Grundläggande linuxsäkerhet 2024

Till punkt 2. (Brandvägg) kanske man ska lyfta fram lämpligheten att ha en bra router (med bra och uppdaterad firmware), att ha på brandväggen i (den ofta Linux-kontrollerade) routern, förutom att ha på mjukvarubrandväggen på Linux-enheten. Dessutom att inte använda port forwarding i routern om inte strikt nödvändigt.

Punkt 3 (nätbaserat intrångsförsvar) är ju enbart aktuellt för de fall där det är strikt nödvändigt att alls låta enheten ta emot inkommande trafik. Annars är väl utgångspunkten att man spärrar inkommande paket helt. Så billigt som det är att köpa in en "mini-server" idag genom t.ex. en Rpi så kan man ofta (dock beroende på användningsområde) lika gärna skapa en separat server där inkommande trafik godkänns, istället för tillåta inkommande trafik på din dagliga enhet.
Jag har även en mini-server utan någon port forwarding uppsatt i Routern, vilket innebär att servern enbart kan användas inom LAN, detta gäller saker som jag

Om man nu måste ha möjlighet till extern inkommande trafik kan man lägga till publika/privata nycklar, port knocking och om möjligt överväga IP whitelist.

Det var inte mycket till "guide". Det som postats hittills är bara en väldigt väldigt väldigt kort lista på applikationer.

Om det finns en efterfrågan efter en rejäl guide om server/Linuxsäkerhet så kan jag skriva ihop en. Hur många här på FB är intresserade av det då? Tror tyvärr inte många bryr sig. Men om det finns ett intresse kan jag fixa det. Har lite över ett decennium av profesionell yrkeserfarenhet av detta.

Gällande CVE:n "TunnelVision" så har Mullvad skrivit om detta:
https://mullvad.net/en/blog/evaluati...f-tunnelvision

Och om du använder någon annan VPN än Mullvad, eller ProtonVPN, då får du skylla dig själv.

Men vad har VPN med Linuxsäkerhet att göra? Inte särskilt mycket.
Om integritet är av intresse, använd isåfall TOR med Whonix.

När det gäller brandvägg har du självklart helt rätt i att det är viktigt att hålla sin router uppdaterat och att granska sina inställningar. Även om det kanske ligger i gränslandet för en guide om grundläggande linuxsäkerhet förstår jag din poäng. Ska därför försöka få med något om detta i första revisionen av guiden då folks hemma-router trots allt är något av första linjens försvar.

När det gäller din andra punkt om inkommande trafik håller jag med om att principen ska vara att tillåta så absolut lite som möjligt. I utkastet som jag jobbar på nu rekommenderas att ställa in DROP som standardzon, och därefter lägga till regler för sådant som man absolut vill tillåta. Grundprincipen är helt enkelt att det är bättre att använda ALLOW-list än DENY-list lite förenklat uttryckt.

På Blackarch kan man även kryptera hårdisken vid installation, är ett tips!

Inget unikt för Blackarch, går att göra även för riktiga arch och sannolikt flertalet andra distros också.

Jag skulle uppskatta en komplett guide om du kan tänka dig att dela med dig.

Gällande den sista meningen så håller jag med dig, men det är oklart i övrigt vad du vill tillföra. Självklart finns ett intresse angående vad du kan delge. Jag har insett hur pass brett området cybersäkerhet är, och det kan ju inte avgränsas till ett enda distro, eller OS. Tråden lider alltså från första början av ett betydande avgränsningsproblem.

Förstår att en sådan här tråd kan dö ut ganska snabbt om den inte fylls på med innehåll. Tyvärr har jag vart upptagen på med annat, och inte hunnit skriva så mycket mer på guiden, men för att hålla tråden levande lägger jag ut kapitlet om brandväggar redan nu så får ni som har lust och kunskap gärna faktagranska det, och komma med inspel om vad ni tycker. I denna revision kommer jag använda Arch Linux som grund, men att översätta så guiden även fungerar för andra distributioner ligger på att-göra-listan och för just detta kapitel är det inte särskilt komplicerat arbete.

Introduktion till brandväggar
Det finns i princip två typer av brandväggar. Nätverksbaserade brandväggar som ska skydda hela ditt nätverk, och värdbaserade vars uppgift enbart enbart är att skydda datorn den är installerad på. En router med inbyggd brandvägg är att betrakta som en nätversbaserad brandvägg medan en brandvägg som är installerad på en dator är en värdbaserad brandvägg. Det vanligaste idag är att använda sig av båda typer av brandväggar samtidigt.

Nätverksbaserad brandvägg
Det primära syftet med denna brandvägg är att hindra oönskad trafik från internet att ta sig in i ditt privata hemmanätverk genom regler du själv bestämmer. Dessa regler brukar kallas för Access Control List (ACL). I korthet och något förenklat kan du som administrerar brandväggen skapa regler som exempelvis ser ut enligt följande:

+---------------+----------------+----------+---------------+------+
|Permission | IP Adress | Protocol | Destination | Port |
+---------------+----------------+----------+---------------+------+
| ALLOW | 194.213.118.43 | TCP | 192.168.0.100 | 80 |
| ALLOW | 194.213.118.43 | TCP | 192.168.0.100 | 443 |
+---------------+----------------+----------+---------------+------+

Dessa regler kommer tillåta trafik från en dator utanför ditt nätverk med IP-adress 194.213.118.43 att kommunicera med din dator på nätverket med interna IP-adressen 192.168.0.100, men enbart på port 80 och 443, vilka är standardportarna du kommer använda om du driver en egen webbserver hemma i vardagsrummet. Ovanstående regler baserade på IP-Adress, men du kan även bestämma regler för flertalet brandväggar utifrån domännamn, protokoll och portar mfl…

Värdbaserad brandvägg
En värdbaserad brandvägg är den du har installerat på datorn. Kör du Windows använder du sannolikt redan Windows Defender som följer med installationen. Kör du Linux är det inte säkert att du använder någon brandvägg alls beroende på vilken distro du installerat, men flertalet brukar ändå komma med nftables som förinstallerat.

Oavsett vilken värdbaserade brandvägg du använder är syftet att skydda datorn den är installerad på. Reglerna är i grunden de samma som för nätverksbaserade brandväggar och kan exempelvis se ut enligt följande:

+---------------+---------------+----------+---------------+------+
| Permission | IP Adress | Protocol | Destination | Port |
+---------------+---------------+----------+---------------+------+
| ALLOW | 192.168.0.110 | SSH | 192.168.0.100 | 22 |
+---------------+---------------+----------+---------------+------+

Denna regel kommer tillåta en dator i ditt hemmanätverk med IP-adressen 192.168.0.110 att ansluta till din dator med adress 192.168.0.100 med ssh. Det kan exempelvis vara praktiskt om du har en linuxserver stående i en garderob utan skärm att kunna administrera den utan att behöva fysisk tillgång till den.

Värdbaserad brandvägg – nftables och firewalld

Installera nftables – backend för firewalld

Aktivera automatisk uppstart och starta nftables

Installera firewalld – frontend för nftables

Aktivera automatisk uppstart och starta firewalld

Sätt standard zonen till "drop" för att blockera all inkommande trafik

Lägg till den utgående trafiken som behövs för webbsurfning

Tillåta trafik och kommunikation inom ditt nätverk
Här finns det ett par olika alternativ. Alternativ ett, som är smidigt men som förutsätter att du litar på alla enheter i ditt lokala nätverk, alternativ två som kräver att du väljer vilka enheter du ska lita på, alternativ tre som är det säkraste alternativet av dessa är att sätta upp regler där du endast tillåter specifika tjänster från specifika enheter inom nätverket. Ett fjärde alternativ är så klart att inte tillåta någon trafik alls från dina övriga datorer och enheter på nätverket till din dator. Det är uppenbart det absolut säkraste, men rekommenderas enbart om du vet med dig att du inte har något behov av att tillåta trafik från andra datorer i ditt hem. Väljer du att inte tillåta någon trafik alls kan du hoppa över nedanstående alternativ och gå direkt till att starta om din brandvägg.

Nedanstående alternativ förutsätter att ditt subnät är 192.168.0.0/24, dvs att din router finns på 192.168.0.1 och delar ut IP adresser i scoopet 192.168.0.1-192.168.0.255. Om din router exempelvis finns på 192.168.1.1 får du ändra subnät i nedanstående kommando till 192.168.1.0/24.

Alternativ 1 – Tillåta all kommunikation från alla enheter inom det lokala nätverket

Alternativ 2 – Tillåta all kommunikation från en specifik enhet, i detta fallet 192.168.0.100

Alternativ 3 – Tillåt specifik tjänst från specifik enhet, i detta fall ssh från 192.168.0.100



Viktiga kommandon för att administrera firewalld

Kontrollera status på firewalld

Starta firewalld

Stoppa firewalld

Aktivera firewalld vid systemstart

Läsa loggfilen med journalctl

Övervaka firewalld i realtid

Öppna en port (till exempel port 80 för HTTP)

Stänga en port

Ladda om firewalld för att tillämpa ändringar

Visa aktiv zon

Byta till en annan zon (till exempel "home")

Visa regler och öppna portar för en specifik zon (till exempel "public")

Visa regler och öppna portar för den aktuella zonen

Lägga till en tjänst (till exempel SSH) permanent till en zon

Ta bort en tjänst (till exempel SSH) permanent till en zon

Aktivera logging för nekade paket

Inaktivera logging för nekade paket


Feedback

UPPDATERING

Nu finns ett reviderat kapitel om linux och brandväggar publicerade här: Guide

Feedback är välkommet från alla, både gällande de tekniska delarna, men också om ni utan större förkunskaper känner att den är lätt att följa och förstå.