Zabezpečení desktopu?

Zabezpečení desktopu?
« kdy: 08. 09. 2016, 01:36:39 »
Dobrý den. Dnes jsem nainstaloval debian.
doinstaloval ufw, apparmor, clamav.
co dalšího používáte?
« Poslední změna: 08. 09. 2016, 18:58:53 od Petr Krčmář »


Jenda

Re:Zabezpečení destopu?
« Odpověď #1 kdy: 08. 09. 2016, 04:11:06 »
Jen tak nainstalovat ufw a apparmor podle mě nestačí, hlavně to musí někdo rozumně zkonfigurovat. K čemu plánuješ to ufw používat? Mně přišlo na desktopu rozumnější podívat se netstatem co kde poslouchá a to pokosit než mít otevřené služby a lepit přes to firewall.

A clamav… to ti jako jen tak běží a tím si myslíš že něco dělá? Když s ním chceš něco skenovat, tak mu to musíš aktivně nasypat. Ale nenapadá mě, co skenovat na desktopu -- na děravé aplikace typicky vyjde záplata hned a díky správci balíků si snadno všechno zaktualizuješ a heuristiku pro rozpoznání linuxových 0dayů to fakt nemá.

Pokud jsi trochu paranoidní, spouštěl bych browser pod zvláštním uživatelem a pokud možno i pod zvláštními Xky. Pokud jsi hodně paranoidní, koukni na QubesOS.

Re:Zabezpečení destopu?
« Odpověď #2 kdy: 08. 09. 2016, 16:38:27 »
Děkuji. Nejsem paranoik. Jen nemám rád když se mi hrabou v dokumentech :) Určitě se na QubesOS podívám.
Jen mi přijde, že nechat povolenou síť, není až tak moudrý nápad, ikdyž jsem za NATem. Co se týká prohlížeče, tak ten je jako vrata od hangáru s transparentem: "Dělejte si tu co chcete". Výchozí profily pro Apparmor jsou nešťastně napsané( někdy pro ubuntu :) ) a musí se opravit/přepsat. Ještě jednou děkuji za odpověď.

Re:Zabezpečení destopu?
« Odpověď #3 kdy: 08. 09. 2016, 16:45:48 »
Pokud chces resit otazku par uzivatelskych programu, ktere pracuji s potencialne zlymi daty (browser, mail, prehravac videa, prehravac hudby, torrentitko, prohlizec pdf...), tak muzes zvazit firejail. Dalsi alterantiva je cast tech veci (dropbox, torrent...) spoustet pod jinym uzivatelem, ktery ma notne osekanejsi prava.

Je to takove "reseni" napul, urcite to neni ekvivalent QubesOS.

karlik

Re:Zabezpečení destopu?
« Odpověď #4 kdy: 08. 09. 2016, 17:35:35 »
Podívej, někde jsem četl, že bezpečnost je proces, ne okamžitý stav.

Nikdo ti neřekne, nainstaluj si program xxx (antivir, selinux, apparmor, detekci rootkitů, nessus atd) a budeš mít parádně zabezpečený  OS.

Žádný OS není bezpečný.
Můžeš se pouze snažit, aby byl z hlediska tvých znalostí a zkušeností co nejméně zranitelný.

Takže pokud se chceš věnovat zabezpečení PC, existuje obrovské množství literatury, které si můžeš zdarma prostudovat na internetu.

Jinak například:
- Pomocí netstat -natup zkontrolovat síťové služby, nepotřebné vypnout.
- Pomocí htop (top) vyhledat nepotřebné procesy a ty vypnout.
- Méně bezpečné programy odizolovat od systému - např. pomocí virtualizace.
- SELinux - někteří tvrdí, že zvyšuje zabezpečení OS pro NSA.
- Pravidelná aktualizace systému
- Instalovat programy pouze z repozitáře distribuce.
- Nastavení pro jednotlivé programy, např. pro Firefox jedna z variant:
https://vikingvpn.com/cybersecurity-wiki/browser-security/guide-hardening-mozilla-firefox-for-privacy-and-security
- https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html-single/Security_Guide/
 
Bezpečný PC je odpojený od sítě a zamčený v trezoru. Hezky se bav.  :-)



Jenda

Re:Zabezpečení destopu?
« Odpověď #5 kdy: 08. 09. 2016, 22:18:26 »
Jen mi přijde, že nechat povolenou síť, není až tak moudrý nápad, ikdyž jsem za NATem.

A jakým způsobem tu síť chceš uzavřít? OUTPUT omezit nemůžeš, protože nevíš, kam se budeš připojovat (já občas při sledování aplikací omezuju OUTPUT podle user ID), omezit FORWARD nemá moc smysl když máš vypnutý forwarding a stejně asi nemáš víc síťovek a omezit INPUT taky nemá smysl, protože když ti tam žádná služba neposlouchá, tak je jedno, jestli spojení odmítne kernel, protože tam žádná služba neposlouchá, nebo kernel, protože je tam REJECT pravidlo v iptables. A pokud tam služba poslouchá, přijde mi čistší ji vypnout než přes zející díru nalepit záplatu v podobě firewallu.

JardaP .

  • *****
  • 11 064
    • Zobrazit profil
    • E-mail
Re:Zabezpečení destopu?
« Odpověď #6 kdy: 08. 09. 2016, 22:44:59 »
omezit INPUT taky nemá smysl, protože když ti tam žádná služba neposlouchá, tak je jedno, jestli spojení odmítne kernel, protože tam žádná služba neposlouchá, nebo kernel, protože je tam REJECT pravidlo v iptables.

Tak rozdil je v tom, ze jednou to tazateli vrati port closed a jednou to dela mrtveho brouka a tazatel se ani nedozvi, ze na dane adrese dli pocitac. Krome toho, kdyz zazdi vsechny porty na vstupu (krome apriklad ssh), tak nemusi resit pripady, ze mu nejaky update zase nekam nasral startovaci skripty, ktere predtim vyhodil a spusti se mu sluzba, kterou nemuze odinstalovat kvuli nejake veprove zavislosti. A take clovek nikdy nevi, jestli se v jadre neobjevi nejaka krasna chyba, pres kterou se treba lze pres zavreny port do jadra probourat. Ne, ze by Linux byl uplne perfektni a vselijakymi chybami obcas netrpel.