Grundläggande linuxsäkerhet 2024

För lite över 10 år sedan skrev användaren .Chloe en tråd med samma namn ( (FB) Grundläggande Linuxsäkerhet).

Sedan några år verkar .Chloe tyvärr försvunnit från forumet, men hans kunskap och inlägg har sannolikt hjälp väldigt många av oss att lära oss mer om IT-säkerhet.

Flera år har dock gått sedan han skrev sitt senaste inlägg och då saker förändras med tiden behövs det en ny guide på samma tema. Även om principerna är nära identiska har mycket hänt, och därför är min ambition att skriva en ganska omfattande guide på detta tema.

Skillnaden från .Chloes förträffliga guide och min kommer dock vara att jag kommer göra min guide i flera delar där varje del av guiden kommer vara en separat guide med så pedagogiska och tydliga steg-för-steg instruktioner som möjligt.

Den här tråden är därför skapat för att få så mycket feedback som möjligt från er i communityn.

De övergripande kapitlen kommer vara enligt följande:

1. Lokalt skydd:
- Kryptering: LUKS (Linux Unified Key Setup)
- USB-enhetssäkerhet: USBGuard (Skyddar mot skadliga USB-enheter genom att tillämpa strikta policyer som bestämmer vilka USB-enheter som får anslutas till systemet.)

2. Brandvägg:
- nftables: Grundläggande verktyg för paketfiltrering.
- Firewalld: Dynamisk brandväggsadministration som integrerar med nftables/iptables.

3. Intrångsdetektering och förebyggande:
- IPS/IDS: Snort
- Automatiserad inloggningsförsvar: Fail2ban (skyddar mot brute-force attacker genom att övervaka loggar och blockera IP-adresser baserat på misslyckade inloggningsförsök)

4. Säkerhetssystem för tillgångskontroll:
- AppArmor: Begränsar applikationers åtkomst till resurser.
- AppArmor-utils: Verktyg för hantering och konfiguration av AppArmor-profiler.
- AppArmor-profiles: Förkonfigurerade AppArmor-profiler för olika applikationer och tjänster.

5. Applikationsisolering:
- Firejail: Används för att skapa lättviktiga sandboxes för att isolera applikationer, vilket minimerar riskerna vid testning och användning av osäker mjukvara.

6. Dataintegritetsskydd:
- Chattr: Verktyg för att ställa in filattribut som omutbara, vilket skyddar kritiska filer från att ändras eller raderas, även av root-användare.

Om det finns tillräckligt intresse kommer jag eventuellt knåpa ihop ett bash-script som kan automatisera så mycket som möjligt av detta, men i första skedet så blir det en manuell steg-för-steg guide.

Nu behöver jag dock feedback från er i communityn om ni tycker jag missat något vitalt, eller om mina val av komponenter på något sätt borde ändras så skriv så tangenterna blöder så lovar jag att göra allt jag kan för att vi ska få en så bra och komplett guide som möjligt om grundläggande linuxsäkerhet, 2024 edition.

Använd Fedora Workstation med Brace eller Fedora Silverblue med Secureblue. Då får du hardened malloc och en massa andra vettiga säkerhetsfunktioner istället för en massa teater i form av saker som mest drar RAM.

För extrem säkerhet, kör Qubes OS.

Varför AppArmor istället för inbyggda SELinux?

AppArmor är användarvänligare och enklare än SELinux för casual användaren men erbjuder fortfarande likvärdig säkerhet eller bättre beroende på vad man tar hänsyn till.

Menar du detta: https://github.com/divestedcg/Brace?

Både Brace och Secureblue är ganska okända projekt om vi ska tro GitHub. Secureblue verkar enbart fungera på Fedora vilket skulle ta bort syftet med en guide om grundläggande linuxsäkerhet. Brace verkar ha en hel del funktioner så det ska jag absolut titta närmare på.

Tack för tipset!

Ja det är den jag menar.

Det är enligt mig vettigaste vägen att gå dock. Alternativet är att sminka en gris vilket aldrig lär ge dig samma säkerhet som typ hardened malloc erbjuder.

Ja, tack! Skrotade nyligen Windows när min mobil blev hackad och jag började noja att det skulle finnas rootkits å skit på datorn. Gick tillbaka till Linux efter 20 års uppehåll, men insåg fort att jag inte längre kan ett skit. När jag har försökt ta reda på hur det förhåller sig med säkerheten får jag bara upp en massa tio år gamla självgoda sidor om att linux "inte får virus", samtidigt som jag läser veckovis på the hacker news att linux absolut får virus. Så känner mig vilse, utan en susning om hur jag ska säkra upp min laptop och nätverk. Ser mycket fram emot detta, tack på förhand!

Några förslag:

- Använd starka passwords

- Heldiskskryptering med LUKS (som nämnts), filkryptering med GPG

- Uppdatera repositorier och OS regelbundet


- Stärk SSH genom exempelvis förhindra root login, och använd SSH keys vid inloggning på server

- Granska loggar, särskilt auth.log för externa/interna inloggningsförsök


- Använd inte standardportar för att försvåra portscans

- Ta backups ofta till extern krypterad disk

- Kör kritiska applikationer i VM och över VPN/TOR

- Pentesta ditt system med olika metoder

- Kör en säker webbläsare

Diskuterades en ny attack mot vpn appar på hacker news nyligen
https://arstechnica.com/security/2024/05/novel-attack-against-virtually-all-vpn-apps-neuters-their-entire-purpose/

Intressant läsning, det görs via DHCP tydligen, men det i artikeln som är tillämpbart för den här tråden är följande:


och...


Från Wireguard:

Så se till att ni använder en VPN som kör Wireguard.

Edit: kan kräva manuella anpassningar.

Bra förslag, ska se vad jag hinner få med i första revisionen av guiden. Målgruppen är främst den vanliga användaren, som använder linux idag som sitt desktop och för dem som vill testa linux så ämnen som exempelvis går igenom hur man sätter upp en säker webbserver i jail kommer inte ingå i denna första version. Tar dock med mig alla förslag, för jag hoppas verkligen denna guide kan bli ännu mer omfattande längre fram. I nuvarande skick är guiden på hela 15 sidor, men då rör de första 13 sidorna inte säkerhet mer än ytligt utan går istället igenom hur man installerar Linux och anpassar det för sina behov. Utöver de första 13 sidorna har jag skrivit två sidor som rör nftables och firewalld. Det kommer sannolikt bli ytterligare någon sida på detta tema som tar upp de relativt nya funktionerna nftables flowtable som kan snabba på packethanteringen och Zone Priorities som låter användare påverka ordningen på hur nätverkspaket klassificeras in i olika zoner.

Om det finns intresse kan jag lägga ut ett utkast för enbart detta kapitel för att samla in feedback från er.

Tack också för inlägget som rör den diskussion som användaren siljaeuropa94 länkar till. Att ha ett kapitel som handlar om kommunikationssäkerhet känns faktiskt viktigt att få med redan i första revisionen av guiden. Exempelvis hur man surfar mer säkert, och hur man installerar och använder VPN, motverkar dns-läckor mm...

Den hade jag missat, tack för länken.

Snabbläste artikeln nu, och det verkar som sagt vara ganska utmanande att få ett heltäckande skydd mot detta. Man skulle eventuellt kunna säkra kerneln genom att köra med sysctl net.ipv4.conf.all.accept_source_route=0, men frågan är om det verkligen skulle hjälpa då DHCP Option 121 manipulerar routningstabellen på ett legitimt sätt som operativsystemet inte skulle betrakta som källruttning, utan snarare som en vanlig routningsuppdatering.

Ska defnitivt titta mer på detta.

Uppdatering
Verkar som Linux-LTS kernel redan har denna inställning satt till 0