Защита установки Debian для общего использования дома

Debian поставляется с несколькими harden пакетами, предназначенными для обеспечения безопасности компьютера. Мои потребности очень просты: обработка текстов и веб-просмотр. Я не запускаю никаких специальных серверов, не использую SSH, telnet и т. Д. Единственное программное обеспечение, которое должно использовать Интернет, которое я знаю, является iceweasel и apt .

  • Есть ли способ обеспечить доступ только к этим двум продуктам программного обеспечения в Интернет?
  • Являются ли какие-либо из harden пакетов подходящими для этих потребностей?

5 Solutions collect form web for “Защита установки Debian для общего использования дома”

В пользовательской установке по умолчанию установлено только приложение ssh как серверное приложение, которое вы можете просто удалить с помощью aptitude remove openssh-server или с помощью любого другого менеджера пакетов, который вы используете.

Ограничение доступа к сети для приложений затруднено. {{EDIT : Тем не менее, теперь разработан Leopard Flower, который, как представляется, предоставляет необходимые вам функции (межсетевой экран для каждого процесса, интерактивный пользовательский интерфейс). }} См. « Брандмауэр для каждого процесса»? для получения дополнительной информации по этой теме. Без использования сложных решений вы можете ограничить доступ к сети только специальным пользователям через модуль owner iptables.

Как обычный пользователь, вам не нужны какие-либо harden-* пакеты. Они либо конфликтуют с небезопасными пакетами, которые вы, вероятно, еще не установили, либо устанавливаете пакеты безопасности, которые для обычных систем слишком сложны для настройки и обслуживания – например, для сетевых систем вторжения.

Я бы согласился со строгим использованием iptables. Это очень простой брандмауэр на основе командной строки, который использует ядро ​​(в большинстве дистрибутивов).

Еще одно предложение, которое я бы сделал, это selinux. Я не уверен, что debian теперь идет с ним по умолчанию. Selinux вкратце является обязательным значением контроля доступа на уровне ядра, он управляет связью между приложением и внешними ресурсами (то есть файлами и системными свойствами). В качестве опоры он также был разработан с помощью NSA. С помощью профилей selinux вы можете запретить приложениям читать файлы за пределами его возможностей.

В сочетании с лучшими практиками, такими как отключение ненужных демонов, правильные правила брандмауэра selinux могут быть вариантом, который вы ищете, чтобы закрепить этот ящик.

К сожалению, нет никаких альтернатив Linux для littlesnitch или zonealarm , и большинство брандмауэров GUI'd оставят вас желающими. Конечно, вы можете сделать немало полезных вещей с помощью iptables и отслеживания соединений.

Часто tcpwrappers утилита – tcpwrappers . Я бы добавил правило к /etc/hosts.deny :

 ALL: PARANOID 

Также отключите ping и другие ответы ICMP, добавив следующую строку в /etc/sysctl.conf :

 net.ipv4.icmp_echo_ignore_all = 1 

EDIT : Я склонен согласиться с jmtd, подумав, что есть лучшие способы фильтровать пинги.

Остановите все службы, которые вы не хотите запускать: ssh, smtp, http, все, что вы не хотите запускать. Настройте свои iptables, чтобы заблокировать все доступ к вашему компьютеру или оставить ваш компьютер отдельно от программного обеспечения, которое вы хотите.

Обратите внимание, что я не даю полный список команд для ввода, поскольку важно, чтобы каждый узнавал и понимал последствия сервисов и iptables, прежде чем возиться с ними.

Самой популярной основой сетевой фильтрации / брандмауэров в Linux является iptables , которая не работает на основе приложения. Вам нужна программа политики безопасности, которая может ограничить возможности доступа к сетевым ресурсам. Двумя подходами были бы SELinux и AppArmor .

Вот несколько примеров рецептов AppArmor , один из которых открывает доступ к сети для Firefox / Iceweasel.

  • Автоматический пакет установлен, но aptitude не находит никаких зависимостей. Что я делаю не так?
  • Репозиторий SVN - проблема с выпуском пользователей
  • Не удается установить xrdp, используя apt-get на debian 8.5 (tinkeboard os) (Arm)
  • Как мне запустить и запустить Logitech Quickcam 4000?
  • День недели плюс x дней
  • Что означает стабильное значение в контексте стабильного Debian?
  • Утечка памяти Debian после обновления растяжения
  • Какова эквивалентная архитектура буквенно-цифровых чисел в Debian?
  • Есть apt-get для окон?
  • Сломанный рабочий стол KDE Plasma после добавления sid-репозитория в Debian
  • Есть ли способ управлять разрешением колеса мыши в Debian?
  • Linux и Unix - лучшая ОС в мире.