Рекомендации по настройке линукс

Настройка и оптимизация Ubuntu после установки

В данной статье я постараюсь ответить на вопросы, которые, я думаю, возникают у каждого пользователя, впервые установившего себе GNU/Linux. Я и сам пользуюсь данными ОС только пару лет, и у меня самого возникали подобные вопросы, поэтому, думаю, что смогу немного помочь новичкам разобраться с данными системами. На первый взгляд все кажется сложным и непонятным, я же постараюсь убедить Вас, что это не так. В качестве ОС Linux для начинающих я выбрал Ubuntu, и думаю, что не ошибся, так как этот дистрибутив действительно дружественен к пользователю: его очень легко установить, он имеет удобный графический интерфейс (вне зависимости, будь то Gnome, KDE или Unity), наиболее полная локализация и конечно же Центр приложений, устанавливать софт из которого — дело нажатия одной клавиши мыши. Но после установки системы в ней имеются ряд ненужных на мой взгляд программ и настроек, которые неплохо было бы изменить и дополнить чем то более удобным и функциональным. Этим мы и займемся в этой статье. Какие действия выполнять, а какие — нет это личный выбор каждого пользователя, возможно, Вам пригодится только пара из ниже перечисленных команд, а может быть Вы настроите свой Ubuntu GNU/Linux в точности, как изложено в статье.
Я не буду описывать конкретные настройки для каждой рабочей среды (Gnome, KDE, Unity), а выложу только те настройки, которые не зависят от рабочего окружения и пригодятся всем пользователям.

Все ниже перечисленные команды нужно копировать в терминал. Терминал можно вызвать комбинацией CTRL+ALT+T.

Обновим систему

Для начала обновим список репозиториев и поиск индексов обновленных версий программ, драйверов, ядра и всего прочего:
sudo apt-get update

Теперь, собственно, установим все доступные обновления:
sudo apt-get upgrade

Установим flash, java, аудио- и видео-кодеки:
apt-get install ubuntu-restricted-extras

Теперь перенесем кнопки управления окном (свернуть, развернуть, закрыть) в привычное нам положение — справа, а не слева, как в МАКе:
gconftool-2 —set «/apps/metacity/general/button_layout» —type string «menu:minimize,maximize,close»

Убираем лишний софт:

Удаляем видеоредактор Pitivi:
sudo apt-get remove pitivi

Удаляем клиент мгновенных сообщений Empathy:
sudo apt-get remove empathy empathy-common nautilus-sendto-empathy

Удаляем Клиент микроблогов Gwibber:
sudo apt-get remove gwibber gwibber-service

Если нет необходимости в использовании UbuntuONE (хранение данных на удаленном сервере для доступа к ним из любого места), отключаем и удаляем этот сервис:
sudo apt-get remove python-ubuntuone-client ubuntuone-client python-ubuntuone-storageprotocol ubuntuone-client-gnome rhythmbox-ubuntuone-music-store python-ubuntuone

Если нет необходимости предоставлять кому-то удаленный доступ к СВОЕМУ рабочему столу, отключаем:
sudo apt-get remove vino

Удаляем стандартный клиент удаленного рабочего стола, так как с ним имеются проблемы при подключении к Windows-машинам:
sudo apt-get remove vinagre tsclient rdesktop

И ставим более функциональный клиент RDP Remmina, он позволяет подключаться по RDP к Windows, а так же к чему угодно по SSH:
sudo apt-get install remmina

Предлагаю удалить приложение по очистке системы, так как оно находится в стадии разработки и существенной пользы не несет:
sudo apt-get remove computer-janitor-gtk

Удаляем из системы все, что связано со вспомогательными технологиями, типа экранной лупы:
sudo apt-get remove gnome-accessibility-themes gnome-dictionary gnome-mag at-spi libgail-gnome- module libatspi1.0-0 libgail-common libatk1.0-data libgnome-mag2 espeak-data espeak

Если в вашем компьютере или ноутбуке нет Bluetooth-адаптера и вы не планируете его использовать, удаляем все службы и приложения с этим связанные:
sudo apt-get remove bluez-cups bluez bluez-alsa bluez-gstreamer pulseaudio-module-bluetooth

Поставим приложение gdebi для того, чтобы ставить одиночные .deb пакеты без построения зависимостей:
sudo apt-get install gdebi

Обратите внимание, что после этой процедуры необходимо восстановить соответствие открытие программой gdebi .deb файлов. Наводимся на любой .deb файл, щёлкаем правой клавишей мышки, выбираем в меню Свойства и далее во вкладке «Открывать в программе» выбираем Установщик пакетов Gdebi.

Удалим дефолтный видео проигрыватель, а так же музыкальный проигрыватель, посколю на мой взгляд они не совсем удобны в использовании, а вообще тут решать вам, конечно:
sudo apt-get remove rhythmbox totem totem-common

Взамен ставлю простой и удобный проигрыватель Deadbeef
sudo add-apt-repository ppa:alexey-smirnov/deadbeef
sudo apt-get update
sudo apt-get install deadbeef

А фильмы очень удобно смотреть через VLC:
sudo apt-get install vlc mozilla-plugin-vlc

Ставлю приятную для глаз тему и значки, тут тоже на ваш выбор, можете таким образом поставить любую тему:
sudo add-apt-repository ppa:tiheum/equinox
sudo apt-get update && sudo apt-get install faenza-icon-theme equinox-theme equinox-ubuntu-theme

Включаем отображение дополнительных значков в меню:
gconftool-2 —type boolean —set /desktop/gnome/interface/menus_have_icons true

Включаем отображение дополнительных значков на кнопках:
gconftool-2 —type boolean —set /desktop/gnome/interface/buttons_have_icons true

Ставим утилитку по управлению окружением рабочего стола Compiz:
sudo apt-get install compizconfig-settings-manager

На этом завершим первую часть наших настроек,, полюбуемся на то, что получили на выходе и перезагрузим систему.

Выбор ICQ-клиента

Еще один важный момент при переходе на Ubuntu — выбор ICQ-месседжера для ОС. И так, какой же клиент выбрать? На Windows я привык пользоваться RnQ (в простонародии — крысой). К сожалению, такого клиента под Linux до сих пор нет, так что пришлось искать аналоги. Так же я не исключал возможность запуска крысы на Ubuntu из под Wine, но раз уж мы переходим на Linux, я реширл юзать что-то из линухового. Входящий в стандартный комплект поставки Pidgin не пришелся мне по вкусу, поэтому я остановился на выборе Qutim. Почему: Его интерфейс сильно напоминает Miranda и QIP ранних версий, поэтому он пришелся как нельзя кстати, неперегруженный интерфейс, ну и прочие другие удобства. Рассмотрим 2 способа:

Переходим к процессу установки. Как обычно, запускаем терминал (Ctrl+Alt+T).

1) Добавим в системе источник программы, выполним комманду в терминале:
sudo wget linux.intonet.ru/ubuntu/qutim/hardy.list -O /etc/apt/sources.list.d/qutim.list

Теперь нужно обновить базу пакетов для этого требуется выполнить комманду:
sudo apt-get update

После обновления qutim появится в базе. Теперь установим его:
sudo apt-get install qutim

2)В этом способе рассмотрим, как скомбинировать выполнение сразу нескольких команд, не разделяя их на отдельные шаги. Одной командой добавляем репозиторий, обновляем список пакетов и устанавливаем Qutim. Данный способ предложил хабраюзер ademaro, за что ему отдельное спасибо.
Выполним в терминале:
sudo add-apt-repository ppa:qutim/qutim && apt-get update && apt-get install qutim

Можно добавить смайлы и темы:
sudo apt-get install qutim-emoticons
sudo apt-get install qutim-themes

Это все, установка завершена. Далее можно поиграть с настройками и сделать клиент похожим либо на QIP, либо на Miranda, либо даже на RnQ. Клиент и правда удобен в использовании, так что пользуемся на здоровье.

Теперь установим Skype

Как обычно, устанавливать мы его будем путем добавления Skype — репозитория через терминал. И так, приступим:

Открываем терминал и выполняем команду (Вместо gedit вы можете использовать любой другой текстовый редактор на ваше усмотрение, например, nano):

sudo gedit /etc/apt/sources.list

в появившемся текстовом редакторе дописываем строчку:
deb download.skype.com/linux/repos/debian stable non-free

Пишем в терминале:
sudo apt-get update

и ждём пока обновится информация. Далее выполняем в терминале команду:
sudo apt-get install skype

После установки программу Skype можно найти в меню Приложения > Интернет.

Установка Opera

По умолчанию в Ubuntu в качестве Интернет-обозревателя вмонтирован Firefox. Лично мне он не по нраву, он хоть и легок, но по умолчанию в нем нет некоторых функций, которые доступны в Opera. Конечно, расширить функционал можно, допилив его различными плагинами, однако от этих самиз плагинов он становится весма тяжелым и начинает ощутимо уступать в скорости Опере. Именно поэтому я рекомендую удалить Огнелиса и поставить Оперу. Приступим.

Для начала добавим репозиторий операстов в наш source.list:
deb deb.opera.com/opera stable non-free

Далее добавляем GPG-ключи для обновлений:
wget -O — deb.opera.com/archive.key | sudo apt-key add -sudo apt-get install debian-archive-keyring

Собственно, устанавливаем Opera:
sudo apt-get update
sudo apt-get install opera

Теперь проверяем наличие Opera по пути главное меню/интернет/Opera и запускаем. Принимаем лицензионное соглашение и пользуемся на здоровье.

И да, Firefox больше не нужен:
sudo apt-get remove firefox

Допилим систему

Будет выдавать уведомления о только что подключенных устройствах:
wget download.learnfree.eu/repository/skss/udev-notify-0.1.2-all.deb ;
dpkg -i udev-notify* ;
apt-get install -f ;

Поставим графический редактор Gimp c набором кистей и фильтров:
sudo add-apt-repository ppa:shnatsel/gimp-paint-studio ;
sudo apt-get update ;
sudo apt-get install gimp-paint-studio ;

Добавить в сурс лист…
ppa.launchpad.net/mars-core/ppa/ubuntu natty main
deb-src ppa.launchpad.net/mars-core/ppa/ubuntu natty main

… и поставить игрушку:
apt-get update; apt-get install marsshooter -y

Немного оптимизируем работу ОС.

Команды, начинающиеся с # означают, что требуют прав суперпользователя, для этого перед каждой командой добавляем, как и раньше в статье sudo, либо выполняем в терминале sudo su, что приведет к тому, что все последующие команды будут выполняться от имени суперпользователя, так что бди, аннон.

Настроим, чтобы своп (раздел подкачки) активировался только при полном заполнении физической оперативной памяти:
# gedit /etc/sysctl.conf

Добавьте строку в конец файла: vm.swappiness=0
Таким образом, мы наиболее эффективно будем использовать весь доступный объем оперативной памяти.

Если в системе установлен двух- и более ядерный процессор, то рекомендую выполнить следующее:
# gedit /etc/init.d/rc

найдите CONCURRENCY=none и замените на:
CONCURRENCY=shell
Это существенно добавит вашей системе производительности

Немного ускорим графику, присвоив ей приоритет 20.
# gedit /etc/rc.local

Вставьте это в конец файла перед командой EXIT
sudo renice -n -20 $(pidof X)

При создании данной статьи использовались наработки других авторов, различные блоги, форумы и официальная документация. Поскольку вся эта информация по частям собиралась с различных ресурсов, а я лишь доработал все и собрал воедино, дополнив своими идеями, мне не представляется возможным опубликовать полный список авторов. Так что если кто-то увидел тут свой авторский текст, не нужно рвать волосы и обвинять метя в копипастии, нужно лишь сообщить мне об этом, добавив ссылку на свою статью и я обязательно включу Вас в список авторов.

Материал подготовлен специально для конкурса русскоязычных статей Ubuntu.

Источник

Как обезопасить Linux-систему: 10 советов

На ежегодной конференции LinuxCon в 2015 году создатель ядра GNU/Linux Линус Торвальдс поделился своим мнением по поводу безопасности системы. Он подчеркнул необходимость смягчения эффекта от наличия тех или иных багов грамотной защитой, чтобы при нарушении работы одного компонента следующий слой перекрывал проблему.

В этом материале мы постараемся раскрыть эту тему с практической точки зрения:

/ фото Dave AllenCC

• начнём с предварительной настройки и рекомендаций по выбору и установке дистрибутивов Linux;
• затем расскажем о простом и действенном пункте защиты — обновлении системы безопасности;
• далее рассмотрим, как настроить ограничения для программ и пользователей;
• как обезопасить соединение с сервером через SSH;
• приведём примеры настройки firewall и ограничения нежелательного трафика;
• в заключительной части объясним, как отключить ненужные программы и сервисы, как дополнительно оградить серверы от злоумышленников.

1. Настроить среду предзагрузки до установки Linux

Позаботиться о безопасности системы нужно ещё перед установкой Linux. Вот набор рекомендаций для настройки компьютера, которые стоит учесть и выполнить до установки операционной системы:

• Загрузка в режиме UEFI (не legacy BIOS – о нем подраздел ниже)
• Установить пароль на настройку UEFI
• Активировать режим SecureBoot
• Установить пароль на уровне UEFI для загрузки системы

2. Выбрать подходящий дистрибутив Linux

Скорее всего, вы выберете популярные дистрибутивы — Fedora, Ubuntu, Arch, Debian, или другие близкие ответвления. В любом случае, вам нужно учитывать обязательное наличие этих функций:

• Поддержка принудительного (MAC) и ролевого контроля доступа (RBAC): SELinux/AppArmor/GrSecurity
• Публикация бюллетеней безопасности
• Регулярный выпуск обновлений безопасности
• Криптографическая верификация пакетов
• Поддержка UEFI и SecureBoot
• Поддержка полного нативного шифрования диска

Рекомендации по установке дистрибутивов

Все дистрибутивы отличаются, но существуют моменты, на которые обязательно стоит обратить внимание и выполнить:

• Использовать полное шифрование диска (LUKS) с надёжной ключевой фразой
• Процесс подкачки страниц должен быть зашифрован
• Установить пароль для редактирования boot-загрузчика
• Надёжный пароль на root-доступ
• Использовать аккаунт без привилегий, относящийся к группе администраторов
• Установить для пользователя надёжный пароль, отличный от пароля на root

3. Настроить автоматические обновления безопасности

Один из основных способов обеспечить безопасность операционной системы — обновлять программное обеспечение. Обновления часто исправляют найденные баги и критические уязвимости.

В случае с серверными системами есть риск возникновения сбоев во время обновления, но, по нашему мнению, проблемы можно свести к минимуму, если автоматически устанавливать только обновление безопасности.

Автообновление работает исключительно для установленных из репозиториев, а не скомпилированных самостоятельно пакетов:

• В Debian/Ubuntu для обновлений используется пакет unattended upgrades
• В CentOS для автообновления используется yum-cron
• В Fedora для этих целей есть dnf-automatic

Для обновления используйте любой из доступных RPM-менеджеров пакетов командами:

Linux можно настроить на отправку оповещений о новых обновлениях по электронной почте.

Также для поддержания безопасности в ядре Linux есть защитные расширения, например, SELinux. Такое расширение поможет сберечь систему от неправильно настроенных или опасных программ.

SELinux — это гибкая система принудительного контроля доступа, которая может работать одновременно с избирательной системой контроля доступа. Запущенные программы получают права на доступ к файлам, сокетам и прочим процессам, и SELinux устанавливает ограничения так, чтобы вредные приложения не смогли сломать систему.

4. Ограничить доступ к внешним системам

Следующий после обновления способ защиты — ограничить доступ к внешним сервисам. Для этого нужно отредактировать файлы /etc/hosts.allow и /etc/hosts.deny.

Вот пример того, как ограничить доступ к telnet и ftp:

В файле /etc/hosts.allow:

Пример сверху позволит выполнять telnet и ftp соединения любому хосту в IP-классах 123.12.41.* и 126.27.18.*, а также хосту с доменами mydomain.name и another.name.

Далее в файле /etc/hosts.deny’:

Добавление пользователя с ограниченными правами

Мы не рекомендуем подключаться к серверу от имени пользователя root — он имеет права на выполнение любых команд, даже критических для системы. Поэтому лучше создать пользователя с ограниченными правами и работать через него. Администрирование можно выполнять через sudo (substitute user and do) — это временное повышение прав до уровня администратора.

Как создать нового пользователя:

В Debian и Ubuntu:

Создайте пользователя, заменив administrator на желаемое имя и укажите пароль в ответ на соответствующий запрос. Вводимые символы пароля не отображаются в командной строке:

Добавьте пользователя в группу sudo:

Теперь вы можете использовать префикс sudo при выполнении команд, требующих прав администратора, например:

В CentOS и Fedora:

Создайте пользователя, заменив administrator на желаемое имя, и создайте пароль для его аккаунта:

Добавьте пользователя в группу wheel для передачи ему прав sudo:

Используйте только сильные пароли — минимум из 8 букв разного регистра, цифр и других специальных знаков. Для поиска слабых паролей среди пользователей вашего сервера используйте утилиты как «John the ripper», измените настройки в файле pam_cracklib.so, чтобы пароли устанавливались принудительно.

Установите период устаревания паролей командой chage:

Отключить устаревание паролей можно командой:

Узнать, когда пароль пользователя устареет:

Также вы можете отредактировать поля в файле /etc/shadow:

• Minimum_days: Минимальное количество дней до истечения действия пароля.
• Maximum_days: Максимальное количество дней до истечения пароля.
• Warn: Количество дней перед истечением, когда пользователь будет предупреждён о приближающемся дне смены.
• Expire: Точная дата истечения действия логина.

Также стоит ограничить переиспользование старых паролей в модуле pam_unix.so и установить предельное количество неудачных попыток входа пользователя.

Чтобы узнать количество неудачных попыток входа:

Разблокировать аккаунт после неудачного входа:

Для блокирования и разблокирования аккаунтов можно использовать команду passwd:

Убедиться, что у всех пользователей установлены пароли, можно командой:

Заблокировать пользователей без паролей:

Проследите, чтобы параметр UID был установлен на 0 только для root-аккаунта. Введите эту команду, чтобы посмотреть всех пользователей с равному 0 UID.

Вы должны увидеть только:

Если появятся и другие строки, то проверьте, устанавливали ли вы для них UID на 0, ненужные строки удалите.

5. Настроить права доступа для пользователей

После установки паролей стоит убедиться, что все пользователи имеют доступ, соответствующий их рангу и ответственности. В Linux можно устанавливать права доступа на файлы и директории. Так появляется возможность создавать и контролировать различные уровни доступа для разных пользователей.

Linux основана на работе с несколькими пользователями, поэтому каждый файл принадлежит одному конкретному пользователю. Даже если сервер администрирует один человек, для различных программ создаются несколько аккаунтов.

Просмотреть пользователей в системе можно командой:

Файл /etc/passwd содержит строку для каждого пользователя операционной системы. Под сервисы и приложения могут создаваться отдельные пользователи, которые также будут присутствовать в этом файле.

Помимо отдельных аккаунтов существует категория доступа для групп. Каждый файл принадлежит одной группе. Один пользователь может принадлежать к нескольким группам.

Посмотреть группы, к которым принадлежит ваш аккаунт, можно командой:

Вывести список всех групп в системе, где первое поле означает название группы:

Существует категория доступа «прочие», если пользователь не имеет доступа к файлу и не принадлежит к группа.

Для категорий пользователей есть возможность устанавливать типы доступа. Обычно это права на запуск, чтение и изменение файла. В Linux типы доступа помечаются с помощью двух видов нотаций: алфавитной и восьмеричной.

В алфавитной нотации разрешения отмечены буквами:

В восьмеричной нотации уровень доступа к файлам определяется числами от 0 до 7, где 0 означает отсутствие доступа, а 7 означает полный доступ на изменение, чтение и выполнение:

6. Использовать ключи для соединения по SSH

Для подключения к хосту по SSH обычно используется аутентификация по паролю. Мы рекомендуем более безопасный способ — вход по паре криптографических ключей. В таком случае закрытый ключ используется вместо пароля, что серьёзно усложнит подбор грубой силой (brute-force).

Для примера создадим пару ключей. Действия нужно выполнять на локальном компьютере, а не на удалённом сервере. В процессе создания ключей вы можете указать пароль для доступа к ним. Если оставите это поле пустым, то не сможете использовать созданные ключи до сохранения их в keychain-менеджер компьютера.

Если вы уже создавали RSA ключи ранее, то пропустите команду генерации. Для проверки cуществующих ключей запустите:

Для генерации новых ключей:

Загрузка публичного ключа на сервер

Замените administrator на имя владельца ключа, а 1.1.1.1 на ip-адрес вашего сервера. С локального компьютера введите:

Чтобы проверить соединение, отключитесь и заново подключитесь к серверу — вход должен происходить по созданным ключам.

Вы можете запретить подключаться через SSH от имени root-пользователя, а для получения прав администратора использовать sudo в начале команды. На сервере в файле /etc/ssh/sshd_config нужно найти параметр PermitRootLogin и установить его значение на no.

Вы также можете запретить SSH-подключение по вводу пароля, чтобы все пользователи использовали ключи. В файле /etc/ssh/sshd_config укажите для параметра PasswordAuthentification значение no. Если этой строки нет или она закомментирована, то соответственно добавьте или разкомментируйте её.

В Debian или Ubuntu можно ввести:

Подключение можно также дополнительно обезопасить с помощью двухфакторной аутентификации.

7. Установить сетевые экраны

Недавно была обнаружена новая уязвимость, позволяющая проводить DDoS-атаки на сервера под управлением Linux. Баг в ядре системы появился с версии 3.6 в конце 2012 года. Уязвимость даёт возможность хакерам внедрять вирусы в файлы загрузки, веб-страницы и раскрывать Tor-соединения, причём для взлома не нужно прилагать много усилий — сработает метод IP-спуфинга.

Максимум вреда для зашифрованных соединений HTTPS или SSH — прерывание соединения, а вот в незащищённый трафик злоумышленник может поместить новое содержимое, в том числе вредоносные программы. Для защиты от подобных атак подойдёт firewall.

Блокировать доступ с помощью Firewall

Firewall — это один из самых важных инструментов блокирования нежелательного входящего трафика. Мы рекомендуем пропускать только действительно нужный трафик и полностью запретить весь остальной.

Для фильтрации пакетов в большинстве дистрибутивов Linux есть контроллер iptables. Обычно им пользуются опытные пользователи, а для упрощённой настройки можно использовать утилиты UFW в Debian/Ubuntu или FirewallD в Fedora.

8. Отключить ненужные сервисы

Специалисты из Университета Виргинии рекомендуют отключить все сервисы, которые вы не используете. Некоторые фоновые процессы установлены на автозагрузку и работают до отключения системы. Для настройки этих программ нужно проверить скрипты инициализации. Запуск сервисов может осуществляться через inetd или xinetd.

Если ваша система настроена через inetd, то в файле /etc/inetd.conf вы сможете отредактировать список фоновых программ «демонов», для отключения загрузки сервиса достаточно поставить в начале строки знак «#», превратив её из исполняемой в комментарий.

Если система использует xinetd, то её конфигурация будет в директории /etc/xinetd.d. Каждый файл директории определяет сервис, который можно отключить, указав пункт disable = yes, как в этом примере:

Также стоит проверить постоянные процессы, которые не управляются inetd или xinetd. Настроить скрипты запуска можно в директориях /etc/init.d или /etc/inittab. После проделанных изменений запустите команду под root-аккаунтом.

9. Защитить сервер физически

Невозможно полностью защититься от атак злоумышленника с физическим доступом к серверу. Поэтому необходимо обезопасить помещение, где расположена ваша система. Дата-центры серьёзно следят за безопасностью, ограничивают доступ к серверам, устанавливают камеры слежения и назначают постоянную охрану.

Для входа в дата-центр все посетители должны проходить определенные этапы аутентификации. Также настоятельно рекомендуется использовать датчики движения во всех помещениях центра.

10. Защитить сервер от неавторизованного доступа

Система неавторизованного доступа или IDS собирает данные о конфигурации системы и файлах и в дальнейшем сравнивает эти данные с новыми изменениями, чтобы определить, вредны ли они для системы.

Например, инструменты Tripwire и Aide собирают базу данных о системных файлах и защищают их с помощью набора ключей. Psad используется для отслеживания подозрительной активности с помощью отчётов firewall.

Bro создан для мониторинга сети, отслеживания подозрительных схем действия, сбора статистики, выполнения системных команд и генерация оповещений. RKHunter можно использовать для защиты от вирусов, чаще всего руткитов. Эта утилита проверяет вашу систему по базе известных уязвимостей и может определять небезопасные настройки в приложениях.

Заключение

Перечисленные выше инструменты и настройки помогут вам частично защитить систему, но безопасность зависит от вашего поведения и понимания ситуации. Без внимательности, осторожности и постоянного самообучения все защитные меры могут не сработать.

Источник