Мэдээжийн хэрэг, бид үүнийг хэлж чадна Линукс дэлгэрэнгүй аюулгүй (хамгаалагдсан) Windows-оос илүү. Аюулгүй байдал онд Линукс Энэ нь Windows-д хэрэгждэг тул хажуугийн хаа нэгтээ шургуулаагүй, суурилуулсан. Аюулгүй байдал системүүд Линуксцөмөөс ширээний компьютер хүртэлх талбайг хамардаг боловч хакерууд таны гэрийн директорыг (/ home) гэмтээх магадлалтай.

Таны байт зураг, гэрийн видео бичлэг, баримт бичиг, зээлийн карт эсвэл түрийвчний өгөгдөл нь компьютер дээрх хамгийн үнэтэй мэдээлэл юм. Мэдээжийн хэрэг, Линукс нь бүх төрлийн интернет хорхой, Windows вирусуудад өртөмтгий биш юм. Гэхдээ халдагчид таны гэрийн лавлахаас өгөгдөлд нэвтрэх арга замыг олох боломжтой.

Хуучин компьютерээ бэлтгэх эсвэл hDD форматыг зарахаас өмнө энэ нь хангалттай байх гэж бодож байна уу? Орчин үеийн олон тооны өгөгдлийг сэргээх хэрэгслүүд байдаг. Хакер таны өгөгдлийг амархан сэргээх боломжтой хатуу диск, таны ажиллаж байсан үйлдлийн системээс үл хамааран.

Энэ сэдвээр би нэг компанийн ашиглаж байсан компьютер, дискийг эргүүлэн худалдаж авсан туршлагыг эргэн санаж байна. Үйл ажиллагааныхаа явцад тэд өмнөх компьютеруудынхаа 90% -ийг зарахаас өмнө хадгалах зөөвөрлөгчөө цэвэрлэх талаар зохих ёсоор анхаарал тавиагүй гэсэн шийдвэрийг гаргалаа. Тэд маш нягт нямбай өгөгдлийн байт гаргаж байсан. Хатуу дискнийхээ саванд хаа нэгтээ интернет банк эсвэл онлайн түрийвчээ оруулах мэдээлэл байдаг гэж төсөөлөхөд бүр аймаар юм.

Линуксийн аюулгүй байдлын үндсийг эхэл

Бараг бүх хүмүүст тохирох үндсийг () өгье
Линукс түгээлтүүд.

Линуксийн илүү аюулгүй байдлыг хангах үүднээс файлын системийг Линукс дээр шифрлээд үзье

Хэрэв та хэн нэгэн танай гэрийн лавлах (/ home) эсвэл тодорхой хэмжээтэй байтыг уншихыг хүсэхгүй байгаа бол хэрэглэгчийн нууц үг асуудлыг шийдэхгүй. Хамгийн дээд язгуур эрх бүхий хэрэглэгч ч гэсэн хамараа наалдуулахгүй байхын тулд та үүнийг хийж чадна.

Мэдрэмжтэй файлуудыг өөр хэн ч сэргээж чадахгүй байхаар устга

Хэрэв та компьютер эсвэл хадгалах хэрэгслээ зарах эсвэл хандивлахаар шийдсэн бол энгийн хэлбэршүүлэлт нь таны файлуудыг бүрмөсөн устгана гэж битгий бодоорой. Та файлуудыг аюулгүй устгах srm хэрэгслийг багтаасан линукс хайрцагтаа аюулгүй устгах хэрэгслийг суулгаж болно.

Түүнчлэн, Линуксийн цөм дэх галт ханын талаар бүү мартаарай. Бүгд линукс түгээлтүүд цөмийн нэг хэсэг болох lptables орно. Lptables нь сүлжээний пакетуудыг шүүх боломжийг олгодог. Мэдээжийн хэрэг та энэ хэрэгслийг терминал дээр тохируулж болно. Гэхдээ энэ арга нь олон хүний, тэр дундаа миний хүчнээс давсан зүйл юм. Тиймээс би үүнийг тоглоом тоглож байгаа юм шиг амархан суулгаж тохируулдаг.

Бүх үйлдлийн системүүдийн адил Линукс нь янз бүрийн програм ажиллуулахдаа хог хаягдлыг хуримтлуулах хандлагатай байдаг. Хөтөч, текст засварлагч, тэр ч байтугай видео тоглуулагч гэх мэт төрөл бүрийн програмууд цөмийн түвшинд ажилладаггүй, түр зуурын файл хуримтлуулдаг тул энэ нь түүний Линуксийн буруу биш юм. Бүх нийтийн хог хаягдлыг зайлуулах зорилгоор та BleachBit хэрэгслийг суулгаж болно.

Нэргүй серфинг хийх, IP-ээ нуух нь Линукс дор таны хувийн аюулгүй байдалд маш чухал үүрэг гүйцэтгэдэг

Дүгнэж хэлэхэд би таньд үл мэдэгдэх вэб серфинг хийх талаар танд хэлмээр байна. Заримдаа эхнэрээсээ нууцаар эротик контент бүхий сайтуудад зочлох үед энэ нь зайлшгүй шаардлагатай болдог. Мэдээжийн хэрэг би хошигнож байсан.

Хэрэв таны байршлыг тогтоож чадахгүй бол халдагчид тантай холбогдоход хэцүү байх болно. Бид ул мөрийг privoxy ба tor нэртэй хамтарч ажилладаг хоёр хэрэгслийн хялбар тохиргоогоор хамардаг.

Миний бодлоор эдгээр бүх дүрмийг дагаж тохируулах нь таныг болон таны компьютерийг 90% хамгаалах болно.

P.S. Би dropbox хэмээх үүл ашиглаж байна. Би хуучин, шинэ, хараахан хэвлэгдээгүй нийтлэлүүдээ хадгалдаг. Дэлхийн өнцөг булан бүрээс болон ямар ч компьютерээс файлуудаа үзэх боломжтой байх нь тохиромжтой байдаг. Текст редактор дээр сайтын нийтлэл бичихдээ би өөрийнхөө текстийн баримт бичиг нууц үгээр, зөвхөн үүний дараа би үүнийг dropbox серверт байршуулдаг. Та зөвхөн таны гарт тоглох шаардлагагүй аюулгүй байдлыг хэзээ ч үл тоомсорлож болохгүй.

Ubuntu дээр интернет холболт хийх гэж оролдох үед олон хэрэглэгчид асуудалтай тулгардаг. Энэ нь ихэвчлэн туршлагагүй байдлаас болдог, гэхдээ өөр шалтгаан байж болно. Нийтлэлд хэд хэдэн төрлийн холболтыг хэрхэн тохируулах талаар заавар өгөх болно нарийвчилсан шинжилгээ гүйцэтгэлийн явцад гарч болзошгүй бүх хүндрэлүүд.

Интернет холболтын олон төрөл байдаг боловч энэ нийтлэлд утастай сүлжээ, PPPoE, DIAL-UP гэсэн хамгийн алдартай холболтуудыг авч үзэх болно. Энэ нь бас ярих болно тусдаа тохиргоо DNS серверүүд.

Бэлтгэл ажил

Холболт тогтоож эхлэхээс өмнө таны систем үүнд бэлэн байгаа эсэхийг шалгах хэрэгтэй. Тухайн тушаалуудыг гүйцэтгэсэн болохыг нэн даруй тодруулах хэрэгтэй "Терминал", хэрэглэгчийн эрх шаардагдах гэсэн хоёр төрөлд хуваагдана (тэдгээрийн өмнө тэмдэг байх болно $ ) болон супер хэрэглэгчийн эрхийг шаарддаг (эхэнд нь бэлгэдэл байдаг # ). Шаардлагатай эрхгүйгээр ихэнх командууд ажиллуулахаас татгалзах тул үүнд анхаарлаа хандуулаарай. Тэмдэгтүүд өөрсдийгөө багтаасан болохыг тодруулах нь зүйтэй "Терминал" та оруулах шаардлагагүй.

Та хэд хэдэн зүйлийг бөглөх шаардлагатай болно:

Бусад зүйлсийн дотор сүлжээний адаптерийн нэрийг заавал мэддэг байх хэрэгтэй. Үүнийг мэдэхийн тулд оруулна уу "Терминал" энэ мөр:

$ sudo lshw -C сүлжээ

Үүний үр дүнд та дараахь зүйлийг харах болно.

Таны сүлжээний адаптерийн нэр үгийн эсрэг гарч ирнэ "Логик нэр"... Энэ тохиолдолд "Enp3s0"... Энэ бол нийтлэлд гарч ирэх нэр бөгөөд энэ нь танд өөр байж магадгүй юм.

Тэмдэглэл: хэрэв таны компьютер хэд хэдтэй бол сүлжээний адаптерууддараа нь тэдгээрийг зохих ёсоор дугаарлана (enp3s0, enp3s1, enp3s2 гэх мэт). Альтай нь ажиллахаа шийдээд дараачийн тохиргоонд ашиглаарай.

Арга 1: Терминал

"Терминал" Ubuntu дээрх бүх зүйлийг тохируулах олон талт хэрэгсэл юм. Түүний тусламжтайгаар бүх төрлийн интернет холболтыг бий болгох боломжтой болно.

Утастай сүлжээг тохируулах

Ubuntu-д утастай сүлжээг тохируулах нь тохиргооны файлд шинэ параметрүүдийг нэмэх замаар хийгддэг "Интерфейс"... Тиймээс эхлээд та энэ файлыг нээх хэрэгтэй.

Тэмдэглэл: Тохиргооны файлыг нээх тушаал нь Gedit текст засварлагчийг ашигладаг боловч харгалзах хэсэгт бусад редактор бичиж болно, жишээлбэл, vi.

Одоо та үйлчилгээ үзүүлэгчдээ ямар төрлийн IP байгааг шийдэх хэрэгтэй. Статик ба динамик гэсэн хоёр амт байдаг. Хэрэв та тодорхой мэдэхгүй байгаа бол тэдгээр рүү залгаарай. операторыг дэмжиж, зөвлөгөө аваарай.

Эхлэхийн тулд динамик IP-тэй харьцъя - түүний тохиргоо илүү хялбар байдаг. Өмнөх командыг оруулсны дараа нээгдэх файл дотор дараах хувьсагчуудыг зааж өгнө үү.

iface [интерфейсийн нэр] inet dhcp
авто [интерфэйсийн нэр]

• iface [интерфейсийн нэр] inet dhcp - динамик IP хаягтай (dhcp) сонгосон интерфэйсийг хэлнэ;
• авто [интерфэйсийн нэр] - системд орохдоо заасан бүх параметрүүдтэй заасан интерфэйстэй автоматаар холбогддог.

Орсны дараа танд ийм зүйл байх ёстой.

Статик IP-ийг тохируулахад арай илүү төвөгтэй байдаг. Хамгийн гол нь бүх хувьсагчийг мэдэх явдал юм. IN тохиргооны файл та дараах мөрүүдийг оруулах хэрэгтэй:

iface [интерфейсийн нэр] inet static
хаяг [хаяг]
netmask [хаяг]
гарц [хаяг]
dns-нэрийн серверүүд [хаяг]
авто [интерфэйсийн нэр]

Бүх параметрүүдийг оруулсны дараа та дараахь зүйлийг харах болно.

Хаахаасаа өмнө бүү мартаарай текст засварлагч оруулсан бүх параметрүүдийг хадгалах.

Бусад зүйлсийн дотор та Ubuntu дээр интернет холболтыг түр хугацаанд тохируулах боломжтой. Энэ нь тодорхойлсон өгөгдөл нь тохиргооны файлуудыг ямар ч байдлаар өөрчлөхгүй гэдгээрээ ялгаатай бөгөөд PC-г дахин асаасны дараа өмнө нь заасан бүх тохиргоог дахин тохируулах болно. Хэрэв та Ubuntu дээр анх удаа утастай холболт хийх гэж байгаа бол үүнийг эхлүүлэхийг зөвлөж байна.

Бүх параметрүүдийг нэг тушаалаар тохируулна.

$ sudo ip addr add 10.2.119.116/24 dev enp3s0

• 10.2.119.116 - IP хаяг сүлжээний карт (танд өөр байж магадгүй);
• /24 - хаягийн угтвар хэсгийн битийн тоо;
• enp3s0 - үйлчилгээ үзүүлэгчийн кабель холбогдсон сүлжээний интерфэйс.

Шаардлагатай бүх өгөгдлийг оруулж, тушаалыг гүйцэтгэж байна "Терминал", тэдгээр нь зөв эсэхийг шалгаж болно. Хэрэв интернет нь компьютер дээр гарч ирсэн бол бүх хувьсагчууд зөв бөгөөд тэдгээрийг тохиргооны файлд оруулж болно.

DNS тохиргоо

DNS холболтыг тохируулах өөр хувилбарууд Ubuntu нь өөрөөр ажилладаг. 12.04-ээс эхлэн үйлдлийн системийн хувилбаруудад нэг арга зам, өмнө нь - нөгөө арга. Динамик нь DNS серверүүдийг автоматаар илрүүлэхийг шаарддаг тул бид зөвхөн статик холболтын интерфэйсийг авч үзэх болно.

12.04-ээс дээш OS хувилбаруудад тохируулах нь аль хэдийн мэдэгдэж байсан файлд тохиолддог "Интерфейс"... Үүнд та мөрийг оруулах ёстой "Dns-нэрийн серверүүд" хоосон зайгаар тусгаарлагдсан утгуудыг жагсаа.

Тиймээс эхлээд нээнэ үү "Терминал" тохиргооны файл "Интерфейс":

$ sudo gedit / etc / network / interfaces

dns-нэрийн серверүүд [хаяг]

Үүний үр дүнд та иймэрхүү зүйлийг авах хэрэгтэй, зөвхөн утга нь өөр байж болно:

Хэрэв та Ubuntu дээр DNS-ийг илүү тохируулахыг хүсвэл эрт хувилбардараа нь тохиргооны файл өөр байх болно. Үүнийг нээж үзье "Терминал":

$ sudo gedit /etc/resolv.conf

Үүний дараа та шаардлагатай DNS хаягийг тохируулж болно. Параметр оруулахаас ялгаатай нь үүнийг анхаарч үзэх хэрэгтэй "Интерфейс", in Resolv.conf догол мөрөөс хаягийг бичих бүрт уг утгын өмнө угтварыг ашиглана "Нэрийн сервер" (ишлэлгүйгээр).

PPPoE холболтын тохиргоо

PPPoE тохируулга "Терминал" компьютер дээрх янз бүрийн тохиргооны файлд олон параметрийг нэвтрүүлэх гэсэн үг биш юм. Үүний эсрэгээр зөвхөн нэг тушаалыг ашиглах болно.

Тиймээс цэгээс цэг рүү (PPPoE) холболт хийхийн тулд та дараах зүйлийг хийх хэрэгтэй.

Бүх алхамыг хийсний дараа, хэрэв та бүх зүйлийг зөв хийсэн бол таны компьютер интернет холболтыг бий болгоно.

Анхдагч байдлаар уг хэрэгсэл pppoeconf үүсгэсэн холболтыг нэрлэнэ dsl-үзүүлэгч... Хэрэв танд холболтыг таслах шаардлагатай бол гүйгээд ороорой "Терминал" тушаал:

$ sudo poff dsl-provider

Дахин холбогдохын тулд дараахь зүйлийг оруулна уу.

$ sudo pon dsl-үзүүлэгч

Тэмдэглэл: Хэрэв та pppoeconf хэрэгслийг ашиглан сүлжээнд холбогдсон бол "интерфейс" -ийн тохиргооны файлд оруулсан параметрүүдийн улмаас Network Manager-ээр дамжуулан сүлжээний менежмент хийх боломжгүй болно. Бүх тохиргоог анхны байдалд нь оруулж, хяналтыг Сүлжээний менежерт шилжүүлэхийн тулд та "интерфейс" файлыг нээж, бүх агуулгыг доорх текстээр орлуулах хэрэгтэй. Орсны дараа өөрчлөлтийг хадгалж "$ sudo /etc/init.d/networking restart" командаар сүлжээг дахин эхлүүлээрэй (ишлэлгүйгээр). "$ Sudo /etc/init.d/NetworkManager restart" (ишлэлгүйгээр) ажиллуулж Network Manager хэрэгслийг дахин эхлүүлнэ үү.

DIAL-UP холболтын тохиргоо

DIAL-UP-ийг тохируулахын тулд та хоёр консолын хэрэгслийг ашиглаж болно. pppconfig болон wvdial.

Ашиглан холболтыг тохируулах pppconfig хангалттай энгийн. Ерөнхийдөө энэ аргаар өмнөхтэй маш төстэй ( pppoeconf): танаас ижил аргаар асуулт асууж, үүний үр дүнд та интернет холболт үүсгэх болно. Нэгдүгээрт, уг хэрэгслийг өөрөө ажиллуулна уу.

$ sudo pppconfig

Дараа нь зааврыг дагана уу. Хэрэв та зарим хариултыг мэдэхгүй бол эдгээрээс оператортой холбоо барихыг зөвлөж байна. үйлчилгээ үзүүлэгчээ дэмжиж, түүнтэй зөвлөлд. Бүх тохиргоог хийж дуусаад холболт хийгдэх болно.

Өөрчлөлтийн талаар wvdial, дараа нь энэ нь арай илүү төвөгтэй болдог. Эхлээд та багцыг өөрөө суулгах хэрэгтэй "Терминал"... Үүнийг хийхийн тулд дараах тушаалыг ажиллуулна уу.

$ sudo apt wvdial суулгах

Энэ нь бүх параметрүүдийг автоматаар тохируулах зориулалттай хэрэгслийг агуулдаг. Үүнийг нэрлэдэг "Wvdialconf"... Ажиллуулах:

$ sudo wvdialconf

Гүйцэтгэсний дараа "Терминал" олон параметр, шинж чанарыг харуулах болно - та тэдгээрийг ойлгох шаардлагагүй болно. Уг хэрэгсэл нь тусгай файл үүсгэсэн гэдгийг та мэдэх хэрэгтэй "Wvdial.conf", тэр шаардлагатай параметрүүдийг модемоос уншиж дуусаад автоматаар оруулав. Дараа нь та үүсгэсэн файлыг засах хэрэгтэй "Wvdial.conf", нээгээд үзье "Терминал":

$ sudo gedit /etc/wvdial.conf

Таны харж байгаагаар ихэнх тохиргоог аль хэдийн бичсэн байгаа боловч сүүлийн гурван цэгийг нэмж оруулах шаардлагатай хэвээр байна. Та үүнд утасны дугаар, нэвтрэх, нууц үгээ тус тус бүртгүүлэх шаардлагатай болно. Гэхдээ файлыг хаах гэж бүү яар тав тухтай ажил цөөн хэдэн параметр нэмэхийг зөвлөж байна:

• Сул зогсолт \u003d 0 - компьютер дээр удаан хугацаагаар идэвхгүй байсан ч холболтыг зогсоохгүй;
• Залгах оролдлого \u003d 0 - холболт тогтоох гэсэн эцэс төгсгөлгүй оролдлого хийдэг;
• Dial Command \u003d ATDP - дугаарыг импульсийн аргаар залгах болно.

Үүний үр дүнд тохиргооны файл дараах байдалтай байна.

Тохиргоог хоёр блок болгон хувааж, тус бүрийг нь хаалтанд оруулсныг анхаарна уу. Энэ нь параметрийг ашиглах хоёр хувилбарыг бий болгоход шаардлагатай юм. Тэгэхээр параметрүүд доор байна «» , үргэлж гүйцэтгэгдэх болно «» - тушаалд харгалзах сонголтыг зааж өгөхдөө.

Бүх тохиргоог хийсний дараа DIAL-UP холболтыг бий болгохын тулд та дараах тушаалыг гүйцэтгэх хэрэгтэй.

Хэрэв та импульсийн холболт хийхийг хүсвэл дараахь зүйлийг бичнэ үү.

$ sudo wvdial импульс

Тогтоосон холболтыг таслахын тулд "Терминал" та товчлуурын хослолыг дарах хэрэгтэй Ctrl + C.

Арга 2: Сүлжээний менежер

Ubuntu байна тусгай хэрэгсэлЭнэ нь ихэнх зүйлийн холболтыг бий болгоход туслах болно. Нэмж дурдахад энэ нь график интерфэйстэй. Энэ бол дээд самбарын баруун талд харгалзах дүрс дээр дарж дуудагддаг Сүлжээний менежер юм.

Утастай сүлжээг тохируулах

Бид ижил аргаар утастай сүлжээг тохируулж эхэлнэ. Эхлээд та хэрэгслийг өөрөө нээх хэрэгтэй. Үүнийг хийхийн тулд түүний дүрсэн дээр дарж, дарна уу "Холболтыг өөрчлөх" онд контекст цэс... Дараа нь гарч ирсэн цонхонд та дараах зүйлийг хийх хэрэгтэй.

Бүх алхамыг хийсний дараа утастай интернет холболтыг бий болгох хэрэгтэй. Хэрэв энэ нь тохиолдоогүй бол оруулсан бүх параметрүүдийг шалгана уу, магадгүй та хаа нэгтээ алдаа гаргасан байж магадгүй юм. Мөн урд талд нь тэмдэг байгаа эсэхийг шалгахаа бүү мартаарай "Сүлжээний менежмент" хэрэгсэл унах цэсээс.

DNS тохиргоо

Холболт үүсгэхийн тулд танд DNS серверүүдийг гараар тохируулах шаардлагатай болж магадгүй юм. Үүнийг хийхийн тулд дараахь зүйлийг хийх хэрэгтэй.

PPPoE тохиргоо

Сүлжээний менежер дээр PPPoE холболтыг тохируулах нь хялбар байдаг "Терминал"... Үнэн хэрэгтээ та зөвхөн үйлчилгээ үзүүлэгчээс хүлээн авсан нэвтрэх болон нууц үгээ зааж өгөх хэрэгтэй болно. Гэхдээ илүү нарийвчлан авч үзье.

Одоо DSL-ийн шинэ холболт нь Network Manager цэсэнд гарч ирэн интернетэд нэвтрэх эрхээ сонгов. Сануулахад, өөрчлөлтүүд хүчин төгөлдөр болохын тулд заримдаа компьютерээ дахин асаах хэрэгтэй болдог.

Дүгнэлт

Үүний үр дүнд бид мэс заслын өрөөнд гэж хэлж болно ubuntu систем шаардлагатай интернет холболтыг тохируулах олон хэрэгсэл байдаг. Сүлжээний менежерийн хэрэгсэл нь график интерфейстэй бөгөөд энэ нь ялангуяа эхлэгчдэд зориулсан ажлыг маш хялбаршуулдаг. Гэсэн хэдий ч "Терминал" хэрэгсэлд байхгүй параметрүүдийг оруулснаар илүү уян хатан тохиргоог хийх боломжийг олгодог.

Зөвхөн суулгасан нь эргэлзээгүй линукс систем төрөл бүрийн хортой програм, тагнуул, хакеруудад үүнээс хамаагүй илүү тэсвэртэй байдаг windows хувилбар... Гэсэн хэдий ч ихэнх Линукс системүүд нь байгальд бүрэн аюулгүй байдаг анхдагч тохиргоог ашигладаг.

Зарим Линуксийн тархацуудыг хайрцагнаас аль болох аюулгүй байлгахаар зохион бүтээсэн боловч эхлэгчдэд, ялангуяа компьютерын бус аюулгүй байдлын мэргэжилтнүүдэд маш хэцүү байх хандлагатай байдаг.

Ubuntu бол өнөө үед ашиглагдаж байгаа Линуксийн бүх дистрибутацийн хамгийн түгээмэл тархалт юм. Энэ нь олон хүчин зүйлээс үүдэлтэй бөгөөд үүний нэг нь шинэхэн хэрэглэгчдэд хамгийн хялбар байдаг. Энэ нь эерэг талуудтай боловч хөгжүүлэгчид хэрэглэгчидэд ээлтэй байхыг сонгон үлдээсэн хэд хэдэн сул талууд байдаг. Энэ нийтлэлд аюулгүй байдлын тохиргоог Ubuntu 16.04 дээр хэрхэн гүйцэтгэдэг талаар авч үзэх болно. Эдгээр тохиргоонууд нь тийм ч төвөгтэй биш боловч таны системийг хамгийн нийтлэг халдлагад илүү тэсвэртэй болгоход туслах болно.

Таны мэдэх ёстой хамгийн эхний зүйл бол системээ байнга шинэчлэх, шинэчлэх явдал юм. Цөм дэх шинэ эмзэг байдлыг байнга илрүүлж байдаг програм хангамж, жишээ нь ижил Drity COW юм. Хөгжүүлэгчид эдгээр алдааг маш хурдан арилгадаг боловч эдгээр засваруудыг таны системд ашиглахын тулд та цаг тухайд нь шинэчлэх хэрэгтэй.

Бусад чухал тэмдэглэл гэдэг нь хэрэглэгчийн нууц үг юм. Нууц үггүйгээр хэрэглэгчийг бүү ашигла. Хэрэв та компьютерээ бусад хүмүүстэй хуваалцах шаардлагатай бол үүсгээрэй шинэ хаягжишээ нь зочин. Гэхдээ үргэлж нууц үг ашигладаг. үйлдлийн систем Линукс нь анх бүх хэрэглэгчдэд аюулгүй байдлыг харгалзан олон хэрэглэгчийн систем хэлбэрээр бүтээгдсэн тул энэ боломжийг бүү алдаарай. Гэхдээ эдгээр бүх зөвлөгөөг та магадгүй мэдэж байгаа байх, ubuntu-ийн аюулгүй байдлыг нэмэгдүүлэх үнэхээр хэрэгтэй аргуудыг авч үзье.

1. Хамтарсан санах ойг тохируулах

Анхдагч байдлаар, бүх програмыг ажиллуулах чадвартай / run / shm хуваалцсан санах ойг унших / бичих боломжтой. Үүнийг аюулгүй байдлын цоорхой гэж үздэг бөгөөд олон мөлжлөгүүд ажиллаж байгаа үйлчилгээнд халдахын тулд / run / shm ашигладаг. Ихэнх ширээний, ялангуяа серверийн төхөөрөмжүүдийн хувьд энэ файлыг зөвхөн унших горимд холбохыг зөвлөж байна. Үүнийг хийхийн тулд дараах мөрийг / etc / fstab дээр нэмнэ үү:

sudo vi / etc / fstab

none / run / shm tmpfs-ийн анхдагч тохиргоо, ro 0 0

Гэсэн хэдий ч, / run / shm нь зөвхөн унших боломжтой бол зарим програм ажиллахгүй болно, тэдгээрийн нэг нь юм Гүүгл Кром... Хэрэв та Google Chrome ашиглаж байгаа бол бид бичих чадвараа хадгалах ёстой, гэхдээ програмыг хэрэгжүүлэхээс урьдчилан сэргийлэх боломжтой тул дээр дурдсан мөрийн оронд дараахь мөрийг нэмнэ үү.

none / run / shm tmpfs rw, noexec, nosuid, nodev 0 0

2. Захиргааны бус хүмүүст зориулсан su-г хориглох

Ubuntu таны данснаас гадна зочинтой болжээ дансТа үүнийг зөөврийн компьютерээ найзтайгаа хуваалцахад ашиглаж болно. Su хэрэгсэл нь програмыг өөр хэрэглэгчийн хувьд ажиллуулах боломжийг олгодог. Энэ нь системийн удирдлагад маш их хэрэгтэй бөгөөд зөв хэрэглэвэл амин чухал юм. Гэсэн хэдий ч энэ хэрэгсэлд хүн бүр хандах боломжтой линукс хэрэглэгчид, энэ нь аль хэдийнээ зүй бусаар ашигласан хэрэг юм. Хориглох зочин данс su тушаалыг ажиллуулах хандалт:

sudo dpkg-statoverride --update - root sudo 4750 / bin / su нэмэх

3. Гэрийн лавлахаа хамгаалаарай

Таны анхдагч гэрийн лавлах систем дээрх бүх хэрэглэгч хандах боломжтой болно. Хэрэв танд зочин данс байгаа бол зочин таны хувийн файл, баримт бичигт бүрэн нэвтрэх боломжтой болно. Гэхдээ та үүнийг зөвхөн өөртөө ашиглах боломжтой болгож чадна. Терминал нээгээд дараах тушаалыг ажиллуулна уу.

chmod 0700 / home / хэрэглэгчийн нэр

Энэ нь фолдерын эзэн, өөрөөр хэлбэл та бүх зүйлд нэвтрэх эрх, бусад хэрэглэгчид агуулгыг нь харах боломжгүй байхаар эрхийг тохируулдаг. Үүнээс гадна та 750 зөвшөөрлийг тохируулж болох бөгөөд ингэснээр тантай ижил бүлгийн хэрэглэгчдэд хавтас руугаа унших эрх олгоно.

chmod 0750 / home / хэрэглэгчийн нэр

Одоо Ubuntu 16.04-ийн аюулгүй байдал, ялангуяа таны хувийн мэдээллийн аюулгүй байдал арай өндөр байх болно.

4. SSH нэвтрэлтийг root байдлаар идэвхгүй болго

Анхдагч байдлаар Ubuntu дээр та SSH-ийг супер хэрэглэгчийн хувьд нэвтрэх боломжтой боловч нууц үгээ тохируулсан болно root хэрэглэгч, энэ нь аюултай байж болзошгүй, учир нь нууц үг маш энгийн бол халдагч үүнийг хүчээр ашиглаж, компьютерийг бүрэн хянах боломжтой болно. Sshd үйлчилгээ таны систем дээр суулгаагүй байж магадгүй юм. Ажиллуулахыг шалгахын тулд:

Хэрэв танд холболтоос татгалзсан мессеж ирвэл SSH сервер суулгаагүй гэсэн үг бөгөөд та энэ алхамыг алгасаж болно. Гэхдээ суулгасан бол / etc / ssh / sshd_config тохиргооны файлыг ашиглан тохируулах хэрэгтэй. Энэ файлыг нээгээд мөрийг солино уу.

Тиймээ PermitRootНэвтрэх

Зөвшөөрөл Нэвтрэх дугаар

Дууссан, одоо таны системийг ssh руу оруулах нь илүү хэцүү байх болно, гэхдээ ubuntu 16.04 дээрх аюулгүй байдлын тохиргоо хараахан дуусаагүй байна.

5. Галт ханыг суулгана уу

Магадгүй танд зөвхөн ssh сервер суулгасан төдийгүй өгөгдлийн сангийн үйлчилгээ, apache эсвэл nginx вэб сервер байгаа байх. Хэрэв энэ нь гэрийн компьютер юм бол өөр хэн нэгэн танай орон нутгийн сайт эсвэл мэдээллийн сантай холбогдохыг хүсэхгүй байх магадлалтай. Үүнээс урьдчилан сэргийлэхийн тулд та галт хана суулгах хэрэгтэй. Энэ системд зориулагдсан тул Gufw програмыг Ubuntu дээр ашиглахыг зөвлөж байна.

Суулгахын тулд ажиллуулна уу:

sudo apt gufw суулгах

Дараа нь та програмыг нээж, хамгаалалтыг идэвхжүүлж, ирж буй бүх холболтыг хаах хэрэгтэй. Хөтөч болон бусад мэдэгдэж буй програмуудад зөвхөн шаардлагатай портуудыг зөвшөөрөх. Илүү дэлгэрэнгүйг зааварчилгаанаас уншина уу.

6. MITM халдлагаас хамгаалах

MITM эсвэл Дундад хүний \u200b\u200bдовтолгооны мөн чанар нь өөр хүн таны сервер рүү дамжуулж буй бүх пакетуудыг тасалдуулж, ингэснээр тэд таны бүх нууц үг, хувийн мэдээллийг авах боломжтой юм. Бид ийм төрлийн бүх халдлагаас хамгаалж чадахгүй, гэхдээ олон төрлийн MITM халдлага - ARP халдлага нь олон нийтийн орон нутгийн сүлжээнд түгээмэл байдаг. ARP протоколын онцлогийг ашиглан халдагч таны компьютерын урд чиглүүлэгч дүр эсгэж, та түүнд бүх өгөгдлийн пакетуудаа илгээдэг. TuxCut хэрэгслийг ашиглан та үүнээс өөрийгөө маш амархан хамгаалж чадна.

Албан ёсны мэдээллийн санд програм байхгүй тул суулгахын тулд багцыг GitHub-аас татаж авах хэрэгтэй.

wget https://github.com/a-atalla/tuxcut/releases/download/6.1/tuxcut_6.1_amd64.deb

Дараа нь гарсан багцыг суулгана уу.

sudo apt install tuxcut_6.1_amd64.deb

Хөтөлбөрийг эхлүүлэхийн өмнө дараахь үйлчилгээг эхлүүлээрэй.

sudo systemctl эхлэх tuxcutd

Уг хэрэгслийн үндсэн цонх дараах байдалтай байна.

Сүлжээнд холбогдсон бүх хэрэглэгчдийн IP хаягууд болон тус бүрт тохирох MAC хаягийг энд харуулав. Хэрэв та Protection Mode гэсэн хайрцгийг шалгасан бол програм нь ARP халдлагаас хамгаалах болно. Та аюулгүй байдлаасаа айдаг нийтийн сүлжээ гэх мэт нийтийн сүлжээнд ашиглаж болно.

дүгнэлт

Одоо Ubuntu 16.04-ийн аюулгүй байдлын тохиргоо дууссан бөгөөд таны систем илүү найдвартай болсон. Бид хакеруудын ашигладаг хамгийн түгээмэл халдлагын векторууд болон нэвтрэлтийн аргуудыг хаасан. Хэрэв та Ubuntu-д аюулгүй байдлыг сайжруулах өөр ашигтай аргуудыг мэддэг бол коммент дээрээ бичээрэй!

Бүгдээрээ сайн байцгаана уу ... Ubuntu-ийн удирдлага дор ажилладаг бүх шинэхэн админууд сүлжээний интерфэйсийг (сүлжээ, сүлжээний карт) тохируулах даалгавартай байдаг. Энэ нийтлэлд би үүнийг хэрхэн хийхийг зааж өгөх болно ... Энэ бол маш энгийн ...

Хэрэв та ямар нэгэн байдлаар сүлжээний тохиргоог алдсан эсвэл түгээлтийн хэрэгсэл суулгахад бэрхшээлтэй тулгарсан бол одоо бид үүнийг гараар хийх болно. Тиймээс түгээлтийн хэрэгсэл суурилуулсан бөгөөд биднийг зууралдахыг хүлээж байна ... Бид 2 сүлжээний картыг тохируулах хэрэгтэй ... .. Бидний нэг нь үйлчилгээ үзүүлэгч рүү, нөгөө нь орон нутгийн сүлжээ... Яаралтай тохиролцож, интерфэйсүүд болон хаягаа зааж өгье.

ёс0- 192.168.0.1 (энэ нь үйлчилгээ үзүүлэгчийн өгсөн хаягийг хэлье) Интернетийг хардаг интерфэйс (үйлчилгээ үзүүлэгч)
eth1- 10.0.0.1 (энэ интерфейст өгөхийг хүссэн хаяг) Дотоод сүлжээг хайж буй интерфэйс

Юуны өмнө аль интерфэйсийг аль хэдийн командаар эхлүүлснээ шалгацгаая ifconfigТа үүнтэй төстэй зүйлийг харах болно (зөвхөн xxxxx-ийн оронд зөвхөн өгөгдлөөрөө)

Eth0 Link encap: Ethernet HWaddr xx: xx: xx: xx: xx inet addr: xxx.xxx.xxx.xxx Bcast: xxx.xxx.xxx.xxx.xxx.xxx. Masx: 255.255.255.252 inet6 addr: xxx :: xxxxx : xxx: xxxx / 64 Хамрах хүрээ: Link UP BROADCAST RUNNING MULTICAST MTU: 1500 Metric: 1 RX packets: 31694097 алдаа: 0 унасан: 0 давсан: 0 хүрээ: 0 TX пакет: 15166512 алдаа: 0 унасан: 0 давсан: 0 тээвэрлэгч: 0 мөргөлдөөн: 0 txqueuelen: 100 RX байт: 2215593127 (2.2 GB) TX байт: 1577680249 (1.5 GB) Санах ой: b8820000-b8840000 eth1 Link encap: Ethernet HWaddr xx: xx: xx: xx: xx: xx inet addr: 10.0. 0.1 Bcast: 10.0.0.255 маск: 255.255.255.0 inet6 xxxx: xxxx :: xxxx: xxxf: xxx: xxxx / 64 Хамрах хүрээ: Link UP BROADCAST RUNNING MULTICAST MTU: 1500 Metric: 1 RX packets: 11352041 алдаа: 0 over: 0 : 0 хүрээ: 0 TX пакет: 21539638 алдаа: 0 унасан: 0 давсан: 0 тээвэрлэгч: 0 мөргөлдөөн: 0 txqueuelen: 100 RX байт: 1262641422 (1.2 GB) TX байт: 1922838889 (1.9 GB) Санах ой: b8800000-b8820000 lo Link encap: Loopback inet addr: 127.0.0.1 Mask: 255.0.0.0 inet6 addr: :: 1/128 Хамрах хүрээ: Host UP LOOPBACK RUNNING MTU: 16436 Metric: 1 RX пакетууд: 3823 алдаа: 0 унасан: 0 давсан: 0 хүрээ: 0 TX пакетууд: 3823 алдаа: 0 буурсан: 0 давсан: 0 тээвэрлэгч: 0 мөргөлдсөн: 0 txqueuelen: 0 RX байт : 717663 (717.6 KB) TX байт: 717663 (717.6 KB)

Хэрэв танд интерфэйсүүдийн аль нэг нь харагдахгүй байвал зүгээр болно. Энэ нь зүгээр л идэвхгүй болсон, үүнийг командын хамт асаацгаая sudo ifconfig eth1 up(eth1-ийн оронд интерфэйсийг бичнэ үү, хэрэв танд 2 сүлжээний карт байгаа бол eth0 ба eth1 гэсэн 2 интерфэйс л байгаа гэсэн үг) Тиймээс бид интерфэйсийг идэвхжүүлнэ:

sudo ifconfig eth1 up

Тиймээс тохируулж эхэлье.

Дараах тушаалаар үйлчилгээ үзүүлэгчээс гаргасан IP хаягийг eth0 интерфэйс дээр оноож өг.

sudo ifconfig eth1 inet 192.168.0.2

Нетмаскаа зааж өгөөрэй:

sudo ifconfig eth0 netmask 255.255.255.0

Ийм байдлаар хийгдсэн тохиргоог сервер дахин эхлүүлсний дараа дахин тохируулна.
Үүнээс урьдчилан сэргийлэхийн тулд сүлжээний интерфэйсийн тохиргооны файл дахь тохиргоог өөрчлөх хэрэгтэй. Энэ нь шаарддаг Язгуур эрх... Бид эрхийг нь авдаг Root буюу эхдараах тушаалаар:

sudo su

Сүлжээний интерфэйсийн тохиргооны файл нь / etc / network / interfacesҮүнийг засахын тулд бид Nano редакторыг ашигладаг (та өөрийн редакторыг ашиглаж болно) Нано

nano / etc / network / interfaces

Бид дараахь зүйлийг харж байна.

# Энэ файл нь таны системд байгаа сүлжээний интерфэйсийг тайлбарласан болно # мөн тэдгээрийг хэрхэн идэвхжүүлэх талаар. Дэлгэрэнгүй мэдээллийг интерфэйсүүдээс үзнэ үү (5). # Loopback сүлжээний интерфэйс авто хар iface lo inet loopback # Анхдагч сүлжээний интерфэйс // Анхдагч сүлжээний интерфэйс авто eth0 // Сүлжээний интерфейст дараахь шинж чанаруудыг оноож өг iface eth0 inet static// Сүлжээний интерфэйсийг автоматаар идэвхжүүлнэ хаяг 192.168.0.2// манай сүлжээний картын ip хаяг (үйлчилгээ үзүүлэгчээс гаргасан) netmask 255.255.255.0// Манай IP-ийн сүлжээний маск сүлжээ 192.168.0.0 // Бүх хүрээний сүлжээ нэвтрүүлэг 192.168.0.255// Макс. хаягийн тоо гарц 192.168.0.1// Гарц # dns- * тохируулгуудыг суулгагдсан тохиолдолд resolvconf багц хэрэгжүүлдэг

Дараахь хэлбэрт оруулах шаардлагатай

# Энэ файл нь таны системд байгаа # сүлжээний интерфэйсүүд болон тэдгээрийг хэрхэн идэвхжүүлэх талаар тайлбарласан болно. Дэлгэрэнгүй мэдээллийг интерфэйсүүдээс үзнэ үү (5). # Loopback сүлжээний интерфэйс auto lo iface lo inet loopback # анхан шатны сүлжээний интерфэйс auto eth0 iface eth0 inet статик хаяг 192.168.0.2 netmask 255.255.255.0 network 192.168.0.0 gateway 192.168.0.1 # dns- * тохиргоонуудыг resolvconf багц програм хэрэгжүүлж байна. хэрэв суулгасан бол dns-nameservers 192.168.22.22 192.168.33.33 # Дотоод сүлжээнд харагдах интерфэйс авто eth1 iface eth1 inet static хаяг 10.0.0.1 netmask 255.255.255.0

Ctrl + O товчийг дарж өөрчлөлтийг хадгалж, Ctrl + X товчийг дарж гарна

DNS серверийн хаягийг / etc / network / interfaces файлд тохируулж болох боловч Ubuntu дахь DNS серверийн хаягийг /etc/resolv.conf файлаар удирддаг тул надад дараах байдалтай байна:

нэрийн сервер xx.xx.xx.xx нэрийн сервер xx.xx.xx.xx

DNS-ийг тохируулцгаая. Үүний тулд мөрөнд дараах тушаалыг оруулна уу.

Sudo nano /etc/resolv.conf # үйлчилгээ үзүүлэгчийн DNS серверүүдийн IP хаягууд xx.xxx.xxx.xxx нэрийн сервер xxx.xxx.xx.xxx

Бид хадгалдаг Ctrl + O бид явлаа Ctrl + xта дараахь тушаалаар сүлжээгээ дахин ачаалах хэрэгтэй.

2015 онд жил бүр зохион байгуулагддаг LinuxCon дээр GNU / Linux цөм бүтээгч Линус Торвалдс системийн аюулгүй байдлын талаар санал бодлоо хуваалцав. Тэрбээр тодорхой алдаануудын үр нөлөөг чадварлаг хамгаалалттайгаар багасгах хэрэгтэй бөгөөд ингэснээр нэг бүрэлдэхүүн хэсэг нь доголдвол дараагийн давхарга нь асуудалтай давхцаж байх ёстойг онцлов.

Энэ нийтлэлд бид энэ сэдвийг практик талаас нь авч үзэхийг хичээх болно.

7. Галт хана суурилуулах

Саяхан доорхи серверүүд дээр DDoS халдлага хийх боломжийг олгодог шинэ эмзэг байдал гарсан линукс менежмент... Системийн цөм дэх алдаа 2012 оны сүүлээр 3.6 хувилбартай гарч ирэв. Энэ эмзэг байдал нь хакеруудад татаж авах файл, вэб хуудас руу вирус шахах, Tor холболтыг ил гаргах боломжийг олгодог бөгөөд хакердахад тийм ч их хүчин чармайлт шаарддаггүй - IP залилан хийх арга нь ажиллах болно.

Шифрлэгдсэн HTTPS эсвэл SSH холболтуудын хамгийн их хор хөнөөл нь холболтыг тасалдуулж байгаа боловч халдагч нь шинэ агуулга, түүний дотор хортой програмыг хамгаалалтгүй траффикт оруулах боломжтой. Ийм халдлагаас хамгаалахад галт хана тохиромжтой.

Галт хана ашиглан нэвтрэхийг хориглох

Галт хана нь хүсээгүй ирж \u200b\u200bбуй траффикийг хаах хамгийн чухал хэрэгслүүдийн нэг юм. Бид танд зөвхөн шаардлагатай байгаа замын хөдөлгөөнийг зөвшөөрч, бусад бүх зүйлийг үгүйсгэхийг зөвлөж байна.

Ихэнх Линуксийн дистрибьютерт пакет шүүлтүүр хийх iptables хянагч байдаг. Энэ нь ихэвчлэн туршлагатай хэрэглэгчид ашигладаг бөгөөд хялбаршуулсан тохиргооны хувьд та Debian / Ubuntu эсвэл Fedora дээр FirewallD дээр UFW хэрэгслүүдийг ашиглаж болно.

8. Шаардлагагүй үйлчилгээг идэвхгүй болгох

Виржиниагийн их сургуулийн мэргэжилтнүүд таны ашигладаггүй бүх үйлчилгээг унтраахыг зөвлөж байна. Зарим нь суурь процессууд системийг эхлүүлэх хүртэл ажиллуулахаар тохируулсан байна. Эдгээр програмыг тохируулахын тулд та init скриптүүдийг шалгах хэрэгтэй. Үйлчилгээг inetd эсвэл xinetd-ээр эхлүүлж болно.

Хэрэв таны систем inetd-ээр тохируулагдсан бол /etc/inetd.conf файл дотор та жагсаалтыг засах боломжтой. суурь хөтөлбөрүүд "Daemons", үйлчилгээний ачааллыг идэвхгүй болгохын тулд мөрийн эхэнд "#" тэмдгийг байрлуулж, тайлбар хийхийн тулд гүйцэтгэгдэж байснаас эргүүлээрэй.

Хэрэв систем xinetd ашигладаг бол түүний тохиргоо нь /etc/xinetd.d директор дотор байх болно. Лавлах файл бүр дараах жишээнд дурдсанаар disable \u003d yes гэж зааж идэвхгүйжүүлж болох үйлчилгээг тодорхойлдог.

Үйлчилгээний хуруу (socket_type \u003d stream хүлээх \u003d хэрэглэгч байхгүй \u003d хэн ч сервер \u003d /usr/sbin/in.fingerd идэвхгүй болгох \u003d тийм)
Inetd эсвэл xinetd-ийн удирддаггүй байнгын процессуудыг шалгах нь зүйтэй. Та эхлүүлэх скриптүүдийг /etc/init.d эсвэл / etc / inittab директоруудад тохируулж болно. Өөрчлөлт хийсний дараа командыг root данс болгон ажиллуулна уу.

/etc/rc.d/init.d/inet дахин эхлүүлэх

9. Серверийг бие бялдрын хувьд хамгаалах

Хортой халдлагаас бүрэн хамгаалах боломжгүй юм физик хандалт сервер рүү. Тиймээс та өөрийн систем байрладаг өрөөг аюулгүй байлгах хэрэгтэй. Мэдээллийн төвүүд аюулгүй байдалд ноцтой хяналт тавьж, сервер рүү нэвтрэх эрхийг хязгаарлаж, аюулгүй байдлын камер суурилуулж, байнгын аюулгүй байдлыг хангаж өгдөг.

Мэдээллийн төвд нэвтрэхийн тулд бүх зочид нэвтрэлт танилтын тодорхой үе шатыг давах ёстой. Мөн төвийн бүх хэсэгт хөдөлгөөн мэдрэгч ашиглахыг зөвлөж байна.

10. Серверийг зөвшөөрөлгүй хандалтаас хамгаалах

Зөвшөөрөгдөөгүй хандалтын систем эсвэл IDS нь системийн тохиргоо, файлуудын талаархи мэдээллийг цуглуулдаг бөгөөд дараа нь эдгээр өгөгдлийг шинэ өөрчлөлтүүдтэй харьцуулж системд хортой эсэхийг тогтоодог.

Жишээлбэл, Tripwire ба Aide хэрэгслүүд нь системийн файлуудын мэдээллийн санг цуглуулж, тэдгээрийг түлхүүрүүдийн багцаар хамгаалдаг. Psad нь галт хананы тайланг ашиглан сэжигтэй үйл ажиллагааг хянахад хэрэглэгддэг.

Bro нь сүлжээг хянах, сэжигтэй хэв маягийг хянах, статистик мэдээлэл цуглуулах, системийн командыг гүйцэтгэх, сэрэмжлүүлэг үүсгэх зориулалттай. RKHunter-ийг вирусээс, ихэвчлэн руткитээс хамгаалахад ашиглаж болно. Энэхүү хэрэгсэл нь танай системийг мэдэгдэж буй эмзэг байдлын мэдээллийн сангаас шалгаж, програмын аюултай тохиргоог илрүүлж чаддаг.

Дүгнэлт

Дээрх хэрэгсэл, тохиргоо нь системийг хэсэгчлэн хамгаалахад туслах боловч аюулгүй байдал нь таны зан байдал, нөхцөл байдлыг ойлгосноос хамаарна. Анхаарал болгоомжтой, болгоомжтой байж, бие дааж сурахгүйгээр хамгаалалтын бүх арга хэмжээ үр дүнд хүрэхгүй байж магадгүй юм.