Информационная безопасность Linux

Введение

В 2015-ом году проходила ежегодная конференция LinuxCon, на которой автор ядра GNU/Linux Линус Торвальдс высказал свое мнение по вопросам безопасности этой операционной системы. В частности, он отметил, что необходимо как-то смягчить эффект от наличия тех или иных программных неточностей грамотной защитой, чтобы при сбоях в работе одного элемента следующий слой смог перекрыть проблему.

Информационная безопасность Linux

Перед тем как устанавливать операционную систему Linux, следует учесть и исполнить следующий набор рекомендаций по настройке компьютера, способных обеспечить информационную безопасность еще перед установкой Linux:

1. Загрузку следует выполнять в режиме UEFI, то есть, программного обеспечения низкого уровня, которое способно поддерживать жесткие диски большего объема, быстрее грузится и является более безопасным.
2. Выполнить установку пароля на настройку UEFI.
3. Выполнить активацию режима SecureBoot, то есть, безопасной загрузки.
4. Выполнить установку пароля на уровне UEFI для загрузки системы.

Далее следует выбрать необходимый пользователю дистрибутив Linux. Наиболее популярными являются следующие дистрибутивы:

1. Дистрибутив Fedora.
2. Дистрибутив Ubuntu.
3. Дистрибутив Arch.
4. Дистрибутив Debian.
5. Иные близкие ответвления.

В любом варианте, пользователю следует учесть обязательное присутствие следующих функций:

1. Наличие поддержки принудительного и ролевого контроля доступа.
2. Наличие публикации бюллетеней безопасности.
3. Наличие регулярного выпуска обновлений безопасности.
4. Наличие криптографической верификации пакетов.
5. Обязательная поддержка UEFI и SecureBoot.
6. Наличие поддержки полного нативного шифрования диска.

Все дистрибутивы имеют некоторые отличия, но имеются отдельные моменты, на которые в любом случае необходимо обратить внимание и их исполнить:

1. Следует применять полное шифрование диска (LUKS), с использованием надежной ключевой фразы.
2. Процедура подкачки страниц должна быть обязательно зашифрована.
3. Следует осуществить установку пароля для редактирования boot-загрузчика.
4. Установить надежный пароль на root-доступ.
5. Следует использовать аккаунт без привилегий, который относится к группе администраторов.
6. Выбрать для пользователя надежный пароль, который должен отличаться от пароля на root.

Необходимо также выполнить настройку автоматического обновления информационной безопасности. Одним из главных методов обеспечения безопасности операционной системы является регулярное обновление программного обеспечения. Обновления способны исправить имеющиеся баги и критические уязвимости.

Правда, в варианте с серверными системами присутствует риск появления сбоев во время обновления. Однако эти проблемы могут быть сведены к минимуму, если в автоматическом режиме выполнять только обновление безопасности. Автоматическое обновление функционирует исключительно для установленных из репозиториев, а не скомпилированных пользователями пакетов:

1. В Debian/Ubuntu для обновления применяется пакет unattended upgrades.
2. В CentOS для автоматического обновления применяется yum-cron.
3. В Fedora для обновления предусмотрен dnf-automatic.

Для выполнения обновлений следует использовать любой из доступных RPM-менеджеров пакетов при помощи команд:

• yum update,
• apt-get update && apt-get upgrade.

В операционной системе Linux присутствует возможность настройки отправки оповещений о новых обновлениях по электронной почте. Также для поддержания безопасности в ядре Linux имеются защитные расширения, такие как, к примеру, SELinux. Такие расширения помогают уберечь систему от неверно настроенных или небезопасных программных продуктов.

SELinux является гибкой системой принудительного контроля доступа, которая может функционировать совместно с избирательной системой контроля доступа. Работающие программные приложения могут получить права на доступ к файлам, сокетам и другим процессам, и SELinux формирует ограничения так, чтобы небезопасные программы не могли взломать систему.

Следующим после обновления методом информационной защиты является ограничение доступа к внешним сервисам. Для этого следует отредактировать файлы /etc/hosts.allow и /etc/hosts.deny. Приведем в качестве примера ограничение доступа к telnet и ftp. Для этого следует в файле /etc/hosts.allow указать:

hosts.allow

in.telnetd: 123.12.41., 126.27.18., .mydomain.name, .another.name

in.ftpd: 123.12.41., 126.27.18., .mydomain.name, .another.name

В этом примере разрешено выполнение telnet и ftp соединения любому хосту в IP-классах $123.12.41.^*$ и $126.27.18.^*$, а также хосту с доменами mydomain.name и another.name.

Далее рассмотрим возможность добавления пользователя с ограниченными правами.

Не рекомендуется выполнять подключение к серверу от имени пользователя root, поскольку он обладает правами на исполнение любых команд, даже критических для системы. По этой причине лучше создавать пользователя с ограниченными правами и работать через него. Администрирование может выполняться через sudo (substitute user and do), которое является временным повышением прав до уровня администратора.

Для того чтобы создать нового пользователя в Debian и Ubuntu, следует выполнить следующие действия:

1. Создать пользователя, путем замены administrator на необходимое имя.
2. Указать пароль в ответ на соответствующий запрос. Вводимые символы пароля не должны отображаться в командной строке: adduser administrator.
3. Добавить пользователя в группу sudo: adduser administrator sudo

После этого пользователь может пользоваться префиксом sudo при исполнении команд, которые требуют права администратора.