Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Witam. Można prosić o jakieś porady "na chłopski rozum", co muszę zrobić aby maxymalnie zabezpieczyć domowy pecet z Debianem przed wirusami, trojanami ransomware, spyware i keyloggerami. A przede wszystkim przed atakami hakerskimi.
Oczywiście rozumiem że nikomu nie opłaci się atakować takiego biedaka, bo nie stać mnie na płacenie okupu :-)
Ale gdy wzrośnie wreszcie liczba użytkowników linuxa (domowych, nieświadomych, amatorów) wzrośnie liczba zagrożeń.
Wiem że może jestem trochę paranoikiem, ale no... nie chcę mieć poczucia bezpieczeństwa tylko bezpieczeństwo. Czy domyślne ustawienia to bezpieczeństwo zapewniają?
Bo niestey firmy cyberbezpieczeństwa linuxa mają w d*.
Nigdzie nie widzę antywirusów dla linuxa, zasobnikowych firewalli, czy pakietów Internet Security dla Linuxa.
Nawet opensurcowa piaskownica Sandboxie jest tylko dla Windowsa. A wypadało by mieć Firefoxa odizolowanego od reszty programów.
Ostatnio edytowany przez GrdykaIndyka (2023-03-07 21:39:12)
Offline
https://firejail.wordpress.com tym można zrobić sandbox dla przeglądarki
https://wiki.debian.org/nftables do tego firewall
https://www.passwordstore.org tutaj trzymasz hasła
https://www.borgbackup.org tym robisz backup
i jesteś wstępnie bezpieczny, więcej info jak zawsze u Archa: https://wiki.archlinux.org/title/Security
Offline
Ok. Dzięki. Jeszcze dwie sprawy:
1. podobno najbardziej narażonym na ataki składnikiem Linuxa jest Xorg.
Prosty przykład:
instaluję xinput
wpisuję xinput test co daje mi numery urządzeń
Wpisuję w terminalu xinput test NR_MOJEJ_KLAWIATURY
wchodzę w Firefoxa, loguje się do banku.
i siup! W terminalu pojawia się moje hasło do konta (jako numery znaków).
Wspomniany firejail nie blokuje tego.
Oznacza to że każdy program bez dostępu do roota widzi wszystko co wpisuję w Firefoxie w polu typu password.
Czy jest się czego obawiać?.
Proszę sobie wyobrazić np. skrypty z keyloggerem na Linuxa masowo rozsyłane emailami. W dodatku pod nazwą: "gołababa.jpg".
Gdy Linux zdobędzie wreszcie dużą popularność (czego szczerze mu życzę) wśród tłumu niedoświadczonych ludzi dopiero będzie biadolenie.
Podobno problem rozwiązuje używanie Wayland zamiast przestarzałe Xorg, ale Wayland działa tylko w pulpicie Gnome który jest po prostu porażką i dla mnie mógłby po prostu nie istnieć.
2. Jakie paczki muszę usunąć/co wyłączyć żeby CAŁKOWICIE I ABSOLUTNIE odciąć możliwość zdalnego dostępu do komputera?
Czyli coś jak w Windowsie wył. usługi Zdalny Dostęp.
3. Jak sprawdzić integralność systemu? Czy żaden plik nie został zmodyfikowany/uszkodzony?
4. Odnośnie tego firewalla nftables, jest coś takiego jak Gufw? A ten firewall Ufw co był domyślnie w Linux Mint to co? Nie dobry?
5. Chcę potestować pewne skrypty w pythonie z Githuba. A nie jestem progrsmistą więc nie mogę zweryfikować czy nie robią czegoś złośliwego. Jak je zabezpieczyć?
Ostatnio edytowany przez GrdykaIndyka (2023-03-09 20:51:18)
Offline
1) Możesz używać Waylanda
2) Zablokuj cały ruch OUTPUT na iptables czy innym firewallu
3) debsums
5) Konteneryzuj jak się obawiasz. Docker i jazda
Offline
fervi napisał(-a):
1) Możesz używać Waylanda
A właśnie że nie mogę...Pulpit Xfce, karta NVIDIA...
Offline
GrdykaIndyka napisał(-a):
fervi napisał(-a):
1) Możesz używać Waylanda
A właśnie że nie mogę...Pulpit Xfce, karta NVIDIA...
1. Karta Nvidia to w dzisiejszych czasach jest tymczasowy problem.
2.Nvidia zdaje się zaczęła już implementować w sterowniku mechanizm GBM2 zgodny z Mesą, choć nie wiem,
na jakim to utknęło etapie.
3. Xfce bazuje na bibliotece graficznej Gtk+, która od wersji 3.0 wspiera Waylanda, a od wersji chyba 3.6 albo 3.8 wspiera EGLstrem od Nvidii.
Problem z Eglstream miało KDE i kilka mniejszych managerów okien jak np Enlightenment.
Także Xfce za moment będzie brykał na Waylandzie, niektórzy natomiast już widzieli np Wayfire...
Co do Nvidii, czy zdążysz ujrzeć ster wcześniej Nvidii zgodny z GBM 2 Mesy, czy różowy ekran śmierci Nvidia,
tego oczywiście nie wiem, w każdym razie Nvidią nie warto się przejmować.
Xfce i Mate zaczną teraz migrować na nową wersję Gtk - czyli Gtk-4, która już jest wyłącznie na Waylanda/Xwaylanda szykowana.
Także na Waylanda nie tyle nie możesz, co raczej nie uciekniesz, Nvidia już nie jest tu żadną wymówką.
xD
Zwłaszcza, że Xorg już nie jest wspierany, został zredukowany do Xwaylanda,
który to Xwayland ma wsparcie dla EGLstreams za sprawą tej biblioteki:
https://github.com/NVIDIA/egl-wayland
To jest nowy Xserwer:
https://wayland.freedesktop.org/xserver.html
A to jest dziadziuś na emeryturze:
https://www.x.org/wiki/
Conieco o następnym wydaniu Xfce:
https://9to5linux.com/xfce-4-20-desktop-environment … yland-support
Pozdro
Ostatnio edytowany przez Jacekalex (2023-03-10 16:46:38)
Offline
Jacekalex napisał(-a):
1. Karta Nvidia to w dzisiejszych czasach jest tymczasowy problem.
2.Nvidia zdaje się zaczęła już implementować w sterowniku (...)
To chyba będę miał problem, bo dla mojej karty NVIDIA już nie robi sterowników (ostatnia wersja 390). Tzw. architektura Fermi. Spora lista kart zostaje ze starymi sterami :
https://nvidia.custhelp.com/app/answers/detail/a_id … -geforce-gpus
Nie każdy gra w zaawansowane graficznie gry. Do prostych gier czy edycji filmów tanie stare karty są wystarczające.
A wracając do bezpieczestwa, co sądzicie o takim duecie jako firewallu?
https://www.linux-magazine.com/Issues/2020/232/Fire … nd-OpenSnitch
Offline
GrdykaIndyka napisał(-a):
1. podobno najbardziej narażonym na ataki składnikiem Linuxa jest Xorg.
Prosty przykład:
instaluję xinput
wpisuję xinput test co daje mi numery urządzeń
Wpisuję w terminalu xinput test NR_MOJEJ_KLAWIATURY
wchodzę w Firefoxa, loguje się do banku.
i siup! W terminalu pojawia się moje hasło do konta (jako numery znaków).
Wspomniany firejail nie blokuje tego.
Oznacza to że każdy program bez dostępu do roota widzi wszystko co wpisuję w Firefoxie w polu typu password.
Czy jest się czego obawiać?.
Zależy. Bo dostęp do klawiatury ma każdy proces w systemie. Więc jak ci się wgra syf i będzie monitorował przyciśnięcia przycisków, to zaloguje wszystko co wciśniesz. Podobnie jest z dźwiękiem, np. z mikrofonem, i obrazem, tj. tym co jest wyświetlane na ekranie. Choć w systemd dostęp do dźwięku i video jest ograniczony do aktywnej sesji użytkownika domyślnie, więc inny user nie przechwyci tego. Ale wciąż jak syf się wgra i zostanie uruchomiony z prawami aktywnego użytkownika, to z przechwyceniem nie będzie problemu.
GrdykaIndyka napisał(-a):
2. Jakie paczki muszę usunąć/co wyłączyć żeby CAŁKOWICIE I ABSOLUTNIE odciąć możliwość zdalnego dostępu do komputera?
Czyli coś jak w Windowsie wył. usługi Zdalny Dostęp.
Nic nie musisz usuwać, bo domyślnie żaden proces oferujący dostęp zdalny nie jest uruchomiony i nie nasłuchuje zapytań z sieci.
GrdykaIndyka napisał(-a):
3. Jak sprawdzić integralność systemu? Czy żaden plik nie został zmodyfikowany/uszkodzony?
Debsums, wywoływany cyklicznie z cron'a zwraca raporty w oparciu o zawartość paczki i zawarte w niej sumy kontrolne plików. Tylko, że ten mechanizm nie uwzględnia plików, których w tych paczkach nie ma, tj. tylko te pliki które są w tych paczkach są sprawdzane, żadne inne niestandardowe nie są. Podobnie z plikami zwykłego użytkownika. Jak ci się jakiś syf wgra do katalogu użytkownika, to też tego nie wykryje.
GrdykaIndyka napisał(-a):
5. Chcę potestować pewne skrypty w pythonie z Githuba. A nie jestem progrsmistą więc nie mogę zweryfikować czy nie robią czegoś złośliwego. Jak je zabezpieczyć?
Apparmor + tryb enforce i uruchamianie takiego skryptu i patrzenie w logi do jakich plików chce taki skrypt uzyskać dostęp i co ten skrypt chce wywoływać, np. inne programy czy narzędzia.
Poza tym, to firewall procesowy z blokowaniem wyjścia, by w przypadku nawet jak ci się syf wgrał do systemu i uruchomił, to by nie skontaktował się z siecią — w takim przypadku będziesz wiedział, że coś próbuje uzyskać dostęp do sieci i będzie wiadomo jaki to proces i gdzie siedzi.
Szyfrowany dysk na bazie cryptsetup/LUKS/dm-crypt by uniknąć podmian plików gdy system jest offline.
Szyfrowany DNS, by zapytania nie zostały zmienione w locie.
Własne klucze EFI/UEFI + secure boot w połączeniu z TPM2, by uniknąć zmiany kluczowych elementów startu systemu (bootloader, kernel, initramfs) i by tylko to oprogramowanie podpisane przez ciebie mogło się na tej maszynie uruchomić, a nie to, które wskaże np. producent komputera.
Własny kernel, z wkompilowanymi tylko tymi modułami, których dana maszyna potrzebuje, oraz wyłączeniem całego przestarzałego kodu i mechanizmów, które zostały pozostawione dla wstecznej kompatybilności.
Profile przeglądarkowe w zależności od aktywności użytkownika pozbrojone przez apparmor, np. profil porno, profil banku, etc, takby nawet jak profil porno się zasyfił, to by to nie miało wpływu na profil bankowy.
Zbrojenie profili przeglądarkowych via ublock, umatrix i chameleon.
Moduł LKRG, do uzbrojenia kernela przed różnej maści exploit'ami.
Ochrona portów USB via usbguard by nikt syfu po USB nie wgrał jak siedzisz w kiblu.
Polityka policykit dla udisks do montowania zasobów jako zwykły user, aby nikt nie zamontował systemu plików urządzeń, które sam sobie podłączy.
Ograniczanie wywołania su do określonego użytkownika w systemie.
Zaprzęgnięcie sudo.
Zbrojenie systemu via sysctl.
Parę linków:
Sporo z tych tematów jest opisana tutaj: https://morfikov.github.io/
Profile apparmor'a: https://gitlab.com/morfikov/apparmemall
Plik sysctl: https://gitlab.com/morfikov/debian-files/-/raw/mast … c/sysctl.conf
To tak na szybko. xD
Offline