OS Linux
- Doporučené distribuce
- Základní bezpečnostní nastavení
- Ochrana proti malware
- Zabezpečení internetového prohlížeče
- Základy bezpečnosti
- OS Windows
- OS Linux
- FAQ – chytrá zařízení (chytré telefony, IoT)
- FAQ pro pokročilé
- Changelog
Linux se díky svému minoritnímu zastoupení na desktopech v porovnání s OS Windows těší řádově menší pozornosti hackerů – většina malware pro Linux je směřována pouze na servery. Malware pro desktopové linuxové distribuce také existuje, akorát v mnohonásobně menším množství. Ačkoliv je tedy stav mnohých desktopových linuxových distribucí z pohledu bezpečnosti tristní, v praxi je riziko infikace nižší nežli u jiných OS. Moderní exploit kity jsou ovšem často multiplatformní a jejich počet roste. Dostatečné zabezpečení OS je proto nezbytné.
Tato část příručky je určena běžným a středně pokročilým uživatelům. Část pro pokročilé naleznete zde.
V kapitole OS Linux naleznete tipy převážně pro distribuci Fedora.
Fedora je nejlepší volbou pro běžného uživatele. U některých kroků také naleznete pokyny pro distribuci openSUSE a distribuci Ubuntu, která je velmi populární, z hlediska bezpečnosti ovšem o něco méně vhodná. Všechny uvedené distribuce využívají grafické prostředí GNOME, které je v hlediska bezpečnosti rozumná volba. Výjimku tvoří rozhraní GNOME Classic, jež lze zvolit na přihlašovací obrazovce a jehož používání není doporučeno.
Většina obsažených informací je aplikovatelná pro většinu distribucí, pouze se bude lišit přesný postup.
Malware se často spouští z dočasných složek. Zakázání exekuce spustitelných souborů v dočasných složkách (konkrétně /tmp) tedy dokáže vyřadit z provozu mnoho rodin malware.
sudo su -
dnf -y install nano
nano -\$ /etc/fstab
UUID=... /tmp ext4 defaults 1 2
exit
exit
OS Linux má dva typy uživatelských účtů: Běžný uživatel a Správce.
Z hlediska bezpečnosti je nezbytné provádět denní činnosti pod Běžným uživatelem, jelikož má omezená oprávnění, která jsou pro práci plně dostačující. Pokud se do OS i přes všechny vrstvy ochrany dostane malware, infikuje pouze uživatelský účet – na infikaci OS nebude mít potřebná oprávnění.
Varování
Jedná se o naprostý základ zabezpečení OS, bez kterého jsou veškerá další opatření zbytečná.
Pokud vám zkratka DNS nic neříká, přečtěte si tento krátký článek.
Pokud vám zkratka DNS nic neříká, přečtěte si tento krátký článek.
193.17.47.1,185.43.135.1
2001:148f:ffff::1,2001:148f:fffe::1
Pokud nepoužíváte a nepotřebujete IPv6 (nejste-li si jistí, můžete vyzkoušet následující test), je rozumné protokol vypnout pro snížení prostoru pro útok.
sudo su -
dnf -y install nano
nano /etc/default/grub
GRUB_CMDLINE_LINUX_DEFAULT="quiet splash ipv6.disable=1"
grub2-mkconfig -o /boot/grub2/grub.cfg
exit
exit
Jako nejúčinnější metoda ochrany proti malware se osvědčila bezpečnostní konfigurace skládající se z více vrstev („layered config“) – pokud selže jedna vrstva, nastupuje druhá. Samotný OS poskytuje jistou úroveň ochrany proti malware, která se liší v závislosti na distribuci. V základním nastavení ovšem většinou bohužel nejsou všechny bezpečnostní funkce zapnuty či korektně nastaveny.
Je důležité mít aktuální verzi veškerého SW, jelikož nové verze často opravují mnoho bezpečnostních chyb. Neaktuální SW je implicitně nebezpečný. Ve všech zmíněných distribucích slouží k aktualizaci SW vestavěná aplikace Software, která kromě tradičních balíčků obstarává i aktualizaci flatpaků či firmware.
Firewall je velmi důležitá vrstva zabezpečení, která chrání OS před útoky ze sítě.
Fedora má v základu plně funkční firewall.
openSUSE má v základu plně funkční firewall.
Ubuntu v základu nemá zapnutý firewall, je třeba jej zapnout příkazem:
sudo ufw enable
MAC se stal důležitou součástí bezpečnostního modelu linuxových distribucí.
Fedora používá implementaci SELinux. openSUSE a Ubuntu používají implementaci AppArmor, MAC poskytující menší možnosti ochrany nežli např. SELinux.
Virtualizace může být velmi bezpečný způsob ochrany před malware v závislosti na způsobu implementace, jelikož odděluje požadovanou část OS od jeho zbytku. Standardních způsobů implementace virtualizace je několik:
Sandbox je populární způsob implementace virtualizace. Existují dva druhy sandboxu:
Sandbox nativně integrovaný v aplikaci je nejúčinnější možností implementace sandboxu, jelikož je nastaven přesně na míru dané aplikaci. Externí sandbox nemusí být nutně účinný jako sandbox integrovaný v aplikaci, jelikož není dělaný přesně na míru určité aplikaci, a při porovnání může ponechat větší prostor pro exploitaci. Stále ovšem může být velmi účinný a přirozeně je mnohem lepší, nežli žádný sandbox.
Flatpak je nový způsob distribuce aplikací. Má za cíl odstranit chyby a nedostatky současné architektury – odděluje aplikace od sebe a částí OS (obsahuje implementaci sandboxu), sjednocuje instalaci aplikací pro linuxové distribuce apod.
Fedora má flatpak předinstalovaný.
openSUSE Flatpak předinstalovaný nemá, lze jej ovšem nainstalovat jednoduchým příkazem:
sudo zypper install flatpak
Ubuntu Flatpak předinstalovaný nemá, jelikož propaguje svou alternativu k Flatpaku – Snap. Pakliže se rozhodnete upřednostnit Flatpak před Snap (doporučeno), můžete jej nainstalovat následujícími příkazy:
sudo add-apt-repository ppa:alexlarsson/flatpak
sudo apt update
sudo apt install flatpak
Většinu aplikací můžete nalézt v repozitáři Flathub. Distribuce Fedora má svůj integrovaný kontejnerový repozitář. Flatpak balíčky lze spravovat pomocí vestavěné aplikace Software.
Budete-li příkaz flatpak spouštět v terminálu, nikdy jej nespouštějte pod sudo. Flatpak si o autorizaci případně požádá sám přes GNOME dialog. Níže naleznete základní terminálové příkazy pro správu flatpak aplikací.
flatpak list
flatpak update
flatpak remote-ls
flatpak install
flatpak uninstall
Flathub je nejrozšířenější platforma pro distribuci Flatpak aplikací. Repozitář fedora již obsahuje část GNOME aplikací a některé populární aplikace jako GIMP, nicméně je stále v aktivním vývoji a ne všechny aplikace jsou v použitelném stavu.
flatpak remote-add --if-not-exists flathub https://flathub.org/repo/flathub.flatpakrepo
Ve Flatpaku by správně měly být všechny aplikace ve výchozím nastavení, na to si ovšem budeme ještě muset chvíli počkat. (Fedora 34?)
sudo dnf -y remove eog evince epiphany
flatpak install fedora org.gnome.eog
flatpak install fedora org.gnome.Evince
flatpak install fedora org.gnome.Epiphany
Info
Flatpak repozitář Fedora preferujte pouze u GNOME aplikací, aplikací GIMP a Transmission. Jinde preferujte Flathub.
sudo dnf -y remove libreoffice*
flatpak install flathub org.libreoffice.LibreOffice
Nejpokročilejší způsob virtualizace je emulace na nejnižší úrovni, kdy je virtualizován celý OS. Za korektního použití a nastavení (např. snapshoty) může jít o vysoce robustní bezpečnostní vrstvu. Po patřičné konfiguraci můžete virtuální stroj používat např. k relativně bezpečnému brouzdání internetem. Virtualizován může být libovolný OS jako Windows nebo linuxová distribuce. Pro virtualizaci OS Windows ovšem budete potřebovat licenci, nebo členství v programu Insider.
Nejlepší volbou z hlediska bezpečnosti je využití vestavěného robustního řešení GNOME Boxes. Populární software VirtualBox není ideální k profesionálnímu nasazení, slouží spíše na hraní.
Všechny prohlížeče jsou po korektním nastavení relativně bezpečné, kritickým důležitým faktorem je také samotný uživatel. V následující sekci naleznete postup pro bezpečnou konfiguraci Chromium i Mozilla Firefox jakožto dominantních prohlížečů. Také zde naleznete prohlížeče GNOME Web (základní jednoduchý prohlížeč příbuzný prohlížeči Safari) a Brave (open-source prohlížeč vycházející z Chromium, v základu integruje blokování reklam a trackerů).
Z uvedených prohlížečů je z hlediska bezpečnosti nejlepší volbou Chromium, případně jeho proprietární varianta Google Chrome.
Chromium / Google Chrome využívají špičkovou implementaci vestavěného sandboxu OS (seccomp-bpf) a integrují moderní mitigace. Prohlížeč Brave je na tom o něco hůře, jeho používání je doporučeno spíše na jiných OS. GNOME Web není nijak zvlášť zaměřený na bezpečnost a nehodí se ke každodennímu používání, je ovšem možné jej použít jako oddělený prohlížeč pro citlivé záležitosti (např. bankovnictví). Mozilla Firefox z hlediska zabezpečení v porovnání s konkurencí v některých směrech stále zaostává, obzvláště pak na OS Linux. Na druhou stranu nativně funguje na protokolu wayland, což je významné plus.
sudo dnf install -y chromium
exit
flatpak install fedora org.gnome.Epiphany
exit
Prohlížeč má vestavěný blokátor reklam se základními filtry.
Info
Níže uvedený postup je platný pro distribuci Fedora. Používáte-li jinou distribuci, návod k instalaci naleznete zde.
sudo -i
dnf config-manager --add-repo https://brave-browser-rpm-release.s3.brave.com/x86_64/
rpm --import https://brave-browser-rpm-release.s3.brave.com/brave-core.asc
dnf install -y brave-browser brave-keyring
exit
exit
Prohlížeč v základu integruje blokování reklam a trackerů.
flatpak install fedora org.mozilla.Firefox
exit
about:config
a stiskněte Enter.ocsp
security.OCSP.require
accessibility.blockautorefresh --- true
security.mixed_content.block_display_content --- true
security.mixed_content.block_object_subrequest --- true
media.peerconnection.ice.no_host --- true
javascript.options.asmjs --- false
Handbook 0.5.1 (09.06.2020):
Starší změny:
Handbook 0.5 (01.06.2020):
FAQ 0.3 (17.11.2018):
FAQ 0.2.2 (18.02.2018):
FAQ 0.2.1 (04.12.2017):
FAQ 0.2 (12.08.2017):
Nižší verze: