Всем привет… У всех начинающих админов под Ubuntu появляется задача настройки сетевых интерфейсов (сети, сетевых карт) В этой статье я покажу как это делать… Это делается очень просто…
Если каким то способом вы пропустили настройку сети или увидели сложность в при установке дистрибутива то сейчас мы это проделаем в ручную. И так дистрибутив у нас установлен и ждёт нас в рукоприкладстве… Нам необходимо настроить 2 сетевые карты….. Одна у нас смотрит в сторону провайдера а другая в локальную сеть. Сразу договоримся и обозначим наши интерфейсы и адреса.
eth0
— 192.168.0.1 (допустим это адрес который выдал провайдер) Интерфейс который смотрит в интернет (провайдер)
eth1
— 10.0.0.1 (адрес который мы с вами хотим дать этому интерфейсу) Интерфейс смотрящий в локальную сеть
Первым делом проверим какие у нас интерфейсы уже запущены командой ifconfig Вы увидите что то подобное (только со своими данными вместо ххххх)
Eth0 Link encap:Ethernet HWaddr хх:хх:хх:хх:хх:хх inet addr:ххх.ххх.ххх.ххх Bcast:ххх.ххх.хххх.ххх Mask:255.255.255.252 inet6 addr: ххх::ххх:ххх:ххх:хххх/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:31694097 errors:0 dropped:0 overruns:0 frame:0 TX packets:15166512 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:100 RX bytes:2215593127 (2.2 GB) TX bytes:1577680249 (1.5 GB) Память:b8820000-b8840000 eth1 Link encap:Ethernet HWaddr хх:хх:хх:хх:хх:хх inet addr:10.0.0.1 Bcast:10.0.0.255 Mask:255.255.255.0 inet6 хххх: хххх::хххх:хххf:ххх:хххх/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:11352041 errors:0 dropped:0 overruns:0 frame:0 TX packets:21539638 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:100 RX bytes:1262641422 (1.2 GB) TX bytes:1922838889 (1.9 GB) Память:b8800000-b8820000 lo Link encap:Локальная петля (Loopback) inet addr:127.0.0.1 Mask:255.0.0.0 inet6 addr: ::1/128 Scope:Host UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:3823 errors:0 dropped:0 overruns:0 frame:0 TX packets:3823 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:717663 (717.6 KB) TX bytes:717663 (717.6 KB)
Если у вас будет не будет отображаться один из интерфейсов, то ничего страшного. Он всего лишь отключен, Включим его командой sudo ifconfig eth1 up (вместо eth1 впечатайте ваш интерфейс, если у вас 2 сетевые карты значит всего есть 2 интерфейса это eth0 и eth1) И так включаем наш интерфейс:
sudo ifconfig eth1 upИ так начнём настройку.
Присвоим интерфейсу eth0 ip адрес выданнsq провайдером следующей командой:
sudo ifconfig eth1 inet 192.168.0.2И укажем маску сети:
sudo ifconfig eth0 netmask 255.255.255.0Сделанные настройки таким способом сбрасываются после перезагрузки сервера.
Чтобы такого не происходил необходимо поменять настройки в конфигурационном файле сетевых интерфейсов. Для этого нужны Root права. Получим права Root
следующей командой:
Конфигурационный файл сетевых интерфейсов находится по адресу /etc/network/interfaces Для его редактирования используем редактор Nano (вы можете пользоваться своим редактором) мне нравится Nano
nano /etc/network/interfacesВидиим следующее:
# This file describes the network interfaces available on your system # and how to activate them. For more information, see interfaces(5). # The loopback network interface auto lo iface lo inet loopback # The primary network interface //Первичный сетевой интерфейс auto eth0 //Присвоение сетевому интерфейсу следующие атрибуты iface eth0 inet static //Автоматическое включение сетевого интерфейса address 192.168.0.2 //ip адрес нашей сетевой карты (выдаваемый провайдером) netmask 255.255.255.0 //Маска сети в которой находится наш IP network 192.168.0.0 //Сеть всего диапозона broadcast 192.168.0.255 //Макс. кол.адресов gateway 192.168.0.1 //Шлюз # dns-* options are implemented by the resolvconf package, if installedНеобходимо привести к следующему виду
# This file describes the network interfaces available on your system # and how to activate them. For more information, see interfaces(5). # The loopback network interface auto lo iface lo inet loopback # The primary network interface auto eth0 iface eth0 inet static address 192.168.0.2 netmask 255.255.255.0 network 192.168.0.0 gateway 192.168.0.1 # dns-* options are implemented by the resolvconf package, if installed dns-nameservers 192.168.22.22 192.168.33.33 #Интерфейс который смотрит в локальную сеть auto eth1 iface eth1 inet static address 10.0.0.1 netmask 255.255.255.0Сохраним изменения нажатием клавиш Ctrl + O и выходим нажатием Ctrl + X
Адреса DNS серверов можно задать в файле /etc/network/interfaces , но управление адресами DNS серверов в Ubuntu осуществляется через файл /etc/resolv.conf, у меня он выглядит так:
nameserver хх.хх.хх.хх nameserver хх.хх.хх.ххНастроим DNS, для этого вводим следующую команду в строке:
Sudo nano /etc/resolv.conf # IP адреса DNS серверов вашего провайдера nameserver хх.ххх.ххх.ххх nameserver ххх.ххх.хх.ххх
Сохраняемся Ctrl + O и выходим Ctrl +x также нужно перезагрузить сеть следующей командой.
Многие пользователи сталкиваются с проблемами при попытке настроить интернет-соединение в Ubuntu. Чаще всего это связано с неопытностью, но могут быть и другие причины. В статье будет предоставлена инструкция по настройке нескольких типов подключений с подробным разбором всех возможных осложнений в процессе выполнения.
Существует множество видов подключений к интернету, но в этой статье будут рассмотрены самые популярные: проводная сеть, PPPoE и DIAL-UP. Также будет рассказано про отдельную настройку DNS-сервера.
Подготовительные мероприятия
Перед тем как приступать к установке соединения, стоит убедиться, что ваша система готова к этому. Сразу же надо уточнить, что команды, выполняемые в «Терминале» , делятся на два вида: требующие права пользователя (перед ними будет стоять символ $ ) и требующие права суперпользователя (в начале стоит символ # ). Обращайте на это внимание, так как без нужных прав большинство команд попросту откажутся выполняться. Также стоит уточнить, что сами символы в «Терминал» вписывать не нужно.
Вам необходимо будет выполнить ряд пунктов:
Помимо прочего, нужно обязательно знать наименование сетевого адаптера. Чтобы это выяснить, введите в «Терминале» эту строку:
$ sudo lshw -C network
По итогу вы увидите примерно следующее:
Имя вашего сетевого адаптера будет располагаться напротив слова «логическое имя» . В данном случае «enp3s0» . Именно это название и будет фигурировать в статье, у вас оно может быть другим.
Примечание: если в вашем компьютере установлено несколько сетевых адаптеров, то они будут пронумерованы соответственно (enp3s0, enp3s1, enp3s2 и так далее). Определитесь, с каким вы будете работать, и используйте его в последующих настройках.
Способ 1: Терминал
«Терминал» — это универсальное средство по настройке всего в Ubuntu. С его помощью можно будет установить интернет-соединение всех типов, о чем и пойдет сейчас речь.
Настройка проводной сети
Настройка проводной сети в Ubuntu выполняется путем внесения новых параметров в конфигурационный файл «interfaces» . Поэтому для начала нужно открыть этот самый файл:
Примечание: в команде для открытия файла настройки используется текстовый редактор Gedit, вы же можете прописать в соответствующей части любой другой редактор, например, vi.
Теперь необходимо определиться, какой тип IP у вашего провайдера. Есть две разновидности: статический и динамический. Если вы точно не знаете, то позвоните в тех. поддержку и проконсультируйтесь с оператором.
Для начала разберемся с динамическим IP - его настройка выполняется проще. После введения предыдущей команды, в открывшемся файле укажите следующие переменные:
iface [имя интерфейса] inet dhcp
auto [имя интерфейса]
- iface [имя интерфейса] inet dhcp - ссылается на выбранный интерфейс, который имеет динамический IP-адрес (dhcp);
- auto [имя интерфейса] - при входе в систему делает автоматическое подключение к указанному интерфейсу со всеми заданными параметрами.
После ввода у вас должно получиться примерно так:
Статический IP настраивать несколько сложнее. Главное - знать все переменные. В конфигурационном файле вам нужно ввести следующие строки:
iface [имя интерфейса] inet static
address [адрес]
netmask [адрес]
gateway [адрес]
dns-nameservers [адрес]
auto [имя интерфейса]
После ввода всех параметров вы увидите примерно следующее:
Не забудьте перед закрытием текстового редактора сохранить все внесенные параметры.
Помимо прочего, в ОС Ubuntu можно совершить временную настройку подключения к интернету. Отличается она тем, что указанные данные никак не изменяют конфигурационные файлы, а после перезапуска ПК все ранее указанные настройки сбросятся. Если вы впервые пытаетесь установить проводное соединение на Ubuntu, то для начала рекомендуется использовать этот способ.
Все параметры задаются с помощью одной команды:
$ sudo ip addr add 10.2.119.116/24 dev enp3s0
- 10.2.119.116 - IP-адрес сетевой карты (у вас он может быть другим);
- /24 - количество бит в префиксной части адреса;
- enp3s0 - интерфейс сети, к которой подключен кабель провайдера.
Введя все необходимые данные и выполнив команду в «Терминале» , вы сможете проверить их корректность. Если интернет на ПК появился, то все переменные верны, и их можно вносить в конфигурационный файл.
Настройка DNS
Настройка DNS-подключения в разных версиях Ubuntu выполняется по-разному. В версиях ОС начиная с 12.04 — один способ, в более ранних — другой. Рассматривать мы будем только статический интерфейс подключения, так как динамический подразумевает автоматическое определение DNS-серверов.
Настройка в версиях ОС выше 12.04 происходит в уже известном файле «interfaces» . В нем необходимо ввести строку «dns-nameservers» и через пробел перечислить значения.
Итак, сначала откройте через «Терминал» конфигурационный файл «interfaces» :
$ sudo gedit /etc/network/interfaces
dns-nameservers [адрес]
По итогу у вас должно получиться примерно так, только значения могут быть другими:
Если вы хотите настроить DNS в Ubuntu более ранней версии, то конфигурационный файл будет другим. Откроем его через «Терминал» :
$ sudo gedit /etc/resolv.conf
После в нем можно задать необходимые адреса DNS. Стоит взять в учет то, что в отличии от ввода параметров в «interfaces» , в «resolv.conf» адреса пишутся каждый раз с абзаца, перед значением используется префикс «nameserver» (без кавычек).
Настройка соединения PPPoE
Настройка PPPoE через «Терминал» не подразумевает внесение множества параметров в различные конфигурационные файлы на компьютере. Наоборот, использована будет всего одна команда.
Итак, чтобы совершить подключение типа «точка-точка» (PPPoE), вам необходимо выполнить следующие действия:
После всех проделанных действий ваш компьютер установит соединение с интернетом, если вы все сделали верно.
Обратите внимание, что по умолчанию утилита pppoeconf называет созданное подключение dsl-provider . Если вам нужно будет разорвать соединение, то выполните в «Терминале» команду:
$ sudo poff dsl-provider
Чтобы соединение установилось снова, введите:
$ sudo pon dsl-provider
Примечание: если вы подключаетесь к сети, используя утилиту pppoeconf, то управление сетью через Network Manager будет невозможным, ввиду внесения параметров в конфигурационный файл «interfaces». Чтобы сбросить все настройки и передать управление Network Manager, вам необходимо открыть файл «interfaces» и заменить все содержимое на текст, указанный ниже. После ввода сохраните изменения и перезапустите сеть командой «$ sudo /etc/init.d/networking restart» (без кавычек). Также перезапустите утилиту Network Manager, выполнив «$ sudo /etc/init.d/NetworkManager restart» (без кавычек).
Настройка соединения DIAL-UP
Чтобы совершить настройку DIAL-UP, можно воспользоваться двумя консольными утилитами: pppconfig и wvdial .
Настроить подключение с помощью pppconfig достаточно просто. В целом данный способ очень похож на предыдущий (pppoeconf ): вам точно так же будут заданы вопросы, отвечая на которые по итогу вы установите соединение с интернетом. Сперва запустите саму утилиту:
$ sudo pppconfig
После этого следуйте инструкциям. Если вы не знаете некоторых ответов, то рекомендуется связаться с оператором из тех. поддержки вашего провайдера и проконсультироваться с ним. После того как завершите все настройки соединение будет установлено.
Что касается настройки с помощью wvdial , то она происходит немного сложнее. Для начала необходимо установить сам пакет через «Терминал» . Для этого выполните следующую команду:
$ sudo apt install wvdial
В его состав входит утилита, предназначенная для автоматической конфигурации всех параметров. Называется она «wvdialconf» . Запустите ее:
$ sudo wvdialconf
После ее выполнения в «Терминале» будет отображено множество параметров и характеристик — в них разбираться не нужно. Следует лишь знать, что утилита создала специальный файл «wvdial.conf» , в который автоматически внесла необходимые параметры, считав их с модема. Далее надо отредактировать созданный файл «wvdial.conf» , откроем его через «Терминал» :
$ sudo gedit /etc/wvdial.conf
Как можно заметить, большинство настроек уже прописано, но три последних пункта все равно нужно дополнить. Вам необходимо будет прописать в них номер телефона, логин и пароль, соответственно. Однако не спешите закрывать файл, для более удобной работы рекомендуется добавить еще несколько параметров:
- Idle Seconds = 0 - соединение не будет разорвано даже при долгом бездействии за компьютером;
- Dial Attempts = 0 - совершает бесконечные попытки установить соединение;
- Dial Command = ATDP - набор номера будет осуществляться импульсным способом.
По итогу файл конфигураций будет иметь такой вид:
Обратите внимание, что настройки разбиты на два блока, озаглавленные названиями в скобках. Это необходимо для создания двух версий использования параметров. Так, параметры, находящиеся под «» , будут выполняться всегда, а под «» — при указании соответствующей опции в команде.
После проведения всех настроек, чтобы установить соединение DIAL-UP, вам необходимо выполнить эту команду:
Если же вы хотите установить импульсное соединение, то пропишите следующее:
$ sudo wvdial pulse
Для того чтобы разорвать установленное соединение, в «Терминале» нужно нажать комбинацию клавиш Ctrl+C .
Способ 2: Network Manager
В Ubuntu есть специальная утилита, которая поможет установить соединение большинства видов. К тому же, она обладает графическим интерфейсом. Это Network Manager, который вызывается нажатием по соответствующей иконке в правой части верхней панели.
Настройка проводной сети
Начнем мы точно так же с настройки проводной сети. Для начала необходимо открыть саму утилиту. Для этого кликните по ее иконке и нажмите «Изменить соединения» в контекстном меню. Далее в появившемся окне нужно сделать следующее:
После всех проделанных действий проводное интернет-соединение должно быть установлено. Если этого не произошло, проверьте все введенные параметры, возможно, вы где-то допустили ошибку. Также не забудьте проверить, стоит ли галочка напротив «Управление сетью» в выпадающем меню утилиты.
Настройка DNS
Для установки соединения может понадобиться ручная настройка DNS-серверов. Для этого выполните следующее:
Настройка PPPoE
Настройка соединения по протоколу PPPoE в Network Manager выполняется так же просто, как и в «Терминале» . По сути, вам надо будет указать только логин и пароль, полученные от провайдера. Но рассмотрим все более детальней.
Теперь в меню Network Manager появилось новое DSL-соединение, выбрав которое вы получите доступ в интернет. Напомним, что иногда нужно перезагрузить компьютер, чтобы изменения вступили в силу.
Заключение
По итогу можно сказать, что в операционной системе Ubuntu есть множество инструментов, для осуществления настройки необходимого интернет-соединения. Утилита Network Manager обладает графическим интерфейсом, что в разы упрощает работу, особенно для новичков. Однако «Терминал» позволяет осуществить более гибкую настройку, вводя те параметры, которых в утилите нет.
Дата публикации: четверг, 18 декабря 2008
Перевод: Коваленко А.М.
Дата перевода: 7 августа 2009 г.
Существует общее убеждение, что если кто-то переходит на использование дистрибутива Linux, например, такого как Ubuntu на настольном компьютере, то проблемы обеспечения безопасности решаются сами собой. К сожалению, в реальности этого не происходит. Подобно любой сегодняшней операционной системе, в Ubuntu также существуют потенциальные цели для эксплойтов. Переполнение буфера, переполнение стека, "грязный" код, ошибки пользователей - и это неполный список угроз, который можно было бы еще продолжить. Для противодействия этим и другим возможным угрозам, я покажу вам, как выполнить простые шаги, которые гарантируют, что вы используете разумные стратегии для безопасной работы в Ubuntu.
Анти-вирусная защита?
Один из наиболее часто возникающих споров - использовать или нет на компьютерах с Linux защиту от вирусов. Мое мнение следующее: руткиты и вирусы, чьей целью является Linux, существуют на самом деле. С одной стороны, они - бледная тень чистого объема эксплойтов, нацеленных на Microsoft Windows, и отсюда становится понятным тот факт, что обманчивое чувство безопасности, появляющееся от такой статистики, усыпляет бдительность людей.С другой стороны, и я хочу это подчеркнуть, - идея сканировать содержание вашего компьютера для поиска опасных вирусов очень здравая. Использование съемных носителей, дисков, электронной почты - каждое из этих действий вполне может привести к случайному получению вирусов совместно с пользователями Windows. Обратите внимание, что я не призываю к излишней подозрительности, но предупреждаю об опасности любого пользователя, в чью домашнюю сеть входят без предупреждения.
Поэтому я должен дать вам совет, логично проистекающий из вышеизложенного - используйте какую-либо программу (например, ClamAV) для выполнения еженедельного вирусного сканирования. Хотя сейчас мы и живем в окружении компьютеров Windows, выполнение еженедельного сканирования - это на самом деле та важная операция, о которой каждый должен не только помнить, но и которую непременно должен выполнять.
Защита от злонамеренного программного обеспечения?
Значительная угроза со стороны злонамеренного программного обеспечения все еще существует. В свете этого, уже сам по себе отказ от установки или запуска неизвестных приложений может оказать большую помощь. Весьма неразумно устанавливать подозрительную программу, которую вы не знаете, на любую из платформ путем "слепой" установки вновь обнаруженного программного обеспечения без его предварительного изучения. Потому, как в случае, если оно использует закрытый программный код - вы не сможете даже узнать, что же эта программа делает с вашим компьютером на самом деле.Статьи на эту тему:
- Облегчение написания скриптов SSH и SFTP с использованием Python
- Сайт электронной коммерции Firefox + Greasemonkey Turbocharge со стороны клиента
- Интерфейс командной строки Linux для начинающих, или, Не бойтесь командную строку Linux!
- Графическое удаленное управление компьютерами для Linux, часть 3
Возможности защиты с использованием брандмауэра
Как и для любой операционной системы подключенной к Интернет в наши дни, для ОС Ubuntu, использование брандмауэра - обязательно. Для пользователей Ubuntu это означает использование IPTables через UFW (Uncomplicated Firewall (Простой Брандмауэр)).Грустно, что идею использования брандмауэра, как и большинство идей придуманных инженерами, обычные пользователи не считают "простой", а все по причине того, что брандмауэр требует использования командной строки. Эта очевидная брешь в удобстве использования привела к разработке графического интерфейса - Gufw .
Gufw обеспечивает очень простые возможности для включения/выключения настроек IPTables во всех современных инсталляциях Ubuntu. Gufw также позволяет буквально "одним щелчком" управлять портами, применяя заранее настроенные или расширенные опции перенаправления портов.
Использование этого вида защиты будет обеспечивать подходящий уровень безопасности брандмауэра практически сразу при первом запуске. К несчастью, сам по себе брандмауэр ничего не делает с трафиком, передаваемым через вашу сеть или даже через Интернет. Резюмирую, - брандмауэр - это скорее "привратник" на входе, чем "полицейский на мотоцикле", отлавливающий потенциальные угрозы для вашей сети.
OpenVPN и OpenSSH
Несмотря на тот факт, что большинству корпоративных пользователей требуется использовать OpenVPN для подключения к сети предприятия, я был разочарован тем, что большинство людей не обращают внимания на OpenSSH как альтернативу для домашних работников, которым требуется подключение к безопасным не-VPN сетям.Не вдаваясь в подробности реализации двух этих программ, скажу, что идея состоит в том, что пользователь может безопасно подключаться к удаленному компьютеру/серверу, получать доступ к удаленным разделяемым ресурсам/электронной почте/документам и т.п. без беспокойства о том, что его трафик на всем пути прохождения (туда и обратно) не будет скомпрометирован злоумышленником.
Что касается OpenVPN, - это программное обеспечение позволяет находящимся дома корпоративным пользователям подключаться к серверу виртуальной частной сети (VPN) их компании настолько просто, насколько это вообще возможно. Оттуда они могут получить доступ к своим рабочим компьютерам, управлять документами или просто проверять почту. Суть в том, что работники за пределами локального офиса могут спокойно пользоваться протоколами безопасности, которые установил IT персонал для подключения к сети предприятия снаружи, находясь где-либо вне корпоративной сети, будь то домашний офис или любая другая небезопасная сеть.
Установку OpenVPN соединения выполнить достаточно просто, необходимо только установить пакет network-manager-openvpn из вашего репозитория Ubuntu. После этого и установки других зависимостей, просто щелкните мышью на значке менеджера сети (network-manager) и начните процесс настройки VPN. В сегодняшнем, последнем релизе Ubuntu, 8.10 (прим. переводчика: на момент перевода статьи последним стабильным релизом Ubuntu является 9.04 ), пользователи сразу после установки ОС могут воспользоваться VPN соединениями, предварительно настроив их.
Усиление Удаленной и Локальной безопасности
Теперь вернемся домой. Лично я частично использую OpenSSH для соединения из дома с беспроводной сетью моего собственного кофе-магазина. Использование OpenSSH позволяет мне работать с такими Интернет приложениями, как Evolution (клиент электронной почты), Firefox (web-браузер) и т.п., которые иначе я не стал бы использовать в кофе-магазине для передачи информации.OpenSSH так же обеспечивает замечательную возможность совместного доступа к файлам и папкам компьютеров в вашей локальной сети. Однако, используя совместный доступ вместе с No-IP (прим. переводчика: сервис, подменяющий динамически назначаемый IP-адрес компьютера каким-либо постоянным именем, доступным через Интернет ), вы можете организовать однообразный совместный доступ к файлам и папкам независимо от места, где вы находитесь в данный момент. При этом, где бы вы не находились, дома или на другом конце земного шара, вы получите одинаково надежный совместный доступ к файлам.
Подведем итог всего вышесказанного. SSH и VPN - это виртуальные безопасные мосты от компьютера к серверу или от компьютера к компьютеру. Но насколько бы безопасными не казались эти средства, это не означает, что при просматре Интернет-страницы или отправке электронной почты данные остаются в безопасности в процессе их передачи. Возможно, вы захотите внедрить дополнительно какие-то средства SSL, чтобы использовать протокол HTTPS для просмотра веб-страниц и SSL безопасность для передачи электронной почты туда и обратно.
Обеспечение безопасности вашего компьютера с Ubuntu для локального использования
На сегодняшний день, единственный и, пожалуй, самый большой риск для безопасности вашего компьютера, в общем случае, находится между монитором и стулом. Пользователи, особенно на совместно используемых компьютерах, обеспечивают больше проблем безопасности, чем любые вирусы или зловредное программное обеспечение, случайно проникшее на ваш компьютер.Поскольку мы не можем проконтролировать, что делают другие пользователи на общем компьютере, я предлагаю список некоторых полезных инструментов и техник, которые наилучшим образом подготовят вас к ответным действиям на любые безрассудные поступки, совершенные другими пользователями.
Совет: Сохранение обновлений под контролем . Отказ от поддержания системы Ubuntu в актуальном состоянии - путь, приводящий к получению множества проблем в дальнейшем, уж лучше получить несколько ошибок, в случае выполнения регулярных обновлений. Обновления безопасности - первостепенны.
Совет: Блокирование других пользователей . Немедленное преимущество вы можете получить, спрятав ранее работающую рабочую инсталляцию Ubuntu от менее опытного члена семьи или друга. Наилучший путь для того, чтобы это выполнить - добавить ограниченную в правах учетную запись обычного пользователя для всех тех, кто еще помимо вас работает за компьютером. Из меню администрирования пользователей и групп, под своей собственной учетной записью супер-пользователя, просто отключите любые опции, которые вы хотите запретить, для вновь создаваемой ограниченной учетной записи пользователя.
Совет: Обеспечение безопасности вашего домашнего каталога . Больше для обеспечения тайны, чем для безопасности, избежав головной боли от использования шифрования, вы можете легко и просто поменять привилегии пользователей для доступа к каталогу, например, выполнив команду chmod 0700 /home/$USER в терминале. Предположим, только вы один имеете права суперпользователя (super user/root) на данном компьютере, больше никто не может видеть содержания вашего каталога. Если шифрование обязательно, то есть несколько замечательных HOWTO, лучший из которых . Да, сделать это очень нелегко.
Совет: OpenDNS для базовой фильтрации содержимого . Одним из наилучших путей оградить пользователей вашей системы Ubuntu от доступа к потенциально мошенническим сайтам или узлам со злонамеренным программным обеспечением является использование OpenDNS. Изменение настроек DNS в вашей сети может быть выполнено как на каждом компьютере в отдельности, так и на шлюзе, выполняющем роль маршрутизатора.
Ubuntu настолько безопасна, насколько вы ее таковой сделаете
Используя советы, которые я дал выше, вы несомненно встанете на путь безопасного использования Ubuntu. Но, несмотря на наличие этих рекомендаций, вы всегда можете нарваться на неприятности.Поскольку Linux действительно весьма мощная система, любой у кого есть права супер-пользователя должен осознавать, что есть команды или сценарии оболочки, которые могут быть запущены в терминале и нанести при выполнении существенный вред . Один из типов такого вреда выражается в потере данных.
И еще, — вместо того, чтобы метаться по форумам, разыскивая решение проблемы, которая возникла сама по себе, лучше каждый раз консультироваться с доверенным источником перед запуском кода, с которым вы незнакомы. Один этот совет творит чудеса, гарантируя, что Ubuntu используется безопасно.
Благодарим за статью Datamation
А чтобы обеспечить безопасность территории вокруг вашего реального дома портебуеться настоящая защита. От несанкционированного проникновения дом защитит металлическая сетка рабитца натянутая по периметру участка.
Найдется не один "туз в рукаве", чтобы посягнуть на дорогие вам биты и байты - от фото на документы до данных кредитных карточек.
Наиболее подвержены риску атаки компьютеры, подключенные к интернету, хотя машины без выхода во внешний мир уязвимы не меньше. Призадумайтесь: что может случиться с вашим старым ноутбуком или жестким диском , которые вы выбросили? Вооружившись современными инструментами восстановления данных (многие из которых доступны для бесплатного скачивания), хакер легко восстановит информацию с вашего диска, невзирая на ОС, в которой вы работали. Если жесткий диск содержит данные (неважно, поврежденные или нет), эти данные могут быть восстановлены, банковские счета воссозданы; записанные разговоры в чатах можно реконструировать, а изображения - реставрировать.
Но не пугайтесь. Не стоит бросать пользоваться компьютером . Хотя сделать машину, подключенную к Internet, неуязвимой для атак, практически невозможно, вы можете серьезно осложнить задачу атакующему и гарантировать, что он не извлечет ничего полезного из скомпрометированной системы. Особенно греет душу то, что с помощью Linux и некоторых программ на основе защитить вашу установленную копию Linux будет совсем не сложно.
"Золотого правила" безопасности, подходящего в каждом конкретном случае, не существует (а будь на свете такое правило, его уже давно взломали бы). Над безопасностью нужно работать индивидуально. Следуя приведенным в этой статье советам и пользуясь описанными здесь инструментами, вы научитесь адаптировать их под свой дистрибутив Linux .
Защитить ваш компьютер под управлением ОС Linux помогут следующие простые рекомендации.
Обновление операционной системы
Кроме обновлений, дистрибутивы обычно имеют список рассылки по вопросам безопасности - для рассылки анонсов обнаруженных уязвимостей, а также и пакетов для исправления этих уязвимостей. Как правило, хорошей идеей будет отслеживать список рассылки вашего дистрибутива, касающийся безопасности, а также регулярно выискивать обновления безопасности к наиболее критичным для вас пакетам. Между моментом объявления об обнаружении уязвимости и закачкой пакета обновления в репозиторий обычно имеется временной зазор; списки рассылки подскажут, как скачать и установить обновления вручную.
Блокировка неиспользуемых сервисов
Не обновляйтесь каждые полгода
У большинства настольных дистрибутивов Linux новые релизы выходят раз в полгода, но это совсем не значит, что вы обязаны устанавливать последний релиз только потому, что он уже вышел. Ubuntu отмечает некоторые релизы как LTS (Long Term Support) - релизы с долговременной поддержкой: для настольной системы - три года, а для серверной - пять лет. Это намного дольше, чем 18 месяцев стандартного релиза Ubuntu.
LTS-релизы хотя и не особенный авангард, но с позиций безопасности защищены куда лучше стандартных. Их пакеты гораздо стабильнее и тщательнее протестированы, по сравнению с пакетами более новых версий, не снабженных долгосрочной поддержкой. Если вашей целью является создание именно максимально защищенной системы, остановите свой выбор на одном из стабильных релизов с долгосрочной поддержкой, не поддаваясь искушению сразу же выполнить обновление при появлении новейшей версии.
Не самая передовая, но должным образом поддерживаемая система более стабильна и надежнее защищена, чем новейший релиз.
Александр БОБРОВ
На ежегодной конференции LinuxCon в 2015 году создатель ядра GNU/Linux Линус Торвальдс поделился своим мнением по поводу безопасности системы. Он подчеркнул необходимость смягчения эффекта от наличия тех или иных багов грамотной защитой, чтобы при нарушении работы одного компонента следующий слой перекрывал проблему.
В этом материале мы постараемся раскрыть эту тему с практической точки зрения:
7. Установить сетевые экраны
Недавно была новая уязвимость, позволяющая проводить DDoS-атаки на сервера под управлением Linux. Баг в ядре системы появился с версии 3.6 в конце 2012 года. Уязвимость даёт возможность хакерам внедрять вирусы в файлы загрузки, веб-страницы и раскрывать Tor-соединения, причём для взлома не нужно прилагать много усилий - сработает метод IP-спуфинга.Максимум вреда для зашифрованных соединений HTTPS или SSH - прерывание соединения, а вот в незащищённый трафик злоумышленник может поместить новое содержимое, в том числе вредоносные программы. Для защиты от подобных атак подойдёт firewall.
Блокировать доступ с помощью Firewall
Firewall - это один из самых важных инструментов блокирования нежелательного входящего трафика. Мы рекомендуем пропускать только действительно нужный трафик и полностью запретить весь остальной.
Для фильтрации пакетов в большинстве дистрибутивов Linux есть контроллер iptables. Обычно им пользуются опытные пользователи, а для упрощённой настройки можно использовать утилиты UFW в Debian/Ubuntu или FirewallD в Fedora.
8. Отключить ненужные сервисы
Специалисты из Университета Виргинии рекомендуют отключить все сервисы, которые вы не используете. Некоторые фоновые процессы установлены на автозагрузку и работают до отключения системы. Для настройки этих программ нужно проверить скрипты инициализации. Запуск сервисов может осуществляться через inetd или xinetd.Если ваша система настроена через inetd, то в файле /etc/inetd.conf вы сможете отредактировать список фоновых программ «демонов», для отключения загрузки сервиса достаточно поставить в начале строки знак «#», превратив её из исполняемой в комментарий.
Если система использует xinetd, то её конфигурация будет в директории /etc/xinetd.d. Каждый файл директории определяет сервис, который можно отключить, указав пункт disable = yes, как в этом примере:
Service finger
{
socket_type = stream
wait = no
user = nobody
server = /usr/sbin/in.fingerd
disable = yes
}
Также стоит проверить постоянные процессы, которые не управляются inetd или xinetd. Настроить скрипты запуска можно в директориях /etc/init.d или /etc/inittab. После проделанных изменений запустите команду под root-аккаунтом.
/etc/rc.d/init.d/inet restart
9. Защитить сервер физически
Невозможно полностью защититься от атак злоумышленника с физическим доступом к серверу. Поэтому необходимо обезопасить помещение, где расположена ваша система. Дата-центры серьёзно следят за безопасностью, ограничивают доступ к серверам, устанавливают камеры слежения и назначают постоянную охрану.Для входа в дата-центр все посетители должны проходить определенные этапы аутентификации. Также настоятельно рекомендуется использовать датчики движения во всех помещениях центра.
10. Защитить сервер от неавторизованного доступа
Система неавторизованного доступа или IDS собирает данные о конфигурации системы и файлах и в дальнейшем сравнивает эти данные с новыми изменениями, чтобы определить, вредны ли они для системы.Например, инструменты Tripwire и Aide собирают базу данных о системных файлах и защищают их с помощью набора ключей. Psad используется для отслеживания подозрительной активности с помощью отчётов firewall.
Bro создан для мониторинга сети, отслеживания подозрительных схем действия, сбора статистики, выполнения системных команд и генерация оповещений. RKHunter можно использовать для защиты от вирусов, чаще всего руткитов. Эта утилита проверяет вашу систему по базе известных уязвимостей и может определять небезопасные настройки в приложениях.
