Jak zabezpieczyć Ubuntu po świeżej instalacji


(janusz_pro) #1

Witam

Myślę nad instalacją Ubuntu jako drugi system obok Windows’a i tu pytanie co muszę zrobić by odpowiednio zabezpieczyć Ubuntu by móc korzystać z internetu?


(RikoDEV) #2

Aktywować systemową zaporę, nie instalować pierwszych lepszych programów (nigdy na rocie) i używać z rozwagą. :slight_smile:


(pocolog) #3

Nie instalować programów spoza repozytorium, nie dodawać obcych repozytoriów, nie pracować na roocie, utrzymywać system stale zaktualizowany.


(janusz_pro) #4

OK. Ale jak rozpoznać programy z obcych repozytoriów? W terminalu jak instaluje poprzez "sudo apt-get install … " to instaluje z repozytorium bezpiecznego?

Jaką komendą sprawdzić status firewalla i jak go włączyć?

Jak aktualizować system?


(pocolog) #5

Możesz instalować jak ci wygodniej, osobiście polecam synaptic (apt install synaptic).
Ubuntu ma chyba jeszcze własny graficzny menadżer pakietów (Centrum Oprogramowania Ubuntu)

Repozytoria dodaje się w ten sposób http://www.ubuntu-pomoc.org/dodawanie-nowych-repozytoriow-za-pomoca-centrum-oprogramowania-ubuntu/ i tego masz NIE robić :wink:

Jeśli sam nie dodasz obcych repozytoriów to nic nie musisz rozpoznawać.

Firewalla możesz swobodnie pominąć, jego konfiguracja dla początkującego użytkownika jest trudna i niewiele wnosi na desktopie. Chyba że ktoś napisze ci zestaw reguł pod twoją konfigurację i programy których używasz.


(janusz_pro) #6

Dzięki za odpowiedzi.

Mam jeszcze pytanie wpisałem komendę “who” i uzyskałem info

test@test-VirtualBox:~$ who
test tty7 2017-07-04 10:10 (:0)

Kim jest tty7? Czy to może jakieś uprawnienia? Bo ja jedynie tworzyłem użytkownika test


(pocolog) #7

TTY to konsole tekstowe (Linux to tekstowy system operacyjny ;)) między którymi możesz się przełączać kombinacją klawiszy [alt] plus klawisze funkcyjne F1, F2, F3 itd…
Ubuntu środowisko graficzne otwiera domyślne na konsoli TTY7 (ze środowiska graficznego aby przełączyć się do tekstowego do [alt] plus funkcyjny musisz jeszcze wcisnąć [ctrl])


(janusz_pro) #8

Dzięki. A jaka komenda jest żeby zobaczyć jakie mam uprawnienia w danej chwili?


(pocolog) #9

Możesz na przykład wpisać groups i sprawdzić, do jakich grup należy twój użytkownik. Grupy można nazwać takimi uprawnieniami. Np. jeśli jesteś w grupie lpadmin to będziesz mógł dodawać i konfigurować drukarki, grupa scanner to skanery, plugdev to podpinanie urządzeń wymiennych jak pendrive, wheel pozwoli się użytkownikowi przełączać na roota itd…
Dodatkowo możesz sprawdzić, jakie są ograniczenia do danych plików katalogów wpisując w konsoli ls -shal. Dowiesz się tam kto jest właścicielem plików, do jakiej grupy należą, jakie uprawnienia ma właściciel, grupa i pozostali.


(nintyfan) #10

Dobrym pomysłem wydaje się ustawienie parametru montowania na noexec, czyli w katalogu domowym nie będą przechowywane programy. Nie daje to 100% pewności, że nie otworzysz jakiegoś programu z home, bo są rozszerzenia.

Jeżeli home masz na partycji systemowej, to możesz również nałożyć przełącznik noexec na katalog /home, jednak jest to trudniejsze.

Sprostujcie mnie, jeżeli nie jest tak przypadkiem, że przy noexec nie ma możliwości otwierania skrótów pod Plasmą 5. Jeżeli chcesz więc korzystać z Plasmy 5, to nie rób tego, co Ci poradziłem.


(rpm) #11

sudo apt install ufw
sudo ufw enable
sudo reboot
sudo ufw status
Powinno pokazać aktywną zaporę systemu. Do tego masz skanery narzędzia typu chkrootkit czy rkhunter.


(pocolog) #12

I co ci da włączenie samej zapory bez żadnych reguł? :slight_smile:


(Domker) #13

UFW na dzień dobry ma zablokowane połączenia przychodzące, a wychodzące nie, więc podstawowa konfiguracja jest - wystarczy włączyć.
Potem w zależności od potrzeb patrzysz w logu, co Ci blokuje i dodajesz tylko regułki pozwalające na połączenie przez danych port/protokół itp.


(saturno) #14

http://www.debian.pl/viewtopic.php?t=33751