Библиотека сайта rus-linux.net
Безопасный серфинг в Ubuntu. Оставайтесь всегда в безопасности
Оригинал: Safe Surfing With Ubuntu. Stay Safe Out ThereАвтор: Matt Hartley
Дата публикации: четверг, 18 декабря 2008
Перевод: Коваленко А.М.
Дата перевода: 7 августа 2009 г.
Существует общее убеждение, что если кто-то переходит на использование дистрибутива Linux, например, такого как Ubuntu на настольном компьютере, то проблемы обеспечения безопасности решаются сами собой. К сожалению, в реальности этого не происходит. Подобно любой сегодняшней операционной системе, в Ubuntu также существуют потенциальные цели для эксплойтов. Переполнение буфера, переполнение стека, "грязный" код, ошибки пользователей - и это неполный список угроз, который можно было бы еще продолжить. Для противодействия этим и другим возможным угрозам, я покажу вам, как выполнить простые шаги, которые гарантируют, что вы используете разумные стратегии для безопасной работы в Ubuntu.
Анти-вирусная защита?
Один из наиболее часто возникающих споров - использовать или нет на компьютерах с Linux защиту от вирусов. Мое мнение следующее: руткиты и вирусы, чьей целью является Linux, существуют на самом деле. С одной стороны, они - бледная тень чистого объема эксплойтов, нацеленных на Microsoft Windows, и отсюда становится понятным тот факт, что обманчивое чувство безопасности, появляющееся от такой статистики, усыпляет бдительность людей.
С другой стороны, и я хочу это подчеркнуть, - идея сканировать содержание вашего компьютера для поиска опасных вирусов очень здравая. Использование съемных носителей, дисков, электронной почты - каждое из этих действий вполне может привести к случайному получению вирусов совместно с пользователями Windows. Обратите внимание, что я не призываю к излишней подозрительности, но предупреждаю об опасности любого пользователя, в чью домашнюю сеть входят без предупреждения.
Поэтому я должен дать вам совет, логично проистекающий из вышеизложенного - используйте какую-либо программу (например, ClamAV) для выполнения еженедельного вирусного сканирования. Хотя сейчас мы и живем в окружении компьютеров Windows, выполнение еженедельного сканирования - это на самом деле та важная операция, о которой каждый должен не только помнить, но и которую непременно должен выполнять.
Защита от злонамеренного программного обеспечения?
Значительная угроза со стороны злонамеренного программного обеспечения все еще существует. В свете этого, уже сам по себе отказ от установки или запуска неизвестных приложений может оказать большую помощь. Весьма неразумно устанавливать подозрительную программу, которую вы не знаете, на любую из платформ путем "слепой" установки вновь обнаруженного программного обеспечения без его предварительного изучения. Потому, как в случае, если оно использует закрытый программный код - вы не сможете даже узнать, что же эта программа делает с вашим компьютером на самом деле.
Статьи на эту тему:
- Облегчение написания скриптов SSH и SFTP с использованием Python
- Сайт электронной коммерции Firefox + Greasemonkey Turbocharge со стороны клиента
- Интерфейс командной строки Linux для начинающих, или, Не бойтесь командную строку Linux!
- Графическое удаленное управление компьютерами для Linux, часть 3
Подобная угроза существует и со стороны web браузера, поэтому я полагаю, что просто отключив Java и отказавшись от "слепой" установки расширений Firefox, без предварительного их изучения, вы сможете практически избежать любой будущей угрозы установки злонамеренного ПО и с этой стороны. Объединив обе эти рекомендации вы убедитесь, что даже если однажды злонамеренное ПО и станет проблемой, вам будет уже гораздо легче диагностировать способ попадания его на ваш компьютер.
Возможности защиты с использованием брандмауэра
Как и для любой операционной системы подключенной к Интернет в наши дни, для ОС Ubuntu, использование брандмауэра - обязательно. Для пользователей Ubuntu это означает использование IPTables через UFW (Uncomplicated Firewall (Простой Брандмауэр)).
Грустно, что идею использования брандмауэра, как и большинство идей придуманных инженерами, обычные пользователи не считают "простой", а все по причине того, что брандмауэр требует использования командной строки. Эта очевидная брешь в удобстве использования привела к разработке графического интерфейса - Gufw.
Gufw обеспечивает очень простые возможности для включения/выключения настроек IPTables во всех современных инсталляциях Ubuntu. Gufw также позволяет буквально "одним щелчком" управлять портами, применяя заранее настроенные или расширенные опции перенаправления портов.
Использование этого вида защиты будет обеспечивать подходящий уровень безопасности брандмауэра практически сразу при первом запуске. К несчастью, сам по себе брандмауэр ничего не делает с трафиком, передаваемым через вашу сеть или даже через Интернет. Резюмирую, - брандмауэр - это скорее "привратник" на входе, чем "полицейский на мотоцикле", отлавливающий потенциальные угрозы для вашей сети.
OpenVPN и OpenSSH
Несмотря на тот факт, что большинству корпоративных пользователей требуется использовать OpenVPN для подключения к сети предприятия, я был разочарован тем, что большинство людей не обращают внимания на OpenSSH как альтернативу для домашних работников, которым требуется подключение к безопасным не-VPN сетям.
Не вдаваясь в подробности реализации двух этих программ, скажу, что идея состоит в том, что пользователь может безопасно подключаться к удаленному компьютеру/серверу, получать доступ к удаленным разделяемым ресурсам/электронной почте/документам и т.п. без беспокойства о том, что его трафик на всем пути прохождения (туда и обратно) не будет скомпрометирован злоумышленником.
Что касается OpenVPN, - это программное обеспечение позволяет находящимся дома корпоративным пользователям подключаться к серверу виртуальной частной сети (VPN) их компании настолько просто, насколько это вообще возможно. Оттуда они могут получить доступ к своим рабочим компьютерам, управлять документами или просто проверять почту. Суть в том, что работники за пределами локального офиса могут спокойно пользоваться протоколами безопасности, которые установил IT персонал для подключения к сети предприятия снаружи, находясь где-либо вне корпоративной сети, будь то домашний офис или любая другая небезопасная сеть.
Установку OpenVPN соединения выполнить достаточно просто, необходимо только установить пакет network-manager-openvpn из вашего репозитория Ubuntu. После этого и установки других зависимостей, просто щелкните мышью на значке менеджера сети (network-manager) и начните процесс настройки VPN. В сегодняшнем, последнем релизе Ubuntu, 8.10 (прим. переводчика: на момент перевода статьи последним стабильным релизом Ubuntu является 9.04), пользователи сразу после установки ОС могут воспользоваться VPN соединениями, предварительно настроив их.
Усиление Удаленной и Локальной безопасности
Теперь вернемся домой. Лично я частично использую OpenSSH для соединения из дома с беспроводной сетью моего собственного кофе-магазина. Использование OpenSSH позволяет мне работать с такими Интернет приложениями, как Evolution (клиент электронной почты), Firefox (web-браузер) и т.п., которые иначе я не стал бы использовать в кофе-магазине для передачи информации.
OpenSSH так же обеспечивает замечательную возможность совместного доступа к файлам и папкам компьютеров в вашей локальной сети. Однако, используя совместный доступ вместе с No-IP (прим. переводчика: сервис, подменяющий динамически назначаемый IP-адрес компьютера каким-либо постоянным именем, доступным через Интернет), вы можете организовать однообразный совместный доступ к файлам и папкам независимо от места, где вы находитесь в данный момент. При этом, где бы вы не находились, дома или на другом конце земного шара, вы получите одинаково надежный совместный доступ к файлам.
Подведем итог всего вышесказанного. SSH и VPN - это виртуальные безопасные мосты от компьютера к серверу или от компьютера к компьютеру. Но насколько бы безопасными не казались эти средства, это не означает, что при просматре Интернет-страницы или отправке электронной почты данные остаются в безопасности в процессе их передачи. Возможно, вы захотите внедрить дополнительно какие-то средства SSL, чтобы использовать протокол HTTPS для просмотра веб-страниц и SSL безопасность для передачи электронной почты туда и обратно.
Обеспечение безопасности вашего компьютера с Ubuntu для локального использования
На сегодняшний день, единственный и, пожалуй, самый большой риск для безопасности вашего компьютера, в общем случае, находится между монитором и стулом. Пользователи, особенно на совместно используемых компьютерах, обеспечивают больше проблем безопасности, чем любые вирусы или зловредное программное обеспечение, случайно проникшее на ваш компьютер.
Поскольку мы не можем проконтролировать, что делают другие пользователи на общем компьютере, я предлагаю список некоторых полезных инструментов и техник, которые наилучшим образом подготовят вас к ответным действиям на любые безрассудные поступки, совершенные другими пользователями.
Совет: Сохранение обновлений под контролем. Отказ от поддержания системы Ubuntu в актуальном состоянии - путь, приводящий к получению множества проблем в дальнейшем, уж лучше получить несколько ошибок, в случае выполнения регулярных обновлений. Обновления безопасности - первостепенны.
Совет: Блокирование других пользователей. Немедленное преимущество вы можете получить, спрятав ранее работающую рабочую инсталляцию Ubuntu от менее опытного члена семьи или друга. Наилучший путь для того, чтобы это выполнить - добавить ограниченную в правах учетную запись обычного пользователя для всех тех, кто еще помимо вас работает за компьютером. Из меню администрирования пользователей и групп, под своей собственной учетной записью супер-пользователя, просто отключите любые опции, которые вы хотите запретить, для вновь создаваемой ограниченной учетной записи пользователя.
Совет: Обеспечение безопасности вашего домашнего каталога. Больше для обеспечения тайны, чем для безопасности, избежав головной боли от использования шифрования, вы можете легко и просто поменять привилегии пользователей для доступа к каталогу, например, выполнив команду chmod 0700 /home/$USER в терминале. Предположим, только вы один имеете права суперпользователя (super user/root) на данном компьютере, больше никто не может видеть содержания вашего каталога. Если шифрование обязательно, то есть несколько замечательных HOWTO, лучший из которых
здесь. Да, сделать это очень нелегко.
Совет: OpenDNS для базовой фильтрации содержимого. Одним из наилучших путей оградить пользователей вашей системы Ubuntu от доступа к потенциально мошенническим сайтам или узлам со злонамеренным программным обеспечением является использование OpenDNS. Изменение настроек DNS в вашей сети может быть выполнено как на каждом компьютере в отдельности, так и на шлюзе, выполняющем роль маршрутизатора.
Ubuntu настолько безопасна, насколько вы ее таковой сделаете
Используя советы, которые я дал выше, вы несомненно встанете на путь безопасного использования Ubuntu. Но, несмотря на наличие этих рекомендаций, вы всегда можете нарваться на неприятности.
Поскольку Linux действительно весьма мощная система, любой у кого есть права супер-пользователя должен осознавать, что есть команды или сценарии оболочки, которые могут быть запущены в терминале и нанести при выполнении существенный вред. Один из типов такого вреда выражается в потере данных.
И еще, — вместо того, чтобы метаться по форумам, разыскивая решение проблемы, которая возникла сама по себе, лучше каждый раз консультироваться с доверенным источником перед запуском кода, с которым вы незнакомы. Один этот совет творит чудеса, гарантируя, что Ubuntu используется безопасно.
Благодарим за статью Datamation