По моим наблюдениям, многие из тех, кто выбирает Linux лишь потому, что думает, будто данная ОС защищена гораздо лучше, чем Windows. На самом деле, все не так однозначно. Безопасность и в самом деле является "фишкой" данной системы, которая охватывает область от ядра Linux и до рабочего стола. Тем не менее, система всегда оставляет неплохие шансы всем тем, кто пожелает «наследить» в вашей папке /home. Linux, вполне возможно, совсем неподвластна червям и вирусам, которые написаны для Windows, однако черви и вирусы являются сравнительно небольшой частью проблемы. Злоумышленники имеют множество своих «тузов в рукаве», благодаря которым они могут добраться до важной вам информации, начиная с фото на документы и заканчивая кредитными карточками.
Наиболее подверженными риску для атак являются компьютеры, которые подключены к Сети, однако и устройства без выхода во «внешний мир» уязвимы ничуть не менее. К примеру, что может произойти со старым ноутбуком или же с жестким диском, которые выбрасывает пользователь? Ведь есть довольно мощные инструменты для восстановления информации, и многие вполне доступны для бесплатного скачивания. Благодаря им каждый сисадмин средней руки сможет восстановить данные с вашего диска, и не важно, с какой ОС вы работали. Если на жестком диске есть данные, причем неважно, повреждены они или нет, то эти данные можно восстановить. К примеру, можно воссоздать банковские счета, реконструировать записанные разговоры в чатах, также можно реставрировать изображения.
Это нормально, но не стоит из-за этого совсем прекращать пользоваться ПК. Сделать машину, которая при этом подключена к Internet, неуязвимой для атак почти невозможно. Зато возможно сильно осложнить задачу атакующему, гарантируя, что он не сможет «достать» ничего полезного из уже скомпрометированной системы. Особенно согревает душу, что при помощи собственно Linux, а также некоторых программ, созданных на основе Open Source, обеспечить защитой вашу ОС Linux будет достаточно просто.
Мы обсудим некоторые аспекты безопасности Linux в следующих постах, а начнем мы с самого, на мой взгляд, важного - с обновлений. Если они отключены, то это серьезная проблема, и если, например, контрафактные Windows кое-кто резонно предпочитает прятать от инструмента автообновления, то в случае с Linux такое поведение просто не имеет смысла.
Все основные дистрибутивы Linux (среди них Debian, Fedora и Ubuntu) могут похвастаться собственными командами специалистов по безопасности, которые работают рука об руку с командами по поддержке пакетов, обеспечивая максимальную защиту пользователей от различных уязвимостей в системе безопасности. Эти команды должны гарантировать обнаружение уязвимостей вовремя, а также должны быстро выпускать «заплатки», которые будут быстро затыкать все обнаруженные «дыры».
Дистрибутив ваш обязательно обладает репозиторием, который полностью отведен под обновления системы безопасности. Потребуется лишь активировать данный репозиторий (кстати, вполне возможно, это уже и сделано заранее) и определить, вручную или в автоматическом режиме устанавливать обновления.
К примеру, в Ubuntu для этого потребуется выбрать в меню System Administration, а затем Software Sources. Потом на вкладке Updates нужно будет указать, как часто дистрибутив должен «тестировать» репозиторий безопасности, выискивая на нем новые обновления и определить, должна ли система ставить обновления автоматически, или же ей стоит запрашивать у пользователя подтверждения перед установкой обновлений. Последний вариант можно назвать более интересным, ведь он позволит просматривать обновления до их установки. С другой стороны, в просмотре часто нужды нет, обычно с обновлениями все в порядке, и выбрав автоматическую установку вы сэкономите немного своего времени.
Помимо обновлений, дистрибутивы часто обладают и специальным списком рассылки, связанным с вопросами безопасности. Для рассылки анонсов тех уязвимостей, которые были обнаружены, а также для рассылки пакетов, исправляющих данные уязвимости. Вполне разумно будет следить за списком рассылки дистрибутива, который касается безопасности, и регулярно находить обновления безопасности в наиболее важных для вас пакетах. Между объявлением о нахождении уязвимости и скачиванием пакета обновления в репозиторий обычно проходит какое-то время; списки рассылки покажут, как можно скачать и вручную установить обновления.
Дистрибутивы Linux могут быть разделены на различные категории, в зависимости от назначения и предполагаемой целевой группы. Серверы, обучение, игры и мультимедиа являются одними из популярных категорий дистрибутивов Linux.
Для пользователей, беспокоящихся о безопасности, существует несколько дистрибутивов, который предназначены для усиленной защиты приватности. Эти сборки гарантируют защиту от отслеживания вашей активности при серфинге в сети.
Тем не менее, в нашей подборке представлены не только дистрибутивы с акцентом на конфиденциальность, но и дистрибутивы для проведения тестирований вторжений. Эти сборки специально предназначены для анализа и оценки безопасности системы и сети и содержат широкий спектр специализированных инструментов для тестирования систем на потенциальные уязвимости.
Дистрибутив на базе Ubuntu, разработанный для тестирования вторжений. За счет использования XFCE в качестве стандартного оконного менеджера, работает очень быстро.
Репозитории программных решений постоянно обновляются, чтобы пользователь всегда имел дело с последними версиями встроенных инструментов, которые позволяют выполнять анализ веб-приложений, стресс-тесты, оценку потенциальных уязвимостей, привилегий и многое другое.
В отличие от других дистрибутивов, которые включают большой набор различных приложений, Backbox не содержит подобной избыточности. Здесь Вы найдете только лучшие инструменты для каждой отдельной задачи или цели. Все инструменты отсортированы по категориям, что упрощает их обнаружение.
На Википедии представлены краткие обзоры многих встроенных инструментов. Несмотря на то, что Backbox первоначально создавался исключительно для тестирования, дистрибутив также поддерживает сеть Tor, которая поможет скрыть ваше цифровое присутствие.
Kali
Вероятно, самый популярный дистрибутив для тестирования на проникновения, основанный на Debian Wheezy. разработан компанией Offensive Security Ltd и является продолжением более раннего проекта BackTrack Linux.
Kali доступ в виде 32-битных и 64-битных ISO-образов, которые можно записать на USB-носитель или CD диск, или даже установить на жесткий диск или твердотельный накопитель. Проект также поддерживает архитектуру ARM и может запускаться даже на одноплатном компьютере Raspberry Pi, а также включает огромное количество инструментов анализа и тестирования. Основным рабочим столом является Gnome, но Kali позволяет создать персонализированный ISO-образ с другой средой рабочего стола. Этот гибко настраиваемый дистрибутив позволяет пользователям даже изменять и пересобирать ядро Linux, чтобы соответствовать конкретным требованиям.
О популярности Kali можно судить по тому, что система является совместимой и поддерживаемой платформой для MetaSpoilt Framework - мощного инструмента, который позволяет разрабатывать и выполнять код эксплойта на удаленном компьютере.
Доступный для 32-битных и 64-битных машин, является дистрибутивом для тестирования вторжений, который основан на Gentoo Linux. Пользователи Gentoo могут дополнительно устанавливать Pentoo, который будет инсталлироваться поверх основной системы. Дистрибутив основан на XFCE и поддерживает сохранение изменений, поэтому при отключении USB-носителя, все примененные изменения будут сохранены для будущих сессий.
Встроенные инструменты делятся на 15 различных категорий, например, Exploit, Fingerprint, Cracker, Database, Scanner и т.д. Будучи основанным на Gentoo, дистрибутив унаследовал набор защитных функций Gentoo, которые позволяют выполнять дополнительные настройки безопасности и более детально управлять дистрибутивом. Вы можете использовать утилиту Application Finder для быстрого обнаружения приложений, расположенных в различных категориях.
Поскольку дистрибутив основан на Gentoo, потребуется выполнить некоторые манипуляции, чтобы заставить работать сетевую карту и другие аппаратные компоненты. При загрузке выберите опцию проверки и настройте все ваши устройства.
Основанный на Ubuntu, данный дистрибутив разработан для обнаружения вторжений и мониторинга сетевой безопасности. В отличие от других дистрибутивов для пентестинга, которые носят скорее наступательный характер, представляет собой более оборонительную систему.
Тем не менее, проект включает большое количество инструментов наступательного толка, которые встречаются в других дистрибутивах для тестирования на проникновение, а также инструменты мониторинга сети, например, сниффер пакетов Wireshark и утилита обнаружения вторжений Suricata.
Security Onion построен вокруг XFCE и включает все самые необходимые приложения, имеющиеся в Xubuntu. Security Onion не предназначен для любителей, а скорее подойдет опытным специалистам, которые имеют определенный уровень знаний в области мониторинга сети и предотвращения вторжений. К счастью проект постоянно сопровождается подробными руководствами и видеоуроками, чтобы помочь в работе с сложным встроенным ПО.
Caine
Учетная запись по умолчанию: root:blackarch. BlackArch имеет размер более 4 гигабайт и поставляется с несколькими различными оконными менеджерами, включая Fluxbox, Openbox, Awesome.
В отличие от других дистрибутивов для тестирования на проникновение, BlackArch также может использоваться в качестве инструмента повышенной конфиденциальности. Кроме различных инструментов анализа, мониторинга и тестирования, дистрибутив также включает инструменты защиты от слежения, в частности sswap и ropeadope для безопасного стирания содержимого файла подкачки и системных журналов соответственно и многие другие программы для обеспечения приватности.
Разработанный итальянской сетью Frozenbox, посвященной IT-безопасности и программированию, основанный на Debian, может использоваться для тестирования вторжений и поддержания конфиденциальности. Также как BlackArch, Parrot Security OS является дистрибутивом плавающего релиза. Логин по умолчанию для Live-сессии: root:toor.
Устанавливаемый Live-образ предлагает несколько опций загрузки, например, устойчивый режим или устойчивый режим с шифрованием данных. Кроме аналитических инструментов, дистрибутив включает несколько программ для анонимности и даже криптографическое ПО.
Персонализируемая среда рабочего стола Mate предлагает привлекательный интерфейс, а сам Parrot Security OS работает очень шустро даже на машинах с 2 гигабайтами ОЗУ. В систему встроено несколько нишевых утилит, например, apktool - инструмент изменения APK файлов.
Для пользователей, которые заботятся о приватности, в дистрибутиве предусмотрена специальная категория приложений, где пользователи могут включить анонимный режим серфинга в Интернете (используются сети Tor) за один клик.
JonDo
Нашли опечатку? Выделите и нажмите Ctrl + Enter
Чаще всего в контексте их беспрецедентной безопасности. Некоторые даже утверждают, что Linux - самые безопасные операционные системы из всех представленных на рынке. Это, разумеется, ничем не доказуемая гипербола. Действительно, многие дистрибутивы Linux оказываются на порядок безопаснее и , но большинство из них не дотягивает до стандартов FreeBSD, не говоря уже об OpenBSD, которая зарекомендовала себя как одна из наиболее защищенных пользовательских систем. И это даже если оставить в стороне узкоспециальные ОС типа всевозможных RTOS, IBM i, OpenVMS и TrustedBSD.
Теоретически, конечно, такое заявление все-таки имеет право на существование. Если учесть, что при словах «операционная система с открытым кодом» большинство пользователей думает в первую очередь (если не исключительно) о Linux (а порой даже считает, что Linux - это и есть название ОС), то они правы. При прочих равных условиях, популярные системы с открытым кодом действительно имеют преимущество с точки зрения безопасности по сравнению с закрытыми ОС. Тем не менее, семейство Linux - далеко не единственный образец операционных систем с открытым кодом.
Если считать Linux символом открытого ПО, а MS Windows - символом закрытого, тогда, конечно, можно сказать, что «Linux - самые безопасные системы из всех», притом что в понятие «все» входит всего две категории продуктов. Но ведь мир устроен далеко не так просто.
На самом деле, ОС Linux далеко не являются самыми безопасными, если учесть весь доступный ассортимент операционных систем. А некоторые дистрибутивы Linux так и вообще создавались исключительно в исследовательских целях и поэтому намеренно обладают минимальным уровнем защиты в стандартной конфигурации. По уровню варьируются от абсолютно не защищенных до таких монстров, как Hardened Gentoo. Ну а среднестатистический дистрибутив Linux находится, естественно, где-то посередине.
К тому же, вычислить « » не так просто, как это кажется на первый взгляд. Главный критерий, на который ориентируются пользователи, не разбирающиеся в стандартах безопасности (и те, кто манипулирует этими пользователями в корыстных интересах), - это количество выявленных уязвимостей. Но ведь мы-то с вами знаем, что минимум обнаруженных в системе лазеек - еще не повод считать ее надежно защищенной. Говоря о безопасности, нужно учитывать целый ряд факторов, в том числе:
Осуществляется ли проверка качества кода;
какие заданы стандартные настройки безопасности;
насколько быстро и качественно пишутся исправления;
как устроена система распределения полномочий;
...и многое другое.
Даже если не брать в расчет ОС, в которых не запускаются, к примеру, популярные веб-браузеры (Firefox), почтовые клиенты (Thunderbird) и офисные программы (OpenOffice.org) с графическим интерфейсом WIMP на компьютере с архитектурой Intel x86, среднестатистический дистрибутив Linux ни при каких условиях нельзя назвать самой защищенной операционной системой. И уж во всяком случае, Ubuntu - едва ли не самый распространенная ОС Linux - на это звание претендовать точно не может.
Да и вообще, в любой категории систем непременно найдется такая, которая оказывается на порядок лучше Ubuntu по всем параметрам, причем зачастую это просто другие дистрибутивы Linux. А ведь некоторые утверждают, что среди - самая безопасная. В таком случае, и если предположить, что системы Linux вообще самые защищенные на рынке, это значит, что Ubuntu даже безопаснее OpenVMS. Извините, что-то не верится.
Если вы тоже убеждены, что «Linux - самые безопасные операционные системы», настоятельно советую вам пересмотреть свои взгляды. Многие другие ОС оказываются намного безопаснее среднестатистического дистрибутива Linux. К тому же, если учесть, насколько разнообразно семейство ОС Linux в принципе и какие разные критерии приняты для оценки степени защищенности операционных систем, такое заявление звучит по меньшей мере идеалистически.
Ответ на вопрос «являются ли операционные системы Linux самыми безопасными» зависит от того, какие системы сравнивать и с какой точки зрения оценивать безопасность ОС (если, конечно, речь не идет об абстрактном сравнении открытого и закрытого ПО). Если же голословно заявлять, что Linux безопаснее всех, всегда есть риск столкнуться с человеком, который разбирается в проблеме гораздо лучше и легко сможет разнести эту необоснованную точку зрения в пух и прах.
Нужно быть точнее в своих высказываниях, иначе есть опасность усвоить поверхностный взгляд на проблему безопасности вообще и создать массу неприятностей для тех, кто склонен прислушиваться к таким заявлениям. Если имеется в виду, что при прочих равных условиях популярные операционные системы с открытым кодом безопаснее популярных ОС с закрытым, - нужно так и говорить. Если имеется в виду, что стандартная конфигурация Ubuntu безопаснее стандартной конфигурации
На ежегодной конференции LinuxCon в 2015 году создатель ядра GNU/Linux Линус Торвальдс поделился своим мнением по поводу безопасности системы. Он подчеркнул необходимость смягчения эффекта от наличия тех или иных багов грамотной защитой, чтобы при нарушении работы одного компонента следующий слой перекрывал проблему.
В этом материале мы постараемся раскрыть эту тему с практической точки зрения:
7. Установить сетевые экраны
Недавно была новая уязвимость, позволяющая проводить DDoS-атаки на сервера под управлением Linux. Баг в ядре системы появился с версии 3.6 в конце 2012 года. Уязвимость даёт возможность хакерам внедрять вирусы в файлы загрузки, веб-страницы и раскрывать Tor-соединения, причём для взлома не нужно прилагать много усилий - сработает метод IP-спуфинга.Максимум вреда для зашифрованных соединений HTTPS или SSH - прерывание соединения, а вот в незащищённый трафик злоумышленник может поместить новое содержимое, в том числе вредоносные программы. Для защиты от подобных атак подойдёт firewall.
Блокировать доступ с помощью Firewall
Firewall - это один из самых важных инструментов блокирования нежелательного входящего трафика. Мы рекомендуем пропускать только действительно нужный трафик и полностью запретить весь остальной.
Для фильтрации пакетов в большинстве дистрибутивов Linux есть контроллер iptables. Обычно им пользуются опытные пользователи, а для упрощённой настройки можно использовать утилиты UFW в Debian/Ubuntu или FirewallD в Fedora.
8. Отключить ненужные сервисы
Специалисты из Университета Виргинии рекомендуют отключить все сервисы, которые вы не используете. Некоторые фоновые процессы установлены на автозагрузку и работают до отключения системы. Для настройки этих программ нужно проверить скрипты инициализации. Запуск сервисов может осуществляться через inetd или xinetd.Если ваша система настроена через inetd, то в файле /etc/inetd.conf вы сможете отредактировать список фоновых программ «демонов», для отключения загрузки сервиса достаточно поставить в начале строки знак «#», превратив её из исполняемой в комментарий.
Если система использует xinetd, то её конфигурация будет в директории /etc/xinetd.d. Каждый файл директории определяет сервис, который можно отключить, указав пункт disable = yes, как в этом примере:
Service finger
{
socket_type = stream
wait = no
user = nobody
server = /usr/sbin/in.fingerd
disable = yes
}
Также стоит проверить постоянные процессы, которые не управляются inetd или xinetd. Настроить скрипты запуска можно в директориях /etc/init.d или /etc/inittab. После проделанных изменений запустите команду под root-аккаунтом.
/etc/rc.d/init.d/inet restart
9. Защитить сервер физически
Невозможно полностью защититься от атак злоумышленника с физическим доступом к серверу. Поэтому необходимо обезопасить помещение, где расположена ваша система. Дата-центры серьёзно следят за безопасностью, ограничивают доступ к серверам, устанавливают камеры слежения и назначают постоянную охрану.Для входа в дата-центр все посетители должны проходить определенные этапы аутентификации. Также настоятельно рекомендуется использовать датчики движения во всех помещениях центра.
10. Защитить сервер от неавторизованного доступа
Система неавторизованного доступа или IDS собирает данные о конфигурации системы и файлах и в дальнейшем сравнивает эти данные с новыми изменениями, чтобы определить, вредны ли они для системы.Например, инструменты Tripwire и Aide собирают базу данных о системных файлах и защищают их с помощью набора ключей. Psad используется для отслеживания подозрительной активности с помощью отчётов firewall.
Bro создан для мониторинга сети, отслеживания подозрительных схем действия, сбора статистики, выполнения системных команд и генерация оповещений. RKHunter можно использовать для защиты от вирусов, чаще всего руткитов. Эта утилита проверяет вашу систему по базе известных уязвимостей и может определять небезопасные настройки в приложениях.
Заключение
Перечисленные выше инструменты и настройки помогут вам частично защитить систему, но безопасность зависит от вашего поведения и понимания ситуации. Без внимательности, осторожности и постоянного самообучения все защитные меры могут не сработать.О чем еще мы пишем:
Теги:
- 1сloud
- linux
- ИБ
Чаще всего нападкам подвергается самая сильная сторона свободной ОС - безопасность. То, чем больше всего гордятся линуксоиды и что больше всего ценят. Предлагаем вашему вниманию 5 главных мифов.
Исходный код
Миф 1. Linux небезопасен, так как исходные коды программ доступны для изучения хакерам. Рядовые пользователи вряд ли будут ковырять сложный код, а вот хакеры будут, чтобы потом эксплуатировать найденные уязвимости. К тому же,
Что на самом деле: вручную просматривать миллионы строк исходного кода и не требуется. Эта задача решается статистическими анализаторами кода и специальными программными комплексами для аудита. Случайные и преднамеренные ошибки вылавливаются автоматом и затем уже эксперт разбирается с каждым конкретным случаем. Для закрытого бинарного кода Windows это не работает. Вот уже где действительно можно легко спрятать закладку.
Вирусы
Миф 2. Под Linux мало вирусов, но только потому, что Linux является малопопулярной операционной системой. Как только количество пользователей возрастет, подтянутся и вирусописатели, а сам Linux ничем не будет отличаться от Windows в плане восприимчивости к сетевой заразе.
Что на самом деле: 2% пользователей Linux - это десятки миллионов компьютеров. Если бы действительно было просто , то он был бы давно создан. Android - это тоже на 95% Linux. Устройств на базе Android уже миллиард. Ну и где эпидемии?
Опытные пользователи
Миф 3. Linux более безопасен, но только из-за того, что Linux используют более опытные пользователи. Если Linux начнут использовать все, то начнутся такие же эпидемии компьютерной заразы.
Что на самом деле: отчасти это правда. Но не только от вирусов, но и от дураков. За это его и не любят многие пользователи Windows, которые пробовали перейти на Linux, но не осилили. Например, в Windows фактически поощряется работа под администраторской учетной записью (к пользователю меньше пристают). Linux же не даст постоянно работать под root.
Опять вирусы
Миф 4. Под Linux тоже есть вирусы.
Антивирус
Миф 5. Под Linux установка антивируса является обязательной.
Что на самом деле: обязательным является настройка iptables и воздержание от подключения сомнительных репозиториев третьей стороны. Тогда нужды в антивирусе нет. Более того, маркетологами антивирусных компаний.
