Инструкциями по безопасности для Debian

Листик · 15 февраля 2021, 13:35:08

Тогда еще поспрашиваю.

1) Для чего нужны разделы /tmp и /var/tmp? Хотелось бы знать причину, а не просто тупо следовать инструкции. Я всегда создавал только /home, /boot, /swap и /.

2) Разделы /home, /tmp, /var/tmp рекомендуется монтировать с опциями: noexec,nodev,nosuid (данные опции прописываются в файле /etc/fstab)
noexec – не разрешается исполнять бинарные файлы (предотвращается исполнение бинарных файлов, но разрешается исполнять скрипты).

То есть если я скачаю Tor-браузер напрямую с сайта, то установить его не смогу? Только через репозиторий? А приложения, которые запускаются с помощью Wine?

3) 2. Отключите все неиспользуемые сервисы (в т.ч. сетевые) которые запускаются при старте ОС.

Пожелание: прописать для тех юзеров, которые не используют удаленный доступ к компу: что и как из системы убрать (и нужно ли?): samba, ssh? И т.д. Где-то читал, что это тоже на безопасность может влиять.

4) В инструкции рекомендуется ставить пароли на grub, BIOS - а если просто зашифровать разделы диска на этапе установки (напр., /home, /swap, /), этого недостаточно?

dzhoser · 15 февраля 2021, 13:58:50

Цитата: Листик от 15 февраля 2021, 13:35:08То есть если я скачаю Tor-браузер напрямую с сайта, то установить его не смогу?

Насколько я знаю Tor скачивается архивом и запускается с исполняемого файла. Из папки загрузки которая находится в домашней папке пользователя он соответственно не запуститься, но если скажем вы скопируете его в /opt, то он будет работать.
С точки зрения безопасности wine использовать не рекомендуется, поэтому в данной инструкции он не рассматривается. Если не секрет зачем Вам Tor?

Листик · 15 февраля 2021, 17:38:56

Цитата: dzhoser от 15 февраля 2021, 13:58:50Если не секрет зачем Вам Tor?

Хм, странный вопрос, даже риторический, я бы сказал. Зачем Tor в современной России?

Запустится и из домашней папки (или это вы уже про защищенный по инструкции комп? Тогда понятно).

Не рекомендуется (про Wine), но приходится идти на компромисс. Хотя сначала я все устанавливал только из официальных репозиториев.

Мне кажется, какие-то пункты в вашей инструкции избыточны для домашнего компа. У меня Дебиан стоит именно на нем. Трудно будет обновиться, что-то установить. Но вы пишите в любом случае, хуже-то не будет. Кто-то все возьмет, кто-то отдельные положения выберет.

ChubaDuba · 15 февраля 2021, 18:16:15

Цитата: Листик от 15 февраля 2021, 17:38:56Мне кажется, какие-то пункты в вашей инструкции избыточны для домашнего компа. У меня Дебиан стоит именно на нем.

По этой причине проголосовал за "Инструкция не нужна".

dzhoser · 15 февраля 2021, 18:53:15

Листик, https://meduza.io/feature/2018/01/31/derzhat-v-rossii-vyhodnoy-uzel-tor-vystupat-protiv-tehniki-bezopasnosti

ChubaDuba · 15 февраля 2021, 19:25:28

dzhoser, Можно ли пользоваться браузером Тор в России

Листик · 15 февраля 2021, 19:49:41

dzhoser,

"— Одно дело установить браузер Tor на свой компьютер, другое — сделать выходной узел. "

https://meduza.io/feature/2017/08/01/ya-ne-rekomenduyu-derzhat-vyhodnye-uzly-tor-doma

Если я правильно понимаю, пользователь браузера выходной узел не создает.

dzhoser · 16 февраля 2021, 06:26:08

Листик, я не видел исходники и не знаю как он работает, но доверия к нему у меня нет. Для обхода блокировок лучше https://github.com/bol-van/zapret

yoric · 16 февраля 2021, 06:39:07

Цитата: Листик от 15 февраля 2021, 17:38:56Не рекомендуется (про Wine), но приходится идти на компромисс.

А почему не рекомендуется? В плане безопасности он linux-у-то нагадить не сможет, только вин-программам?
Пишите, автор, пишите, кому-нибудь да пригодится, и вообще истина рождается в споре :-)

dzhoser · 16 февраля 2021, 07:21:26

Цитата: yoric от 16 февраля 2021, 06:39:07А почему не рекомендуется? В плане безопасности он linux-у-то нагадить не сможет,

Ну как не сможет? Систему не положит, но док файлы сможет покоцать. Виндусовская зараза отлично на нем работает.
CVE-2018-12933
CVE-2018-12932

Cообщение объединено 16 февраля 2021, 07:41:26

В инструкции добавлен раздел посвященный afick

Cообщение объединено 16 февраля 2021, 08:18:19

Цитата: Листик от 15 февраля 2021, 17:38:56Трудно будет обновиться, что-то установить.

Один раз установили, что вам нужно, затем написали скрипт для обновления. Как перемонтировать на лету писал yoric, параметр монтирования нужно указать defaults.

dzhoser · 05 марта 2021, 15:29:04

В инструкции внесены изменения по настройке grub. Теперь при загрузке системы пароль запрашиваться не будет. Запрос имени пользователя и пароля будет при изменении настроек, для исключения загрузки в root bash при редактировании grub.

dzhoser · 01 мая 2021, 19:44:37

Для нахождения дыр в системе и подтверждения правильности настройке я рекомендую использовать сканер безопасности lynis
Для его установки необходим git который можно установить командой

Код Выделить

sudo apt install git
Скачиваем lynis

Код Выделить

git clone https://github.com/CISOfy/lynis
Выполняем рекомендуемые команды lynis

Код Выделить

cd ..

Код Выделить

chown -R 0:0 lynis

Код Выделить

sudo cd lynis

Код Выделить

sudo ./lynis update

Код Выделить

./lynis audit system
По окончании теста, в терминале мы увидим подробный отчёт, что именно Lynis протестировала, результат теста и, возле каждой найденной проблемы будет ссылка на официальный сайт с описанием и рекомендациями по устранению.

dzhoser · 16 мая 2021, 10:08:21

С секции установки пароля для Grub произведены изменения в части генерации и получения хэша пароля.
Требуется обратная связь по инструкции. У кого что не работает/работает.

dzhoser · 07 июня 2021, 20:49:53

В инструкции исправлены ошибки в командах

dzhoser · 16 июня 2021, 15:44:06

Документ описывающий американскую закладку в репозитории Linux. https://wikileaks.org/vault7/document/Gyrfalcon-2_0-User_Guide/