настройка межсетевого экрана linux
Настройка межсетевого экрана в Linux
Содержание
Немного теории [ править ]
Принцип работы [ править ]
Все пакеты пропускаются через определенные для них последовательности цепочек. При прохождении пакетом цепочки, к нему последовательно применяются все правила этой цепочки в порядке их следования. Под применением правила понимается: во-первых, проверка пакета на соответствие критерию, и во-вторых, если пакет этому критерию соответствует, применение к нему указанного действия. Под действием может подразумеваться как элементарная операция (встроенное действие, например, ACCEPT, MARK), так и переход в одну из пользовательских цепочек. В свою очередь, действия могут быть как терминальными, то есть прекращающими обработку пакета в рамках данной базовой цепочки (например, ACCEPT, REJECT), так и нетерминальными, то есть не прерывающими процесса обработки пакета (MARK, TOS). Если пакет прошел через всю базовую цепочку и к нему так и не было применено ни одного терминального действия, к нему применяется действие по умолчанию для данной цепочки (обязательно терминальное).
Встроенные действия [ править ]
ACCEPT, DROP и REJECT — базовые операции фильтрации
Таблицы [ править ]
Таблица mangle [ править ]
Данная таблица предназначена для операций по классификации и маркировке пакетов и соединений, а также модификации заголовков пакетов (поля TTL и TOS).
Таблица nat [ править ]
Предназначена для операций stateful-преобразования сетевых адресов и портов обрабатываемых пакетов.
Таблица filter [ править ]
Предназначена для фильтрации трафика, то есть разрешения и запрещения пакетов и соединений.
Цепочки [ править ]
Таблица filter содержит следующие цепочки:
Правила стоит располагать по возможности в порядке от наиболее частых попаданий к наиболее редким.
Персональный межсетевой экран рабочей станции [ править ]
Проверим состояние [ править ]
Вариант 1 (рекомендуется в целях безопасности) [ править ]
При отсутствии правил вывод будет примерно таким:
Если вывод отличается, то сброс настроек можно сделать командой
Вариант 2 [ править ]
При отсутствии правил вывод будет примерно таким:
Установим политики по умолчанию [ править ]
Для цепочки «проходящая» устанавливаем блокировку, для цепочки «выходная» устанавливаем разрешение, для цепочки «входная» устанавливаем блокировку. Далее будут правила, определяющие исключения для этих политик.
Исключения (для входящих соединений) [ править ]
1. Разрешим трафик, принадлежащий установленным соединениям
2. Разрешим локальный интерфейс
3. Запретим «неправильный» трафик (не открывающий новое соединение и не принадлежащий никакому установленному соединению).
4. Разрешим новые ICMP запросы (ping). Остальные запросы ping будут обработаны первым правилом.
5. Разрешим новые входные соединения по портам
Если установлен веб-сервер
Если необходима связь по SSH
Если установлен DNS-сервер
есть возможность объединить несколько правил (для увеличения производительности):
6. Все новые входящие соединения, не обработанные предыдущими цепочками, запретим.
Сохраним правила [ править ]
Arch Linux [ править ]
RedHat Linux [ править ]
добавим демон для применения правил при загрузке компьютера
Как настроить Firewall Iptables для ОС Линукс
Для новичков и продвинутых пользователей операционный системы Линукс был разработан специальный межсетевой экран (так называемый «файрвол») для защиты от угроз извне, который носит имя Iptables. Ниже в инструкции мы объясним, как его установить и настроить на любых машинах под ОС Linux.
Что представляет собой Iptables
Данная утилита – это надежный межсетевой экран, минимизирующий риск вирусных и хакерских атак. Процесс настройки файрвола происходит через командную строку при помощи установленных команд, которые позволяют юзеру самостоятельно контролировать поступление и отправление трафика. При попытке установки соединений с ПК, утилита обращается к своим правилам и проверяет, пропустить или ограничить соединение. В случае, когда никакого конкретного правила не выставлено, действия проходят по умолчанию.
Файрвол предусмотрен стандартно во всех операционных системах Линукс. Для установки, если его внезапно не оказалось в сборке, или обновления следует применить такую команду:
sudo apt-get install iptables
Альтернативой данной утилите может послужить Firestarter – он имеет графический интерфейс и разработан специально для пользователей, которые испытывают трудности с работой через командную строку.
В случае настроек Iptables по удаленному SSH-соединению, пользователю следует проявлять аккуратность: одно ошибочное правило способно прервать подключение и запретить юзеру доступ к удаленной машине.
Какие бывают правила
Для легкой работы с файрволом разработана тройка основных правил (команд):
1.Input.
Правило применяется, когда необходимо контролировать входящий трафик. Например, когда юзер подключается к удаленному серверу по протоколу Secure Shell, файрвол начнет сравнивать его айпи с другими айпи из своего списка. В зависимости от результата, то есть от наличия в списке запретов, доступ пользователю будет открыт или закрыт.
2.Forward.
Правило применяется в случаях, когда необходимо проверить входящее сообщение, проходящее через данный компьютер. Например, маршрутизатор постоянно пересылает сообщения к адресату от сетевых пользователей или приложений. Зачастую данное правило не используется, если только юзер целенаправленно не настраивает маршрутизацию на своем устройстве.
3.Output.
Правило применяется к исходящим соединениям. Например, юзер хочет проверить пинг к одному из заданных сайтов – утилита вновь сверится со своими правилами из списка и определит, как поступить при пинге веб-сайта: разрешить или запретить.
Делая ping к внешнему хосту, машина не только отправляет пакет, но и дожидается обратного ответа. Поэтому, настраивая Iptables, не нужно забывать о наличии двухсторонних коммуникаций и запрещать подключение к серверам через протокол SSH.
Как определиться с назначением файрвола
Перед тем, как заниматься настройкой утилиты, потребуется разобраться с ее предназначением, а именно – действующими цепочками правил, то есть то, что она будет делать по умолчанию. Как отреагировать, когда запрашиваемые соединения не подходят ни к одному правилу?
Для начала потребуется понять, какие из настроек межсетевого экрана уже установлены. Для этого применяется команда –L:
Для четкого и понятного вывода информации можно воспользоваться дополнительной командой «grep». В итоге мы получаем тройку цепочек, у каждой из которых стоит разрешение приема трафика. Подобные правила предпочитают устанавливать при стандартной настройке.
Если в процессе эксплуатации Iptables конфигурация была кем-то изменена, значения могут стоять другие. Проверить это можно за пару секунд, достаточно ввести команды:
Правильнее будет заблаговременно разрешить все входящие/исходящие подключения, после чего выставлять запреты под конкретный порт и айпи-адрес.
Можно поступить диаметрально противоположным методом: установить запрет на все соединения, после чего давать разрешения только некоторым из них. Это можно реализовать таким способом:
Что делать с соединением
Настроив поведение утилиты, которое будет происходить автоматически, следует приступать к правилам, обрабатывающим входящий/исходящий трафик. Основные способы взаимодействия с трафиком:
Accept – разрешение определенного соединения;
Drop – игнорирование запросов (межсетевой экран продолжает свое функционирование, будто никакого запроса не происходило, а запрашивающие ресурсы не узнают об игнорировании);
Reject – блокировка входящего трафика и отправка ответных сообщений с обозначением ошибки (в таком случае запрашивающие ресурсы будут уведомлены о блокировке их трафика).
Пример того, как будет выглядеть ping для
Разрешенного соединения (Accept):
Скриншот №2. Ping для разрешенного соединения
Проигнорированного трафика (Drop):
Скриншот №3. Ping для проигнорированного трафика
Отклоненного подключения (Reject):
Скриншот №4. Ping для отклоненного подключения
Разрешение и блокировка указанных соединений Iptables
Как только политика отношения к трафику настроена, пора приступать к определению правил для конкретных соединений. Мы рассмотрим вариант с отклонением указанного подключения. Способы для разрешения и игнорирования будут устанавливаться похожим методом.
Воспользуемся командой –А. Она позволит добавить новое правило к уже имеющейся цепочке. Межсетевой экран начинает проверку с самого верха, проходя по каждому из правил до тех пор, пока не обнаружит совпадения или не закончит список.
В случае, когда необходимо разместить правила в определенное место (перед каким-то определенным), следует воспользоваться командой:
Что делать с соединениями от одного айпи
Для блокировки трафика, поступающего из одного и того же источника (например, айпи 120.120.120.120) подойдет команда:
Для блокировки трафика, поступающего с нескольких айпишников в определенном диапазоне, следует воспользоваться стандартной записью масок посредством слэша:
Либо записью необходимого диапазона:
Подключения к определенному порту
Следующая команда сделает блокировку соединений типа Secure Shell с хостом 120.120.120.120:
На месте Secure Shell допустимо применение любого протокола. После команды –р указывается тип подключений, в данном случае – TCP. В случае, когда используется другой тип, следует указывать его.
Любому айпишнику будет запрещено подключаться к машине по Secure Shell соединению, если выполнить:
О состояниях соединения
Существует множество протоколов, которым требуется двусторонняя коммуникация. К примеру, пользователю понадобилось поработать с SSH-соединением, ему придется внести правило сразу и в Output, и в Input.
Что делать, если юзер хочет предоставить разрешение исключительно входящему соединению? В этом случае поможет состояние соединения. Оно даст возможность пользователю описать любую двустороннюю коммуникацию, в которой разрешено подключение заданного направления.
Разрешим соединение типа SSH, приходящее через хост 120.120.120.120. Система будет отправлять данные по этому протоколу только, если сессия установлена.
Как сохранить изменения в конфигурации файрвола
После всех изменений, которые мы внесли в цепочку межсетевого экрана, понадобится их сохранение. Иначе перезапуск утилиты удалит проделанные нами настройки. Команда сохранения будет различаться от дистрибутива к дистрибутиву Линукс.
Для Убунту команда выглядит так:
Для Red Hat и CentOS:
=/sbin/service iptables save
Дополнительно
Чтобы вывести сконфигурированное ранее правило:
Чтобы просмотреть данные о входящих/исходящих пакетах и трафике, достаточно добавить ключ –v.
Данные об имени хоста, протоколах, сетях появятся в цифровом виде, если дописать в команду –n.
Разом удалить все имеющиеся установленные правила возможно командой:
Настройка межсетевого экрана linux
Во-первых, вам следует уяснить, что не существует на 100% безопасных систем. Ни в реальном, ни в цифровом мире. Это утверждение справедливо даже в том случае, если ваш компьютер работает под управлением одного из дистрибутивов Linux. В любом случае вы должны руководствоваться здравым смыслом. И даже в этом случае вы не застрахованы от ошибок. Незначительный риск компрометации системы будет иметь место при любых обстоятельствах. Как говорят французы: се ля ви.
1. Общие советы по повышению безопасности системы
Если говорить о наиболее действенных мерах по повышению безопасности системы Linux, можно выделить следующие пункты:
Если вы соблюдаете все эти пункты, можете расслабиться, ведь вы используете Linux…
Краткие пояснения относительно вирусов, межсетевого экрана и эксплоитов будут даны в следующих разделах.
1.1. Антивирусное программное обеспечение и утилиты для удаления руткитов
В дистрибутивах Ubuntu, Linux Mint и Fedora Workstation вам не понадобится ни антивирусное программное обеспечение, ни утилиты для удаления руткитов. Ведь при регулярном обновлении системы вирус или руткит не сможет проникнуть в нее. Кроме того, в Linux загруженное пользователем вредоносное программное обеспечение может функционировать исключительно в его домашней директории. Исходя из вышесказанного, для установки вируса или руткита в систему ему потребуется ваш пароль, либо уязвимость одного из компонентов системы. Но в подавляющем большинстве случаев он не сможет воспользоваться ни тем, ни другим.
Более того, вы можете значительно повысить безопасность своей системы, устанавливая программное обеспечение из официальных «источников приложений» (репозиториев) вашего дистрибутива Linux. Это крайне эффективный барьер на пути вредоносного программного обеспечения.
Ввиду описанных особенностей, в данное время не существует вирусов или руткитов, массово поражающих настольные системы Linux (конечно же, это утверждение не справедливо для веб-серверов, но и механизмы защиты веб-серверов значительно отличаются от описанных выше).
Также следует отметить тот факт, что антивирусное программное обеспечение создает ложное чувство защищенности, подавляющее подозрения насчет безопасности установки программного обеспечения из сторонних репозиториев.
Наконец, антивирусное программное обеспечение в некоторых случаях даже активно снижает безопасность вашей системы: само антивирусное программное обеспечение все чаще становится целью различных атак. Это объясняется тем, что подобное программное обеспечение зачастую имеет высокие привилегии в системе и плохо защищено от атак… Именно поэтому любой антивирусный программный продукт является идеальной целью для злоумышленников.
Лучшей защитой от вирусов является комплекс из следующих мер:
Дополнительные пояснения будут даны ниже.
1.2. Межсетевой экран
Межсетевой экран присутствует в в любом дистрибутиве Linux. Он носит имя IPTables и интегрирован непосредственно в ядро ОС. Состояние межсетевого экрана IPTables может изменяться с помощью различных вспомогательных приложений; в дистрибутиве Linux Mint таким приложением является предустановленное по умолчанию приложение «Uncomplicated Firewall (ufw)» («Несложный межсетевой экран»).
По умолчанию межсетевой экран не активирован, так как чаще всего никакие из открытых портов не предназначены для приема соединений из сети Интернет. Как минимум, таких служб точно нет в комплекте стандартной поставки дистрибутива. Поэтому злоумышленник не сможет сделать что-либо в условиях отсутствия служб, использующих открытые порты для приема соединений.
Однако, в некоторых случаях вам все же понадобится межсетевой экран. Например, вы можете работать в незащищенной беспроводной сети или активировать на своем компьютере какие-либо службы, принимающие соединения извне. Поэтому для повышения безопасности системы рекомендуется активировать межсетевой экран во всех случаях.
Вы можете активировать межсетевой экран с помощью терминала. Для активации службы в окно терминала следует ввести (с помощью функций копирования/вставки) следующую команду команду:
После ввода команды нажмите клавишу Enter. При запросе введите ваш пароль. Символы вашего пароля не будут отображаться никоим образом, даже с помощью точек, и это нормально. После ввода пароля снова нажмите клавишу Enter.
Служба «Uncomplicated Firewall (ufw)» использует разумный набор стандартных параметров конфигурации (объединенных в рамках профиля), которые являются приемлемыми для подавляющего числа домашних пользователей дистрибутива. Таким образом, в том случае, если у вас нет каких-либо специфических требований к межсетевому экрану, его настройку можно считать оконченной!
Вы можете проверить состояние межсетевого экрана с помощью следующей команды:
sudo ufw status verbose
После ввода команды нужно нажать клавишу Enter. В том случае, если межсетевой экран активен, вы должны увидеть аналогичный вывод:
$ sudo ufw status verbose
[sudo] password for alex:
Состояние: активен
Журналирование: on (low)
Default: deny (incoming), allow (outgoing), disabled (routed)
Новые профили: skip
[email protected]:
Я специально выделил наиболее важное сообщение: оно означает, что на уровне межсетевого экрана запрещены все входящие соединения и разрешены все исходящие соединения.
Несмотря на то, что данные настройки используемого по умолчанию профиля межсетевого экрана совместимы с большинством приложений, существуют некоторые исключения: например, при использовании Samba вы не столкнетесь ни с какими проблемами. При этом вы сможете осуществлять загрузку файлов с торрентов; но в случае размещения ваших файлов на торрентах вам все же придется временно деактивировать службу ufw.
Отключение межсетевого экрана не связано с какими-либо сложностями и осуществляется с помощью команды:
После ввода команды необходимо нажать клавишу Enter. Если вас интересует информация обо всем наборе правил межсетевого экрана, вы можете ознакомиться с выводом команды:
Также вы можете изучить файлы правил межсетевого экрана из директории /etc/ufw (а именно, те файлы, имена которых оканчиваются на .rules).
В дистрибутиве Fedora Workstation для управления межсетевым экраном используется предустановленное по умолчанию приложение «FirewallD», которое активировано и настроено оптимальным образом, поэтому никакого вмешательства пользователя в его работу не требуется.
1.3. Уязвимости
Эксплуатируемые уязвимости могут быть обнаружены в любой операционной системе и в любом приложении. Linux не является исключением. Наиболее действенным средством защиты от них является своевременная установка обновлений. В дистрибутиве Ubuntu осуществляется ежедневная проверка наличия обновлений безопасности. Рекомендуется устанавливать все предлагаемые обновления безопасности сразу же после их выпуска, если вы желаете сделать свою систему настолько защищенной, насколько это возможно.
Если уязвимость обнаружена и своевременно исправлена, она не будет большой проблемой.
2. Подробнее об антивирусах
Давайте поразмышляем об антивирусном программном обеспечении.
Ввиду роста популярности системы Linux, большинство антивирусных компаний пожелало занять свою долю на новом рынке. Многие неопытные пользователи Linux считают, что им нужны какие-либо антивирусные пакеты в Linux, так как данные компании внушили им это с помощью успешных маркетинговых кампаний.
Однако, все с точностью наоборот. В отличие от других операционных систем, для Linux практически невозможно разработать эффективный вирус. Да, это утверждение может вызвать, по крайней мере, удивление. Что же, придется дать некоторые пояснения и по этому вопросу.
Компьютеры, работающие под управлением какого-либо дистрибутива Linux, являются такими же целями для атак, как и компьютеры, работающие под управлением любой другой операционной системы. Серверы многих популярных (и, следовательно, посещаемых) веб-сайтов также работают под управлением Linux, поэтому у злоумышленников, безусловно, имеется мотивация для инфицирования Linux-систем.
Некоторые люди считают, что сообщество разработчиков Linux отстает от разработчиков других систем в плане антивирусного программного обеспечения и других механизмов для повышения безопасности системы. Это мнение также не соответствует действительности.
Разработчики Linux не игнорируют связанные с вирусами вопросы, они просто проектируют систему таким образом, чтобы она была максимально недоступной для вирусов. А ввиду того, что весь исходный код системных компонентов открыт, его аудит осуществляется буквально тысячами людей, которые проверяют его на наличие ошибок и предлагают исправления.
Сканеры антивирусных пакетов в большинстве своем работают в «реактивном» режиме, то есть защищают лишь от тех вирусов, которые уже известны создателям сканера. Таким образом, антивирусные приложения могут защищать от нового вируса только после того, как он начал распространяться, а не до того.
Важно отметить, что лучшей защитой от любого вируса является исправление ошибки в программном компоненте, посредством которого может быть осуществлена атака. Подобные исправления распространяются в форме обновлений безопасности (которые выпускаются для Linux оперативнее и чаще, чем для Windows и Mac OS).
Несколько антивирусных компаний выпускают обновления для баз данных своих продуктов оперативнее, чем команда безопасности дистрибутива Ubuntu. Промежуток времени между опубликованием информации об уязвимости и добавлением информации о ней в базу антивирусного продукта или выпуском исправления является наиболее опасным.
Как упоминалось ранее, уязвимость не является большой проблемой в том случае, если она быстро обнаруживается и исполняется.
Разумеется, несмотря на все сложности установки вируса в систему Linux, она может быть успешно осуществлена. Особая опасность связана со сторонними ненадежными репозиториями программного обеспечения и небезопасным кодом, который исполняется безответственным системным администратором.
В любом случае, на данный момент не существует активно распространяющихся вирусов для Linux.
3. Мой совет: не устанавливайте никакое антивирусное программное обеспечение
Исходя из всего вышесказанного, я могу лишь посоветовать не устанавливать никакой сканер вирусов, если ваш компьютер работает под управлением Linux. Я советую это по следующим причинам:
B. В Linux обычный пользователь имеет очень ограниченные права в системе. Например, обычный пользователь не может выполнять административные задачи. Именно поэтому область работы обычного пользователя ограничена его домашней директорией. Для установки программного обеспечения в систему вам в любом случае придется работать от лица пользователя root (или временно получить права пользователя root, как это делается в дистрибутивах Ubuntu и Linux Mint). В дистрибутивах Ubuntu и Linux Mint по умолчанию даже администратор входит в систему с ограниченными правами. Если он будет выполнять административную задачу, ему придется дополнительно ввести свой пароль для получения временных привилегий пользователя root. После ввода пароля привилегии пользователя root будут сохраняться за пользователем в течение последующих 15 минут.
C. Многие пользователи Linux настраивают свои системы в соответствии со своими предпочтениями. Из-за наличия большого количества различных дистрибутивов Linux, приложений и версий ядра Linux, достаточно сложно разработать эксплоит для эксплуатации уязвимостей подавляющего большинства систем.
D. Сканеры вирусов обнаруживают в основном вирусы для ОС Windows. Эти вирусы не будут работать в Linux.
E. Сканеры вирусов нередко выводят ложные предупреждения. Возможно, в некоторых случаях это делается умышленно для того, чтобы убедить пользователя в работоспособности сканера. Подобное поведение принуждает пользователей вносить необоснованные изменения в состав компонентов системы, тем самым ухудшая ее работоспособность.
F. Установка антивируса может создать ложное убеждение в том, что система надежно защищена и можно устанавливать программное обеспечение из любых сторонних источников помимо официальных репозиториев используемого дистрибутива Linux.
G. Антивирусное программное обеспечение само все чаще и чаще становится целью атак злоумышленников так как оно по определению имеет высокие привилегии в системе и обычно недостаточно защищено от различных атак. Это обстоятельство делает антивирусное программное обеспечение идеальной целью для злоумышленников. Можете ознакомиться с данной статьей, посвященной исследованию антивирусного программного обеспечения, проведенному в 2014 году. Слайды презентации исследования размещены на данном ресурсе.
H. На данный момент не существует активно распространяющихся вирусов для Linux.
Если говорить кратко, антивирус в Linux является не только излишним, но и опасным, так как он создает ложное ощущение защиты и нередко сам по себе уязвим.
4. Заблуждение о необходимости защиты пользователей ОС Windows
Рано или поздно вы столкнетесь со следующим утверждением: «Я использую антивирус в Linux для того, чтобы случайно не передать вирус для Windows пользователю этой системы. Я могу случайно передать его, например, прикрепив непроверенный файл к сообщению электронной почты.»
Это утверждение является заблуждением по описанным ниже причинам.
Использование антивируса в Linux является пустой тратой системных ресурсов. Эти ресурсы могут использоваться более разумно, например, для повышения отзывчивости системы.
Одно из преимуществ Linux заключается в возможности полного отказа от использования антивирусов. Вообще, подход, заключающийся в переходе на операционную систему, для которой не существует активных вирусов, с последующим запуском в ней антивирусного программного обеспечения является достаточно контрпродуктивным.
Кроме того, неразумно использовать его ради безопасности пользователей, не защищающих свою операционную систему.
В том случае, если пользователи ОС Windows не уделяют должного внимания вопросам защиты своей операционной системы от угроз, обусловленных ее не проработанной архитектурой, все усилия сравнительно небольшого количества пользователей дистрибутивов Linux не приведут к каким-либо заметным положительным изменениям. Такие пользователи ОС Windows в любом случае столкнутся с вредоносным программным обеспечением, полученным из какого-либо другого источника.
Фактически, я считаю, что пользователи ОС Windows должны сами заботиться о работоспособности своей системы. Я не пытаюсь быть резким: это достаточно простой принцип, в соответствии с которым каждый человек должен отвечать за последствия своего действия или выбора, иначе у него не будет никаких стимулов для перемен.
Исходя из этого, в том случае, если пользователь Linux не поддерживает работу публичного веб-сервера, почтового сервера или файлового сервера (чем явно не будет заниматься среднестатистический пользователь), я настоятельно рекомендую ему не устанавливать антивирус, так как в случае его установки он молчаливо одобрит один из худших аспектов проектирования операционных систем.
На самом деле, несложно заметить, что утверждение о «защите пользователей Windows» иногда используется в качестве удобного предлога пользователями, по каким-либо причинам не верящими в возможность использования Linux без антивируса…
Если вы все же желаете снизить вероятность передачи пользователю Windows вируса вместе с сообщением электронной почты, просто пользуйтесь почтовым сервисом GMail для отправки сообщений с вложениями.
Почтовый сервис компании Google автоматически сканирует вложения на наличие вирусов, троянов и другого вредоносного программного обеспечения. Сканирование осуществляется средствами профессионального сканера вирусов с постоянно обновляемой базой данных, работающего на серверах сервиса GMail. Вы можете бесплатно зарегистрировать учетную запись на сервере GMail, поэтому не стоит волноваться по поводу оплаты сервиса…
Если же вы активируете поддержку протоколов POP3 или IMAP и SMTP с помощью веб-интерфейса GMail, вы сможете отказаться от использования веб-интерфейса и работать с электронной почтой, используя такие приложения, как Thunderbird или Evolution.
Примечание: на сегодняшний день каждый популярный почтовый сервис (не только GMail) осуществляет автоматическое сканирование вложений электронных писем на наличие вирусов для Windows на уровне сервера.
Другой вариант проверки файлов на наличие вирусов связан с использованием бесплатного веб-сервиса VirusTotal.com от компании Google. Он осуществляет сканирование каждого загруженного вами файла на наличие вирусов и другого вредоносного программного обеспечения.
5. Не устанавливайте Wine в вашем дистрибутиве Linux
Приведенные выше советы относительно безопасной эксплуатации системы Linux подразумевают использование «чистой» системы без эмуляторов Windows, таких, как Wine, PlayOnLinux и CrossOver.
Эти эмуляторы используются для запуска приложений для Windows в Linux. Лучше не устанавливать подобные эмуляторы Windows, так как они делают вашу систему Linux частично уязвимой для вредоносного программного обеспечения для Windows.
Если вам необходимо использовать приложения для Windows, вы можете установить эмулятор на развлекательной машине, установить легальную копию Windows в виртуальной машине или (если на вашем компьютере организована двойная загрузка) запускать их непосредственно в Windows.
6. Избегайте сомнительных или сторонних дополнений для веб-браузера
Попытайтесь не устанавливать сомнительные или сторонние дополнения и расширения для вашего веб-браузера. Они могут ухудшить безопасность вашей системы.
Вы уже установили подобные дополнения для веб-браузера Firefox, Chrome или Chromium, после чего директория данных веб-браузера заполнилась подозрительными файлами (что обычно происходит из-за использования сомнительных дополнений), и желаете запустить веб-браузер в очищенном окружении? Воспользуйтесь советами из раздела 8.
7. Опасные действия
Существуют действия, которые в прямом смысле опасны для системы Linux и которых вы наверняка хотите избежать. Обязательно найдите время для ознакомления с описанием 10 фатальных ошибок.
8. Безопасность беспроводных сетей
Вопрос безопасности беспроводных сетей не относится напрямую к вопросам безопасного использования операционных систем, но при этом является достаточно важным. Рекомендуем ознакомиться с советами относительно корректной защиты беспроводных сетей.
9. Отключите поддержку механизма Universal Plug and Play (UPnP) в вашем маршрутизаторе
Вы должны отключить поддержку механизма Universal Plug and Play (UPnP) в вашем маршрутизаторе; это не связано с операционной системой, но очень важно. Механизм UPnP позволяет подключенным к сети устройствам взаимодействовать друг с другом как в рамках локальной сети, так и посредством сети Интернет.
Описанный механизм достаточно прост, но очень опасен: он является большой прорехой в системе безопасности, которую невозможно закрыть. Лучшим решением является полное отключение механизма UPnP, так как он сам по себе не безопасен.
В первую очередь вы должны найти руководство по эксплуатации вашего маршрутизатора; если вы не сможете найти его, вы наверняка сможете загрузить его электронную копию с веб-сайта производителя маршрутизатора.
Получите доступ к веб-интерфейсу вашего маршрутизатора и отключите механизм UPnP, а также сопутствующую функцию «Разрешить пользователю осуществлять настройку».
Примечание: в некоторых случаях могут потребоваться некоторые дополнительные действия, такие, как активация поддержки VPN, механизма обмена файлами P2P и аналогичных механизмов (а также открытие некоторых портов в ручном режиме). Эти действия могут и не потребоваться в зависимости от стандартных параметров прошивки вашего маршрутизатора, установленных производителем.
10. Относитесь с особой осторожностью к Java и OpenJDK
Виртуальная машина Java (как Oracle Java, так и OpenJDK) постоянно становится целью атак. Именно поэтому разумным решением является деактивация плагина Java в вашем веб-браузере (конечно же, в том случае, если вы его установили). Впоследствии вы сможете активировать плагин Java при необходимости на короткий период времени.
Данный совет относится как к пользователям Windows, так и к пользователям Linux. В этом плане системы Linux также уязвимы! Это объясняется тем, что виртуальная машина Java является платформонезависимой,то есть работает вне зависимости от используемой операционной системы.
В Firefox вы можете деактивировать плагин таким образом, как описано здесь, а в Google Chrome и Chromium — таким образом, как описано здесь.
Примечание: данный совет относится только к плагину Java. Кроме него каждый веб-браузер поддерживает язык сценариев JavaScript, который не связан с какими либо угрозами безопасности, в отличие от плагина Java. Поэтому в подавляющем большинстве случаев дополнительная деактивация поддержки языка сценариев JavaScript не требуется.
11. Научитесь создавать безопасные пароли, которые легко запомнить
Создать и запомнить безопасный пароль не так сложно, как кажется большинству людей.
Хотите ознакомиться с дополнительными советами?
Хотите узнать о других настройках и приемах работы с дистрибутивами Linux? На данном веб-сайте размещено большое количество подобных материалов. Например, вы можете узнать о том, как просто заменить Windows XP на Linux Mint.