Инструкциями по безопасности для Debian

Автор dzhoser, 09 февраля 2021, 11:36:35

« назад - далее »

0 Пользователи и 4 гостей просматривают эту тему.

Листик

#30
Тогда еще поспрашиваю.

1) Для чего нужны разделы /tmp и /var/tmp? Хотелось бы знать причину, а не просто тупо следовать инструкции. Я всегда создавал только /home, /boot, /swap и /.

2) Разделы /home, /tmp, /var/tmp рекомендуется монтировать с опциями: noexec,nodev,nosuid (данные опции прописываются в файле /etc/fstab)
noexec – не разрешается исполнять бинарные файлы (предотвращается исполнение бинарных файлов, но разрешается исполнять скрипты).

То есть если я скачаю Tor-браузер напрямую с сайта, то установить его не смогу? Только через репозиторий? А приложения, которые запускаются с помощью Wine?

3) 2. Отключите все неиспользуемые сервисы (в т.ч. сетевые) которые запускаются при старте ОС.

Пожелание: прописать для тех юзеров, которые не используют удаленный доступ к компу: что и как из системы убрать (и нужно ли?): samba, ssh? И т.д. Где-то читал, что это тоже на безопасность может влиять.

4)  В инструкции рекомендуется ставить пароли на grub, BIOS - а если просто зашифровать разделы диска на этапе установки (напр., /home, /swap, /), этого недостаточно?





dzhoser

#31
Цитата: Листик от 15 февраля 2021, 13:35:08То есть если я скачаю Tor-браузер напрямую с сайта, то установить его не смогу?
Насколько я знаю Tor скачивается архивом и запускается с исполняемого файла. Из папки загрузки которая находится в домашней папке пользователя он соответственно не запуститься, но если скажем вы скопируете его в /opt, то он будет работать.
С точки зрения безопасности wine использовать не рекомендуется, поэтому в данной инструкции он не рассматривается. Если не секрет зачем Вам Tor?
Ubuntu->Linux mint->Astra Linux SE->Debian 12
Для новичков

Листик

#32
Цитата: dzhoser от 15 февраля 2021, 13:58:50Если не секрет зачем Вам Tor?

Хм, странный вопрос, даже риторический, я бы сказал. Зачем Tor в современной России?

Запустится и из домашней папки (или это вы уже про защищенный по инструкции комп? Тогда понятно).

Не рекомендуется (про Wine), но приходится идти на компромисс. Хотя сначала я все устанавливал только из официальных репозиториев.

Мне кажется, какие-то пункты в вашей инструкции избыточны для домашнего компа. У меня Дебиан стоит именно на нем. Трудно будет обновиться, что-то установить. Но вы пишите в любом случае, хуже-то не будет. Кто-то все возьмет, кто-то отдельные положения выберет. 

ChubaDuba

Цитата: Листик от 15 февраля 2021, 17:38:56Мне кажется, какие-то пункты в вашей инструкции избыточны для домашнего компа. У меня Дебиан стоит именно на нем.
По этой причине проголосовал за "Инструкция не нужна".



Листик

dzhoser,

"— Одно дело установить браузер Tor на свой компьютер, другое — сделать выходной узел. "

https://meduza.io/feature/2017/08/01/ya-ne-rekomenduyu-derzhat-vyhodnye-uzly-tor-doma

Если я правильно понимаю, пользователь браузера выходной узел не создает.

dzhoser

Листик, я не видел исходники и не знаю как он работает, но доверия к нему у меня нет. Для обхода блокировок лучше https://github.com/bol-van/zapret
Ubuntu->Linux mint->Astra Linux SE->Debian 12
Для новичков

yoric

Цитата: Листик от 15 февраля 2021, 17:38:56Не рекомендуется (про Wine), но приходится идти на компромисс.
А почему не рекомендуется? В плане безопасности он linux-у-то нагадить не сможет, только вин-программам?
Пишите, автор, пишите, кому-нибудь да пригодится, и вообще истина рождается в споре :-)

dzhoser

#39
Цитата: yoric от 16 февраля 2021, 06:39:07А почему не рекомендуется? В плане безопасности он linux-у-то нагадить не сможет,
Ну как не сможет? Систему не положит, но док файлы сможет покоцать. Виндусовская зараза отлично на нем работает.
CVE-2018-12933
CVE-2018-12932

Cообщение объединено 16 февраля 2021, 07:41:26

В инструкции добавлен раздел посвященный afick

Cообщение объединено 16 февраля 2021, 08:18:19

Цитата: Листик от 15 февраля 2021, 17:38:56Трудно будет обновиться, что-то установить.
Один раз установили, что вам нужно, затем написали скрипт для обновления. Как перемонтировать на лету писал yoric,  параметр монтирования нужно указать defaults.
Ubuntu->Linux mint->Astra Linux SE->Debian 12
Для новичков

dzhoser

В инструкции внесены изменения по настройке grub. Теперь при загрузке системы пароль запрашиваться не будет. Запрос имени пользователя и пароля будет при изменении настроек, для исключения загрузки в root bash при редактировании grub.
Ubuntu->Linux mint->Astra Linux SE->Debian 12
Для новичков

dzhoser

#41
Для нахождения дыр в системе и подтверждения правильности настройке я рекомендую использовать сканер безопасности lynis
Для его установки необходим git который можно установить командой sudo apt install git
Скачиваем lynis git clone https://github.com/CISOfy/lynis
Выполняем рекомендуемые команды lynis
cd ..
chown -R 0:0 lynis
sudo cd lynis
sudo ./lynis update
./lynis audit system
По окончании теста, в терминале мы увидим подробный отчёт, что именно Lynis протестировала, результат теста и, возле каждой найденной проблемы будет ссылка на официальный сайт с описанием и рекомендациями по устранению.
Ubuntu->Linux mint->Astra Linux SE->Debian 12
Для новичков

dzhoser

С секции установки пароля для Grub произведены изменения в части генерации и получения хэша пароля.
Требуется обратная связь по инструкции. У кого что не работает/работает.
Ubuntu->Linux mint->Astra Linux SE->Debian 12
Для новичков

dzhoser

В инструкции исправлены ошибки в командах
Ubuntu->Linux mint->Astra Linux SE->Debian 12
Для новичков

dzhoser

Документ описывающий американскую закладку в репозитории Linux. https://wikileaks.org/vault7/document/Gyrfalcon-2_0-User_Guide/
Ubuntu->Linux mint->Astra Linux SE->Debian 12
Для новичков