Parę uwag na temat bezpieczeństwa linuksa

[fun]

Coraz więcej osób kopie różne waluty, coraz więcej osób używa do tego linuksa, często po raz pierwszy w życiu.
Z uwagi na to, że nawet komercyjne projekty popełniają podstawowe błędy, co prowadzi do opłakanych skutków, postarajmy zebrać się tutaj zestaw dobrych praktych dla linuksa.
Jeśli chodzi o windowsa, to większość jest w miarę świadoma - nie otwiera nieznanych załączników z poczty, itd, itp.
Postaram się używać poleceń, które powinny działać na większości systemów z rodziny RHEL i debiana (czy ubuntu).
(wszystkie komendy wykonywane z konta root)

1. Zawsze używaj oficjalnych repozytoriów.

2. Po instalacji koniecznie zmień hasło roota.

Kod: Zaznacz cały

passwd

3. NIE korzystaj na co dzień z konta roota, loguj się na zwykłego użytkownika, jeśli potrzebujesz wyższych uprawnień, to skorzystaj z
sudo albo su, pamiętając, żeby to pierwsze wymagało hasła!

4. Sprawdź, jakie usługi odpalają się razem z systemem:

Kod: Zaznacz cały

chkconfig --list
lub 
service --status-all 

wyłącz te, co do których jesteś pewien, że są niepotrzebne (np: postfix, sendmail, exim, mysql, itd)

Kod: Zaznacz cały

chkconfig NAZWA off
lub
update-rc.d NAZWA disable
 

5. Sprawdź potem, które z usług nasłuchują na portach

Kod: Zaznacz cały

netstat -nlput

Jeśli nie włączyłeś czegoś celowo, to wyłącz wszystko, ewentualnie zostaw sshd (w celu zdalnego dostępu do koparki).

Kod: Zaznacz cały

chkconfig NAZWA off

Ten punkt jest o tyle ważny, że sporo komercyjnych projektów na tym poległo - po prostu zostawili domyślnie włączone usługi, co jest wyraźnym proszeniem się o kłopoty. Wspomnę tylko dwóch polskich giełdach oraz naprawdę sporych forach *coinów.

6. Sprawdź ustawienia firewalla - część systemów po instalacji ma trochę reguł, część zostawia pusto.

Kod: Zaznacz cały

iptables-save

Co do ustawienia firewalla - odsyłam do googla i dokumentacji. Jest tak wiele przypadków, że nie sposób to krótko ująć.

7. Jeśli zostawiłeś sobie otwarty dostęp po ssh, to :
- ogranicz dostęp do IP z których się możesz łączyć (jeśli masz taką możliwość) -> patrz punkt 6.
- wyłącz możliwość logowania się na konto root
w pliku /etc/ssh/sshd_config ustaw :

Kod: Zaznacz cały

PermitRootLogin no

i zrestartuj usługę sshd :

Kod: Zaznacz cały

service sshd restart

8. Nigdy nie odpalaj binarek, nie instaluj pakietów, których nie znasz pochodzenia.
W przypadku klienta litecoina - zawsze sprawdzaj podpis cyfrowy.
Jeśli chodzi o minery, jeśli tylko możesz, to zawsze kompiluj samodzielnie.

9. Regularnie aktualizuj system, przynajmniej z repozytoriów security updates. Dbaj o aktualność przeglądarki i softu który używasz na co dzień do poczty, komunikacji, itd.

10. Wywal JAVE! a przynajmniej wyłącz wtyczkę w przeglądarce.

Póki co tyle, osoby znające się na rzeczy proszę o podrzucanie uwag, będę się starał uaktualniać tego posta.

[qertoip]

Bardzo fajne, podpisuję się pod wszystkim!

Oprócz:

Dobrym pomysłem jest też wtyczka wyłączająca javascripta.

...bo w dzisiejszym świecie równie dobrze można by "wyłączyć HTML-a" JavaScript jest integralną częścią platformy przeglądarkowej. Nikt dziś nie pisze aplikacji webowych z pod wyłączony JavaScript.

[fun]

może i macie rację. Pisałem to raczej w kontekście wchodzenia na lekko podejrzane strony
Ale ok, skasuję ten punkt.

edit: Przemo nie kasuj postów, bo wychodzę na schizofrenika widząc qertoip podwójnie

[WMP]

Tak, wszystko mądre i przemyślane Jednak ja patrzę na problem od innej strony. Powyższe luki bezpieczeństwa są możliwe jeśli twój komputer jest wystawiony na świat, nie jest za routerem. Wtedy jak najbardziej należy zastosować się do zaleceń @funa. Jeśli jednak masz zwykły, domowy komputer który stoi za routerem i zainstalowałeś na nim Linuksa aby zabepzieczyć swój portfel BTC, bardzo dobrze zrobiłeś! Nie ma co ukrywać że linuks jest o wiele bardziej bezpieczny niż windows. Niestety, wynika to z faktu że na Linuksa nie powstały armie złego oprogramowania, tak jak na Windowsa. Czy to oznacza że Linuks nie ma zabezpieczeń, antywirusów itepe? Tak, nie ma zabepzieczeń wewnętrznych. Jeśli ktoś wejdzie na twój komputer, to umarł w butach. Jako że wejście przez router jest prawie niemożliwe, opiszę inne metody zabezpieczenia.

Skoro hacker nie może wejśc przez router, to jak może? Może wjeść na przyklad podając ci jakiś złośliwy plik w emailu, na stornie www, na IRCu czy gdziekolwiek indziej gdzie spotkać hakera można. Ty go pobierzesz, uruchomisz, a on oprócz wyświetlenia zabawnego kota w ascii uruchomi również na prawach użytkownika z któego ty uruchomiłes plik, backdoora i jakiegoś prostego VPNa. No i już, może sobie robić co chce, a ty dalej beztrosko oglądasz przygody kota w ascii! Ba, jeszcze mu za kotka dziękujesz! Kotka trojańskiego!

Mam nadzieję że juz nigdy więcej nie pobierzesz jakis podejrzanych plików, nawet z kotami, prawda? Jednak pliki to nie wszyztko, sa jeszcze magiczne polecenia. Wystarczy że ktoś ci poda jakies polecenie, a ty je skopiujesz do terminala i je wykonasz. No i już, haker osiągnął swój cel. Co może zrobić? Pierwsze, najpopularniejsze to: "rm -rf /" lub "rm -rf *". NIE WYKONUJ TEGO, USUNIE CI WSZYSTKIE DANE. Dane w Linuksie można usunąc też na 10 innych sposobów, ale nie będę podrzucać złych przykładów. Uważaj, szczególnie na komendy które należy wykonać z roota, lub te które zaczynają się od sudo.

"Janek, dostałem od dewelopera nową kryptę do przetestowania, jescze nie opublikowana. Dawaj, kompilujemy i kopiemy!!!! A potem wybierzemy sobie Freerari!" Jak sie kompiluje krypty nowe? Rozpakowujesz, wchodzisz do katalogu src i wykonujesz komendę "make". Czy wiesz że komenda make wykonuje wszystkie polecenia zdefiniowane w pliku Makefile? Na przykład usuwanie plików? (tu miał być link do opisu błedu deweloperów jednego programu, których Makefile wykonywał: rm -rf /, ale nie mogę znaleźć). Lub jedną komendą wyśle cały katalog .bitcoin na swój komputer. Prawda że miałeś zaszyfrowany katalog?

"Urządziłeś imprezę i odtwarzałeś pliki mp3? Uwaga, to zabija!" - tak będzie wyglądać nagłówek Faktu gdy dowiedza sie o twoim samobójstwie na skutek straconych wszystkich bitcoinów na rzecz jednego z imprezowiczów. Prawda że masz włączone blokowanie ekranu na hasło?

"Ejjj, WMP!!! Miałem na hasło zablokowany ekran, i co? I po imprezie nie mam BTC!" - bo na imprezę przyszedł ktoś mądrzejszy i zresetowal komputer, w grubie wyedytował linię uruchamiania w taki sposób że grub uruchomił konsolę na prawach roota. No i już, ma dostęp do wszyztkiego. Ale można gruba zabezpieczyć na haseło: http://ubuntuforums.org/showthread.php?t=7353

"Znów mnie okradli! Nawet z hasłem na gruba! Linuks jest do dupy" - widać że imprezowałeś z Linuksowcami, jeden z nich mial LiveCd, LiveUSB, włożył, uruchomił komputer z niego, podmontowal dyski i już, przejął kontrolę nad światem jak ty rzygałeś z powodu zatrucia śledzikiem. Prponował bym wcześniej zaszyfrować katalog domowy użytkownika. Ubuntu daje taką opcje przy instalacji systemu, pamietaj tylko o tym że jak zapomnisz hasła albo coś popsujesz to pliki nie od odzyskania. Masz kopię u babci, prawda?

"Ciemno wszędzie,
Hasła wszędzie,
Co to będzie, co to będzie?!" Dupa blada jeśli będziesz używać tych samych haseł. "No to nie będę, będę miał różne i będę je zapisywać!" Byle nie w dokumencie tekstowym, na Boga! Bezpieczniejsza jest już żółta kartka przyklejona do monitora, wywożona do babci na czas imprezy. Jeśli jednak odwiedza cię często telewizja (http://niebezpiecznik.pl/post/wczoraj-w ... owniczych/) to radzę zainwestować w manager haseł, na przykład: KeePassX. Dzięki niemu, ustawiasz jedno hasło którym szyfrujesz bazę danych innych haseł, a te inne hasła po prostu w niej zapisujesz. Bazę przed utratą warto backupować na jakiegoś pendrive lub na Dropboxa. Bez znajomości hasła nie da się jej odczytać.

[Przemo]

Panowie, tak można gadać do końca świata i dłużej i i tak nic mądrego nie wyniknie i nie da się zabezpieczyć żadnego takiego komputera czy to na linuksie, windzie czy maca.
Rozwiązanie jest jedno, pewne i proste - osobny mały laptop za 200zł odłączony od sieci i robienie transakcji offline, przenoszonych na pendrive.
Może mieć trojany, keyloggery, wirusy. Nieważne.
Tu chodzi o grubą kasę, nie ma miejsca na półśrodki jak perfekcyjne ustawianie linuksa czy najnowsze super antywirusy pod windowsa. Nic nie zabezpieczy wystarczająco dobrze prócz odłączenia kabla od sieci.

Powiem Wam, że ja tak mam i sobie chwalę, nie mam stresu, transakcje się robi dość prosto bezpośrednio z głównego walleta.
Tylko komp offline, klucz prywatny, przeglądarka, strona offline do generowania transakcji i pendrive i nic więcej.
A komp mogą ukraść albo spalić, zaszyfrowany jest klucz prywatny a druga kopia w innych miejscach tez zaszyfrowana długą frazą, którą znam ja i moja żona.
I w taki sposób są zabezpieczone wszystkie możliwe scenariusze.

[bl4ck]

Oj tam wystarczy postawiona wirtualna maszyna. W win 8 mamy np hyper-v.

[Przemo]

Wirtualna maszyna, wirtualne bezpieczeństwo A potem sruuu parę milionów zł do hakera

[fun]

Przemo: masz rację, tylko że...
Tylko że mój poradnik miał na celu wzmocnienie bezpieczeństwa początkujących, czyli raczej z definicji - małych graczy.
Nie piszę tutaj jak zachować bezpieczny porftel, bo takich wątków na forum jest pełno. Chcę pomóc początkującym użytkownikom linuksa ogarnąć trochę temat bezpieczeństwa samego systemu. Tyczy to się zarówno samej koparki, jak i desktopu używanego na co dzień.

[GetBitCoin_pl]

Jak zabezpieczycie kompa to ukradną wam z giełdy i tak w kółko

[Przemo]

Zgadza się, że temat dotyczy bezpieczeństwa linuksa a nie bezpieczeństwa bitcoinów. Jednak w takich miejscach warto zaznaczać, że bitcoiny wymagają naprawdę szczególnej ochrony, żeby kogos nie zwiodło to , że ma super zabezpieczenia i może spac spokojnie - bo nie może. Ok, koniec offtopa na temat bitcoinów.