Главная » Ответы

Некоторые мысли о безопасности Linux

На чтение 4 мин. Просмотров 29 Опубликовано

В этом посте я писал о безопасности Linux. Я хотел сказать, что ОС может быть достаточно надежной, но, конечно, не пуленепробиваемой по умолчанию, поэтому доверять ей слишком много — большая ошибка.

Содержание
  1. Отказ от ответственности
  2. Linux повсюду
  3. Проблемы безопасности многочисленны
  4. Linux требует ручного усиления
  5. Что вы можете сделать?
  6. Подведение итогов

Отказ от ответственности

Linux — замечательная ОС. Здесь мы лишь «перечислим» темные стороны и вещи, которые могут пойти не так.

Linux повсюду

Хотя Linux занимает около 1% рынка, если рассматривать только конечных пользователей, в реальности он используется повсеместно:

  • IoT-устройства
  • облачные архитектуры
  • Автомобили
  • Военная инфраструктура
  • Серверы
  • Системы, обеспечивающие выполнение критически важных задач, таких как управление воздушным движением

И многое другое…

Проблемы безопасности многочисленны

  • Сотни дистрибутивов и подсистем, и многие из них не поддерживаются или несовершенны.
  • Многочисленные эксплойты ядра за последние годы
  • Разрушительные локальные повышения привилегий, такие как «грязные трубы», «грязные коровы».
  • Рабочие столы, которые не защищают конфиденциальность пользователей, позволяя любому приложению получить доступ ко всем данным (нет песочницы)
  • Решения песочницы, такие как firejail, многие исследователи безопасности считают несовершенными по своей природе, поскольку они выполняются от имени root, поэтому любой изъян в пакете приведет к повышению привилегий root
  • Множественные уязвимости повреждения памяти (например, унифицированные переменные, инъекции шеллкода, цепные атаки ROP/JOP)
  • Множественные эксплойты sudo (кейлоггеры, крючки через LD_PRELOAD, поддельные подсказки sudo).

И многое другое…

Linux требует ручного усиления

Linux делает хорошую работу с некоторыми конфигурациями по умолчанию, но это не значит, что вы можете пропустить важные шаги.

Конечно, это зависит от вашей модели угроз, т.е. от того, какие потенциальные риски связаны с вашей деятельностью, но, по моему опыту, укрепление Linux необходимо и требует глубоких знаний.

Нередко продвинутые команды по безопасности или пен-тестеры создают свои собственные дистрибутивы, в которые добавляют твики безопасности и пакеты, которые они любят использовать.

Хотя это правда, что они делают это в основном для эффективности и предотвращения проблем со стабильностью, которые могут помешать их работе, они также выполняют различное усиление.

Для среднего пользователя Linux значительную часть глобальной безопасности обеспечивают браузеры, а не операционная система.

Что вы можете сделать?

Это всегда один и тот же процесс: учиться, экспериментировать и переходить к следующему шагу. Вы ничего не можете сделать против глобальных противников, но если только вы не занимаетесь странными вещами или не стали невольно лицом, представляющим интерес, дополнительные уровни безопасности значительно усложнят ситуацию для детей и менее опасных субъектов.

Вот практические рекомендации для частных лиц:

  • используйте шифрование всего диска, а не только папки ~/home
  • отключите любую телеметрию (например, отключите системные отчеты, не отправляйте отчеты о сбоях) и историю файлов, если они вам не нужны, что вполне вероятно
  • отключите беспроводные соединения, если они вам не нужны (например, Bluetooth, WiFi)
  • избавьтесь от бесполезных служб (например, в настройках конфиденциальности) и пакетов, закройте неиспользуемые порты
  • закрыть камеру
  • заблокируйте рабочий стол, а также BIOS (например, установите пароль администратора)
  • не используйте пакеты безопасности вслепую, так как это может быть использовано против вас
  • не используйте одни и те же устройства для классических и конфиденциальных действий
  • рассмотрите возможность перехода на SELinux

Подведение итогов

В отличие от проприетарных систем, таких как Windows и macOS, Linux имеет открытый исходный код, что дает множество преимуществ, включая надежность и возможность аудита!

Однако это не означает, что вы не можете критиковать его только потому, что он бесплатный. Некоторые функции великолепны, а другие спорны, включая те, которые я бы рекомендовал.

Исследование вещей — это здорово, но может иметь некоторые издержки. Вы можете вызвать любопытство, и если что-то пойдет не так, некоторые люди могут поставить под сомнение вашу деятельность:

  • почему вы используете дистрибутивы, созданные для хакеров или пен-тестеров?
  • почему вы изучаете продвинутые методы компартментализации?
  • какого черта вы используете поддельные MAC-адреса?
  • почему вы отключаете свой телефон?
  • зачем вам нужен такой уровень анонимности, в то время как базовой конфиденциальности было бы достаточно?

Есть несколько минусов, которые вам нужно учитывать, потому что, к сожалению, аргумент «нечего скрывать» преобладает в нашем обществе, и Linux не решит ваши проблемы автоматически.

Кредиты фото: Fengyou Wan

Оцените статью
devanswers.ru
Добавить комментарий