На ежегодной конференции LinuxCon в 2015 году создатель ядра GNU/Linux Линус Торвальдс поделился своим мнением по поводу безопасности системы. Он подчеркнул необходимость смягчения эффекта от наличия тех или иных багов грамотной защитой, чтобы при нарушении работы одного компонента следующий слой перекрывал проблему.
В этом материале мы постараемся раскрыть эту тему с практической точки зрения:
Максимум вреда для зашифрованных соединений HTTPS или SSH - прерывание соединения, а вот в незащищённый трафик злоумышленник может поместить новое содержимое, в том числе вредоносные программы. Для защиты от подобных атак подойдёт firewall.
Блокировать доступ с помощью Firewall
Firewall - это один из самых важных инструментов блокирования нежелательного входящего трафика. Мы рекомендуем пропускать только действительно нужный трафик и полностью запретить весь остальной.
Для фильтрации пакетов в большинстве дистрибутивов Linux есть контроллер iptables. Обычно им пользуются опытные пользователи, а для упрощённой настройки можно использовать утилиты UFW в Debian/Ubuntu или FirewallD в Fedora.
Если ваша система настроена через inetd, то в файле /etc/inetd.conf вы сможете отредактировать список фоновых программ «демонов», для отключения загрузки сервиса достаточно поставить в начале строки знак «#», превратив её из исполняемой в комментарий.
Если система использует xinetd, то её конфигурация будет в директории /etc/xinetd.d. Каждый файл директории определяет сервис, который можно отключить, указав пункт disable = yes, как в этом примере:
Service finger
{
socket_type = stream
wait = no
user = nobody
server = /usr/sbin/in.fingerd
disable = yes
}
Также стоит проверить постоянные процессы, которые не управляются inetd или xinetd. Настроить скрипты запуска можно в директориях /etc/init.d или /etc/inittab. После проделанных изменений запустите команду под root-аккаунтом.
/etc/rc.d/init.d/inet restart
Для входа в дата-центр все посетители должны проходить определенные этапы аутентификации. Также настоятельно рекомендуется использовать датчики движения во всех помещениях центра.
Например, инструменты Tripwire и Aide собирают базу данных о системных файлах и защищают их с помощью набора ключей. Psad используется для отслеживания подозрительной активности с помощью отчётов firewall.
Bro создан для мониторинга сети, отслеживания подозрительных схем действия, сбора статистики, выполнения системных команд и генерация оповещений. RKHunter можно использовать для защиты от вирусов, чаще всего руткитов. Эта утилита проверяет вашу систему по базе известных уязвимостей и может определять небезопасные настройки в приложениях.
О чем еще мы пишем:
Теги:
Из этого Сравнения.Часть их из более ранних Сравнений успели отпасть, поэтому здесь мы оцениваем дистрибутивы еще и по графику выхода релизов.
Кроме того, мы рассмотрим их механизмы обеспечения конфиденциальности оценим их в зависимости от обеспечиваемых аспектов безопасности: например, дистрибутив с защитой только от утечек в системе безопасности во время вашего пребывания онлайн будет оценен ниже, чем тот, что защищает вашу конфиденциальность оффлайн.
Документация и поддержка также сильно повысят шансы подобного спец-дистрибутива, как и простота в использовании, это мы тоже протестируем. И, наконец, поскольку целью является постоянное использование этих дистрибутивов в качестве настольных, мы протестируем их пригодность как повседневных дистрибутивов для выполнения обычных задач.
Приватность — одна из проблем, постоянно привлекающих наше внимание: на страницах нашего сайта вы уже читали о дистрибутивах, укрепляющих вашу конфиденциальность. И мы возвращаемся к ним снова. Наша одержимость этой темой сравнима с той ситуацией, когда Боб Марли явился на концерт через два дня после стрельбы в него и произнес знаменитую фразу:
«У тех, кто старается сделать этот мир хуже, нет выходных. Так почему они должны быть у меня?».
Точно так же, нет недостатка в любителях отследить все наши действия онлайн, и нам приходится предпринимать профилактические меры и задействовать все ресурсы, чтобы пресечь их попытки нарушить нашу конфиденциальность.
Все дистрибутивы в этом Сравнении были созданы специально, чтобы снабдить вас средствами защиты вашей приватности и предотвращения случайных утечек.
Подходы у них могут быть разные, и у каждого — свои достоинства и недостатки. Одни используют направление вашего WEB-трафика через хорошо известные сети анонимности типа ; другие применяют новаторские методы, такие, как безопасность посредством разбиения на части.
Кроме того, поскольку безопасность и анонимность идут рука об руку, использование этих дистрибутивов поможет защитить ваш компьютер от и других заинтересованных деанонимизировать вас или взломать ваш компьютер.
Какие механизмы они используют?
У , как и у его коллег, модифицированное ядро вместе с другими инструментами, например, DNSCrypt, для предотвращения имитации имени домена через аутентификацию коммуникаций между компьютером и DNS-преобразователем.
TENS еще включает приложение для шифрования и дешифрации отдельных файлов и целых директорий, и работает со смарт-картами Common Access Card (CAC) [Карта Общего Доступа] и Personal Identity Verification (PIV) [Удостоверения Личности] от Министерства обороны США для доступа к открытым не для всех сайтам правительства.
Построен вокруг Tor, открытой сети анонимных серверов для прикрытия вашей личности.
Tails также содержит инструменты, помогающие настроить сеть, и браузер с расширениями защиты конфиденциальности с солидной репутацией, плюс ряд ценных криптографических инструментов для шифрования дисков и онлайн-коммуникаций.
Эксплуатирует концепцию безопасности через изоляцию и поставляется в виде двух виртуальных машин. Смысл подобной формы в том, чтобы изолировать среду, в которой вы работаете, от точки доступа к Интернету.
Вдобавок Whonix направляет весь интернет-трафик через Tor. Благодаря подобной структуре, даже если один из компьютеров окажется скомпрометирован, выяснить ваш реальный IP-адрес будет невозможно.
Позиционируется как «компьютерная платформа для защиты от злоумышленника» и анонимизирует весь ваш интернет трафик, направляя его через сеть Tor. Ядро дистрибутива усиленно заплатками от проекта Grsecurity, что делает Subgraph OS более устойчивой к уязвимостям системы безопасности.
Помимо всего этого, дистрибутив запускает многие настольные приложения внутри песочницы, чтобы сократить риск в случае наличия бреши.
Аналогичный уровень всесторонней защиты вы найдете и в : он тоже сначала направляет все соединения с Интернетом через VPN, а затем передает их в сеть Tor. Kodachi также снабжен рядом инструментов для легкой замены идентификационной информации, например, страны выхода из Tor и перенастройки ваших DNS-серверов и прочего одним щелчком.
Дистрибутив шифрует соединение с DNS-преобразователем и включает хорошо известные инструменты шифрования и конфиденциальности для шифрования всех ваших локальных файлов, писем электронной почты и мгновенных сообщений. По окончании использования Kodachi удаляет следы этого использования с компьютера при выключении.
Как взаимодействуют с физическими дисками?
Персистентное хранение и конфиденциальность не слишком хорошо сочетаются друг с другом. Хотя все дистрибутивы в нашем Сравнении тщательно избегают взаимодействия с жесткими дисками на компьютере, некоторые дают вам возможность закрепить их, если, по вашему, преимущества постоянной установки перевешивают ее недостатки.
Единственным исключением является TENS , который вообще нельзя установить. Отсутствует механизм установки также и для Whonix . Проект предлагает несколько механизмов развертывания, самый удобный из которых — скачать виртуальные машины, которые функционируют как любой другой установленный дистрибутив.
Linux Kodachi включает скрипт установки, который помогает поставить дистрибутив на жесткий диск, как любой обычный дистрибутив Linux. Однако этот установщик весьма рудиментарен и использует GParted для нарезки диска. Вы также не можете изменить имя пользователя по умолчанию, иначе многие индивидуальные скрипты после установки работать не будут.
Tails особо заботится о том, чтобы не использовать жесткие диски компьютера, даже если на них есть место для свопинга, но включает программу установки, чтобы создать постоянный раздел на том же устройстве USB, с которого вы загружаетесь, или на другом USB-хранилище. Программа установки позволяет выбрать тип данных, которые вы хотите сохранить с помощью таких опций, как ключи SSH, настройки Pidgin, конфигурация Icedove и электронной почты, пакеты APT и т. д. У вас также есть опция создать папку для хранения любых персональных документов. Даже если вы создали постоянный том, Tails дает возможность загрузиться в первоначальную среду, если вам в данный момент не нужен доступ к вашим личным данным.
Нужны ли специальные навыки для работы с ними?
Приватность и анонимность — две разных концепции, которые часто путают. Приватность — это возможность придержать некоторые вещи исключительно за собой; и наоборот, анонимность — это когда вы не возражаете против того, чтобы другие видели ваши действия, но пусть никто не знает, что это именно вы.
Сохранение анонимности без нарушения конфиденциальности в Интернете требует определенного компромисса. Во первых, стоит ожидать меньшей скорости работы, поскольку пакеты данных кружат по всему миру, прежде чем прибыть на ваш компьютер. Во вторых, некоторые дистрибутивы придерживаются более строгой политики паролей, например, для сокрытия вашей информации для входа в систему или шифрования ваших файлов. Всё это не должно порочить удобство работы в Сети или на компьютере. Мы будем искать те дистрибутивы, которые обеспечивают максимальную безопасность при минимальных неудобствах.
Дистрибутив загружает сильно измененный рабочий стол Xfce, который отображает полезную информацию о системе прямо на рабочем столе, в том числе состояние и IPадрес VPN, MACадрес, IPадрес Tor, потребление CPU, данные памяти и трафика. Как только Kodachi установит соединение с Интернетом, вы сможете запустить Kodachi VPN, который также установит автоматическое соединение с Tor.
Анонимный Linux дистрибутив Linux Kodachi
Опытные пользователи могут подключиться через собственный VPN. Дистрибутив также позволяет выбрать узлы выхода по странам с помощью опции инструментов Tor в доке. В доке имеются все приложения и инструменты частого пользования, например, Tor browser, инструменты VPN, инструменты DNS и приложения безопасности.
Пункт дока, отмеченный, как Pain Room, обеспечивает доступ к некоторым полезным инструментам конфиденциальности, таким, как возможность создавать новый MACадрес, очищать ОЗУ и освобождать место.
Простота в использовании - одна из целей дистрибутива, в частности, для его инструментов конфиденциальности, но без ущерба их эффективности. С этой целью он использует рабочий стол Gnome 3. Подключившись к Интернету, дистрибутив устанавливает соединение с сетью Tor. После подключения можно запускать Tor browser из Activities Overview. Subgraph не включает Tor browser по умолчанию, но скачает его, как только вы его запустите в первый раз.
Анонимный Linux дистрибутив Subgraph OS На первый взгляд дистрибутив выглядит, как любой другой рабочий стол Gnome. Однако набор приложений по умолчанию раскрывает его истинные намерения. Вместо обычных приложений для общения Subgraph предлагает их альтернативы, способствующие защите конфиденциальности, которые направляют всё общение через сеть Tor. Другое важное отличие в том, что разные приложения работают внутри изолированных песочниц, и вы можете отслеживать их с помощью значка с песочницей в меню состояния на верхней панели.
При запуске дистрибутива Tails показывает приветствие. Вы может выбрать использование Tails без каких-либо изменений. Но в таком случае программа приветствия позволит вам указать пароль для пользователя root и отключить спуфинг MAC-адреса, что на некоторых компьютерах вызовет проблемы при подключении к Интернету.
Анонимный Linux дистрибутив Tails Когда вы выйдете онлайн, Tails автоматически подключится к сети Tor. Можно щелкнуть по значку Tor в строке состояния, чтобы просмотреть каналы и потоки. После подключения можете использовать Tor browser.
Еще одна сеть анонимности, которая периодически противопоставляется Tor - I2P (Invisible Internet Project). Вы можете подключиться к I2P из Tails, передав загрузочный параметр i2p при загрузке. Дистрибутив подключится к сети I2P в фоне. Когда это будет сделано, запустите прилагающийся I2P Browser, который переместит вас в панель управления I2P на основе браузера.
Как мы уже упоминали ранее, Whonix является парой виртуальных устройств на основе Debian, и их нужно запускать одновременно на двух отдельных виртуальных машинах. Правила iptables на Whonix-Workstation вынуждают его подключаться только к виртуальной интернет LAN и перенаправлять весь трафик на шлюз Whonix-Gateway. Эта схема вообще не позволяет приложениям узнать реальный IP-адрес пользователя или получить доступ к любой информации на физическом оборудовании.
Анонимный Linux дистрибутив: Whonix При первом запуске оба устройства проведут вас через краткий мастер настройки, чтобы вы познакомились с проектом и настроили некоторые компоненты, например, репозитории. В дистрибутиве имеется значок для Tor browser, но он не предлагается по умолчанию; вместо этого значок выводит скрипт для его скачивания из списка стабильных, новых и укрепленных релизов. И, наконец, WhonixCheck сканирует текущую установку и проверяет подключение Tor.
После загрузки TENS первым делом, еще до входа в рабочий стол, попросит вас принять лицензионное соглашение. Хотя дистрибутив использует рабочий стол Xfce 4, он напоминает Windows XP. Всё - от структуры рабочего стола, дополненной кнопкой Windows Start, и до украшений окон - разработано так, чтобы копировать проприетарную ОС.
Анонимный Linux дистрибутив Trusted End Node Security Использование TENS довольно интуитивное. Одной из отличительных особенностей дистрибутива является приложение Encryption Wizard. После запуска вы можете перетаскивать файлы и создавать пароли для их защиты. Все файлы впоследствии шифруются, и их можно пересылать по электронной почте с помощью Thunderbird и Davmail, которые доступны через опцию Secure Email в меню приложений.
Меню также подверглось изменениям, оно группирует приложения по их функции, например, Security and Configuration [Безопасность и Настройка], что удобно для начинающих пользователей.
Что делать когда случается неизбежное?
Полезная документация и активные каналы поддержки играют важную роль в освоении любой программы. Особенно это верно для дистрибутивов для защиты приватности, которые частенько нас огорчают, предполагая необходимость обучения даже для тех, кто уже знаком с Linux.
Tails предлагает конечному пользователю углубленную документацию на разных языках с общей информацией, первыми шагами, часто задаваемыми вопросами и подробными объяснениями, чтобы выбыли в курсе всех общих вопросов, относящихся к конфиденциальности и важности шифрования. Здесь даже есть чат-рум XMPP, список рассылки по поддержке и форма для запроса функций.
Whonix тоже не бросит вас на произвол судьбы: его Wiki содержит подробную документацию. Дистрибутив также предлагает не сколько опций поддержки и имеет очень активный форум. Для помощи новым пользователям сайт TENS содержит несколько очень подробных FAQ, краткое руководство пользователя и справочник пользователя.
Linux Kodachi тоже имеет всю необходимую информацию для знакомства с дистрибутивом, включая руководство по установке и полезные советы по использованию.
Сайт Subgraph OS подробно объясняет разные функции, ориентированные на конфиденциальность, и имеется также иллюстрированный справочник в форматах ODF и HTML. Однако среди недостатков то, что TENS, Kodachi и Subgraph не имеют официальных средств поддержки - ни форумов, ни IRC. Иными словами, Subgraph пока что находится на самом начальном этапе.
Активно ли они поддерживаются?
Горькая правда о модели разработки открытого кода в том, что проекты выдыхаются и умирают. Это относится и к дистрибутивам безопасности и приватности, и уже было несколько весьма серьезных претендентов, которые либо погибли, либо впали в анабиоз.
Хотя обычно мы не оцениваем спец-дистрибутивы по состоянию их разработки, оно сыграет важную роль при оценке дистрибутивов в данном Сравнении. В конце концов, край не важно, чтобы выбранный вами дистрибутив не отставал от постоянно возникающих и развивающихся угроз вашей конфиденциальности - как онлайн, так и оффлайн.
Если вы с подозрением относитесь к новым проектам, вы, возможно, решите держаться подальше от Subgraph, несмотря на его прекрасную функциональность, поскольку проект находится на очень ранней стадии развития.
TENS, ранее известный как Lightweight Portable Security, обновляется регулярно, обычно посредством квартальных корректировочных версий. Аналогично, Linux Kodachi, разрабатываемый провайдером профессиональных ИТ-услуг в области безопасности, впервые вышел в 2013 г., но пребывал в состоянии спячки до 2016 г., и сейчас мы видим его релизы и обновления, выходящие регулярно.
Whonix выпускает свои релизы весьма активно с самого своего появления в 2012 г. и получает обновления каждые несколько месяцев. Далее идет Tails, являющийся одним из дистрибутивов безопасности с лучшей поддержкой, с быстрым темпом разработки и появлением новых релизов раз в несколько месяцев.
Как они прикрывают пользователя?
В TENS есть инструменты, позволяющие проводить аутентификацию со смарт-картами, выпущенными Министерством обороны США, и он включает публичную редакцию Encryption Wizard, созданного Исследовательской лабораторией ВВС США для шифрования документов и директорий.
Tails, помимо Tor, имеет AppArmor для изоляции приложений; PWGen для создания сильных паролей; для управления ими и AirCrackNG для аудита беспроводных сетей. Кроме того, в Tails имеются кошелек Electrum Bitcoin, Nautilus Wipe для безопасного удаления файлов и MAT для затирания метаданных в файлах. Менеджер обмена мгновенными сообщениями Pidgin снабжен плагином OffTheRecord (OTR), и для защиты от технологий восстановления информации дистрибутив использует скрипты для очистки ОЗУ при перезагрузке или выключении.
Whonix тоже использует Tor для сокрытия вашего IPадреса и обхода цензуры и включает MAT. Он использует анонимный одноранговый IM, Ricochet и удобное с точки зрения конфиденциальности сочетание клиентов электронной почты Thunderbird с TorBirdy. Однако Whonix куда менее забывчив, чем Tails, и дистрибутив не предпринимает никаких специальных мер для ограничения записи на диск и по умолчанию не шифрует сохраненные документы.
Linux Kodachi предусматривает пакет инструментов защиты конфиденциальности, и помимо Tor и VPN, там есть , VeraCrypt, Peer Guardian, инструменты для очистки ОЗУ, Enigmail, Pidgin OTR и много чего еще.
Subgraph OS запускает множество настольных приложений в песочнице безопасности Oz. Дистрибутив включает CoyIM для сквозного шифрования чатов Jabber с помощью OTR. Subgraph использует Ricochet и OnionShare, приложение анонимной одноранговой выдачи общего доступа к файлам. Далее имеется SubgraphFirewall, который применяет для каждого приложения политику фильтрования исходящих соединений и удобен для мониторинга непредвиденных соединений от приложений.
Пока Эдвард Сноуден не выступил со своими разоблачениями, подавляющее большинство считало тех, кто атаковал конфиденциальность, кем-то вроде цифровых преступников, находящихся как бы вне закона. Однако сейчас стало понятно, что мы находимся в самом разгаре информационной эры, когда нарушение нашей конфиденциальности является не только популярной бизнес-моделью, но и государственной практикой.
С учетом практики правительства США, касающейся конфиденциальности, трудно рекомендовать дистрибутив TENS, тем более при наличии куда лучших альтернатив. Одной из них является Whonix, который использует уникальный подход к обеспечению конфиденциальности, заключающийся в разбиении на категории. И хотя мы вполне можем себе представить опытных пользователей, осиливающих его настройку, нельзя ожидать того же от начинающих, которые, вероятно, даже не вполне осознают все связанные с этим проблемы.
Именно техническое превосходство дистрибутива идет вразрез с удобством в работе, предлагаемым такими его сотоварищами, как Tails, одним из самых известных в плане обеспечения конфиденциальности и безопасности дистрибутивов. Он основан на сети Tor, регулярно обновляется и предоставляет вам все необходимые инструменты для того, чтобы замести свои следы онлайн.
Однако и Linux Kodachi, и Subgraph OS затмевают остальных предлагаемой обоими защитой конфиденциальности. Оба используют среду песочницы для изоляции приложений друг от друга и ограничения отпечатка в системе, что размещает их среди лучших средств защиты вас и ваших данных. Оба дистрибутива также используют сеть Tor, но Subgraph превосходит Kodachi по предлагаемым программам.
Над Subgraph OS трудится команда разработчиков, имеющих опыт разработки приложений безопасности, и его одобрил даже Сноуден. Более того, не так давно Subgraph получил годичную поддержку разработки от Фонда открытых технологий . Не смотря на раннюю стадию разработки, Subgraph хорошо работает, но всё же победителем становится не он, поскольку даже его разработчики пока не рекомендуют его для промышленного применения.
И у нас остается Linux Kodachi, который мы и рекомендуем. Дистрибутив не отличается простотой установки, но предлагаемые им приложения и использование маршрутизации трафика через VPN перед направлением его в сеть Tor добавляет еще один уровень защиты и позволяет склонить чашу весов в его пользу.
Вам стало необходимо воспользоваться безопасной операционной системой, которая анонимно разместит вас в интернете? Ну, например как было сказано в для совершения банковских операций на чужом компьютере или в том случае, когда вам нужно анонимн
о
прибывать в
интернете
, но вы не может тратить много времени и возиться со сборкой специального программного обеспечения, тогда вы должны использовать специализированные дистрибутивы GNU/Linux систем.
Windows системы мало, чем помогут вам в этом ответственном деле, а общие системы Linux такие как Ubuntu, Fedora, Mint или SUSE в данном случае не подойдут. Поэтому лучше всего использовать специально разработанные операционные системы для анонимного существования в интернете. Такой дистрибутив для анонимности вы всегда сможете носить в кармане на .
Ну а если вам нужно анонимно быть в интернете не выходя из Windows, то вы можете запустить специальный дистрибутив Linux в VirtualBox, описание которого вы найдете ниже.
Так как мы делаем акцент на анонимность и безопасность в интернете это означает, что все эти системы должны включать минимально возможный код, но при этом оставались как можно больше стабильными, другими словами я хочу сказать, что почти наверняка вы не получите то ваше привычное и любимое Linux desktop окружение. Нет, нет, не подумайте, что будет, что-то не рабочее, просто рабочий стол будет иметь не самую последнюю версию со всеми сопутствующими наворотами. Ну а пользователи Windows получат вполне понятный и адекватный рабочий стол, я бы сказал адекватней, чем рабочий стол в Windows 8, для того чтобы анонимно выполнить что либо в интернете
Давайте тогда, оценим, как выглядит каждый из этих специальных для анонимности ОС Linux.
Чаще всего нападкам подвергается самая сильная сторона свободной ОС - безопасность. То, чем больше всего гордятся линуксоиды и что больше всего ценят. Предлагаем вашему вниманию 5 главных мифов.
Миф 1. Linux небезопасен, так как исходные коды программ доступны для изучения хакерам. Рядовые пользователи вряд ли будут ковырять сложный код, а вот хакеры будут, чтобы потом эксплуатировать найденные уязвимости. К тому же,
Что на самом деле: вручную просматривать миллионы строк исходного кода и не требуется. Эта задача решается статистическими анализаторами кода и специальными программными комплексами для аудита. Случайные и преднамеренные ошибки вылавливаются автоматом и затем уже эксперт разбирается с каждым конкретным случаем. Для закрытого бинарного кода Windows это не работает. Вот уже где действительно можно легко спрятать закладку.
Миф 2. Под Linux мало вирусов, но только потому, что Linux является малопопулярной операционной системой. Как только количество пользователей возрастет, подтянутся и вирусописатели, а сам Linux ничем не будет отличаться от Windows в плане восприимчивости к сетевой заразе.
Что на самом деле: 2% пользователей Linux - это десятки миллионов компьютеров. Если бы действительно было просто , то он был бы давно создан. Android - это тоже на 95% Linux. Устройств на базе Android уже миллиард. Ну и где эпидемии?
Миф 3. Linux более безопасен, но только из-за того, что Linux используют более опытные пользователи. Если Linux начнут использовать все, то начнутся такие же эпидемии компьютерной заразы.
Что на самом деле: отчасти это правда. Но не только от вирусов, но и от дураков. За это его и не любят многие пользователи Windows, которые пробовали перейти на Linux, но не осилили. Например, в Windows фактически поощряется работа под администраторской учетной записью (к пользователю меньше пристают). Linux же не даст постоянно работать под root.
Миф 4. Под Linux тоже есть вирусы.
Миф 5. Под Linux установка антивируса является обязательной.
Что на самом деле: обязательным является настройка iptables и воздержание от подключения сомнительных репозиториев третьей стороны. Тогда нужды в антивирусе нет. Более того, маркетологами антивирусных компаний.
Найдется не один "туз в рукаве", чтобы посягнуть на дорогие вам биты и байты - от фото на документы до данных кредитных карточек.
Наиболее подвержены риску атаки компьютеры, подключенные к интернету, хотя машины без выхода во внешний мир уязвимы не меньше. Призадумайтесь: что может случиться с вашим старым ноутбуком или жестким диском , которые вы выбросили? Вооружившись современными инструментами восстановления данных (многие из которых доступны для бесплатного скачивания), хакер легко восстановит информацию с вашего диска, невзирая на ОС, в которой вы работали. Если жесткий диск содержит данные (неважно, поврежденные или нет), эти данные могут быть восстановлены, банковские счета воссозданы; записанные разговоры в чатах можно реконструировать, а изображения - реставрировать.
Но не пугайтесь. Не стоит бросать пользоваться компьютером . Хотя сделать машину, подключенную к Internet, неуязвимой для атак, практически невозможно, вы можете серьезно осложнить задачу атакующему и гарантировать, что он не извлечет ничего полезного из скомпрометированной системы. Особенно греет душу то, что с помощью Linux и некоторых программ на основе защитить вашу установленную копию Linux будет совсем не сложно.
"Золотого правила" безопасности, подходящего в каждом конкретном случае, не существует (а будь на свете такое правило, его уже давно взломали бы). Над безопасностью нужно работать индивидуально. Следуя приведенным в этой статье советам и пользуясь описанными здесь инструментами, вы научитесь адаптировать их под свой дистрибутив Linux .
Защитить ваш компьютер под управлением ОС Linux помогут следующие простые рекомендации.
Обновление операционной системы
Кроме обновлений, дистрибутивы обычно имеют список рассылки по вопросам безопасности - для рассылки анонсов обнаруженных уязвимостей, а также и пакетов для исправления этих уязвимостей. Как правило, хорошей идеей будет отслеживать список рассылки вашего дистрибутива, касающийся безопасности, а также регулярно выискивать обновления безопасности к наиболее критичным для вас пакетам. Между моментом объявления об обнаружении уязвимости и закачкой пакета обновления в репозиторий обычно имеется временной зазор; списки рассылки подскажут, как скачать и установить обновления вручную.
Блокировка неиспользуемых сервисов
Не обновляйтесь каждые полгода
У большинства настольных дистрибутивов Linux новые релизы выходят раз в полгода, но это совсем не значит, что вы обязаны устанавливать последний релиз только потому, что он уже вышел. Ubuntu отмечает некоторые релизы как LTS (Long Term Support) - релизы с долговременной поддержкой: для настольной системы - три года, а для серверной - пять лет. Это намного дольше, чем 18 месяцев стандартного релиза Ubuntu.
LTS-релизы хотя и не особенный авангард, но с позиций безопасности защищены куда лучше стандартных. Их пакеты гораздо стабильнее и тщательнее протестированы, по сравнению с пакетами более новых версий, не снабженных долгосрочной поддержкой. Если вашей целью является создание именно максимально защищенной системы, остановите свой выбор на одном из стабильных релизов с долгосрочной поддержкой, не поддаваясь искушению сразу же выполнить обновление при появлении новейшей версии.
Не самая передовая, но должным образом поддерживаемая система более стабильна и надежнее защищена, чем новейший релиз.
Александр БОБРОВ
