Защита установки Debian для общего использования дома

Debian поставляется с несколькими harden пакетами, предназначенными для обеспечения безопасности компьютера. Мои потребности очень просты: обработка текстов и веб-просмотр. Я не запускаю никаких специальных серверов, не использую SSH, telnet и т. Д. Единственное программное обеспечение, которое должно использовать Интернет, которое я знаю, является iceweasel и apt .

  • Есть ли способ обеспечить доступ только к этим двум продуктам программного обеспечения в Интернет?
  • Являются ли какие-либо из harden пакетов подходящими для этих потребностей?

5 Solutions collect form web for “Защита установки Debian для общего использования дома”

В пользовательской установке по умолчанию установлено только приложение ssh как серверное приложение, которое вы можете просто удалить с помощью aptitude remove openssh-server или с помощью любого другого менеджера пакетов, который вы используете.

Ограничение доступа к сети для приложений затруднено. {{EDIT : Тем не менее, теперь разработан Leopard Flower, который, как представляется, предоставляет необходимые вам функции (межсетевой экран для каждого процесса, интерактивный пользовательский интерфейс). }} См. « Брандмауэр для каждого процесса»? для получения дополнительной информации по этой теме. Без использования сложных решений вы можете ограничить доступ к сети только специальным пользователям через модуль owner iptables.

Как обычный пользователь, вам не нужны какие-либо harden-* пакеты. Они либо конфликтуют с небезопасными пакетами, которые вы, вероятно, еще не установили, либо устанавливаете пакеты безопасности, которые для обычных систем слишком сложны для настройки и обслуживания – например, для сетевых систем вторжения.

Я бы согласился со строгим использованием iptables. Это очень простой брандмауэр на основе командной строки, который использует ядро ​​(в большинстве дистрибутивов).

Еще одно предложение, которое я бы сделал, это selinux. Я не уверен, что debian теперь идет с ним по умолчанию. Selinux вкратце является обязательным значением контроля доступа на уровне ядра, он управляет связью между приложением и внешними ресурсами (то есть файлами и системными свойствами). В качестве опоры он также был разработан с помощью NSA. С помощью профилей selinux вы можете запретить приложениям читать файлы за пределами его возможностей.

В сочетании с лучшими практиками, такими как отключение ненужных демонов, правильные правила брандмауэра selinux могут быть вариантом, который вы ищете, чтобы закрепить этот ящик.

К сожалению, нет никаких альтернатив Linux для littlesnitch или zonealarm , и большинство брандмауэров GUI'd оставят вас желающими. Конечно, вы можете сделать немало полезных вещей с помощью iptables и отслеживания соединений.

Часто tcpwrappers утилита – tcpwrappers . Я бы добавил правило к /etc/hosts.deny :

 ALL: PARANOID 

Также отключите ping и другие ответы ICMP, добавив следующую строку в /etc/sysctl.conf :

 net.ipv4.icmp_echo_ignore_all = 1 

EDIT : Я склонен согласиться с jmtd, подумав, что есть лучшие способы фильтровать пинги.

Остановите все службы, которые вы не хотите запускать: ssh, smtp, http, все, что вы не хотите запускать. Настройте свои iptables, чтобы заблокировать все доступ к вашему компьютеру или оставить ваш компьютер отдельно от программного обеспечения, которое вы хотите.

Обратите внимание, что я не даю полный список команд для ввода, поскольку важно, чтобы каждый узнавал и понимал последствия сервисов и iptables, прежде чем возиться с ними.

Самой популярной основой сетевой фильтрации / брандмауэров в Linux является iptables , которая не работает на основе приложения. Вам нужна программа политики безопасности, которая может ограничить возможности доступа к сетевым ресурсам. Двумя подходами были бы SELinux и AppArmor .

Вот несколько примеров рецептов AppArmor , один из которых открывает доступ к сети для Firefox / Iceweasel.

  • Как настроить mouseemu на Debian
  • Утечка памяти Debian после обновления растяжения
  • Повторно добавить случайно удаленную системную группу
  • Большинство установленных пакетов, устаревших в aptitude, обновления не найдены
  • Когда была установлена ​​эта уязвимость в Debian? (CVE-2012-2088, затрагивающий libtiff4)
  • Как запустить команду после обновления apt-get
  • Какова эквивалентная архитектура буквенно-цифровых чисел в Debian?
  • Проблемы с установкой simplescreenrecorder на debian jessie
  • Как установить обновления безопасности на debian
  • Просмотр документации Debian в автономном режиме
  • Каков эквивалент apt-ключа в способности?
  • Linux и Unix - лучшая ОС в мире.