- Что нужно настроить в Ubuntu для безопасности после установки?, And, 22:26 , 25-Мрт-21 (1) +1
Если быть очень кратким:Настроить автообновление. Уязвимость может быть в любой части, связана как-то с обработкой/парсингом материалов из сети. Поэтому обновление всех компонент. Работать под учёткой, у которой нет sudo. Вероятно, выключить Snap. Деинсталлировать snapd. Связано с возможностью приноса неизвестных зависимостей третьей стороны через Snap. Он так устроен. Спекулятивное утверждение, но этот вектор атаки существует. В 20-й версии придётся уйти на Linux Mint, если жить без Snap. Пристально относиться к установкам из сети. Предпочитать репозитории операционной системы. В браузере ограничивать скрипты, использовать adblockers, из числа доверенных. Настроить: sudo ufw enable В случае установки серверных сервисов читать про защиту каждого сервиса. Т.к. роутера нет, то фаервол отсутствует, а комьютер подключён прямо в интернет. Посмотреть
sudo netstat -antpu | grep LISTEN
Проанализировать. Ненужное выкинуть. Нужное защитить.
- Что нужно настроить в Ubuntu для безопасности после установки?, Аноним, 09:37 , 28-Мрт-21 (6)
$ sudo netstat -antpu | grep LISTEN
tcp 0 0 127.0.0.53:53 0.0.0.0:* LISTEN 995/systemd-resolve tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN 1021/cupsd tcp6 0 0 ::1:631 :::* LISTEN 1021/cupsd
Была тут новость про уязвимость в transmission с поочерёдной отдачей двух IP‑адресов: на первый запрос отдаётся реальный IP‑адрес сервера со страницей, а затем возвращается 127.0.0.1. Получается systemd‑resolve и cupsd тоже могут быть подвержены этой уязвимости, ну, и вообще всё, что принимает соединения, пусть даже только с локальных адресов?
- Что нужно настроить в Ubuntu для безопасности после установки?, And, 21:20 , 01-Апр-21 (11)
Уязвимость может быть другая. Но ход мысли верный.Из браузера с веб страницы можно было получить доступность локальных сетевых портов. Например. В последние пару лет. Дальше - смотря для чего всё это настраивать. Читать, думать. Эти слушают только локалхост - неплохо. Когда слушают 0.0.0.0 - гораздо хуже.
- Что нужно настроить в Ubuntu для безопасности после установки?, Аноним, 10:53 , 28-Мрт-21 (8)
> Работать под учёткой, у которой нет sudo.а когда требуются права суперпользователя использовать su или переключаться, например, по Ctrl+Alt+F2 и заходить под рутом?
- Что нужно настроить в Ubuntu для безопасности после установки?, Аноним, 13:50 , 29-Мрт-21 (10)
Почему в советах нет:1. Шифрование всего если есть дуалбут. 2. Настройки сетевого экрана. 3. Настройки Integrity для системы, хотя бы по запросу: AIDE, Tripwire, ... 4. Настройки антивирусника: обновление баз; сканирование при доступе /home, /tmp, /var/tmp; желательно расшифровывать и сканировать весь входящий трафик с интернетом.
- Что нужно настроить в Ubuntu для безопасности после установки?, And, 21:24 , 01-Апр-21 (13)
Пункт второй в советах есть.Шифрование... Не совсем оно шифрование всего. Но /boot можно настроить шифрованным, но это требует до установки и во время установки врупашную плотно поработать. Убунта в этом месте слаба. Интегрити, антивирус - не совсем настройки само
- Что нужно настроить в Ubuntu для безопасности после установки?, Аноним, 22:58 , 01-Апр-21 (16)
> Работать под учёткой, у которой нет sudo.Поясните для чайника чем опасно работать под учеткой с sudo? ведь чтобы совершить действие надо все-равно ввести пароль. в чем разница между этим и тем чтобы перейти в другую учетку и там ввести пароль? Неужели админы, у которых основная работа связана с настройкой компов/серверов работают под учеткой без sudo?
- Что нужно настроить в Ubuntu для безопасности после установки?, And, 13:42 , 02-Апр-21 (18)
> Поясните для чайника чем опасно работать под учеткой с sudo? ведь чтобы > совершить действие надо все-равно ввести пароль. в чем разница между этим > и тем чтобы перейти в другую учетку и там ввести пароль? Посмотрите про ключ -K у sudo. sudo помнит кеширует данное разрешение на некоторое время. Можно сделать в скрипте sudo /bin/true первый раз и затем некоторое время любое sudo не попросит пароля. Дальше вопрос того что делают на этой машине или чего не делают. Например, запущенная сборка какого-либо пакета от имени рута может навести порядок в системе так, как не хотелось бы. Могут быть нюансы работы под камерами, нюансы ввода паролей "не туда". Нюансы поведения. В соседнем постинге верно указали - сначала надо определять от чего защищаться. А так если, без конкретики, то общие неконкретные рекомендации. > Неужели админы, у которых основная работа связана с настройкой компов/серверов работают > под учеткой без sudo? Смотря какие и на каких рабочих станциях. Шуточное прозвище "админ локалхоста" в том, что рабочих станций (компьютеров) может быть несколько, у каждой разное назначений. Зависит от работы и окружения. Разгильдяев тоже много, спасает принцип Неуловимого Джо - кому он нужен. Для домашних применений можно освоить Vagrant (или попророще VirtualBox) и браузер в докере от имени ограниченной учётки. Это позволяет избегать запуска напрямую, изолировать какие-то одноразовые эксперименты или ненужный софт/сайты. Запускать пинесённое снаружи внутри изоляции.
- Что нужно настроить в Ubuntu для безопасности после установки?, Аноним, 16:02 , 02-Апр-21 (19)
> Можно сделать в скрипте sudo /bin/true первый раз и затем некоторое время любое sudo не попросит пароля.здесь надо сделать оговорку, что любое sudo в контексте того терминала (и даже конкретной вкладки терминала), в котором был запущен этот скрипт, но в чём проблема-то? В том, что я могу, например, выполнить "sudo apt-get update" и тут же в этом же терминале случайно или намеренно запустить некий скрипт или программу, которые смогут выполнить что-нибудь с повышенными привилегиями?
- Что нужно настроить в Ubuntu для безопасности после установки?, And, 18:01 , 02-Апр-21 (20)
Да, например. После правки какой-то системной информации, переключиться на другое и запустить совсем др. вещь, но в контексте с sudo доступным без пароля. Изредка встречаются нестандартные, непрофессиональные подходы в скриптах. Редко бывает, но это возможный вектор. Трудно предсказать мысли, реализованные в пакетах из Pip от модностриженного слишком молодого питониста-бигдатиста с свежевыжатым соком. А там бывает и компиляция кода - т.е. что угодно может оказаться.
- Что нужно настроить в Ubuntu для безопасности после установки?, Аноним, 10:37 , 02-Апр-21 (17)
в выводе "sudo ss -tunap" постоянно присутствует эта запись:
Netid State Recv-Q Send-Q Local Address:Port Peer Address:Port udp UNCONN 0 0 0.0.0.0:68 0.0.0.0:* users:(("dhclient",pid=8365,fd=6))
требуются ли ограничения в фаерволе для dhclient (клиент используется)?
- Что нужно настроить в Ubuntu для безопасности после установки?, Сейд, 22:29 , 25-Мрт-21 (2)
Нужно держать свою систему постоянно обновлённой и в самом актуальном состоянии (Lubuntu 20.10).
- Что нужно настроить в Ubuntu для безопасности после установки?, And, 10:10 , 27-Мрт-21 (5)
> Нужно держать свою систему постоянно обновлённой и в самом актуальном состоянии (Lubuntu > 20.10).Только важно не впадать в крайность, не попасть в зависимость от сроков поддержки и экспериментальных фич. 20.10 - релиз с коротким сроком поддержки, в таких внедряют новое. А вот 20.04 - LTS - Long Term Support - долгая поддержка. Для не айтишника LTS удобнее.
- Что нужно настроить в Ubuntu для безопасности после установки?, Аноним, 15:47 , 26-Мрт-21 (3)
Без формулирования модели угроз слово "безопасность" не имеет смысла.
- Что нужно настроить в Ubuntu для безопасности после установки?, муу, 22:31 , 26-Мрт-21 (4)
> Без формулирования модели угроз слово "безопасность" не имеет смысла.В данном случае угроза находится между клавиатурой и стулом )
- Что нужно настроить в Ubuntu для безопасности после установки?, Аноним, 13:42 , 29-Мрт-21 (9)
> Без формулирования модели угроз слово "безопасность" не имеет смысла.Термин "модель угроз" придумали маркетологи, чтобы впаривать лохам не сертифицированный продукт.
- Что нужно настроить в Ubuntu для безопасности после установки?, Аноним, 22:43 , 01-Апр-21 (15)
Нормальный термин. Надо понимать, к чему есть смысл готовиться, а к чему нет, чтобы не тратить время и ресурсы впустую.
- Что нужно настроить в Ubuntu для безопасности после установки?, Аноним, 11:27 , 08-Апр-21 (21)
> чтобы не тратить время и ресурсы впустую.ИТ безопасность честнее и правильнее характеризовать "прейскурантом цен". Список угроз с ценной защиты. Так покупатель не обманут и купит, то что считает ему надо.
- Что нужно настроить в Ubuntu для безопасности после установки?, Аноним, 21:09 , 10-Апр-21 (23)
Вы вообще можете без перевода темы к подсчету чужих денег? Откуда эта меркантильность? Отчаянная, унизительная нищета постоянно давит на мозг?Термин имеет смысл даже если вы всё сами делаете для себя и никаких денег не платите. У вас есть ограниченный ресурс - ваше время. Нужно выстроить приоритеты, то есть понять, где скорее всего будут ломать и прикрывать прежде всего это. В силу сложности систем вы не можете сделать систему полностью неуязвимой (не факт, что это возможно даже за бесконечное время). Вот эта система приоритетов - это и есть модель угроз.
- Что нужно настроить в Ubuntu для безопасности после установки?, Аноним, 10:40 , 28-Мрт-21 (7)
поменять права доступа к домашним каталогам на 750 или даже 700, с Ubuntu 21.04 для новых каталогов будет выставляться 750 (https://opennet.ru/54401-ubuntu )
- Что нужно настроить в Ubuntu для безопасности после установки?, Аноним, 18:49 , 26-Июн-21 (24)
Есть вот такой ответ - https://www.cisecurity.org/cis-benchmarks/ Но умоешься пОтом. :)Совет - если делать, то россыпью скриптов. Один скрипт на один пункт документа, по папочкам разложить по главам. Учесть, что пока все скрипты пробегут в системе, другие механизмы могут начать дёргать настраиваемую функциональность. Применять Дебиан рекомендацию скриптования: использовать в заголовке скрипта 'set -xe' Без авто-тестов проделанная работа не имеет очень большого смысла. Документ меняется, работа устаревает со временем, без тестов поддерживать нереально. Прикинуть применимость idempotent - скрипты не должны второй раз настраивать уже настроенное. Это сложно. Не всегда уместно. Поднимет выше уровень скриптов. Но тесты важнее. Можно для последователей закоммитить в публичный Гит.
|