Голосование

Нужна ли инструкция по безопасности Debian для серверов и локальных машин?

Да нужна
Нет Debian безопасен и так
Готов помочь написать инструкцию
Инструкция не нужна

Автор Тема: Нужна ли инструкция по безопасности для Debian?  (Прочитано 1196 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн dzhoser

Здравствуйте уважаемые форумчане!
Я наблюдаю, что некоторые из Вас сталкиваются с проблемами взлома серверов и локальных машин. Нужна ли инструкция с пояснениями, какие настройки для чего нужны? Можем кстати написать коллективно.
« Последнее редактирование: 09 Февраля 2021, 11:40:09 от dzhoser »
 

Оффлайн Modigar

Re: Нужна ли инструкция по безопасности для Debian?
« Ответ #1 : 09 Февраля 2021, 15:01:14 »
Нужна, но краткая и емкая.
 
Пользователи, которые поблагодарили этот пост: dzhoser

Оффлайн dzhoser

Re: Нужна ли инструкция по безопасности для Debian?
« Ответ #2 : 09 Февраля 2021, 15:08:07 »
Все будет по существу, не факт что кратко, но я постараюсь.

Cообщение объединено [time]10 Февраля 2021, 07:44:01[/time]
До установки ОС

1) Создать отдельные дисковые разделы

/
/boot не менее 600 МБ
/home
/tmp не менее 250МБ, рекомендую 2ГБ
/var/tmp не менее 250МБ, рекомендую 2ГБ
swap раздел для ноутбуков создавать чуть больше объема оперативной памяти, для работы механизма гибернации. На серверах по желанию, с точки зрения безопасности лучше без swap, с точки зрения надёжности и безотказности swap нужен.
Для всех перечисленных дисковых разделов рекомендуется использовать файловую систему ext4.
Разделы
/home
/tmp
/var/tmp
рекомендуется монтировать с опциями: noexec,nodev,nosuid (данные опции прописываются в файле /etc/fstab)

Описание опций:
noexec – не разрешается исполнять бинарные файлы (предотвращается исполнение бинарных файлов, но разрешается исполнять скрипты).
nodev - не разрешается указывать посимвольные и специальные устройства (предотвращается использование файлов устройств, таких как zero, sda и т.д).
nosuid – не разрешается иметь доступ для SUID/SGID (предотвращается изменение битов идентификатора пользователя и идентификатора группы).

Раздел /boot необходимо монтировать в c опцией ro, это защитит от подмены ядра. Соответсвенно для обновления ядра необходимо перемонтировать раздел в rw. Для установки некоторых программ разделы /tmp и /var/tmp необходимо перемонтировать без опций noexec,nosuid
Это необходимо для защиты запуска бинарных файлов откуда они запускаться не должны.
Пример файла fstab


2. Установить "взломостойкий" пароль на BIOS компьютера.

P.S.
"Взломостойкий" пароль это пароль:
Содержащий не менее 8 символов;
Не содержащий в себе никаких осмысленных слов (ни в каких раскладках);
Содержащий в себе буквы в различных регистрах, цифры и спецсимволы.
Это нужно для защиты загрузки от недоверенных дисков. Соответственно пароль в биосе можно сбросить, поэтому не лишним будет опломбировать системник или ноутбук.

3. Отключить в BIOS-е Intel SGX (в связи с обнаруженной уязвимостью в механизме)

4.При наличии опций для процессоров Intel Execute Disable Bit (XD-Bit) и для процессоров AMD No Execute Bit (NX-Bit) включить их.

5.При наличии на серверах "не доверенных" систем контроля и управления типа ILO, RSA, iDRAC, ThinkServer EasyManage, AMT, iMana - их необходимо отключить, и использовать, при необходимости, альтернативные решения типа IP KVM.

6.Для Intel платформ необходимо устранить уязвимости Intel-SA-00086
в Intel Management Engine (если он инегрирован в процессор)

посредством установки обновления микропрограммы Intel Management Engine
(производитель оборудования должен обеспечить данную возможность - это либо обновления BIOS, либо ПО для интеграции обновлений).
Для частичных проверок используйте: Intel-SA-00086 Detection Tool.
Более подробно: https://www.intel.ru/content/www/ru/ru/support/articles/000025619/software.html

После установки ОС.

1. Настройте ограничения ОС: ulimits
рекомендуемые настройки


/etc/security/limits.conf:
Цитировать
#размер дампа ядра

* hard core 0

#максимальный размер создаваемого файла

* hard fsize 50000000

#блокировка форк-бомбы(большого количества процессов)

* hard nproc 1000

2. Отключите все неиспользуемые сервисы (в т.ч. сетевые) которые запускаются при старте ОС.

Если вы не знаете как отключить не используемые сервисы можно воспользоваться программой Stacer. Установить можно так sudo apt install stacer
3. Настройте iptables в минимально необходимой конфигурации необходимой для работы.

Например можно использовать ufw или графический gufw. В минимальной конфигурации запретить все входящие и разрешить все исходящие.

4. Отключите механизм SysRq

в /etc/sysctl.conf добавьте строку
kernel.sysrq = 0Перезагрузите ПК, проверьте что установлено значение 0, командой:
cat /proc/sys/kernel/sysrq
5. Обязательно отключите доступ к консоли пользователям которым она не нужна

Добавьте группу debian-console выполнив команду:

addgroup --gid 333 debian-console
Создайте файл /etc/rc.local со следующим содержимым:
Цитировать
#!/bin/sh -e
chown root:debian-console /dev/{pts,pts/*,ptmx,tty*}
chmod g+rx /dev/{pts,pts/*,ptmx,tty*}
chmod o-rx /dev/{pts,pts/*,ptmx,tty*}
/usr/bin/gnome-terminal
chmod g+rx /usr/bin/gnome-terminal
chmod o-rx /usr/bin/gnome-terminal
exit 0
Добавьте правило в файл /etc/security/access.conf командой:
echo "-:ALL EXCEPT debian-console :LOCAL" >> /etc/security/access.confВключите в /etc/pam.d/login обработку заданных правил командой
sed -i 's|.*account.*pam_access.*|account required pam_access.so|' /etc/pam.d/loginДля включения доступа к консоли администраторам необходимо добавить их в группу debian-console.
Тут стоит отметить, что эмуляторы терминала должны быть сведены к минимуму в данном примере разрешен запуск gnome-terminal, если вы используете другой эмулятор терминала его нужно вписать его в скрипт иначе блокировка не сработает.

6.Включить блокировку макросов в VLC

find /usr/lib/ -type f -name "liblua_plugin*" -exec sudo dpkg-statoverride --update --add root root 640 {} \;
7. Включить блокировку трассировки ptrace

В файле /etc/sysctl.d/10-ptrace.conf есть параметр kernel.yama.ptrace_scope = 3
установить его равным 3, что соответствует:
 Значения 0-3, находящиеся в данном псевдофайле существенно меняют поведение ptrace:
    0 — UID трассирующего процесса должен совпадать с UID трассируемого или быть 0 (поведение как было раньше);
    1 — ограниченный ptrace, процессы должны быть родственными, трассируемый процесс должен быть потомком
    трассирующего или трассирующий процесс должен иметь UID=0;
    2 — для трассирующего процесса должен быть установлен флаг CAP_SYS_PTRACE или потомок устанавливает себе флаг PTRACE_TRACEME;
    3 — трассирование запрещено.

8. Установить пароль на GRUB

а) Генерируем шифрованный пароль при помощи grub-md5-crypt:
/sbin/grub-md5-crypt(дважды вводим пароль)
и на экране получаем что-то вроде этого:

Зашифрованный пароль GRUB
При недоступности
grub-md5-crypможно использовать
openssl passwd -1Копируем полученный шифрованный пароль (в нашем примере начинается с $1$f8k7..)
б) Отрываем на редактирование в своем любимом редакторе файл
/etc/grub.d/10_linux
Ищем строку
CLASS="--class gnu-linux --class gnu --class os"Приводим ее к виду
CLASS="--class gnu-linux --class gnu --class os --unrestricted"В файле /etc/grub.d/40_custom
Добавляем
set superusers="root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.3450C89...
Где root имя пользователя при запросе пароля на изменение настроек grub.
Далее необходимо обновить grub командой
sudo update-grub
9. Подготовить файл sysctl.conf
(Ограничения ядра)


touch sysctl.confПеред изменением сделать резервную копию файла
cd /etc/sysctl.conf{,.old}Шаблон файла который необходимо скопировать в свой подготовленный файл sysctl.conf
Цитировать
# отключаем маршрутизацию
net.ipv4.ip_forward = 0
net.ipv6.conf.allforwarding = 0
# отключаем перенаправление ICMP и IPv6
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.default.accept_redirects = 0
net.ipv4.conf.all.default.secure_redirects = 0
net.ipv6.conf.all.accept_redirects = 0
net.ipv6.conf.default.accept_redirects = 0
# отключаем отсылку пакетов с перенаправлением
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0
# отключаем прием маршрутов их опций IP-протоколов
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0
net.ipv6.conf.all.accept_source_route = 0
net.ipv6.conf.all.accept_ra = 0
net.ipv6.conf.default.accept_ra = 0
#защита от smurf-атак, отключаем ответы на broadcast и multicast-запросы
net.ipv4.icmp_echo_ignore_broadcasts = 1
# включаем поддержку SYN-cookies
net.ipv4.tcp_syncookies = 1
# отключение реакции на пакеты с нарушением RFC-1122
net.ipv4.icmp_ignore_bogus_error_responses = 1
# включаем логирование пакетов с недоступным адресом отправителя
net.ipv4.conf.all.log_martians = 1
net.ipv4.conf.default.log_martians = 1
# отключаем ipv6
net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1
net.ipv6.conf.lo.disable_ipv6 = 1
# закрываем доступ к сообщениям ядра
kernel.dmesg_restrict = 1
# отключение механизма SysRq
kernel.sysrq=0
# отключение выгрузок памяти ядра привилегированных программ
fs.suid_dumpable=0
# контроль использования ядром памяти ASLR (защита от атак переполнения буфера)
kernel.randomize_va_space=2
# количество секунд после ошибки в ядре до перезагрузки
kernel.panic=30
#Включить фильтрацию обратного пути для предотвращения некоторых IP-cпуфинг атак
net.ipv4.conf.default.rp_filter=1
net.ipv4conf.all.rp_filter=1
#Защита от неправильных сообщений и ошибок
net.ip4.icmp_ignore_bogus_error_responses=1
Применяем шаблон файла
cat sysctl.conf > /etc/sysctl.confПримечание. Команду необходимо запускать в директори где находиться шаблон файла.
После проведения настроек необходимо проверить их корректность путем ввода команды
sysctl -p
10. Запретить использовать su для не администраторов

sudo dpkg-statoverride --update--add root sudo 4750 /bin/suДля отмены запрета выполнить
sudo dpkg-statoverride --update--add root sudo 4755 /bin/su
10. Защитить свой домашний каталог

Ваш домашний каталог по умолчанию будет доступен каждому пользователю в системе. Так что если у вас есть гостевая учетная запись, то гость сможет получить полный доступ ко всем вашим личным файлам и документам. Но вы можете сделать его доступным только вам. Откройте терминал и выполните следующую команду:
chmod 0700 /home/имя_пользователяОна устанавливает права таким образом, чтобы владельцу папки, то есть вам было доступно все, а другие пользователи даже не могли посмотреть содержимое. В качестве альтернативы можно установить разрешения 750, которые предоставят доступ на чтение в вашей папке для пользователей из той же группы, что и вы:
chmod 0750 /home/имя_пользователяДля возвращения к исходному состоянию выполнить:
chmod 0755 /home/имя_пользователяДля применения значения по умолчанию (при создании нового пользователя), для недоступности домашнего каталога другим  пользователям в файле /etc/adduser.conf установить значение DIR_MODE=0755 или иное в зависимости от потребностей.

11. Заблокируйте исполнение модулей python с расширенным функционалом

find /usr/lib/python* -type f -name "_ctype*" -exec sudo dpkg-statoverride --update --add root root 640 {} \;При проблеме запуска python приложений отмените блокировку командами
find /usr/lib/python* -type f -name "_ctype*" -exec dpkg-statoverride --remove {}  \;find /usr/lib/python* -type f -name "_ctype*" -exec chmod 644 --remove {} \;
12. Убедиться, что pam_tally  настроен на блокировку учетных записей при попытках подбора паролей

Блокировка локального пользователя при неоднократном введении неправильного пароля. При этом другие пользователи не блокируются.
sudo nano /etc/pam.d/common-authДобавляем строки
auth [success=ignore default=die]
pam_tally.so per_user deny=3 unlock_time=60
где deny количество неудачных попыток
unlock_time время блокировки
auth [success=ignore] pam_unix.so nullok_secure try_first_passfaillog -aСброс счетчика для всех
faillog -rСброс счетчика для пользователя user
faillog -u user -r
13. Отключить программно камеру

sudo modprobe -r uvcvideoВключить программно камеру
sudo modprobe uvcvideoДля постоянного отключения камеры команду modprobe -r uvcvideo добавить в автозагрузку.

14. Устанавливаем fail2ban

Он  ограничивает возможность подбора паролей и поиска уязвимостей сетевых сервисов, блокируя доступ к этим сервисам для узлов, производящих подозрительные действия. Такая возможность может быть очень полезна для сетевых сервисов, доступ к которым необходим из сети Интернет.
sudo apt install fail2banПо умолчанию Fail2ban блокирует IP-адреса, которые попадают под условия бана, на время, заданное в файле jail.conf. По истечении данного времени IP-адрес разблокируется, и с него вновь могут начать поступать запросы.
Однако можно добиться того, чтобы блокируемый адрес заносился в «черный список», и всегда блокировался.
Для этого создадим файл «черного списка», куда в последствии будут заносится IP-адреса:
touch /etc/fail2ban/ip.blacklistЗатем в файле
/etc/fail2ban/action.d/iptables-multiport.conf
обновим директивы actionban и actionstart:
Цитировать
actionban = iptables -I fail2ban-<name> 1 -s <ip> -j DROP
            echo <ip> >> /etc/fail2ban/ip.blacklist
actionstart = iptables -N fail2ban-<name>
              iptables -A fail2ban-<name> -j RETURN
              iptables -I INPUT -p <protocol> -m multiport --dports <port> -j fail2ban-<name>
              cat /etc/fail2ban/ip.blacklist | while read IP; do iptables -I fail2ban-<name> 1 -s $IP -j DROP; done
Перезапустим сервис
service fail2ban restart
15. Включите запрос пароля при каждом выполнении команды sudo

Для чего внесите следующие изменения в файл /etc/sudoers
Для того, чтобы для выполнения первой команды sudo требовалось ввести пароль:
удалить "NOPASSWD:" из строки:
%sudo ALL=(ALL:ALL) NOPASSWD: ALLДля того, чтобы пароль не запоминался для выполнения последующих команд и запрашивался для каждой команды, нужно добавить строку в файл /etc/sudoers
Defaults timestamp_timeout=0
16.Intel Management Engine (Intel ME)  — автономная подсистема, встроенная почти во все чипсеты процессоров Intel с 2008 года.


Intel ME состоит из проприетарной прошивки, исполняемой отдельным микропроцессором. Так как чипсет всегда подключен к источнику тока (батарейке или другому источнику питанию), эта подсистема продолжает работать даже когда компьютер отключен. Intel заявляет, что ME необходима для обеспечения максимальной производительности. Точный принцип работы по большей части недокументирован, а исходный код обфусцирован с помощью кода Хаффмана, таблица для которого хранится непосредственно в аппаратуре, поэтому сама прошивка не содержит информации для своего раскодирования. В Intel ME было найдено несколько уязвимостей.
Отключение Intel ME в ОС
Для отключения модулей ядра ОС, работающих с Intel ME, необходимо удалить эти модули из ядра, и запретить их загрузку.
Удаление модулей можно сделать командами:
rmmod mei_wdtrmmod mei_mermmod meiЗапретить загрузку модулей можно с помощью механизма "чёрного списка" модулей, создав в каталоге /etc/modprobe.d/ файл с именем, например , /etc/modprobe.d/mei.conf, и записать в него следующие строчки с названиями модулей:
blacklist mei_wdt
blacklist mei_me
blacklist mei
Проверка наличия Intel ME
Для проверки наличия и характеристик модуля Intel ME можно собрать и использовать находящуюся в свободном доступе программу intelmetool: https://github.com/zamaudio/intelmetool

16. Исправление битых deb пакетов

sudo apt install -y --reinstall $(dpkg -S $(debsums -c) | cut -d : -d 1| uniq -u)
17. Используйте программы для контроля целостности файлов например как afick
Afick — это быстрая и доступная утилита, помогающая при обнаружении вторжений, а также позволяющая контролировать общую целостность системы.

Afick контролирует изменения в файловой системе и сразу сообщает вам о них, таким образом, предоставляя вам выбор решить, действительно ли ожидались эти изменения. Эта информация может помочь вам в расследовании инцидента, когда необходимо определить какие были произведены изменения в системе в результате взлома.

В процессе установки Afick формирует базу данных файлов, каталогов и их соответствующих им MD5 контрольных сумм. Файлы и каталоги, включенные в эту базу данных, выбираются соответственно входным данным из файла конфигурации Afick, называемого afick.conf, после того, как Afick установит этот файл в /etc каталог. Файл конфигурации afick.conf имеет простую синтаксическую структуру. По вашему усмотрению Вы можете очень быстро добавить или удалить типы файлов, каталоги, и т.д. Ниже приведено содержимое файла afick.conf. Обратите внимание, что элементы в файле конфигурации чувствительны к регистру.

# afick config sample file
# directives
############
database:=/var/lib/afick/afick Определяет какую базу данных будет использовать Afick
# report_url := stdout Определяет куда Afick будет выводить результаты своей работы
# verbose := no
# warn_dead_symlinks := no
# report_full_newdel := no
# warn_missing_file := no
# running_files := no
# timing := no
# text files
exclude_suffix := log LOG html htm HTM txt TXT xml Определяет, что Afick должен игнорировать текстовые файлы с такими расширениями.
# help files
exclude_suffix := hlp pod chm Определяет, что Afick должен игнорировать файлы справки с такими расширениями
# old files
exclude_suffix := tmp old bak Определяет, что Afick должен игнорировать временные файлы с такими расширениями
# fonts
exclude_suffix := fon ttf TTF Определяет, что Afick должен игнорировать файлы шрифтов с такими расширениями
# images
exclude_suffix := bmp BMP jpg JPG gif png ico Определяет, что Afick должен игнорировать файлы изображений с такими расширениями
# audio
exclude_suffix := wav WAV mp3 avi Определяет, что Afick должен игнорировать медиа файлы с такими расширениями
# macros
########
# used by cron
@@define MAILTO root Определяет пользователя, которому будут отсылаться отчеты по работе Afick.
@@define LINES 1000 Определяет максимальное количество строк в отчете
# list the file or directories to scan
# syntaxe :
# file action
# to have action on file (see below
# ! file
# to remove file from scan
# file with blank character have to be quoted
# action : a list of item to check Ниже описаны опции, определяющие какие атрибуты файлов нужно контролировать.
# md5 : md5 checksum
# d : device
# i : inode
# p : permissions
# n : number of links
# u : user
# g : group
# s : size
# b : number of blocks
# m : mtime
# c : ctime
# a : atime
#R: p+d+i+n+u+g+s+m+c+md5
#L: p+d+i+n+u+g
# action alias may be configured with
# your_alias = another_alias|item[+item][-item]
# all is a pre-defined alias for all items except "a"
# alias :
#########
DIR = p+i+n+u+g
ETC = p+d+i+u+g+s+md5
Logs = p+n+u+
MyRule = p+d+i+n+u+g+s+b+md5+m .
# files to scan
##############
=/ DIR Проверка с использованием описанных выше правил для каталогов
#
/bin MyRule
/boot MyRule
!/boot/map Игнорируется указанный каталог.
!/boot/System.map Игнорируется указанный файл
/etc ETC
/etc/mtab ETC - i
/etc/adjtime ETC - md5
/etc/aliases.db ETC - md5
/etc/mail/statistics ETC - md5
!/etc/map
!/etc/webmin/sysstats/modules/
!/etc/cups/certs/0
/lib MyRule
/lib/modules MyRule -m
/root MyRule
!/root/.viminfo
!/root/.bash_history
!/root/.mc
/sbin MyRule
/usr/bin MyRule
/usr/sbin MyRule
/usr/lib MyRule
/usr/local/bin MyRule
/usr/local/sbin MyRule
/usr/local/lib MyRule
/var/ftp MyRule
/var/log Logs
/var/www MyRule

Как видно, файл конфигурации Afick довольно прост для понимания. Ниже приведен пример, в котором к проверке целостности Afick добавляется ваш основной каталог. К примеру, вам необходимо, чтобы файлы в этом каталоге проверялись на изменения при монопольном доступе, изменение прав доступа, изменения размера файлов и времени последнего обращения к файлу. Для начала нужно создать новый элемент, под разделом #alias в файле конфигурации afick.conf, как показано ниже:
HOME = u+g+p+m+sЗатем в разделе #files to scan необходимо добавить следующую строку:
/home/yourusername HOMEТеперь, при следующем запуске, Afick добавит ваш каталог в свою базу данных и будет контролировать находящиеся в нем файлы, согласно указанным вами критериям. Если вы хотите, чтобы ваши изменения применились немедленно, то можно запустить Afick вручную, используя следующую команду:
afick -- updateИначе, вам придется ждать запуска крон задачи Afick. Эта задача добавляется автоматически во время инсталляции программы и запускается один раз в день. Результаты работы данного задания вы получите по электронной почте на адрес, указанный в разделе MAILTO файла конфигурации afick.conf. Используя почтового клиента, вы сможете увидеть ежедневный отчет примерно в таком виде:
This is an automated report generated by Another File Integrity Checker on
+localhost.localdomain at 07:46:07 AM on 02/25/2004.
Output of the daily afick run:
new file : /var/log/afick/afick.log.2
new file : /var/log/afick/error.log.2
deleted file : /etc/sysconfig/iptables
changed file : /etc/adjtime
changed file : /etc/aliases.db
changed file : /etc/mail/statistics
changed file : /etc/prelink.cache
changed file : /etc/printcap
detailed changes
changed file : /etc/adjtime
MD5 : 7+bTDZQbxsTXEJXhyI2GCw ao6a/yDwoBR8GSL1AKlWXQ
changed file : /etc/aliases.db
MD5 :GT/eP5D+B8apNoa7L5CLRw soh7MnLDuQw4gI9KHlhpTA
changed file : /etc/mail/statistics
MD5 :oshq17jZ2a0o5pYhVBRgwQ vb69gMWXvpIEEZ4fmOl9/Q
changed file : /etc/prelink.cache
MD5 : SKh/403FRMUqBNdCIInQ9A zeC+5EPFfWBR4OeT7xZdbw
changed file : /etc/printcap
MD5 : b5e3g2//bGaxeCxVyRJqaw QFY1NJGy/kdt32B1YV0TXQ
filesize : 194 581
В примере выше Afick сообщает нам, что некоторые файлы были изменены, созданы или удалены. Также нам показываются начальные и текущие контрольные суммы файлов, и сообщается, что в одном из файлов был изменен его размер. Afick узнает об происходящих изменениях в файле, сравнивая его атрибуты с атрибутами, которые были сохранены при последнем запуске Afick. Примером этого могут служить файлы в папке /usr/bin, или в /sbin. Обычно эти файлы редко изменяются, если только вы не изменили их, обновляя программу (в противном случае они не должны изменяться).

Обратите внимание на то, где вы сохраняете вашу базу данных Afick (по умолчанию — /var/lib/afick/), потому что может возникнуть ситуация, когда ваша система была взломана, а вы об этом не узнаете, т.к. была нарушена целостность базы данных. Возможным решением данного вопроса может быть сохранение базы на защищенных от записи носителях (например, CD-ROM), после чего изменить файл конфигурации afick.conf, чтобы указать на выбранное вами место сохранения базы.
Скачать программу можно тут http://afick.sourceforge.net/.

18. Полное удаление файлов и освобождаемых областей.

Внимание: данная рекомендация сработает только для hdd, так как на ssd используется trim и другие алгоритмы оптимизации. Debian не знает в какую ячейку памяти записывается файл, он может быть перемещен в другие области памяти. Алгоритм работы внутренних контроллеров закрыт поэтому на SSD нет гарантии полного удаления файла.

https://linux-notes.org/ustanovka-secure-delete-na-unix-linux/
« Последнее редактирование: 06 Марта 2021, 20:49:30 от dzhoser »
 

Оффлайн dzhoser

Re: Нужна ли инструкция по безопасности для Debian?
« Ответ #3 : 11 Февраля 2021, 10:36:04 »
Критика и дополнения данной инструкции приветствуется. Дополнение инструкции буду вносить в предыдущий пост.
 

Оффлайн mexx

Re: Нужна ли инструкция по безопасности для Debian?
« Ответ #4 : 11 Февраля 2021, 10:54:48 »
/tmp не менее 250ГБ, рекомендую 2ГБ
/var/tmp не менее 250ГБ, рекомендую 2ГБ
Где-то ошибка в объемах :)
Debian 9
 
Пользователи, которые поблагодарили этот пост: dzhoser

Онлайн endru

Re: Нужна ли инструкция по безопасности для Debian?
« Ответ #5 : 11 Февраля 2021, 11:53:35 »
Установить "взломостойкий" пароль на BIOS компьютера.
это конечно остановит человека у которого есть доступ к компу))))
Большая часть рекомендаций - как стрелять из пушки по воробьям. Можно конкретные примеры взлома и конкретные рекомендации по защите от них?))) А то вообще не понятно от чего защита сработает...

Оффлайн dzhoser

Re: Нужна ли инструкция по безопасности для Debian?
« Ответ #6 : 11 Февраля 2021, 12:11:43 »
/tmp не менее 250ГБ, рекомендую 2ГБ
/var/tmp не менее 250ГБ, рекомендую 2ГБ
Где-то ошибка в объемах :)
Поправил конечно же мегабайты

Cообщение объединено 11 Февраля 2021, 12:50:08
endru,
Примеров не будет, напишу идентификаторы CCE которые вы сможете нагуглить. Далее цифра это рекомендация, CCE идентификатор уязвимостей от которых она защищает
1. Разбиение разделов CCE 14161-4, CCE 14777-7, CCE 14011-1,CCE 14559-9, СCE 4144-2, ССЕ 3923-0, CCE 3818-2, CCE 4197-0
После установки ОС:
2. Тут зависит от уязвимостей сервиса, но если он отключен, это уменьшает вектор атаки
3. Тут без комментариев и так все понятно.
4.Данный механизм может использоваться для перезагрузки сервера и сбора дампов, идентификатор CCE не нашел.
5. Доступ к консоли неавторизованному пользователю затруднит запуск вредоносного ПО
Об атаке https://www.opennet.ru/opennews/art.shtml?num=54474
6. Cпомошью ptrace можно извлечь данные из другого приложения
7. CCE 4172-2, 4172-3 то есть можно отредактировать grub и загрузится скажем init=/bin/bash и у нас будет рутовая консоль.
8. Считаю комментариев в файле достаточно что для, чего написано можно настройки менять под свои нужды.
9. См пункт 5
10. Может защитиь от шифровальщика если он запущен от другого пользователя
https://xakep.ru/2019/09/06/lilocked/
11. Без комментариев тут нужно владеть питоном
12. Защита от подбора паролей
13. Без комментариев


« Последнее редактирование: 11 Февраля 2021, 13:49:39 от dzhoser »
 

Оффлайн yoric

Re: Нужна ли инструкция по безопасности для Debian?
« Ответ #7 : 11 Февраля 2021, 14:04:55 »
Очередная инструкция, которых полно :-) Извините за некоторую резкость. Этим Вы нарушаете принцип unix - делать одно, но хорошо. Всё не обоймёшь.
Зачем тащить из прошлого сведения двадцатилетней давности? Разбиение на разделы ничуть не поможет, и если адресат этой инструкции не знает, что такое iptables, то может больше ни о чём не заморачиваться :-)
 

Онлайн endru

Re: Нужна ли инструкция по безопасности для Debian?
« Ответ #8 : 11 Февраля 2021, 15:31:47 »
Хе-хе. Меня интересуют реальные способы взлома и их профилактика))) А не возможные способы "в пробирках".
В общем и в целом мое мнение - большая часть работы проделана зря...

Оффлайн mexx

Re: Нужна ли инструкция по безопасности для Debian?
« Ответ #9 : 11 Февраля 2021, 15:52:59 »
Разбиение на разделы ничуть не поможет
Только хотел спросить у ТС какое отношение к безопасности имеет прелагаемая схема разбиения на разделы? Опции монтирования?
Debian 9
 

Оффлайн dzhoser

Re: Нужна ли инструкция по безопасности для Debian?
« Ответ #10 : 11 Февраля 2021, 16:00:29 »
Только хотел спросить у ТС какое отношение к безопасности имеет прелагаемая схема разбиения на разделы?
Например когда вы используете программы для затирания свободного места разумнее стереть его в нужном разделе, чем мусолить диск. Также это защитит от выполнения программ которые распаковываются из архива. Опции монтирования помогут от запуска бинарных файлов.
Очередная инструкция, которых полно :-)
Дополните ее, что бы она стала уникальной

Cообщение объединено 11 Февраля 2021, 16:03:26
Хе-хе. Меня интересуют реальные способы взлома и их профилактика)))
Могу дополнить сканерами уязвимостей, если это необходимо.

Cообщение объединено 11 Февраля 2021, 16:35:36
Зачем тащить из прошлого сведения двадцатилетней давности?
Затем, что вы не внимательно прочитали. Есть примеры использования уязвимостей 10 летней давности в механизме sudo. Ссылка в моем предыдущем посте.

Cообщение объединено 12 Февраля 2021, 09:22:27
это конечно остановит человека у которого есть доступ к компу))))
Один раз когда я менял входную дверь в квартире, мастер сказал, что на старой двери замок плохой и он открыл его шпилькой для волос за 40 секунд, я был в шоке. И спросил его, а на новой двери замок нормальный, он ответил что хороший и на вскрытие уйдет 5 минут, но двери я на замок закрываю :)

Cообщение объединено 12 Февраля 2021, 10:57:29
Проверяем уровень защищённости Linux с помощью утилиты Lynis
Установка apt install lynisЕсли хотите последнюю версию можете скачать тут
Работа с утилитой расписана тут

Cообщение объединено 12 Февраля 2021, 10:59:16
С помощью Lynis можно убедиться, что предложенная мной инструкция повышает безопасность Debian.
« Последнее редактирование: 12 Февраля 2021, 14:21:35 от dzhoser »
 

Оффлайн Листик

Re: Нужна ли инструкция по безопасности для Debian?
« Ответ #11 : 13 Февраля 2021, 04:17:56 »
Для новичка слишком сложна (и даже для среднего пользователя, к которым я себя отношу), а профи и так знает, что делать.
Но какие-то базовые, простые вещи нужны. Включить ufw (он по умолчанию отключен). Ограничение доступа к домашнему каталогу другим юзерам...
« Последнее редактирование: 13 Февраля 2021, 20:05:02 от Листик »
 

Оффлайн dzhoser

Re: Нужна ли инструкция по безопасности для Debian?
« Ответ #12 : 13 Февраля 2021, 07:02:47 »
Листик, можно написать скрипт, но я могу это сделать частично, разбивку системы на разделы необходимо будет сделать самому. В системе может быть несколько пользователей или в некоторых DE включена гостевая учётная запись. Так же имеется некоторые системные учётки которым есть доступ к /home. А в чем сложность то?
« Последнее редактирование: 13 Февраля 2021, 07:09:23 от dzhoser »
 

Оффлайн ferum

Re: Нужна ли инструкция по безопасности для Debian?
« Ответ #13 : 13 Февраля 2021, 09:23:47 »
Критика и дополнения данной инструкции приветствуется.
dzhoser, Вы случайно не депутат Гос Думы РФ ? Или вам действительно нечем заняться? Не ищите проблем там где их нет, они найдут вас сами.
На месте администрации форума отправил бы тему в корзину что бы адекватных людей не кошмарить.
Русские дебианщики против цифрового слабоумия !
 

Оффлайн dzhoser

Re: Нужна ли инструкция по безопасности для Debian?
« Ответ #14 : 13 Февраля 2021, 11:11:05 »
ferum, эти темы говорят об обратном
https://debianforum.ru/index.php/topic,10693.0.html
https://debianforum.ru/index.php/topic,16391.msg123489.html#msg123489
А свое мнение вы можете высказать в голосовании. Инструкцию использовать никто не заставляет.
 

Теги: