Так ли безопасен Linux, как вам хотелось бы?..

27 март, 2015 - 11:14Алексей Дрозд

По моим наблюдениям, многие из тех, кто выбирает Linux лишь потому, что думает, будто данная ОС защищена гораздо лучше, чем Windows. На самом деле, все не так однозначно. Безопасность и в самом деле является "фишкой" данной системы, которая охватывает область от ядра Linux и до рабочего стола. Тем не менее, система всегда оставляет неплохие шансы всем тем, кто пожелает «наследить» в вашей папке /home. Linux, вполне возможно, совсем неподвластна червям и вирусам, которые написаны для Windows, однако черви и вирусы являются сравнительно небольшой частью проблемы. Злоумышленники имеют множество своих «тузов в рукаве», благодаря которым они могут добраться до важной вам информации, начиная с фото на документы и заканчивая кредитными карточками.

Наиболее подверженными риску для атак являются компьютеры, которые подключены к Сети, однако и устройства без выхода во «внешний мир» уязвимы ничуть не менее. К примеру, что может произойти со старым ноутбуком или же с жестким диском, которые выбрасывает пользователь? Ведь есть довольно мощные инструменты для восстановления информации, и многие вполне доступны для бесплатного скачивания. Благодаря им каждый  сисадмин средней руки сможет восстановить данные с вашего диска, и не важно, с какой ОС вы работали. Если на жестком диске есть данные, причем неважно, повреждены они или нет, то эти данные можно восстановить. К примеру, можно воссоздать банковские счета, реконструировать записанные разговоры в чатах, также можно реставрировать изображения.

Это нормально, но не стоит из-за этого совсем прекращать пользоваться ПК. Сделать машину, которая при этом подключена к Internet, неуязвимой для атак почти невозможно. Зато возможно сильно осложнить задачу атакующему, гарантируя, что он не сможет «достать» ничего полезного из уже скомпрометированной системы. Особенно согревает душу, что при помощи собственно Linux, а также некоторых программ, созданных на основе Open Source, обеспечить защитой вашу ОС Linux будет достаточно просто.

Мы обсудим некоторые аспекты безопасности Linux в следующих постах, а начнем мы с самого, на мой взгляд, важного - с обновлений. Если они отключены, то это серьезная проблема, и если, например, контрафактные Windows кое-кто резонно предпочитает прятать от инструмента автообновления, то в случае с Linux такое поведение просто не имеет смысла.

Все основные дистрибутивы Linux (среди них Debian, Fedora и Ubuntu) могут похвастаться собственными командами специалистов по безопасности, которые работают рука об руку с командами по поддержке пакетов, обеспечивая максимальную защиту пользователей от различных уязвимостей в системе безопасности. Эти команды должны  гарантировать обнаружение уязвимостей вовремя, а также должны быстро выпускать «заплатки», которые будут быстро затыкать все обнаруженные «дыры».

Дистрибутив ваш обязательно обладает репозиторием, который полностью отведен под обновления системы безопасности. Потребуется лишь активировать данный репозиторий (кстати, вполне возможно, это уже и сделано заранее) и определить, вручную или в автоматическом режиме устанавливать обновления.

К примеру, в Ubuntu для этого потребуется выбрать в меню System Administration, а затем Software Sources. Потом на вкладке Updates нужно будет указать, как часто дистрибутив должен «тестировать» репозиторий безопасности, выискивая на нем новые обновления и определить, должна ли система ставить обновления автоматически, или же ей стоит запрашивать у пользователя подтверждения перед установкой обновлений. Последний вариант можно назвать более интересным, ведь он позволит просматривать обновления до их установки. С другой стороны, в просмотре часто нужды нет, обычно с обновлениями все в порядке, и выбрав автоматическую установку вы сэкономите немного своего времени.

Помимо обновлений, дистрибутивы часто обладают и специальным списком рассылки, связанным с вопросами безопасности. Для рассылки анонсов тех уязвимостей, которые были обнаружены, а также для рассылки пакетов, исправляющих данные уязвимости. Вполне разумно будет следить за списком рассылки дистрибутива, который касается безопасности, и регулярно находить обновления безопасности в наиболее важных для вас пакетах. Между объявлением о нахождении уязвимости и скачиванием пакета обновления в репозиторий обычно проходит какое-то время; списки рассылки покажут, как можно скачать и вручную установить обновления.

Многие дистрибутивы сегодня не разрешают регистрироваться при загрузке от имени администратора (root), что является правильным. Если нужно исполнить задачу, которая требует привилегий «суперпользователя», то ОС предложит вам ввести пароль. Такая мера может гарантировать изоляцию от пользователя административных задач.

Привилегии пользователя можно ограничивать с помощью меню System > Administration > Users and Groups. Тут расположена «классификация категорий учетной записи» - с обыкновенного пользователя и до сисадмина, тут же возможно индивидуально настроить «привилегии пользователя» вручную. По умолчанию, записи новых пользователей создаются при помощи набора привилегий 'Desktop user'. Эти пользователи не имеют права установить ПО или поменять настройки, которые влияют на рабочие среды иных пользователей. В работе «из командной строки» для переключения обыкновенных пользователей на уровень учетной записи администратора применяются команда su (Fedora, а также и некоторые иные подобные дистрибутивы), и команда sudo (она используется в Debian и Ubuntu).

Если вас на самом деле волнуют проблемы безопасности, тогда не помешает настроить по своему вкусу параметры в окне Users And Groups. Одной из основных областей, которые достойны вашего внимания, можно назвать автоматическое монтирование устройств. Большая часть дистрибутивов самостоятельно «собирают» USB-девайсы и CD-приводы, сразу же, как подключается USB-накопитель или вставляется CD-диск в оптический привод устройства. Это очень удобно, но минус в том, что это позволяет любому злоумышленнику легко подойти к вашему ПК, подключить USB-девайс и просто скопировать данные.

Чтобы этого не произошло, потребуется в настройках «Пользователи и Группы» перейти во вкладку «Привилегии пользователя», а затем убрать флажки в таких опциях, как «Автоматический доступ внешних устройств хранения данных», «Монтировать файловые системы в пользовательском пространстве» и «Использование CD-ROM дисков». Без этих флажков в данных опциях пользователям будут предлагать ввести пароль, и уже после они смогут получить получат доступ к собственно устройствам.

Кроме того, пользователь может закрыть общий доступ к данным через сеть, потребовать вводить пароль, прежде чем соединяться с Ethernet или с беспроводными устройствами. Блокирование «присоединения» к настройке принтеров сможет предотвратить распечатку важной информации.

В составе настольного дистрибутива ОС Linux пакеты обновляются достаточно часто. Кроме официальных репозиториев также есть и индивидуальные репозитории, они предназначены для ПО от сторонних производителей. Несмотря на то, что разработчики, до того как закачивать пакеты в репозитории, все-таки выполняют проверку на существование уязвимостей, все же почти неизбежно проникание туда пакетов обновлений, обладающих дефектами.

Слежение за новинками все-таки совсем неплохо, однако если судить с точки зрения безопасности, то далеко не все обновления будут одинаково хороши для вашей системы. Некоторые из них вполне способны конфликтовать с установленными ранее пакетами или же «тянуть к себе» новые зависимости, которые могут в итоге сделать систему более уязвимой для атак.

Потому обновлять пакеты стоит лишь при крайней необходимости. В этом случае стоит просканировать поступившие обновления и отобрать из них те, что являются критичными для вас. Большая часть менеджеров пакетов обеспечивают возможности просматривать обновления, а также просматривать журнал обновлений с описаниями правок. Изменения интерфейса пользователя следует или игнорировать, или же хотя бы отложить, пока данный пакет не пройдет тщательную проверку. Стоит внимательно искать и устанавливать обновления, которые устраняют ошибки в применяемых пакетах. А для приложений, которые доступны в большом количестве разных версий, следует отыскать обновление безопасности.

У большей части настольных дистрибутивов ОС Linux обновленные релизы выпускаются каждые полгода, однако это не означает вовсе, что придется устанавливать каждый последний релиз лишь только потому, что он поступил в продажу. Ubuntu помечает некоторые из релизов как LTS (Long Term Support) – так обозначаются релизы, обладающие долговременной поддержкой. Такая поддержка включает для настольной системы три года, для серверной же поддержка и вовсе насчитывает пять лет. Это гораздо дольше в итоге, чем 18 месяцев обычного релиза Ubuntu.

LTS-релизы нельзя назвать каким-то «особенным авангардом», однако по части безопасности они защищаются намного лучше, чем стандартные. Их пакеты более стабильные, они намного лучше протестированы, по крайней мере, в сравнении с пакетами более новых версий, которые не комплектуются долгосрочной поддержкой. Если же вашей целью выступает именно создание максимально надежной в плане зашиты системы, тогда стоит остановить итоговый выбор на каком-либо стабильном релизе с долгосрочной поддержкой. И не следует, поддаваясь искушению, сразу обновляться при появлении более новой версии. В конце концов, не самая новая, зато хорошо поддерживаемая система гораздо более стабильная и более надежно защищена, чем новый релиз.

Так ли безопасен Linux, как вам хотелось бы?.. часть 1, часть 2, часть 3