The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS



Версия для распечатки Пред. тема | След. тема
Новые ответы [ Отслеживать ]
Что нужно настроить в Ubuntu для безопасности после установки?, !*! Виктор78, 25-Мрт-21, 20:36  [смотреть все]
Здравствуйте.

Поставил на компьютер Lubuntu 18.04. К интернету подключается через PPPoE (роутера у меня нет, т.к. единственный компьютер + на телефоне интернетом практически не пользуюсь, потому не нужен).

Вопрос. Что нужно настроить для безопасности после установки (и нужно ли)? Никаких фтп и прочих серверов не устанавливал. Использую в основном офисные приложения, браузер, почтовый клиент, аудио и видео плееры.

Ответить | Сообщить модератору
  • Что нужно настроить в Ubuntu для безопасности после установки?, !*! And, 22:26 , 25-Мрт-21 (1) +1
    Если быть очень кратким:

    Настроить автообновление. Уязвимость может быть в любой части, связана как-то с обработкой/парсингом материалов из сети. Поэтому обновление всех компонент.

    Работать под учёткой, у которой нет sudo.

    Вероятно, выключить Snap. Деинсталлировать snapd. Связано с возможностью приноса неизвестных зависимостей третьей стороны через Snap. Он так устроен. Спекулятивное утверждение, но этот вектор атаки существует. В 20-й версии придётся уйти на Linux Mint, если жить без Snap.

    Пристально относиться к установкам из сети. Предпочитать репозитории операционной системы. В браузере ограничивать скрипты, использовать adblockers, из числа доверенных.

    Настроить: sudo ufw enable

    В случае установки серверных сервисов читать про защиту каждого сервиса. Т.к. роутера нет, то фаервол отсутствует, а комьютер подключён прямо в интернет.

    Посмотреть


    sudo netstat -antpu | grep LISTEN

    Проанализировать. Ненужное выкинуть. Нужное защитить.
    Ответить | Сообщить модератору
    • Что нужно настроить в Ubuntu для безопасности после установки?, !*! Аноним, 09:37 , 28-Мрт-21 (6)
      $ sudo netstat -antpu | grep LISTEN

      tcp        0      0 127.0.0.53:53           0.0.0.0:*               LISTEN      995/systemd-resolve 
      tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      1021/cupsd          
      tcp6       0      0 ::1:631                 :::*                    LISTEN      1021/cupsd

      Была тут новость про уязвимость в transmission с поочерёдной отдачей двух IP‑адресов: на первый запрос отдаётся реальный IP‑адрес сервера со страницей, а затем возвращается 127.0.0.1. Получается systemd‑resolve и cupsd тоже могут быть подвержены этой уязвимости, ну, и вообще всё, что принимает соединения, пусть даже только с локальных адресов?
      Ответить | Сообщить модератору
    • Что нужно настроить в Ubuntu для безопасности после установки?, !*! Аноним, 10:53 , 28-Мрт-21 (8)
      > Работать под учёткой, у которой нет sudo.

      а когда требуются права суперпользователя использовать su или переключаться, например, по Ctrl+Alt+F2 и заходить под рутом?

      Ответить | Сообщить модератору
    • Что нужно настроить в Ubuntu для безопасности после установки?, !*! Аноним, 13:50 , 29-Мрт-21 (10)
      Почему в советах нет:

      1. Шифрование всего если есть дуалбут.
      2. Настройки сетевого экрана.
      3. Настройки Integrity для системы, хотя бы по запросу: AIDE, Tripwire, ...
      4. Настройки антивирусника: обновление баз; сканирование при доступе /home, /tmp, /var/tmp; желательно расшифровывать и сканировать весь входящий трафик с интернетом.

      Ответить | Сообщить модератору
    • Что нужно настроить в Ubuntu для безопасности после установки?, !*! Аноним, 22:58 , 01-Апр-21 (16)
      > Работать под учёткой, у которой нет sudo.

      Поясните для чайника чем опасно работать под учеткой с sudo? ведь чтобы совершить действие надо все-равно ввести пароль. в чем разница между этим и тем чтобы перейти в другую учетку и там ввести пароль? Неужели админы, у которых основная работа связана с настройкой компов/серверов работают под учеткой без sudo?


      Ответить | Сообщить модератору
      • Что нужно настроить в Ubuntu для безопасности после установки?, !*! And, 13:42 , 02-Апр-21 (18)
        > Поясните для чайника чем опасно работать под учеткой с sudo? ведь чтобы
        > совершить действие надо все-равно ввести пароль. в чем разница между этим
        > и тем чтобы перейти в другую учетку и там ввести пароль?

        Посмотрите про ключ -K у sudo.
        sudo помнит кеширует данное разрешение на некоторое время.

        Можно сделать в скрипте sudo /bin/true первый раз и затем некоторое время любое sudo не попросит пароля. Дальше вопрос того что делают на этой машине или чего не делают. Например, запущенная сборка какого-либо пакета от имени рута может навести порядок в системе так, как не хотелось бы.

        Могут быть нюансы работы под камерами, нюансы ввода паролей "не туда". Нюансы поведения.

        В соседнем постинге верно указали - сначала надо определять от чего защищаться. А так если, без конкретики, то общие неконкретные рекомендации.

        > Неужели админы, у которых основная работа связана с настройкой компов/серверов работают
        > под учеткой без sudo?

        Смотря какие и на каких рабочих станциях. Шуточное прозвище "админ локалхоста" в том, что рабочих станций (компьютеров) может быть несколько, у каждой разное назначений. Зависит от работы и окружения. Разгильдяев тоже много, спасает принцип Неуловимого Джо - кому он нужен.

        Для домашних применений можно освоить Vagrant (или попророще VirtualBox) и браузер в докере от имени ограниченной учётки. Это позволяет избегать запуска напрямую, изолировать какие-то одноразовые эксперименты или ненужный софт/сайты. Запускать пинесённое снаружи внутри изоляции.

        Ответить | Сообщить модератору
        • Что нужно настроить в Ubuntu для безопасности после установки?, !*! Аноним, 16:02 , 02-Апр-21 (19)
          > Можно сделать в скрипте sudo /bin/true первый раз и затем некоторое время любое sudo не попросит пароля.

          здесь надо сделать оговорку, что любое sudo в контексте того терминала (и даже конкретной вкладки терминала), в котором был запущен этот скрипт, но в чём проблема-то? В том, что я могу, например, выполнить "sudo apt-get update" и тут же в этом же терминале случайно или намеренно запустить некий скрипт или программу, которые смогут выполнить что-нибудь с повышенными привилегиями?

          Ответить | Сообщить модератору
          • Что нужно настроить в Ubuntu для безопасности после установки?, !*! And, 18:01 , 02-Апр-21 (20)
            Да, например. После правки какой-то системной информации, переключиться на другое и запустить совсем др. вещь, но в контексте с sudo доступным без пароля. Изредка встречаются нестандартные, непрофессиональные подходы в скриптах. Редко бывает, но это возможный вектор. Трудно предсказать мысли, реализованные в пакетах из Pip от модностриженного слишком молодого питониста-бигдатиста с свежевыжатым соком. А там бывает и компиляция кода - т.е. что угодно может оказаться.
            Ответить | Сообщить модератору
    • Что нужно настроить в Ubuntu для безопасности после установки?, !*! Аноним, 10:37 , 02-Апр-21 (17)
      в выводе "sudo ss -tunap" постоянно присутствует эта запись:

      Netid   State     Recv-Q     Send-Q           Local Address:Port            Peer Address:Port
      udp     UNCONN    0          0                      0.0.0.0:68                   0.0.0.0:*        users:(("dhclient",pid=8365,fd=6))

      требуются ли ограничения в фаерволе для dhclient (клиент используется)?
      Ответить | Сообщить модератору
  • Что нужно настроить в Ubuntu для безопасности после установки?, !*! Сейд, 22:29 , 25-Мрт-21 (2)
    Нужно держать свою систему постоянно обновлённой и в самом актуальном состоянии (Lubuntu 20.10).
    Ответить | Сообщить модератору
  • Что нужно настроить в Ubuntu для безопасности после установки?, !*! Аноним, 15:47 , 26-Мрт-21 (3)
    Без формулирования модели угроз слово "безопасность" не имеет смысла.
    Ответить | Сообщить модератору
  • Что нужно настроить в Ubuntu для безопасности после установки?, !*! Аноним, 10:40 , 28-Мрт-21 (7)
    поменять права доступа к домашним каталогам на 750 или даже 700, с Ubuntu 21.04 для новых каталогов будет выставляться 750 (https://opennet.ru/54401-ubuntu )
    Ответить | Сообщить модератору
  • Что нужно настроить в Ubuntu для безопасности после установки?, !*! Аноним, 18:49 , 26-Июн-21 (24)
    Есть вот такой ответ - https://www.cisecurity.org/cis-benchmarks/
    Но умоешься пОтом. :)

    Совет - если делать, то россыпью скриптов. Один скрипт на один пункт документа, по папочкам разложить по главам. Учесть, что пока все скрипты пробегут в системе, другие механизмы могут начать дёргать настраиваемую функциональность.

    Применять Дебиан рекомендацию скриптования: использовать в заголовке скрипта 'set -xe'

    Без авто-тестов проделанная работа не имеет очень большого смысла. Документ меняется, работа устаревает со временем, без тестов поддерживать нереально.

    Прикинуть применимость idempotent - скрипты не должны второй раз настраивать уже настроенное. Это сложно. Не всегда уместно. Поднимет выше уровень скриптов. Но тесты важнее.

    Можно для последователей закоммитить в публичный Гит.

    Ответить | Сообщить модератору

Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру