harden데비안에는 컴퓨터를 더욱 안전하게 만들기 위해 설계된 여러 소프트웨어 패키지가 포함되어 있습니다 . 제가 원하는 것은 매우 간단합니다. 워드 프로세싱과 웹 브라우징입니다. 나는 특별한 서버를 운영하지 않으며 SSH, 텔넷 등을 사용하지 않습니다. 내가 아는 한, 인터넷에서 작동할 수 있는 유일한 소프트웨어 iceweasel는 apt.
- 이 두 소프트웨어만 인터넷에 액세스할 수 있도록 하는 방법이 있습니까?
harden이러한 요구에 적합한 소프트웨어 패키지가 있습니까 ?
답변1
기본 사용자 설치에서는 SSH만 서버 응용 프로그램으로 설치되므로 aptitude remove openssh-server사용하는 다른 패키지 관리자를 통해 간단히 제거할 수 있습니다.
애플리케이션의 네트워크 액세스를 제한하는 것은 어렵습니다.
{{ 편집하다: 하지만 지금은표범 꽃필요한 기능(프로세스별 방화벽, 대화형 사용자 인터페이스)을 제공하는 것으로 보입니다.}}바라보다프로세스별 방화벽?이 주제에 대한 추가 정보. 복잡한 솔루션을 사용하지 않고 owneriptables 모듈을 통해 특정 사용자에게만 네트워크 액세스를 제한 할 수 있습니다 .
일반 사용자에게는 harden-*패키지가 필요하지 않습니다. 설치되지 않은 안전하지 않은 패키지와 충돌하거나 네트워크 침입 시스템과 같은 일반 시스템에 대해 구성 및 유지 관리하기에는 너무 복잡한 안전하지 않은 패키지를 설치합니다.
답변2
나는 iptables를 엄격히 사용하는 것에 동의합니다. 커널(대부분의 배포판에서)을 활용하는 매우 간단한 명령줄 기반 방화벽입니다.
내가 제안한 또 다른 제안은 selinux였습니다. 현재 데비안이 기본적으로 제공되는지 잘 모르겠습니다. 간단히 말해서 Selinux는 필수 액세스 제어입니다. 즉, 커널 수준에서 애플리케이션과 외부 리소스(예: 파일 및 시스템 속성) 간의 통신을 관리합니다. 그건 그렇고, 그것은 또한 NSA의 도움으로 개발되었습니다. selinux 구성 파일을 사용하면 애플리케이션이 해당 범위 외부의 파일을 읽지 못하도록 방지할 수 있습니다.
모범 사례(예: 불필요한 데몬 비활성화)와 결합하면 좋은 방화벽 규칙 selinux가 이 상자를 강화하기 위해 찾고 있는 옵션이 될 수 있습니다.
답변3
불행하게도 Linux를 대체할 수 있는 방법은 없는 것 같 littlesnitch으며 zonealarm대부분의 GUI 방화벽은 실망스럽습니다. 물론 iptables연결 추적을 사용하면 많은 유용한 작업을 수행할 수 있습니다.
종종 간과되는 유틸리티 중 하나는 tcpwrappers다음과 같습니다 /etc/hosts.deny.
ALL: PARANOID
또한 다음 줄을 추가하여 핑 및 기타 ICMP 응답을 비활성화합니다 /etc/sysctl.conf.
net.ipv4.icmp_echo_ignore_all = 1
편집하다: 저는 jmtd의 관점에 동의하는 편입니다. 다시 생각해 보세요.더 좋은 방법핑을 필터링합니다.
답변4
Linux에서 가장 널리 사용되는 네트워크 필터링/방화벽 기반은 iptables애플리케이션 기반에서는 작동하지 않는다는 것입니다. 필요한 것은 네트워크 자원에 대한 프로그램 접근을 제한할 수 있는 보안 정책 프로그램입니다. 두 가지 방법은SELinux그리고갑옷을 적용.
AppArmor 레시피 예시는 다음과 같습니다., 그 중 하나는 Firefox/Iceweasel에 대한 네트워크 액세스를 엽니다.