Skocz do zawartości

Temat został przeniesiony do archiwum

Ten temat przebywa obecnie w archiwum. Dodawanie nowych odpowiedzi zostało zablokowane.

Gość

Ochrona PC z Linuksem

Rekomendowane odpowiedzi

Gość

Witam!

Linux dzięki repozytorium z aplikacjami niezawierającymi wirusów, komponentów szpiegujących i reklamowych, zabezpieczeniu hasłem dostępu do plików systemowych oraz stosunkowo znikomej ilości dedykowanych zagrożeń, jest bardzo bezpiecznym systemem operacyjnym.

Jednak przynajmniej potencjalnie, jakieś zagrożenia istnieją, więc chcę poświęcić ten temat kwestii zabezpieczenia komputerów osobistych z  systemem Linux.

1. Zapora sieciowa.

Wiele dystrybucji Linuksa nie ma skonfigurowanego domyślnie firewalla, ponieważ Linux ma wyższe zabezpieczenia niż np Windows, chociaż nie oznacza to, że nie jest zupełnie podatny na ataki.
Ci którzy chcą dodatkowego bezpieczeństwa, mogą skonfigurować zaporę sieciową. W Linuksie Mincie i Ubuntu: ustawienia  > konfiguracja zapory sieciowej > stan > suwak > zapora włączona. Jeżeli łączymy się z sieciami publicznymi, to należy zmienić profil "Dom", który ma standardowe reguły bezpieczeństwa i pozwala użytkownikom mieć więcej otwartych portów na "Publiczny" posiadający bardziej rygorystyczne właściwości filtrowania.
 
aa737d48b5981.png
 
Jeżeli używamy aplikacji do wymiany plików (Deluge, Transmission, qBittorrent ), w łatwy sposób tworzymy regułę: Rules > + > podkategoria P2P > wybieramy program. Podobnie postępujemy z innymi aplikacjami, które wymagają utworzenia reguły, aby łączyć się z internetem.

2. Blokowanie szkodliwych stron internetowych.

Zawirusowanie systemu Linux, przez samo odwiedzanie stron Web jest praktycznie niemożliwe, ale zdarza się sporadycznie, zainfekowanie przeglądarki internetowej lub otwarcie  stron WWW dokonujących phishingu. Dlatego aby temu zapobiec, należy zainstalować dodatek blokujący reklamy, szkodliwe skrypty oraz strony uBlock Origin z włączonymi filtrami: prywatność, domeny ze złośliwym oprogramowaniem, koparki i przekręty z polskimi listami - klik.

[Obrazek: comment_wDvSoNdeQaIPa7elHbCh8glCPjXwu7ra.jpg]
 
Innym, mniej wygodnym w użyciu rozwiązaniem, które chroni przeglądarki internetowe przed zainfekowaniem jest wtyczka do Firefoxa NoScript Security Suite, a dla Chrome dodatek NoScript.
 
Znakomitym narzędziem, które zabezpiecza system i aplikacje przed szkodliwymi działaniami jest piaskownica  Firejail. Z menadżera oprogramowania należy zainstalować nakładkę graficzną Firetools i z jej poziomu uruchamiać przeglądarki internetowe, klienta pocztowego lub inne programy. Firejail świetnie nadaje się do wykonywania przelewów bankowych ponieważ uniemożliwia skuteczne działanie keyloggerów oraz szkodliwych programów wykonujących zrzuty ekranu w przeglądarce internetowej. Jednak tego typu aplikacje bardzo trudno napotkać w Linuksie, jeśli w ogóle jest to możliwe.
 
Jeżeli korzystamy z bankowości elektronicznej, to nie należy podawać nikomu numeru klienta i hasła (prawdziwe banki nie pytają o numer klienta i hasło) oraz przelewać pieniędzy na portalach społecznościowych. Logując się na stronie banku, należy sprawdzić, czy jest ona prawdziwa - klik.
 
3. Ochrona prywatności i zachowanie anonimowości.

Jeśli chcemy zachować prywatność na swoim komputerze surfując po internecie, to należy uruchomić Firefoxa w prywatnym oknie: Otwórz menu > Nowe okno prywatne, lub PPM na zakładkę strony Web: "otwórz w nowym oknie prywatnym".

Gdy nie używamy trybu prywatnego, to możemy ręcznie wyczyścić przeglądarki internetowe, lub ustawić w Firefoxie czyszczenie ciasteczek oraz historii podczas zamykania (nie wszystkie ślady zostaną usunięte). W Chrome warto użyć dodatku Click&Clean.
 
Bardziej zaawansowani użytkownicy mogą użyć BleachBita, dostępnego w narzędziach systemowych menadżera oprogramowania. Zaznaczając elementy do usuwania, należy kliknąć "anuluj" w przypadku ostrzeżeń dotyczących niestabilności systemu, wersji eksperymentalnych oraz haseł, wówczas program dokona jedynie bezpiecznego czyszczenia. Odradzam jednak używania tego programu w wersji "root", a jeżeli jest to konieczne, to zalecam tworzenie kopii systemowych, żeby uniknąć problemów z poprawnym działaniem Linuksa.

Można także zmienić domyślny serwer DNS usługodawcy internetowego na bardziej prywatny i szybszy - klik.
Warto również, korzystać z najbardziej prywatnej wyszukiwarki DuckDuckGo.

[Obrazek: tor-browser-interfejs-programu-full.jpg]

Jeżeli zależy nam na anonimowości oraz większym bezpieczeństwie w sieci, to jest możliwość ukrycia prawdziwego IP i zaszyfrowania połączeń dzięki darmowemu klientowi  ProtonVPN w wersji free lub  przeglądarce internetowej Tor Browser Bundle.
Praktycznie stuprocentową anonimowość podczas przeglądania internetu, zapewnia zastosowanie dwóch rozwiązań jednocześnie: klient VPN + Tor włączony po VPN. Jest to jednak ekstremalne rozwiązanie.
 
Oczywiście podstawą jest nieudostępnianie w sieci swoich prywatnych danych!

4. Program antywirusowy.

Dla systemu Windows powstała olbrzymia ilość wirusów, adware i spyware, a natrafienie na nie w Linuksie, nawet celowe jest niezwykle trudne.
Pomimo zastraszania, stosowanego przez niektóre firmy tworzące płatne programy antywirusowe, na forach nie znajdziemy tematów w których ludzie proszą o pomoc po zainfekowaniu systemu Linux.
Czy warto więc instalować AV?
Nie jest to konieczne, a nawet niewskazane, gdy nie instalujemy nieznanych aplikacji z niepewnych źródeł, spoza repozytorium. Jeśli jednak musimy to robić, to najlepiej takie programy przetestować przed instalacją na wirtualnej maszynie (VirtualBox).

Nie należy otwierać podejrzanych załączników pocztowych, szczególnie z nieznanych źródeł, a przed wszystkim nadawać im uprawnień wpisując hasło.

Jednak początkujący Linuksowcy, którzy czują się jeszcze niepewnie oraz osoby wysyłające (kopiujące) duże ilości plików do użytkowników Windowsa, mogą sobie zainstalować antywirusa.

Najczęściej polecany jest skaner antywirusowy na żądanie o otwartym kodzie Clam AntiVirus, który jest dostępny w repozytorium Linuksa. Nie dysponuje on wysoką wykrywalnością wirusów, a poza tym, może generować dużą ilość ostrzeżeń, względem bezpiecznych plików.
Z darmowych programów antywirusowych dla Linuksa jest jeszcze nierozwijany od ośmiu lat (nie można zainstalować go w nowszych wersjach Linuksa Minta i Ubuntu)  Comodo Antivirus for Linux, który również nie dysponuje zbyt wysoką wykrywalnością zagrożeń, szczególnie linuksowych - klik.
 
Najlepiej skorzystać w razie potrzeby z bezpłatnych skanerów antywirusowych rescue live CD, bazującego na Linuksie: ESET SysRescue Live, Kaspersky Rescue Disk, Avira Rescue System, Dr.Web LiveDisk.
 
Można także okresowo zainstalować bezpłatne wersje testowe Trial: ESET Nod32 Antivirus, F-Secure Linux Security, McAfee Endpoint Security for Linux Threat PreventionDr.Web for Linux lub jeśli jest to konieczne, zakupić antywirusa.

Uwaga! Używanie programu antywirusowego o zamkniętym kodzie, nie gwarantuje zachowania prywatności!

PS.
Pojedyncze pliki oraz strony internetowe można skanować multiskanerem antywirusowym online VirusTotal: https://www.virustotal.com/pl/
Wersja retro: https://www.virustotal.com/old-browsers/
 

 

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

jak mozna mowic o bezpieczenstwie linuksa i nie wspomniec o systemach MAC? SELinux/AppArmor to sa w sumie najpopularniejsze systemy

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
Gość

Załóż temat i wspomnij.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Wydaje mi się że pakowanie antywirusa do Linuksa to IMO nadal lekka przesada. Ma to uzasadnienie według mnie kiedy montujemy pendrivy z pobieranym softem do systemów innych niż Linux i nie chcemy ich przy okazji "poczęstować". Jednak nawet jeżeli to raczej celowałbym w używanie w tym celu ClamAV z nakładką ClamTK. Oprócz tego dla ZU, zainstalowałbym firewalla GUFW i ustawił pakiety wychodzące na zezwolone a przychodzące na odrzucanie z uwzględnieniem portów które używamy i dodaniem ich jako reguły. Oprócz tego doinstalowałbym auditd + apparmor i wrzucił w /etc/security/limits.conf wpisy z ograniczeniem uruchamianych procesów dla użytkowników (zabezpieczenie przed fork-bombami, IMHO czasami testując nowe niesprawdzone oprogramowanie zdarzają się takie przypadki, jeżeli nie mówimy już tu o wymuszonych :) ). W ostateczności odblokowałbym w sysctl.conf wpisy na temat filtrowania pakietów rpc, martians packets oraz syncookies.

Tyle z mojej strony i uważam, że naprawdę dla ZU to aż nadto. Oczywiście do tego stosowanie konta root tylko w uzasadnionych przypadkach, ale czysto software'owo.

 

Jak długo korzystam z Linuxa (będzie to już z 10 lat z czego 5 powiedzmy profesjonalnie) wirusa zagrażającemu bezpośrednio systemowi nie widziałem. Nie mówimy tutaj oczywiście o zabawkach w stylu forkbomba czy "jedno linijkowe" skrypty w perlu :)

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
Gość

Nie piszę, żeby koniecznie instalować antywirusa.

 

PS.

Sophos AV też może działać jako skaner na żądanie, z wyłączona ochroną w czasie rzeczywistym.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Jednak wolę sprawdzać FP i mieć spokój, aniżeli instalować zamknięte oprogramowanie, które często nie wiadomo co robi. Z jakiegoś względu ISP czy to Mail Providerzy też korzystają z ClamAV + SpamAssasin, także z czegoś to się bierze i nie trzeba tego negować tak samo jak ja nie neguje ciebie :) Wyraziłem tylko swoją opinię i również się zgadzam, False-Positive trzeba mieć na uwadze i uważnie filtrować elementy "be" od "aj".

 

PS. Pracuję dla różnych ISP i oni też zwyczajowo mają ClamAV ale zazwyczaj z własnymi "witaminkami". Ja osobiście polecam go z uwagi na otwarty kod, tak wiem, że nie każdy koduje, jednak jest to narzędzie z możliwym wiecznym rozwojem :)

 

PS2. FP w Mincie, biorą się zazwyczaj z "baboli" o zamkniętym kodzie przy zaznaczonej opcji PUA, dla świętego spokoju, od czasu do czasu można zapuścić również Tigera oraz RKHunter :)

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
Gość

ClamAV może generować FP nawet w przypadku zwykłych, czystych plików doc, PDF, a jego wykrywalność jest mizerna. Wyjątkowo kiepski AV!

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Z tą wykrywalnością naprawdę nie jest tak źle, dodając do tego witaminki jest już naprawdę dobrze. Nawet z tego co wiem GMail korzysta z ClamAV, więc coś w tym jest. Jednak dochodzimy do punktu gdzie użytkownik domowy zderza się z tematem antywirusa na Linuksie. Nie jestem totalnym ignorantem, jednak uważam, że jeżeli jako użytkownik domowy nie przenosimy plików z Linuxa na Windowsa to nie ma sensu na ŻADNEGO antywirusa. Sam w sobie linuks jest w miarę bezpiecznym systemem dla użytkownika domowego i zazwyczaj wymaga minimalnego wkładu użytkownika lub jest w miarę dobrze skonfigurowany już na samym początku (według mnie śmiało mogę wskazać openSUSE). Ja osobiście nie ufam (i naszczęście nie muszę ani w domu ani w pracy :) ) korzystać z zamkniętego oprogramowania.

 

A dla totalnych paranoików mogę polecić jeszcze wirtualizację :) Coś ala QubesOS, jednak umówmy się ZU na linuchu da radę właściwie out-of-box i jedyne co mu do szczęścia (bezpieczeństwa) jest potrzebne to Firewall i ewentualnie Anty-Fork-Bomb

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
Gość

Testuję od lat antywirusy i nikt mnie nie przekona, że ClamAV jest dobry. Cechuje go wszystko to, czego antywirus nie powinien posiadać: generowanie dużej ilości fałszywych alarmów, mizerna wykrywalność i duże obciążenie komputera.

 

Jeśli chodzi o niestosowanie antywirusa na Linuksie, to zgoda, ale jeżeli ktoś chce używać, to niech to będzie dobry program, a darmowy Sophos jest takim.

 

Piaskownic jest kilka, choć większość nierozwijana i odstająca poziomem od podobnych aplikacji dla Windowsa.

 

Moim zdaniem uBlock Origin z włączonymi filtrami malware, spyware, privacy i spam, powinien wystarczyć.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
Ja osobiście nie ufam (i naszczęście nie muszę ani w domu ani w pracy :) ) korzystać z zamkniętego oprogramowania.

 

 

co za problem zamknac dana apke w sandboksie z selinuksa badz- skoro juz o opensuse mova- apparmora?

szczegolnie kazda aplikacja "sieciowa" powinna byc w czyms takim zamknieta (wliczajac w to komunikatory badz przegladarki)

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
Gość

Głownie z tego względu, że darmowa wersja Sophos Free Antivirus for Linux została porzucona - klik, temat zmodyfikowałem.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...