LXF139:Тема номера

Материал из Linuxformat.

Перейти к: навигация, поиск

Содержание

Ха­ке­рам: хо­да нет!

Ав­то­ма­ти­че­ски ОС Linux не сде­ла­ет ва­шу сис­те­му не­про­ни­цае­мой, но Ма­янк Шар­ма зна­ет, как это ис­пра­вить...

Вы ра­бо­тае­те под Linux толь­ко по­то­му, что ду­мае­те, что эта ОС за­щи­ще­на луч­ше, чем Windows? За­ду­май­тесь по­серь­езнее. Да, безо­пас­ность – встро­ен­ная (а не «сбо­ку при­кру­чен­ная») функ­ция сис­те­мы, ох­ва­ты­ваю­щая об­ласть от яд­ра Linux и до ра­бо­че­го сто­ла, но она все же остав­ля­ет шанс тем, кто за­хо­чет на­га­дить в ва­шей пап­ке /home.

Linux, мо­жет, и невоспри­им­чи­ва к ви­ру­сам и чер­вям, на­пи­сан­ным для Windows, но они – лишь неболь­шая часть про­бле­мы. У зло­умыш­ленников най­дет­ся не один «туз в ру­ка­ве», что­бы по­сяг­нуть на до­ро­гие вам би­ты и бай­ты – от фо­то на до­ку­мен­ты до дан­ных кре­дит­ных кар­то­чек.

Наи­бо­лее под­вер­же­ны рис­ку ата­ки ком­пь­ю­те­ры, под­клю­чен­ные к Internet, хо­тя ма­ши­ны без вы­хо­да во внешний мир уяз­ви­мы не мень­ше. При­за­ду­май­тесь: что мо­жет слу­чить­ся с ва­шим ста­рым но­ут­бу­ком или же­ст­ким дис­ком, ко­то­рые вы ничто­же сум­ня­ше­ся вы­бро­си­ли? Ход неум­ный. Воо­ру­жась со­вре­мен­ны­ми ин­ст­ру­мен­та­ми восста­нов­ления дан­ных (мно­гие из ко­то­рых доступ­ны для бес­плат­но­го ска­чи­вания), ха­кер лег­ко восста­но­вит ин­фор­ма­цию с ва­ше­го дис­ка, невзи­рая на ОС, в ко­то­рой вы ра­бо­та­ли. Ес­ли же­ст­кий диск со­дер­жит дан­ные (неваж­но, по­вре­ж­ден­ные или нет), эти дан­ные мо­гут быть восста­нов­ле­ны, бан­ков­ские сче­та воссоз­да­ны; за­пи­сан­ные раз­го­во­ры в ча­тах мож­но ре­кон­ст­руи­ро­вать, а изо­бра­жения – рес­тав­ри­ро­вать.

Но не пу­гай­тесь. Не сто­ит бро­сать поль­зо­вать­ся ком­пь­ю­те­ром. Хо­тя сде­лать ма­ши­ну, под­клю­чен­ную к Internet, неуяз­ви­мой для атак, прак­ти­че­­ски невоз­мож­но, вы мо­же­те серь­ез­но осложнить за­да­чи ата­кую­ще­го и га­ран­ти­ро­вать, что они не из­вле­кут ниче­го по­лез­но­го из ском­про­ме­ти­ро­ван­ной сис­те­мы. Осо­бен­но гре­ет ду­шу то, что с по­мо­щью Linux и неко­то­рых про­грамм на осно­ве Open Source за­щи­тить ва­шу уста­нов­лен­ную ко­пию Linux бу­дет со­всем не слож­но.

«Зо­ло­то­го пра­ви­ла» безо­пас­но­сти, год­но­го в ка­ж­дом кон­крет­ном слу­чае, не су­ще­ст­ву­ет; а будь на све­те та­кое пра­ви­ло, его уже дав­но взло­ма­ли бы. Над безо­пас­но­стью нуж­но по­ра­бо­тать ин­ди­ви­ду­аль­но: это глу­бо­ко лич­ная ма­те­рия. Сле­дуя при­ве­ден­ным на дан­ном уро­ке со­ве­там и поль­зу­ясь опи­сан­ны­ми здесь ин­ст­ру­мен­та­ми, вы нау­чи­тесь адап­ти­ро­вать их к сво­ей уста­нов­ке Linux.

Нач­ни­те с ос­нов

Вчер­не за­щи­тить ком­пь­ю­тер по­мо­гут сле­дую­щие шесть со­ве­тов.

1 Сле­ди­те за об­нов­ле­ния­ми

Об­нов­ле­ния безо­пас­но­сти мож­но спо­кой­но ус­та­нав­ли­вать и без под­твер­жде­ния.

Все глав­ные ди­ст­ри­бу­ти­вы Linux (та­кие как Debian, Ubuntu, Fedora и т. д.) име­ют ко­ман­ды спе­циа­ли­стов по безо­пас­но­сти, ко­то­рые ра­бо­та­ют в связ­ке с ко­ман­да­ми по под­держ­ке па­ке­тов, мак­си­маль­но за­щи­щая поль­зо­ва­те­лей от уяз­ви­мо­стей в сис­те­ме безо­пас­но­сти. Со­вме­ст­но они ра­бо­та­ют, что­бы га­ран­ти­ро­вать свое­вре­мен­ное об­на­ру­жение уяз­ви­мо­стей и опе­ра­тив­но вы­пускать «за­плат­ки» [patches], немед­лен­но за­кры­ваю­щие об­на­ру­жен­ные «ды­ры».

Ваш ди­ст­ри­бу­тив обя­за­тель­но име­ет ре­по­зи­то­рий, це­ли­ком отве­ден­ный под об­нов­ления сис­те­мы безо­пас­но­сти. Вам нуж­но толь­ко по­за­бо­тить­ся об ак­ти­ва­ции это­го ре­по­зи­то­рия (вы­со­ка ве­ро­ят­ность, что это уже сде­ла­но по умол­чанию) и ре­шить, уста­нав­ли­вать ли об­нов­ления ав­то­ма­ти­че­­ски или вруч­ную, на­жа­в кноп­ку.

На­при­мер, в Ubuntu вы­бе­ри­те для этого из ме­ню ко­ман­ды System Administration > Software Sources. Здесь на вклад­ке Updates ука­жи­те, на­сколь­ко час­то ваш ди­ст­ри­бу­тив дол­жен про­ве­рять ре­по­зи­то­рий безо­пас­но­сти на пред­мет на­ли­чия но­вых об­нов­лений и уста­нав­ли­вать ли сис­те­ме об­нов­ления ав­то­ма­ти­че­­ски или за­пра­ши­вать у вас под­твер­ждения пе­ред их уста­нов­кой. По­следний ва­ри­ант луч­ше, по­то­му что по­зво­ля­ет про­смот­реть об­нов­ления пе­ред на­ча­лом их уста­нов­ки. Од­на­ко ско­рее все­го с эти­ми об­нов­ления­ми бу­дет все в по­ряд­ке, и вы сэ­ко­но­ми­те се­бе немно­го вре­мени, вы­брав оп­цию ав­то­ма­ти­че­­ской уста­нов­ки об­нов­лений.

Кро­ме об­нов­лений, ди­ст­ри­бу­ти­вы обыч­но име­ют спи­сок рас­сыл­ки по во­про­сам безо­пас­но­сти – для рас­сыл­ки анон­сов об­на­ру­жен­ных уяз­ви­мо­стей, а так­же и па­ке­тов для ис­прав­ления этих уяз­ви­мо­стей. Как пра­ви­ло, хо­ро­шей иде­ей бу­дет от­сле­жи­вать спи­сок рас­сыл­ки ва­ше­го ди­ст­ри­бу­ти­ва, касающийся безо­пас­но­сти, а так­же ре­гу­ляр­но вы­ис­ки­вать об­нов­ления безо­пас­но­сти к наи­бо­лее кри­тич­ным для вас па­ке­там. Ме­ж­ду мо­мен­том объ­яв­ления об об­на­ру­жении уяз­ви­мо­сти и за­кач­кой па­ке­та об­нов­ления в ре­по­зи­то­рий обыч­но име­ет­ся вре­мен­ной за­зор; спи­ски рас­сыл­ки под­ска­жут нетер­пе­лив­цам, как ска­чать и уста­но­вить об­нов­ления вруч­ную.

2 Бло­ки­руй­те лишние сер­ви­сы

Умень­шив ко­ли­че­ст­во при­ло­же­ний, за­пус­кае­мых при за­груз­ке, вы за­од­но умень­ши­те вре­мя за­груз­ки.

На­столь­ные ди­ст­ри­бу­ти­вы Linux за­пуска­ют ряд сер­ви­сов, спо­соб­ных при­го­дить­ся мак­си­маль­но­му ко­ли­че­­ст­ву поль­зо­ва­те­лей. Но ведь не всем они нуж­ны. Зачем вам Samba для обес­пе­чения об­ще­го досту­па к фай­лам на ва­шем за­щи­щен­ном сер­ве­ре че­рез сеть? [странный вопрос, правильнее наверное спросить - зачем вам Samba если у вас нет Windоws?] Или сер­вис Bluetoot hдля под­клю­чения к уст­рой­ст­вам Bluetooth, ес­ли на ва­шем компьютере нет адап­те­ра Bluetooth?

Все ди­ст­ри­бу­ти­вы по­зво­ля­ют управ­лять сер­ви­са­ми, за­пускае­мы­ми в кон­крет­ной уста­нов­ке Linux, так восполь­зуй­тесь же ин­ди­ви­ду­аль­ной на­строй­кой в пол­ной ме­ре. В Ubuntu вы­бе­ри­те в ме­ню System > Preferences > Startup Applications. Здесь мож­но сбро­сить флаж­ки ря­дом с сер­ви­са­ми, ко­то­рые вы же­лае­те бло­ки­ро­вать.

При от­клю­чении сер­ви­сов будь­те осто­рож­ны. Не­ко­то­рые при­ло­жения мо­гут переста­ть работать, ес­ли вы бло­ки­руе­те сер­вис, от ко­то­ро­го они за­ви­сят. На­при­мер, мно­гие сер­вер­ные при­ло­жения за­ви­сят от баз дан­ных, и пре­ж­де чем от­клю­чать сер­ви­сы MySQL или PostgreSQL, убе­ди­тесь, что у вас таких при­ло­жений нет.

3 Ог­раничь­те доступ от имени root

Мно­гие ди­ст­ри­бу­ти­вы ныне не по­зво­ля­ют ре­ги­ст­ри­ро­вать­ся от имени root при за­груз­ке,и это пра­виль­но. Ес­ли нуж­но вы­полнить за­да­чу, тре­бую­щую при­ви­ле­гий су­пер­поль­зо­ва­те­ля, вам пред­ложат вве­сти па­роль – что мо­жет ма­лость раз­дра­жать; но зато эта ме­ра га­ран­ти­ру­ет изо­ля­цию ад­минист­ра­тив­ных за­дач от поль­зо­ва­те­ля. [и как всегда у этого подхода есть и оборотная сторона - при выполнении административных действий пароль суперпользователя начинают запрашивать постоянно, что не может не раздражать и СУЩЕСТВЕННО снижает безопасность]

Ог­раничить при­ви­ле­гии поль­зо­ва­те­ля мож­но в ме­ню System > Administration > Users and Groups [речь конечно идет об Ubuntu, о чем автор уже, почему-то, не предупреждает]. Здесь име­ет­ся ши­ро­кая клас­си­фи­ка­ция ти­пов учет­ной за­пи­си – от обыч­но­го поль­зо­ва­те­ля до сисад­мина, и мож­но ин­ди­ви­ду­аль­но на­стро­ить при­ви­ле­гии поль­зо­ва­те­ля вруч­ную. По умол­чанию, учет­ные за­пи­си но­вых поль­зо­ва­те­лей соз­да­ют­ся с на­бо­ром при­ви­ле­гий ‘Desktop user’. Та­ким поль­зо­ва­те­лям нель­зя уста­нав­ли­вать ПО или ме­нять на­строй­ки, влияю­щие на ра­бо­чие сре­ды дру­гих поль­зо­ва­те­лей. При ра­бо­те из команд­ной стро­ки для пе­ре­клю­чения обыч­ных поль­зо­ва­те­лей на учет­ную запись ад­минист­ра­то­ра ис­поль­зу­ют­ся ко­ман­ды su (Fe-dora и дру­гие по­доб­ные ди­ст­ри­бу­ти­вы), а ко­ман­да sudo (в Debian, Ubuntu и т. п.) пре­достав­ля­ет обыч­но­му поль­зо­ва­те­лю боль­ше прав. [и опять некoрpектная информация. Команда su переключает оболочку на другого пользователя, по умолчанию на администратора, а команда sudo позволяет выполнить команду от имени другого пользователя, а какого именно указывается в файле настройки /etc/sudoers. Так что обе эти команды позволяют не только повышать привелегии при выполнении команд, но и понижать их, что очень важно помнить в контексте безопасности системы.] Доступ к этим ко­ман­дам мож­но ог­раничить кон­крет­ной груп­пой, за­пре­тив ко­му по­па­ло соваться к ад­минист­ри­ро­ванию сис­те­мы.

Из двух упо­мя­ну­тых команд sudo – бо­лее за­щи­щен­ный ва­ри­ант. Она хранит файл жур­на­ла досту­па в фай­ле /var/log/auth.log. Вы­ра­бо­тайте при­выч­ку ре­гу­ляр­но сканиро­вать этот жур­нал для вы­яв­ления успеш­ных и неудач­ных по­пы­ток об­ра­щения к sudo. [Но, с другой стороны, грамотный злоумышленник, получив права администратора, легко заметет за собой следы, подправив указанный файл.]

4 Не ав­то­мон­ти­руй­те уст­рой­ст­ва

Ес­ли го­то­вые на­бо­ры на­стро­ек — не для вас, за­дай­те пол­но­мо­чия дос­ту­па ин­ди­ви­ду­аль­но.

Ес­ли вы ре­аль­но оза­бо­че­ны безо­пас­но­стью, займитесь ин­ди­ви­ду­аль­ной на­строй­кой па­ра­мет­ров в окне Users And Groups. Од­на из об­лас­тей, достой­ных ва­ше­го внимания – ав­то­ма­ти­че­­ское мон­ти­ро­вание уст­ройств. Боль­шин­ст­во ди­ст­ри­бу­ти­вов са­ми мон­ти­ру­ют дис­ки USB и CD-при­во­ды, как толь­ко вы под­клю­чи­те USB-на­ко­пи­тель или вста­ви­те CD. Шту­ка удоб­ная, но по­зво­ля­ет лю­бо­му про­сто по­дой­ти к ва­ше­му ком­пь­ю­те­ру, под­клю­чить внешний USB-диск и ско­пи­ро­вать все ва­ши дан­ные.

Что­бы это ис­клю­чить, вы­бе­ри­те в ме­ню оп­ции System > Admini­stration > Users and Groups и имя ва­ше­го поль­зо­ва­те­ля и пе­рей­ди­те на вклад­ку Advanced Settings > User Privileges. Сбрось­те флаж­ки у оп­ци­й Access External Storage Devices Automatically, Mount Userspace Filesystems и Use CD-ROM Drives. Без них поль­зо­ва­те­лям пред­ло­жат вве­сти па­роль, а уж по­том они по­лу­чат доступ к уст­рой­ст­вам.

Вы ­можете решить бло­ки­ро­вать об­щий доступ к фай­лам че­рез сеть, а так­же тре­бо­вать вво­да па­ро­ля, пре­ж­де чем под­клю­чать­ся к Ethernet или бес­про­вод­ным уст­рой­ст­вам. Бло­ки­ро­вание доступа к на­строй­ке прин­те­ров пре­дот­вра­ти­т рас­пе­чат­ку важ­ных дан­ных.

[Тут хочется пойти по классику "Если Вам дороги жизнь и рассудок..." не пользуйтесь этим советом, лучше заведите полезную привычку включать блокировку экрана перед тем как отлучиться от компьютера, и, конечно, запретите автологин. Совет становится еще непонятнее если учесть, что для записи на CD/DVD устройство должно быть отмонтировано.]

5 Не рви­тесь на пе­редний край

Для при­ло­же­ний, дос­туп­ных во мно­же­ст­во вер­сий, по­ищи­те об­нов­ле­ние безо­пас­но­сти.

Па­ке­ты в составе на­столь­ного ди­ст­ри­бу­тива Linux об­нов­ля­ют­ся ре­гу­ляр­но. По­ми­мо офи­ци­аль­ных ре­по­зи­то­ри­ев, су­ще­ст­ву­ют ин­ди­ви­ду­аль­ные ре­по­зи­то­рии для ПО от сто­ронних по­став­щи­ков. Хо­тя раз­ра­бот­чи­ки, пре­ж­де чем за­ка­чи­вать па­ке­ты в ре­по­зи­то­рии, и вы­пол­ня­ют про­вер­ку на на­ли­чие уяз­ви­мо­стей, прак­ти­че­­ски неиз­беж­но проник­но­вение ту­да па­ке­тов об­нов­лений с де­фек­та­ми.

Хо­тя сле­жение за но­вин­ка­ми са­мо по се­бе непло­хо, но с точ­ки зрения безо­пас­но­сти не все об­нов­ления хо­ро­ши для сис­те­мы. Не­ко­то­рые мо­гут кон­флик­то­вать с уже уста­нов­лен­ны­ми па­ке­та­ми или при­тя­ги­вать но­вые за­ви­си­мо­сти, спо­соб­ные сде­лать сис­те­му бо­лее под­вер­жен­ной ата­кам.

По­это­му об­нов­ляйте па­ке­ты толь­ко при крайней необ­хо­ди­мо­сти. Про­сканируй­те по­сту­пив­шие об­нов­ления и вы­бе­ри­те те, что для вас кри­ти­чны. Боль­шин­ст­во менед­же­ров па­ке­тов по­зво­ля­ют про­ве­рять об­нов­ления и про­смат­ри­вать их жур­нал с крат­ки­ми опи­сания­ми пра­вок. Из­менения ин­тер­фей­са поль­зо­ва­те­ля мож­но сме­ло иг­но­ри­ро­вать или от­ло­жить до тех пор, по­ка па­кет не бу­дет тща­тель­но про­ве­рен. Но – внима­тель­но ищи­те и уста­нав­ли­вай­те об­нов­ле­ния, уст­ра­ня­ющие ошиб­ки в ис­поль­зуе­мых ва­ми па­ке­тах.

6 Не об­нов­ляй­тесь ка­ж­дые пол­го­да

Не са­мая пе­ре­до­вая, но долж­ным об­ра­зом под­дер­жи­вае­мая сис­тема ста­биль­нее и за­щи­щен­нее, чем но­вей­ший ре­лиз.

У боль­шин­ст­ва на­столь­ных ди­ст­ри­бу­ти­вов Linux но­вые ре­ли­зы вы­хо­дят раз в шесть ме­ся­цев, но вы во­все не обя­за­ны ус­та­нав­ли­вать по­след­ний ре­лиз толь­ко по­то­му, что он уже вы­шел. Так, Debian пред­ла­га­ет на вы­бор три ди­ст­ри­бу­ти­ва, различающиеся по кри­те­рию ста­биль­ности ПО в их составе. По­сле вы­хо­да Debian 6.0 ста­биль­ные ре­ли­зы бу­дут осу­ще­ст­в­лять­ся раз в два го­да.

Дру­гие ди­ст­ри­бу­ти­вы га­ран­ти­ру­ют безо­пас­ность ре­ли­зов ины­ми спо­со­ба­ми. Ubuntu от­ме­ча­ет не­ко­то­рые ре­ли­зы как LTS {Long Term Support) – ре­ли­зы с дол­го­вре­мен­ной под­держ­кой: для на­столь­ной сис­те­мы – три го­да, а для сер­вер­ной – пять лет. Это на­мно­го [в два раза, хотя сейчас ситуация уже изменилась в лучшую сторону для LTS релизов] доль­ше, чем 18 ме­ся­цев стан­дарт­но­го ре­ли­за Ubuntu.

LTS-ре­ли­зы хо­тя и не особенный авангард, но с по­зи­ций безо­пас­но­сти за­щи­ще­ны куда луч­ше стан­дарт­ных. Их па­ке­ты го­раз­до ста­биль­нее и тща­тель­нее про­тес­ти­ро­ва­ны, по срав­не­нию с па­ке­та­ми бо­лее но­вых вер­сий, не снаб­жен­ных дол­го­сроч­ной под­держ­кой. Ес­ли ва­шей це­лью яв­ля­ет­ся соз­да­ние имен­но мак­си­маль­но за­щи­щен­ной сис­те­мы, ос­та­но­ви­те свой вы­бор на од­ном из ста­биль­ных ре­ли­зов с дол­го­сроч­ной под­держ­кой, не под­да­ва­ясь ис­ку­ше­нию сра­зу же вы­пол­нить об­нов­ле­ние при по­яв­ле­нии но­вей­шей вер­сии.

Ус­та­но­ви­те бранд­мау­эр

Про­грамм­ный бранд­мау­эр за­щи­тит ма­ши­ну с вы­хо­дом в Internet.

Ес­ли один из поль­зо­ва­те­лей се­ти «сжи­ра­ет» всю по­ло­су про­пус­ка­ния, Firestarter лег­ко от­сле­дит его и бло­ки­ру­ет.

Све­жеуста­нов­лен­ная ко­пия Linux за­щи­ще­на луч­ше, чем боль­шин­ст­во дру­гих ОС. Но – по­ка вы не под­клю­чи­тесь к Internet. На­столь­ная ко­пия Linux, в сво­ем стрем­лении быть по­лез­ной как мож­но боль­ше­му числу лю­дей, оста­вляет доста­точ­но про­сто­ра для атак и втор­жений. Но не пу­гай­тесь. По­мощь ждет вас в тер­ми­на­ле.

В со­став всех ди­ст­ри­бу­ти­вов Linux вхо­дит iptables, часть яд­ра, по­зво­ляю­щая сис­тем­ным ад­минист­ра­то­рам фильт­ро­вать се­те­вые па­ке­ты. Руч­ная настройка iptables – непо­силь­ная за­да­ча для всех, кро­ме немно­го­чис­лен­ной эли­ты; [видимо в Англии снова к элите относятся люди, умеющие читать... Что ж, история повторяется.] но, в ис­тин­ном ду­хе от­кры­то­го ко­да, со­об­ще­ст­во пред­ла­га­ет ряд гра­фи­че­­ских кли­ен­тов, бла­го­да­ря ко­то­рым на­строй­ка меж­се­те­во­го фильт­ра ста­но­вит­ся не сложнее, чем про­гул­ка по пар­ку. Один из та­ких гра­фи­че­­ских бранд­мау­эров – Firestarter.

Это не мы уст­рои­ли по­жар!

Firestarter уп­ро­ща­ет про­цесс на­строй­ки бранд­мау­эра. Он мо­жет ог­раничить доступ к пор­там, на ко­то­рых ра­бо­та­ют сер­ви­сы, уяз­ви­мые для атак из­вне, и из него мож­но про­смат­ривать се­те­вой тра­фи­к, про­хо­дя­щий че­рез ком­пь­ю­тер, на ко­то­ром он ра­бо­та­ет.

Боль­шин­ст­во ди­ст­ри­бу­ти­вов со­дер­жат Firestarter в сво­их ре­по­зи­то­ри­ях, и с его уста­нов­кой про­блем быть не долж­но. При за­пуске бранд­мау­эра в пер­вый раз по­сле уста­нов­ки он вы­зо­вет про­стую про­грам­му-мас­тер, и та пред­ло­жит вам вы­брать се­те­вой ин­тер­фейс, на ко­то­ром она бу­дет ак­тив­на. Ес­ли у вас несколь­ко ма­шин, од­на из ко­то­рых под­клю­че­на ко внут­ренней се­ти, Firestarter мо­жет дей­ст­во­вать как шлюз и достав­лять Internet-со­единение осталь­ной час­ти се­ти.

По умол­чанию, Firestarter фильт­ру­ет толь­ко те со­единения, ко­то­рые от­ве­ча­ют на за­про­сы об уста­нов­лении со­единений с хоста бранд­мау­эра. Пре­иму­ще­ст­во это­го под­хо­да в бло­ки­ров­ке досту­па к сер­ви­сам ти­па Telnet, ко­то­рые мо­гут быть ис­поль­зо­ва­ны для по­лу­чения досту­па к ва­ше­му ком­пь­ю­те­ру без ва­ше­го ве­до­ма.

На­строй­ка бранд­мау­эра то­же не тре­бу­ет осо­бых уси­лий. Ес­ли у вас есть при­ло­жение, тре­бую­щее досту­па к оп­ре­де­лен­ным пор­там, на­при­мер, тор­рент-кли­ент, сде­лай­те «про­ко­лы» в ва­шей «противопо­жа­р­ной стене», раз­ре­шив вхо­дя­щие со­еди­нения. Это неслож­но сде­лать че­рез вклад­ку Policy. Щелкните пра­вой кноп­кой мы­ши под оп­ци­ей Allow Service и вы­бе­ри­те оп­цию Add Rule. Из рас­кры­ваю­ще­го­ся ме­ню вы­бе­ри­те сер­вис, ко­то­рый хо­ти­те раз­ре­шить – ска­жем, Samba; вы­бе­ри­те ис­ход­ный IP-ад­рес (лю­бой из них от­кры­ва­ет порт всем) – и го­то­во.

Что­бы ог­раничить ис­хо­дя­щий тра­фик, вы­бе­ри­те в рас­кры­ваю­щем­ся спи­ске оп­цию Outbound Traffic Policy, по­сле че­го мож­но вы­брать оп­цию Permissive [Раз­ре­шать] ли­бо Restrictive [Ог­ра­ничи­вать]. В пер­вом слу­чае по­тре­бу­ет­ся до­ба­вить в «чер­ный спи­сок» хосты, ко­то­рые следует бло­ки­ро­вать. Restrictive пря­мо про­ти­во­по­лож­на – она раз­ре­ша­ет со­единения толь­ко для хостов из «бе­ло­го спи­ска» и бло­ки­ру­ет все осталь­ные.

При ра­бо­те в ог­раничи­тель­ном ре­жи­ме Firestarter ре­ги­ст­ри­ру­ет все от­ка­зы в уста­нов­лении со­единения на вклад­ке Events. Уви­дев со­единение, ко­то­рое вы хо­ти­те раз­ре­шить поль­зо­ва­те­лям, щелк­ните по нему пра­вой кноп­кой мы­ши и вы­бе­ри­те оп­цию, ко­то­рая ли­бо раз­ре­шит со­единение всем, ли­бо сде­ла­ет это при усло­вии, что за­прос на уста­нов­ление со­единения ис­хо­дит из оп­ре­де­лен­но­го ис­точника. Че­рез основ­ной ин­тер­фейс Firestarter воз­мо­жен монито­ринг ак­тив­ных со­единений с бранд­мау­эром. Firestarter выведет вам ста­тус сер­ви­са, спи­сок вхо­дя­щих и ис­хо­дя­щих со­еди­нений и объ­ем дан­ных, пе­ре­дан­ных че­рез ин­тер­фейс, а также спи­сок ис­точников и пунк­тов на­зна­чения се­те­во­го тра­фи­ка, порт, че­рез ко­то­рый пе­ре­да­ются дан­ные, сер­вис, ра­бо­таю­щий на этом пор­ту, и про­грам­му, берущую на се­бя ру­ко­во­дство.

Встро­ен­ный бранд­мау­эр Fedora

Не­ко­то­рые ди­ст­ри­бу­ти­вы, на­при­мер, Fedora, име­ют соб­ст­вен­ный гра­фи­че­­ский кли­ент для iptables. Вы мо­же­те за­гру­зить кли­ент­скую часть ли­бо ко­ман­дой system-config-firewall, ли­бо че­рез ме­ню System > Administration > Firewall.

Как и Firestarter, эта про­грам­ма вклю­ча­ет мас­тер на­строй­ки, по­мо­гаю­щий вы­полнить ба­зо­вую на­строй­ку бранд­мау­эра. Бранд­мау­эр мо­жет ра­бо­тать в двух ре­жи­мах – ба­зо­вом [Basic] и ре­жи­ме экс­пер­та [Expert]; ес­те­ст­вен­но, в по­следнем слу­чае доступ­но боль­ше оп­ций.

Не­ко­то­рые сер­ви­сы, на­при­мер, SSH, оп­ре­де­ле­ны как до­ве­рен­ные [trusted]. Ря­дом с ка­ж­дым из сер­ви­сов, пе­ре­чис­лен­ных в спи­ске, есть фла­жок, уста­нав­ли­вая (или сбра­сы­вая) ко­то­рый, вы мо­же­те ука­зать, что сер­вис яв­ля­ет­ся до­ве­рен­ным. Ра­бо­тая в ре­жи­ме Expert, вы мо­же­те восполь­зо­вать­ся раз­де­лом Other Ports и до­ба­вить но­вые пор­ты, от­сут­ст­вую­щие в спи­ске Trusted Services, что­бы и там фильт­ро­вать тра­фик. Кро­ме то­го, мож­но оп­ре­де­лить ин­ди­ви­ду­аль­ные пор­ты для сер­ви­сов, не вклю­чен­ных в спи­сок.

За­вер­шив на­строй­ку, на­жми­те кноп­ку Apply, что­бы со­хранить пра­ви­ла, и ак­ти­ви­зи­руй­те бранд­мау­эр, на­жав кноп­ку Reload.

Шиф­руй­те фай­ло­вую сис­те­му

Не ог­ра­ни­чи­вай­тесь фай­ла­ми – за­щи­ти­те всю сис­те­му.

За­шиф­ро­ван­ный том име­ет на­мно­го боль­ше ас­со­ции­ро­ван­ных с ним свойств, чем обыч­ный.

Ес­ли вы дей­ст­ви­тель­но хо­ти­те, что­бы никто по­сто­ронний не мог про­чи­тать ва­ши фай­лы, то поль­зо­ва­тель­ские па­ро­ли этой за­да­чи не ре­шат. На­при­мер, ма­ло что по­ме­шает поль­зо­ва­те­лю с выс­ши­ми пол­но­мо­чия­ми – на­при­мер, root – су­нуть нос в ваш до­машний ка­та­лог.

Что­бы ва­ши дан­ные стали нечи­тае­мы для по­сто­ронних, не имею­щих средств де­шиф­ра­ции, за­шиф­руй­те их. Ра­зум­нее всего будет за­шиф­ро­вать всю фай­ло­вую сис­те­му; тогда ав­то­ма­ти­че­­ски за­шиф­ру­ют­ся и хра­ня­щие­ся на ней дан­ные.

Здесь бес­цен­ным бу­дет программное обеспечение TrueCrypt. Оно вы­ре­за­ет вир­ту­аль­ный ку­сок из ва­ше­го Linux-раз­де­ла, ко­то­рый да­лее дей­ст­ву­ет как неза­ви­си­мая за­шиф­ро­ван­ная фай­ло­вая сис­те­ма. Вы смо­же­те ее мон­ти­ро­вать, ис­поль­зо­вать для хранения и чтения с нее дан­ных точ­но так же, как при ра­бо­те с обыч­ным раз­де­лом, а за­тем от­мон­ти­ро­вать ее – и ку-ку, Ва­ся. В несмон­ти­ро­ванн­ном ви­де за­шиф­ро­ван­ная фай­ло­вая сис­те­ма вы­гля­дит как слу­чай­ное на­гро­мо­ж­дение би­тов.

TrueCrypt не вклю­ча­ет­ся в со­став ре­по­зи­то­ри­ев ка­ко­го бы то ни бы­ло ди­ст­ри­бу­ти­ва из-за ас­пек­тов ли­цен­зи­ро­вания, но его уста­нов­ка – за­да­ча три­ви­аль­ная. Ска­чай­те ПО с сай­та про­ек­та (http://www.truecrypt.org), рас­па­куй­те tar-ар­хив и уста­но­ви­те про­грам­му с по­мо­щью гра­фи­че­­ской про­грам­мы-уста­нов­щи­ка. По­за­боть­тесь толь­ко, что­бы в ди­ст­ри­бу­ти­ве име­лась биб­лио­те­ка Fuse и ин­ст­ру­мен­та­рий для ра­бо­ты с мо­ду­лем ото­бра­жения уст­ройств [device mapper].

Соз­дай­те за­шиф­ро­ван­ный том

Пре­ж­де чем поль­зо­вать­ся TrueCrypt, по­тре­бу­ет­ся соз­дать за­шиф­ро­ван­ный том для хранения фай­лов. По­это­му за­пусти­те при­ло­жение и щелкните по кноп­ке Create Volume. За­пустит­ся мас­тер Volume Creation Wizard, ко­то­рый даст вам воз­мож­ность ли­бо соз­дать вир­ту­аль­ный за­шиф­ро­ван­ный диск в фай­ле-кон­тейнере или за­шиф­ро­ван­ный том на всем раз­де­ле, или да­же диск, та­кой как съем­ный USB-но­си­тель.

В пер­вом ва­ри­ан­те, соз­дании вир­ту­аль­но­го дис­ка, TrueCrypt пред­ло­жит ука­зать файл на дис­ке, ко­то­рый станет за­шиф­ро­ван­ным то­мом. Ес­ли файл су­ще­ст­ву­ет, TrueCrypt за­но­во соз­даст его, при­менив один из вось­ми ал­го­рит­мов шиф­ро­вания. Да­лее, ука­жи­те раз­мер за­шиф­ро­ван­но­го то­ма и от­фор­ма­ти­руй­те его в фай­ло­вой сис­те­ме FAT – тогда том бу­дет досту­пен не толь­ко из Linux, но и из дру­гих опе­ра­ци­он­ных сис­тем. На­конец, соз­дай­те па­роль, по­зво­ляю­щий под­клю­чать за­шиф­ро­ван­ный том. Что­бы со­хранить фай­лы на за­шиф­ро­ван­ный том, по­на­до­бит­ся его при­мон­ти­ро­вать. В ин­тер­фей­се TrueCrypt вы­бе­ри­те файл – ваш за­шиф­ро­ван­ный том, и на­жми­те кноп­ку Mount. TrueCrypt пред­ло­жит вве­сти па­роль для досту­па к то­му, по­сле че­го при­мон­ти­ру­ет его. Ес­ли вам на­до толь­ко чи­тать фай­лы с за­шиф­ро­ван­но­го то­ма, мо­же­те при­мон­ти­ро­вать его как за­щи­щен­ный от за­пи­си [read-only].

По умол­чанию TrueCrypt не за­по­ми­на­ет имя фай­ла, яв­ляю­ще­го­ся ва­шим за­шиф­ро­ван­ным то­мом. Это – ме­ра пре­досто­рож­но­сти, ста­вя­щая еще од­но пре­пят­ст­вие на пу­ти зло­умыш­ленников. Ес­ли вы ве­ли­те при­ло­жению за­помнить имя фай­ла, то, по­лу­чив фи­зи­че­­ский доступ к ва­ше­му ком­пь­ю­те­ру, лю­бой смо­жет вы­брать этот файл из рас­кры­ваю­ще­го­ся ме­ню и при­мон­ти­ро­вать за­шиф­ро­ван­ный том. Впро­чем, по­тре­бу­ет­ся еще взло­мать ваш па­роль.

При­мон­ти­ро­вав за­шиф­ро­ван­ный том, вы смо­же­те со­хра­нять в нем фай­лы, как в обыч­ном то­ме. TrueCrypt ис­поль­зу­ет воз­мож­но­сти со­вре­мен­но­го обо­ру­до­вания для шиф­ро­вания и рас­шиф­ров­ки фай­лов «на ле­ту», тем са­мым миними­зи­ру­ят за­паз­ды­вание из-за на­клад­ных рас­хо­дов на пре­об­ра­зо­вание нечи­тае­мо­го по­то­ка бит в осмыс­лен­ные дан­ные, ко­то­рые мож­но про­честь, на­при­мер, с по­мо­щью тек­сто­во­го ре­дак­то­ра или воспро­из­ве­сти с по­мо­щью муль­ти­ме­диа-про­иг­ры­ва­те­ля.

За­кон­чив ра­бо­ту с за­шиф­ро­ван­ным то­мом, от­мон­ти­руй­те его, на­жав кноп­ку Dismount в ин­тер­фей­се TrueCrypt.

Про­верь­те свою ус­та­нов­ку Debian на уяз­ви­мо­сти

Ес­ли вы – ад­ми­ни­ст­ра­тор сис­те­мы Debian, не­оце­ни­мую по­мощь вам ока­жет ути­ли­та debsecan. Она ска­ни­ру­ет ва­шу ко­пию Debian в по­ис­ках от­сут­ст­вую­щих об­нов­ле­ний безо­пас­но­сти и из­вест­ных уяз­ви­мо­стей в ус­та­нов­лен­ных при­ло­же­ни­ях. Ма­гия ее ра­бо­ты в том, что ути­ли­та ры­щет по ба­зе дан­ных dpkg и срав­ни­ва­ет ее с уяз­ви­мо­стя­ми, об­на­ру­жен­ны­ми ко­ман­дой тес­ти­ро­ва­ния безо­пас­но­сти Debian.

Из­вле­ки­те эту ути­ли­ту из ре­по­зи­то­ри­ев и за­пус­ти­те ее из ко­манд­ной стро­ки без клю­чей, что­бы дать ей воз­мож­ность оце­нить ва­шу ус­та­нов­ку:

$ debsecan
CVE-2010-2432 cups (remotely exploitable, medium urgency)
CVE-2009-2625 libxerces2-java-gcj (remotely exploitable, medium urgency)
TEMP-0540862 libxerces2-java-gcj (low urgency)
CVE-2009-2265 egroupware-sitemgr (remotely exploitable, high urgency)

В за­ви­си­мо­сти от ко­ли­че­ст­ва при­ло­же­ний в ва­шей сис­те­ме, debsecan мо­жет соз­дать ог­ром­ный спи­сок, ко­то­рый вы мо­же­те су­зить до спи­ска уяз­ви­мо­стей, уст­ра­нен­ных в ва­шем ди­ст­ри­бу­ти­ве:

$ debsecan --suite lenny --only-fixed
CVE-2010-0393 cups (fixed, medium urgency)
CVE-2009-2625 libxerces2-java-gcj (fixed, remotely exploitable,
medium urgency)
CVE-2009-2265 egroupware-sitemgr (fixed, remotely
exploitable, high urgency)


Безо­пас­ное уда­ле­ние фай­лов

Ду­мае­те, фор­ма­ти­ро­ва­ния дис­ка бу­дет дос­та­точ­но? Ха-ха.

Уда­ление фай­ла с дис­ка на пер­вый взгляд ка­жет­ся про­стой опе­ра­ци­ей: щелк­нуть по фай­лу пра­вой кноп­кой мы­ши да от­пра­вить его в кор­зи­ну. То­го же мож­но до­бить­ся ко­ман­дой rm. [Опять ложное утверждение, перенос файла в Корзину не удаляет файл вообще, а переносит его из одной папки в другую не высвобождая при этом место, файлы реально удаляются только после очистки корзины.] Увы, ни один из этих ме­то­дов фай­лы и пап­ки ре­аль­но не уда­ля­ет: фай­ло­вой сис­те­ме про­сто ве­лят «за­быть», где на дис­ке был этот файл. Вы­сво­бо­ж­ден­ное про­стран­ст­во до­бав­ля­ет­ся в пул сво­бод­ных ад­ре­сов, доступ­ных фай­ло­вой сис­те­ме, ко­то­рые те­перь мо­гут ука­зы­вать на но­вые фай­лы. В тео­рии это ра­бо­та­ет, но на прак­ти­ке из-за чу­до­вищ­но­го раз­ме­ра раз­де­лов зо­ны дис­ка, со­дер­жа­щие лже-уда­лен­ные фай­лы, доста­точ­но дол­го оста­ют­ся нетро­ну­ты­ми, и фай­лы мож­но воссоз­дать ин­ст­ру­мен­та­ми восста­нов­ления дан­ных.

Здесь на по­мощь при­хо­дит ути­ли­та shred. Она за­ти­ра­ет му­сором дис­ко­вое про­стран­ст­во, с ко­то­ро­го уда­лен файл. С оп­ци­ей --remove будут уда­лены и са­ми ис­ход­ные фай­лы.

Унич­то­жение фай­ла мо­жет быть дол­гим, так как в его про­цес­се пе­ре­запись осу­ще­ст­в­ля­ет­ся 25 раз. Ко­ли­че­­ст­вом опе­ра­ций пе­ре­за­пи­си мож­но управ­лять клю­чом –n, на­при­мер:

$ shred --remove -n 5 -v top-secret.txt
shred: top-secret.txt: pass 1/5 (random)...
shred: top-secret.txt: pass 2/5 (ffffff)...
shred: top-secret.txt: pass 3/5 (random)...
shred: top-secret.txt: pass 4/5 (000000)...
shred: top-secret.txt: pass 5/5 (random)...
shred: top-secret.txt: removing
shred: top-secret.txt: renamed to 0000
shred: 0000: renamed to 000
shred: 000: renamed to 00
shred: 00: renamed to 0
shred: top-secret.txt: removed

Shred хо­ро­шо ра­бо­та­ет на уст­рой­ст­вах типа /dev/sdb, что от­ри­ца­ет примене­ние клю­ча --remove: ведь не уда­лять же уст­рой­ст­во! Здесь есть «под­вод­ный ка­мень». Shred под­ра­зу­ме­ва­ет, что фай­ло­вая сис­те­ма про­из­во­дит пе­ре­запись фай­ла локаль­но. Из-за это­го ути­ли­та бес­по­лез­на на со­вре­мен­ных жур­на­ли­руе­мых фай­ло­вых сис­те­мах ти­па ext3. Кро­ме то­го, shred не справ­ля­ет­ся с за­да­чей уда­ления сле­дов дан­ных из несколь­ких мест, на­при­мер, раз­де­ла под­кач­ки, ОЗУ и жур­на­ла фай­ло­вой сис­те­мы. Эф­фек­тив­ная и безо­пас­ная стра­те­гия уда­ления дан­ных тре­бу­ет ис­поль­зо­вания спе­ци­аль­ных ин­ст­ру­мен­тов secure-delete.

Secure-delete

В ин­ст­ру­мен­та­рий secure-delete вхо­дит ути­ли­та srm, пред­на­зна­чен­ная для безо­пас­но­го уда­ления фай­лов, smem и sswap для уда­ления сле­дов дан­ных из фи­зи­че­­ской па­мя­ти и па­мя­ти подкачки, и ути­ли­та sfill, га­ран­ти­рую­щая, что сво­бод­ное дис­ко­вое про­стран­ст­во не со­дер­жит ука­за­те­лей на ста­рые уда­лен­ные фай­лы.

Эти ин­ст­ру­мен­ты при­ме­ня­ют крип­то­гра­фи­че­­ские ал­го­рит­мы, спе­ци­аль­но раз­ра­бо­тан­ные для обес­пе­чения невосста­но­ви­мо­сти уда­лен­ных фай­лов. Ус­та­но­вив эти ин­ст­ру­мен­ты, для га­ран­ти­ро­ван­но­го уда­ления фай­ла или ка­та­ло­га ис­поль­зуй­те:

$ srm -v ../the-hole/eicar.com.txt
Using /dev/urandom for random input.
Wipe mode is secure (38 special passes)
Wiping ../the-hole/eicar.com.txt ***********************************
*** Removed file ../the-hole/eicar.com.txt ... Done

Для ре­кур­сив­но­го уда­ления ка­та­ло­га ис­поль­зуй­те ключ -r. По окон­чании убе­ди­тесь, что вы стер­ли все оста­точ­ные сле­ды из ОЗУ с по­мо­щью smem – это мо­жет по­тре­бо­вать зна­чи­тель­но­го вре­мени, в за­ви­си­мо­сти от объ­е­ма фи­зи­че­­ской па­мя­ти, ко­то­рый тре­бу­ет­ся за­ти­рать. Ус­ко­ряет этот про­цесс клю­ч -l, умень­шаю­щий чис­ло про­хо­дов пе­ре­за­пи­си (эта оп­ция менее безо­пас­на).

За­вер­ши­те про­цесс, бло­ки­ро­вав swap с по­мо­щью swapoff <swap-partition>, за­те­рев па­мять под­кач­ки ко­ман­дой sswap <swap-partiton>, а за­тем вновь ак­ти­ви­зи­ро­вав swap ко­ман­дой swapon <swap-partition>. Ути­ли­та sfill удоб­на, ес­ли вы решили вы­бро­сить диск. За­гру­зи­тесь с Live CD и при­мените sfill к от­мон­ти­ро­ван­но­му раз­де­лу, что­бы за­те­реть сво­бод­ное про­стран­ст­во.

Шаг за ша­гом: Добавим Shred как опцию в Nautilus

Шаг 1

  • 1 Ус­та­но­ви­те Nautilus-Actions
Из­вле­ки­те из ре­по­зи­то­ри­ев па­кет nautilus-actions. По­сле ус­та­нов­ки его мож­но бу­дет ис­поль­зо­вать для на­строй­ки Nautilus че­рез ме­ню System > Preferences > Nautilus Actions Configurations.

Шаг 2

  • 2 Ука­жи­те дей­ст­вие
На вклад­ке Action ука­жи­те мет­ку и всплы­ваю­щую под­сказ­ку, за­тем вы­бе­ри­те под­хо­дя­щий зна­чок. Об­ра­ти­те вни­ма­ние на ука­за­ние пу­ти для ко­ман­ды и на ее па­ра­мет­ры.

Шаг 3

  • 3 Ус­та­нов­ка ус­ло­вий
На вклад­ке Conditions ука­жи­те, где дол­жен по­яв­лять­ся но­вый эле­мент кон­тек­ст­но­го ме­ню. Вы мо­же­те ог­ра­ни­чить его кон­крет­ным ти­пом фай­ла, пап­ки, или то­го и дру­го­го.

Уби­рай­те му­сор

Под­дер­жи­вай­те кон­фи­ден­ци­аль­ность и ос­во­бо­ди­те ре­сур­сы.

Про­смот­ри­те спи­сок под­ле­жа­щих уда­ле­нию фай­лов, что­бы слу­чай­но не уда­лить что-то нуж­ное.

В этом от­но­шении ди­ст­ри­бу­ти­вы Linux не ху­же дру­гих опе­ра­ци­он­ных сис­тем, но с те­чением вре­мени все они склон­ны к на­ко­п­лению хла­ма.

Но Linux ли в этом ви­но­вен? Му­сор – на­след­ст­во мно­же­ст­ва при­ло­жений, ра­бо­таю­щих вы­ше уров­ня яд­ра. Вы мо­же­те свя­зать их «при­выч­ку» со­би­рать вся­кий хлам с их на­строй­кой (обыч­но та­кой, что­бы поль­зо­ва­те­лям бы­ло удобнее). При­чем все эти фай­лы жур­на­лов, вре­мен­ные фай­лы Internet, кэ­ши раз­лич­ных при­ло­жений не толь­ко раз­бу­ха­ют, съе­дая дис­ко­вое про­стран­ст­во. Это еще и серь­ез­ная уг­ро­за кон­фи­ден­ци­аль­но­сти.

Вме­сто то­го, что­бы рыс­кать по фай­ло­вой сис­те­ме, опусто­шая все­воз­мож­ные ка­та­ло­ги tmp/, восполь­зуй­тесь про­грам­мой BleachBit, пре­достав­ля­ющей универ­саль­ный на­бор услуг по уда­лению му­со­ра, на­ко­п­лен­но­го при­ло­жения­ми. BleachBit содержит око­ло 70 пред­ва­ри­тель­но на­стро­ен­ных «чис­тиль­щи­ков»– ка­ж­дый из них ра­бо­та­ет с оп­ре­де­лен­ным при­ло­жением: Firefox, Google Chrome, Adobe Reader, OpenOffice.org и т. п., и на­стро­ен на его очи­ст­ку от мерт­во­го гру­за, за­од­но по­вы­шая про­из­во­ди­тель­но­сть.

«Об­лег­чен­ная» вер­сия BleachBit доступ­на в ре­по­зи­то­ри­ях всех основ­ных ди­ст­ри­бу­ти­вов, хо­тя вы, воз­мож­но, за­хо­ти­те ска­чать но­вей­шую вер­сию с сай­та про­ек­та. Кро­ме то­го, на сай­те про­ек­та в ка­че­­ст­ве бо­ну­са мож­но най­ти и сред­ст­ва очи­ст­ки для бо­лее ста­рых вер­сий.

Гра­фи­че­­ский ин­тер­фейс BleachBit раз­де­лен на два кад­ра. В ле­вом вы вы­би­рае­те при­ло­жения, за ко­то­ры­ми хо­ти­те под­чис­тить му­сор. По­сле это­го от­кро­ют­ся до­полнитель­ные оп­ции, за­ви­ся­щие от вы­бран­но­го при­ло­жения. В пра­вом кад­ре име­ют­ся крат­кие объ­яснения ка­ж­дой из оп­ций.

Чи­ст­ка на­чи­на­ет­ся

Для очи­ст­ки оп­ре­де­лен­ной об­лас­ти, на­при­мер, кэ­ша Firefox, про­сто уста­но­ви­те ря­дом с ней фла­жок. Не­ко­то­рые из опе­ра­ций очи­ст­ки тре­бу­ют «про­че­сы­вания» боль­шо­го ка­та­ло­га – это не обыч­ное уда­ление. BleachBit пре­ду­пре­ж­да­ет об этом, когда вы вы­би­рае­те оп­цию, спо­соб­ную от­нять дли­тель­ное вре­мя – на­при­мер, очи­ст­ку па­мя­ти под­кач­ки.

Пре­ж­де чем ве­леть BleachBit за­ти­рать ненуж­ные фай­лы, на­ко­п­лен­ные указан­ны­ми ва­ми при­ло­жения­ми, на­жми­те кноп­ку Preview для про­смот­ра спи­ска фай­лов, ко­то­рые бу­дут уда­ле­ны. Ес­ли вы уви­ди­те в этом спи­ске файл, ко­то­рый хо­тели бы со­хранить, на­при­мер, кэш кон­крет­но­го поль­зо­ва­те­ля Firefox, мо­же­те до­ба­вить его в «бе­лый спи­сок». Там пе­ре­чис­ле­ны фай­лы, ко­то­рые BleachBit не тронет, да­же ес­ли ка­та­ло­ги, в ко­то­рых эти фай­лы со­дер­жат­ся, по­ме­че­ны для уда­ления. Вы­брать фай­лы и пап­ки, не под­ле­жа­щие уда­лению, мож­но на вклад­ке Whitelist че­рез Edit > Preferences.

BleachBit име­ет и ин­тер­фейс команд­ной стро­ки. На­при­мер, сле­дую­щая ко­ман­да вы­чис­тит cookie-фай­лы Firefox и Google Chrome.

$ bleachbit --delete firefox.cookies google_chrome.cookies

Что­бы про­смот­реть спи­сок фай­лов пе­ред их уда­ле­ни­ем, ис­поль­зуй­те оп­цию --preview.

Ин­тер­фейс команд­ной стро­ки по­зво­ля­ет ис­поль­зо­вать BleachBit в скрип­тах, ко­то­рые за­пуска­ют­ся еже­днев­но и вы­пол­ня­ют свои за­да­чи ав­то­ма­ти­че­­ски. Что­бы до­ба­вить в cron за­дание, ко­то­рое бу­дет унич­то­жать ре­гу­ляр­но соз­да­вае­мые фай­лы, на­при­мер, жур­на­лы и cookie (ска­жем, ка­ж­дую ночь в 2:00), от­ре­дак­ти­руй­те crontab ко­ман­дой crontab -e и до­бавь­те в файл сле­дую­щую стро­ку:

0 2 * * * bleachbit --delete firefox.cookies google_chrome.cookies system.rotated_logs

Ес­ли еже­днев­ная очи­ст­ка – это, по-ва­ше­му, слиш­ком час­то, вы­ол­няй­те за­чи­ст­ку как ми­ни­мум пе­ред соз­да­ни­ем ре­зерв­ных ко­пий. BleachBit так­же при­го­ден для ус­ко­ре­ния ра­бо­ты оп­ре­де­лен­ных при­ло­же­ний, ис­прав­ле­ния «би­тых» ссы­лок, уда­ле­ния язы­ко­вых па­ке­тов и за­чи­ст­ки ОЗУ и па­мя­ти под­кач­ки.

За­щи­ти­те брау­зер бранд­мау­эром

Мно­гие ата­ки из Web осу­ще­ст­в­ля­ют­ся вре­до­носны­ми скрип­та­ми. Рас­ши­рение NoScript для брау­зе­ров на осно­ве Mozilla, на­при­мер, Firefox, бло­ки­ру­ет скрип­ты всех ти­пов, вклю­чая JavaScript, Java, Flash и Silverlight.

По­сле уста­нов­ки в стро­ке ста­ту­са брау­зе­ра по­яв­ля­ет­ся зна­чок NoScript, че­рез ко­то­рый мож­но про­смат­ри­вать бло­ки­ро­ван­ные скрип­ты и, при же­лании, вре­мен­но раз­ре­шать их ис­полнение. По умол­чанию это рас­ши­рение под­дер­жи­ва­ет спи­сок сай­тов, ко­то­рые оно бло­ки­ру­ет, и спи­сок сай­тов, ко­то­рым до­ве­ря­ет. Вы мо­же­те до­бав­лять сай­ты в оба спи­ска, и для сай­та мож­но вре­мен­но ак­ти­ви­зи­ро­вать мо­ду­ли рас­ши­рения одним щелч­ком мы­ши.

Кро­ме скрип­тов, рас­ши­рение NoScript бло­ки­ру­ет раз­но­об­раз­ные ата­ки – на­при­мер, ата­ки ти­па «зло­умыш­лен­ный по­средник» [man-in-the-middle attacks], что­бы пре­дот­вра­тить пе­ре­хват тра­фи­ка. Его мо­дуль Application Boundaries Enforcer (ABE) дей­ст­ву­ет как бранд­мау­эр для ка­ж­до­го кон­крет­но­го web-при­ло­жения, будь то поч­та с web-ин­тер­фей­сом или при­ло­жение Internet-бан­кин­га.

Ано­ним­ный web-серфинг

Убе­ди­тесь, что ваш брау­зер мар­ш­ру­ти­зи­ру­ет тра­фик че­рез Privoxy.

На­ду­ри­те Ин­тер­нет– пусть он ду­ма­ют, что вас не су­ще­ст­ву­ет…

Иногда луч­ший спо­соб за­щи­ты кон­фи­ден­ци­аль­но­сти в Internet – аноним­ность. Ата­кую­щим бу­дет труд­но до вас до­б­рать­ся, ес­ли они не мо­гут оп­ре­де­лить ва­ше точ­ное ме­сто­по­ло­жение в се­ти. И ничто не за­ме­тет ва­ши сле­ды луч­ше, чем ком­би­на­ция Privoxy и Tor.

Tor за­щи­ща­ет ва­шу кон­фи­ден­ци­аль­ность по­сред­ст­вом рас­пре­де­лен­ной се­ти мно­го­слой­ных мар­шру­ти­за­то­ров, под­дер­жи­вае­мой во­лон­те­ра­ми и ох­ва­ты­ваю­щей весь мир. Tor по­зво­ля­ет пре­дот­вра­тить от­сле­жи­вание ва­ших Internet-со­единений с це­лью уз­нать, ка­кие сай­ты вы по­се­щае­те. Tor ра­бо­та­ет с web-брау­зе­ра­ми, сис­те­ма­ми мгно­вен­но­го об­ме­на со­об­щения­ми и мно­ги­ми дру­ги­ми при­ло­жения­ми, при­ме­няю­щи­ми про­то­кол TCP. Но неко­то­рые про­то­ко­лы и ас­со­ции­ро­ван­ные с ними про­грам­мы мож­но уле­стить, вы­манив у них ин­фор­ма­цию о поль­зо­ва­те­ле, и тут на по­мощь при­хо­дит Privoxy. Privoxy и пред­ла­гае­мые им воз­мож­но­сти фильт­ра­ции по­вы­шают уро­вень кон­фи­ден­ци­аль­но­сти Tor.

Из­вле­ките Privoxy из ре­по­зи­то­ри­ев ва­ше­го ди­ст­ри­бу­ти­ва, пе­рей­ди­те на страницу рас­ши­рен­ных на­стро­ек ва­ше­го брау­зе­ра, где за­даются на­строй­ки про­кси, и ука­жи­те ад­рес 127.0.0.1 в ка­че­­ст­ве HTTP-про­кси, а но­ме­р пор­та – 8118. Вот и все. За­вер­шив на­строй­ку, за­пусти­те де­мо­н Privoxy ко­ман­дой /etc/init.d/privoxy start. Те­перь вы мо­же­те по­лу­чить доступ к ин­тер­фей­су Privoxy по ад­ре­су http://config.privoxy.org или http://p.p.

Что­бы свя­зать Privoxy с Tor, необ­хо­ди­мо спер­ва уста­но­вить ре­по­зи­то­рий па­ке­та Tor. Сде­лать это неслож­но – про­сто до­бавь­те та­кую стро­ку в ва­шу ин­стал­ля­цию Ubuntu или Debian:

deb http://deb.torproject.org/torproject.org <DISTRIBUTION> main 

За­ме­ни­те стро­ку <DISTRIBUTION> име­нем ва­ше­го ди­ст­ри­бу­ти­ва, на­при­мер, karmic или sid. За­тем до­бавь­те ключ GPG, ис­поль­зуе­мый для под­пи­си па­ке­тов, за­пус­тив сле­дую­щие ко­ман­ды:

gpg --keyserver keys.gnupg.net --recv 886DDD89
gpg --export A3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89 | sudo apt-key add -

Ес­ли вы ис­поль­зуе­те Yum, соз­дай­те файл torproject.repo в ка­та­ло­ге /etc/yum/repos.d. Со­дер­жи­мое фай­ла долж­но быть та­ким:

[torproject]
name=Tor and Vidalia
enabled=1
autorefresh=0
baseurl=http://deb.torproject.org/torproject.org/rpm/DISTRIBUTION/
type=rpm-md
gpgcheck=1
gpgkey=http://deb.torproject.org/torproject.org/rpm/RPMGPG-KEY-torproject.org

В дан­ном слу­чае то­же сле­ду­ет за­менить стро­ку DISTRIBUTION именем ре­ли­за Fedora или CentOS, на­при­мер, centos5 или fc13.

Те­перь до­будь­те Tor че­рез менед­жер па­ке­тов, ко­то­рый за­од­но при­вле­чет до­полнитель­ные па­ке­ты, ти­па кон­трол­ле­ра GUI Vidalia Tor. Убе­ди­тесь, что у вас не уста­нов­ле­но про­кси-при­ло­жение Polipo: оно мо­жет кон­флик­то­вать с Privoxy, так как оба они ра­бо­та­ют на од­ном и том же пор­те. По­следний шаг – уста­но­вить связь ме­ж­ду Privoxy и Tor, что­бы они мог­ли взаи­мо­дей­ст­во­вать. Для это­го от­ре­дак­ти­руй­те файл на­строй­ки Privoxy в ка­та­ло­ге /etc/ privoxy, рас­ком­мен­ти­ро­вав стро­ку:

# forward-socks4a / 127.0.0.1:9050

Так­же рас­ком­мен­ти­руй­те сле­дую­щие стро­ки, что­бы убе­дить­ся в том, что ло­каль­ная сеть все еще дос­ти­жи­ма:

# forward 192.168.*.*/ .
# forward 10.*.*.*/ .
# forward 127.*.*.*/

Вуа­ля! Те­перь весь Internet-тра­фик, про­хо­дя­щий че­рез Tor и Privoxy, за­мас­ки­ро­ван.

Шаг за ша­гом: То­ри­фи­ци­ру­ем Internet-со­еди­не­ния

Шаг 1

  • 1 То­ри­фи­ци­ру­ем Firefox
Ес­ли вы поль­зуе­тесь Firefox, про­сто за­гру­зи­те и ус­та­но­ви­те рас­ши­ре­ние TorButton. Оно по­па­да­ет в стро­ку ста­тус­а Firefox, где его мож­но ак­ти­ви­зи­ро­вать или бло­ки­ро­вать од­ним щелч­ком мы­ши. Все из­ме­не­ния, вне­сенные в на­строй­ки про­кси, бу­дут от­ра­же­ны здесь.

Шаг 2

  • 2 То­ри­фи­ци­ру­ем ра­бо­чий стол
Что­бы га­ран­ти­ро­вать, что все ва­ши чат-кли­ен­ты мар­ш­­ру­ти­зи­ру­ют тра­фик че­рез Privoxy и Tor, вы­бе­ри­те из ме­ню ко­ман­ды System > Preferences > Network Proxy, вы­бе­ри­те оп­цию Manual для кон­фи­гу­ра­ции про­кси и ука­жи­те имя хос­та и порт Privoxy (в Gnome).

Шаг 3

  • 3 То­ри­фи­ци­ру­ем прочие при­ло­же­ния
До­бавь­те сле­дую­щие стро­ки в ва­ши фай­лы $HOME/.bashrc или env:
http_proxy=http://127.0.0.1:9050/
HTTP_PROXY=$http_proxy
export http_proxy HTTP_PROXY
Личные инструменты
  • Купить электронную версию
  • Подписаться на бумажную версию