Как полностью обезопасить ubuntu или пошаговая инструкция для параноиков

[Sly_tom_cat]

   Первая мысль- сделать из своего HDD "кирпич" путём удаления MBR, потом записать его из секретного места или удалённого компьютера. НО!
попробуйте сами

(Нажмите, чтобы показать/скрыть)

1. BACKUP MBR

Чтобы сделать копию Главной Загрузочной Записи (MBR):

# dd if=/dev/sdb of=my.mbr bs=466 count=1

где my.mbr – это тот файл, в который мы сохраняем резервную копию нашей MBR.

2. RESTORE MBR

Чтобы восстановить MBR из копии нам нужно просто поменять порядок входящего и исходящего файлов.

# dd if=my.mbr of=/dev/sdb bs=466 count=1

3. УДАЛЕНИЕ MBR

Если вы, по какой либо причине, хотите удалить свой MBR, то используйте в качестве входящего файла /dev/zero:

# dd if=/dev/zero of=/dev/sdb bs=466 count=1

Утилита testdisk восстановит таблицу разделов за пару минут работы.

Это действует только на диски с fat32. ВСе остальные ФС имеют резерв, из которого благополучно восстанавливают MBR "на лету".

аСЬ!  Какая это такая мудрая ФС сама восстановит таблицу разделов винчестера??? 
А если таблица разделов GPT или в другом каком формате...  эта умная ФС еще и разные форматы таблицы разделов поддерживает?

 
Вспомнилось из старого анекдота про пилота сбитого в авгане самолета, который под пытками не выдал технологических секретов, и вот его как героя попросили выступить перед курсантами, а те спросили - что посоветуете? Он им сказал - "Учите мат.часть - ну очень сильно бъют..."

[RustemNur]

топик ... был создан не в моих корыстных целях, а в целях создания пошаговых рекомендаций по безопасности

У тебя нет знаний, чтобы такие рекомендации создать. Ты хочешь чужими руками их написать. Видали мы здесь таких "непростых" граждан, создающие топики типа "Пишем скрипт настройки правил iptables ВМЕСТЕ!", однако ни одной строчки туда так и не вписавших.

[moby DICK]

топик ... был создан не в моих корыстных целях, а в целях создания пошаговых рекомендаций по безопасности

У тебя нет знаний, чтобы такие рекомендации создать. Ты хочешь чужими руками их написать. Видали мы здесь таких "непростых" граждан, создающие топики типа "Пишем скрипт настройки правил iptables ВМЕСТЕ!", однако ни одной строчки туда так и не вписавших.

Инструкции пишу не в корыстных целях, а в целях создания возможности для безопасной работы журналистов и оппозиционных активистов.
Клятвенно обещаю, что ни один из советов не будет использован во зло или ради корысти. В этом, на мой взгляд и кроется смысл сообщества, помогать неопытным пользователям, не?

[mazai_f_kedah]

Выкладываю то, что узнал сам недавно, итак для обеспечения безопасности:
1.
Устаняйте дыры в вашей безопасности постоянно, ведь линукс - это сотни различных программ и пакетов, которые составляют единое целое. Если хоть одна из этих программ имеет дыры в безопасности, вы очень рискуете, поэтому единственно правильное решение - использовать встроенный менеджер обновлений (или может быть какой-то дополнительный) для обновления всех устаревших компонентов вашей системы. Нужно хотя бы раз в неделю обновлять систему.
2.
Придумывайте сложные пароли, а не 12345 для вашей системы, а также ваши аккаунты в сети должны быть защищены сложными паролями. Понятно, что постоянный ввод длинных паролей немного раздражает, но это последняя линия защиты, которая разделяет ваши файлы и умелого хакера. Лично у меня пароль рут - более 60 символов (кто-то из толпы выкрикнул "параноик"?
3.
Проверяйте свой файрвол, он также играет важную роль. Однако для этого вы должны его прежде всего правильно настроить, чтобы закрыть все открытые дыры в интернет-сервисах. Пробуйте работать с вашим компьютером вне вашей локальной сети. Также можно воспользоваться множеством веб-инструментов, которые покажут вам найденные открытые порты (ссылки ищите сами).
4.
Шифруйте свою почту, используйте публичные ключи - тогда люди смогут отправлять вам сообщения, которые будете читать ТОЛЬКО ВЫ. Генерируйте публичные ключи и раздавайте своим друзьям, также его можно опубликовать на специальных сайтах, где вы также можете импортировать себе пуб. ключи ваших друзей и знакомых.
5.
Всегда используйте пароль при загрузке системы, никогда его не отключайте (не используйте автовход). Также в качестве дополнительного уровня защиты ставьте пароль на биос (хотя он не слишком надежен).
6.
Шифруйте ваши беспроводные сети, используйте динамические ключи, предохраняйте ваши точки доступа от злоумышлеников.

7.
Постоянно проверяйте свои логи, ведь признаки угрозы безопасности зачастую сперва появляются там. Лог-файлы лежат в системе по адресу /var/log, всю нужную информацию ищите там. Для того, чтобы просмотреть несколько последних строчек лог-файла, используйте команду

Код: [Выделить]

tail -f /var/log/syslog8.
Запретите доступ с IP-адресов злоумышленников, отредактируйте файлы /etc/hosts.allow и /etc/host.deny на вашем сервере, чтобы предоставить или запретить доступ с определенных IP-адресов к сервисам, запущенным на вашем сервере. Поскольку hosts.allow обрабатывается перед hosts.deny, вам нужно быть осторожным, чтобы не перезаписать нужные инструкции.
9.
Очищайте историю командной оболочки. Если кто-то получит доступ к вашей учетной записи, он может причинить неисчислимый ущерб, используя ваши личные данные. История вводимых вами команд
может выдать ваши имена пользователей и ошибочно набранные пароли, и показать, как вы соединяетесь с внешними сетями. Удалите свою историю в bash с помощью команды

Код: [Выделить]

history -c Кэш браузера может быть легко удален непосредственно в настройках вашего браузера.
Вот такие пироги, ребята. Если есть у кого что добавить, добавляйте.

[Saltty]

Соответствующие органы не будут долго ломать голову над шифрованием и т.п. Они просто подъедут и как следует спросят у того кто знает как это расшифровывается А так соблюдаем обычные правила безопасности, т.е. предохраняемся и всё у нас хорошо

[saymon21root]

Как полностью обезопасить ubuntu

А никак. 100%-ной безопасности нет и быть не может. Дыры в безопасности находятся каждый день и не по 1-2. Так-же эти дыры не сразу закрывают. А бывает и разработчики не сразу узнают, что в их софте где-то кто-то нашёл эту самую дыру в безопасности.

[demon_]

У спецслужб есть свои методы по расшифровке данных старый и проверенный "термо-ректальный метод криптоанализа" и новый пока в стадии на работке у полиции "холодно бутылочный-ректальный метод криптоанализа"

[dikiyZ]

 так это в России... Мы и ещё 6 миллиардов живём иначе . Поэтому простого шифрования диска достаточно. Недавно был прецедент в американском суде. Требовал судья пароль на диск в ноуте от подозреваемой. Она отказалась. И всесильная полиция величайшей страны мира не смогла без пароля вскрыть... Математика- она везде одна и та же. И таблица умножения тоже. Ну... есть ещё русские, там всё по другому .

[Torrino]

Здравствуйте. В дочерней ветке задал вопрос по проверке, что DNSCrypt действительно работает. Спасибо

https://forum.ubuntu.ru/index.php?topic=183702.0

[Sly_tom_cat]

Недавно был прецедент в американском суде. Требовал судья пароль на диск в ноуте от подозреваемой. Она отказалась. И всесильная полиция величайшей страны мира не смогла без пароля вскрыть... Математика- она везде одна и та же. И таблица умножения тоже.

Только в америкосии уже создаются прецеденты, когда отказ от выдачи ключа признается как признание в том, что шифрованный диск содержит нелегальный контент.... Пока только загвоздка в том, что не узнав какой именно это контент они затрудняются назначить наказание....
Да и сажали они уже таких, которые ключики по решению суда не предоставляли - тоже уже есть прецеденты...

Это на самой территории, а на границе уже совсем все плохо....

[dikiyZ]

 а Вы почитайте посты от россиян . Там красной линией проходит мазохизм и обречённость: "нам вставят паяльник, нас будут бить" и пр. К тому же, в России законом запрещено шифроваться хорошо. Короче... страшное место...
  В интересах информационной безопасности Российской Федерации и усиления борьбы с организованной преступностью запретить деятельность юридических и физических лиц, связанную с разработкой, производством, реализацией и эксплуатацией шифровальных средств, а также защищенных технических средств хранения, обработки и передачи информации, предоставлением услуг в области шифрования информации, без лицензий, выданных Федеральным агентством правительственной связи и информации при Президенте Российской Федерации в соответствии с Законом Российской Федерации "О федеральных органах правительственной связи и информации"."""

Т.е. физическим лицам (т.е. ТЕБЕ) запрещена разработка, производство, реализация и эксплуатация (т.е. ВСЁ!) шифровальных средств, а также защищенных технических средств хранения, обработки и передачи информации...

[vlrv]

dikiyZ, в интернете много копий поломано по поводу этого закона, в том числе и юристами. Есть мнение что он просто недействителен ввиду того что противоречит другим законам и Конституции. И если строго выполнять этот закон то вы должны отказаться не только от шифрования дисков но и от https и ssh.

Только в америкосии уже создаются прецеденты, когда отказ от выдачи ключа признается как признание в том, что шифрованный диск содержит нелегальный контент.... Пока только загвоздка в том, что не узнав какой именно это контент они затрудняются назначить наказание....

Вариант "забыл пароль" не катит?

[Дмитрий Бо]

- А что это у вас за раздел какой-то на диске?
- А этот? Ну это мы лабораторную работу для Универа делали по энтропии по Статистическому моделированию.
Только директору не говорите, что я рабочий сервер использовал.

 

[Sly_tom_cat]

dikiyZ, тот закон на который вы ссылаетесь уже не действителен (отменен одним из последующих). Внимательно нужно читать и смотреть на даты.

[lin0ks]

как по мне лучшее средство для безопасности пользователя это элементарная компьютерная грамотность...
ставьте нормальные пароли на почту... ну и абдлок..если уж совсем страшно ноускрипт..
для домашней машины хватит с головой...
ломать или слушать отдельно взятую машину и нах..р никому не надо...
ИМХО