Hoe u uw pas geïnstalleerde Ubuntu kunt beveiligen
Zonder twijfel is een nieuw geïnstalleerd Linux-systeem minder vatbaar voor malware, spyware en hacking dan een vers geïnstalleerd Windows-systeem. De meeste Linux-systemen zijn echter geconfigureerd met een aantal standaardinstellingen die inherent onveilig zijn. Sommige Linux-distributies zijn ontworpen om te worden geïnstalleerd met zeer veilige standaardinstellingen, maar dit levert systemen op die een aanzienlijke moeilijkheid hebben voor nieuwe gebruikers, met name gebruikers die geen computerbeveiligingsprofessionals zijn.
Ubuntu is tegenwoordig misschien wel de meest populaire Linux-distro, en dit is te wijten aan een groot aantal factoren, waarvan de vriendelijkheid tegenover nieuwe gebruikers ligt. Veel van de standaardinstellingen van Ubuntu zijn erop gericht gebruikers toe te staan hun systemen onmiddellijk na de installatie te gebruiken met zo weinig mogelijk verstoring. Hoewel dit zijn positieve kanten heeft, resulteert het ook in een systeem dat enkele tekortkomingen vertoont, waardoor het voor gebruikersgemak wordt verhandeld. In dit artikel wordt een aantal elementaire maar krachtige configuratiewijzigingen behandeld die laten zien hoe u uw nieuw geïnstalleerde Ubuntu kunt beveiligen tegen veel van de veel voorkomende aanvalsmethoden.
Voor de meeste van deze beveiligingswijzigingen zijn bewerkingsconfiguratiebestanden nodig en deze bestanden kunnen meestal alleen worden bewerkt via roottoegang (supergebruiker). Configuratiebestanden kunnen op verschillende manieren met roottoegang worden geopend, maar drie veelgebruikte manieren worden hieronder beschreven. Aangenomen dat het bestand dat we willen openen "/ file / config" is.
Openen via een terminal:
sudoedit / file / config
Of als u Gnome gebruikt, drukt u op "Alt + F2" en typt u:
gksudo gedit / file / config
Of als u KDE gebruikt, drukt u op "Alt + F2" en typt u:
kdesu kate / file / config
Opmerking : in de onderstaande schermafbeeldingen is alle bewerking gedaan via de terminal, dus alle configuratiebestanden worden geopend met behulp van sudoedit
.
De basis dingen
Dit zijn configuratiestappen die afhankelijk zijn van hoe u uw systeem wilt gebruiken. De eerste basisverandering is om een wachtwoord in te stellen voor uw gebruiker. Zelfs als u de enige gebruiker op het systeem bent, is het belangrijk om uw computer met een wachtwoord te beveiligen. Als u waarschijnlijk toegang tot uw systeem geeft aan andere gebruikers, maakt u een Gast-account (ook met een wachtwoord beveiligd) dat u aan uw gasten zou geven. Linux is vanaf het begin gebouwd als een systeem met meerdere gebruikers, dus het omschakelen van gebruikers en meerdere gebruikers op hetzelfde systeem is een integraal onderdeel van het gebruik van Linux.
Herconfigureer gedeeld geheugen
Standaard is de gedeelde geheugenruimte (/ run / shm) gekoppeld aan lezen / schrijven, met de mogelijkheid om programma's uit te voeren. Dit is in de beveiligingsgemeenschap als kwetsbaar gemarkeerd, met veel exploits beschikbaar waarbij "/ run / shm" wordt gebruikt tijdens het aanvallen van actieve services. Voor de meeste desktop- en serverconfiguraties is het raadzaam om dit als alleen-lezen te koppelen door de volgende regel toe te voegen aan het bestand "/ etc / fstab."
Open het bestand "/ etc / fstab":
sudoedit / etc / fstab
Voeg de volgende regel toe aan het einde van het bestand:
geen / run / shm tmpfs standaard, ro 0 0
Er zijn echter een paar programma's die niet werken als "/ run / shm" als alleen-lezen is aangekoppeld, zoals Google Chrome. Als u Chrome als uw browser gebruikt (of van plan bent Chrome te gebruiken), moet '/ run / shm' lees / schrijf worden gekoppeld en moet u in plaats daarvan de volgende regel toevoegen:
none / run / shm tmpfs rw, noexec, nosuid, nodev 0 0
Weigeren "su" -programma aan niet-admins
Anders dan je eigen persoonlijke account, wordt Ubuntu ook geleverd met een gastaccount, zodat je er snel naar kunt overschakelen en je laptop aan je vriend kunt lenen. "Su" is een programma dat een gebruiker in staat stelt een programma uit te voeren als een andere gebruiker op de machine. Dit is erg handig als het correct wordt gebruikt en is een vitaal onderdeel van Linux's beroemde beveiligingssysteem. Het kan echter worden misbruikt op een standaard Ubuntu-systeem. Als u de toegang van gastaccounts tot het "su" -programma wilt weigeren, typt u het volgende in een terminal
sudo dpkg-statoverride --update --add root sudo 4750 / bin / su
Beveilig je thuismap
Uw thuismap is standaard toegankelijk voor elke andere gebruiker op het systeem. Dus als u een gastaccount hebt, kan uw gastgebruiker uw thuismap openen en door al uw persoonlijke bestanden en documenten bladeren. Met deze stap is uw homedirectory onleesbaar voor andere gebruikers. Open een terminal en voer de volgende opdracht in (Opmerking: vervang "gebruikersnaam" door de naam van uw gebruikersaccount).
chmod 0700 / home / gebruikersnaam
Je kunt ook een toestemming van 0750 instellen (lees hier voor meer informatie over bestandsmachtiging in Linux) om toegang te verlenen aan gebruikers in dezelfde groep als jij.
chmod 0750 / home / gebruikersnaam
Schakel SSH Root Login uit
Ubuntu staat standaard geen SSH-toegang toe aan de rootgebruiker. Als u echter een wachtwoord voor uw rootaccount instelt, kan dit een potentieel groot beveiligingsrisico vormen. Mogelijk hebt u sshd niet op uw systeem geïnstalleerd. Bevestig in een terminal om te bevestigen of u een SSH-server hebt geïnstalleerd
ssh localhost
U krijgt de foutmelding "Connection geweigerd" als u geen SSH-server hebt geïnstalleerd, wat betekent dat u de rest van deze tip veilig kunt negeren.
Als je een SSH-server hebt geïnstalleerd, kan deze worden geconfigureerd via het configuratiebestand op "/ etc / ssh / sshd_config." Open dit bestand en vervang de volgende regel
PermitRootLogin ja
met deze regel
PermitRootLogin nr
Conclusie
Hartelijk gefeliciteerd. U hebt een meetbaar beveiligd Ubuntu-systeem. Met de bovenstaande configuratiewijzigingen hebben we enkele van de meest voorkomende aanvalsvectoren en penetratiemethoden geblokkeerd die worden gebruikt om Ubuntu-systemen te exploiteren. Bezoek de Ubuntu Wiki voor meer Ubuntu-beveiligingstips, trucs en uitgebreide informatie.