Форум русскоязычного сообщества Ubuntu


Следите за новостями русскоязычного сообщества Ubuntu в Twitter-ленте @ubuntu_ru_loco

Голосование

Необходима ли данная инструкция по безопасности в wiki?

Да я не против
Нет я не против
Ubuntu безопасна и так, это не нужно
Необходимо дополнить эту статью
Она вообще не нужна

Автор Тема: Безопасность локальной ЭВМ  (Прочитано 14538 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Dzhoser

  • Автор темы
  • Старожил
  • *
  • Сообщений: 2073
    • Просмотр профиля
Безопасность локальной ЭВМ
« : 25 Декабрь 2018, 21:44:29 »
Бродя по форуму нашел вот такую ссылку ТЫК и решил восполнить данный пробел. И так поехали будет много букв.
(Нажмите, чтобы показать/скрыть)
« Последнее редактирование: 05 Июнь 2020, 20:26:44 от Dzhoser »

Оффлайн ALiEN175

  • Модератор форума
  • Старожил
  • *
  • Сообщений: 4258
  • Capture the truth
    • Просмотр профиля
Re: Безопасность локальной ЭВМ
« Ответ #1 : 25 Декабрь 2018, 21:51:06 »
может, стоило бы прям страничку в вики создать?

Ваш логин-пароль форума совпадает с вики.
ASUS P5K-C :: Intel Xeon E5450 :: 8 GB RAM :: Nvidia 8500GT :: XFCE
SAMSUNG N150 :: Intel Atom N450 :: 2 GB RAM :: Intel GMA3150 :: XFCE

Оффлайн Dzhoser

  • Автор темы
  • Старожил
  • *
  • Сообщений: 2073
    • Просмотр профиля
Re: Безопасность локальной ЭВМ
« Ответ #2 : 25 Декабрь 2018, 21:51:22 »
Для уменьшения вектора атаки рекомендую удалить данные пакеты
zeitgeist -https://help.ubuntu.ru/wiki/zeitgeist,
tracker, tracker-miner -
Система индексирования,
samba -
Пакет для обмена файлами в сети,
Vinagre -
клиент удалённого рабочего стола для среды GNOME,
avahi -
Может импользоваться для обнаружения сетевых служб,
telnet -
https://www.google.com/amp/s/xakep.ru/2000/08/01/10365/%3famp,
CUPS
Сервер печати,
MiniSSDPd -
https://packages.debian.org/ru/sid/minissdpd,
openssh-client -
удаленное подключение,
rpcbind -
https://packages.debian.org/search?lang=ru&searchon=names&keywords=rpcbind, virt-viewer -
виртуальная консоль
Geoclue. Это средство позволяет разным приложениям «ориентироваться в пространстве». То есть является банальным инструментом геопозиционирования — отслеживания вашего физического местонахождения и спорадической отправки результатов на сервер geoip.ubuntu.com.

Примечание. У пользователей GNOME могут возникнуть проблемы так как в некоторых  используется жесткая зависимость с данной DE. Пакет samba (название может отличаться ищем по поиску) используется для обмена файлами в сети, если это спользуется, тогда не удаляем. Пакет  CUPS используется для сервера печати и если он нужен тогда не удаляем.

может, стоило бы прям страничку в вики создать?

Ваш логин-пароль форума совпадает с вики.
Нужно сначала тут обкатать потом в вики выкладывать. Может кто нибудь чего нибудь дополнит или исправит. Жду вопросов и предложений.
« Последнее редактирование: 07 Январь 2019, 22:44:06 от Dzhoser »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 27366
    • Просмотр профиля
Re: Безопасность локальной ЭВМ
« Ответ #3 : 25 Декабрь 2018, 22:21:00 »
может, стоило бы прям страничку в вики создать?

Ваш логин-пароль форума совпадает с вики.
Набор инструкций без малейшей привязки к контексту, без пояснений, словно это что-то само собой разумеющееся?
Не стоит для этого мусора тратить место в вики.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн Dzhoser

  • Автор темы
  • Старожил
  • *
  • Сообщений: 2073
    • Просмотр профиля
Re: Безопасность локальной ЭВМ
« Ответ #4 : 25 Декабрь 2018, 22:23:33 »
Набор инструкций без малейшей привязки к контексту, без пояснений, словно это что-то само собой разумеющееся?
Не стоит для этого мусора тратить место в вики.
Можно поконкретней, что именно непонятно в контексте везде присутстует описание, что для чего...

Оффлайн ARTGALGANO

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 1936
    • Просмотр профиля
Re: Безопасность локальной ЭВМ
« Ответ #5 : 25 Декабрь 2018, 22:31:38 »
grub-md5-crypt для бионик нету....

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 27366
    • Просмотр профиля
Re: Безопасность локальной ЭВМ
« Ответ #6 : 25 Декабрь 2018, 22:43:34 »
Отсутствует описание того, за[цензура] это вообще делать, какие риски это снижает и какие недостатки у всего этого.
А голые команды тривиально гуглятся по ключам за 5 минут.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн Dzhoser

  • Автор темы
  • Старожил
  • *
  • Сообщений: 2073
    • Просмотр профиля
Re: Безопасность локальной ЭВМ
« Ответ #7 : 25 Декабрь 2018, 22:56:12 »
grub-md5-crypt
Тогда можно использовать команду openssl passwd -1
Пользователь добавил сообщение 25 Декабрь 2018, 23:06:04:
Пароль на grub для предотвращения загрузки ззлоумышленника в режиме рекавери и несанкцианированной загрузки ОС.
Отдельные дисковые разделы для создания опций монтирования для каталога boot это отсутствие записи (защищает от подмены ядра) ,в остальных рекомендуемых разделах устанавливаются опции с запретом запуска исполняемых програм, устройств. Более подробно в гугле.
В макросах может содержаться вредносный код
Отключение доступа к консоли пользователей которым она не нужна уменьшает вектор локальной атаки
ptrace может использоваться для внедрения в другие процессы
Остальная информация приводится в коментариях.

Пользователь добавил сообщение 25 Декабрь 2018, 23:10:48:
недостатки у всего этого
На самом деле усиление безопасности снижает удобство. Снижение удобства повышает усталость. Повышение усталости снижает добросовестность.Делать или нет каждый решает сам.
« Последнее редактирование: 25 Декабрь 2018, 23:10:48 от Dzhoser »

Оффлайн Heider

  • Старожил
  • *
  • Сообщений: 1250
    • Просмотр профиля
Re: Безопасность локальной ЭВМ
« Ответ #8 : 27 Декабрь 2018, 22:32:00 »
Какая-то совсем куцая рабочая станция получается. Без vim, без браузеров, без макросов в офисе, без 1С. Что делать на ней? В пасьянс-косынку играть?

Пользователь добавил сообщение 27 Декабрь 2018, 23:28:19:
Разделы /home /tmp /var/tmp рекомендуется монтировать с опциями: noexec,nodev,nosuid (данные опции прописываюстся в файле /etc/fstab)
Это не имеет смысла. В /home содержится масса скриптов, причем, в неисполняемых файлах, которые не запускаются напрямую, а с целью персональных пользовательских настроек включаются в файлы инициализации различных приложений и служб. Например: .bashrc, bash_logout, .xinitrc, .vimrc и прочих.
« Последнее редактирование: 27 Декабрь 2018, 23:28:19 от Heider »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 27366
    • Просмотр профиля
Re: Безопасность локальной ЭВМ
« Ответ #9 : 28 Декабрь 2018, 01:17:41 »
Да я сразу сказал, что место этому бреду там же, где остальным "статьям" автора…
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн maks05

  • Старожил
  • *
  • Сообщений: 6780
    • Просмотр профиля
Re: Безопасность локальной ЭВМ
« Ответ #10 : 28 Декабрь 2018, 09:13:28 »
Да я сразу сказал, что место этому бреду там же, где остальным "статьям" автора…
Ну, я бы не был так категоричен. Хотя...

Главный бред здесь, как и у большинства "оптимизаторов" - это поудалять всё и вся, ибо "не нужно" и "опасно". А фикус в том, что никогда не знаешь, что и когда тебе понадобится. Тот же CUPS, особенно на ноутбуке: мало ли где и что потребуется распечатать. Ну и т.д. Мне вот однажды Windows7 на нетбуке спустя 3 года после покупки потребовалась: пришлось идти в сервисе лицензию восстанавливать, потому как до этого, на радостях от установки Ubuntu (10.10), снёс всё подчистую, включая резервные разделы. Не стоит рубить концы.

А вопросы безопасности решаются другими способами: правильная настройка браузера, "гигиена" в части носителей и доступа в сеть, установка брандмауэра, сложный пароль на систему (не сгенерированный, а придуманный лично), создание учёток для разных пользователей. Ну и для параноиков и спецслужб существуют специальные дистрибутивы.

Проголосовал за "Не нужна". В таком виде, не-а, не нужна.

« Последнее редактирование: 28 Декабрь 2018, 18:05:47 от maks05 »

Оффлайн Dzhoser

  • Автор темы
  • Старожил
  • *
  • Сообщений: 2073
    • Просмотр профиля
Re: Безопасность локальной ЭВМ
« Ответ #11 : 28 Декабрь 2018, 09:28:48 »

Это не имеет смысла. В /home содержится масса скриптов, причем, в неисполняемых файлах, которые не запускаются напрямую, а с целью персональных пользовательских настроек включаются в файлы инициализации различных приложений и служб. Например: .bashrc, bash_logout, .xinitrc, .vimrc и прочих.

На тестовой машине браузер и vim запускаются с этими настройками безопасности. Все что Вы перечислили запускается по факту с каталога /usr/... c настройками пользователя. 1С не имею, возможности проверить нет. Обычно такие программы должны запускаться с раздела /opt.


Пользователь добавил сообщение 28 Декабрь 2018, 09:43:24:
А вопросы безопасности решаются другими способами: правильная настройка браузера, "гигиена" в части носителей и доступа в сеть, установка брандмауэра, сложный пароль на систему (не сгенерированный, а придуманный лично), создание учёток для разных пользователей. Ну и для параноиков и спецслужб существуют специальные дистрибутивы.
Ну дополните инструкцию Правильной настройкой браузера и гигиеной в части носителей.
Р.S. Тут форум ubuntu и следовательно инструкция для нее...

Пользователь добавил сообщение 28 Декабрь 2018, 09:49:44:
Главный бред здесь, как и у большинства "оптимизаторов" - это поудалять всё и вся, ибо "не нужно" и "опасно". А фикус в том, что никогда не знаешь, что и когда тебе понадобится. Тот же CUPS, особенно на ноутбуке; мало ли где и что потребуется распечатать. Ну и т.д.
Ничто не помешает Вам откатить настройки назад...
« Последнее редактирование: 28 Декабрь 2018, 09:49:44 от Dzhoser »

Оффлайн Heider

  • Старожил
  • *
  • Сообщений: 1250
    • Просмотр профиля
Re: Безопасность локальной ЭВМ
« Ответ #12 : 28 Декабрь 2018, 11:22:28 »
Все что Вы перечислили запускается по факту с каталога /usr/... c настройками пользователя.
Вы не поняли. Я не об этом. Вы хотели запретить пользователю запускать исполняемые файлы опцией монтирования --noexec? Какой в этом смысл, если в домашней папке с доступом на изменение пользователем хранятся фрагменты скриптов? Что помешает пользователю внести в любой из этих файлов свой вредоносный код обычным текстовым редактором? Или текстовые редакторы Вы тоже хотите запретить?

Оффлайн Dzhoser

  • Автор темы
  • Старожил
  • *
  • Сообщений: 2073
    • Просмотр профиля
Re: Безопасность локальной ЭВМ
« Ответ #13 : 28 Декабрь 2018, 12:14:19 »
Текстовые редакторы не блокируются. Если злоумышленник уже попал в систему тут как говорится ничего не поможет. Но эта настройка спасет например от скомпилированной программы которая может aвтоматически запускаться с каталога tmp или пользователем из home, например вредоносный код на флешке. По крайне мере блокирование исполняемых файлов усложнит атаку... Для предотвращения таких атак готовится статья по анализу целостности системных файлов.
« Последнее редактирование: 28 Декабрь 2018, 12:17:54 от Dzhoser »

Оффлайн Heider

  • Старожил
  • *
  • Сообщений: 1250
    • Просмотр профиля
Re: Безопасность локальной ЭВМ
« Ответ #14 : 28 Декабрь 2018, 13:18:40 »
Dzhoser, Вы не ответили на вопрос. Каким образом будут защищены скрипты в /home ?

 

Страница сгенерирована за 0.298 секунд. Запросов: 27.