Безопасность в Linux - понятие относительное - 12 Декабря 2013

Вы работаете в Linux только потому, что думаете, что эта ОС защищена лучше, чем Windows? Задумайтесь серьезнее. Да, безопасность - действительно встроенная функция системы, охватывающая область от ядра Linux и до рабочего стола, но она все же оставляет шанс тем, кто захочет нагадить в вашей папке /home.

Linux, может, и невосприимчива к вирусам и червям, написанным для Windows, но они - это лишь небольшая часть проблемы. У злоумышленников найдется не один "туз в рукаве", чтобы посягнуть на дорогие вам биты и байты - от фото на документы до данных кредитных карточек.

Наиболее подвержены риску атаки компьютеры, подключенные к интернету, хотя машины без выхода во внешний мир уязвимы не меньше. Призадумайтесь: что может случиться с вашим старым ноутбуком или жестким диском, которые вы выбросили? Вооружившись современными инструментами восстановления данных (многие из которых доступны для бесплатного скачивания), хакер легко восстановит информацию с вашего диска, невзирая на ОС, в которой вы работали. Если жесткий диск содержит данные (неважно, поврежденные или нет), эти данные могут быть восстановлены, банковские счета воссозданы; записанные разговоры в чатах можно реконструировать, а изображения - реставрировать.

Но не пугайтесь. Не стоит бросать пользоваться компьютером. Хотя сделать машину, подключенную к Internet, неуязвимой для атак, практически невозможно, вы можете серьезно осложнить задачу атакующему и гарантировать, что он не извлечет ничего полезного из скомпрометированной системы. Особенно греет душу то, что с помощью Linux и некоторых программ на основе Open Source защитить вашу установленную копию Linux будет совсем не сложно.

"Золотого правила" безопасности, подходящего в каждом конкретном случае, не существует (а будь на свете такое правило, его уже давно взломали бы). Над безопасностью нужно работать индивидуально. Следуя приведенным в этой статье советам и пользуясь описанными здесь инструментами, вы научитесь адаптировать их под свой дистрибутив Linux.

Защитить ваш компьютер под управлением ОС Linux помогут следующие простые рекомендации.

Обновление операционной системы

Все главные дистрибутивы Linux (такие как Debian, Ubuntu, Fedora) имеют команды специалистов по безопасности, которые работают в связке с командами по поддержке пакетов, максимально защищая пользователей от уязвимостей в системе безопасности. Совместно они работают, чтобы гарантировать своевременное обнаружение уязвимостей и оперативно выпускать "заплатки", немедленно закрывающие обнаруженные "дыры".

Ваш дистрибутив обязательно имеет репозиторий, целиком отведенный под обновления системы безопасности. Вам нужно только позаботиться об активации этого репозитория (высока вероятность, что это уже сделано по умолчанию) и решить - устанавливать обновления автоматически или вручную.

Например, в Ubuntu для этого необходимо выбрать из меню System Administration > Software Sources. Здесь на вкладке Updates укажите, насколько часто ваш дистрибутив должен проверять репозиторий безопасности на предмет наличия новых обновлений и устанавливать ли системе обновления автоматически или запрашивать у вас подтверждения перед их установкой. Последний вариант лучше, потому что позволяет просмотреть обновления перед началом их установки. Однако скорее всего с этими обновлениями будет все в порядке, и вы сэкономите себе немного времени, выбрав опцию автоматической установки обновлений.

Кроме обновлений, дистрибутивы обычно имеют список рассылки по вопросам безопасности - для рассылки анонсов обнаруженных уязвимостей, а также и пакетов для исправления этих уязвимостей. Как правило, хорошей идеей будет отслеживать список рассылки вашего дистрибутива, касающийся безопасности, а также регулярно выискивать обновления безопасности к наиболее критичным для вас пакетам. Между моментом объявления об обнаружении уязвимости и закачкой пакета обновления в репозиторий обычно имеется временной зазор; списки рассылки подскажут, как скачать и установить обновления вручную.

Блокировка неиспользуемых сервисов

Настольные дистрибутивы Linux запускают ряд сервисов, способных пригодиться максимальному количеству пользователей. Но ведь не всем они нужны. Зачем вам Samba для обеспечения общего доступа к файлам на вашем защищенном сервере через сеть? Или сервис Bluetooth для подключения к устройствам Bluetooth, если на вашем компьютере нет такого адаптера?

Дистрибутивы Linux позволяют производить индивидуальную настройку сервисов под себя. Для того что бы произвести такую настройку, к примеру в Ubuntu, необходимо выберать в меню System > Preferences > Startup Applications и сбросить флажки рядом с сервисами, которые вы желаете блокировать.

При отключении сервисов будьте осторожны. Некоторые приложения могут перестать работать, если вы блокируете сервис, от которого этот сервис зависит. Также, уменьшив количество приложений, запускаемых при загрузке, вы заодно уменьшите время загрузки.

Ограничение доступа от имени администратора

Многие дистрибутивы в нынешнее время не позволяют регистрироваться от имени администратора (root) при загрузке, что, на мой взгляд, является правильным. Если нужно выполнить задачу, требующую привилегий суперпользователя, вам будет предложено ввести пароль. Эта мера гарантирует изоляцию административных задач от пользователя.

Ограничить привилегии пользователя можно в меню System > Administration > Users and Groups. Здесь имеется широкая классификация типов учетной записи - от обычного пользователя до сисадмина, и можно индивидуально настроить привилегии пользователя вручную. По умолчанию, учетные записи новых пользователей создаются с набором привилегий 'Desktop user'. Таким пользователям нельзя устанавливать программное обеспечение или менять настройки, влияющие на рабочие среды других пользователей. При работе из командной строки для переключения обычных пользователей на учетную запись администратора используются команды su (Fedora и другие подобные дистрибутивы), и sudo (в Debian и Ubuntu).

Автоматическое монтирование устройств - решение не совсем верное

Если вы реально озабочены безопасностью, займитесь индивидуальной настройкой параметров в окне Users And Groups. Одна из областей, достойных вашего внимания - автоматическое монтирование устройств. Большинство дистрибутивов сами монтируют USB-устройства и CD-приводы, как только вы подключите USB-накопитель или вставляете CD-диск в привод. Это, несомненно, удобно, но позволяет любому злоумышленнику просто подойти к вашему компьютеру, подключить USB-устройство и скопировать все ваши данные.

Для того чтобы этого не случилось, необходимо в системных настройках "Пользователи и Группы" перейти на вкладку "Привилегии пользователя" и сбросить флажки в опциях "Автоматический доступ внешних устройств хранения данных", "Монтировать файловые системы в пользовательском пространстве" и "Использование CD-ROM дисков". Без них пользователям предложат ввести пароль, а уж потом они получат доступ к устройствам.

Также вы можете блокировать общий доступ к файлам через сеть, требовать ввода пароля, прежде чем подключаться к Ethernet или беспроводным устройствам. Блокирование доступа к настройке принтеров предотвратит распечатку важных данных.

Не рвитесь на передний край

Пакеты в составе настольного дистрибутива Linux обновляются регулярно. Помимо официальных репозиториев, существуют индивидуальные репозитории для программного обеспечения от сторонних поставщиков. Хотя разработчики, прежде чем закачивать пакеты в репозитории, и выполняют проверку на наличие уязвимостей, практически неизбежно проникновение туда пакетов обновлений с дефектами.

Хотя слежение за новинками само по себе неплохо, но с точки зрения безопасности не все обновления хороши для системы. Некоторые могут конфликтовать с уже установленными пакетами или притягивать новые зависимости, способные сделать систему более подверженной атакам.

Поэтому обновляйте пакеты только при крайней необходимости. Просканируйте поступившие обновления и выберите те, что для вас критичны. Большинство менеджеров пакетов позволяют проверять обновления и просматривать их журнал с краткими описаниями правок. Изменения интерфейса пользователя можно смело игнорировать или отложить до тех пор, пока пакет не будет тщательно проверен. Но - внимательно ищите и устанавливайте обновления, устраняющие ошибки в используемых вами пакетах.

Для приложений, доступных во множестве версий, поищите обновление безопасности.

Не обновляйтесь каждые полгода

У большинства настольных дистрибутивов Linux новые релизы выходят раз в полгода, но это совсем не значит, что вы обязаны устанавливать последний релиз только потому, что он уже вышел. Ubuntu отмечает некоторые релизы как LTS (Long Term Support) - релизы с долговременной поддержкой: для настольной системы - три года, а для серверной - пять лет. Это намного дольше, чем 18 месяцев стандартного релиза Ubuntu.

LTS-релизы хотя и не особенный авангард, но с позиций безопасности защищены куда лучше стандартных. Их пакеты гораздо стабильнее и тщательнее протестированы, по сравнению с пакетами более новых версий, не снабженных долгосрочной поддержкой. Если вашей целью является создание именно максимально защищенной системы, остановите свой выбор на одном из стабильных релизов с долгосрочной поддержкой, не поддаваясь искушению сразу же выполнить обновление при появлении новейшей версии.

Не самая передовая, но должным образом поддерживаемая система более стабильна и надежнее защищена, чем новейший релиз.

Александр БОБРОВ

http://www.kv.by/content/328519-bezopasnost-v-linux-ponyatie-otnositelnoe