Protegendo uma instalação Debian para uso doméstico geral

Navegue suas respostas
8

O Debian vem com vários pacotes harden , projetados para tornar um computador mais seguro. Minhas necessidades são muito simples: processamento de texto e navegação na web. Eu não executo nenhum servidor especial, não uso SSH, telnet, etc. O único software que deve usar a Internet, que eu conheço, é iceweasel e apt .

  • Existe uma maneira de garantir que apenas esses dois tipos de software possam acessar a Internet?
  • Algum dos pacotes harden é adequado para essas necessidades?
por Village 22.02.2012 / 09:16

5 respostas

6

Em uma instalação de usuário padrão, há apenas o ssh como aplicativo de servidor instalado, que você pode simplesmente desinstalar via aptitude remove openssh-server ou através de qualquer outro gerenciador de pacotes usado.

Restringir o acesso à rede para aplicativos é difícil. {{EDIT : No entanto, existe agora Leopard Flower desenvolvido que parece fornecer os recursos que você precisa (por -processar firewall, interface de usuário interativa). }} Veja firewall por processo? para obter mais informações sobre o tópico. Sem usar soluções complicadas, você só pode restringir o acesso à rede para usuários especiais através do módulo iptables owner .

Como usuário normal, você não precisa de nenhum harden-* packages. Eles entram em conflito com pacotes não seguros, que você provavelmente não instalou de qualquer maneira, ou instalam pacotes de segurança que são para sistemas normais muito complicados de configurar e manter - como sistemas de invasão de rede.

    
por 22.02.2012 / 14:06
3

Eu concordaria com o uso estrito do iptables. É um firewall baseado em linha de comando muito simples que utiliza o kernel (na maioria das distros).

Outra sugestão que gostaria de fazer é o selinux. Não tenho certeza se o debian agora vem com ele por padrão. Selinux, em suma, é o significado de controle de acesso obrigatório no nível do kernel que rege a comunicação entre o aplicativo e os recursos externos (ou seja, arquivos e propriedades do sistema). Como um sidenote, também foi desenvolvido com a ajuda da NSA. Com os perfis do selinux, você pode impedir que os aplicativos leiam arquivos além de seu escopo.

Combinado com as melhores práticas, como desativar daemons desnecessários, boas regras de firewall, o selinux pode ser a opção que você está procurando para proteger essa caixa.

    
por 29.02.2012 / 16:08
2

Infelizmente, parece que não existem alternativas ao Linux para littlesnitch ou zonealarm , e a maioria dos firewalls com GUI deixará você com vontade. É claro que você pode fazer algumas coisas úteis com iptables e rastreamento de conexão.

Um utilitário frequentemente ignorado é tcpwrappers . Eu adicionaria uma regra a /etc/hosts.deny : 

ALL: PARANOID

Além disso, desative o ping e outras respostas ICMP adicionando a seguinte linha a /etc/sysctl.conf : 

net.ipv4.icmp_echo_ignore_all = 1

EDITAR : Estou inclinado a concordar com o jmtd, pensando que há melhores maneiras de filtrar pings.

    
por 03.03.2012 / 01:19
1

Pare todos os serviços que você não deseja start: ssh, smtp, http, o que mais você não deseja ser iniciado. Configure seus iptables para bloquear tudo o que está acessando sua máquina ou deixando sua máquina separada do software que você deseja.

Note que não estou dando uma lista completa de comandos para digitar, pois é vital que se aprenda e entenda as implicações dos serviços e do iptables antes de mexer neles.

    
por 27.02.2012 / 12:53
1

A base mais popular de filtragem de rede / firewalls no Linux é iptables , que não funciona em uma base de aplicativo. O que você precisa é de um programa de política de segurança que possa impedir que os programas acessem recursos da rede. Duas abordagens seriam SELinux e AppArmor .

Aqui estão alguns exemplos de receitas do AppArmor , uma das quais abre o acesso à rede para o Firefox / Iceweasel.

    
por 02.03.2012 / 12:25

Tags

FPATH em zsh: functions e site-functions Como usar corretamente o ssh ControlMaster [duplicado]