Cách bảo mật máy tính Linux đúng cách

Rõ ràng, có các phương pháp khác nhau để bảo mật dựa trên máy tính gia đình so với máy tính chuyên nghiệp. Các câu hỏi của tôi thường liên quan đến việc bảo vệ máy tính để bàn tại nhà, nhưng bảo vệ chuyên nghiệp chắc chắn được hoan nghênh :) Kiến thức là sức mạnh.

Kể từ khi chuyển đến thế giới tuyệt vời của Linux vài năm trước, tôi thậm chí chưa bao giờ thực sự nghĩ về bảo mật. Xem như hầu hết cặn bã có tuổi thọ thấp tạo ra vi-rút cho các máy Windows vì chúng ngày càng phong phú.

Nhưng làm thế nào để tôi biết nếu tôi an toàn / an toàn từ bất kỳ ai muốn nhận được cho tôi hoặc công cụ của tôi. Tôi biết rằng bất cứ ai đủ quyết tâm để có được ý chí, không có câu hỏi nào về điều đó. Nhưng tôi có thể thực hiện những bước nào để đảm bảo tôi được bảo vệ khỏi những thứ như vỏ rễ lừa đảo và tấn công tự động? Ngoài ra, có một loại tường lửa / chống vi-rút tích hợp trong các bản phân phối Linux hơn không?

Tôi biết câu hỏi này khá rộng vì có rất nhiều cách để ai đó có thể thỏa hiệp với hệ thống của bạn, nhưng có lẽ bạn có thể chia sẻ những gì bạn đã làm để đảm bảo an toàn.

EDIT: Tôi quyết định không cho phép đăng nhập root thông qua ssh và để thay đổi cổng được lắng nghe một cái gì đó ngẫu nhiên. Hy vọng đây là một bước đi đúng hướng. Hiện đang xem iptables và tắt dịch vụ. Hy vọng rằng câu hỏi này sẽ nhận được nhiều câu trả lời chất lượng (đã có 3) và nó sẽ giúp ích cho những điều hoang tưởng khác :)

EDIT 2: Có một số vấn đề về iptables, nhưng nó chứng tỏ là một công cụ tốt

EDIT 3: Cho đến nay, không ai chạm vào vấn đề mã hóa ổ cứng. Điều này có đáng không? Tôi chưa bao giờ sử dụng nó trước đây vì vậy tôi không biết làm thế nào nó hoạt động. Làm thế nào dễ dàng để thực hiện điều này?

Thêm một chỉnh sửa: về các dịch vụ nên chạy trên hệ thống của bạn, những dịch vụ nào nên hoặc nên chạy? Những cổng nào sẽ được mở trên hộp của bạn? Tất nhiên điều này phụ thuộc vào những gì bạn sử dụng, nhưng những gì được mở theo mặc định và những gì nguy hiểm?

Bạn có thể rất khó khăn với iptables. Hãy nhìn vào man pagevà bạn sẽ thấy phần mềm này phức tạp đến mức nào. Ngoài việc không kết nối với mạng như đã đề cập ở trên, điều này có lẽ là tốt như bạn có thể làm.

Nếu bạn đang sử dụng, sshhãy chắc chắn không sử dụng mật khẩu mà thay vào đó hãy sử dụng khóa chung.

Chỉ cài đặt phần mềm từ repos đáng tin cậy của phân phối. Có nhiều biện pháp khác nhau giúp duy trì tính toàn vẹn của các gói được tìm thấy.

Giữ cho hệ thống của bạn cập nhật.

Đừng chạy với quyền root - chỉ nâng cao đặc quyền khi bạn phải.

Khi duyệt web, hãy sử dụng những thứ như FlashBlock / AdBlock / NoScript.

Đừng hoảng sợ.

Bạn sẽ ổn với cài đặt linux bên ngoài, chỉ cần vô hiệu hóa bất kỳ dịch vụ nào bạn không sử dụng. Nếu đó là một PC gia đình thì bạn không có gì phải lo lắng.

Tôi đã chạy Ubuntu trên máy tính để bàn của mình trong nhiều năm chỉ với một vài dịch vụ bị vô hiệu hóa, như chia sẻ bluetooth và thư mục và sau đó sử dụng HĐH. Bạn có thể cài đặt một phần mềm chống vi-rút nếu bạn muốn nhưng nó không thực sự cần thiết.

Nó phụ thuộc rất nhiều vào việc bạn đang sử dụng nó để làm gì và cổng nào được mở. Ví dụ: nếu bạn có nhiều dịch vụ tiếp xúc với internet và chúng là những thứ thường bị sử dụng sai, fail2ban thật tuyệt vời - tôi sử dụng nó để chặn khai thác ssh ngẫu nhiên chẳng hạn.

Không sử dụng tài khoản root của bạn cũng là lẽ thường. Cách ubfox không có tài khoản root thực sự có một số công đức cũng như các cuộc tấn công vũ phu thông thường của bạn sẽ cố gắng đoán tên người dùng và mật khẩu.

Cuối cùng, như đã đề cập trước đó, giảm mức độ đe dọa của bạn - tắt mọi dịch vụ không sử dụng và bất kỳ cổng nào không cần ngay lập tức.

Hãy xem hướng dẫn của NSA để bảo vệ Red Hat Linux . Đó là một hướng dẫn khởi đầu tốt để khóa hệ thống cơ bản. Bạn có thể không sử dụng Red Hat, nhưng nó cho bạn ý tưởng tốt về những gì cần xem xét. Tất nhiên, nếu bạn cung cấp bất kỳ dịch vụ nào trên hệ thống của mình, thì bạn sẽ cần xem xét các rủi ro từ các dịch vụ đó.

Mã hóa ổ cứng tương đối đơn giản và dễ cài đặt. Một số bản phân phối (đáng chú ý là Ubuntu) cung cấp để mã hóa thư mục chính cho bạn khi cài đặt.

Có đáng hay không? Chà, nó sẽ không bảo vệ dữ liệu của bạn trước ai đó khỏi sự xâm nhập của internet - một khi máy tính được khởi động và hệ thống tập tin được gắn (mã hóa hoặc không), máy tính có thể đọc dữ liệu - và do đó kẻ tấn công có thể đọc dữ liệu.

Những gì nó bảo vệ bạn chống lại là một người nào đó đột nhập vào nhà bạn và đánh cắp máy tính của bạn. Nó ngăn họ có thể lấy dữ liệu của bạn. Không phải là nhiều người phá nhà muốn dữ liệu; họ chỉ muốn bán máy tính với giá nhanh để họ có thể ghi thêm một số loại thuốc.

Tốt hơn hết là bạn nên mã hóa từng tệp nhạy cảm của mình để chỉ bạn mới có thể nhận được chúng bằng cụm từ / cụm từ khóa. Điều đó sẽ ngăn chúng dễ dàng bị kẻ tấn công đọc.