректировки во время загрузки ПК.
Используйте для тестов test-kernel-security.py.
SMACK
SMACK - гибкая система мандатного управления доступом, основанная на понятие inode - индексного дескриптора файловой системы.
Используйте для тестов test-kernel-security.py.
Шифрование файловых систем
Шифрование LVM
Пользователи с помощью Alternate установщика могут установить Ubuntu на шифрованный LVM (Logical Volume Manage - Менеджер логических томов), который все разделы зашифрует, включая раздел подкачки swap.
eCryptfs
Шифрованные папки были впервые реализованы в Ubuntu 8.10 как безопасное место хранения важной информации пользователя.
Установщик диска Alternate и Server позволяет настроить шифрованные папки для первого пользователя.
В Ubuntu 9.04 поддержка шифрования папок была расширена и пользователь мог зашифровать всю домашнюю папку. Шифрование домашней папки поддерживается в Alternate установщике и Desktop установщике через параметр user-setup/encrypt-home=true.
Усиление безопасности пользовательского пространства
Множество возможностей по безопасности реализуются через флаги компиляции при построении пакетов программ и ядра.
Защита стека
Флаг gcc -fstack-protector обеспечивает защиту от переполнения стека, помещая маленькое случайное число в качестве маркера. Этот метод усложняет переполнение стека различными эксплойтами.
Не большое количество программ плохо работают, если собраны с данным параметром и для них -fstack-protector отключен.
Используйте для тестов test-gcc-security.py.
Защита кучи
GNU C Library защита кучи (автоматически ptmalloc и в ручную) обеспечивает защиту corrupted-list/unlink/double-free/overflow в менеджере памяти glibc.
Это предотвращает возможность выполнения произвольного кода через переполнение памяти кучи, тем самым повредив структуру области кучи.
Эта защита развивалась со временем, добавляя всё больше и больше вариантов защиты. В текущем состоянии glibc 2.10 успешно противостоит даже трудно уловимым условиям атаки.
Обфусцированный указатель
Некоторые указатели glibc обфусцированны через PTR_MANGLE/PTR_UNMANGLE макросы внутри в glibc, предотвращая от перезаписи указатели во время исполнения.
Используйте тесты test-glibc-security.py.
Случайное размещение в адресном пространстве. Address Space Layout Randomisation (ASLR)
ASLR реализован в ядре и загрузчик ELF размещает в случайных адресах важнейшие структуры: стек, кучу, общие библиотеки и другое.
Это усложняет предсказание адресов, когда злоумышленник пытается использовать эксплойты.
ASLR изменяется глобально через /proc/sys/kernel/randomize_va_space. До Ubuntu 8.10 значение было "1" (включено). В поздних релиза, который включает brk ASLR, значение выставлено в "2" (включено с brk ASLR).
Стек ASLR
Результаты каждого выполнения программы размещаются в разных участках стека. Трудно найти в памяти и атаковать программу, добавляя злонамеренную нагрузку.
Libs/mmap ASLR
Библиотеки загружаются динамически в различные участки памяти, что делает сложным для атакующего поиск точки возврата.
Защита доступна с ядра 2.6.15 (Ubuntu 6.06).
Exec ASLR
Программы, собранные с параметром "-fPIE -pie", загружаются в разные участки памяти. Это усложняет атаку или прыжок по адресу для проведения атаки, приводящей к изменению памяти.
Защита доступна с ядра 2.6.25 (Ubuntu 8.04 LTS).
brk ASLR
Подобно exec ASLR, brk ASLR регулирует адреса памяти между exec и brk для маленьких запросов на выделение памяти. Рандомизация brk смещения exec памяти была добавлена в ядро 2.6.26 (Ubuntu 8.10).
VDSO ASLR
Каждый раз запуск программы размещает результаты в различных vdso. Впервые появилось в ядре 2.6.18 (x86, PPC) и 2.6.22 (x86_64), но не был включён в Ubuntu 6.10 из-за COMPAT_VDSO, который удалили в Ubuntu 8.04 LTS.
Защищает от jump-into-syscall атак.
Только x86 поддерживалось glibc 2.6. glibc 2.7 (Ubuntu 8.04 LTS) уже поддерживало x86_64 ASLR vdso.
Тем кому необходимо древнее статичное pre-libc6 vdso могут использовать "vdso=2" как параметр ядра и получить снова COMPAT_VDSO.
Сборка с PIE
Все программы, которые собраны с Position Independent Executables (PIE) параметром "-fPIE -pie" могут воспользоваться защитой exec ASLR.
Это защищает от "return-to-text" атак и делает бесполезными обычные атаки, рассчитанные на изменение памяти.
Из-за PIE наблюдается большое падение производительности (5-10%) на архитектурах с небольшим количеством регистров общего назначения (типа x86).
Поэтому PIE используется для небольшого количества критически важных в плане безопасности пакетов.
PIE для x86_64 не имеет проблем с падением производительности, поэтому используется для всех пакетов, но требует лучшего тестирования.
| Пакет | 8.04 LTS | 9.04 | 9.10 | 10.04 LTS | 10.10 | 11.04 | 11.10 |
| openssh | да | да | да | да | да | да | да |
| apache2 | -- | да | да | да | да | да | да |
| bind9 | -- | да | да | да | да | да | да |
| openldap | -- | да | да | да | да | да | да |
| postfix | -- | да | да | да | да | да | да |
| cups | -- | да | да | да | да | да | да |
| postgresql-8.3 | -- | да | да | да | да | да | да |
| samba | -- | да | да | да | да | да | да |
| dovecot | -- | да | да | да | да | да | да |
| dhcp3 | -- | да | да | да | да | да | да |
| ntp | -- | -- | да | да | да | да | да |
| amavisd-new | -- | -- | да | да | да | да | да |
| squid | -- | -- | да | да | да | да | да |
| cyrus-sasl2 | -- | -- | да | да | да | да | да |
| exim4 | -- | -- | да | да | да | да | да |
| nagios3 | -- | -- | да | да | да | да | да |
| nagios-plugins | -- | -- | да | да | да | да | да |
| xinetd | -- | -- | да | да | да | да | да |
| ipsec-tools | -- | -- | да | да | да | да | да |
| mysql-dfsg-5.1 | -- | -- | да | да | да | да | да |
| evince | -- | -- | -- | да | да | да | да |
| firefox | -- | -- | -- | да | да | да | да |
| gnome-control-center | -- | -- | -- | -- | -- | да | да |
| tiff | -- | -- | -- | -- | -- | да | да |
| totem | -- | -- | -- | -- | -- | да | да |
| qemu-kvm | -- | -- | -- | -- | -- | -- | да |
| pidgin | -- | -- | -- | -- | -- | -- | да |
Сборка с Fortify Source
Программы, собранные с параметром "-D_FORTIFY_SOURCE=2" (и -O1 или выше), включают несколько защит в режиме компиляции и исполнения в glibc:
- заменяются вызовы "sprintf", "strcpy" с их неопределёнными границами на родственные функции с ограниченным N, когда размер буфера известен заранее. Это защищает от переполнения памяти (memory overflows).
- прекращение атаки через формат строки "%n", когда строка находится в сегменте памяти с доступом на запись.
- требуют проверку кодов возврата важнейших функций и аргументов (например для system, write, open).
- требуют явного указания маски при создании файла.
Сборка с RELRO
Ужесточение для ELF программ по борьбе с перезаписью памяти загрузчика. Уменьшает вероятность атаки GOT-overwrite-style.
Используйте тесты test-gcc-security.py.
Сборка с BIND_NOW
Помечает ELF программы для разрешения динамических символов на этапе старта, вместо по требованию (on-demand), так же известное как "immediate binding".
Это делает GOT полностью доступной только для чтения, в сочетании с параметром RELRO.
Используйте тесты test-built-binaries.py.
Non-Executable Memory
Современные процессоры защищают от исполнения кода области памяти данных (кучу, стек).
Эта технология известна как Non-eXecute (NX) или eXecute-Disable (XD). Защита уменьшает возможности злоумышленника по размещению произвольного кода.
Защита требует "PAE", которая так же позволяет адресовать выше 3 Гб ОЗУ. 64битные и 32битные -server и -generic-pae ядра уже собраны с PAE.
Начиная с Ubuntu 9.10, защита частично эмулируется на 32битных ядрах для процессоров, которые не поддерживают аппаратно NX.
После загрузки можно увидеть степень поддержки NX защиты:
- Аппаратная: [ 0.000000] NX (Execute Disable) protection: active
- Эмуляция:
[ 0.000000] Using x86 segment limits to approximate NX protection
Если вы не видите упоминаний о NX, то проверьте свои BIOS настройки. Начиная с Ubuntu 11.04, BIOS настройки для NX игнорируются ядром.
| Ubuntu 9.04 и ранее | ||||
| CPU поддерживает NX | CPU не поддерживает NX | |||
| В BIOS включён NX | В BIOS отключён NX | |||
| i386 | -386, -generic ядро (non-PAE) | nx не поддерживается | nx не поддерживается | nx не поддерживается |
| -server ядро (PAE) | настоящий nx | nx не поддерживается | nx не поддерживается | |
| amd64 | любое ядро (PAE) | настоящий nx | nx не поддерживается | nx не поддерживается |
Используйте тесты test-kernel-security.py.
Защита /proc/$pid/maps
Когда работает ASLR, текущие карты памяти процессов становятся очень ценными для атакующего. Файл карт доступен на чтение только самому процессу и владельцу процесса.
Доступно, начиная с ядра 2.6.22.
Используйте тесты test-kernel-security.py.
Ограничения символьных ссылок
Наиболее распространённый способ использования данного дефекта, вынудить root"а использовать символьную ссылку, созданную злоумышленником, чтобы с правами root выполнить злонамеренное действие.
Начиная с Ubuntu 10.10, по символическим ссылкам в каталогах типа /tmp нельзя пройти, если "идущий по ссылке" и владелец каталога не совпадают с владельцем символической ссылки.
Данный механизм контролируется механизмом Yama /proc/sys/kernel/yama/protected_sticky_symlinks. Yama разработана в Canonical.
Используйте тесты test-kernel-security.py.
Ограничения жёстких ссылок
Если /etc/ и /home/ каталоги располагаются на одном разделе, обычный пользователь может создать жёсткую ссылку на файл с хешами паролей /etc/shadow в своей домашней папке. Разумеется, если некоторый файл недоступен на чтение либо запись для какого-либо пользователя, жесткая ссылка на данный файл будет иметь те же права и поэтому также будет недоступна этому пользователю. Однако, используя жесткие ссылки, злоумышленник может "подсунуть" такой файл приложению, которое имеет права на доступ к нему.
Yama позволяет заблокировать эту атаку, запретив создание жестких ссылок пользователям, не имеющим прав на доступ к исходным файлам.
Поведение контролируется /proc/sys/kernel/yama/protected_nonaccess_hardlinks Yama.
ptrace scope
Без использования соответствующей защиты Yama, любой процесс с привилегией CAP_SYS_PTRACE может обращаться к памяти всех процессов с тем же UID"ом. При использовании Yama, можно ограничить область доступа только памятью, принадлежащей потомкам такого процесса.
В Ubuntu 10.10 и старше, пользователи не могут отлаживать процессы с помощью ptrace, если они не его потомки.
Поведение контролируется /proc/sys/kernel/yama/ptrace_scope Yama.
Используйте тесты test-kernel-security.py.
Усиление защиты ядра
Включённые защитные механизмы ядра для усложнения атак.
Защита 0-address
Так как ядро и пользовательское пространство делят виртуальные адреса памяти, "NULL" память должна быть защищена и "пользовательская" память не может начинаться с адреса 0, тем самым предотвращая разыменование адресов ядра - атака "NULL dereference".
Защита доступна с ядра 2.6.22 через параметр sysctl "mmap_min_addr". С Ubuntu 9.04 mmap_min_addr встроен в ядро - адрес 64k для x86, 32k для ARM.
Используйте тесты test-kernel-security.py.
Защита /dev/mem
Некоторым приложениям, типа Xorg, требуется прямой доступ к физической памяти в пользовательском пространстве. Специальный файл /dev/mem обеспечивает такой доступ.
В прошлом, можно было просматривать и изменять память ядра через этот файл, если атакующий получил root права.
Опция CONFIG_STRICT_DEVMEM была введена, чтобы блокировать такие попытки (первоначально опция назвалась CONFIG_NONPROMISC_DEVMEM).
Используйте тесты test-kernel-security.py.
Отключён /dev/kmem
Для современного пользователя /dev/kmem не актуален, так как в большинстве своём использовался злоумышленниками для загрузки руткитов.
Теперь CONFIG_DEVKMEM установлен "n".
Файл /dev/kmem существует в релизах от Ubuntu 8.04 LTS до Ubuntu 9.04, но в ядре ни с чем не был связан и не используется.
Используйте тесты test-kernel-security.py.
Блокировка загрузки модулей
В Ubuntu 8.04 LTS и ранее, можно было удалить возможность CAP_SYS_MODULES и тем самым запретить загрузку новых модулей ядра.
Это был ещё один уровень защиты, чтобы не загружать руткиты при старте скомпрометированной системы.
В ядре 2.6.25 (Ubuntu 8.10) этот функционал исчез. Начиная с Ubuntu 9.10, теперь снова можно блокировать модули, установив в "1" /proc/sys/kernel/modules_disabled.
Используйте тесты test-kernel-security.py.
Секция данных только для чтения
Пометка секции данных ядра меткой "только для чтения" гарантирует блокировку изменений. Это помогает защититься от некоторых руткитов. Включается через опцию CONFIG_DEBUG_RODATA.
Используйте тесты test-kernel-security.py.
Защита стека ядра
Как и защита ELF программ в пользовательском пространстве, ядро может защитить свой внутренний стек через параметр CONFIG_CC_STACKPROTECTOR.
Используйте тесты test-kernel-security.py.
Модуль RO/NX
Эта возможность расширяет CONFIG_DEBUG_RODATA, включая ограничения для загруженных модулей ядра. Это помогает противостоять эксплойтам. Включается через параметр CONFIG_DEBUG_MODULE_RONX.
Используйте тесты test-kernel-security.py.
Kernel Address Display Restriction
Когда злоумышленники пытаются разработать эксплойт, работающий везде, используя уязвимости ядра, им необходимо знать расположение внутренних структур ядра.
Адреса ядра, как важная информация, недоступны для обычных пользователей.
Начиная с Ubuntu 11.04, /proc/sys/kernel/kptr_restrict выставлен в "1" и блокирует утечки информации об адресах ядра.
Кроме того, различные файлы и каталоги сделаны для чтения только для root
/boot/vmlinuz*, /boot/System.map*, /sys/kernel/debug/, /proc/slabinfo
Используйте тесты test-kernel-security.py.
Чёрных список редких протоколов
Обычно ядро позволяет всем сетевым протоколам автоматически загружаться по требованию через MODULE_ALIAS_NETPROTO(PF_...) макросы.
Поскольку многие из этих протоколов устаревшие, редкостные, да и малопригодные для обычного пользователя Ubuntu и могут содержать неизвестные уязвимости, то они в чёрном списке, начиная с Ubuntu 11.04.
В чёрном списке: ax25, netrom, x25, rose, decnet, econet, rds и af_802154.
Если любой из этих протоколов нужен, то может быть загружен через modprobe или редактируя /etc/modprobe.d/blacklist-rare-network.conf.
Используйте тесты test-kernel-security.py.
Фильтрация системных вызовов
Программы могут фильтровать вызовы ядра, используя seccomp_filter.
Это делается в контейнерах или песочницах, чтобы ещё больше ограничить потенциально ненадёжное ПО.
Используйте тесты test-kernel-security.py.
Итог
После прочитанного, видно, что в Canonical к безопасности Ubuntu относятся серьёзно . Два проекта, AppArmor и Yama, уже давно связаны с Ubuntu и помогают усилить защиту. Ubuntu по умолчанию не открывает лишние порты-двери в сети и не ждёт подключений-приключений на свою голову. Для ключевых программ, работающих с сетью, созданы профили AppArmor, которые держат программы в узде.
Ваш компьютер будет в безопасности с Ubuntu!
Никто из нас не хочет, чтобы личная информация попала в чужие руки. Но как защитить систему от атак и хищений данных? Неужели придется читать километровые мануалы по настройке и алгоритмам шифрования? Совсем не обязательно. В этой статье я расскажу, как сделать Linux-систему безопасной буквально за 30 минут.
Введение
Мы живем в век мобильных устройств и постоянного онлайна. Мы ходим в кафе с ноутбуком и запускаем на домашних машинах веб-серверы, выставленные в интернет. Мы регистрируемся на сотнях сайтов и используем одинаковые пароли для веб-сервисов. В наших карманах всегда лежит смартфон, в который забиты десятки паролей, и хранятся ключи от нескольких SSH-серверов. Мы настолько привыкли к тому, что сторонние сервисы заботятся о нашей конфиденциальности, что уже перестали уделять ей внимание.
Когда я потерял смартфон, мне сильно повезло, что установленный на него антивор оказался работоспособным и позволил удаленно стереть все данные из памяти девайса. Когда я по невнимательности открыл SSH-порт на домашней машине с юзером без пароля (!) во внешний мир (!!), мне сильно повезло, что на машину пробрались скрипт-кидди, которые кроме смешной истории шелла не оставили никаких серьезных следов своего пребывания в системе. Когда я случайно опубликовал в интернете листинг со своим паролем от Gmail, мне сильно повезло, что нашелся добрый человек, который предупредил меня об этом.
Может быть, я и раздолбай, но я твердо уверен, что подобные казусы случались со многими, кто читает эти строки. И хорошо, если эти люди, в отличие от меня, серьезно позаботились о защите своей машины. Ведь антивор мог бы и не сработать, и вместо скрипт-кидди в машину могли пробраться серьезные люди, и потерять я мог не смартфон, а ноутбук, на котором кроме пароля пользователя не было никакой другой защиты. Нет, полагаться на одну двухфакторную аутентификацию Google и дурацкие пароли в наш век определенно не стоит, нужно что-то более серьезное.
Эта статья - гайд параноидального юниксоида, посвященный тотальной защите Linux-машины от всего и вся. Я не решусь сказать, что все описанное здесь обязательно к применению. Совсем наоборот, это сборник рецептов, информацию из которого можно использовать для защиты себя и данных на тех рубежах, где это нужно именно в твоей конкретной ситуации.
Пароль!
Все начинается с паролей. Они везде: в окне логина в Linux-дистрибутиве, в формах регистрации на интернет-сайтах, на FTP- и SSH-серверах и на экране блокировки смартфона. Стандарт для паролей сегодня - это 8–12 символов в разном регистре с включением цифр. Генерировать такие пароли своим собственным умом довольно утомительно, но есть простой способ сделать это автоматически:
$ openssl rand -base64 6
Никаких внешних приложений, никаких расширений для веб-браузеров, OpenSSL есть на любой машине. Хотя, если кому-то будет удобней, он может установить и использовать для этих целей pwgen (поговаривают, пароль получится более стойким):
$ pwgen -Bs 8 1
Где хранить пароли? Сегодня у каждого юзера их так много, что хранить все в голове просто невозможно. Довериться системе автосохранения браузера? Можно, но кто знает, как Google или Mozilla будет к ним относиться. Сноуден рассказывал, что не очень хорошо. Поэтому пароли надо хранить на самой машине в зашифрованном контейнере. Отцы-основатели рекомендуют использовать для этого KeePassX. Штука графическая, что не сильно нравится самим отцам-основателям, но зато работает везде, включая известный гугль-зонд Android (KeePassDroid). Останется лишь перекинуть базу с паролями куда надо.
Шифруемся
Шифрование - как много в этом слове... Сегодня шифрование везде и нигде одновременно. Нас заставляют пользоваться HTTPS-версиями сайтов, а нам все равно. Нам говорят: «Шифруй домашний каталог», а мы говорим: «Потом настрою». Нам говорят: «Любимое занятие сотрудников Dropbox - это ржать над личными фотками юзеров», а мы: «Пусть ржут». Между тем шифрование - это единственное абсолютное средство защиты на сегодняшний день. А еще оно очень доступно и сглаживает морщины.
В Linux можно найти тонны средств шифрования всего и вся, от разделов на жестком диске до одиночных файлов. Три наиболее известных и проверенных временем инструмента - это dm-crypt/LUKS, ecryptfs и encfs. Первый шифрует целые диски и разделы, второй и третий - каталоги с важной информацией, каждый файл в отдельности, что очень удобно, если потребуется делать инкрементальные бэкапы или использовать в связке с Dropbox. Также есть несколько менее известных инструментов, включая TrueCrypt например.
Сразу оговорюсь, что шифровать весь диск целиком - задача сложная и, что самое важное, бесполезная. Ничего особо конфиденциального в корневом каталоге нет и быть не может, а вот домашний каталог и своп просто кладезь инфы. Причем второй даже больше, чем первый, так как туда могут попасть данные и пароли уже в расшифрованном виде (нормальные программеры запрещают системе скидывать такие данные в своп, но таких меньшинство). Настроить шифрование и того и другого очень просто, достаточно установить инструменты ecrypts:
$ sudo apt-get install ecryptfs-utils
И, собственно, включить шифрование:
$ sudo ecryptfs-setup-swap $ ecryptfs-setup-private
Далее достаточно ввести свой пароль, используемый для логина, и перезайти в систему. Да, все действительно так просто. Первая команда зашифрует и перемонтирует своп, изменив нужные строки в /etc/fstab. Вторая - создаст каталоги ~/.Private и ~/Private, в которых будут храниться зашифрованные и расшифрованные файлы соответственно. При входе в систему будет срабатывать PAM-модуль pam_ecryptfs.so, который смонтирует первый каталог на второй с прозрачным шифрованием данных. После размонтирования ~/Private окажется пуст, а ~/.Private будет содержать все файлы в зашифрованном виде.
Не возбраняется шифровать и весь домашний каталог целиком. Производительность при этом упадет не сильно, зато под защитой окажутся вообще все файлы, включая тот же сетевой каталог ~/Dropbox. Делается это так:
# ecryptfs-migrate-home -u vasya
Кстати, места на диске должно быть в 2,5 раза больше, чем данных у vasya, так что рекомендую заранее почиститься. После завершения операции следует сразу войти под юзером vasya и проверить работоспособность:
$ mount | grep Private /home/vasya/.Private on /home/vasya type ecryptfs ...
Если все ок, незашифрованную копию данных можно затереть:
$ sudo rm -r /home/vasya.*
Заметаем следы
ОK, пароли в надежном месте, личные файлы тоже, что теперь? А теперь мы должны позаботиться о том, чтобы какие-то куски наших личных данных не попали в чужие руки. Ни для кого не секрет, что при удалении файла его актуальное содержимое остается на носителе даже в том случае, если после этого произвести форматирование. Наши зашифрованные данные будут в сохранности даже после стирания, но как быть с флешками и прочими картами памяти? Здесь нам пригодится утилита srm, которая не просто удаляет файл, но и заполняет оставшиеся после него блоки данных мусором:
$ sudo apt-get install secure-delete $ srm секретный-файл.txt home-video.mpg
# dd if=/dev/zero of=/dev/sdb
Эта команда сотрет все данные на флешке sdb. Далее останется создать таблицу разделов (с одним разделом) и отформатировать в нужную ФС. Использовать для этого рекомендуется fdisk и mkfs.vfat, но можно обойтись и графическим gparted.
Предотвращение BruteForce-атак
Fail2ban - демон, который просматривает логи на предмет попыток подобрать пароли к сетевым сервисам. Если такие попытки найдены, то подозрительный IP-адрес блокируется средствами iptables или TCP Wrappers. Сервис способен оповещать владельца хоста об инциденте по email и сбрасывать блокировку через заданное время. Изначально Fail2ban разрабатывался для защиты SSH, сегодня предлагаются готовые примеры для Apache, lighttpd, Postfix, exim, Cyrus IMAP, named и так далее. Причем один процесс Fail2ban может защищать сразу несколько сервисов.
В Ubuntu/Debian для установки набираем:
# apt-get install fail2ban
Конфиги находятся в каталоге /etc/fail2ban. После изменения конфигурации следует перезапускать fail2ban командой:
# /etc/init.d/fail2ban restart
Угроза извне
Теперь позаботимся об угрозах, исходящих из недр всемирной паутины. Здесь я должен был бы начать рассказ об iptables и pf, запущенном на выделенной машине под управлением OpenBSD, но все это излишне, когда есть ipkungfu. Что это такое? Это скрипт, который произведет за нас всю грязную работу по конфигурированию брандмауэра, без необходимости составлять километровые списки правил. Устанавливаем:
$ sudo apt-get install ipkungfu
Правим конфиг:
$ sudo vi /etc/ipkungfu/ipkungfu.conf # Локальная сеть, если есть - пишем адрес сети вместе с маской, нет - пишем loopback-адрес LOCAL_NET="127.0.0.1" # Наша машина не является шлюзом GATEWAY=0 # Закрываем нужные порты FORBIDDEN_PORTS="135 137 139" # Блокируем пинги, 90% киддисов отвалится на этом этапе BLOCK_PINGS=1 # Дропаем подозрительные пакеты (разного рода флуд) SUSPECT="DROP" # Дропаем «неправильные» пакеты (некоторые типы DoS) KNOWN_BAD="DROP" # Сканирование портов? В трэш! PORT_SCAN="DROP"
Для включения ipkungfu открываем файл /etc/default/ipkungfu и меняем строку IPKFSTART = 0 на IPKFSTART = 1. Запускаем:
$ sudo ipkungfu
Дополнительно внесем правки в /etc/sysctl.conf:
$ sudo vi /etc/systcl.conf # Дропаем ICMP-редиректы (против атак типа MITM) net.ipv4.conf.all.accept_redirects=0 net.ipv6.conf.all.accept_redirects=0 # Включаем механизм TCP syncookies net.ipv4.tcp_syncookies=1 # Различные твики (защита от спуфинга, увеличение очереди «полуоткрытых» TCP-соединений и так далее) net.ipv4.tcp_timestamps=0 net.ipv4.conf.all.rp_filter=1 net.ipv4.tcp_max_syn_backlog=1280 kernel.core_uses_pid=1
Активируем изменения:
$ sudo sysctl -p
Выявляем вторжения
Snort - один из любимейших инструментов админов и главный фигурант всех руководств по безопасности. Штука с долгой историей и колоссальными возможностями, которой посвящены целые книги. Что он делает в нашем гайде по быстрой настройке безопасной системы? А здесь ему самое место, Snort можно и не конфигурировать:
$ sudo apt-get install snort $ snort -D
Все! Я не шучу, стандартных настроек Snort более чем достаточно для защиты типовых сетевых сервисов, если, конечно, они у тебя есть. Нужно только время от времени просматривать лог. А в нем можно обнаружить строки типа этих:
[**] MS-SQL probe response overflow attempt [**] http://www.securityfocus.com/bid/9407]
Упс. Кто-то пытался вызвать переполнение буфера в MySQL. Тут сразу есть и ссылочка на страницу с детальным описанием проблемы. Красота.
Кто-то наследил…
Кто-то особенно умный смог обойти наш брандмауэр, пройти мимо Snort, получить права root в системе и теперь ходит в систему регулярно, используя установленный бэкдор. Нехорошо, бэкдор надо найти, удалить, а систему обновить. Для поиска руткитов и бэкдоров используем rkhunter:
$ sudo apt-get install rkhunter
Запускаем:
$ sudo rkhunter -c --sk
Софтина проверит всю систему на наличие руткитов и выведет на экран результаты. Если зловред все-таки найдется, rkhunter укажет на место и его можно будет затереть. Более детальный лог располагается здесь: /var/log/rkhunter.log. Запускать rkhunter лучше в качестве cron-задания ежедневно:
$ sudo vi /etc/cron.daily/rkhunter.sh #!/bin/bash /usr/bin/rkhunter -c --cronjob 2>&1 | mail -s "RKhunter Scan Results" [email protected]
Заменяем email-адрес Васи на свой и делаем скрипт исполняемым:
$ sudo chmod +x /etc/cron.daily/rkhunter.sh
$ sudo rkhunter --update
Ее, кстати, можно добавить перед командой проверки в cron-сценарий. Еще два инструмента поиска руткитов:
$ sudo apt-get install tiger $ sudo tiger $ sudo apt-get install lynis $ sudo lynis -c
По сути, те же яйца Фаберже с высоты птичьего полета, но базы у них различные. Возможно, с их помощью удастся выявить то, что пропустил rkhunter. Ну и на закуску debsums - инструмент для сверки контрольных сумм файлов, установленных пакетов с эталоном. Ставим:
$ sudo apt-get install debsums
Запускаем проверку:
$ sudo debsums -ac
Как всегда? запуск можно добавить в задания cron.
За пределами
Теперь поговорим о том, как сохранить свою анонимность в Сети и получить доступ к сайтам и страницам, заблокированным по требованию различных организаций-правообладателей и прочих Мизулиных. Самый простой способ сделать это - воспользоваться одним из тысяч прокси-серверов по всему миру. Многие из них бесплатны, но зачастую обрезают канал до скорости древнего аналогового модема.
Чтобы спокойно ходить по сайтам и только в случае необходимости включать прокси, можно воспользоваться одним из множества расширений для Chrome и Firefox, которые легко находятся в каталоге по запросу proxy switcher. Устанавливаем, вбиваем список нужных прокси и переключаемся на нужный, увидев вместо страницы табличку «Доступ к странице ограничен по требованию господина Скумбриевича».
В тех ситуациях, когда под фильтр попал весь сайт и его адрес внесли в черный список на стороне DNS-серверов провайдеров, можно воспользоваться свободными DNS-серверами, адреса которых опубликованы . Просто берем два любых понравившихся адреса и добавляем в /etc/resolv.conf:
Nameserver 156.154.70.22 nameserver 156.154.71.22
Чтобы разного рода DHCP-клиенты и NetworkManager’ы не перезаписали файл адресами, полученными от провайдера или роутера, делаем файл неперезаписываемым с помощью расширенных атрибутов:
$ sudo chattr +i /etc/resolv.conf
После этого файл станет защищен от записи для всех, включая root.
Чтобы еще более анонимизировать свое пребывание в Сети, можно воспользоваться также демоном dnscrypt, который будет шифровать все запросы к DNS-серверу в дополнение к прокси-серверу, используемому для соединения с самим сайтом. Устанавливаем:
$ wget http://download.dnscrypt.org/dnscrypt-proxy/dnscrypt-proxy-1.3.2.tar.bz2 $ bunzip2 -cd dnscrypt-proxy-*.tar.bz2 | tar xvf - $ cd dnscrypt-proxy-* $ sudo apt-get install build-essential $ ./configure && make -j2 $ sudo make install
Указываем в /etc/resolv.conf loopback-адрес:
$ vi /etc/resolv.conf nameserver 127.0.0.1
Запускаем демон:
$ sudo dnscrypt-proxy --daemonize
Кстати, версии dnscrypt есть для Windows, iOS и Android.
Луковая маршрутизация
Что такое луковая маршрутизация? Это Tor. А Tor, в свою очередь, - это система, которая позволяет создать полностью анонимную сеть с выходом в интернет. Термин «луковый» здесь применен относительно модели работы, при которой любой сетевой пакет будет «обернут» в три слоя шифрования и пройдет на пути к адресату через три ноды, каждая из которых будет снимать свой слой и передавать результат дальше. Все, конечно, сложнее, но для нас важно только то, что это один из немногих типов организации сети, который позволяет сохранить полную анонимность.
Тем не менее, где есть анонимность, там есть и проблемы соединения. И у Tor их как минимум три: он чудовищно медленный (спасибо шифрованию и передаче через цепочку нод), он будет создавать нагрузку на твою сеть (потому что ты сам будешь одной из нод), и он уязвим для перехвата трафика. Последнее - естественное следствие возможности выхода в интернет из Tor-сети: последняя нода (выходная) будет снимать последний слой шифрования и может получить доступ к данным.
Тем не менее Tor очень легко установить и использовать:
$ sudo apt-get install tor
Все, теперь на локальной машине будет прокси-сервер, ведущий в сеть Tor. Адрес: 127.0.0.1:9050, вбить в браузер можно с помощью все того же расширения, ну или добавить через настройки. Имей в виду, что это SOCKS, а не HTTP-прокси.
INFO
Версия Tor для Android называется Orbot.Чтобы введенный в командной строке пароль не был сохранен в истории, можно использовать хитрый трюк под названием «добавь в начале команды пробел».
Именно ecryptfs используется для шифрования домашнего каталога в Ubuntu.
Борьба с флудом
Приведу несколько команд, которые могут помочь при флуде твоего хоста.
Подсчет количества коннектов на определенный порт:
$ netstat -na | grep ":порт\ " | wc -l
Подсчет числа «полуоткрытых» TCP-соединений:
$ netstat -na | grep ":порт\ " | grep SYN_RCVD | wc -l
Просмотр списка IP-адресов, с которых идут запросы на подключение:
$ netstat -na | grep ":порт\ " | sort | uniq -c | sort -nr | less
Анализ подозрительных пакетов с помощью tcpdump:
# tcpdump -n -i eth0 -s 0 -w output.txt dst port порт and host IP-сервера
Дропаем подключения атакующего:
# iptables -A INPUT -s IP-атакующего -p tcp --destination-port порт -j DROP
Ограничиваем максимальное число «полуоткрытых» соединений с одного IP к конкретному порту:
# iptables -I INPUT -p tcp --syn --dport порт -m iplimit --iplimit-above 10 -j DROP
Отключаем ответы на запросы ICMP ECHO:
# iptables -A INPUT -p icmp -j DROP --icmp-type 8
Выводы
Вот и все. Не вдаваясь в детали и без необходимости изучения мануалов мы создали Linux-box, который защищен от вторжения извне, от руткитов и прочей заразы, от непосредственно вмешательства человека, от перехвата трафика и слежки. Остается лишь регулярно обновлять систему, запретить парольный вход по SSH, убрать лишние сервисы и не допускать ошибок конфигурирования.
Найдется не один "туз в рукаве", чтобы посягнуть на дорогие вам биты и байты - от фото на документы до данных кредитных карточек.
Наиболее подвержены риску атаки компьютеры, подключенные к интернету, хотя машины без выхода во внешний мир уязвимы не меньше. Призадумайтесь: что может случиться с вашим старым ноутбуком или жестким диском , которые вы выбросили? Вооружившись современными инструментами восстановления данных (многие из которых доступны для бесплатного скачивания), хакер легко восстановит информацию с вашего диска, невзирая на ОС, в которой вы работали. Если жесткий диск содержит данные (неважно, поврежденные или нет), эти данные могут быть восстановлены, банковские счета воссозданы; записанные разговоры в чатах можно реконструировать, а изображения - реставрировать.
Но не пугайтесь. Не стоит бросать пользоваться компьютером . Хотя сделать машину, подключенную к Internet, неуязвимой для атак, практически невозможно, вы можете серьезно осложнить задачу атакующему и гарантировать, что он не извлечет ничего полезного из скомпрометированной системы. Особенно греет душу то, что с помощью Linux и некоторых программ на основе защитить вашу установленную копию Linux будет совсем не сложно.
"Золотого правила" безопасности, подходящего в каждом конкретном случае, не существует (а будь на свете такое правило, его уже давно взломали бы). Над безопасностью нужно работать индивидуально. Следуя приведенным в этой статье советам и пользуясь описанными здесь инструментами, вы научитесь адаптировать их под свой дистрибутив Linux .
Защитить ваш компьютер под управлением ОС Linux помогут следующие простые рекомендации.
Обновление операционной системы
Кроме обновлений, дистрибутивы обычно имеют список рассылки по вопросам безопасности - для рассылки анонсов обнаруженных уязвимостей, а также и пакетов для исправления этих уязвимостей. Как правило, хорошей идеей будет отслеживать список рассылки вашего дистрибутива, касающийся безопасности, а также регулярно выискивать обновления безопасности к наиболее критичным для вас пакетам. Между моментом объявления об обнаружении уязвимости и закачкой пакета обновления в репозиторий обычно имеется временной зазор; списки рассылки подскажут, как скачать и установить обновления вручную.
Блокировка неиспользуемых сервисов
Не обновляйтесь каждые полгода
У большинства настольных дистрибутивов Linux новые релизы выходят раз в полгода, но это совсем не значит, что вы обязаны устанавливать последний релиз только потому, что он уже вышел. Ubuntu отмечает некоторые релизы как LTS (Long Term Support) - релизы с долговременной поддержкой: для настольной системы - три года, а для серверной - пять лет. Это намного дольше, чем 18 месяцев стандартного релиза Ubuntu.
LTS-релизы хотя и не особенный авангард, но с позиций безопасности защищены куда лучше стандартных. Их пакеты гораздо стабильнее и тщательнее протестированы, по сравнению с пакетами более новых версий, не снабженных долгосрочной поддержкой. Если вашей целью является создание именно максимально защищенной системы, остановите свой выбор на одном из стабильных релизов с долгосрочной поддержкой, не поддаваясь искушению сразу же выполнить обновление при появлении новейшей версии.
Не самая передовая, но должным образом поддерживаемая система более стабильна и надежнее защищена, чем новейший релиз.
Александр БОБРОВ