红联Linux门户
Linux帮助
当前位置: 红联Linux门户 > Ubuntu

【Ubuntu10.04】下普通桌面用户的数据安全

发布时间:2010-11-21 19:53:20来源:红联作者:haibian
[i=s] 本帖最后由 haibian 于 2010-11-28 09:29 编辑 [/i]

******************************************************************
声明:
以下资料,大部分来源于网络资料的整理,难免存在偏差,欢迎深入讨论。需要注意的是,以下这些资料并不能保证Ubuntu普通用户的系统处于完全的安全状态,仅能确保系统在某一时段内处于相对安全的状态。--这只是改善用户数据安全状况的诸多措施中的一部分,对办公环境安全要求较高可采取更加完备的安全方案(软件+ 特殊硬件)。
******************************************************************

现在,电脑用户所处的网络环境越来复杂,---即使作为一个普通的桌面用户,其电脑中的个人数据也随时都面临着前所未有的、令人发指的泄漏和丢失威胁。 Win下的如此,Ubuntu下的亦如此。实际上,由于而Ubuntu(或其它的 Linux发行版)与Win在操作上存在不少重要差异,用户不注意此点更容易造成造成用户数据的泄漏和丢失。另外,潜在的系统漏洞以及恶意的网络陷阱和攻击,也会造成用户数据泄漏以甚至是信息丢失。

有没有什么方法和措施来完全避免这类数据泄漏及相关的信息丢失?这取决于两个关键因素:用户的操作习惯、所在的网络环境。在实际的使用过程中,用户本身的安全意识和良好的操作习惯显的尤为重要。本文以用户的日常使用为出发点,分析可能的潜在问题并找相关的安全措施,来减少并尽可能避免这种数据泄漏及相关的信息丢失。

此处基于“有效预防、及时补救”的原则,主要从系统安装、日常使用和例行维护三个方面进行分析,找出相关的注意事项及预防补救措施。详细的操作步骤和执行代码,暂时省略。

一、系统安装

主要涉及的操作有:系统镜像的下载及验证、安装工具的制作、系统安装。

1、系统镜像的下载及验证

现在有很多网站开始提供Ubuntu 镜像的下载,有些Ubuntu官方尚未推荐。如果对安全性要求较高,最好从Ubuntu官方推荐的站点下载镜像,并保存官方提供的该镜像对应的MD5码。(由于Ubuntu 系统镜像存在较多版本,下载前需要注意并确认)

下载完系统镜像后,最好对系统镜像进行MD5码的验证。验证的常用方法有软件验证(MD5码验证器,如ISOMaster、K3B等都可查看镜像的MD5码)和命令行验证两种。对于非官方网站下载的镜像,最好也用官方提供的MD5码来验证。MD5码验证不一致或者未经验证的系统镜像可能会造成系统无法安装或者安装异常。

2、安装工具的制作

如果要制作 Live USB,注意提前备份USB中的重要数据。USB中的数据将会在制作过程中丢失。

3、系统安装

*安装前注意备份系统待安装分区的关键用户数据和硬盘分区表。以便出现安装异常时用来恢复数据。
*安装过程中则要注意硬盘待安装分区的空间分配。分配空间时需要考虑到以后的系统升级和软件安装,如果分配不当,以后可能需要重新调整分区空间的大小(这可能会造成分区表的混乱甚至丢失)或者重新安装系统。如果你打算使用Ubuntu的UCK定制镜像功能,就需要确保/home分区到时有不小于5G的空间(如/home空间不足时,可以使用其它的定制软件如Remastersys)。
*安装完成后注意再次备份硬盘分区表(注意命名,不要与上次同)。

二、 日常使用

Ubuntu在日常使用中要注意的事项有:用户办公数据的处理、更新源、 端口开放、防病毒软件的安装、 用户分级管理、超级用户的使用、网络浏览、 涉及系统设置调整的代码执行、HOME目录安全性、禁用SSH ROOT登录、隐藏登录界面用户名称提示和急救工具的准备。

1、用户办公数据的处理

对于普通用户的办公数据,如果比较重要,就需要保存到其它的存储媒介中了,同时做好备份。

2、更新源

对系统安全性要求较高的推荐优先使用Ubuntu推荐的更新源,避免使用未经认证的更新源。对于需要手动编辑更新源列表文件的,推荐提前做好备份。

3、端口开放

在配置网络端口时,推荐仅开放常用端口。个别端口在使用时,可临时开启,任务完成后注意关闭。端口的配置,可以通过安装防火墙(前端)软件后手工配置相关安全策略来实现。安装并对防火墙进行比较严格的过滤规则的配置,可以极大程度的避免系统遭受恶意事件的入侵。常用的软件有:

*Firestarter :具备友好界面的通用防火墙(前端)
*SmoothWall :一款可配置性较高的专业防火墙,推荐商业用户使用。
*HardWall Firewall : 一款基于Iptables的防火墙
*Firewall Builder : 一款针对不同应用环境预置丰富规则的防火墙软件。
*BullDog :一款基于Iptables的高端防火墙工具,推荐商业用户使用。

安装并启用防火墙后,常见的故障是有的网站无法浏览和在线邮箱无法开启。这是因为这些网站需要443、8080等端口的开放。原则上,即使443等必用端口,个人用户最好也相应的服务结束后关闭其对应的端口。当然,Ubuntu目前的防火墙配置软件(常用的如Firestarter)的功能还有待改进,比如增加相应的应用模式--普通应用、办公应用(收发邮件等)、特殊下载等,在此之前,如上操作对于普通用户来说完全需要手动进行。

总之,当指定的网络服务无法使用时,需要确认并开启对应的端口。更具体的使用方法可以参考该软件的用户手册。

4、防病毒软件的安装

虽然说Linux系统下病毒相当少,不过对于商业用户来说,还是有必要做下病毒防御工作的。常用的软件有:

*Clam AntiVirus :一款基于UNIX系统的防病毒解决方案软件,包含电子邮件网关。
*AVG Anti-Virus :一款可商用的免费病毒查杀工具。
*BitDefender :恶意Shell脚本扫描工具。
*Panda Antivirus :一款针对服务器连接的客户端病毒查杀工具。

相关的安装及设置步骤参考对应的用户手册。

5、用户分级管理

用户分级管理,遵循最低授权原则。原则上,高级用户用来维护系统,而普通用户用来完成基本的日常工作,并尽可能减少高级用户的使用。实际的使用过程中,尤其要注意特殊文件夹的授权问题。

6、超级用户的使用

有些特殊任务可能会使用到超级用户root,任务完成后注意及时锁定超级用户。(有的用户在使用超级用户时常常使用比较简单的密码,未及时锁定时外界就很容易获得超级用户的使用权限,后果可想而知。)

7、网络浏览

由于网络上的安全隐患较多,进行网络浏览时需要特别注意。比较好的办法是, 在浏览器>首选项>安全设置里面选择相关的设置(此处以firefox为例),做好安全预警提示。对于浏览过程中的警告链接,需要特别确认。

对于安全性要求较高的用户,可以清除其中的例外和密码设置项。另外其中的隐私选项可根据个人需要进行设定。

另外,网页木马已经成为了一个非常严重的网络安全威胁。目前似乎还没有一个很好的预防办法,不过一些必备的基本常识必须了解。系统在中招木马后有一些常见异常:系统的反应会突然变得十分缓慢,CPU占用率很高,浏览器窗口没有响应,等等。在日常的网页浏览中,对于造成系统异常的网站要保持警觉。

实际上,对于木马传输用户数据的行为,Ubuntu的防火墙在理论上是可以发现的。不过,目前的Ubuntu下常用的防火墙配置工具Firestarter似乎暂时还做不到这一点,--有待改进。

8、涉及系统设置调整的代码执行

Linux社区网站上有很多涉及到系统设置调整的代码,对于看不懂的代码最好谨慎执行。或者看看其它网友的反馈信息,没有反馈信息的更要谨慎。(如果需要的话,最好在虚拟机执行)

9、 HOME目录安全性

从Ubuntu10.04 开始,Ubuntu对于高级用户和普通用户都提供了 home目录加密功能,在建立用户时可以根据需要确认是否勾选此项。加密后,仅有home目录所有者才拥有该home目录的浏览和和相关文件的编辑权限。

10、禁用SSH ROOT登录

禁用SSH ROOT登录,本人采用的是系统默认。对系统安全性要求较高的,请参考相关资料。

11、隐藏登录界面用户名称提示

对系统安全性要求较高的,可以进行设置以隐藏登录界面用户名称提示。

12、急救工具的准备

在日常的使用中,应准备基本的急救工具(如Live USB/CD等),以便在系统出现故障时及时修复。另外Ubuntu带有修复模式(系统清理,破损安装包的修复,grub更新,超级管理员模式(进入前需要赋予root密码),超级管理员联网模式),可以用来修复很多系统故障。

三、例行维护

例行维护的事项主要有:未知的系统异常处理、常用配置备份、安全漏洞补丁更新、防病毒软件更新、日志文件的检查、 ROOTKIT防护常用配置备份等。

1、未知的系统异常处理

对于未知的系统异常,做好记录(这一点对改进系统,显得比较重要)并分析异常。无法分析的,可上相关社区网站发贴讨论。

2、常用配置备份

原则上浏览器书签、防火墙策略,以及日常的重要资料必须做好备份,备份时可考虑是否需要加密。对于不方便备份的配置可以整理成专用的配置手册,以便查询。

3、安全漏洞补丁更新

安全漏洞补丁,要做到及时更新(最好每日更新),这是保持系统处于安全状态中非常重要的措施。在更新过程中,有时会碰到更新异常的状况,更换一下软件源中的服务器可以解决这个问题。

4、防病毒软件更新

目前的防病毒软件,也要注意更新的问题。

5、日志文件的检查

对系统安全性要求较高的用户可以对日志文件进行定期检查。

*auth:认证进程的信息
*daemo:守护进程的信息
*kern:系统内核的信息
*mail:邮件系统的信息
*user:登录用户的信息
*其它......

需要特别注意的事件级别:
*err:一些重大的错误讯息。通过err的错误告知,可以了解到该服务无法启动的问题
*crit(critical):比error还要严重的错误信息,错误已经很严重
*alert:警告,已经很有问题的等级,比crit还要严重
* emerg:紧急,系统已经几乎要当机的状态。很严重的错误信息。通常大概只有硬件出问题,导致整个核心无法顺利运作,就会出现这样的等级的信 息

6、 ROOTKIT防护

对系统要求较高的,可以配置ROOTKIT防护。这主要用来预防黑客利用系统漏洞在系统中植入Rootkit工具。可以安装以下软件,定期扫面检查:

* chkrootkit :提供rootkit扫描以及常见木马的查杀
* Rootkit Hunter :一款优秀的rootkit检测工具

7、安装安全软件

*对系统要求较高的,可以通过安装以下一些软件,从而关闭系统后门以及保护系统漏洞:
*grsecurity :Linux内核保护套件
*PaX :本软件以包含grsecurity,另外加强了Ubuntu内存溢出保护。
*Pro Police :IBM公司解决方案,用以避免栈溢出攻击。
*DigSig :帮助你通过用户定义的数字签名验证应用程序的完整性及安全性。

在Ubuntu的实际使用体验中还注意到,尽管Ubuntu的安全机制比较强壮,但在Ubuntu软件中心安装一些软件后,一些普通操作可绕开Ubuntu的安全机制,--在同红联网友的交流中也尚未找到相应的解决办法。显然,这值得Ubuntu普通桌面用户的特别注意。
文章评论

共有 4 条评论

  1. linuxji 于 2011-10-24 17:12:29发表:

    很实在啊!

  2. xia_136328183 于 2011-10-24 13:07:55发表:

    了解下

  3. 838637819 于 2010-11-25 13:52:31发表:

    收藏了。谢谢

  4. dzajk 于 2010-11-21 21:18:54发表:

    了解下,我都是把重要的都备在U盘里,不过只有少量