Десктоп? Зачем iptables и fail2ban? Просто закрыть все порты на роутере.

а в роутере закладки и бэкдоры от производителя, китайской компартии и NSA :)

Закрыть весь входящий трафик на десктопе. Зачем fail2ban?

От NSA закладки могут быть на уровне прошивки матплаты ПК.

Десктоп?

Да

Просто закрыть все порты на роутере.

Это да, в сторону провайдера.

В локальной сети через wifi свисток раздаваться будет интернет. Допустим в этой внутренней сети появится что-то или wifi вскроют.

Всё правильно, сначала они зассали и пожгли кнопки в лифтах, а теперь добрались и до матплат.

Ставь сразу QubesOS.

Допустим в этой внутренней сети появится что-то или wifi вскроют.

И что? Какие угрозы?

На той машине за какую переживаешь дропаешь все входящие соединения, кроме разрешённых (наверное это только ssh). Ну и разрешаешь established/related connections, вот и все правила.

извини, бро

Что-бы избежать детских ошибок что-бы

чтобы /offtop

Монтирование с noexec, но всё же веду разработку и надо запускать бинари из хомячка, это удобно

удобно или безопасно? контейнеры виртуалки «песочницы»… разделить разработку и интернеты возможно?

От NSA закладки могут быть на уровне прошивки матплаты ПК.

Точно. АНБ спалит закладку на уровне фирмвари процессора только что б у тебя на компе помайнить.

У меня просто ПК домашний, а не штаб квартира =) Я Debian user и менять дистрибутив не буду. Тред больше просто про советы. Вдруг что дельное скажут, я на ус намотаю.

Накатываешь свежий овощной сок, гладишь котика и идешь котлетиться галей в просадке на переносе полета.

На ОС в день полета сливаешь и натягиваешь шорты на максимальной свече.

….

Профит111

Собираешь ничтяки и идешь закупать взрослое, суровое железо, которое Столлман пропейсал. https://www.raptorcs.com/

Осиливаешь и забываешь про дебиан. Не благодари.

а в роутере закладки

А в рабочей генеральской машине проверенные куртизанки играют в одобренный преферанс?

По идее, приходит на ум рейд на двух дисках с шифрованием, /boot не монтируется, /home с noexec, для разработки отдельный раздел на ЖД с chroot, чтобы ничего не повылезло, настроен SELinux и всему ПО, кроме избранного, глобально отрублен доступ в сеть, плюс всё в контейнерах, джейлах да чрутах... короче, то же самое, что QubesOS.

ну нет же. там по сценарию, бывший сотрудник АНБ (уволили за симпатии к [подставить актуальное]) продаёт международным хакерам информацию о закладке, чтобы отомстить боссам восстановить мировую справедливость купить стаканчик любимого латте. а вот те плохие парни…

Советую почитать https://www.cisecurity.org/benchmark/debian_family/ или аналогичный для твоего дистрибутива.

но вообще, обычно достаточно вовремя софт обновлять и аутентификацию по паролю отключить.

проверить куртизанок вполне доступно

http://linuxoid.in/%D0%9E%D0%B3%D1%80%D0%B0%D0%BD%D0%B8%D1%87%D0%B8%D0%B2%D0%B0%D0%B5%D0%BC_%D1%84%D0%B0%D0%B9%D0%BB%D0%BE%D0%B2%D1%83%D1%8E_%D1%81%D0%B8%D1%81%D1%82%D0%B5%D0%BC%D1%83_%D0%B2_Debian

Про нестандартные порты и https://www.howtogeek.com/442733/how-to-use-port-knocking-on-linux-and-why-you-shouldnt/

Уже говорили? //трэд не читал

По куаркоду?

бывший сотрудник АНБ

В чем отличие между настоящим или будущим?

чего ты придираешься: сценарий как сценарий, обычно ещё более глупые вводные фигурируют. не нравится трехбуквенная абревиатура? список органов имеющих такие возможности ограничен в данной реальности.

трехбуквенная абревиатура? список органов имеющих такие возможности ограничен в данной реальности.

каким количеством букв какого алфавита?

ТС: я торчал в интернет с паролем 1234 и меня поимели. Как перестать быть дебилом?

ЛОР: АНБ! Закладки в матплате! Закладки в роутерах! Кукареку!

я торчал в интернет с паролем 1234

лучше торчать с ключем на 42

ключем

или ключом

Миимум: избавиться от рака (sysemD) и запретить все входящие.

запретить все входящие.

перекусить сетевой кабель садовым секатором и в сетку рабицу Фарадея.

не использовать systemd

Ты же понимаешь, что это все счастье еще надо как-то использовать? Если система более-менее живая, на ней появляется-исчезает софт/пользователи, меняются конфиги и т.д. - то использование selinux-а превращается в адок.

Из моей практики, selinux используют на серверах, что изменения происходят не часто.

А ТСу, судя по предыдущему треду, реально хватит ssh по ключу с запретом рут логина и fail2ban.

По идее, приходит на ум рейд на двух дисках с шифрованием

И как ему шифрование поможет, если его опять по ssh сбрутят? Эта мера работает только в части физического доступа к хосту - на пример, если он свой ноут потеряет где-то.

Для совсем Ъ: поставить vpn и пускать ssh через него.

Выдернуть из сети еще :) Из всей.

расскажите что у вас есть ценного, а то сейчас вы как неуловимый джо

И внутри неё whonix http://www.dds6qkxpwdeubwucdiaord2xgbbeyds25rbsgr73tbfpqpt4a6vjwsyd.onion/wiki/Qubes

Читай и ставь что нужно, но после прочтения рекомендую загуглить «настройку» https://madaidans-insecurities.github.io/guides/linux-hardening.html

Ничего не нужно. Просто не ставить на систему что попало.

Для особых требований к безопасности посоветую RHEL. Там SELinux. Или OpenBSD — тоже серьезная система в плане безопасности.

В паралельном треде мелькал tripwire, здесь к моему удивлению не упоминался (вроде как). Может не модно уже нынче - без руля.

Для того, что бы тебя поимели и подсунули xmrig, как в случае с ТСом - не нужно быть кем-то особенным.

Добро пожаловать в 21 век, где большая часть взломов происходит в автоматическом режиме.

Для того, что бы тебя поимели и подсунули xmrig, как в случае с ТСом - не нужно быть кем-то особенным.

в принципе надо АХТУНГ: Пишу из горящего танка , ко мне на linux ПК влез майнер! (комментарий)

Каштан

накатываю свежий Debian.

Монтирование с noexec,

У дебиана сыстемдЫ со штатной дырой для запуска всех вирей: /tmp/users/*/ принудительно и умышленно монтируются сыстемдЫ с rw & exec !!! Используй эту дыру для запуска своих скомпиленых прог.

но всё же веду разработку и надо запускать бинари из хомячка, это удобно.

mkdir -p /tmp/users/vasya/bin && ln -s /tmp/users/vasya/bin /home/vasya/bin

А /home, /tmp, /var монтируй с nodev,noexec,nosuid

Тебе лучше прочесть по дебиан доки по безопасности. Дебиан слаб в плане безопасности.

Мне интересен один простой тест, но ЛОРовцы стесняются предоставить данные:

Название и версия дистрибутива
mount |grep -v -E '(noexec|,ro)'
cp /bin/ls /tmp/
/tmp/ls
/lib/ld-linux.so /tmp/ls

Для грубой оценки настроек безопасности можно использовать lynis.

Есть также checksec но это для тех кто собирает систему с исходников.

Десктоп? Зачем iptables и fail2ban?

Обязательно но на всех десктопах фильтровать весь входящий и исходящий трафик с политикой по умолчанию DTOP. Правилами добавляем только необходимое.

В паралельном треде мелькал tripwire, здесь к моему удивлению не упоминался (вроде как).

Integrity обязательно! При доступе IMA/EVM. По запросу tripwire или более новые. К стати нормальные менеджеры пакетов могут проверять целостность установленных программ, а deb-у почему-то этого не надо: Выпуск APT 2.0 (комментарий)

Решения безопасности должны проектировался как безопасные и быть просты как автомат Калашникова.

Добавление сложности и запутанности только снижает безопасность.

На лоре ожили полтора анонимуса. Спасибо!

а в роутере закладки и бэкдоры от производителя, китайской компартии и NSA :)

Vsevolod-linuxoid

От NSA закладки могут быть на уровне прошивки матплаты ПК.

Ну всё. Как обычно… Понеслась пи езда по кочкам.

Слышь, эксперт, ты лучше сам выложи, что требует от других. По твоим сообщениям, ты линуксы видел только в putty.

Не ругайтеся. Кокой там noexec, монтируйте все в ro уже в самом деле.

можно использовать lynis.

Можно/нужно еще loki и много чего еще.

ТСу дали достаточно «советов». Пусть хоть десятую часть осилит.