چگونه از حریم شخصی خود در گنو/لینوکس محافظت کنیم

دیروز داک‌داک‌گو پستی رو منتشر کرد و در توییتر هم به اشتراک گذاشتش، خیلی خوب و مختصر و مفید چند تا راه‌کار ارائه داده بود برای بالاتر بردن امنیت و حفظ حریم شخصی در گنو/لینوکس. من می‌خوام فقط این متن رو ترجمه کنم (البته نه لغت به لغت) تا کاربرای بیشتری در ایران ازش استفاده کنن. در ضمن بعضی جاها توضیحاتی رو خودم اضافه می‌کنم در پرانتز.

۱. خودتون رو گول نزنید که من قطعا امن هستم فقط چون دارم از گنو/لینوکس استفاده می‌کنم

شما می‌تونید یک حس اشتباه از امنیت داشته باشید، با این فکر که سیستم‌عامل‌های دیگه بیشتر از گنو/لینوکس هدف حمله قرار می‌گیرند، ولی ریسک‌ها و آسیب‌پذیری‌های بسیاری در انواع دستگاه‌های لینوکسی وجود داره. همیشه از خودتون محافظت کنید، بدون توجه به اینکه چه سیستم‌عاملی دارد.

(این به این معنی نیست که گنو/لینوکس ناامنه، نه گنو/لینوکس به صورت پیشفرض بسیار امن‌تر از سایر سیستم‌عامل‌هاست، اما بعضی تنظیمات غلط، بعضی آپدیت نکردن‌ها و… می‌تونه باعث بشه سیستم شما ناامن بشه، در ادامه به این موضوع پرداخته می‌شه)

۲. مطمئن شوید که از کاربری استفاده می‌کنید که با رمز عبور حفاظت شده

در همین حد هم کفایت می‌کنه، اما بهتره از این هم مطمئن باشید که رمزتون قوی و طولانی باشه.

۳. از کاربر مدیر برای استفاده روزانه استفاده نکنید

برای استفاده روزانه از رایانه، وارد یک حساب کاربری پایه بشید و از sudo یا کاربر root فقط در موارد ضروری استفاده کنید. این احتمالا یک رفتار عادی هست، اما ارزشش رو داره که یک بار وضعیت کاربر خودتون رو چک کنید. (ضرر نداره)

۴. اطلاعات خودتون رو رمزگذاری کنید

رمزگذاری کل هارد دیسک ایده‌آل هست، اما این امکان وجود داره که مثلا در یک ماشین به اشتراک گذاشته شده فقط پوشه home خودتون رو رمزگذاری کنید. این کار معمولا در زمان نصب انجام می‌شه و اگه بخواید بعدش انجامش بدید سخت می‌شه. در این موقعیت، راحت‌ترین راه اینه که از داده‌هاتون بک‌آپ بگیرید (همیشه خوبه البته) و سیستم‌عاملتون رو دوباره نصب کنید، این‌بار با انتخاب گزینه رمزگذاری در زمان نصب. اگر شما واقعا می‌خواید رمزگذاری رو روی سیستم‌عامل فعلی خودتون امتحان کنید، فرایند تفاوت داره با توجه به توزیع و نوع پارتیشن بندی هارد دیسکتون، پس بهتره که با توجه به شرایط خودتون راجع بهش جستجو کنید.

۵. در زمان بیکاری محافظ صفحه با قفل صفحه رو فعال کنید

زمان قفل شدن رو به حالتی تغییر بدید که؛ با خاموش شدن صفحه، صفحه قفل شود.

۶. نرم‌افزارهای نصب شده‌ی خودتون رو بازبینی کنید

خیلی خوبه اگه تمرین کنید تا تعداد نرم‌افزارهای نصب‌شدتون رو در حداقل نگه‌دارید. این نه‌ تنها باعث بالا رفتن کارایی ماشین شما می‌شه، بلکه احتمال در معرض آسیب‌پذیری قرار گرفتن رو هم کاهش می‌ده. شما می‌تونید به صورت دستی (خودتون) نرم‌افزارها رو چک کنید، یا از ابزارهایی استفاده کنید که در توزیعتون موجود هستن، مثل BleachBit

۷. سیستمتون رو آپدیت نگه‌دارید

این معمولا راحته که لینوکس و نرم‌افزارهای نصب شده رو آپدیت نگه‌دارید. اما حداقل مطمئن باشید که آپدیت‌های امنیتی رو انجام بدید یا اونا به صورت خودکار انجام بشن.

۸. به صورت دوره‌ای rootkit ها رو چک کنید

این میتونه توسط ابزارهای تشخیص rootkit انجام بشه، ابزارهایی نظیر chkrootkit یا rkhunter که به راحتی با اجرای دستور

sudo chkrootkit

یا

sudo rkhunter --check

انجام میشه.

۹. قفل کردن تنظیمات اتصال از راه دور (Remote Connection)

اگر برای دسترسی از راه دور از SSH استفاده می‌کنید، چند قدم ساده هستند که ریسک حمله رو کاهش می‌دهند. راحت‌ترین راه اینه که از یه پورت دیگه به جای پورت ۲۲ که حالت پیشفرض هست استفاده کنید. شما همچنین می‌تونید جلوگیری کنید از لاگین کردن به صورت root با قراردادن PermitRootLogin no در فایل کانفیگ SSH خودتون. این مقاله ترفندهای بیشتری راجع به امن‌کردن SSH داره.

۱۰. سرویس‌هایی که نیاز ندارید رو خاموش کنید

بعضی از دیمون‌ها (اگه کسی ترجمه خوبی براش داره حتما کامنت بذاره ?) در حال گوش دادن به پورت‌های خارجی هستن. این سرویس‌ها رو خاموش کنید اگه نیازی بهشون ندارید، برای مثال sendmail یا bind. این می‌تونه همچنین زمان بوت شدن سیستم شما رو بهبود بده. برای چک کردن سرویس‌های درحال گوش دادن، از این دستورات استفاده کنید:

netstat -ltp

یا

sudo nmap -sT localhost

۱۱. مطمئن بشید که یک فایروال در حال اجرا دارید

سیستم‌عامل شما احتمالا از قبل یک فایروال پیش تعبیه شده (؟) (built-in) داره، احتمالا iptables. فایروال‌ها می‌تونن گیج‌کننده باشن زمان کانفیگ‌کردن با خط فرمان، اما رابط‌های کاربری گرافیکی هم وجود دارن که می‌تونن کنترلشون رو راحت‌تر کنن، رابط‌هایی مثل Gufw.

۱۲. محدود کردن دسترسی امتیازدار (privileged access) توسط SELinux یا AppArmor.

این‌ها احتمالا به صورت پیش‌فرض روی سیستم شما نصب هستند، اما اگر نیستند، ارزشش رو داره که اضافه و تنظیمشون کنید. این‌ها هردو به کاربر اجازه می‌دن که قوانین محدود کننده‌ای برای این قرار بدن که چطور نرم‌افزارها می‌تونن اجرا بشن یا روی پروسه‌ها و فایل‌های دیگه اثر بذارن. سود این کار اینه که در زمان حمله‌، آسیب به سیستم شما محدود خواهد بود. شما می‌تونید اینجا راجع به SELinux و AppArmor بیشتر بخونید.

تبریک می‌گم، شما تونستید چند قدم بزرگ در زمینه افزایش حریم شخصی و حفاظت از اطلاعاتتون در سیستم گنو/لینوکستون بردارد.

 

این مطلب یه ترجمه غیر لغت به لغت (بعضی جاهاش هم لغت به لغت) بود از لینک زیر:

https://spreadprivacy.com/linux-privacy-tips-1dc956657357

 

امیدوارم مفید بوده باشه 🙂