Debian Stretch desktop - zabezpečení

[jmk]

Ahoj,

chtěl bych se zeptat jestli řešíte zabezpečení na desktopu, případně jak ?
Já mám následující přístup:

• zapínám automatické aktualizace, pomocí instalace unattended-upgrades - automatická kontrola aktualizací každý den
• zapínám firewall - iptables, blokuji veškerý příchozí provoz, odchozí není blokovaný
• SElinux - co jsem četl tak na Debianu byl jeden čas docela rozbitý a i teď jsem různě na netu četl doporučení pro SElinux na Debianu, mít raději v permissive módu - což moc zabezpečení nepřináší. Nicméně chtěl bych ho začít používat. Vaše zkušenosti na Debianu ?? Když jsem používal CentOS 7 tam jsem měl defaultně zapnutý na Enforcing a bez jakýkoliv větších problémů.
• Antivirus - používat ? Dle mého zatím zbytečnost.
• Nyní jsem začal instalovat systém z netinstallu media - tasksel Gnome/Mate a doinstalovávám si balíky dle potřeby - nevyužívám tedy přednastavené full DE. toto asi nemá moc společného se zabezpečením, ale spíše to přináší dobrý pocit z toho, že nejsou v systému zbytečnosti 

Desktop využívám na takové to domácí "brouzdání" tedy:

• net, včetně internetového bankovnictví, FF téměř bez doplňků (Video DownloadHelper)
• úprava/přehrávání filmů, fotek, mp3
• VirtualBox, LO
• pro poštu Thunderbird, spamy řeším přes poskytovatele
• a další nepodstatné využití

Předem díky za názory.

[Reklama]

[Franta <xkucf03/>]

SELinux/AppArmor případně Firejail by bylo dobré použít k izolování aplikací – www prohlížeč, e-mailový klient, video přehrávač… aby nemohly číst tvoje soukromá data (kromě těch, která vyloženě potřebují).

Pro méně bezpečné činnosti si založ nového uživatele. Dej chmod 700 /home/* a spusť si pod tímto uživatelem novou relaci – pak se přepínáš přes Ctrl+Alt+F7, F8… Případně jde použít Xephyr a ta druhá relace ti poběží v okně.

Pro ještě méně bezpečné činnosti si vytvoř virtuálku (KVM/Qemu, případně Xen nebo VirtualBox). Tam mimochodem taky můžeš použít ten Xephyr a relaci mít přes SSH. Nebo si to místo toho Xephyru taky pustit přes SSH na Ctrl+Alt+F8. Ta virtuálka taky může běžet na jiném počítači nebo to může být fyzický počítač – ale pracovat se ti s tím bude stejně.

Ty nejhorší činnosti pak musíš dělat na odděleném HW a oddělené síti, protože i ve virtualizaci může být chyba.

A pak tu jsou věci jako QubesOS, ale to už je jiná distribuce.

[jmk]

Jo jasně, to vše určitě lze, ale je to docela nekomfortní. Nenapsal jsem to explicitně, ale měl jsem na mysli zabezpečení Desktopu, kterého cílový uživatel bude BFU, takže pro něj naprosto nemyslitelné používání jiného účtu apod. 

Spíše sbírám poznatky ohledně zabezpečení v rozumném poměru efektivita vs použitelnost. Aby jsem nežil v iluzi, že dávám BFU zabezpečený Desktop a nebude to o nic bezpečnější než Windows s admin účtem 

Pochopitelně BFU nemá sudo ani nezná roota.

[Franta <xkucf03/>]

Tak bych mu tam dal velký disk, na něj Btrfs a nastavil pravidelné vytváření snapshotů aspoň jednou denně. Před únikem dat to nepomůže, ale pokud si něco smaže/přepíše nebo mu nedejbože nějaký program něco smaže, tak to půjde obnovit.

Taky bych tam dal LVM a na samostatný LV nainstaloval záložní systém – pokud by si něco rozbil, tak si může spustit aspoň ten a bude moci komunikovat, používat internet, přehrávat filmy atd. Případně mu vedle počítače dát flashku s nějakou Live distribucí a naučit ho, jak z ní nabootovat.

[D.A. Tiger]

Ahoj
pouzivam Debian/GNU uz hruzu let na Desktopu (i v rodine) a uprime pro "takove to domaci zvykani" by melo bohate stacit desfaultni bezpecnostni politika distributora (za predpokladu, ze uzivatel pouziva hlavu a ridi se selskym rozumem a zakladnimi zasadami bezpecneho pouzivani netu).

Osobne nepouzivam Selinux, ale AppArmor, protoze mi prijde jednodussi a dostatecne efektivni. Ale to se vyplati v takovem pripade snad jen tehdy, kdyz chces zkoumat co aplikace v systemu dela a aktivne jim do toho kafrat a potom jeste kdyz pouzivas emulatory (treba dosbox) ci wine a tem aplikacim co pod tim provozujes zas tolik neduverujes.

Tot muj nazor    

[Reklama]

[JardaP .]

kdyz pouzivas emulatory (treba dosbox) ci wine a tem aplikacim co pod tim provozujes zas tolik neduverujes.

Nemelo by stacit, kdyz jim okrouhas konfiguraci disku tak, aby mohly jed do toho sveho jednoho adresare a ani nahodou na /root, ~ a kdekam?

[D.A. Tiger]

kdyz pouzivas emulatory (treba dosbox) ci wine a tem aplikacim co pod tim provozujes zas tolik neduverujes.

Nemelo by stacit, kdyz jim okrouhas konfiguraci disku tak, aby mohly jed do toho sveho jednoho adresare a ani nahodou na /root, ~ a kdekam?

Teoreticky ano. obvzvlaste v kombinaci s "inteligentnim" nastaveni prav techle aplikaci. Ony by dosove aplikace - ciste teoreticky - ani jinam nez do "sveho" adresare lest nemeli.

Ale mam zkusenosti, ze to tak neni. Navic pochazeji z dob, kdy aplikace meli primi pristup k HW a mohli si tam delat co je zrovna napadlo. Nejsem si uplne jisty, jak Dosbox presne podobne pozadavky resi. Sice by podobne zakernosti mel odchytit OS, ale vís jak to je s temi erupcemi na Slunci? Dosove hry me provazeji uz odnepameti a uz jsem zazil par situaci (i kdyz to nemohu uplne dokazat), kdy vsechno nsavedcuje tomu, ze za nasledne chyby na HDD mohli prave tyhle aplikace.

Proste dosovym aplikacim "uplne" neduveruji jiz z principu, tak se rad podivam kam to leze a co by to jako chtelo delat.