LINUX.ORG.RU

Безопасность на десктопе

 , , , ,


5

5

Здравствуйте. Используете ли вы на десктопе дополнительные средства защиты системы? Например fail2ban, настройка iptables/ufw, snort, антивирус . Если да, то какие и почему/для чего?

Есть ли вообще смысл в подобных вещах на пк с популярным дистром(Debian, Fedora, Ubuntu, Arch) и стандартными DE, ядром, конфигами(Debian+LXDE, Xubuntu)?

По левым ссылкам вроде не хожу, в браузере стоят noScript, uBlock. Пакетов откуда попало не ставлю. Но в безопасности почти не шарю, поэтому и боюсь вредоносного ПО, кражи криптовалюты персональных данных.

Софт почаще обновляй и все будет ок.

anonymous ()

На всякий случай nftables режет всё лишнее, разные сервисы изолируются в LXC-контейнеры, приложения запускаются через firejail — позволяет их огородить. Последний особенно рекомендуется.

anonymous ()

На домашнем сервере держу сторонний зоопарк в LXC-контейнерах - и систему чистить потом проще. Очень понравилось, при следующем апгрейде ноута планирую и на нем такое практиковать.

Nicholass ★★★ ()

Iptables-ом закрываю все входящие порты кроме ssh. При этом ssh висит на нестандартном порте 20000+.

rumgot ★★★★ ()
Ответ на: комментарий от rumgot

Iptables-ом закрываю все входящие порты кроме ssh

А разве они по умолчанию открыты?

conformist ★★★ ()
Ответ на: комментарий от conformist

удивительно, но по умолчанию открыто всё.

Смысл устанавливать «доп-средства» защиты, конечно имеет! Я бы с удовольствием почитал про selinux что-нибудь. Может кто посоветует нормальную книгу?

Reset82 ()
Ответ на: комментарий от liathit

спасибо! Я там уже читал. Я так понимаю, что selinux уже имеется в ядре и им можно управлять через какие-то конфиги и модули. Любая статья в интернете сводится к установке каких-нибудь дополнений и ни в одной не сказано через какие конфиги вообще добавить хоть одного пользователя selxnux. А уж если что-либо доустанавливать или патчить, то какая может идти речь о безопасности?..

Reset82 ()

Десктоп напрямую подключён в интернеты?

King_Carlo ★★★★★ ()

Дополнительное средство защиты - роутер с пробросом только нужных портов

Lokidrow ()
Ответ на: комментарий от Lokidrow

объясните пожалуйста, какое преимущество в безопасности дает проброс порта с допустим 80 на 80 или какой угодно?

тут вообще идет речь об безопасности десктопа, как я понял..

Значит, десктоп предположительно на 99% может находится за NAT.

по всем законам земного притяжения, комп находящийся за нат не может быть атакован из вне, если сам этого не попросит.

следовательно, какой смысл пробрасывать порты? может есть какая фишка?

Reset82 ()
Deathstalker ★★★★★ ()
Ответ на: комментарий от Deathstalker

«Вот, собственно, и вся нормальная безопасность.» А вы задумывались, насколько sudo с полномочиями root безопасна? и полномочия root в системе ничем не ругилированные уже потенциальная угроза. Соблюдай ты хоть всю технику безопасности, у рута(не у вас залогиневшимся от рута) имеются полномочия с которыми любой процесс может выполнится с этими полномочиями. Контролировать все процессы поднимающие себе полномочия невозможно. Следовательно: вопрос безопасности довольно глобален, и не решить за пару ограничений.

Reset82 ()

Есть ли вообще смысл в подобных вещах на пк с популярным дистром(Debian, Fedora, Ubuntu, Arch) и стандартными DE, ядром, конфигами(Debian+LXDE, Xubuntu)?

Нет. Это как носить постоянно тяжелый бронежилет

fornlr ★★★★★ ()
Ответ на: комментарий от Reset82

Сейчас любое подозрение в каком-либо направлении принята сразу клеймить паранойей, однако никто и никогда не называет паранойей поход в магазин за новыми комплектующими компьютера, которые вышли из строя из-за того, что человек стеснялся заранее навязанному клейму «параноика». Куда не глянь: что бы не подумать о своем компе - паранойя... везде тебе ответят, что излишние происки в сторону безопасности - паранойя. И нигде не напишут правильных способов организации безопасности! И регулярно происходят взломы важных и потенциально опасных объектов гос-структур - паранойя!!!

Reset82 ()
Ответ на: комментарий от Reset82

и полномочия root в системе ничем не ругилированные уже потенциальная угроза

Нормально там всё.

Deathstalker ★★★★★ ()
Ответ на: комментарий от Deathstalker

Ну как же нормально? Самая типичная ситуация - установка нового пакета... исполняем от рута же... а что делает пакет, долго и нудно рассматривать, и к тому-же не каждый пользователь это умеет... ( это на самом деле очень утрированно) полномочия рута, могут быть использованы и без уведомления «РУТА» т.е. вас, об этом. согласно всем условиям, программа поднявшая себе полномочия, и принудительно их не дропая оставляет их себе как уже приобретенные.. исходя из этого, любой процесс может со временем оказаться «рутом», или можно сказать с полномочиями РУТА.

Reset82 ()
Ответ на: комментарий от Reset82

Самая типичная ситуация - установка нового пакета...

А чем мешает тебе новый пакет?

Deathstalker ★★★★★ ()
Ответ на: комментарий от Deathstalker

мне ничем ) новый пакет может быть получен не из того места которое мы ожидаем... любой пакет способен изменить правила того же фаервола.. это конечно я пишу потому-что врятли кто-либо из пользователей десктопов знает защиту от подобного... но все же... угроза есть, есть опасность, по этому, я не буду рассуждать как может быть это реализованно, но может.

Reset82 ()
Ответ на: комментарий от Reset82

это конечно я пишу потому-что врятли кто-либо из пользователей десктопов знает защиту от подобного...

chkrootkit

Deathstalker ★★★★★ ()

антивирус

Ага, Kaspersky Free установлен. Точно уверен в безопасности своего ПэКа :D
<P.S. на голове одета шапочка из фольги для сущей безопасности>

в браузере стоят noScript, uBlock

Так вопрос в безопасности всей системы или защиты от потусторонних призраков рекламы и баннеров в браузере?

SysoevDV ()

fail2ban

Авторизация по ключам.

iptables/ufw

FirewallD, разрешено только нужное.

snort

На десктопе лишнее, кмк

На проприетарное ПО, которое лично у меня не вызывает доверия (например Skype, TeamViewer, Hamachi), а также свободное p2p-толка, натянут AppArmor.
Ещё у меня Steam вместе со всеми играми живёт в контейнере LXC, но скорее из соображений совместимости, чем безопасности - проще один раз повозиться с контейнером, чем возиться с каждой игрой, которая не хочет работать в не-убунте (а таких много).

gasinvein ★★★ ()
Ответ на: комментарий от gasinvein

Steam вместе со всеми играми живёт в контейнере LXC

Как графика пробрасывается? Или X-сессия?

anonymous ()
Ответ на: комментарий от anonymous

Просто разрешён доступ к X'ам хоста.

lxc.mount.entry = /dev/nvidia0 dev/nvidia0 none bind,optional,create=file
lxc.mount.entry = /dev/nvidiactl dev/nvidiactl none bind,optional,create=file
lxc.mount.entry = /dev/nvidia-uvm dev/nvidia-uvm none bind,optional,create=file
lxc.mount.entry = /dev/nvidia-modeset dev/nvidia-modeset none bind,optional,create=file
lxc.mount.entry = /dev/dri dev/dri none bind,optional,create=dir
lxc.mount.entry = /tmp/.X11-unix tmp/.X11-unix none bind,optional,create=dir

gasinvein ★★★ ()
Ответ на: комментарий от gasinvein

А LXC от root у Вас работает, или сбрасывает привилегии (unprivileged LXC)?

anonymous ()
Ответ на: комментарий от gasinvein

Простите, а какой дистрибутив? Насколько помнится, искоробки это хорошо работало только в Ubuntu (из тех, что использовались) :(

anonymous ()
Ответ на: комментарий от anonymous

openSUSE. Из коробки, действительно, у меня не работало, но завелось после установки pam_cgfs и добавления в /etc/pam.d/common-session session optional pam_cgfs.so -c freezer,memory,name=systemd
Ещё можно убунтушный cgmanager использовать.

gasinvein ★★★ ()
Последнее исправление: gasinvein (всего исправлений: 1)
Ответ на: комментарий от misterzsm

И чего ты, в таком случае, собрался защищать на десктопе? Только если прокидываешь порт к демону через роутер на десктоп, то да, неплохо бы знать нюансы обеспечения безопасности конкретного сервера, в противном случае ничего на десктопе городить не надо.

King_Carlo ★★★★★ ()
Ответ на: комментарий от gasinvein

Большое спасибо, будем попытаться завести.

anonymous ()
Ответ на: комментарий от gasinvein

А можешь в двух словах пояснить: зачем нужен snort и что он делает? Вроде читал, но толком не понял.

misterzsm ()
Ответ на: комментарий от King_Carlo

Но в безопасности почти не шарю

Вот и хочу послушать местных экспертов.

То есть, даже iptables настраивать нет смысла?

misterzsm ()
Ответ на: комментарий от Deathstalker

Правильно настроенная iptables

Это значит - пропускать только нужное?

misterzsm ()
Ответ на: комментарий от Reset82

Как же ты живёшь с такой паранойей? Советую расслабиться и максимум включить файервол, ну а вообщем можно безопасно пользоваться дистрибутивом хоть 5летней давности.

anonymous ()
Ответ на: комментарий от misterzsm

Браузер, почту, SIP, XMPP. Всё остальное запрещено на вход и выход.

Deathstalker ★★★★★ ()
Ответ на: комментарий от misterzsm

То есть, даже iptables настраивать нет смысла?

Настаивать фаерволы принято на маршрутизаторе, а не на конечном устройстве.

King_Carlo ★★★★★ ()
Ответ на: комментарий от misterzsm

Нет, я им не пользовался. В любом случае, система обнаружения вторжений на десктопе - явный перебор.

gasinvein ★★★ ()
Ответ на: комментарий от King_Carlo

Расскажи это Comodo и прочим разработчикам фаерволов для Windows.

gasinvein ★★★ ()
Ответ на: комментарий от gasinvein

Hасскажи это Comodo и прочим разработчикам фаерволов для Windows.

Windows? Что это?

King_Carlo ★★★★★ ()
Ответ на: комментарий от King_Carlo

А какая разница? В интернет-кафе и аэропорту фаервол тоже не нужен?

gasinvein ★★★ ()

Сейчас безопасность для «десктопного» пользователя фактически держится как раз на том, что он неуловимый джо.

Уязвимости в десктопной части судя по всему, мало кто ищет, просто по той причине, что сам по себе линуксовый десктоп, компаниям (прежде всего RH) нафиг не вперся, а энтузиастов немного. Исключение из этого списка составляют разве что мейнстримовые браузеры, но только из-за того, что они кроссплатформенные и их пилят заинтересованные компании.

Чисто теоретически есть SELinux, GrSecurity, но большинство их настраивать и использовать не умеет (тем более, если это пользователь а не администратор), из-коробки они есть не везде и не везде корректно настроены.

Фактически единственная традиционная операционка, которую условно можно назвать «безопасной» - это OpenBSD только в виде ее базовой системы, т.к. код базы подвергается проверкам и интегрирован с местными фичами безопасности. Если брать специализированные варианты, есть например Qubes OS, внутри которой чуть ли не каждое приложение запускается внутри вм.

trancefer ★★ ()
Ответ на: комментарий от gasinvein

А какая разница? В интернет-кафе и аэропорту фаервол тоже не нужен?

А большая разница. От кого фаерволить машину находящуюся за роутером? От машин в её же сети? Возможно, но не уверен. ТСу точно закрывать свой десктоп от своего же телевизора нет никакого смысла.

King_Carlo ★★★★★ ()
Ответ на: комментарий от King_Carlo

От машин в её же сети?

От них самых. Не все сети доверенные изначально (интернет-кафе), и не все остаются доверенными всегда (сосед с трояном).

gasinvein ★★★ ()
Ответ на: комментарий от gasinvein

От них самых.

А ничего что ТС в своём доме за маршрутизатором? Сферических коней в вакууме нам не надо.

King_Carlo ★★★★★ ()
Ответ на: комментарий от Deathstalker

ClamAV

Я не вижу большого смысла использовать антивирь под линукс, но если уж использовать, то что угодно, но не кламав.

aureliano15 ()
Ответ на: комментарий от aureliano15

Для домашнего пользователя он вполне подходящий выбор.

Deathstalker ★★★★★ ()

Здесь вопрос довольно субъективный. Как вопрос, какую вероятность можно считать достаточно большой. В учебнике по теории вероятностей Вентцель приводится 2 случая: 90%-ная вероятность попадания снаряда в цель и 90%-ая вероятность раскрытия парашюта. В первом случае вероятность можно считать высокой, во втором - нет. Но если продолжить это рассуждение, то какую вероятность успешного раскрытия парашюта (ниже 100%) можно считать приемлемой? Тут многое зависит от уровня технологий и от субъективной ценности жизни человека против цены парашюта. Для кого-то 0.01% несчастных случаев является вполне приемлемой (гибнуть будет всего-то каждый десятитысячный парашютист), а кому-то и вероятность 0.001% покажется слишком высокой.

По-мне известные десктопные дистры с настройками безопасности по умолчанию вполне надёжны. Но при желании можно подкрутить

1. SELinux (но там много возни)

2. iptables

3. /, /home, /var и /tmp ставить на разные разделы. При этом /var и /tmp монтировать как noexec. /home тоже можно монтировать noexec, если не пишешь программы и скрипты, но иногда могут возникать проблемы. Например, tor устанавливается в /home, и если этот раздел не исполняемый, то не работает.

4. Все внешние носители монтировать как noexec.

5. В браузере запретить запуск flash на всех сайтах, кроме надёжных (а можно вообще на всех, но это неудобно).

6. Не сохранять пароли.

7. Не включать беспарольный вход.

8. Не сидеть без надобности под рутом. Если забываешь выходить из su, лучше настроить и использовать sudo.

9. Не ставить лишних программ и отключать лишние сервисы.

10. По возможности запускать сервисы в виртуальном окружении.

11. Ну и стандартно: создавать надёжный буквенно-цифровой пароль, не являющийся словарным словом, длиной не меньше 12 символов, в идеале полностью рандомный и время от времени его менять. На разных левых сервисах в Сети не использовать этот пароль: там часто пароли хранятся открытым текстом или шифруются левыми алгоритмами. Например, по ссылке http://www.sql.ru/forum/942698-1/hranite-parol-otkrytym-tekstom-nu-spasibo можно почитать фееричную дискуссию на эту тему между юзером и админом форума, который шифрует пароли собственной доморощенной программулькой с возможностью обратного дешифрования и уверен в своей правоте ( http://www.sql.ru/forum/942698/hranite-parol-otkrytym-tekstom-nu-spasibo?mid=... ).

12. Параноики, очень мнительные люди, террористы, фсбшники и все те, у кого на компе лежит не менее миллиона баксов в криптовалюте, могут поставить антививирь под линукс.

aureliano15 ()
Ответ на: комментарий от conformist

Честно говоря, вот ты меня спросил, я и засомневался, как дело обстоит в последних версиях. Раньше были точно по умолчанию открыты. А теперь... Я уже делаю по привычке. В любом случае я точно знаю, что теперь(когда я принудительно настраиваю) точно все закрыто(исключая ssh).

rumgot ★★★★ ()
Последнее исправление: rumgot (всего исправлений: 2)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.