많은 기사가 게시되었습니다. Linux 배포 TAILS (웹에서 개인 정보 보호 및 익명 성을 보장), Whonix (보안 편집증을위한 Linux) 및 기타 안전을 목표로하는 배포판과 같이 더 안전합니다. 그러나 물론 모든 사용자가 이러한 배포판을 사용하고 싶어하는 것은 아닙니다. 이것이이 기사에서«에 대한 일련의 권장 사항을 제공하는 이유입니다.Linux 강화«, 즉, 배포판이 무엇이든간에 더 안전하게 만듭니다.
Red Hat, SUSE, CentOS, openSUSE, Ubuntu, Debian, Arch Linux, Linux Mint… 모든 배포는 안전 할 수 있습니다. 당신이 그것을 깊이 알고 위협하는 위험으로부터 자신을 보호하는 방법을 아는 경우 가장 안전한 것으로 간주됩니다. 이를 위해 소프트웨어 수준뿐만 아니라 하드웨어 수준에서도 여러 수준에서 작업 할 수 있습니다.
일반 안전 토끼 :
이 섹션에서는 매우 기본적이고 간단한 팁 그것들을 이해하기 위해 컴퓨터 지식이 필요하지 않은 것은 상식 일 뿐이지 만 때때로 우리는 부주의 나 부주의로 인해 수행하지 않습니다.
- 개인 또는 민감한 데이터를 클라우드에 업로드하지 마십시오.. 클라우드는 무료인지 여부, 보안 수준에 관계없이 어디를 가든 데이터를 사용할 수있는 좋은 도구입니다. 그러나 구경꾼과 "공유"하고 싶지 않은 데이터는 업로드하지 마십시오. 이러한 유형의보다 민감한 데이터는 SD 카드 또는 펜 드라이브와 같은보다 개인적인 매체로 전송되어야합니다.
- 예를 들어 컴퓨터를 사용하여 인터넷에 액세스하고 중요한 데이터로 작업하는 경우 BYOD 열풍에 동참하고 일부 비즈니스 데이터를 집으로 가져 갔다고 가정 해보십시오. 이런 상황에서 온라인으로 일하지 마십시오, 연결을 끊으십시오 (예를 들어 LibreOffice에서 텍스트를 편집하는 작업에 연결되기를 원하는 이유는 무엇입니까?). 연결이 끊어진 컴퓨터가 가장 안전합니다.
- 위와 관련하여 온라인으로 작업 할 때 중요한 데이터를 로컬 하드 드라이브에 남겨 두지 마십시오.. 이 정보가있는 외장 하드 드라이브 또는 다른 유형의 메모리 (메모리 카드, 펜 드라이브 등)를 사용하는 것이 좋습니다. 따라서 우리는 연결된 장비와 중요한 데이터가있는 "연결되지 않은"메모리 사이에 장벽을 둘 것입니다.
- 백업 사본 만들기 흥미 롭거나 잃고 싶지 않은 데이터의 취약점을 이용하여 컴퓨터에 진입하고 권한을 상승 시키면 공격자는 아무런 방해없이 모든 데이터를 지우거나 조작 할 수 있습니다. 그렇기 때문에 백업하는 것이 좋습니다.
- 포럼에 약점에 대한 데이터를 남기지 마십시오 또는 웹에 대한 의견. 예를 들어 컴퓨터에 보안 문제가 있고 닫으려는 열린 포트가있는 경우 문제가 발생할 수 있으므로 포럼에 도움을 요청하지 마십시오. 나쁜 의도를 가진 사람은 그 정보를 사용하여 완벽한 피해자를 찾을 수 있습니다. 문제 해결을 도와 줄 신뢰할 수있는 기술자를 찾는 것이 좋습니다. 회사에서 "IT 보안 전문가를 찾고 있습니다"또는 "보안 부서에 인력이 필요합니다"와 같은 광고를 인터넷에 게재하는 것도 일반적입니다. 이것은 해당 회사의 잠재적 인 약점을 나타낼 수 있으며 사이버 범죄자는 이러한 유형의 페이지를 사용하여 쉬운 피해자를 찾을 수 있습니다. 사용하는 시스템 및 버전에 대한 정보를 남기는 것도 좋지 않습니다. 누군가가 악용을 통해 악용 할 수 있습니다. 해당 버전의 취약점. 요컨대, 공격자가 당신을 알지 못할수록 공격하기가 더 어려워집니다. 공격자는 일반적으로 공격 전에 "정보 수집"이라는 프로세스를 수행하며 공격에 사용할 수있는 피해자에 대한 정보를 수집하는 것으로 구성됩니다.
- 장비를 최신 상태로 유지 최신 업데이트 및 패치를 사용하면 기능이 향상 될뿐만 아니라 악용되지 않도록 버그와 취약성을 수정하는 경우가 많다는 점을 기억하십시오.
- 강력한 암호 사용. 사전에있는 이름이나 12345와 같은 암호를 입력하지 마십시오. 사전 공격으로 빠르게 제거 할 수 있기 때문입니다. 또한 쉽게 감지 할 수 있으므로 기본적으로 암호를 그대로 두지 마십시오. 또한 생년월일, 친척 이름, 애완 동물 또는 취향에 대해 사용하지 마십시오. 이러한 종류의 암호는 사회 공학에서 쉽게 추측 할 수 있습니다. 숫자, 대문자 및 소문자, 기호가 포함 된 긴 암호를 사용하는 것이 가장 좋습니다. 또한 모든 것에 마스터 암호를 사용하지 마십시오. 즉, 전자 메일 계정과 운영 체제 세션이있는 경우 둘 다에 대해 동일한 암호를 사용하지 마십시오. 이것은 로그인 암호가 Hotmail / Outlook 계정과 동일하기 때문에 Windows 8에서 맨 아래까지 망친 것입니다. 보안 암호는 "auite3YUQK && w-"유형입니다. 무차별 대입으로 달성 할 수는 있지만, 시간을 투자하면 가치가 없습니다.
- 알 수없는 소스의 패키지를 설치하지 마십시오 그리고 가능하다면. 설치하려는 프로그램의 공식 웹 사이트에있는 소스 코드 패키지를 사용하십시오. 패키지에 문제가있는 경우 Glimpse와 같은 샌드 박스 환경을 사용하는 것이 좋습니다. Glimpse에 설치하는 모든 응용 프로그램은 정상적으로 실행되지만 데이터를 읽거나 쓰려고 할 때 샌드 박스 환경에만 반영되어 문제로부터 시스템을 분리 할 수 있습니다.
- 용도 가능한 한 적은 시스템 권한. 작업에 대한 권한이 필요한 경우 "su"앞에 "sudo"를 사용하는 것이 좋습니다.
기타 약간 더 기술적 인 팁 :
이전 섹션에서 본 조언 외에도 배포판을 더욱 안전하게 만들기 위해 다음 단계를 따르는 것이 좋습니다. 귀하의 배포는 원하는만큼 안전하게즉, 구성 및 보안에 더 많은 시간을 할애할수록 좋습니다.
Linux 및 방화벽 / UTM의 보안 제품군 :
용도 SELinux 또는 AppArmor Linux를 강화합니다. 이러한 시스템은 다소 복잡하지만 많은 도움이 될 매뉴얼을 볼 수 있습니다. AppArmor는 악용 및 기타 원치 않는 프로세스 작업에 민감한 애플리케이션도 제한 할 수 있습니다. AppArmor는 버전 2.6.36부터 Linux 커널에 포함되었습니다. 구성 파일은 /etc/apparmor.d에 저장됩니다.
사용하지 않는 모든 포트를 닫습니다. 자주. 물리적 방화벽이 있어도 재미있을 것입니다. 그게 최고입니다. 또 다른 옵션은 홈 네트워크 용 UTM 또는 방화벽을 구현하기 위해 오래되거나 사용되지 않는 장비를 전용하는 것입니다 (IPCop, m0n0wall 등과 같은 배포를 사용할 수 있음). 원하지 않는 것을 필터링하도록 iptables를 구성 할 수도 있습니다. 이를 닫으려면 Linux 커널 자체를 통합하는 "iptables / netfilter"를 사용할 수 있습니다. netfilter와 iptables에 대한 매뉴얼을 참조하는 것이 좋습니다. 그것들은 상당히 복잡하고 기사에서 설명 할 수 없기 때문입니다. 터미널에 입력하여 열려있는 포트를 볼 수 있습니다.
netstat -nap
장비의 물리적 보호 :
주변 사람을 신뢰하지 않거나 다른 사람의 손이 닿는 곳에 장비를 두어야하는 경우 장비를 물리적으로 보호 할 수도 있습니다. 이를 위해 하드 드라이브가 아닌 다른 방법으로 부팅을 비활성화 할 수 있습니다. BIOS / UEFI 그리고 암호는 BIOS / UEFI를 보호하므로 그것 없이는 수정할 수 없습니다. 이렇게하면 다른 사람이 운영 체제가 설치된 부팅 가능한 USB 또는 외장 하드 드라이브를 가져와 배포판에 로그인하지 않고도 데이터에 액세스 할 수 없게됩니다. 이를 보호하려면 BIOS / UEFI에 액세스하고 보안 섹션에서 암호를 추가 할 수 있습니다.
당신은 똑같이 할 수 있습니다 GRUB, 암호로 보호:
grub-mkpasswd-pbkdf2
들어가다 GRUB의 비밀번호 원하는대로 SHA512로 인코딩됩니다. 그런 다음 나중에 사용하기 위해 암호화 된 암호 (“Your PBKDF2 is”에 나타나는 암호)를 복사합니다.
sudo nano /boot/grub/grub.cfg
처음에 사용자를 만들고 암호화 된 비밀번호. 예를 들어 이전에 복사 한 암호가 "grub.pbkdf2.sha512.10000.58AA8513IEH723"인 경우 :
set superusers=”isaac” password_pbkdf2 isaac grub.pbkdf2.sha512.10000.58AA8513IEH723
그리고 변경 사항을 저장하십시오 ...
소프트웨어 감소 = 보안 강화 :
설치된 패키지 수 최소화. 필요한 것만 설치하고 사용을 중지하려는 경우 제거하는 것이 가장 좋습니다. 보유한 소프트웨어가 적을수록 취약성이 줄어 듭니다. 기억해. 시스템이 시작될 때 실행되는 특정 프로그램의 서비스 또는 데몬에 대해서도 동일한 조언을합니다. 사용하지 않는 경우 "꺼짐"모드로 설정하십시오.
정보를 안전하게 삭제 :
정보를 삭제할 때 디스크, 메모리 카드 또는 파티션 또는 단순히 파일이나 디렉토리의 경우 안전하게 수행하십시오. 삭제했다고 생각 되더라도 쉽게 복구 할 수 있습니다. 물리적으로 개인 데이터가 담긴 문서를 쓰레기통에 버리는 것은 유용하지 않습니다. 누군가가 그것을 컨테이너에서 꺼내서 볼 수 있기 때문에 종이를 파괴해야하므로 컴퓨팅에서도 똑같은 일이 발생합니다. 예를 들어, 노출하지 않으려는 데이터를 덮어 쓰기 위해 임의 또는 null 데이터로 메모리를 채울 수 있습니다. 이를 위해 사용할 수 있습니다 (작동하려면 권한으로 실행하고 / dev / sdax를 귀하의 경우에서 작동하려는 장치 또는 파티션으로 대체해야합니다 ...) :
dd if=/dev/zeo of=/dev/sdax bs=1M dd if=/dev/unrandom of=/dev/sdax bs=1M
원하는 것이 특정 파일을 영원히 삭제, 당신은 "파쇄"를 사용할 수 있습니다. 예를 들어 시스템 암호를 적어 둔 passwords.txt라는 파일을 삭제한다고 가정 해보십시오. 삭제 후 복구 할 수 없도록하기 위해 위의 예를 들어 26 번 파쇄 및 덮어 쓰기를 사용할 수 있습니다.
shred -u -z -n 26 contraseñas.txt
HardWipe, Eraser 또는 Secure Delete와 같은 도구를 설치할 수 있습니다. 메모리 "삭제"(영구 삭제), SWAP 파티션, RAM 등
사용자 계정 및 암호 :
암호 시스템 개선 S / KEY 또는 SecurID와 같은 도구를 사용하여 동적 암호 체계를 만듭니다. / etc / passwd 디렉토리에 암호화 된 비밀번호가 없는지 확인하십시오. / etc / shadow를 더 잘 사용해야합니다. 이를 위해 "pwconv"및 "grpconv"를 사용하여 새 사용자 및 그룹을 만들 수 있지만 숨겨진 암호를 사용합니다. 또 다른 흥미로운 점은 / etc / default / passwd 파일을 편집하여 암호를 만료시키고 주기적으로 갱신하도록하는 것입니다. 따라서 암호를 받으면 자주 변경하므로 영원히 지속되지는 않습니다. /etc/login.defs 파일을 사용하여 암호 시스템을 강화할 수도 있습니다. 암호가 만료되기 전에 지속될 수있는 최소 및 최대 일수를 지정하려면 PASS_MAX_DAYS 및 PASS_MIN_DAYS 항목을 찾아 편집하십시오. PASS_WARN_AGE는 암호가 곧 X 일 후에 만료됨을 알리는 메시지를 표시합니다. 항목이 매우 많기 때문에이 파일에 대한 설명서를 참조하는 것이 좋습니다.
라스 사용되지 않는 계정 그리고 그들은 / etc / passwd에 존재하며 쉘 변수 / bin / false를 가져야합니다. 다른 것이라면 이것으로 변경하십시오. 그렇게하면 껍데기를 얻는 데 사용할 수 없습니다. 현재 디렉토리 "."가 나타나지 않도록 터미널에서 PATH 변수를 수정하는 것도 흥미 롭습니다. 즉,“./user/local/sbin/:/usr/local/bin:/usr/bin:/bin”에서“/ user / local / sbin / : / usr / local / bin :으로 변경해야합니다. / usr / bin : / bin”.
사용하는 것이 좋습니다 네트워크 인증 방법으로서의 Kerberos.
PAM (플러그 가능한 인증 모듈) Microsoft Active Directory와 비슷합니다. 분명한 이점이있는 공통적이고 유연한 인증 체계를 제공합니다. /etc/pam.d/ 디렉토리를 살펴보고 웹에서 정보를 검색 할 수 있습니다. 여기서 설명하는 것은 상당히 광범위합니다 ...
특권을 주시하십시오 다른 디렉토리의. 예를 들어, / root는 "drwx------"권한이있는 루트 사용자 및 루트 그룹에 속해야합니다. Linux 디렉토리 트리의 각 디렉토리가 가져야하는 권한에 대한 정보는 웹에서 찾을 수 있습니다. 다른 구성은 위험 할 수 있습니다.
데이터 암호화 :
디렉터리 또는 파티션의 내용을 암호화합니다. 관련 정보가있는 곳. 이를 위해 LUKS 또는 eCryptFS를 사용할 수 있습니다. 예를 들어, isaac라는 사용자의 암호화 / 홈을 원한다고 가정합니다.
sudo apt-get install ecryptfs-utils ecryptfs-setup-private ecryptfs-migrate-home -u isaac
위의 후 요청시 암호 또는 암호를 표시하십시오 ...
를 만들려면 개인 디렉터리예를 들어 "private"라는 이름으로 eCryptFS를 사용할 수도 있습니다. 그 디렉토리에 우리가 암호화하고 싶은 것들을 다른 사람들의 관점에서 제거 할 수 있습니다 :
mkdir /home/isaac/privado chmod 700 /home/isaac/privado mount -t ecryptfs /home/isaa/privado
다른 매개 변수에 대한 질문을 할 것입니다. 먼저 암호, OpenSSL, ... 중에서 선택할 수 있으며 1, 즉 "암호 구"를 선택해야합니다. 그런 다음 두 번 확인하려는 암호를 입력합니다. 그런 다음 원하는 암호화 유형 (AES, Blowfish, DES3, CAST, ...)을 선택합니다. 첫 번째 AES를 선택한 다음 키의 바이트 유형 (16, 32 또는 64)을 소개합니다. 마지막으로 마지막 질문에 "예"로 답합니다. 이제이 디렉토리를 마운트 및 마운트 해제하여 사용할 수 있습니다.
당신이 원한다면 특정 파일 암호화, scrypt 또는 PGP를 사용할 수 있습니다. 예를 들어 passwords.txt라는 파일의 경우 다음 명령을 사용하여 각각 암호화 및 복호화 할 수 있습니다 (두 경우 모두 암호를 묻습니다).
scrypt <contraseñas.txt>contraseñas.crypt scrypt <contraseñas.crypt>contraseñas.txt
Google Authenticator를 사용한 XNUMX 단계 인증 :
추가 XNUMX 단계 인증 시스템에서. 따라서 암호를 도난 당하더라도 시스템에 액세스 할 수 없습니다. 예를 들어 Ubuntu 및 Unity 환경의 경우 LightDM을 사용할 수 있지만 원칙은 다른 배포판으로 내보낼 수 있습니다. 이를 위해서는 태블릿이나 스마트 폰이 필요하며 Play 스토어에서 Google Authenticator를 설치해야합니다. 그런 다음 PC에서 가장 먼저 Google Authenticator PAM을 설치하고 시작합니다.
sudo apt-get install libpam-google-authenticator google-authenticator
확인 키가 시간을 기준으로 할 것인지 물어 보면 우리는 a 와로 긍정적으로 대답합니다. 이제 인식 할 QR 코드를 보여줍니다. 구글 인증 자 스마트 폰에서 또 다른 옵션은 앱에서 직접 비밀 키를 입력하는 것입니다 (PC에 "Your new secret is :"로 표시된 키). 그리고 스마트 폰을 가지고 다니지 않는 경우를 대비하여 일련의 코드를 제공하고 파리가 날 경우이를 염두에 두는 것이 좋습니다. 그리고 우리는 우리의 선호도에 따라 계속해서 답변합니다.
이제 (nano, gedit 또는 선호하는 텍스트 편집기로) 구성 파일 과 :
sudo gedit /etc/pam.d/lightdm
그리고 우리는 줄을 추가합니다 :
auth required pam_google_authenticator.so nullok
저장하고 다음에 로그인 할 때 확인 키 모바일이 우리를 위해 생성 할 것입니다.
언젠가 XNUMX 단계 인증을 제거 하시겠습니까?, /etc/pam.d/lightdm 파일에서 "auth required pam_google_authenticator.so nullok"줄을 삭제하면됩니다.
상식과주의가 최고의 동맹임을 기억하십시오. GNU / Linux 환경은 안전하지만 네트워크에 연결된 모든 컴퓨터는 사용하는 운영 체제가 아무리 좋더라도 더 이상 안전하지 않습니다. 질문, 문제 또는 제안 사항이있는 경우 comentario. 도움이 되었으면합니다…
안녕하세요 좋아요. Raspbian에 아무 문제없이 google-authenticator를 설치했고 모바일 애플리케이션이 잘 등록되어 코드를 제공하지만 라즈베리를 다시 시작하고 시스템을 다시 시작할 때 이중 인증 코드를 입력하라는 메시지가 표시되지 않습니다. 사용자 이름과 비밀번호를 입력합니다.
대단히 감사합니다. 인사말입니다.