Depois de escolher uma distribuição Linux que atenda a todas as diretrizes de segurança estabelecidas no nosso último artigo , você precisará instalar a distro em sua estação de trabalho.
As práticas recomendadas de segurança da instalação do Linux variam, dependendo da distribuição. Mas, em geral, existem algumas etapas essenciais a serem tomadas
Utilize criptografia de disco completo (LUKS) com uma frase de senha robusta
Verifique se o swap também está criptografado
Exigir uma senha para editar bootloader (pode ser o mesmo que LUKS)
Configurar uma senha de root robusta (pode ser igual a LUKS)
Usar uma conta sem privilégios, parte do grupo de administradores
Configure uma senha de conta de usuário robusta, diferente da
Essas diretrizes são destinadas a administradores de sistemas que são trabalhadores remotos. Mas eles se aplicam igualmente bem se você trabalha a partir de um laptop portátil em um ambiente de trabalho, ou configurar um sistema de casa para acessar a infra-estrutura de trabalho para pós-horas / apoio de emergência.
Quando combinadas com as outras recomendações desta série, elas ajudarão a reduzir o risco de que os SysAdmins se tornem vetores de ataque contra o resto de sua infraestrutura de TI.
Criptografia de disco completo
A menos que você esteja usando auto-criptografia de discos rígidos, é importante configurar seu instalador para criptografar completamente todos os discos que serão usados para armazenar seus dados e seus arquivos de sistema. Não é suficiente simplesmente criptografar o diretório do usuário através de arquivos de loop de criptografia de montagem automática (estou olhando para você, versões mais antigas do Ubuntu), pois isso não oferece proteção para binários do sistema ou swap, o que provavelmente conterá uma série de dados sensíveis. A estratégia de criptografia recomendada é criptografar o dispositivo LVM, portanto, apenas uma frase-senha é necessária durante o processo de inicialização.
A partição / boot geralmente permanecerá não criptografada, pois o bootloader precisa ser capaz de inicializar o próprio kernel antes de invocar LUKS / dm-crypt. Algumas distribuições suportam criptografar a partição / boot também (por exemplo, Arch), e é possível fazer o mesmo em outras distribuições, mas provavelmente ao custo de complicar as atualizações do sistema. Não é crítico para criptografar / inicializar se sua distro de escolha não nativamente apoiá-lo, como a própria imagem do kernel não vazamentos nenhum dados privados e será protegido contra adulteração com uma assinatura criptográfica verificada pelo SecureBoot.
Escolher boas passphrases
Os sistemas Linux modernos não têm limite de comprimento de senha / senha, então a única limitação real é seu nível de paranóia e sua teimosia. Se você inicializar seu sistema muito, você provavelmente terá que digitar pelo menos duas senhas diferentes: uma para desbloquear LUKS, e outra para fazer login, então ter frases de senha longas provavelmente ficará velho muito rápido. Escolha passphrases que são de duas a três palavras de comprimento, fácil de digitar, e preferencialmente de ricos / misturados vocabulários.
Exemplos de passphrases boas (sim, você pode usar espaços):
natureza abhors roombas
12 Jebediahs em voo
Perdon, tengo flatulência
As passphrases fracas são combinações das palavras que você é provável ver em trabalhos publicados ou em qualquer outro lugar na vida real, e você deve evitar de usá-las, porque os atacantes estão começando incluir tais frases simples em suas estratégias da força bruta.
Exemplos de passphrases para evitar:
Mary tinha um cordeirinho
você é um mago, Harry
Ao infinito e além
Você também pode ficar com senhas não-vocabulário que têm pelo menos 10-12 caracteres, se você preferir que a digitação frases-chave.
A menos que você tenha preocupações sobre segurança física, é bom para anotar suas frases de acesso e mantê-los em um lugar seguro longe de sua mesa de trabalho.
Raiz, senhas de usuário e o grupo de administradores
Recomendamos que você use a mesma senha para sua senha de root como você usa para sua criptografia LUKS (a menos que você compartilhe seu laptop com outras pessoas confiáveis que devem ser capazes de desbloquear as unidades, mas não devem ser capazes de se tornar root). Se você é o único usuário do laptop, então ter sua senha de root diferente da sua senha de LUKS não tem vantagens de segurança significativas. Geralmente, você pode usar a mesma senha para sua administração UEFI, criptografia de disco e conta de root - sabendo que qualquer uma delas dará a um invasor controle total do seu sistema de qualquer maneira, então há pouco benefício de segurança para que elas sejam diferentes em um único - Usuário.
Você deve ter uma senha diferente, mas igualmente forte para sua conta de usuário normal que você estará usando para tarefas do dia-a-dia. Este usuário deve ser membro do grupo admin (por exemplo, roda ou similar, dependendo da distribuição), permitindo que você execute sudo para elevar privilégios.
Em outras palavras, se você for o único usuário em sua estação de trabalho, você deve ter duas passphrases distintas, robustas, igualmente fortes que você precisará se lembrar:
Admin-nível, usado nos seguintes locais:
Administração UEFI
Bootloader (GRUB)
Criptografia de disco (LUKS)
Administrador da estação de trabalho (usuário root)
User-level, usado para o seguinte:
Conta de usuário e sudo
Senha mestre para o gerenciador de senhas
Todos eles, obviamente, podem ser diferentes se houver uma razão convincente.
Da próxima vez que falaremos sobre segurança pós-instalação. Isso dependerá muito da sua distribuição de escolha, por isso vamos fornecer uma visão geral das etapas que você deve tomar ao invés de fornecer instruções detalhadas.
Este ano, a Canonical juntou-se à Embedded World 2017 pela primeira vez com um estande. E a reação inicial de qualquer pessoa que visitou...
Nenhum comentário:
Postar um comentário