Настройка Linux для безопасности

Отвечу так. Там безопасность лучше продумана, чем в некоторых дистрибутивах, но есть поле для работы. Ни один крупный дистр не является 100% защищённым во всех пакетах.

чтобы было сложнее украсть информацию, например

Какую информацию? Есть множество способов обезопасить свою систему.

Или это только к специализированным дистрибутивам?

Безопасность на любом дистре зависит от ровных рук и понимания безопасности.

является ли Arch безопасным дистрибутивом

Нет, он является обычным дистрибутивом. -_-

Убрать сетевую карту, usb, dvd привод. И никакая информация не покинет пк, разве что диск украдут

Советов тред по настройке безопасности.

Сначала озвучьте модель угроз. От чего защищаетесь? Спам? Фишинг? Сетевые черви? Левые люди с флешками? Advanced persistent threats?

Вопрос из разряда «а что более водяное вода в реке или вода в озере»?

1. Поставить немаргинальный дистр
2. Ничего не трогать
3. Перед тем как трогать, нанять спеца
4. Спец пусть читает доки и много думает

На бытовом уровне хватит Fedora, там SELinux из коробки включен и настроен.

Более серьезный дистрибутив — Qubes OS, там безопасность через виртуализацию.

Но вообще вопрос очень общий и потому глупый. Даже самый безопасный дистрибутив не защитит тебя от ввода данных кредитки на фишинговом сайте.

Для того, чтобы перед включением sshd на сервере был fail2ban и у рута не было пароля root нужны не осоьый дистр и не особый софт, нужен спец =(

хаха, man sidechannel attacks

На десктопах ssh обычно выключен, там это не так актуально.

И к слову, а что дает отказ от пароля на root? Если запретить вход под root по ssh и вообще пускать только по ключам, да на нестандартный порт c fail2ban повесить это понятно, что даст.

Но я не вижу разницы между входом злоумышленника под root и входом под пользователем, у которого sudo на всё.

Если я правильно понимаю, то она нужна для взлома шифрования. Но в любом случае нужно иметь физический доступ к компьютеру.

Это обширный вопрос. Пользуйся арчем-убунтой-виндой из коробки и не заморачивайся безопасностью.

Какая модель угроз?

Какая модель угроз?

Кто может дать такое уточнение, тот вопросы из ОП не задаёт. )

Вот потому я и задаю этот вопрос обычно. Вдруг автор пойдёт гуглить и начнёт хотя бы примерно понимать, о чём спрашивает 🙃

Я писал про пароль рута равный root.

Отсутствие даёт существенное огорчение подбирателям.

Кто «она»?

Я не про timing attacks, я про PS/2 клавы транслирующие пароли в эфир нахаляву из коробки и прочее выстукивание секретов головкой жёсткого диска.

Как настроить Linux с упором на безопасность

Прикрыть возможные каналы кражи.

является ли Arch безопасным дистрибутивом

Из коробки точно нет.

Чем убунту - однозначно лучше. Убунту вообще не надо использовать нигде. Но ты всё равно не настроишь, забей.

Целевые атаки на машину (не через флешки). Уязвимости в софте, открытые порты (если это возможно), установка за счёт этого скрытого вредоноса. Или же просмотр сетевого трафика.

Цель в том чтобы защититься от целевых атак и проникновения, ходить по фишинговым сайтам и самостоятельно устанавливать оттуда трояны естественно никто не собирается.

ARCH LINUX SECURITY AND PRIVACY GUIDE - https://theprivacyguide1.github.io/linux_hardening_guide и https://wiki.archlinux.org/title/Security

«а что более водяное вода в реке или вода в озере»

Ни разу не вопрос. Совершенно очевидно что более водяное вода в реке ибо она (в подавляющем большинстве случаев) имеет меньшую плотность чем вода в озере.

целевых атак

Тут только один вариант — нанимать профессионалов. По руководствам из интернета ты получишь иллюзию безопасности без малейшего понимая, как это всё работает.

SELinux из коробки включен и настроен.

«Настроен» – это слишком сильно сказано. Когда все подряд по дефолту работает в контексте unconfined_t, то можно считать, что ничего не настроено.

Всем привет. Как настроить Linux с упором на безопасность (имеется ввиду, чтобы было сложнее украсть информацию, например). Или это только к специализированным дистрибутивам? Ещё вопрос, является ли Arch безопасным дистрибутивом, не хуже он «из коробки» в этом плане чем та же Ubuntu?

рекомендую воспользоваться AOSP для безопасности.

все подряд по дефолту работает в контексте unconfined_t

А я-то удивлялся, как же они ухитряются писать политики под такой огромный ассортимент софта в штатных репозиториях.

Под что-то пишут, под что-то – нет. Это и есть targeted policy.

Общая рекомендация – в рхелоподобных системах:

1)постараться минимальному количеству пользователей назначать unconfined_u
2)потенциально опасные приложения – таргетировать, если они уже не таргетированы
3)все, что поставлено не из официальных реп – помещать в контейнеры, огораживая их политиками, хотя бы автоматически сгенерированными.

нанимать профессионалов Нет никакой гарантии, что это будет хороший специалист, а не тот кто скажет «всё чётко, не беспокойся», хотя вся защита - калитка с замком посреди декоративного заборчика.

хороший специалист

Ты что-то не так понял. Когда речь о целевых атаках, нанимают компанию. Понятно, что ты не параноик с локалхостом, и речь о безопасности как минимум миллионов долларов, так что не экономь, скупой платит дважды.

Чем убунту - однозначно лучше. Убунту вообще не надо использовать нигде.

Буспруфное кваканье. Или ты такой возьмешь и пруфанешь чем бубунта хуже и чому ее лучше не использовать

Ну в предельном случае паранойи и Убунту и любой другой готовый дистрибутив-комбайн хуже в плане безопасности чем «скомпилённый из сорцов» с только с тем что действительно нужно тем кто в этом действительно разбирается.

Но так-как этот вариант один на миллион то ничем Убунту не хуже любого другого дистрибутива.

На бытовом уровне хватит Fedora, там SELinux из коробки включен и настроен.

Бредятина. На десктопе это как, если ты наденешь бионик с каской и будешь в нём ходить.

Мешаться будет иго-го как (меня в первый раз вообще поразило как в этом можно передвигаться то), а чтобы защитил этого не дождёшься.

SELinux не нацелен на десктоп.

Ну в предельном случае паранойи и Убунту и любой другой готовый дистрибутив-комбайн хуже в плане безопасности чем «скомпилённый из сорцов» с только с тем что действительно нужно тем кто в этом действительно разбирается.

Попробуй обосновать технически.

Я использовал на десктопе как клоны RHEL 7 и 8 версий, так и Fedora. Проблемки были с SELinux, но ничего серьезного.

Как ты умудряешься так часто находить проблемы на Linux? Что ты такое делаешь?

Проблемки были с SELinux

Об этом и писал. Проблемы есть.

А что бы представить оральную ситуацию, чтобы тебя спас SELinux на десктопе, это очень трудно.

Всё же меряется коэффициентом полезность на вредность. Это элементарно.

ЗЫ: и это ты их даже находил, а не я.

А что бы представить оральную ситуацию, чтобы тебя спас SELinux на десктопе, это очень трудно.

Для разнообразия соглашусь и напомню одну мудрую мысль: «ложное чувство безопасности хуже её полного отсутствия»©

vot kazel

Мокрая ли сама вода, если мокрым считается то, что смочено водой?

оральную ситуацию

Вроде бы, маководы предпочитают обратные ситуации?

Модель угроз - плохое понятие. Реальной безопасности не даст.

Стоит смотреть в сторону уровней безопасности. Искать дистры которые имеют сертификаты на определенный уровень безопасности.

Модель угроз - плохое понятие. Реальной безопасности не даст.

Стоит смотреть в сторону уровней безопасности. Искать дистры которые имеют сертификаты на определенный уровень безопасности.

Есть тесты безопасности:

Советов тред по настройке безопасности. (комментарий)

Хотя бы lynis запустить и посмотреть сколько % от 100.

Самый простой и дельный совет: с данными надо расставаться так же легко и непринужденно, как с лишними деньгами. Такое отношение к данным способствует хорошему сну и пищеварению. Не будьте рабом данных.

как с лишними деньгами

лишними деньгами

Много у кого сейчас лишних ? С другой стороны, нет данных - нет проблем.

заведи два компьютера - один для интернетов, другой без интернетов для твоих секретных файлов.

Обезопасить Линукс можно только одним способом - выдернуть кабель от интернетов. Всё остальное полумеры.

Много у кого сейчас лишних ? С другой стороны, нет данных - нет проблем.

Это те, которые либо налом в кошельке, либо лимит по карте. Сценарий такой: к тебе на улице подошла группа отморозков, и приставили нож к горлу. Кстати, аналогичный сценарий может случиться и с тем оффлайн-компом. И тут уже никакая криптография не спасет.

Сценарий такой: к тебе на улице подошла группа отморозков, и приставили нож к горлу.

Не знаю где живете, но даже в моем Пердюйске подобные ситуации стали большой редкостью.

С другой стороны онлайн-транзакции отслеживаются и привязываются к личности всегда по умолчанию.

P.S. Недавно таскал 500к налика(деревянных), был конечно слегка осторожнее чем обычно, но в целом, как потенциальный грабитель вообще узнает что у меня есть такая сумма ? тем более что сейчас крупные суммы нала в целом мало у кого есть и если я выгляжу как типичный провинциальный нищеброд.

Вобщем вероятность грабежа посреди бела дня в городе сейчас крайне мала.