Protegendo uma instalação Debian para uso doméstico geral

O Debian vem com vários hardenpacotes, projetados para tornar um computador mais seguro. Minhas necessidades são muito simples: processamento de texto e navegação na Web. Não executo nenhum servidor especial, não uso SSH, telnet etc. O único software que deve usar a Internet que eu conheço é iceweasele apt.

• Existe uma maneira de garantir que apenas esses dois softwares possam acessar a Internet?
• Algum dos hardenpacotes é adequado para essas necessidades?

Em uma instalação padrão do usuário, existe apenas o ssh como aplicativo de servidor instalado, que você pode simplesmente desinstalar via aptitude remove openssh-serverou através de qualquer outro gerenciador de pacotes usado.

Restringir o acesso à rede para aplicativos é difícil. {{EDIT : No entanto, agora existe o Leopard Flower desenvolvido que parece fornecer os recursos necessários (firewall por processo, interface interativa do usuário). }} Consulte Firewall por processo? para mais informações sobre o tópico. Sem usar soluções complicadas, você só pode restringir o acesso à rede a usuários especiais através do ownermódulo iptables .

Como usuário normal, você não precisa de nenhum harden-*pacote. Eles conflitam com pacotes não seguros, que você provavelmente não instalou de qualquer maneira, ou instalam pacotes de segurança que são para sistemas normais muito complicados de configurar e manter - como sistemas de intrusão de rede.

Eu concordo com o uso estrito de iptables. É um firewall baseado em linha de comando muito simples que utiliza o kernel (na maioria das distros).

Outra sugestão que eu faria é o selinux. Não tenho certeza se o debian agora vem com ele por padrão. Em resumo, o Selinux é um controle de acesso obrigatório, que significa que, no nível do kernel, ele governa a comunicação entre o aplicativo e os recursos externos (isto é, arquivos e propriedades do sistema). Como nota de rodapé, também foi desenvolvido com a ajuda da NSA. Com os perfis selinux, você pode impedir que os aplicativos leiam arquivos além do seu escopo.

Combinado com as práticas recomendadas, como desativar daemons desnecessários, boas regras de firewall selinux podem ser a opção que você está procurando para fortalecer esta caixa.

Infelizmente, parece não haver alternativas para Linux littlesnitchou zonealarm, e a maioria dos firewalls da GUI deixará você com vontade. Obviamente, você pode fazer algumas coisas úteis com o iptablesrastreamento de conexão.

Um utilitário muitas vezes esquecido é tcpwrappers. Eu adicionaria uma regra a /etc/hosts.deny:

ALL: PARANOID

Além disso, desative o ping e outras respostas ICMP adicionando a seguinte linha a /etc/sysctl.conf:

net.ipv4.icmp_echo_ignore_all = 1

EDIT : Estou inclinado a concordar com jmtd, pensando bem, existem maneiras melhores de filtrar pings.

Pare todos os serviços que você não deseja iniciar: ssh, smtp, http, o que mais você não deseja que seja iniciado. Configure suas iptables para bloquear tudo o que acessar sua máquina ou deixá-la à parte do software que você deseja.

Observe que não estou fornecendo uma lista inteira de comandos para digitar, pois é vital que se aprenda e compreenda as implicações dos serviços e das tabelas de ip antes de mexer com eles.

A base mais popular de filtragem de rede / firewalls no Linux é a iptablesque não funciona com base em aplicativos. O que você precisa é de um programa de política de segurança que possa impedir que programas acessem os recursos de rede. Duas abordagens seriam o SELinux e o AppArmor .

Aqui estão alguns exemplos de receitas do AppArmor , uma das quais abre o acesso à rede para o Firefox / Iceweasel.