Защита устройства Linux

Обновлено18 May 2021

Содержание

...Загрузка оглавления...

    Каждый пользователь Linux наверняка слышал утверждение, что Linux безопаснее Windows. Это не всегда так. Безопасность зависит от того, как мы используем наши устройства. В программах тоже могут встречаться уязвимости. В этой главе мы поговорим о том, как усилить защиту ваших устройств. Время от времени полезно на всякий случай проверять эти настройки.

    В этом руководстве мы говорим об Ubuntu Linux. Пользователям Ubuntu наши советы подойдут наверняка. Если вы предпочитаете другую сборку Linux, наше руководство все равно может оказаться полезным. Возможно, ответы на те же вопросы найдутся в разделе помощи вашей операционной системы.

    Визуальный гид

    Используйте этот визуальный гид по мере знакомства с нашими советами ниже.

    Используйте самую свежую версию операционной системы

    • Обновлять программное обеспечение лучше из надежного места вроде дома или офиса, а не из интернет-кафе или кофейни.
    • Для обновления операционной системы может понадобиться не только скачивание, но и неоднократная перезагрузка. Вам лучше выделить на это время, чтобы не мешать рабочим задачам. Далее мы приводим некоторые советы о том, как узнать текущую версию операционной системы и сравнить с новейшей. Впрочем, иногда ваше устройство само сигнализирует о необходимости обновления.
    • Если свежая версия операционной системы не работает на вашем устройстве, попробуйте использовать дистрибутив Linux, специально созданный для старого оборудования, например Lubuntu. А может, пора купить новое устройство?
    • После обновления обязательно перезагрузите компьютер. Убедитесь, что обновление полностью установлено.
    • Здесь можно узнать, какая версия Ubuntu самая свежая.
    • Сравните эту версию с той, которая установлена у вас.
    Почему мы советуем делать так

    В коде программ, которые нужны для работы ваших устройств, каждый день обнаруживаются какие-нибудь уязвимости. Разработчики-программисты не могут предсказать, где случится следующая "дырка", ведь код довольно сложный. Злоумышленники могут использовать уязвимости, чтобы проникнуть на ваши устройства.

    Однако разработчики программ регулярно выпускают "заплатки", устраняющие эти уязвимости. Вот почему так важно устанавливать обновления и использовать последнюю версию операционной системы на каждом устройстве. А чтобы не забывать об этом, мы советуем включить автоматическое обновление.

    Используйте приложения из доверенных источников

    Почему мы советуем делать так

    Ubuntu Software — программа для установки приложений и программ в Ubuntu. Устанавливайте приложения только из репозиториев, управляемых разработчиками этих дистрибутивов Linux. "Зеркальные" сайты загрузки могут быть ненадежными, если только вы не знаете их владельцев и не доверяете им. Считаете, что польза от конкретного приложения перевешивает риск? Тогда примите дополнительные меры защиты. Например, избегайте хранить на этом устройстве особо важные или персональные данные.

    Почему "Безопасность-в-коробке" доверяет разработчикам рекомендуемых нами программ.

    Удалите ненужные и неиспользуемые приложения

    Почему мы советуем делать так

    Каждый день в коде программ на ваших устройствах обнаруживаются новые уязвимости. Код сложный, и программисты-разработчики не могут предсказать, где в следующий раз окажется "дыра". Злоумышленники используют уязвимости, чтобы добраться до содержимого ваших устройств. Если вы удалите неиспользуемые приложения, это поможет уменьшить число потенциальных уязвимостей. Неиспользуемые приложения тоже могут передавать данные, которыми вы не хотели бы делиться с посторонними, например, ваше местонахождение.

    Проверьте разрешения приложений

    Почему мы советуем делать так

    Некоторые приложения имеют доступ к особенно важным цифровым данным или службам. Например, к определению вашего местонахождения, микрофону, камере, настройкам устройства. Такие приложения могут передавать эту информацию "на сторону". Бывает, что их используют злоумышленники. Если вам не нужно, чтобы приложение имело доступ к той или иной службе, отключите это разрешение.

    Отключите местонахождение и удалите историю

    • Возьмите за правило везде отключать геолокацию — постоянно или когда вы не используете ее, для всего устройства и для отдельных приложений.
    • Регулярно проверяйте и очищайте историю местоположения, если она у вас включена.
    • См. как отключить геолокацию.
    Почему мы советуем делать так

    Многие устройства фиксируют, где мы находимся, по данным GPS, вышек сотовой связи и точек wifi. Если ваше устройство записывает такую информацию, значит, кто-то может вас найти или доказать, что вы находились в определенных местах или были связаны с определенными людьми.

    Создайте на своих устройствах разные учетные записи

    • Создайте две и больше учетные записи на своем устройстве: одну с правами администратора, другие обычные (без прав администратора).
      • К учетной записи с правами администратора должны иметь доступ только вы.
      • У обычных пользователей не должно быть прав доступа ко всем приложениям, файлам или настройкам на устройстве.
    • Подумайте о том, чтобы в каждодневной работе использовать учетную запись с обычными правами.
      • Используйте доступ с правами администратора, только чтобы вносить изменения ради безопасности ваших устройств, например, для установки программ.
      • Если каждый день работать с правами обычного пользователя, можно снизить риск заражения вредоносным кодом.
      • Когда вы пересекаете границы, работа с правами обычного пользователя поможет скрыть особо важные файлы. Судите сами: что предпочтут проверяющие службы на границе? Изъять ваше устройство для дальнейшей подробной проверки или просто открыть его и выполнить беглый осмотр? Если вы считаете, что первый сценарий вам вряд ли грозит, то работа с правами обычного пользователя и не-сенситивные файлы при проверке обеспечат вам что-то вроде "легального отказа".
    • Управляйте аккаунтами пользователей
    • Определите, кто будет иметь права администратора для изменения важных настроек.
    Почему мы советуем делать так

    Настоятельно рекомендуем не давать кому-либо доступ к устройствам, которые вы используете для работы с важными файлами. Правда, некоторые люди вынужденно "делят" устройства с коллегами или членами семьи. Если это ваш случай, защитить важные данные поможет создание отдельных учетных записей.

    Удалите ненужные аккаунты, связанные с вашим устройством

    Почему мы советуем делать так

    Если вы не собираетесь никому давать доступ к своему устройству, лучше не оставлять дополнительных лазеек для этого. Как говорят, "уменьшить площадь атаки". Кроме того, бывает полезно проверить, какие пользователи связаны с устройством. Глядишь, обнаружатся аккаунты, о которых вы не знали.

    Настройте режим сна и блокировки экрана

    Почему мы советуем делать так

    Может казаться, что самые большие угрозы — технические. Но куда больше вероятность, что ваше устройство изымут, украдут или взломают. Вот почему так важно установить блокировку экрана с хорошим паролем. Тогда никто не сможет получить доступ к содержимому устройства, просто включив его.

    Мы не рекомендуем использовать другие варианты блокировки экрана, кроме надежного пароля. При аресте, задержании или обыске вас легко могут заставить разблокировать устройство с помощью лица, голоса, сканирования глаза или отпечатка пальца. Тот, кто завладел вашим устройством, может использовать программы для подбора коротких паролей или PIN-кодов. Графический ключ можно отгадать по следам пальцев на экране. Если вы установили блокировку по отпечатку пальца, кто-то может заполучить ваш отпечаток и сделать фейковый "палец". Похожая тактика применялась и против защиты с распознаванием лица.

    По этим причинам самая безопасная блокировка — длинный пароль.

    Настройте вывод информации на заблокированном экране

    Почему мы советуем делать так

    Надежная блокировка экрана обеспечит некоторую защиту в случае кражи или изъятия устройства. Но если не отключить уведомления на экране блокировки, посторонний сможет видеть информацию, когда ваши контакты отправляют вам сообщения или вы получаете email.

    Используйте специальное устройство — фильтр для защиты приватности

    Почему мы советуем делать так

    Мы часто считаем, что проблемы с цифровой безопасностью сугубо технические. Вас может удивить тот факт, что у некоторых правозащитников похищали информацию или взламывали банковские счета, буквально заглянув через плечо или с помощью камеры наблюдения. Специальный фильтр снижает вероятность того, что кому-то это удастся. Найти такое устройство можно там, где продаются все прочие аксессуары.

    Используйте шторку для камеры

    • Сначала узнайте, есть ли у вашего устройства камеры, и если есть — где они расположены. У компьютера может быть и не одна камера (например, встроенная и подключенная дополнительно).
    • Простейший способ прикрыть камеру: наклейте на объектив кусочек лейкопластыря и снимайте его, когда нужно воспользоваться камерой. Лейкопластырь лучше изоленты, так как в средней части нет клея и он не попадает на объектив камеры.
    • Вы также можете заглянуть в магазин гаджетов и аксессуаров и поискать там шторку для камеры. Важно выбрать тонкую шторку, иначе крышка ноутбука может не закрыться.
    Почему мы советуем делать так

    Некоторые вредоносные программы без вашего ведома включают камеру на устройстве. Так они могут наблюдать за вами, вашими близкими или местом, где вы находитесь.

    Отключайте неиспользуемые модули связи

    Почему мы советуем делать так

    Wifi — соединение для передачи данных, оно позволяет вашим устройствам выходить в интернет с помощью радиоволн. Подключение идет через маршрутизатор, который обычно имеет проводное соединение с широкополосным интернетом. Мобильный интернет помогает людям получить доступ к другим компьютерам и телефонам по всему миру через сеть вышек и ретрансляторов сотовой связи. NFC и Bluetooth соединяют наши устройства с другими устройствами поблизости, также посредством радиоволн. Все эти виды коммуникаций необходимы для общения людей друг с другом. Но поскольку наши устройства подключаются к другим устройствам, есть вероятность, что злоумышленник воспользуется этим соединением и получит доступ к нашим устройствам с важной информацией.

    По этой причине рекомендуется отключать неиспользуемые соединения, особенно wifi и Bluetooth. Это сокращает время, когда у злоумышленника есть шанс получить доступ к вашим ценностям, не привлекая ваше внимание. Например, устройство может просто медленно работать или перегреваться, хотя нагрузка невелика.

    Удалите сохраненные сети wifi

    Почему мы советуем делать так

    В режиме автоматического подключения к сетям wifi устройство пытается найти любую wifi-сеть, которую вы использовали ранее. Устройство запоминает эти сети. Оно перебирает их одну за другой и проверяет, доступна ли сеть для подключения. Если поблизости находится злоумышленник, он может попробовать идентифицировать ваше устройство. Ведь у каждого человека свой список wifi-сетей. Например, вы наверняка подключались как минимум к домашней и офисной сетям, а может быть, и где-то в гостях, в любимом кафе и т.д. Похоже на идентификацию по отпечаткам пальцев. Наблюдатель, находящийся неподалеку, может без труда идентифицировать ваше устройство и определить, где вы бывали.

    Чтобы защитить себя от идентификации, удалите сохраненные устройством сети wifi и запретите устройству запоминать их впредь. Это затруднит быстрое подключение, но вам поможет, если вы сохраните данные в менеджере паролей.

    Если подключенные устройства не используются, отключите их

    Ubuntu может автоматически не предоставлять возможность общего доступа. Если вы знаете, что на устройстве возможен общий доступ, проверьте, нужно ли выключить соответствующие пункты в настройках. Не можете найти настройки общего доступа с помощью наших инструкций? Тогда, вероятно, функция общего доступа недоступна на вашем устройстве.

    Почему мы советуем делать так

    Многие устройства позволяют легко обмениваться файлами или сервисами с окружающими. Это полезная функция, но если она включена постоянно, злоумышленники могут воспользоваться ею и получить доступ к файлам на вашем устройстве.

    Используйте брандмауэр

    Почему мы советуем делать так

    Брандмауэр — защитное средство, которое блокирует нежелательные подключения к устройству. Он похож на охранника у дверей здания, решающего, кто может войти, а кто выйти. Брандмауэр принимает запросы и решения о входящих и исходящих соединениях. Рекомендуем включать его, чтобы предотвратить попытки несанкционированного доступа к устройству. Настройки брандмауэра по умолчанию должны быть достаточными для защиты большинства пользователей.

    Не везде брандмауэр включен по умолчанию. Отключенный брандмауэр не значит, что система широко открыта для сетевых подключений извне. Скорее, это значит, что владелец системы доверяет своему программному обеспечению. Он уверен, что программы не станут прослушивать сеть без его одобрения. Такой владелец компьютера похож на владельца здания: ему не так-то нужны охрана и камеры, поскольку он знает, какие двери не заперты, какие забаррикадированы, а какие открываются только для людей с определенными ключами.

    Брандмауэр помогает защитить устройство при угрозе шпионских программ. Такое может произойти из-за случайной уязвимости или по злому умыслу. Брандмауэр может контролировать и входящие, и исходящие соединения. В последнем случае брандмауэр способен сообщить, когда вредоносная программа пытается переслать украденные данные или получить инструкции от своего "хозяина". Если ваш брандмауэр (встроенный или установленный) отслеживает исходящие соединения, будьте готовы потратить некоторое время на его "обучение". Важно, чтобы брандмауэр поднимал тревогу только в том случае, если действительно обнаружит что-то необычное.

    Что почитать

    Часто задаваемые вопросы

    Вопрос. Мне сказали, что на Linux нельзя подцепить вирус, поэтому злоумышленники в основном пишут вирусы для Windows. Это правда?

    Ответ. Нет. Хотя большинство вредоносных программ нацелено на Windows, вы все равно можете заразиться ими, работая в Linux. Например, если перейдете по зараженной ссылке или откроете вредоносное вложение. Подробнее о вредоносном коде и о том, как его избежать, можно прочитать здесь.

    Вопрос. Верно ли, что Ubuntu сложнее взломать, чем Windows или macOS?

    Ответ. Необязательно. Процесс обнаружения уязвимостей и их использования практически одинаков для разных операционных систем.