Linux & Säkerhet

Tänkte att en säkerhetstråd rörande Linux vore bra.
Vet inte hur mycket du kan om säkerhet rörande Linux och jag är ingen expert, men jag har lärt mig en hel del, så jag tänkte dela med mig.

Tripwire

Först vill jag slå ett slag för - File Integrigy Checker - och jag anser inget Linux system borde köras utan denna säkerhetslösning.
Tripwire är ett sådant program och det fungerar på följande sätt.

Tripwire - File Integrity Checker - ger varje existerande fil på hela operativet en checksum eller unik nyckel - typ ett identifikations nummer för varje fil - sen om du eller någon annan ändrar någon fil på systemet så kommer checksum eller det unika nyckel numret att ändras och visa att filen blivit modifierad, ändrad.
Så tripwire installerar en karta med alla dessa nycklar på din dator för alla filer, sedan sparar du en kopia på en databas som du sparar på en USB sticka, så databasen har inte fysisk tillgång till datorn.

På så sätt kan inte en hackare eller script kid ändra eller göra intrång i ditt system utan att du märker det, för dom kan inte hacka Tripwire och dölja sitt intrång eller hack, för du har databasen på en USB nyckel, vilken du kopplar till datorn när du vill kolla att inga filer har ändrats.
Tripwire kategoriserar olika viktiga filer i olika klasser som HIGH, MEDIUM, LOW.

Med Tripwire behöver man inte oroa sig för rootkits eller annan tänkbar trojan, eftersom ingen kan ändra i systemet utan att det syns.
Tripwire förhindrar inte ett eventuellt intrång eller hack, men visar att det sket så du har vetskap om det.

Tripwire har inte uppdaterats sen lång tid tillbaks och det behövs inte för det finns inga kända säkerhetshål eller dylikt, ett säkert och solid säkerhetsprogram.

FireJail

Kärnan eller root systemet på Linux är ju jätte säkert och 70% av alla internet servrar kör ju Linux kärnan, så sker det ett intrång så är det mot förmodan genom programvaras svagheter genom aktivt internet användande och på så sätt får tillgång till din dators filer eller hacka på något annat sätt.

FireJail skapar en isolerad miljö där du kan köra dina program i ditt Linux system utan att programmen har eller får tillgång till det övriga Linux systemet, alltså är programmen i FireJail isolerade i en container eller sandbox.
Så om någon hittar t.ex. en svaghet med Firefox eller GoogleCrome och försöker den vägen få tillgång till din dators filer eller implantera spion program så går inte det eftersom Firejail är en isolerad miljö, låda i ditt system och har inte tillgång till övriga systemet, samt allt raderas när du stänger programmen och FireJail.

Logwatch

Att läsa loggar och följa dom dagligen för sitt system kanske bara är användbart om man kör en Linux server, men Logwatch fungerar även med Desktop, eftersom du får en daglig rapport skickad till din epost med loggar och om ett försök till root tillgång på datorn misslyckas får du en separat log varning skickad till din epost, bland andra funktioner.
Så nöjer man sig inte med Tripwire och Firejail så kan man även installera Logwatch.

ClamAv

Virus finns i en så liten skala att det inte ens är nämnvärt, men vill man i alla fall köra ett antivirus program till Linux så finns det två gratis varianter som jag vet fungerar.
ClamAv och Avast.

MVH

Eller ännu bättre, varför ens ha ett antivirus till att börja med? Inte direkt så mycket de kan göra utan root access ändå. Vidare är antalet virus för Linuxmaskiner ganska sällsynt. Vidare om man använder sunt förnuft så slipper man virus helt.

Förstår helt enkelt inte varför man ska fylla datorn med en massa skräp som egentligen inte behövs.

Intressant tråd, och tre program jag inte kände till. Men jag håller med Snusburkens. Vad finns det för anledning att ha antivirusprogram som bara segar ner datorn?

Dom två huvudsakliga anledningarna till att man får virus är att man antingen själv laddar ner program som har skadlig kod. Eller genom sårbarheter på systemet (zero-day attacks) vilket antivirusprogram inte skyddar en emot ändå. Är en sårbarheter i systemet känd så patchas den förhoppningsvis så fort som möjligt. Och behovet av antivirusprogram icke-existerande, så länge man regelbundet uppdaterar sitt system.

På tal om Firejail och Google Chrome:
https://chromium.googlesource.com/ch..._sandboxing.md
Chrome använder redan de flesta funktioner som Firejail erbjuder, något även Firejail själva nämner på deras sida.

Vill nämna att jag har lyckats installera och konfigurera både Tripwire och Logwatch.
Min guide för Tripwire är den enda jag kunnat hitta på internet som visar hur du installerar Tripwire databas på en USB sticka, så ingen kan göra intrång i datorn samt ingen möjlighet att dölja sitt intrång utan att du märker det. Den finns på Ubuntu dot se under användarguider i sektionen installation.

Där finns även en fungerande guide för hur man installerar och konfigurerar logwatch.
Hitta massa guider på internet, men ingen fungerande guide som fick allt att fungera, men jag löste det till slut. Med den guiden får du loggarna skickade till din epost varje dag samt logwatch skickar extra alarm logg om någon försöker knäcka ditt root lösenord med misslyckade försök.

Det finns en annan variant än Tripwire - file integrity checker - med GUI som heter Afick.
Har inte lärt mig den men sett att det finns en guide på internet.

Ska även nämna att rootkits behöver inte RootKitHunter eller något Antivirus.
För ingen kan mixtra eller ta bort eller lägga till något i kärnan utan att tripwire noterar detta.
Visar vart och när och hur det skett om det sker.

Sammanfattning.

1. Alltid uppdaterat system
2. UFW inbyggd brandvägg
3. Tripwire
4. Firejail
5. Krypterad Home Folder
6. Ett bra Unix backup lösning, finns fler att välja emellan.
7. VPN jag använder SecurityKISS bra fungerande Linux installation guide.

Ytterligare programvara är överkurs eller för den som tycker det är roligt med säkerhet.

8. Logwatch
9. ClamAv eller Avast
10. Krypterings verktyg för att kryptera material som man laddar upp i molnet, typ Googel Drive


MVH

Det beror ju helt på hur systemet är konfigurerat (och då frånser jag helt användningsområdet). Rand ex: dev på home, suids tillåtna överallt, 770/776/777 på rootpaths - ofta resultat på att huvudmannen blindt följt nån tutorial, kört fast och saxat lite andra kommandon från SO.

Finns dessutom gott om virus, aktiva ring0 exploits, och ransomwares för klåparna att snubbla över. Att påstå att virus/trojaner/malware/spyware är sällsynta i linux-mijöer är en förbannad lögn som resulterar att folk inte ser efter sitt eget hus.

Huruvida man vill tillämpa aktivt viruskydd låter jag vara upp brukarens bedömning. ClamAV finns som standalone binär, är erkänd och används i produktion. Kasta på ett par inotify events som triggar vid nerladdningar eller inkommande mail, be a bit safer

Ja för privilege escalation buggar är otänkbara i linux. Aldrig funnits sånt i linux. Suck!

Jag tycker det är en ganska naiv inställning. Numer är det exemeeplvis vanligt med macrovirus som utnyttjar applikationer istället för OS. Dessutom är Linux och linuxliknande system extremt vanliga i inbyggda system och mobiltelefoner och det finns därav en stor marknad för virus, trojaner, botnät mm.

På mobiler är virus fruktansvärt ovanligt då säkerheten ändå är betydligt bättre på mobiler än på desktops. Knappt värt att bry sig om egentligen, i alla fall om man kör en enhet som uppdateras ofta så som Nexus eller Pixel.
Även på Linux till datorer är säkerheten bra, förutsatt att man använder program som drar nytta av funktionerna som finns. Seccomp med mera hjälper att säkra exempelvis Chrome på Ubuntu.

Sårbarheter finns såklart till allt, men av dessa finns oerhört få till Linux då säkerheten är ett rejält steg över Windows gamla win32-program.

Kanske inte, men det kan vara skönt att ha t.ex. ClamAV för att kunna scanna efter virus som eventuellt kan drabba en Windows dator, ifall man för någon fil vidare.

Någon som hunnit läsa på om säkerheten apropå Vault7 och CIA-läckorna? Det lilla jag hunnit skumma igenom berör väl mest Ubuntu-distron. Vore kul om någon hade insikt i övriga distros.

Var hittar du nåt specifikt om Ubuntu? Den stora nyheten var väl att de hade tools för att komma in i Android- och iOS-telefoner?

För övrigt lär knappast något operativsystem vara säkert om NSA eller CIA bestämmer sig för att ta sig in i systemet.