Безопасность на десктопе

Софт почаще обновляй и все будет ок.

На всякий случай nftables режет всё лишнее, разные сервисы изолируются в LXC-контейнеры, приложения запускаются через firejail — позволяет их огородить. Последний особенно рекомендуется.

На домашнем сервере держу сторонний зоопарк в LXC-контейнерах - и систему чистить потом проще. Очень понравилось, при следующем апгрейде ноута планирую и на нем такое практиковать.

Iptables-ом закрываю все входящие порты кроме ssh. При этом ssh висит на нестандартном порте 20000+.

Iptables-ом закрываю все входящие порты кроме ssh

А разве они по умолчанию открыты?

удивительно, но по умолчанию открыто всё.

Смысл устанавливать «доп-средства» защиты, конечно имеет! Я бы с удовольствием почитал про selinux что-нибудь. Может кто посоветует нормальную книгу?

https://docs.fedoraproject.org/en-US/Fedora/25/html/SELinux_Users_and_Adminis... ;P

спасибо! Я там уже читал. Я так понимаю, что selinux уже имеется в ядре и им можно управлять через какие-то конфиги и модули. Любая статья в интернете сводится к установке каких-нибудь дополнений и ни в одной не сказано через какие конфиги вообще добавить хоть одного пользователя selxnux. А уж если что-либо доустанавливать или патчить, то какая может идти речь о безопасности?..

Десктоп напрямую подключён в интернеты?

Дополнительное средство защиты - роутер с пробросом только нужных портов

объясните пожалуйста, какое преимущество в безопасности дает проброс порта с допустим 80 на 80 или какой угодно?

тут вообще идет речь об безопасности десктопа, как я понял..

Значит, десктоп предположительно на 99% может находится за NAT.

по всем законам земного притяжения, комп находящийся за нат не может быть атакован из вне, если сам этого не попросит.

следовательно, какой смысл пробрасывать порты? может есть какая фишка?

Через роутер dir 300

Ну как бы у меня вебсервер запущен, торренты раздают

• Правильно настроенная iptables
  
• сижу не под root, для полномочий root использую sudo
  
• chkrootkit
  
• ClamAV
  
• portsentry определяет сканирование диапазона портов, пишет в лог. Настройка по статьям:
  https://www.opennet.ru/docs/RUS/portsentry/portsentry3.html
  http://www.securitylab.ru/analytics/216217.php
  Вот, собственно, и вся нормальная безопасность.

«Вот, собственно, и вся нормальная безопасность.» А вы задумывались, насколько sudo с полномочиями root безопасна? и полномочия root в системе ничем не ругилированные уже потенциальная угроза. Соблюдай ты хоть всю технику безопасности, у рута(не у вас залогиневшимся от рута) имеются полномочия с которыми любой процесс может выполнится с этими полномочиями. Контролировать все процессы поднимающие себе полномочия невозможно. Следовательно: вопрос безопасности довольно глобален, и не решить за пару ограничений.

Есть ли вообще смысл в подобных вещах на пк с популярным дистром(Debian, Fedora, Ubuntu, Arch) и стандартными DE, ядром, конфигами(Debian+LXDE, Xubuntu)?

Нет. Это как носить постоянно тяжелый бронежилет

Сейчас любое подозрение в каком-либо направлении принята сразу клеймить паранойей, однако никто и никогда не называет паранойей поход в магазин за новыми комплектующими компьютера, которые вышли из строя из-за того, что человек стеснялся заранее навязанному клейму «параноика». Куда не глянь: что бы не подумать о своем компе - паранойя... везде тебе ответят, что излишние происки в сторону безопасности - паранойя. И нигде не напишут правильных способов организации безопасности! И регулярно происходят взломы важных и потенциально опасных объектов гос-структур - паранойя!!!

и полномочия root в системе ничем не ругилированные уже потенциальная угроза

Нормально там всё.

Ну как же нормально? Самая типичная ситуация - установка нового пакета... исполняем от рута же... а что делает пакет, долго и нудно рассматривать, и к тому-же не каждый пользователь это умеет... ( это на самом деле очень утрированно) полномочия рута, могут быть использованы и без уведомления «РУТА» т.е. вас, об этом. согласно всем условиям, программа поднявшая себе полномочия, и принудительно их не дропая оставляет их себе как уже приобретенные.. исходя из этого, любой процесс может со временем оказаться «рутом», или можно сказать с полномочиями РУТА.

Самая типичная ситуация - установка нового пакета...

А чем мешает тебе новый пакет?

мне ничем ) новый пакет может быть получен не из того места которое мы ожидаем... любой пакет способен изменить правила того же фаервола.. это конечно я пишу потому-что врятли кто-либо из пользователей десктопов знает защиту от подобного... но все же... угроза есть, есть опасность, по этому, я не буду рассуждать как может быть это реализованно, но может.

это конечно я пишу потому-что врятли кто-либо из пользователей десктопов знает защиту от подобного...

chkrootkit

антивирус

Ага, Kaspersky Free установлен. Точно уверен в безопасности своего ПэКа :D
<P.S. на голове одета шапочка из фольги для сущей безопасности>

в браузере стоят noScript, uBlock

Так вопрос в безопасности всей системы или защиты от потусторонних призраков рекламы и баннеров в браузере?

fail2ban

Авторизация по ключам.

iptables/ufw

FirewallD, разрешено только нужное.

snort

На десктопе лишнее, кмк

На проприетарное ПО, которое лично у меня не вызывает доверия (например Skype, TeamViewer, Hamachi), а также свободное p2p-толка, натянут AppArmor.
Ещё у меня Steam вместе со всеми играми живёт в контейнере LXC, но скорее из соображений совместимости, чем безопасности - проще один раз повозиться с контейнером, чем возиться с каждой игрой, которая не хочет работать в не-убунте (а таких много).

Steam вместе со всеми играми живёт в контейнере LXC

Как графика пробрасывается? Или X-сессия?

Просто разрешён доступ к X'ам хоста.

lxc.mount.entry = /dev/nvidia0 dev/nvidia0 none bind,optional,create=file
lxc.mount.entry = /dev/nvidiactl dev/nvidiactl none bind,optional,create=file
lxc.mount.entry = /dev/nvidia-uvm dev/nvidia-uvm none bind,optional,create=file
lxc.mount.entry = /dev/nvidia-modeset dev/nvidia-modeset none bind,optional,create=file
lxc.mount.entry = /dev/dri dev/dri none bind,optional,create=dir
lxc.mount.entry = /tmp/.X11-unix tmp/.X11-unix none bind,optional,create=dir

А LXC от root у Вас работает, или сбрасывает привилегии (unprivileged LXC)?

Непривилегированный от своего юзера.

Простите, а какой дистрибутив? Насколько помнится, искоробки это хорошо работало только в Ubuntu (из тех, что использовались) :(

openSUSE. Из коробки, действительно, у меня не работало, но завелось после установки pam_cgfs и добавления в /etc/pam.d/common-session session optional pam_cgfs.so -c freezer,memory,name=systemd
Ещё можно убунтушный cgmanager использовать.

И чего ты, в таком случае, собрался защищать на десктопе? Только если прокидываешь порт к демону через роутер на десктоп, то да, неплохо бы знать нюансы обеспечения безопасности конкретного сервера, в противном случае ничего на десктопе городить не надо.

Большое спасибо, будем попытаться завести.

А можешь в двух словах пояснить: зачем нужен snort и что он делает? Вроде читал, но толком не понял.

Но в безопасности почти не шарю

Вот и хочу послушать местных экспертов.

То есть, даже iptables настраивать нет смысла?

Правильно настроенная iptables

Это значит - пропускать только нужное?

Как же ты живёшь с такой паранойей? Советую расслабиться и максимум включить файервол, ну а вообщем можно безопасно пользоваться дистрибутивом хоть 5летней давности.

Браузер, почту, SIP, XMPP. Всё остальное запрещено на вход и выход.

То есть, даже iptables настраивать нет смысла?

Настаивать фаерволы принято на маршрутизаторе, а не на конечном устройстве.

Нет, я им не пользовался. В любом случае, система обнаружения вторжений на десктопе - явный перебор.

Расскажи это Comodo и прочим разработчикам фаерволов для Windows.

Hасскажи это Comodo и прочим разработчикам фаерволов для Windows.

Windows? Что это?

А какая разница? В интернет-кафе и аэропорту фаервол тоже не нужен?

Сейчас безопасность для «десктопного» пользователя фактически держится как раз на том, что он неуловимый джо.

Уязвимости в десктопной части судя по всему, мало кто ищет, просто по той причине, что сам по себе линуксовый десктоп, компаниям (прежде всего RH) нафиг не вперся, а энтузиастов немного. Исключение из этого списка составляют разве что мейнстримовые браузеры, но только из-за того, что они кроссплатформенные и их пилят заинтересованные компании.

Чисто теоретически есть SELinux, GrSecurity, но большинство их настраивать и использовать не умеет (тем более, если это пользователь а не администратор), из-коробки они есть не везде и не везде корректно настроены.

Фактически единственная традиционная операционка, которую условно можно назвать «безопасной» - это OpenBSD только в виде ее базовой системы, т.к. код базы подвергается проверкам и интегрирован с местными фичами безопасности. Если брать специализированные варианты, есть например Qubes OS, внутри которой чуть ли не каждое приложение запускается внутри вм.

А какая разница? В интернет-кафе и аэропорту фаервол тоже не нужен?

А большая разница. От кого фаерволить машину находящуюся за роутером? От машин в её же сети? Возможно, но не уверен. ТСу точно закрывать свой десктоп от своего же телевизора нет никакого смысла.

От машин в её же сети?

От них самых. Не все сети доверенные изначально (интернет-кафе), и не все остаются доверенными всегда (сосед с трояном).

От них самых.

А ничего что ТС в своём доме за маршрутизатором? Сферических коней в вакууме нам не надо.

ClamAV

Я не вижу большого смысла использовать антивирь под линукс, но если уж использовать, то что угодно, но не кламав.

Для домашнего пользователя он вполне подходящий выбор.

Здесь вопрос довольно субъективный. Как вопрос, какую вероятность можно считать достаточно большой. В учебнике по теории вероятностей Вентцель приводится 2 случая: 90%-ная вероятность попадания снаряда в цель и 90%-ая вероятность раскрытия парашюта. В первом случае вероятность можно считать высокой, во втором - нет. Но если продолжить это рассуждение, то какую вероятность успешного раскрытия парашюта (ниже 100%) можно считать приемлемой? Тут многое зависит от уровня технологий и от субъективной ценности жизни человека против цены парашюта. Для кого-то 0.01% несчастных случаев является вполне приемлемой (гибнуть будет всего-то каждый десятитысячный парашютист), а кому-то и вероятность 0.001% покажется слишком высокой.

По-мне известные десктопные дистры с настройками безопасности по умолчанию вполне надёжны. Но при желании можно подкрутить

1. SELinux (но там много возни)

2. iptables

3. /, /home, /var и /tmp ставить на разные разделы. При этом /var и /tmp монтировать как noexec. /home тоже можно монтировать noexec, если не пишешь программы и скрипты, но иногда могут возникать проблемы. Например, tor устанавливается в /home, и если этот раздел не исполняемый, то не работает.

4. Все внешние носители монтировать как noexec.

5. В браузере запретить запуск flash на всех сайтах, кроме надёжных (а можно вообще на всех, но это неудобно).

6. Не сохранять пароли.

7. Не включать беспарольный вход.

8. Не сидеть без надобности под рутом. Если забываешь выходить из su, лучше настроить и использовать sudo.

9. Не ставить лишних программ и отключать лишние сервисы.

10. По возможности запускать сервисы в виртуальном окружении.

11. Ну и стандартно: создавать надёжный буквенно-цифровой пароль, не являющийся словарным словом, длиной не меньше 12 символов, в идеале полностью рандомный и время от времени его менять. На разных левых сервисах в Сети не использовать этот пароль: там часто пароли хранятся открытым текстом или шифруются левыми алгоритмами. Например, по ссылке http://www.sql.ru/forum/942698-1/hranite-parol-otkrytym-tekstom-nu-spasibo можно почитать фееричную дискуссию на эту тему между юзером и админом форума, который шифрует пароли собственной доморощенной программулькой с возможностью обратного дешифрования и уверен в своей правоте ( http://www.sql.ru/forum/942698/hranite-parol-otkrytym-tekstom-nu-spasibo?mid=... ).

12. Параноики, очень мнительные люди, террористы, фсбшники и все те, у кого на компе лежит не менее миллиона баксов в криптовалюте, могут поставить антививирь под линукс.

Честно говоря, вот ты меня спросил, я и засомневался, как дело обстоит в последних версиях. Раньше были точно по умолчанию открыты. А теперь... Я уже делаю по привычке. В любом случае я точно знаю, что теперь(когда я принудительно настраиваю) точно все закрыто(исключая ssh).