Поиск по сайту:

6 команд безопасности Linux, которые должен знать каждый новый пользователь

Linux не зря является самой безопасной ОС на рынке. Это команды, ориентированные на безопасность, которые вы должны иметь в заднем кармане.

Большинство дистрибутивов Linux значительно более безопасны, чем Windows. Для этого есть много причин, в том числе присущая структура прав доступа пользователей и файлов, добавление базовых технологий безопасности (таких как SELinux и AppArmor), а также тот факт, что исходный код открыт (поэтому код можно проверять и рецензировать в любое время). время).

Несколько команд, повышающих безопасность Linux, доступны у вас под рукой. С некоторыми из них (например, iptables) работать сложнее, чем с другими, и они варьируются от явно ориентированных на безопасность до более тонких.

Это несколько команд, о которых, по моему мнению, должен знать хотя бы каждый новый пользователь Linux. Даже если вы ими не пользуетесь, знание того, что они вам нужны, должно укрепить вашу уверенность в Linux.

1. судо

Это очевидно или должно быть так. Каждый раз, когда вам нужно выполнить команду, требующую прав администратора, вы будете использовать sudo. Если вы хотите обновить свою систему, вам необходимо добавить правило брандмауэра — практически любой процесс, требующий повышенных привилегий, требует sudo.

Так что же такое sudo? Проще говоря, это означает «выполнение суперпользователя» и дает любому пользователю с привилегиями sudo доступ к этим повышенным привилегиям.

Для тех, кто работает на машинах Linux, используемых несколькими людьми (например, на общем домашнем компьютере), вы можете создавать пользователей без привилегий sudo, что означает, что они не могут выполнять какие-либо задачи, требующие привилегий администратора. Этим пользователям будет запрещено обновлять ОС, устанавливать приложения и многое другое.

2. кто

Вы когда-нибудь пользовались компьютером и задавались вопросом: «Кто-то еще вошел в систему и сделал что-то гнусное?» В Linux вы можете точно узнать, кто вошел в систему, с помощью команды who . Вам не нужно использовать какие-либо параметры или аргументы — просто введите who и нажмите Enter на клавиатуре.

Вывод команды будет выглядеть примерно так:

jack   :1      2024-08-18 08:23 (:1)

Здесь отображаются имя пользователя(ей), используемый ими телетайп (в данном случае: 1), а также дата/время входа в систему.

Если вы обнаружите, что в систему вошел кто-то, кто не должен этого делать, вы можете принудительно отключить его с помощью такой команды:

sudo pkill -KILL -u USERNAME

Где USERNAME — имя пользователя.

3. файл

Вы когда-нибудь находили файл в своей системе и задавались вопросом, какого он типа? Это может быть важно, если, например, вы видите в каталоге файл, который вы не помните, создавая или сохраняя. Предположим, вы сохранили файл thisfile на своем диске и не смогли добавить расширение, сообщающее, какой это тип файла.

Этот файл может быть как безобидным текстовым файлом, так и вредоносным двоичным файлом. Чтобы это узнать, введите команду:

file thisfile

Вывод может выглядеть примерно так:

thisfile: ASCII text

Если файл является двоичным и вы не помните, сохраняли ли его в своем домашнем каталоге, вы можете рассмотреть возможность его удаления. Но будьте осторожны при удалении файлов: не заходите в корневой каталог и не начинайте просматривать /etc/, /usr/ или любой другой системный каталог. Удаление файлов оттуда может нанести ущерб вашей системе, поэтому придерживайтесь домашнего каталога.

4. уф

Я собираюсь рассмотреть только одну допустимую команду брандмауэра — ufw (Несложный брандмауэр). Эта команда брандмауэра присутствует в дистрибутивах на базе Ubuntu и упрощает использование брандмауэра.

Например, чтобы включить брандмауэр, введите команду:

sudo enable ufw

По умолчанию весь входящий трафик блокируется, поэтому вам потребуется добавить правила для включения определенных служб. Например, предположим, что вы хотите разрешить прохождение трафика SSH (Secure Shell). Для этого команда будет такой:

sudo ufw allow ssh

Вы можете проверить, что правило было добавлено с помощью:

sudo ufw status

Вы увидите список всех активированных правил, каждому из которых присвоен соответствующий номер. Допустим, правило SSH имеет номер 1, и вы хотите его удалить. Для этого команда будет такой:

sudo ufw delete 1

Вы также можете удалить правило следующим образом:

sudo ufw delete allow ssh

5. пароль

Может наступить момент, когда вам понадобится изменить пароль пользователя. Например, вам, возможно, пришлось поделиться им с кем-то еще, чтобы он мог временно войти в вашу учетную запись. Возможно, вы подозреваете, что кто-то другой обнаружил ваш пароль и использует его, или вам просто нравится регулярно менять его для повышения безопасности.

В любом случае команда для изменения пароля проста:

passwd

Обратите внимание, что вам не обязательно использовать для этого sudo , поскольку у вас есть разрешение на изменение пароля вашей учетной записи. Если бы вы меняли пароль другого пользователя, вам нужно было бы использовать sudo, и команда выглядела бы так:

sudo passwd USERNAME

Здесь USERNAME — это имя рассматриваемого пользователя.

6. установка факл

Возможно, вам потребуется предоставить разрешение на доступ к файлу кому-либо, кто не является владельцем файла (или членом группы, имеющей к нему доступ). Есть несколько способов сделать это, но один из самых простых — использовать команду setfacl .

Допустим, у вас есть file.txt, и вам нужно предоставить пользователю Оливии доступ на чтение этого файла. Команда для этого будет:

setfacl -m u:olivia:r file.txt

Единственная проблема здесь заключается в том, что вы используете дистрибутив, который блокирует доступ пользователей к вашему домашнему каталогу. Последние выпуски Ubuntu делают это, а это означает, что вам придется переместить файл в каталог, на просмотр которого у другого пользователя есть разрешение (или создать его за пределами дома).

Вы также можете предоставить разрешения (r)read, (w)rite и e(x)исполняемым файлам и даже делать это рекурсивно. Например, предположим, что у вас есть каталог Project и вы хотите, чтобы Оливия имела полный доступ к нему и всем содержащимся в нем файлам. Для этого команда будет такой:

setfacl -R -m u:olivia:rwx Project

Тогда Оливия получит необходимые разрешения для файла.

Я бы сказал, что из приведенных выше команд все, кроме setfacl, следует считать обязательными к использованию. Что касается setfacl: держите его в кармане.

Статьи по данной тематике