Ich empfehle die folgenden Schritte in grober Reihenfolge der Priorität:

• Aktivieren Sie automatische Updates. Dies ist der beste Weg, um sicherzustellen, dass Sie immer ausgeführt werden Die beste gepatchte Version aller Software.

• Aktivieren Sie eine Firewall. Für Desktops reicht häufig eine einfache Richtlinie aus: Lassen Sie grob gesagt alle ausgehenden Verbindungen zu , blockieren Sie alle eingehenden Verbindungen. Dies ist viel einfacher, als alle Dienste aufzuspüren, die möglicherweise abhören, und sie zu deaktivieren. Durch einfaches Blockieren aller eingehenden Verbindungen durch Standardeinstellungen wird die Exposition geschlossen.

• Automatische Sicherungen aktivieren. Richten Sie ein Sicherungssystem ein, um Ihr System automatisch und routinemäßig ohne zu sichern Ihre Beteiligung. Dies ist eine der besten Möglichkeiten, um sicherzustellen, dass Sie sich von einem Kompromiss erholen können. Sicherheit ist mehr als nur Prävention. Es geht auch darum, eine schnelle und zuverlässige Wiederherstellung nach Kompromissen zu ermöglichen.

• Verwenden Sie HTTPS Everywhere. Installieren Sie HTTPS Everywhere (oder ForceHTTPS oder gleichwertig) in Ihrem Browser , um sicherzustellen, dass Sie HTTPS (SSL / TLS) auf jeder Site verwenden, die dies unterstützt.

• SSH verwenden. Verwenden Sie für alle Remote-Anmeldungen SSH. Erstellen Sie ein privates Schlüsselpaar. Schützen Sie Ihren privaten Schlüssel mit einem Passwort. Fügen Sie Ihren öffentlichen Schlüssel in die Dateien autorisierte Schlüssel aller Konten ein, bei denen Sie sich remote anmelden möchten. Vermeiden Sie jeglichen unverschlüsselten Verkehr (z. B. Telnet, FTP, IMAP, POP). Verwenden Sie stattdessen verschlüsselte Varianten.

• E-Mail-Verkehr verschlüsseln. Wenn Sie einen E-Mail-Client mit POP oder IMAP verwenden, konfigurieren Sie ihn für die Verwendung des SSL / TLS-Schutzes ( zB imaps statt imap), so dass die Verbindung zum Mail-Provider verschlüsselt wird. Die meisten guten E-Mail-Anbieter bieten eine Option für die Verbindung über SSL oder TLS an.

• Verwenden Sie einen E-Mail-Dienst, der Ihre E-Mails scannt. Verwenden Sie einen guten E-Mail-Anbieter mit einem guten Ruf für das Blockieren von Spam in eingehenden E-Mails. Gute Spam-Blocker-Software blockiert häufig auch viele E-Mail-basierte Betrügereien, Phishing-Angriffe und Würmer.

• Optional: Erwägen Sie die Verschlüsselung auf der gesamten Festplatte. Wenn Sie einen Laptop haben, möchten Sie möglicherweise die Vollplattenverschlüsselung aktivieren, um sich vor Datenverletzungen zu schützen, falls der Laptop verloren gehen sollte. Das Produkt von Truecrypt und PGP hat einen guten Ruf. Wenn Sie Linux verwenden, können Sie mit den meisten Linux-Distributionen bei der Installation des Linux-Betriebssystems die vollständige Festplattenverschlüsselung einrichten.

• Optional: Aktivieren Sie SELinux. Aktivieren Sie SELinux, wenn Sie eine Distribution verwenden, die dies unterstützt.

• Optional: Härten Sie Ihren Browser. Sie können Ihre Browsereinstellungen ändern, um sich selbst zu schützen . Ziehen Sie beispielsweise in Betracht, Cookies von Drittanbietern zu deaktivieren. Erwägen Sie die Installation von AdBlock Plus.

• Optional: Melden Sie sich ab, wenn Sie nicht anwesend sind. Wenn Sie Ihren Computer unbeaufsichtigt lassen, möchten Sie sich möglicherweise anmelden out (oder aktivieren Sie einen passwortgeschützten Bildschirmschoner).

Lassen Sie mich zunächst sagen, dass ich keineswegs ein Sicherheitsexperte bin. Während Sie nach der Sicherung von Linux-Desktops fragen, verstehe ich Ihre Frage als "Wie implementiere ich die Gesamtsicherheit mit kostenlosen Unixen als Person, die Personal Computing im Gegensatz zu Web-Serving betreibt?". Also dachte ich, ich würde meine Gedanken zu diesem Thema sammeln und sehen, was andere Leute dazu sagen. Ich teile dies im Geiste, Menschen zu helfen, den gesamten Prozess nicht von Grund auf neu entdecken zu müssen. Ich werde keine Anleitungen geben - viele sind im Internet und das ist schon unglaublich lang. Dies soll ein Ausgangspunkt für die Suche im Web sein.

Sicherheit ist ein Prozess und auch ein System, für dessen effektive Implementierung mehrere Computer erforderlich sind. Zum Beispiel reicht es nicht aus, Ihre Computer richtig zu konfigurieren. Sie müssen auch Protokolle lesen und auf Warnungen reagieren. Für die bestmögliche Sicherheit muss man auch einige vernünftige Verhaltensänderungen in der Art und Weise vornehmen, wie man einen Computer benutzt. Einige Betriebssysteme eignen sich besser für bestimmte Sicherheitsaspekte als andere. Da sie kostenlos sind, kostet es nichts außer Ihrer Zeit, sie alle zu verwenden.

Der erste Teil dieses Prozesses besteht darin, herauszufinden, wovor Sie Ihre Computer schützen. Wenn Sie beispielsweise in einem Viertel mit hoher Kriminalität leben, möchten Sie diese möglicherweise in einem sicher verschlossenen Safe einsperren, der im Gebäude verankert ist. Ich gehe jedoch davon aus, dass Sie alle normalen Formen der allgemeinen Sicherheit zur Verfügung haben möchten, wenn Sie Dinge mit einem Computer tun, der entweder in Software, Computerhardware oder mit Verhalten gegenüber Software und Hardware implementiert werden kann.

Ich bin mir auch nicht sicher, wie groß Ihr Setup ist. Viele meiner Empfehlungen sind Dinge, die von Unternehmen ständig verwendet werden, aber es gibt keinen Grund auf der Welt, warum eine Person sie nicht auch zu Hause verwenden kann und sollte. Wenn eines dieser Dinge von einem Unternehmen erledigt würde, würde es für seine Sorgfalt gelobt, die Einhaltung gesetzlicher Standards, die Implementierung von Best-in-Breed-Praktiken und alle anderen aktuellen Schlagworte.

Netzwerksicherheit

Der wichtigste Tipp für die Netzwerksicherheit ist, Computer mit vertraulichen Daten vom Internet zu isolieren. Die meisten Menschen haben mehr als einen Computer. Verwenden Sie eine davon ausschließlich offline. Sie können Updates und Software für jede Debian / Ubuntu-basierte Distribution mit Dienstprogrammen wie apt-offline erhalten.

Wenn Sie einen oder mehrere Computer haben, die nicht dem Internet ausgesetzt sind, ist es viel schwieriger, sie zu hacken . Theoretisch könnten Sie weiterhin Binärdateien oder Dokumente aus dem Internet herunterladen, die Informationen über diesen nicht verbundenen Computer sammeln und diese dann auf einem beschädigten USB-Flash-Laufwerk weiterleiten könnten. Einige Leute versuchen, dies zu umgehen, indem sie ihre Flash-Laufwerke nur in einer virtuellen Maschine mounten, die auf ihren Offline-Computern ausgeführt wird. Sie können das Flash-Laufwerk auch neu formatieren, bevor Sie es wieder auf Computer übertragen, die dem Internet ausgesetzt sind. Dies birgt immer noch ein entferntes Risiko für das Trojaner-Flash-Laufwerk. Ich denke, der Kauf eines Laufwerks, bei dem Sie einen Schalter an der Seite umlegen können, um es schreibgeschützt zu machen, würde verhindern, dass Ihr Laufwerk Informationen vom nicht angeschlossenen Computer sammelt. Wenn ich mich nicht irre, verkauft Ridata solche Laufwerke. Die meisten SD-Karten haben sie auch, aber Sie müssen einen Adapter finden, der den schreibgeschützten Wechsel in der Hardware erzwingt.

Also ...

Tipp 1: Verwenden Sie einen Computer, den Sie nur offline verwenden.

Tipp 2: Anzeigen / Überprüfen von Material aus dem Internet in einer VM. stark>

Einige würden dieses "Sneaker-Netz" nennen.

Tipp 3: Scrubben Sie Ihr Flash-Laufwerk oder einen beliebigen Speicher, den Sie zum Übertragen von Daten zwischen Computern verwenden, bevor diese wieder an einen mit dem Internet verbundenen Computer übertragen werden.

Tipp 4: Verwenden Sie besser als Tipp 3 USB-Laufwerke mit schreibgeschützten Schaltern.

OpenBSD schafft es, einige Dinge richtig zu machen. Sie machen es beispielsweise relativ einfach, eine Bridging-Firewall oder ein IPSec-VPN einzurichten, ein virtuelles Honeynet auszuführen oder einen drahtlosen Zugriffspunkt mit authpf -Authentifizierung einzurichten. Mit einfach meine ich wirklich einfach und schnell einzurichten - so sehr, dass Sie nichts anderes verwenden möchten. Bridging-Firewalls sind wünschenswert, da sie keine Netzwerkadresse (n) haben. Sie richten sie zwischen Ihrem DSL- / Kabel- / Internet-Router und Ihrem drahtlosen Zugangspunkt ein. Da OpenBSD sicher ist, dass es mit dem standardmäßig installierten Setup keine Remote-Löcher hat (wählen Sie die Pakete bsd, base.tgz usw.tgz und man.tgz), ist die zusätzliche Konfiguration, die Sie benötigen, minimal.

Hier ist eine Konfiguration für den Einstieg mit

In /etc/hostname.bridge0:

  if0if1blocknonipup  

(wobei if0 und if1 durch die Namen Ihrer Netzwerkschnittstellen ersetzt werden sollen)

In /etc/hostname.if0 (und if1):

  up  

In /etc/sysctl.conf :

  net.inet.ip.forwarding = 1  

Das war's, Sie haben eine Brücke. Anschließend bearbeiten Sie /etc/pf.conf , um Ihre Firewall durchzuführen. Hier ist eine äußerst einfache Firewall, die eingehende Verbindungen blockiert und ausgehende Verbindungen zulässt.

In /etc/pf.conf

  setzen Sie "Überspringen auf Loblock in" log allblock out log allpass in quick on if1 # nur Firewall auf einer Schnittstelle des Bridgepass out quick on if1pass out quick on if0 moduliert stateantispoof quick for lo  

Mit pf können Sie noch viel mehr tun. Dies wird auf der Manpage für pf, der pf faq und dem Book of PF beschrieben a>.

Tipp 5: Verwenden Sie für eine für Angreifer unsichtbare Firewall eine Bridging-Firewall mit OpenBSD / pf.

Tipp 6: Wenn die Box über genügend Strom verfügt, können / sollten Sie auch mindestens zwei NIDS wie Schnauben oder Bruder auf dieser Box haben.

Sie müssen mindestens wöchentlich neue Signaturen von Hand anbringen.

Viele Leute kaufen zu diesem Zweck einen separaten Computer mit geringem Stromverbrauch wie einen Alix oder einen Soekris Energieeffizient. Sie finden sie auch online auf verschiedenen Websites wie ebay. Sie können auch fast jeden alten Computer mit 32 MB RAM oder mehr und 486 oder besserem Prozessor verwenden (das ist alles, was einige Soekrii haben). Ob Sie einen separaten Computer kaufen oder einen alten verwenden sollten, hängt davon ab, wie viel Strom Sie sparen und wie viel Strom an Ihrem Wohnort kostet.

Ein weiteres unverzichtbares Sicherheitsprodukt aus der OpenBSD-Masse (natürlich nicht zu vergessen SSH!) ist ein Computer, auf dem ein virtuelles Honeyd Honeynet ausgeführt wird. Es gibt ein ganzes Buch namens Virtual Honeypots von einem Autor von honig Niels Provos. Ein virtuelles Honeynet ist eine Suite von virtuellen Honeypots, und ein Honeypot ist ein Computer, auf dem anscheinend ein Dienst ausgeführt wird, mit dem ein Angreifer interagieren kann, von dem aus Sie Informationen zu den Methoden und Mitteln für Angriffe auf Ihr Netzwerk sammeln können. Mit Honeyd können Sie Zehntausende von virtuellen Honeypots konfigurieren, auf denen verschiedene Dienste ausgeführt werden. Jede Interaktion mit einem von ihnen ist ein sicheres Zeichen dafür, dass Ihre Firewall kompromittiert wurde, und Sie können viel mehr über Ihre Angreifer erfahren. Außerdem wird Ihr eigener Computer effektiver vor dem Netzwerk verborgen, da es sich anscheinend um einen Computer unter vielen handelt.

Tipp 7: Lassen Sie einen Computer ein virtuelles Honeynet mit honeyd ausführen.

Tipp 8: Abschlag meldet sich bei einem Nadeldrucker ab, und wenn noch ein Ersatzcomputer herumliegt, ein separater Computer, dessen einziger Zweck darin besteht, Protokolle von Netzwerkcomputern an einem UDP-Port zu sammeln.

rsyslog kann dafür konfiguriert werden.

Mit der Netzwerksicherheit können Sie noch viel mehr tun, aber die wichtigsten sind Tun Sie, was Sie offline können, verwenden Sie eine Firewall, verwenden Sie mindestens zwei NIDS, verwenden Sie Honeynets und überwachen und reagieren Sie wachsam auf Angriffe. Im Allgemeinen empfehle ich Ihnen jedoch, Ihre Einrichtung so einfach wie möglich zu halten, je nachdem, wie interessiert Sie an der Überprüfung von Protokollen und dem Wert dessen sind, was Sie schützen möchten.

Datensicherheit

Das Sichern von Daten bedeutet viele Dinge wie Schutz vor Korruption und vor Verlust, um sicherzustellen, dass sie sicher gelöscht werden oder dass nur bestimmte Personen darauf zugreifen können. (Die CIA-Triade in Sachen Informationssicherheit.)

Die Verschlüsselung der gesamten Festplatte sollte mindestens von jedem verwendet werden. Es wird jetzt alles angeboten, wenn Sie ein Debian-basiertes Linux installieren, und kann mit etwas mehr Aufwand auch in BSDs eingerichtet werden. Schauen Sie sich beispielsweise softraid für OpenBSD an.

Tipp 1: Verwenden Sie die Verschlüsselung der gesamten Festplatte

Offsite-Speicher wird ebenfalls empfohlen. Ich empfehle die Verwendung eines Computers mit einigen Hot-Swap-fähigen oder externen Laufwerken, zumindest für alle Dateien, die Dokumente und Dateien enthalten, die Sie selbst erstellen. Drehen Sie diese Laufwerke dann regelmäßig durch Bankschließfächer oder die Häuser von Freunden. Wenn Ihre Festplatten gestohlen werden, haben Sie keine Daten / Schriften / Familienfotos usw. verloren. Ich empfehle keinen Cloud-Speicher!

Tipp 2: Speichern Sie Kopien von Daten außerhalb des Standorts

Um eine Beschädigung von Daten aufgrund von Geräteausfällen und Alter zu verhindern, gibt es eine Reihe von Standardprozessen, z. B. die Verwendung mehrerer Kopien auf mehreren Medien und Medientypen (ermöglicht die Wiederherstellung mit Dienstprogrammen wie ddrescue), das Prüfen der Daten und das Prüfen der Daten Die Prüfsummen (das BSD-Dienstprogramm mtree ist hierfür ein hervorragendes Tool) migrieren die Daten alle paar Jahre auf neue Medien, überprüfen die Medien etwa jedes Jahr auf Korruptionsprobleme und speichern die Medien ordnungsgemäß.

Betrachten wir zum Beispiel optische Medien. Für Ihre wichtigen Dokumente und Multimedia-Inhalte sollten diese in einer einzigen Sitzung mit geringer Geschwindigkeit auf Goldmedien mit Archivqualität (z. B. MAM-A-, JVC- oder Verbatim-Goldarchivmedien) gebrannt werden. Das CD-Brennprogramm sollte sie dann überprüfen. Dann sollten Sie durchgehen und manuell überprüfen, ob sie korrekt gebrannt wurden. Es sollte nichts mit Markern darauf geschrieben werden. Sie sollten in eine nicht transparente Schmuckschatulle gelegt werden, die sie nur an den Außenkanten hält. An den Schmucketuis können dann Etiketten angebracht werden. Dann sollten sie aufrecht und nicht übereinander an einem dunklen Ort mit konstanter Temperatur zwischen 40 und 60 Grad Fahrenheit bei niedriger relativer Luftfeuchtigkeit gelagert werden. Dies ist zumindest der Kern der NIST-Richtlinien.

Tipp 3: Erstellen Sie mehrere Kopien

Tipp 4: Testen Sie sie zunächst und regelmäßig mit Prüfsummenwerkzeugen.

Tipp 5: Befolgen Sie die Richtlinien für die ordnungsgemäße Verwendung Speichern und Behandeln von Medien

Tipp 6: Migrieren Sie Daten, sobald neue Medien verfügbar werden.

ZFS kann verwendet werden, um viel davon und einfach zu tun. ZFS ist jedoch noch etwas experimentell und zukünftige Versionen sind nicht garantiert abwärtskompatibel mit früheren. Daher empfehle ich, eine Distribution wie Open Indiana auszuführen, wenn die erste stabile Version veröffentlicht wird, und sie zum Sichern, Spiegeln, Erstellen von Snapshots und Exportieren / Importieren von Pools zu verwenden.

Tipp 7: Verwenden Sie ZFS für Sicherungen / Spiegel im Gegensatz zu Originalarchiven.

Ein weiteres Problem bei der Datensicherheit ist die Überprüfung der Herkunft für Daten und Binärdateien, die Sie nicht selbst erstellt haben. Wenn eine vertrauenswürdige Freundin Ihnen ein Flash-Laufwerk mit einem Programm übergibt, das sie geschrieben hat, gibt es kein Problem. Wenn diese Freundin Sie jedoch dazu bringt, auf ihre Website zuzugreifen, werden Sie wahrscheinlich die Public-Key-Infrastruktur (PKI) verwenden, um dies zu überprüfen. Dann hättest du ihren öffentlichen Schlüssel bekommen sollen und sie hätte ihn in deiner Gegenwart unterschreiben sollen. Oft ist die Endperson, die die Software oder den Quellcode anbietet, jemand, den Sie nicht einmal kennen. In diesem Fall ist es hilfreich, wenn mehr Personen zusammenkommen, um öffentliche Schlüssel auszutauschen und sich gegenseitig die Schlüssel zu signieren. Sie vertrauen diesen Personen möglicherweise nicht so sehr wie Ihrem Freund, aber zumindest können Sie die Herkunft ihrer Daten überprüfen, wenn auch nur über eine Kette von Schlüsselsignaturen.

In vielen Fällen haben Sie gewonnen. ' Ich habe keine Freunde von Freunden, die etwas entwickelt haben, das Sie herunterladen möchten. In diesem Fall müssen Sie nicht vertrauenswürdige Signaturdateien herunterladen. Eine Möglichkeit, unerwünschte Signaturdateien zu verringern, besteht darin, dieselbe Datei mit mehreren Proxys herunterzuladen und dann zu vergleichen.

Also,

Tipp 8: Verwenden Sie die PKI und Tools wie gpg So überprüfen Sie den Ursprung des heruntergeladenen

Tipp 9: Überprüfen Sie die Prüfsummen der heruntergeladenen Dateien, wenn Prüfsummen bereitgestellt werden

Tipp 10: Wenn Sie jemanden treffen, tauschen Sie Schlüssel aus und signieren Sie sie, wenn Sie dies noch nicht getan haben.

Zum sicheren Löschen benötigen Sie ein nicht journalisierendes Dateisystem wie EXT2 (nicht EXT3 und EXT4), um Dienstprogramme wie shred effektiv nutzen zu können. shred -uz Dateiname für Dateien und find -type f -execdir shred -uz '{}' \; im Stammverzeichnis von Shred-Verzeichnissen. In BSD können Sie das Flag -P verwenden, um sicher zu löschen.

Für das Löschen der gesamten Festplatte können Sie HDDerase verwenden, das das native Löschen implementiert, das in moderne Festplatten integriert ist vom DBAN-Dienstprogramm.

Tipp 11: Verwenden Sie verfügbare Dienstprogramme wie shred , rm -P , HDDerase und DBAN zum sicheren Löschen von Dateien und Laufwerken

Bewahren Sie für Dateien und Fotos, die Sie unbedingt aufbewahren möchten, Hardcopies auf säurefreiem Papier auf. Wenn Hardcopies gut erhalten sind, sollten sie alle digitalen Medien um mindestens ein Jahrhundert überdauern.

Tipp 12: Erstellen Sie Hardcopies haben normalerweise Fehler. Darüber hinaus kann die Programm- oder Protokollarchitektur selbst eine Quelle für Sicherheits-Exploits sein. Beispielsweise sind die meisten grafischen Webbrowser und Programme von Adobe oder Microsoft (da sie so weit verbreitet sind, nicht weil sie wesentlich schlechter sind als alle anderen) eine unerschöpfliche Quelle für Fehler und Sicherheits-Exploits.

Darüber hinaus können Sie Ihr Betriebssystem mit allen verfügbaren Tools so lange härten, bis es so schwierig ist, wie Sie möchten, den Quellcode bis zu Ihrem Tod prüfen, die Quelle mit Proof-Checks usw. überprüfen, aber den Webbrowser selbst, indem Sie werden Eine Kompromittierung kann Sie auch dann gefährden, wenn Ihr Betriebssystem dadurch nicht beeinträchtigt wird.

Trotzdem lohnt es sich, sich ein paar Minuten Zeit zu nehmen, um das Betriebssystem zu härten. Wiederum macht OpenBSD es einfach, indem die meisten Sicherheitsfunktionen wie standardmäßig die richtigen Berechtigungen bereitgestellt werden.

Tipp 1: Nehmen Sie sich ein paar Minuten Zeit, um Ihr Betriebssystem zu härten.

Hier sind meine Vorschläge für OpenBSD. Einige von ihnen gelten wahrscheinlich auch für andere BSDs und Linux, wie zum Beispiel die Punkte f.) Und g.).

a.) Schreiben Sie einen anständigen pf.conf (es gibt gute Beispiele in der pf-FAQ, der pf-Manpage oder im Buch der PF). Verwenden Sie die Protokollierung, um Angriffe zu überwachen, die nicht an Ihrer Firewall vorbeikommen. Denken Sie also daran, Ihre Protokolle zu überprüfen. Sie können einen Skript- und Cron-Job haben, der interessante Bits kennzeichnet.

b.) Ändern Sie /etc/rc.securelevel so, dass der Sicherheitsgrad 2 beträgt Gehen Sie dann Ihre Dateien durch und chflags -R schg . Ich würde dies für die meisten von / etc , alle von / bin , / sbin , / usr , / bsd , / boot und sappend für einige andere Dateien / Verzeichnisse wie / root und / altroot und Schlüsselprotokolle in / var / log . Möglicherweise müssen Sie die Protokollrotation von Hand einstellen.

c.) Schalten Sie ttys / gettys aus. Wenn Sie der einzige sind, der Ihren Computer verwendet, benötigen Sie nur einen und sollten sich nicht als Root anmelden. Entfernen Sie also das Wort "sicher" aus / etc / ttys und schließen Sie den Rest bis auf einen. Wenn Sie als root arbeiten müssen, tun Sie dies über sudo als anderer Benutzer. Um mehr Sudo-Berechtigungen zu gewähren, können Sie an der Startaufforderung jederzeit boot -s ausführen und von dort aus / etc / sudoers mit visudo bearbeiten.

d.) Verwenden Sie TCP-Wrapper ( /etc/hosts.allow , /etc/hosts.deny ). /etc/hosts.deny sollte lauten: ALL: ALL . Dann finden Sie heraus, was Sie zulassen werden. Ziehen Sie auch in Betracht, inetd vollständig auszuschalten, indem Sie inetd_flags = NO in /etc/rc.conf.local einfügen. Es gibt eine Möglichkeit, TCP-Wrapper zu blockieren, die in der Manpage erläutert wird, aber ich habe es noch nicht getan.

e.) Verwenden Sie mtree -cK sha1digest> snapshot_of_filesystem__on_date , sobald Sie alles eingerichtet haben. Dann cksum -a sha1 diese Datei. ... wie in der mtree-Manpage erklärt. Machen Sie es zu einem Cron-Job und schreiben Sie ein Skript, um Ihre Schnappschüsse zu unterscheiden. Halten Sie den Hauptschnappschuss auch offline. Dies kann Sie benachrichtigen, wenn Schlüsseldateien von einer anderen Person als Ihnen oder Ihrem Computer manipuliert wurden oder auf diese zugegriffen wurde. Es ähnelt also einem hostbasierten IDS.

f.) Verweigern Sie die Root-Anmeldung und die Portweiterleitung / X11-Weiterleitung in / etc / ssh / sshd_config , insbesondere wenn Sie sshd ausführen!

g.) in / etc / fstab mount / usr ro , und / tmp, / var, / home mit noexec Überlegen Sie, ob sich Ihr Benutzer bei einer rksh -Shell anmelden kann.

h.) Seien Sie sehr spezifisch in Bezug auf Befehle, die Benutzern in / etc / sudoers gestattet sind. Lassen Sie sie beispielsweise nicht den allgemeineren / bin / cp ohne Qualifikation verwenden, wenn Sie bereits wissen, für welche Verzeichnisse / Dateien sie erhöhte Berechtigungen benötigen, um cp.

i.) folgen Sie "stabil". Lassen Sie sich benachrichtigen, wenn ein neuer Patch veröffentlicht wird, und patchen Sie Ihr System sofort. Ich empfehle, alles auf einem separaten Computer oder einer separaten Partition auf diesem Computer zu erstellen, damit Sie comp.tgz nicht auf Produktionsmaschinen installieren müssen. Alternativ ist es manchmal einfacher, einfach aus dem Snapshot-Zweig neu zu installieren und Ihre Konfigurationsdateien zusammenzuführen. Mit Snapshots können Sie außerdem die neuesten Softwareversionen ausführen, wenn Sie von der Standardinstallation abweichen möchten. Auf der anderen Seite bricht manchmal der Snapshot-Zweig eine Software außerhalb der Standardinstallation und das Aufspüren der Probleme kann ein noch größeres Problem sein als das Neukompilieren des Benutzerlandes. Wenn Sie (neu) kompilieren, besteht ein Trick darin, / usr / obj in einem Speicherdateisystem (MFS) bereitzustellen, wenn Sie über den RAM verfügen, um die Arbeit zu beschleunigen (denken Sie daran, niemals neu zu starten, bis Sie mit der Erstellung Ihrer neuen Distribution fertig sind ). Auch beim Neukompilieren können Sie ladbare Kernelmodule (LKM) in der Kernelkonfiguration deaktivieren - nur ein kleiner Vorgeschmack von mir.

j.) systrace ist nur nützlich, um zu bestimmen, welche Netzwerk-Sockets geöffnet werden sollen oder welche Binärdateien / Bibliotheken Sie verwenden.

k.) Wenn Sie Xwindows verwenden, verwenden Sie startx über die Befehlszeile im Gegensatz zu xdm / gdm / kdm. Stellen Sie sicher, dass Sie die Option -nolisten tcp im Abschnitt serverargs und default_serverargs von / usr / X11R6 / bin / startx code hinzufügen >.

Obwohl die meisten Passwörter geknackt werden können, ist es hilfreich, wenn sie länger sind und eine hohe Bitentropie pro Zeichen aufweisen. Mit dem Befehl

  cat / dev / srandom | können Sie Passwörter mit relativ hoher Entropie von  / dev / srandom  abrufen tr -dc [: print:] | fold -w PWD_LENGTH | head -n NUM_OF_PWDS  

wobei PWD_LENGTH eine Ganzzahl ist, die die gewünschte Länge des Passworts darstellt, und NUM_OF_PWDS eine weitere Ganzzahl ist, die die Zahl darstellt von Passwörtern, die Sie wollen. Ändern Sie auch Ihre Passwörter regelmäßig und speichern Sie sie sicher. Ich verwende ein Passwort mit mehr als 40 Zeichen für root. Ich möchte das wichtige Thema der sicheren Speicherung von Passwörtern nicht beschönigen, aber das ist bereits zu lang.

Tipp 2: Verwenden Sie lange Passwörter (> 25 Zeichen) mit hoher Entropie pro Bit

Noch wichtiger ist, dass ich die Dinge im Web vermeide, von denen bekannt ist, dass sie die meisten Exploits haben. Zum Beispiel empfehle ich, wann immer möglich mit einem textbasierten Browser wie lynx im Internet zu surfen und dann, wenn Sie Bilder oder Javascript benötigen, Firefox oder seine Cousins ​​ohne Markenzeichen mit dem Noscript-Addon zu verwenden. Es gibt einige weitere Optimierungen von Noscript, die unter der Registerkarte "Erweitert" vorgenommen werden können, z. B. das Deaktivieren von Webbugs oder das Reduzieren der Standard-Whitelist auf vertrauenswürdige Sites. Eine andere Alternative zur Verwendung eines grafischen Browsers wäre, Webseiten mit wget abzurufen und sie offline in einer VM anzuzeigen. Einige nützliche Wget-Flags sind

• -r -l NUM : Ermöglicht das Abrufen der Hierarchie einer Website bis zur Ebene NUM
• -np : Folgen Sie keinen Links zu anderen Websites
• -k : Damit die Links innerhalb von Seiten zu anderen Seiten funktionieren
• -p : Bilder und Dokumente abrufen, die auf Seiten verlinkt sind
• -nc : Nicht zweimal dieselbe Seite abrufen

Flash- und erweiterte PDF-Dateien sind große Sicherheitsprobleme. Viele Flash-Dateien können direkt mit youtube-dl und anderen Skripten / Dienstprogrammen heruntergeladen werden.

Also

Tipp 3 : Verwenden Sie nach Möglichkeit einen textbasierten Browser.

Tipp 4: Verwenden Sie wget- und flash-Downloader, um Seiten abzurufen, auf denen Sie Bilder anzeigen und öffnen und anzeigen möchten sie in einer VM.

Tipp 5: Verwenden Sie für alles andere das Noscript-Plugin mit Firefox.

Wenn Sie Stunden und Stunden verbringen möchten, können Sie natürlich mit RBAC / MAC, Jails und ACLs mit Dingen wie SELinux, GRsecurity und anderen FreeBSD-Entsprechungen spielen. Es gibt immer einen Kompromiss zwischen Sicherheit und Benutzerfreundlichkeit. Letztendlich müssen Sie oder Ihre Benutzer beurteilen, wie viel Sicherheit Sie abwägen müssen und wie viel Zeit Sie für die Feinabstimmung aufwenden müssen, während Sie versuchen, sich nicht von Ihrem eigenen System auszuschließen.

Datenschutz im Internet und Anonymität

Selbst TOR behauptet, Ihnen nicht viel davon geben zu können, und dass es nur experimentell ist. Vor diesem Hintergrund habe ich einige Tipps zum relativen Datenschutz / zur Anonymität.

Tipp 1: Verwenden Sie https://startpage.com oder https://startingpage.com

Wenn Sie die Site gefunden haben, die Sie lesen möchten, verwenden Sie den ixquick-Proxy-Service indem Sie dem Link "Proxy this" unter dem Eintrag folgen. Dies funktioniert zum Anzeigen aller Webseiten mit Ausnahme derjenigen mit bestimmten aktiven Inhalten.

Tipp 2: Tunneln Sie Ihre DNS-Anforderungen über HTTPS

Die schweizerischen und deutschen Datenschutzstiftungen bieten diesen Service an. ( server.privacyfoundation.de ) Sie müssen socat und stunnel installieren. Wenn Sie diesen Dienst verwenden, können Sie die Portdomäne in /etc/pf.conf für ausgehende Anforderungen schließen.

Tipp 3: Liberte Linux

Hat Kabelkommunikation, eine Möglichkeit, sicher und anonym über versteckte Dienste oder I2P-Eepsites zu kommunizieren. Auf ihrer Webseite finden Sie eine detailliertere Beschreibung.

Tipp 4: Verwenden Sie http://furk.net/, um Torrents abzurufen / zu vertreten und sie Ihnen über https strong bereitzustellen >

Dann können Sie auch Ports schließen, die mit Torrents in Ihrer Firewall zu tun haben.

Tipp 5: Verschlüsseln Sie Ihre E-Mail

Geht mit dem oben genannten Abrufen der öffentlichen Schlüssel von Personen unter Datensicherheit einher.

Noch wichtiger ist, öffnen Sie keine Spam-E-Mails und führen Sie um Himmels willen keine .exe -Anhänge in Spam-E-Mails auf Windows-Computern aus! Akzeptieren Sie auch keine E-Mails von Personen, die Sie tun Geschäft mit als Mittel zur Kommunikation, die den Austausch von Geld oder persönlichen oder Kontoinformationen beinhaltet. Klicken Sie in E-Mails, die angeblich von Unternehmen stammen, nicht auf Links und geben Sie dann persönliche Informationen wie Ihre Kontonummer und Ihr Passwort ein!

Tipp 6: Überprüfen Sie die Zertifikate tatsächlich unter https-Websites

Sie müssen stets auf dem neuesten Stand sein, welche und welche Zertifizierungsstellen gefährdet wurden. Sie sollten auch eine ausgedruckte Liste der Zertifikat-Fingerabdrücke für alle von Ihnen besuchten sicheren Websites aufbewahren und den Fingerabdruck im präsentierten Zertifikat mit dem in der Liste vergleichen.

Tipp 7: Wenn Sie soziale Netzwerke verwenden müssen, verwenden Sie die Diaspora

Tipp 8: Verwenden Sie keine öffentlichen E-Mail-Server / Dienste, wann immer dies möglich ist.

Es ist weitaus besser, engen Mitarbeitern / Familienmitgliedern / Freunden ssh Zugriff auf eine Ihrer lokalen Boxen zu gewähren und eine dauerhafte IP-Adresse von dyndns zu verwenden. Dann, wenn Ihre Freunde / Familie Wenn Sie sich mit Ihnen in Verbindung setzen möchten, können sie sich in dieses Feld einloggen und auf diese Weise Dateien / E-Mails als Textdateien an Sie übertragen, da Sie wahrscheinlich bereits einen lokalen Mailserver ausführen (OpenBSD verwendet sendmail lokal als MTA, hauptsächlich für die Protokollierung).

Dies verhindert das Problem, dass nicht vertrauenswürdiges Data Mining von Drittanbietern und der Verkauf Ihrer privaten Kommunikation auf deren Mailservern oder sogar Zugriff auf Ihre verschlüsselten Dateien möglich sind, wenn Sie verschlüsselte E-Mails verwenden.

Tipp 9: Verwenden Sie kein 3g / 4g-Internet und halten Sie den Akku Ihres Mobiltelefons von Ihrem Mobiltelefon fern, es sei denn, Sie sprechen darüber oder erwarten einen Anruf.

Tipp 10: Randomisieren Sie Ihre MAC-Adresse an öffentlichen WLAN-Hotspots.

Folgen Sie dann Tipp 1 oben, um das Ende zu erreichen Verschlüsselung beenden. Siehe Tipp 3 unter Liberte Linux, der in diesem Sinne formuliert wurde.

Tipp 11: Verwenden Sie das Tor-Browser-Bundle.

Dies ist wahrscheinlich die bekannteste Methode zum Überlisten von Browserprofilen, wie auf panopticlick.eff.org erläutert. Beachten Sie auf dieser Website, dass Sie mit lynx oder einem anderen textbasierten Browser eindeutig identifiziert werden können.

Bist du paranoid genug? Wenn ja, versuchen Sie es mit http://qubes-os.org/Home.html. Es ist ein sehr interessantes Projekt, das sich jedoch noch in der Beta befindet , das von Joanna Rutkowska und ihrem Team entwickelt wurde. Es verwendet virtuelle Maschinen, um die Isolation zwischen Benutzer-GUI-Anwendungen und viele andere nette Tricks zu erzwingen. Es konzentriert sich ausschließlich darauf, eine sichere Umgebung für Desktop-Computer zu sein.

Wenn Sie nicht dorthin möchten, gibt es eine Distribution, die sich auf Sicherheit konzentriert.

Ich könnte eine Liste erstellen, aber Wikipedia hat bereits eine schöne Zusammenfassung: http://en.wikipedia.org/wiki/Security-focused_operating_system

Das Problem, von dem ich denke, dass wir alle es haben, ist zu sagen, welche Bedrohung Sie befürchten. Jemand, der den ganzen Tag surft und weniger als sichere Websites besucht, hat ein höheres Risiko, angegriffen zu werden als eine Großmutter, die versucht, E-Mails zu lesen. Aber die Großmutter hat ein höheres Risiko, weil sie den Unterschied zwischen echten E-Mails und Phishing-Angriffen nicht erkennen kann.

Ebenfalls zu berücksichtigen ist der Kompromiss mit der Benutzerfreundlichkeit. Ich würde sagen, dass das Ausführen von lynx von Natur aus sicherer ist als das Ausführen von Firefox, nur weil mit einem textbasierten Browser weniger Funktionen ausgenutzt werden können als mit einem voll funktionsfähigen Browser.

Für Datenschutzparanoia: Ich mag die Tor Live-CDs für überparanoide Menschen sehr. https://tails.boum.org Es ermöglicht einem Benutzer, eine Benutzersitzung zu erstellen, seine Arbeit zu erledigen und dann alle Beweise dafür neu zu starten und zu löschen. Datenschutz und Sicherheit sind zwei verschiedene Spiele, aber einige der gleichen Vorsichtsmaßnahmen überschneiden sich.

Gesamtsicherheit: BSD ist sehr sicher, aber ich denke, es ist ziemlich schwierig, es sofort zu finden.

Meiner Meinung nach hält eine aktuelle, aktiv gewartete, gut entwickelte Distribution wie Ubuntu oder Centos ein Gleichgewicht zwischen Sicherheit und Benutzerfreundlichkeit, gibt Ihnen aber dennoch die Kontrolle über die Umgebung, um sie vor den Bedrohungen zu schützen sind spezifisch für Ihre Umgebung.

Das ist ein schwieriges Problem, mit erheblichen Unterschieden zum Serverraum in Bezug auf Bedrohungen, Angriffsfläche und Schwachstellen.

Der "einfache" Teil besteht darin, mit Hardening Linux Server zu beginnen a>, das auch einige für den Desktop relevante Links enthält.

Dann stoßen Sie jedoch auf die Unsicherheit sowohl des älteren als auch des neueren Fenstersystems:

• Passiv und aktive Angriffe über X11. Ist Wayland besser?

Und natürlich ist das Anwendungsspektrum, das Benutzer wünschen, so groß, dass sie alle und die dazugehörige Hardware, Desktop-Busse, Formate usw. gehärtet werden Eine große Aufgabe.

Google Chrome versucht, viele gefährliche Browserprobleme zu beseitigen. Chrome OS erweitert den Ansatz auf den gesamten Desktop.

Dies ist ein bisschen alt, aber es ist ein guter Anfang: http://www.hermann-uwe.de/blog/towards-a-moderately-paranoid-debian-laptop-setup--part -1-Basissystem

Aktivieren Sie für Firefox ENDGÜLTIG NoScript und RequestPolicy und richten Sie ein geeignetes AppArmor-Profil ein.

OpenBSD könnte ebenfalls von Interesse sein - es ist stark auf Sicherheit ausgerichtet (aber nicht wirklich "Linux").