Linux operatsion tizimida ishlaydigan serverlar eng xavfsiz va tashqi hujumlardan himoyalangan degan noto'g'ri tushuncha mavjud. Afsuski, bunday emas, har qanday serverning xavfsizligi uni ta'minlash uchun bir qator omillar va chora-tadbirlarga bog'liq va amalda ishlatiladigan operatsion tizimdan mustaqildir.
ga bag'ishlangan bir qator maqolalarni boshlashga qaror qildik tarmoq xavfsizligi Bilan Ubuntu serveri, chunki ushbu platformadagi echimlar bizning o'quvchilarimiz uchun katta qiziqish uyg'otadi va ko'pchilik Linux echimlari o'z-o'zidan xavfsiz ekanligiga ishonishadi.
Shu bilan birga, maxsus IP-manzilga ega marshrutizator mahalliy tarmoqqa "eshik" bo'lib, bu darvoza ishonchli to'siq bo'ladimi yoki mamlakat darvozasi bo'ladimi, bu faqat ma'murga bog'liq bo'ladi. tirnoq.
Yana bir keng tarqalgan noto'g'ri tushuncha bu: "kimga kerak, bizning serverimiz, bizda qiziq narsa yo'q" uslubidagi fikrlashdir. Haqiqatan ham, sizning mahalliy tarmog'ingiz tajovuzkorlarni qiziqtirmasligi mumkin, ammo ular spam yuborish, boshqa serverlarga hujumlar, anonim proksi-serverdan, qisqasi, o'zlarining xira muomalalari uchun boshlang'ich nuqta sifatida foydalanishlari mumkin.
Va bu allaqachon yoqimsiz va turli muammolarning manbai bo'lib xizmat qilishi mumkin: provayderdan tortib huquqni muhofaza qilish organlarigacha. Viruslarning tarqalishi, muhim ma'lumotlarni o'g'irlash va yo'q qilish, shuningdek, korxonaning ishlamay qolishi sezilarli yo'qotishlarga olib kelishini unutmasligingiz kerak.
Maqola Ubuntu serveriga bag'ishlangan bo'lishiga qaramay, birinchi navbatda biz har qanday platformaga teng ravishda qo'llaniladigan va asoslar bo'lgan umumiy xavfsizlik masalalarini ko'rib chiqamiz, ularsiz masalani batafsilroq muhokama qilishning ma'nosi yo'q.
Yo'q, xavfsizlik xavfsizlik devoridan boshlanmaydi, u umuman xavfsizlik devoridan boshlanmaydi. texnik vositalar, xavfsizlik foydalanuvchidan boshlanadi. Axir, ko'pchilik tomonidan o'rnatilgan eng zo'r metall eshikdan nima foyda eng yaxshi mutaxassislar agar egasi kalitni gilam ostida qoldirsa nima bo'ladi?
Shuning uchun, siz qilishingiz kerak bo'lgan birinchi narsa - xavfsizlik auditini o'tkazish. Bu so'zdan qo'rqmang, hamma narsa unchalik murakkab emas: sxematik tarmoq rejasini tuzing, unda siz xavfsiz zonani, potentsial xavfli zonani va yuqori xavfli zonani belgilang, shuningdek (bo'lishi kerak) foydalanuvchilar ro'yxatini tuzing. ushbu zonalarga kirish).
Xavfsiz zona tashqaridan kirish imkoni bo'lmagan va xavfsizlikning past darajasi maqbul bo'lgan ichki tarmoq resurslarini o'z ichiga olishi kerak. Bu ish stantsiyalari bo'lishi mumkin, fayl serverlari va h.k. kirish korporativ mahalliy tarmoq bilan cheklangan qurilmalar.
Potentsial xavfli zonaga tashqi tarmoqqa to'g'ridan-to'g'ri kirish imkoni bo'lmagan, lekin alohida xizmatlariga tashqaridan kirish mumkin bo'lgan serverlar va qurilmalar kiradi, masalan, xavfsizlik devori orqasida joylashgan, ammo tashqi tarmoqdan so'rovlarga xizmat qiladigan veb va pochta serverlari.
Xavfli zona tashqi tomondan to'g'ridan-to'g'ri kirish mumkin bo'lgan qurilmalarni o'z ichiga olishi kerak; ideal holda, bu bitta router bo'lishi kerak.
Iloji bo'lsa, potentsial xavfli zonani alohida quyi tarmoqqa joylashtirish kerak - asosiy tarmoqdan qo'shimcha xavfsizlik devori bilan ajratilgan demilitarizatsiya zonasi (DMZ).
LAN qurilmalari faqat SMTP, POP3, HTTP kabi kerakli DMZ xizmatlaridan foydalanishi kerak va boshqa ulanishlar bloklanishi kerak. Bu qurolsizlantirilgan zonadagi alohida xizmatdagi zaiflikdan foydalangan tajovuzkor yoki zararli dasturni ishonchli tarzda izolyatsiya qilish imkonini beradi va ularga asosiy tarmoqqa kirishni taqiqlaydi.
Jismoniy jihatdan, DMZ alohida server / apparat xavfsizlik devorini o'rnatish yoki marshrutizatorga qo'shimcha tarmoq kartasini qo'shish orqali tashkil etilishi mumkin, ammo ikkinchi holatda siz yo'riqnoma xavfsizligiga katta e'tibor qaratishingiz kerak bo'ladi. Lekin har qanday holatda ham bir guruh serverlarga qaraganda bitta server xavfsizligini ta'minlash ancha oson.
Keyingi qadam foydalanuvchilar ro'yxatini tahlil qilish bo'lishi kerak, ularning barchasi DMZ va marshrutizatorga kirishga muhtojmi yoki yo'qmi (davlat xizmatlari bundan mustasno), tashqaridan ulanadigan foydalanuvchilarga alohida e'tibor berilishi kerak.
Odatda, bu parol siyosatini qo'llash bo'yicha juda mashhur bo'lmagan qadamni talab qiladi. Muhim xizmatlarga kirish huquqiga ega bo'lgan va tashqaridan ulanish imkoniyatiga ega bo'lgan foydalanuvchilar uchun barcha parollar kamida 6 ta belgidan iborat bo'lishi va kichik harflarga qo'shimcha ravishda uchta toifadan ikkitasi belgilarini o'z ichiga olishi kerak: Bosh harflar, raqamlar, alifbodan tashqari belgilar.
Bundan tashqari, parol foydalanuvchi loginini yoki uning bir qismini o'z ichiga olmaydi, foydalanuvchi bilan bog'lanishi mumkin bo'lgan sanalar yoki nomlarni o'z ichiga olmaydi va afzalroq, lug'at so'zi bo'lmasligi kerak.
Har 30-40 kunda parollarni o'zgartirish amaliyotiga kirishish yaxshidir. Bunday siyosat foydalanuvchilar tomonidan rad etilishiga olib kelishi aniq, ammo parollar yoqadi 123 yoki qwerty gilam ostida kalit qoldirishga teng.
Endi biz nimani va nimadan himoya qilmoqchi ekanligimiz haqida tasavvurga ega bo'lib, serverning o'ziga o'tamiz. Barcha xizmatlar va xizmatlar ro'yxatini tuzing, so'ngra ularning barchasi ushbu serverda kerakmi yoki boshqa joyga ko'chirilishi mumkinmi, deb o'ylang.
Xizmatlar qanchalik kam bo'lsa, xavfsizlikni ta'minlash shunchalik oson bo'ladi va ulardan biridagi muhim zaiflik tufayli serverning buzilishi ehtimoli shunchalik kam bo'ladi.
Mahalliy tarmoqqa xizmat ko'rsatadigan xizmatlarni (masalan, squid) sozlang, shunda ular so'rovlarni faqat mahalliy interfeysdan qabul qiladi. Tashqarida qancha kam xizmatlar mavjud bo'lsa, shuncha yaxshi.
Zaiflik skaneri xavfsizlikni ta'minlashda yaxshi yordamchi bo'ladi, u serverning tashqi interfeysini skanerlash uchun ishlatilishi kerak. Biz eng mashhur mahsulotlardan biri - XSpider 7.7 ning demo versiyasidan foydalandik.
Skaner ochiq portlarni ko'rsatadi, ishlayotgan xizmat turini va agar muvaffaqiyatli bo'lsa, uning zaif tomonlarini aniqlashga harakat qiladi. Ko'rib turganingizdek, to'g'ri sozlangan tizim juda xavfsiz, ammo kalitni gilam ostida qoldirmaslik kerak; routerda 1723 (VPN) va 3389 (RDP, terminal serveriga yo'naltirilgan) ochiq portlarning mavjudligi. parol siyosati haqida o'ylash uchun yaxshi sabab.
SSH xavfsizligi haqida ham gapirishimiz kerak. bu xizmat odatda administratorlar tomonidan ishlatiladi masofaviy boshqarish server va tajovuzkorlar uchun katta qiziqish uyg'otadi. SSH sozlamalari faylda saqlanadi /etc/ssh/sshd_config, quyida tavsiflangan barcha o'zgarishlar unga kiritilgan. Avvalo, siz root foydalanuvchisi ostida avtorizatsiyani o'chirib qo'yishingiz kerak, buning uchun variantni qo'shing:
PermitRootLogin raqami
Endi tajovuzkor nafaqat parolni, balki loginni ham taxmin qilishi kerak bo'ladi va u hali ham superuser parolini bilmaydi (u sizning parolingizga mos kelmaydi deb umid qilamiz). Tashqaridan ulanishda barcha ma'muriy vazifalar pastdan bajarilishi kerak sudo imtiyozsiz foydalanuvchi sifatida tizimga kirish.
Ruxsat etilgan foydalanuvchilar ro'yxatini aniq ko'rsatishga arziydi va siz kabi yozuvlardan foydalanishingiz mumkin user@host, bu ko'rsatilgan foydalanuvchiga faqat belgilangan xostdan ulanish imkonini beradi. Masalan, foydalanuvchi ivanovga uydan ulanishga ruxsat berish uchun (IP 1.2.3.4), siz quyidagi yozuvni qo'shishingiz kerak:
AllowUser [elektron pochta himoyalangan]
Shuningdek, protokolning faqat ikkinchi versiyasiga ruxsat beruvchi eskirgan va kamroq xavfsiz SSH1 protokolidan foydalanishni o'chirib qo'ying, buning uchun quyidagi qatorni shaklga o'zgartiring:
Protokol 2
Ko'rilgan barcha choralarga qaramay, SSH va boshqa davlat xizmatlariga ulanishga urinishlar davom etadi; parolni taxmin qilishni oldini olish uchun yordamchi dasturdan foydalaning. fail2ban, bu sizga bir nechta muvaffaqiyatsiz kirish urinishlaridan keyin foydalanuvchini avtomatik ravishda taqiqlash imkonini beradi. Siz uni quyidagi buyruq bilan o'rnatishingiz mumkin:
Sudo apt-get install fail2ban
Ushbu yordamchi dastur o'rnatilgandan so'ng darhol ishlashga tayyor, ammo biz sizga ba'zi parametrlarni darhol o'zgartirishingizni maslahat beramiz, buning uchun faylga o'zgartirishlar kiriting. /etc/fail2ban/jail.conf. Odatiy bo'lib, faqat SSH-ga kirish nazorat qilinadi va taqiqlash vaqti 10 daqiqa (600 soniya), bizning fikrimizcha, quyidagi variantni o'zgartirish orqali uni oshirishga arziydi:
Bantime = 6000
Keyin faylni aylantiring va tegishli bo'lim nomidan keyin parametrni o'rnatib, tizimingizda ishlaydigan xizmatlar uchun bo'limlarni yoqing. yoqilgan bir holatda rost, masalan, xizmat uchun proftpd u shunday ko'rinadi:
yoqilgan = rost
Yana bir muhim parametr maxretry, bu ulanish urinishlarining maksimal soni uchun javobgardir. Sozlamalarni o'zgartirgandan so'ng, xizmatni qayta ishga tushirishni unutmang:
Sudo /etc/init.d/fail2ban qayta ishga tushiring
Utility jurnalini quyidagi manzilda ko'rishingiz mumkin /var/log/fail2ban.log.
Hech birimiz shaxsiy ma'lumotlar noto'g'ri qo'llarga tushishini xohlamaymiz. Ammo tizimingizni hujumlar va ma'lumotlarni o'g'irlashdan qanday himoya qilish kerak? Haqiqatan ham sozlash va shifrlash algoritmlari bo'yicha kilometr uzunlikdagi qo'llanmalarni o'qish kerakmi? Aslo kerak emas. Ushbu maqolada men sizga Linux tizimini tom ma'noda 30 daqiqada qanday qilib xavfsiz qilish kerakligini aytaman.
Biz bir asrda yashayapmiz mobil qurilmalar va doimiy onlayn. Biz noutbuk bilan kafega boramiz va uy mashinalarimizda Internetga ta'sir qiladigan veb-serverlarni ishga tushiramiz. Biz yuzlab saytlarda ro'yxatdan o'tamiz va veb-xizmatlar uchun bir xil parollardan foydalanamiz. Bizning cho'ntagimizda har doim smartfon bo'ladi, unda o'nlab parollar va bir nechta SSH serverlari kalitlari mavjud. Biz maxfiyligimiz haqida g'amxo'rlik qiladigan uchinchi tomon xizmatlariga shunchalik ko'nikib qolganmizki, biz bunga e'tibor berishni to'xtatdik.
Smartfonimni yo'qotib qo'yganimda, unga o'rnatilgan o'g'irlikka qarshi vosita ishlayotgani va qurilma xotirasidan barcha ma'lumotlarni masofadan o'chirib tashlashimga imkon bergani juda baxtiyor edi. Men tasodifan SSH portini ochganimda uy mashinasi tashqi dunyoga paroli (!) bo'lmagan foydalanuvchi bilan (!!), men skript bolalari mashinaga kirganidan juda baxtiyorman, ular qo'shimcha ravishda kulgili hikoya chig'anoqlar tizimda mavjudligining jiddiy izlarini qoldirmadi. Men tasodifan Gmail parolim bilan Internetda ro'yxatni joylashtirganimda, bu haqda meni ogohlantirgan mehribon odam borligidan juda baxtiyorman.
Balki men ahmoqdirman, lekin bu satrlarni o'qiganlarning ko'pchiligida shunga o'xshash voqealar sodir bo'lganiga qat'iy aminman. Va bu odamlar, mendan farqli o'laroq, o'z mashinalarini himoya qilishga jiddiy g'amxo'rlik qilsalar yaxshi bo'ladi. Axir, anti-o'g'irlik ishlamagan bo'lishi mumkin va skript bolasi o'rniga jiddiy odamlar mashinaga tushishi mumkin edi va men smartfonni emas, balki foydalanuvchi parolidan boshqa himoyasi bo'lmagan noutbukni yo'qotib qo'ygan bo'lishim mumkin. . Yo'q, bu kun va yoshda Googlening ikki faktorli autentifikatsiyasiga va ahmoq parollarga tayanmasligingiz kerak, sizga jiddiyroq narsa kerak.
Ushbu maqola paranoid Unixoid uchun qo'llanma bo'lib, Linux mashinasini hamma narsadan va hamma narsadan to'liq himoya qilishga bag'ishlangan. Bu erda tasvirlangan hamma narsa foydalanish uchun majburiy ekanligini aytishga ikkilanaman. Aksincha, bu retseptlar to'plami, ma'lumotlardan siz o'zingizni va ma'lumotlaringizni o'zingizning muayyan vaziyatingizda zarur bo'lgan darajalarda himoya qilish uchun foydalanishingiz mumkin.
Hammasi parollardan boshlanadi. Ular hamma joyda: Linux distributividagi kirish oynasida, Internet saytlarida ro'yxatdan o'tish shakllarida, FTP va SSH serverlarida va smartfonning qulflangan ekranida. Bugungi kunda parollar uchun standart aralash harflar va raqamlarni o'z ichiga olgan holda 8-12 belgidan iborat. Siz uchun shunday parollarni yarating o'z aqlingiz bilan juda zerikarli, lekin buni avtomatik ravishda qilishning oson yo'li bor:
$ openssl rand -base64 6
Hech qanday tashqi ilovalar, veb-brauzer kengaytmalari yo'q, OpenSSL har qanday mashinada mavjud. Garchi, agar kimdir uchun qulayroq bo'lsa, ular ushbu maqsadlar uchun pwgen-ni o'rnatishlari va foydalanishlari mumkin (ular parol kuchliroq bo'lishini aytishadi):
$ pwgen -Bs 8 1
Parollarni qayerda saqlash kerak? Bugungi kunda har bir foydalanuvchida ularning ko'pi borki, uning boshida hamma narsani saqlashning iloji yo'q. Brauzeringizning avtomatik saqlash tizimiga ishonasizmi? Bu mumkin, lekin Google yoki Mozilla ularga qanday munosabatda bo'lishini kim biladi. Snouden bu unchalik yaxshi emasligini aytdi. Shuning uchun parollar shifrlangan konteynerda mashinaning o'zida saqlanishi kerak. Ta'sischilar buning uchun KeePassX dan foydalanishni tavsiya etadilar. Gap grafikdir, uni asoschilarning o'zlari yoqtirmaydi, lekin u hamma joyda ishlaydi, shu jumladan mashhur Android Google probi (KeePassDroid). Ma'lumotlar bazasini parollar bilan kerakli joyga o'tkazish qoladi.
Shifrlash - bu so'zda juda ko'p narsa bor ... Bugungi kunda shifrlash bir vaqtning o'zida hamma joyda va hech qaerda. Biz veb-saytlarning HTTPS versiyalaridan foydalanishga majburmiz, lekin biz bunga ahamiyat bermaymiz. Ular bizga: "Uy katalogingizni shifrlang" deyishadi va biz: "Keyin men uni o'rnataman" deymiz. Ular bizga: "Dropbox xodimlarining sevimli mashg'uloti foydalanuvchilarning shaxsiy fotosuratlariga kulishdir", biz esa: "Ular kulsin". Shu bilan birga, shifrlash bugungi kunda yagona mutlaq himoya vositasidir. Bu ham juda hamyonbop va ajinlarni tekislaydi.
Linuxda qattiq disk bo'limlaridan tortib bitta fayllargacha bo'lgan har bir narsa uchun tonna shifrlash imkoniyatlari mavjud. Uchta eng mashhur va vaqt sinovidan o'tgan vositalar dm-crypt/LUKS, ecryptfs va encfs. Birinchisi butun disklar va bo'limlarni shifrlaydi, ikkinchi va uchinchisi kataloglarni shifrlaydi muhim ma'lumotlar, har bir fayl alohida, agar siz qo'shimcha zaxira nusxalarini yaratishingiz yoki uni Dropbox bilan birgalikda ishlatishingiz kerak bo'lsa, bu juda qulay. Bundan tashqari, bir nechta kamroq ma'lum vositalar mavjud, masalan, TrueCrypt.
Darhol rezervlashimga ruxsat bering, butun diskni shifrlash qiyin ish va eng muhimi, foydasiz. Ildiz katalogida ayniqsa maxfiy narsa yo'q va bo'lishi ham mumkin emas, lekin uy katalogi va almashtirish shunchaki ma'lumotlar xazinasidir. Bundan tashqari, ikkinchisi birinchisidan ham kattaroqdir, chunki ma'lumotlar va parollar allaqachon shifrlangan shaklda bo'lishi mumkin (oddiy dasturchilar tizimga bunday ma'lumotlarni almashtirishni taqiqlaydi, ammo bunday odamlar ozchilikni tashkil qiladi). Ikkalasi uchun shifrlashni o'rnatish juda oddiy, shunchaki ecrypts vositalarini o'rnating:
$ sudo apt-get o'rnatish ecryptfs-utils
Va, aslida, shifrlashni yoqing:
$ sudo ecryptfs-setup-swap $ ecryptfs-setup-private
Keyinchalik, tizimga kirish uchun ishlatiladigan parolni kiriting va tizimga qayta kiring. Ha, bu juda oddiy. Birinchi buyruq /etc/fstab-dagi tegishli qatorlarni o'zgartirish orqali almashtirishni shifrlaydi va qayta o'rnatadi. Ikkinchisi ~/.Private va ~/Private kataloglarini yaratadi, ularda mos ravishda shifrlangan va shifrlangan fayllar saqlanadi. Tizimga kirganingizda, pam_ecryptfs.so PAM moduli ishga tushiriladi, bu birinchi katalogni shaffof ma'lumotlarni shifrlash bilan ikkinchisiga o'rnatadi. O'chirilgandan so'ng, ~/Private bo'sh bo'ladi va ~/.Private shifrlangan shakldagi barcha fayllarni o'z ichiga oladi.
Butun uy katalogini shifrlash taqiqlangan emas. Bunday holda, unumdorlik unchalik pasaymaydi, lekin barcha fayllar, shu jumladan bir xil tarmoq katalogi ~/Dropbox himoyalangan bo'ladi. Bu shunday amalga oshiriladi:
# ecryptfs-migrate-home -u vasya
Aytgancha, vasya ma'lumotlaridan 2,5 barobar ko'proq disk maydoni bo'lishi kerak, shuning uchun uni oldindan tozalashni maslahat beraman. Amaliyotni tugatgandan so'ng darhol foydalanuvchi vasya sifatida tizimga kirishingiz va funksionallikni tekshirishingiz kerak:
$mount | grep Xususiy /home/vasya/.Private on /home/vasya type ecryptfs ...
Agar hamma narsa yaxshi bo'lsa, siz ma'lumotlarning shifrlanmagan nusxasini qayta yozishingiz mumkin:
$ sudo rm -r /home/vasya.* 
OK, parollar xavfsiz joyda, shaxsiy fayllar ham, endi nima bo'ladi? Va endi biz shaxsiy ma'lumotlarimizning ba'zi qismlari noto'g'ri qo'llarga tushmasligi uchun ehtiyot bo'lishimiz kerak. Hech kimga sir emaski, fayl o'chirilganda, keyinchalik formatlash amalga oshirilsa ham, uning joriy tarkibi ommaviy axborot vositalarida qoladi. Bizning shifrlangan ma'lumotlarimiz o'chirilgandan keyin ham xavfsiz bo'ladi, lekin flesh-disklar va boshqa xotira kartalari haqida nima deyish mumkin? Bu erda bizga srm yordam dasturi kerak, u nafaqat faylni o'chiradi, balki qolgan ma'lumotlar bloklarini ham axlat bilan to'ldiradi:
$ sudo apt-get install safe-delete $ srm secret-file.txt home-video.mpg
# dd if=/dev/zero of=/dev/sdb
Ushbu buyruq sdb flesh-diskidagi barcha ma'lumotlarni o'chirib tashlaydi. Keyinchalik, faqat bo'lim jadvalini yaratish (bitta bo'lim bilan) va uni kerakli fayl tizimiga formatlash qoladi. Buning uchun fdisk va mkfs.vfat dan foydalanish tavsiya etiladi, lekin siz grafik gparted bilan ham shug'ullanishingiz mumkin.
Fail2ban - bu tarmoq xizmatlari uchun parollarni topishga urinishlar uchun jurnallarni skanerlaydigan demon. Agar bunday urinishlar aniqlansa, shubhali IP-manzil iptables yoki TCP Wrappers yordamida bloklanadi. Xizmat elektron pochta orqali voqea haqida xost egasini xabardor qilishi va belgilangan vaqtdan keyin blokirovkani tiklashi mumkin. Fail2ban dastlab SSH-ni himoya qilish uchun ishlab chiqilgan; bugungi kunda Apache, lighttpd, Postfix, Exim, Cyrus IMAP, nomli va hokazolar uchun tayyor misollar taklif etiladi. Bundan tashqari, bitta Fail2ban jarayoni bir vaqtning o'zida bir nechta xizmatlarni himoya qilishi mumkin.
Ubuntu/Debian-da o'rnatish uchun biz quyidagilarni yozamiz:
# apt-get install fail2ban
Konfiguratsiyalar /etc/fail2ban katalogida joylashgan. Konfiguratsiyani o'zgartirgandan so'ng, buyruq bilan fail2banni qayta ishga tushirishingiz kerak:
# /etc/init.d/fail2ban qayta ishga tushirish
Keling, chuqurlikdan kelayotgan tahdidlarga e'tibor beraylik Internet. Bu erda men OpenBSD bilan ishlaydigan maxsus mashinada ishlaydigan iptables va pf haqida gapirishni boshlashim kerak, ammo ipkungfu mavjud bo'lganda bularning barchasi ortiqcha. Bu nima? Bu biz uchun xavfsizlik devorini sozlash bo'yicha barcha iflos ishlarni bajaradigan skript, kilometr uzunlikdagi qoidalar ro'yxatini yozmasdan. O'rnatish:
$ sudo apt-get o'rnatish ipkungfu
Konfiguratsiyani tahrirlash:
$ sudo vi /etc/ipkungfu/ipkungfu.conf # Mahalliy tarmoq, agar mavjud bo'lsa, tarmoq manzilini maska bilan birga yozing, agar bo'lmasa, loopback manzilini yozing LOCAL_NET="127.0.0.1" # Bizning mashinamiz shlyuz emas GATEWAY=0 # Kerakli portlarni yoping FORBIDDEN_PORTS="135 137 139" # Pinglarni bloklash, bolalarning 90% bu bosqichda yiqilib tushadi BLOCK_PINGS=1 # Shubhali paketlarni tashlab yuborish (har xil turdagi toshqinlar) SUSPECT="DROP" # "Noto'g'ri" paketlarni tashlab yuborish (ba'zi DoS turlari) KNOWN_BAD="DROP" # Skanerlash portlar? Thrash! PORT_SCAN="TOSHLASH"
Ipkungfu-ni yoqish uchun /etc/default/ipkungfu faylini oching va IPKFSTART = 0 qatorini IPKFSTART = 1 ga o'zgartiring. Ishga tushiring:
$sudo ipkungfu
Bundan tashqari, keling, /etc/sysctl.conf ga o'zgartirish kiritamiz:
$ sudo vi /etc/systcl.conf # ICMP yo'naltirishlarini o'chirish (MITM hujumlariga qarshi) net.ipv4.conf.all.accept_redirects=0 net.ipv6.conf.all.accept_redirects=0 # TCP sinxronlash mexanizmini yoqing net.ipv4 . tcp_syncookies=1 # Turli sozlashlar (spoofingga qarshi, “yarim ochiq” TCP ulanishlari navbatini oshirish va h.k.) net.ipv4.tcp_timestamps=0 net.ipv4.conf.all.rp_filter=1 net.ipv4.tcp_max_syn_backlog 1280 yadro .core_uses_pid=1
O'zgarishlarni faollashtiring:
$ sudo sysctl -p
Snort administratorlarning sevimli vositalaridan biri va barcha xavfsizlik qo'llanmalarining asosiy figurasidir. Butun kitoblar bag'ishlangan uzoq tarix va ulkan imkoniyatlarga ega narsa. Bizning qo'llanmamizda u nima qiladi tez sozlash xavfsiz tizim? Va mana bu joy; Snortni sozlash shart emas:
$ sudo apt-get install snort $ snort -D
Hammasi! Men hazillashmayman, standart sozlamalar Snort odatiy tarmoq xizmatlarini himoya qilish uchun etarli, agar sizda ular mavjud bo'lsa. Siz shunchaki vaqti-vaqti bilan jurnalga qarashingiz kerak. Va unda siz quyidagi qatorlarni topishingiz mumkin:
[**] MS-SQL tekshiruvi javobini to‘ldirishga urinish [**] http://www.securityfocus.com/bid/9407]
Voy. Kimdir MySQL-da buferni to'ldirishga harakat qildi. Muammoning batafsil tavsifi bilan sahifaga havola ham mavjud. Go'zallik.
Ayniqsa aqlli kimdir bizning xavfsizlik devorimizni chetlab o'tib, Snort-dan o'tib, tizimga ildiz kirishiga ega bo'ldi va endi o'rnatilgan orqa eshikdan foydalanib tizimga muntazam kirishga muvaffaq bo'ldi. Yaxshi emas, orqa eshikni topish, olib tashlash va tizimni yangilash kerak. Rutkitlarni va orqa eshiklarni qidirish uchun biz rkhunter-dan foydalanamiz:
$ sudo apt-get o'rnatish rkhunter
Keling, ishga tushiramiz:
$ sudo rkhunter -c --sk
Dasturiy ta'minot butun tizimni rootkitlarning mavjudligini tekshiradi va natijalarni ekranda ko'rsatadi. Zararli dastur hali ham topilgan bo'lsa, rkhunter manzilga ishora qiladi va uni o'chirib tashlash mumkin. Batafsilroq jurnal bu yerda joylashgan: /var/log/rkhunter.log. Rkhunterni har kuni cron ishi sifatida ishlatish yaxshiroqdir:
$ sudo vi /etc/cron.daily/rkhunter.sh #!/bin/bash /usr/bin/rkhunter -c --cronjob 2>&1 | mail -s "RKhunter Scan natijalari" [elektron pochta himoyalangan]
Vasyaning elektron pochta manzilini biznikiga almashtiramiz va skriptni bajariladigan qilib qo'yamiz:
$ sudo chmod +x /etc/cron.daily/rkhunter.sh
$ sudo rkhunter --yangilash
Aytgancha, uni cron skriptida tekshirish buyrug'idan oldin qo'shishingiz mumkin. Yana ikkita rootkit qidirish vositalari:
$ sudo apt-get install tiger $ sudo tiger $ sudo apt-get o'rnatish lynis $ sudo lynis -c
Aslini olganda, ular bir xil Faberge tuxumlari, ammo ular turli xil asoslarga ega. Ehtimol, ularning yordami bilan rxunter nimani o'tkazib yuborganini aniqlash mumkin bo'ladi. Yangi boshlanuvchilar uchun debsums fayl nazorat summalarini tekshirish vositasidir, o'rnatilgan paketlar standart bilan. Biz qo'yamiz:
$ sudo apt-get install debsums
Keling, tekshirishni boshlaymiz:
$ sudo debsums -ac
Doimgidek? ishga tushirish cron ishlariga qo'shilishi mumkin.
Keling, Internetda anonimlikni qanday saqlash va turli mualliflik huquqi egalari tashkilotlari va boshqa Mizulinlar iltimosiga binoan bloklangan saytlar va sahifalarga qanday kirish haqida gapiraylik. Buning eng oson yo'li butun dunyo bo'ylab minglab proksi-serverlardan birini ishlatishdir. Ularning ko'pchiligi bepul, lekin ko'pincha kanalni qadimgi analog modem tezligiga qisqartiradi.
Veb-saytlarni osongina ko'rib chiqish va faqat kerak bo'lganda proksi-serverni yoqish uchun siz Chrome va Firefox uchun ko'plab kengaytmalardan birini ishlatishingiz mumkin, ularni proksi-server so'rovi bo'yicha katalogda osongina topish mumkin. Biz o'rnatamiz, kerakli proksi-serverlar ro'yxatini kiritamiz va sahifa o'rniga "Janob Skumbrievichning iltimosiga binoan sahifaga kirish cheklangan" belgisini ko'rib, keraklisiga o'tamiz.
Agar butun sayt filtr ostida bo'lsa va uning manzili provayderlarning DNS serverlari tomonida qora ro'yxatga kiritilgan bo'lsa, siz manzillari e'lon qilingan bepul DNS serverlaridan foydalanishingiz mumkin. O'zingizga yoqqan ikkita manzilni oling va ularni /etc/resolv.conf ga qo'shing:
Nameserver 156.154.70.22 nom serveri 156.154.71.22
Turli DHCP mijozlari va NetworkManagerlar provayder yoki routerdan olingan manzillar bilan faylni qayta yozishni oldini olish uchun kengaytirilgan atributlar yordamida faylni qayta yozilmaydi:
$ sudo chattr +i /etc/resolv.conf
Shundan so'ng, fayl hamma uchun, shu jumladan root uchun yozishdan himoyalangan bo'ladi.
Ko'rib chiqish tajribangizni yanada anonimlashtirish uchun siz saytning o'ziga ulanish uchun ishlatiladigan proksi-serverdan tashqari DNS serveriga barcha so'rovlarni shifrlaydigan dnscrypt demonidan ham foydalanishingiz mumkin. O'rnatish:
$ wget http://download.dnscrypt.org/dnscrypt-proxy/dnscrypt-proxy-1.3.2.tar.bz2 $ bunzip2 -cd dnscrypt-proxy-*.tar.bz2 | tar xvf - $ cd dnscrypt-proxy-* $ sudo apt-get install build-essential $ ./configure && make -j2 $ sudo make install
/etc/resolv.conf da qayta tiklash manzilini belgilang:
$ vi /etc/resolv.conf nom serveri 127.0.0.1
Demonni boshlaylik:
$ sudo dnscrypt-proksi --daemonizatsiya
Aytgancha, Windows, iOS va Android uchun dnscrypt versiyalari mavjud.
Piyoz marshruti nima? Bu Tor. Tor esa, o'z navbatida, to'liq yaratish imkonini beruvchi tizimdir anonim tarmoq Internetga kirish bilan. Bu erda "piyoz" atamasi operatsion modelga nisbatan qo'llaniladi, unda har qanday tarmoq paketi shifrlashning uchta qatlamiga "o'raladi" va qabul qiluvchiga yo'lda uchta tugun orqali o'tadi, ularning har biri o'z qatlamini olib tashlaydi. va natijani keyingi uzating. Albatta, hamma narsa murakkabroq, ammo biz uchun yagona muhim narsa shundaki, bu tarmoqni tashkil etishning bir nechta turlaridan biri bo'lib, u sizga to'liq anonimlikni saqlashga imkon beradi.
Biroq, anonimlik mavjud bo'lgan joyda, ulanish bilan bog'liq muammolar ham mavjud. Tor-da ulardan kamida uchtasi bor: u juda sekin (shifrlash va tugunlar zanjiri orqali uzatish tufayli), u sizning tarmog'ingizga yuk yaratadi (chunki siz o'zingiz tugunlardan biri bo'lasiz) va u zaif trafikni to'xtatish uchun. Ikkinchisi Tor tarmog'idan Internetga kirish imkoniyatining tabiiy natijasidir: oxirgi tugun (chiqish) shifrlashning oxirgi qatlamini olib tashlaydi va ma'lumotlarga kirish huquqiga ega bo'ladi.
Biroq, Torni o'rnatish va ishlatish juda oson:
$ sudo apt-get o'rnatish tor
Hammasi shu, endi mahalliy mashinada Tor tarmog'iga olib boradigan proksi-server bo'ladi. Manzil: 127.0.0.1:9050, uni xuddi shu kengaytmadan foydalanib brauzerga kiritishingiz yoki sozlamalar orqali qo'shishingiz mumkin. Bu HTTP proksi-server emas, balki SOCKS ekanligini unutmang.
Kirish uchun buyruq qatori parol tarixda saqlanmagan bo'lsa, siz "buyruqning boshida bo'sh joy qo'shish" deb nomlangan aqlli hiyladan foydalanishingiz mumkin.
Bu Ubuntu-da uy katalogini shifrlash uchun ishlatiladigan ecryptfs.
Men uy egasiga suv bosishga yordam beradigan bir nechta buyruqlar beraman.
Muayyan portdagi ulanishlar sonini hisoblash:
$ netstat -na | grep ":port\ " | wc -l
"Yarim ochiq" TCP ulanishlar sonini hisoblash:
$ netstat -na | grep ":port\ " | grep SYN_RCVD | wc -l
Ulanish so'rovlari keladigan IP manzillar ro'yxatini ko'ring:
$ netstat -na | grep ":port\ " | saralash | uniq -c | sort -nr | Ozroq
tcpdump yordamida shubhali paketlarni tahlil qilish:
# tcpdump -n -i eth0 -s 0 -w output.txt dst port porti va IP server hosti
Biz tajovuzkorning ulanishlarini to'xtatamiz:
# iptables -A INPUT - tajovuzkorning IP-si -p tcp --destination-port port -j DROP
Biz bitta IP dan ma'lum bir portga "yarim ochiq" ulanishlarning maksimal sonini cheklaymiz:
# iptables -I INPUT -p tcp --syn --dport port -m iplimit --iplimit-10 dan yuqori -j DROP
ICMP ECHO so'rovlariga javoblarni o'chirib qo'ying:
# iptables -A INPUT -p icmp -j DROP --icmp-turi 8
Ana xolos. Tafsilotlarga kirmasdan va qo'llanmalarni o'rganishga hojat qoldirmasdan, biz Linux-boksni yaratdik, u tashqi hujumlardan, rootkitlardan va boshqa infektsiyalardan, insonning bevosita aralashuvidan, trafikni ushlab turish va kuzatuvdan himoyalangan. Qolgan narsa - tizimni muntazam yangilash, taqiqlash parol kiritish SSH orqali keraksiz xizmatlarni olib tashlang va konfiguratsiya xatolaridan qoching.
Ko'pgina foydalanuvchilar Ubuntu-da Internetga ulanishni o'rnatishda muammolarga duch kelishadi. Ko'pincha bu tajribasizlikdan kelib chiqadi, ammo boshqa sabablar ham bo'lishi mumkin. Maqolada amalga oshirish jarayonida barcha mumkin bo'lgan asoratlarni batafsil tahlil qilish bilan bir nechta turdagi ulanishlarni o'rnatish bo'yicha ko'rsatmalar beriladi.
Internetga ulanishning ko'plab turlari mavjud, ammo ushbu maqola eng mashhurlarini ko'rib chiqadi: simli tarmoq, PPPoE va DIAL-UP. Bundan tashqari, alohida DNS serverni o'rnatish haqida gaplashamiz.
Ulanishni boshlashdan oldin, tizimingiz bunga tayyor ekanligiga ishonch hosil qilishingiz kerak. Bu buyruqlar bajarilganligini darhol aniqlashtirish kerak "Terminal", ikki turga bo'linadi: foydalanuvchi huquqlarini talab qiladiganlar (ulardan oldin belgi bo'ladi $ ) va superfoydalanuvchi huquqlarini talab qilish (boshida belgi mavjud # ). Bunga e'tibor bering, chunki holda zarur huquqlar ko'pchilik buyruqlar shunchaki bajarilishini rad etadi. Belgilarning o'zlari ham mavjudligini aniqlashtirish kerak "Terminal" kiritish shart emas.
Siz bir nechta nuqtalarni to'ldirishingiz kerak:
Boshqa narsalar qatorida, siz tarmoq adapterining nomini bilishingiz kerak. Buni bilish uchun kiring "Terminal" bu qator:
$ sudo lshw -C tarmog'i
Natijada siz shunga o'xshash narsani ko'rasiz:
Tarmoq adapteringiz nomi so'zning qarshisida paydo bo'ladi "mantiqiy ism". IN Ushbu holatda "enp3s0". Bu maqolada paydo bo'ladigan ism, siz uchun boshqacha bo'lishi mumkin.
Eslatma: Agar kompyuteringizda bir nechta bo'lsa tarmoq adapterlari, keyin ular mos ravishda raqamlanadi (enp3s0, enp3s1, enp3s2 va boshqalar). Qaysi biri bilan ishlashingizni hal qiling va undan keyingi sozlamalarda foydalaning.
"Terminal"- Bu universal vosita Ubuntu-da hamma narsani sozlash haqida. Uning yordami bilan barcha turdagi Internet aloqasini o'rnatish mumkin bo'ladi, biz hozir nima haqida gaplashamiz.
Simli tarmoqni sozlash
Ubuntu-da simli tarmoqni o'rnatish yangi sozlamalarni o'rnatish orqali amalga oshiriladi konfiguratsiya fayli "interfeyslar". Shuning uchun, avval siz ushbu faylni ochishingiz kerak:
Eslatma: konfiguratsiya faylini ochish buyrug'i Gedit matn muharriridan foydalanadi, ammo tegishli qismga boshqa har qanday tahrirlovchini, masalan, vi ni kiritishingiz mumkin.
Endi siz provayderingiz qanday IP turiga ega ekanligini hal qilishingiz kerak. Ikkita tur mavjud: statik va dinamik. Agar aniq bilmasangiz, texnologiyaga qo'ng'iroq qiling. qo'llab-quvvatlang va operatoringizga murojaat qiling.
Birinchidan, dinamik IP-ni ko'rib chiqaylik - uning konfiguratsiyasi oddiyroq. Kirishdan keyin oldingi buyruq, ochilgan faylda quyidagi o'zgaruvchilarni belgilang:
iface [interfeys nomi] inet dhcp
avtomatik [interfeys nomi]
Bir marta kirganingizdan so'ng siz shunga o'xshash narsani olishingiz kerak:
Statik IP-ni sozlash biroz qiyinroq. Asosiysi, barcha o'zgaruvchilarni bilish. Konfiguratsiya faylida siz quyidagi qatorlarni kiritishingiz kerak:
iface [interfeys nomi] inet statik
manzil [manzil]
tarmoq niqobi [manzil]
shlyuz [manzil]
dns-nom serverlari [manzil]
avtomatik [interfeys nomi]
Barcha parametrlarni kiritganingizdan so'ng siz shunga o'xshash narsani ko'rasiz:
Matn muharririni yopishdan oldin barcha sozlamalarni saqlashni unutmang.
Boshqa narsalar qatorida, Ubuntu OS da siz vaqtincha Internetga ulanishni o'rnatishingiz mumkin. Bu ko'rsatilgan ma'lumotlar konfiguratsiya fayllarini hech qanday tarzda o'zgartirmasligi bilan farq qiladi va kompyuterni qayta ishga tushirgandan so'ng hamma narsa bir xil bo'ladi. belgilangan sozlamalar qayta tiklanadi. Agar siz birinchi marta o'rnatmoqchi bo'lsangiz simli ulanish Ubuntu-da birinchi navbatda ushbu usuldan foydalanish tavsiya etiladi.
Barcha parametrlar bitta buyruq yordamida o'rnatiladi:
$ sudo ip addr add 10.2.119.116/24 dev enp3s0
Barcha kerakli ma'lumotlarni kiritish va buyruqni bajarish orqali "Terminal", ularning to'g'riligini tekshirishingiz mumkin. Agar Internet kompyuterda paydo bo'lsa, unda barcha o'zgaruvchilar to'g'ri va konfiguratsiya fayliga kiritilishi mumkin.
DNS sozlamalari
Turli xil DNS ulanishini o'rnatish Ubuntu versiyalari boshqacha ijro etilgan. 12.04 dan boshlab OS versiyalarida bitta usul mavjud, oldingi versiyalarda boshqa. Biz faqat statik ulanish interfeysini ko'rib chiqamiz, chunki dinamik interfeys nazarda tutiladi avtomatik aniqlash DNS serverlari.
12.04 dan yuqori OS versiyalarida konfiguratsiya allaqachon ma'lum bo'lgan faylda sodir bo'ladi "interfeyslar". Siz qatorni kiritishingiz kerak "dns-nom serverlari" va bo'shliqlar bilan ajratilgan qiymatlarni sanab o'ting.
Shunday qilib, avval orqali oching "Terminal" konfiguratsiya fayli "interfeyslar":
$ sudo gedit /etc/tarmoq/interfeyslar
dns-nom serverlari [manzil]
Natijada, siz shunga o'xshash narsani olishingiz kerak, faqat qiymatlar boshqacha bo'lishi mumkin:
Agar siz DNS-ni Ubuntu-da ko'proq sozlashni istasangiz erta versiya, keyin konfiguratsiya fayli boshqacha bo'ladi. Keling, uni ochamiz "Terminal":
$ sudo gedit /etc/resolv.conf
Keyin unda kerakli DNS manzillarini o'rnatishingiz mumkin. Parametrlarni kiritishdan farqli o'laroq, buni hisobga olish kerak "interfeyslar", V "resolv.conf" manzillar har safar xatboshidan yoziladi, qiymatdan oldin prefiks qo'llaniladi "nom serveri"(tirnoqsiz).
PPPoE ulanishini sozlash
PPPoE orqali sozlash "Terminal" kompyuterdagi turli konfiguratsiya fayllariga ko'p parametrlarni kiritishni nazarda tutmaydi. Aksincha, faqat bitta buyruq ishlatiladi.
Shunday qilib, nuqtadan nuqtaga (PPPoE) ulanish uchun siz quyidagilarni qilishingiz kerak:
Qabul qilingan barcha qadamlardan so'ng, agar siz hamma narsani to'g'ri bajargan bo'lsangiz, kompyuteringiz Internetga ulanishni o'rnatadi.
Yordamchi dastur sukut bo'yicha ekanligini unutmang pppoeconf yaratilgan ulanishni nomlaydi dsl-provayder. Agar ulanishni to'xtatish kerak bo'lsa, ishga tushiring "Terminal" buyruq:
$ sudo poff dsl provayderi
Ulanishni qayta tiklash uchun quyidagilarni kiriting:
$ sudo pon dsl-provayderi
Eslatma: agar siz pppoeconf yordam dasturidan foydalangan holda tarmoqqa ulansangiz, "interfeyslar" konfiguratsiya fayliga kiritilgan parametrlar tufayli tarmoq menejeri orqali tarmoqni boshqarish mumkin bo'lmaydi. Barcha sozlamalarni tiklash va boshqaruvni Tarmoq menejeriga berish uchun siz "interfeyslar" faylini ochishingiz va barcha tarkibni quyidagi matn bilan almashtirishingiz kerak. Kiritgandan so'ng, o'zgarishlarni saqlang va "$ sudo /etc/init.d/networking restart" buyrug'i bilan tarmoqni qayta ishga tushiring (tirnoqsiz). Shuningdek, “$ sudo /etc/init.d/NetworkManager restart” (tirnoqsiz) bajarib, Network Manager yordam dasturini qayta ishga tushiring.
DIAL-UP ulanishini sozlash
DIAL-UP ni sozlash uchun siz ikkita konsol yordam dasturidan foydalanishingiz mumkin: pppconfig Va wvdial.
yordamida ulanishni o'rnating pppconfig etarlicha sodda. Umuman bu usul oldingisiga juda o'xshash ( pppoeconf): sizga xuddi shu tarzda savollar beriladi, ularga javob berish orqali siz oxir-oqibat Internetga ulanishni o'rnatasiz. Birinchidan, yordamchi dasturni o'zi ishga tushiring:
$sudo pppconfig
Shundan so'ng, ko'rsatmalarga amal qiling. Agar ba'zi javoblarni bilmasangiz, ulardan operator bilan bog'lanish tavsiya etiladi. provayderingizni qo'llab-quvvatlang va u bilan maslahatlashing. Barcha sozlamalarni bajargandan so'ng, ulanish o'rnatiladi.
Foydalanish sozlamalari haqida wvdial, keyin u biroz murakkabroq bo'ladi. Avval paketni o'zi orqali o'rnatishingiz kerak "Terminal". Buning uchun quyidagi buyruqni bajaring:
$ sudo apt o'rnatish wvdial
U barcha parametrlarni avtomatik ravishda sozlash uchun mo'ljallangan yordamchi dasturni o'z ichiga oladi. Bu deyiladi "wvdialconf". Uni ishga tushiring:
$sudo wvdialconf
Uni amalga oshirgandan so'ng "Terminal" Ko'p parametrlar va xususiyatlar ko'rsatiladi - ularni tushunishingiz shart emas. Faqat yordamchi dastur maxsus fayl yaratganligini bilishingiz kerak "wvdial.conf", men kerakli parametrlarni avtomatik ravishda modemdan o'qib, kiritdim. Keyin yaratilgan faylni tahrirlashingiz kerak "wvdial.conf", keling, uni ochamiz "Terminal":
$ sudo gedit /etc/wvdial.conf
Ko'rib turganingizdek, sozlamalarning aksariyati allaqachon aniqlangan, ammo oxirgi uchta nuqta hali ham to'ldirilishi kerak. Ularga mos ravishda telefon raqamingizni, login va parolingizni kiritishingiz kerak bo'ladi. Biroq, ko'proq narsa uchun faylni yopishga shoshilmang qulay ish Yana bir nechta parametrlarni qo'shish tavsiya etiladi:
Natijada, konfiguratsiya fayli quyidagicha ko'rinadi:
Shuni esda tutingki, sozlamalar qavs ichida nomlar bilan belgilangan ikkita blokga bo'lingan. Bu parametrlardan foydalanishning ikkita versiyasini yaratish uchun kerak. Shunday qilib, ostidagi parametrlar «» , har doim bajariladi, lekin ostida «» — buyruqda mos variantni ko'rsatganda.
Barcha sozlamalarni amalga oshirgandan so'ng, DIAL-UP ulanishini o'rnatish uchun siz ushbu buyruqni bajarishingiz kerak:
Agar siz impulsli ulanishni o'rnatmoqchi bo'lsangiz, quyidagilarni yozing:
$ sudo wvdial puls
Sindirmoq o'rnatilgan aloqa, V "Terminal" tugmalar birikmasini bosishingiz kerak Ctrl+C.
Ubuntu bor maxsus yordamchi dastur, bu ko'pgina turlar uchun ulanishni o'rnatishga yordam beradi. Bundan tashqari, u bor grafik interfeys. Bu tarmoq menejeri bo'lib, u yuqori panelning o'ng tomonidagi tegishli belgini bosish orqali chaqiriladi.
Simli tarmoqni sozlash
Xuddi shu tarzda simli tarmoqni o'rnatish bilan boshlaymiz. Avval yordam dasturining o'zini ochishingiz kerak. Buning uchun uning belgisini bosing va bosing "Ulanishlarni o'zgartirish" V kontekst menyusi. Keyinchalik, paydo bo'lgan oynada siz quyidagilarni qilishingiz kerak:
Qabul qilingan barcha qadamlardan so'ng simli Internet aloqasi o'rnatilishi kerak. Agar bu sodir bo'lmasa, kiritilgan barcha parametrlarni tekshiring, ehtimol siz biror joyda xatoga yo'l qo'ygandirsiz. Bundan tashqari, yonidagi katakchani tekshirishni unutmang "Tarmoq boshqaruvi" yordam dasturining ochiladigan menyusida.
DNS sozlamalari
Ulanishni o'rnatish uchun sizga kerak bo'lishi mumkin qo'lda sozlash DNS serverlari. Buning uchun quyidagilarni bajaring:
PPPoE o'rnatilmoqda
Tarmoq menejerida PPPoE ulanishini o'rnatish avvalgidek oson "Terminal". Aslida, siz faqat provayderdan olingan login va parolni kiritishingiz kerak bo'ladi. Ammo keling, hamma narsani batafsil ko'rib chiqaylik.
Endi tarmoq menejeri menyusida yangi DSL ulanishi paydo bo'ldi, uni tanlash orqali siz Internetga kirishingiz mumkin. Eslatib o'tamiz, ba'zida o'zgarishlar kuchga kirishi uchun kompyuteringizni qayta ishga tushirishingiz kerak bo'ladi.
Natijada, Ubuntu operatsion tizimida kerakli Internet aloqasini o'rnatish uchun ko'plab vositalar mavjud deb aytishimiz mumkin. Tarmoq menejeri yordam dasturi, ayniqsa, yangi boshlanuvchilar uchun ishni sezilarli darajada osonlashtiradigan grafik interfeysga ega. Biroq "Terminal" ko'proq qilish imkonini beradi moslashuvchan sozlash, yordamchi dasturda bo'lmagan parametrlarni kiritish.
cvedetails.com ma'lumotlariga ko'ra, 1999 yildan beri Linux yadrosi 1305 ta zaiflik aniqlangan, shundan 68 tasi 2015 yilda aniqlangan. Ularning aksariyati hech qanday maxsus muammolarni keltirib chiqarmaydi, ular Mahalliy va Past deb belgilangan, ba'zilari esa faqat ma'lum ilovalar yoki OS sozlamalariga ulanganda chaqirilishi mumkin. Aslida, raqamlar kichik, ammo yadro butun OS emas. Zaifliklar GNU Coreutils, Binutils, glibs va, albatta, foydalanuvchi ilovalarida ham mavjud. Keling, eng qiziqarlilarini ko'rib chiqaylik.
OS: Linux
Daraja: O'rta, past
Vektor: Masofadan
CVE: CVE-2015-3331, CVE-2015-4001, CVE-2015-4002, CVE-2015-4003
Foydalanish: kontseptsiya, https://lkml.org/lkml/2015/5/13/740, https://lkml.org/lkml/2015/5/13/744
Iyun oyida Linux yadrosida arch/x86/crypto/aesni-intel_glue.c saytidagi __driver_rfc4106_decrypt funksiyasida 3.19.3 dan oldin topilgan zaiflik AES ko‘rsatmalar to‘plami AES-NI kengaytmasini qo‘llab-quvvatlovchi x86 protsessorlari uchun RFC4106 ning amalga oshirilishi bilan bog‘liq. Intel, Intel Advanced Encryption Standard Instructions) ba'zi hollarda bufer manzillarini to'g'ri hisoblamaydi. Agar IPsec tunneli ushbu rejimdan foydalanish uchun sozlangan bo'lsa (AES algoritmi - CONFIG_CRYPTO_AES_NI_INTEL), zaiflik xotira buzilishiga, ishdan chiqishga va CryptoAPI kodining potentsial masofadan bajarilishiga olib kelishi mumkin. Bundan tashqari, eng qiziq narsa shundaki, muammo o'z-o'zidan, butunlay qonuniy trafikda, tashqi aralashuvsiz paydo bo'lishi mumkin. Nashr qilingan paytda muammo hal qilindi.
Eksperimental maqomga ega Linux 4.0.5 ozwpan drayverida beshta zaiflik aniqlandi, ulardan to'rttasi maxsus ishlab chiqilgan paketlarni jo'natish orqali yadroni ishdan chiqarish orqali DoS hujumini tashkil qilish imkonini beradi. Muammo imzolangan butun sonlarni noto'g'ri ishlash tufayli buferning to'lib ketishi bilan bog'liq bo'lib, bunda memcpy-da talab qilinadigan_size va ofset o'rtasidagi hisob-kitob manfiy raqamni qaytardi, natijada ma'lumotlar to'pga ko'chiriladi.
Drivers/staging/ozwpan/ozhcd.c da oz_hcd_get_desc_cnf funksiyasida va drivers/staging/ozwpan/ozusbsvc1.c faylining oz_usb_rx va oz_usb_handle_ep_data funksiyalarida topilgan. Boshqa zaifliklar 0 ga bo'linishi, tizimning aylanishi yoki ajratilgan bufer chegarasidan tashqaridagi joylardan o'qish qobiliyatini o'z ichiga oladi.
Yangi Linux mahsulotlaridan biri bo'lgan ozwpan drayveri mavjud bilan interfeysga kirishi mumkin simsiz qurilmalar Ozmo Devices texnologiyasi bilan mos keladi ( Wi-Fi Direct). USB xost boshqaruvchisini amalga oshirishni ta'minlaydi, ammo hiyla shundaki, jismoniy ulanish o'rniga periferik Wi-Fi orqali aloqa qiladi. Haydovchi qabul qiladi tarmoq paketlari c yozing (ethertype) 0x892e, keyin ularni tahlil qiladi va ularni turli USB funksiyalariga tarjima qiladi. Hozircha u kamdan-kam hollarda qo'llaniladi, shuning uchun ozwpan.ko modulini tushirish orqali uni o'chirib qo'yish mumkin.
OS: Linux Ubuntu 04/12–04/15 (asosiy 2015 yil 15 iyungacha)
Daraja: Tanqidiy
Vektor: Mahalliy
CVE: CVE-2015-1328
Foydalanish: https://www.exploit-db.com/exploits/37292/
Kritik zaiflik OverlayFS fayl tizimida ildiz huquqlarini olish imkonini beradi Ubuntu tizimlari, bu imtiyozsiz foydalanuvchi tomonidan OverlayFS bo'limlarini o'rnatishga imkon beradi. Zaiflikdan foydalanish uchun zarur bo'lgan standart sozlamalar Ubuntu 12.04–15.04 ning barcha filiallarida qo'llaniladi. OverlayFS o'zi Linux yadrosida nisbatan yaqinda paydo bo'lgan - 3.18-rc2 (2014) dan boshlab, UnionFS va AUFS o'rnini bosuvchi SUSE ishlanmasi. OverlayFS virtual ko'p qatlamni yaratishga imkon beradi fayl tizimi, bu boshqa fayl tizimlarining bir nechta qismlarini birlashtiradi.
Fayl tizimi har biri alohida kataloglarga biriktirilgan pastki va yuqori qatlamdan yaratilgan. Pastki qatlam faqat Linuxda qo'llab-quvvatlanadigan har qanday fayl tizimlarining kataloglarini, shu jumladan tarmoqni o'qish uchun ishlatiladi. Yuqori qatlam odatda yozilishi mumkin va agar fayllar takrorlangan bo'lsa, pastki qatlamdagi ma'lumotlarni bekor qiladi. U Live tarqatishlarda, konteyner virtualizatsiya tizimlarida va ba'zi ish stoli ilovalari uchun konteynerlarning ishlashini tashkil qilishda talabga ega. Foydalanuvchi nomlari bo'shliqlari konteynerlarda o'z foydalanuvchi va guruh identifikatorlarini yaratishga imkon beradi. Zaiflik asosiy fayl tizimining katalogida yangi fayllarni yaratishda kirish huquqlarini noto'g'ri tekshirish natijasida yuzaga keladi.
Agar yadro CONFIG_USER_NS=y (foydalanuvchi nom maydonini yoqish) bilan qurilgan bo'lsa va o'rnatish vaqtida FS_USERNS_MOUNT bayrog'i ko'rsatilgan bo'lsa, OverlayFS o'rnatilishi mumkin muntazam foydalanuvchi boshqa nom maydonida, shu jumladan bilan operatsiyalar qaerda ildiz huquqlari. Bunday holda, bunday nomlar bo'shliqlarida amalga oshiriladigan ildiz huquqlariga ega fayllar bilan operatsiyalar asosiy fayl tizimi bilan amallarni bajarishda bir xil imtiyozlarni oladi. Shunday qilib, siz istalgan FS bo'limini o'rnatishingiz va istalgan fayl yoki katalogni ko'rishingiz yoki o'zgartirishingiz mumkin.
Nashr qilingan vaqtda Ubuntu-dan qattiq OverlayFS moduli bilan yadro yangilanishi allaqachon mavjud edi. Va agar tizim yangilangan bo'lsa, hech qanday muammo bo'lmasligi kerak. Xuddi shu holatda, yangilash mumkin bo'lmaganda, vaqtinchalik chora sifatida, overlayfs.ko modulini olib tashlash orqali OverlayFS-dan foydalanishni to'xtatishingiz kerak.
OS: Linux
Daraja: Tanqidiy
Vektor: mahalliy, uzoq
CVE: CVE-2015-0235
Foydalanish: https://www.qualys.com/research/security-advisories/exim_ghost_bof.rb
Xavfli zaiflik standart kutubxona Linux OT ning asosiy qismi boʻlgan GNU glibc hamda Oracle Communications Applications va Oracle Pillar Axiom ning baʼzi versiyalarida Qualys xakerlari tomonidan kod auditi paytida topilgan. GHOST kod nomini oldi. Bu __nss_hostname_digits_dots() funksiyasi ichidagi bufer to'lib ketishi bo'lib, u gethostbyname() va gethostbyname2() kabi glibc funktsiyalari tomonidan xost nomini (shuning uchun GetHOST nomi) olish uchun ishlatiladi. Zaiflikdan foydalanish uchun DNS orqali nomni aniqlashni amalga oshiruvchi ilovaga noto‘g‘ri xost nomi argumenti yordamida bufer to‘lib ketishiga olib kelishi kerak. Ya'ni, nazariy jihatdan, bu zaiflik tarmoqdan u yoki bu darajada foydalanadigan har qanday dasturga nisbatan qo'llanilishi mumkin. O'zboshimchalik bilan kodni bajarishga imkon beruvchi mahalliy va masofadan chaqirilishi mumkin.
Eng qizig'i shundaki, xato 2013 yil may oyida tuzatilgan, glibc 2.17 va 2.18 versiyalari o'rtasida yamoq taqdim etilgan, ammo muammo xavfsizlik yamog'i sifatida tasniflanmagan, shuning uchun unga e'tibor berilmagan. Natijada, ko'plab tarqatishlar zaif bo'lib chiqdi. Dastlab, birinchi zaif versiya 2000 yil 10-noyabrda 2.2 bo'lgani haqida xabar berilgan edi, ammo u 2.0 ga qadar paydo bo'lishi ehtimoli bor. Boshqalar qatorida RHEL/CentOS 5.x–7.x, Debian 7 va Ubuntu 12.04 LTS distributivlari taʼsir koʻrsatdi. Hozirda tuzatishlar mavjud. Xakerlarning o'zlari zaiflikning mohiyatini tushuntiruvchi va tizimingizni tekshirish imkonini beruvchi yordamchi dasturni taklif qilishdi. Ubuntu 12.04.4 LTS da hamma narsa yaxshi:
$ wget https: //goo.gl/RuunlE $gcc gistfile1. c - o CVE - 2015 - 0235 $. / CVE - 2015 - 0235 zaif emas |
Tizimni GHOST da tekshirish
Deyarli darhol x86 va x86_64 Linux-da ishlaydigan dastur bilan kodni masofadan bajarish imkonini beruvchi modul chiqarildi. pochta serveri Exim (helo_try_verify_hosts yoki helo_verify_hosts yoqilgan). Keyinchalik, boshqa ilovalar paydo bo'ldi, masalan, WordPress-da blogni tekshirish uchun Metasploit moduli.
Biroz vaqt o'tgach, 2015 yilda GNU glibc-da yana uchta zaiflik aniqlandi, ular masofaviy foydalanuvchiga DoS hujumini amalga oshirish yoki stek chegarasidan tashqarida xotira hujayralarini qayta yozish imkonini berdi: CVE-2015-1472, CVE-2015-1473, CVE-2015- 1781 yil.
OS: Linux (GNU Coreutils)
Daraja: Past
Vektor: Mahalliy, masofaviy
CVE: CVE-2014-9471
Foydalanish: Yo'q
GNU Coreutils asosiy *nix paketlaridan biri boʻlib, deyarli barcha asosiy yordamchi dasturlarni (cat, ls, rm, date...) oʻz ichiga oladi. Muammo sanada topildi. parse_datetime funksiyasidagi xato masofaviy tajovuzkorga ruxsatsiz ruxsat beradi hisob tizimda xizmat ko'rsatishni rad etishga sabab bo'ladi va, ehtimol, vaqt mintaqasidan foydalangan holda maxsus tayyorlangan sana qatori orqali o'zboshimchalik bilan kodni amalga oshirishi mumkin. Zaiflik quyidagicha ko'rinadi:
$ teging ‘-- sana = TZ = ”123”345”@1’ Segmentatsiya xatosi $ sana - d ‘TZ = “Yevropa / Moskva” “00 : 00 + 1 soat”’ Segmentatsiya xatosi $ sana ‘-- sana = TZ = ”123”345”@1’ * * * “Sana”dagi xato: bepul () : noto‘g‘ri ko‘rsatgich: 0xbfc11414 * * * |
GNU Coreutils-da zaiflik
Agar zaiflik bo'lmasa, biz noto'g'ri sana formati haqida xabar olamiz. Deyarli barcha ishlab chiquvchilar zaiflik mavjudligi haqida xabar berishdi Linux distributivlari. Hozirda yangilanish mavjud.
Yamalgan GNU Coreutils-ning normal chiqishi OS: Linux (grep 2.19–2.21)
Daraja: Past
Vektor: Mahalliy
CVE: CVE-2015-1345
Foydalanish: Yo'q
Naqsh yordamida matnni qidirish uchun ishlatiladigan grep yordam dasturida zaifliklar kamdan-kam uchraydi. Ammo bu yordamchi dastur ko'pincha boshqa dasturlar, shu jumladan tizim dasturlari tomonidan chaqiriladi, shuning uchun zaifliklarning mavjudligi birinchi qarashda ko'rinadiganidan ancha muammoli. kwset.c-dagi bmexec_trans funksiyasidagi xato ajratilgan buferdan tashqaridagi hududdan ishga tushirilmagan ma'lumotlarni o'qishga yoki ilovaning ishdan chiqishiga olib kelishi mumkin. Hacker grep -F yordamida ilova kiritish uchun taqdim etilgan maxsus ma'lumotlar to'plamini yaratish orqali bundan foydalanishi mumkin. Hozirda yangilanishlar mavjud. Zaiflikdan yoki Metasploit modulidan foydalanadigan ekspluatatsiyalar mavjud emas.
OS: FreeBSD
Daraja: Past
Vektor: Mahalliy, masofaviy
CVE: CVE-2014-0998, CVE-2014-8612, CVE-2014-8613
Foydalanish: https://www.exploit-db.com/exploits/35938/
2015 yil uchun CVE ma'lumotlar bazasida juda ko'p zaifliklar mavjud emas, aniqrog'i - atigi oltita. 2015-yil yanvar oyi oxirida Core Exploit Writers Team tadqiqotchilari tomonidan FreeBSD 8.4–10.x-da uchta zaiflik topilgan. CVE-2014-0998 VT konsoli drayverini (Newcons) amalga oshirish bilan bog'liq bo'lib, u /boot/loader.conf-dagi kern.vty=vt parametri bilan faollashtirilgan bir nechta virtual terminallarni ta'minlaydi.
CVE-2014-8612 SCTP protokolidan foydalanganda yuzaga keladi va SCTP soketlarini (mahalliy port 4444) amalga oshiradigan SCTP oqim identifikatorini tekshirish kodidagi xatolik tufayli yuzaga keladi. Mohiyati sctp_setopt() funksiyasidagi (sys/netinet/sctp_userreq.c) xotiradan qolgan xatodir. Bu mahalliy imtiyozsiz foydalanuvchiga 16 bit yadro xotirasi ma'lumotlarini yozish yoki o'qish va tizimdagi imtiyozlarini oshirish, nozik ma'lumotlarni ochish yoki tizimni buzish qobiliyatini beradi.
CVE-2014-8613 SCTP_SS_VALUE SCTP soket opsiyasi o'rnatilganda, tashqi qabul qilingan SCTP paketini qayta ishlashda NULL ko'rsatkichni yo'qotishga ruxsat beradi. Avvalgilaridan farqli o'laroq, CVE-2014-8613 dan foydalanish mumkin masofaviy qo'ng'iroq maxsus ishlab chiqilgan paketlarni yuborish orqali yadroni buzish. FreeBSD 10.1 da siz net.inet.sctp.reconfig_enable o'zgaruvchisini 0 ga o'rnatish orqali o'zingizni himoya qilishingiz mumkin va shu bilan RE_CONFIG bloklarini qayta ishlashni o'chirib qo'yishingiz mumkin. Yoki oddiygina ilovalarni (brauzerlar, elektron pochta mijozlari va boshqalar) SCTP ulanishlaridan foydalanishni taqiqlang. Garchi nashr paytida ishlab chiquvchilar allaqachon yangilanishni chiqargan bo'lsalar ham.
FreeBSD zaiflik statistikasi OS: OpenSSL
Daraja: Masofadan
Vektor: Mahalliy
CVE: CVE-2015-1793
Foydalanish: Yo'q
2014-yilda SSL/TLS bilan ishlash uchun keng qo‘llaniladigan kriptografik paket bo‘lgan OpenSSL-da Heartbleed-ning muhim zaifligi aniqlandi. Voqea bir vaqtning o'zida kodning sifati bo'yicha katta tanqidlarga sabab bo'ldi va bu, bir tomondan, LibreSSL kabi alternativalarning paydo bo'lishiga olib keldi, boshqa tomondan, ishlab chiquvchilarning o'zlari nihoyat biznesga kirishdi.
Zaifliklar bo'yicha eng yaxshi sotuvchilar Kritik zaiflikni Google’dan Adam Langli va BoringSSL’dan Devid Benjamin aniqlagan. OpenSSL 1.0.1n va 1.0.2b versiyalarida amalga oshirilgan o'zgarishlar, agar ishonch zanjirini yaratishga birinchi urinish muvaffaqiyatsiz bo'lsa, OpenSSL sertifikatni tekshirishning alternativ zanjirini topishga harakat qildi. Bu sizga sertifikatni tekshirish protsedurasini chetlab o'tish va soxta sertifikat yordamida tasdiqlangan ulanishni tashkil qilish imkonini beradi, boshqacha qilib aytganda - foydalanuvchini soxta saytlar yoki serverlarga xotirjam jalb qilish. Elektron pochta yoki sertifikat ishlatiladigan har qanday MITM hujumini amalga oshirish.
Zaiflik aniqlangandan so'ng, ishlab chiquvchilar 9 iyulda 1.0.1p va 1.0.2d relizlarini chiqardilar, bu esa ushbu muammoni hal qildi. 0.9.8 yoki 1.0.0 versiyalarida bu zaiflik mavjud emas.
Kuzning oxiri bir qator shifrlash viruslarining paydo bo'lishi bilan belgilandi, birinchi navbatda Linux.Encoder.0, keyin esa 2500 dan ortiq saytlarni zararlangan Linux.Encoder.1 va Linux.Encoder.2 modifikatsiyalari. Antivirus kompaniyalari ma'lumotlariga ko'ra, turli CMS-lar - WordPress, Magento CMS, Joomla va boshqalar yordamida ishlaydigan veb-saytlari bo'lgan Linux va FreeBSD serverlari hujumga uchramoqda. Xakerlar noma'lum zaiflikdan foydalanmoqda. Keyinchalik, qobiq skripti joylashtirildi (fayl error.php), uning yordamida keyingi harakatlar amalga oshirildi (brauzer orqali). Xususan, Linux kodlovchi troyan ishga tushirildi.
OT arxitekturasini aniqlagan va to'lov dasturini ishga tushirgan kodlovchi. Kodlovchi veb-server huquqlari (Ubuntu - www-data) bilan ishga tushirildi, bu CMS fayllari va komponentlari saqlanadigan katalogdagi fayllarni shifrlash uchun etarli. Shifrlangan fayllar yangi kengaytmani oladi.encrypted.
Ransomware shuningdek, boshqa OS kataloglarini chetlab o'tishga harakat qiladi; agar huquqlar noto'g'ri sozlangan bo'lsa, u veb-sayt chegaralaridan osongina chiqib ketishi mumkin. Keyinchalik, README_FOR_DECRYPT.txt fayli katalogda saqlandi, unda fayllar shifrini ochish bo'yicha ko'rsatmalar va xaker talablari mavjud. Yoniq bu daqiqa antivirus kompaniyalari kataloglarni shifrlash imkonini beruvchi yordamchi dasturlarni taqdim etdi. Masalan, Bitdefender-dan to'plam. Ammo shuni yodda tutish kerakki, fayllarni shifrlash uchun mo'ljallangan barcha yordamchi dasturlar qobiq kodini olib tashlamaydi va hamma narsa yana sodir bo'lishi mumkin.
Veb-sayt ma'muriyatini ishlab chiqadigan yoki sinab ko'radigan ko'plab foydalanuvchilar ko'pincha veb-serverni o'rnatishini hisobga olsak uy kompyuteri, siz xavfsizlik haqida qayg'urishingiz kerak: tashqaridan kirishni bloklash, dasturiy ta'minotni yangilash, VMda tajribalar o'tkazish. Va g'oyaning o'zi kelajakda uy tizimlariga hujum qilish uchun ishlatilishi mumkin.
Jismonan xatosiz murakkab dasturiy ta'minot mavjud emas, shuning uchun siz zaifliklar doimo aniqlanishi bilan kelishishingiz kerak. Ammo ularning hammasi ham haqiqatan ham muammoli bo'lishi mumkin emas. Va siz oddiy qadamlar bilan o'zingizni himoya qilishingiz mumkin: foydalanilmagan dasturiy ta'minotni olib tashlang, yangi zaifliklarni kuzatib boring va xavfsizlik yangilanishlarini o'rnatishni unutmang, xavfsizlik devorini sozlang, antivirusni o'rnating. Va SELinux kabi maxsus texnologiyalar haqida unutmang, ular demon yoki foydalanuvchi dasturini buzishga qodir.
Albatta, buni aytishimiz mumkin Linux Ko'proq xavfsiz Windowsga qaraganda (himoyalangan). Xavfsizlik V Linux o'rnatilgan va Windows-da amalga oshirilganidek, biron bir joyda vidalanmagan. Xavfsizlik tizimlari Linux yadrodan ish stoligacha bo'lgan hududni qamrab oladi, ammo xakerlar sizning uy katalogingizga (/home) zarar etkazishi mumkin.
Sizning bayt rasmlaringiz, uy videolaringiz, hujjatlaringiz va kredit karta yoki hamyon ma'lumotlaringiz kompyuterdagi eng qimmatli ma'lumotlardir. Albatta, Linux Windows uchun barcha turdagi Internet qurtlari va viruslariga sezgir emas. Ammo tajovuzkorlar uy katalogingizdagi ma'lumotlaringizga kirish yo'lini topishlari mumkin.
Eski kompyuteringizni tayyorlab yoki qattiq disk sotishdan oldin formatlash, sizningcha, bu etarli bo'ladimi? Ma'lumotlarni qayta tiklash uchun juda ko'p zamonaviy vositalar mavjud. Hacker sizning ma'lumotlaringizni osongina tiklashi mumkin qattiq disk, qaysi operatsion tizimda ishlaganingizdan qat'iy nazar.
Ushbu mavzu bo'yicha men bitta kompaniyaning ishlatilgan kompyuterlar va disklarni qayta sotib olish tajribasini eslayman. Faoliyati davomida ular o'zlarining kompyuterlarining oldingi egalarining 90 foizi uni sotishdan oldin saqlash vositalarini tozalash haqida to'g'ri g'amxo'rlik qilmaganligi haqida hukm chiqardilar. Va ular juda nozik bayt ma'lumotlarni ajratib olishdi. Qattiq diskingiz qutilarida biron bir joyda onlayn bank yoki onlayn hamyonga kirish uchun ma'lumot bo'lishini tasavvur qilish ham qo'rqinchli.
Keling, deyarli har qanday narsaga mos keladigan asoslarga () qadam qo'yaylik 
Linux distributivlari.
Hech kim sizning uy katalogingizni (/home) yoki ma'lum bir bayt hajmini o'qiy olishini xohlamasangiz, maxsus parollar muammoni hal qilmaydi. Siz buni shunday qilishingiz mumkinki, hatto eng yuqori ildiz huquqlariga ega bo'lgan foydalanuvchi ham burnini bura olmaydi.
Agar siz kompyuteringizni yoki saqlash muhitini sotishga yoki berishga qaror qilsangiz, uni oddiygina formatlash fayllaringizni butunlay yo'q qiladi deb o'ylamang. srm yordam dasturini o'z ichiga olgan Linux-ga xavfsiz o'chirish vositasini o'rnatishingiz mumkin xavfsiz olib tashlash fayllar.
Bundan tashqari, Linux yadrosidagi xavfsizlik devori haqida unutmang. Barcha Linux distributivlari yadroning bir qismi bo'lgan lptablesni o'z ichiga oladi. Lptables tarmoq paketlarini filtrlash imkonini beradi. Albatta, siz ushbu yordam dasturini terminalda sozlashingiz mumkin. Ammo bu usul ko'pchilikning, shu jumladan mening ham imkoniyatlaridan tashqarida. Shunday qilib, men uni xuddi o'yin o'ynayotgandek osongina o'rnataman va sozlayman.
Hamma kabi OS, Linux turli ilovalarni ishga tushirishda har xil keraksiz narsalar to'planishiga moyil. Va bu Linuxning aybi emas, chunki brauzerlar, matn muharrirlari va hatto video pleerlar kabi turli xil ilovalar yadro darajasida ishlamaydi va vaqtinchalik fayllarni to'playdi. Axlatni universal olib tashlash uchun BleachBit yordam dasturini o'rnatishingiz mumkin.
Xulosa qilib, men sizga aytmoqchiman anonim veb-surfing. Ba'zan shunday bo'ladiki, men xotinimdan yashirincha erotik tarkibga ega saytlarga tashrif buyurganimdek, kerak bo'ladi. Albatta hazillashdim.
Agar tajovuzkorlar sizning joylashuvingizni aniqlay olmasalar, siz bilan bog'lanishlari qiyin bo'ladi. Biz treklarimizni privoxy va tor deb nomlangan ikkita yordamchi dasturdan iborat oddiy sozlash bilan yopamiz.
Menimcha, ushbu qoidalarning barchasiga rioya qilish va sozlash sizni va kompyuteringizni 90% xavfsiz saqlaydi.
P.S. Men dropbox deb nomlangan bulutdan foydalanmoqdaman. Unda eski va yangi, hali chop etilmagan maqolalarimni saqlayman. Dunyoning istalgan joyidan va istalgan kompyuterdan fayllaringizga kirish qulay. Veb-sayt uchun maqolalar yozayotganda matn muharriri, Men o'zimni saqlayman matnli hujjatlar parol bilan va shundan keyingina men uni dropbox serveriga yuklayman. Hech qachon qo'shimcha xavfsizlikni e'tiborsiz qoldirmasligingiz kerak, bu faqat sizning qo'lingizda o'ynaydi.
