web-dev-qa-db-ja.com

安全なLinuxデスクトップ

安全なLinuxデスクトップに関するヒントを探しています。サーバーの保護は問題ありません。最新のソフトウェアアップデートでは、必要なサービスのみを実行します。しかし、デスクトップについてはどうでしょうか。 Noscript for Firefoxのような詳細について考えています。 ASLR、PIEなどは、Ubuntu https://wiki.ubuntu.com/Security/Features でデフォルトで有効になっています。さらに何を変更すればよいですか?セキュリティに焦点を当てたディストリビューションはありますか?

operating-systemslinuxhardeningdesktop
40
chris

大まかな優先順位で、次の手順をお勧めします。

  • 自動更新を有効にします。これは、パッチを当てたすべてのソフトウェアのバージョンを常に実行していることを確認するための最良の方法です。

  • ファイアウォールをオンにします。デスクトップの場合、単純なポリシーで十分です。大まかに言えば、すべての発信接続を許可し、すべての着信接続をブロックします。これは、それらをリッスンして無効にする可能性のあるすべてのサービスを追跡するよりもはるかに簡単です。デフォルトですべての着信接続をブロックするだけで、リスクはなくなります。

  • 自動バックアップを有効にします。関与せずにシステムを自動的かつ定期的にバックアップするようにバックアップシステムをセットアップします。これは、侵害から回復できるようにするための最良の方法の1つです。セキュリティは単なる予防ではありません。また、侵害からの迅速かつ信頼性の高い回復を可能にすることも目的です。

  • se HTTPS Everywhere。 HTTPS Everywhere(またはForceHTTPS、または同等のもの)をブラウザーにインストールして、サポートするすべてのサイトでHTTPS(SSL/TLS)を使用するようにします。

  • SSHを使用します。すべてのリモートログインにSSHを使用します。秘密鍵ペアを作成します。秘密鍵をパスワードで保護します。公開鍵をauthorized_keysリモートからログインできるようにするすべてのアカウントのファイル。暗号化されていないトラフィック(Telnet、FTP、IMAP、POPなど)はすべて避けてください。代わりに暗号化されたバリアントを使用してください。

  • 電子メールトラフィックを暗号化します。 POPまたはIMAPでメールクライアントを使用する場合は、SSL/TLS保護を使用するように構成して(たとえば、imapではなくimaps)、メールプロバイダーとの接続が暗号化されるようにします。ほとんどの優れた電子メールプロバイダーは、SSLまたはTLSを介して接続するためのオプションを提供します。

  • メールをスキャンするメールサービスを使用します。受信メールのスパムをブロックするという評判の良いメールプロバイダーを使用します。優れたスパムブロックソフトウェアは、多くの電子メールベースの詐欺、フィッシング攻撃、およびワームもブロックします。

  • オプション:フルディスク暗号化を検討します。ラップトップを使用している場合、ラップトップを紛失した場合のデータ侵害から保護するために、フルディスク暗号化を有効にすることができます。 TruecryptとPGPの製品は高い評価を得ています。 Linuxを使用している場合、ほとんどのLinuxディストリビューションでは、Linux OSをインストールするときに完全なディスク暗号化を設定できます。

  • オプション:SELinuxを有効にします。 SELinuxをサポートするディストリビューションを使用している場合は、SELinuxをオンにします。

  • オプション:ブラウザーを強化します。自分を保護するためにブラウザーの設定を変更することを検討してください。たとえば、サードパーティのCookieを無効にすることを検討してください。 AdBlock Plusのインストールを検討してください。

  • オプション:不在のときはログアウトします。コンピュータを放置するときはいつでも、ログアウトする(またはパスワードで保護されたスクリーンセーバーを利用する)ことができます。

25
D.W.

あなたは偏執狂ですか?はいの場合、試してみてください http://qubes-os.org/Home.html これは非常に興味深いプロジェクトですただし、まだベータ版です、Joanna Rutkowskaと彼女のチームによって開発されました。仮想マシンを使用して、ユーザーGUIアプリケーションと他の多くのニーストリックを分離します。デスクトップコンピューティングの安全な環境であることだけに焦点を当てています。

そこに行きたくない場合は、セキュリティに焦点を当てたディストリビューションがあります。

リストを作成することはできますが、ウィキペディアにはすでに素晴らしい要約があります: http://en.wikipedia.org/wiki/Security-focused_operating_system

7
john

私たち全員が抱えていると思う問題は、あなたが懸念している脅威はどれかということです。一日中ネットサーフィンをして安全でないWebサイトにアクセスする人は、祖母がメールをチェックしようとするよりも攻撃されるリスクが高くなります。しかし、祖母は実際のメールとフィッシング攻撃の違いを見分けることができないため、リスクが高くなります。

また、ユーザビリティとのトレードオフも考慮する必要があります。フル機能のブラウザよりもテキストベースのブラウザで利用する機能が少ないという理由だけで、lynxの実行はFirefoxの実行よりも本質的に安全であると私は思います。

プライバシーパラノイアの場合:私は、Uberパラノイア用のTor Live CDが本当に好きです。 https://tails.boum.org これにより、ユーザーはユーザーセッションを作成して作業を行い、再起動して、発生したすべての証拠を消去できます。プライバシーとセキュリティは2つの異なるゲームですが、同じ予防策の一部が重複しています。

全体的なセキュリティ:BSDは非常に安全ですが、箱から出すのはかなり難しいと思います。

私の意見では、UbuntuやCentosのような最新のアクティブに維持され、十分に開発されたディストリビューションは、セキュリティと使いやすさのバランスを保ちながら、環境を制御して、環境に固有の脅威にロックすることができます。

6
Lizbeth

これは難しい問題であり、脅威、攻撃対象、脆弱性の点でサーバースペースとは大きく異なります。

「簡単な」部分は Hardening Linux Server から始めることです。これには、デスクトップに関連するいくつかのリンクもあります。

しかし、あなたは古いウィンドウシステムと新しいウィンドウシステムの両方の不安に遭遇します:

そしてもちろん、ユーザーが必要とするアプリケーションの範囲は非常に広大であるため、それらすべてを強化し、関連するハードウェア、デスクトップバス、フォーマットなどは大きな課題です。

Google Chromeブラウザーの危険な問題の多くをサンドボックス化しようとします。Chrome OSは、アプローチをデスクトップ全体に拡大します。

4
nealmcb

これは少し古いですが、始めるのに良い場所です: http://www.hermann-uwe.de/blog/towards-a-moderately-paranoid-debian-laptop-setup--part-1 -base-system

Firefoxの場合、DEFINITELYはNoScriptとRequestPolicyを有効にし、適切なAppArmorプロファイルをセットアップします。

OpenBSDも同様に興味深いかもしれません-これはセキュリティに非常に重点を置いています(実際には「Linux」ではありません)。

3
Peter Stone