Como proteger corretamente um computador Linux

Obviamente, existem diferentes métodos de proteção baseados em computadores domésticos versus profissionais. Minhas perguntas geralmente dizem respeito à proteção de desktops domésticos, mas a proteção profissional é definitivamente bem-vinda :) Conhecimento é poder.

Desde que me mudei para o maravilhoso mundo do Linux, há alguns anos, nunca pensei em segurança. Ver como a maioria das escórias de baixa vida produz vírus para máquinas Windows, visto que são mais abundantes.

Mas como eu sei se estou seguro / protegido de quem quer que seja atingido por mim ou por minhas coisas. Eu sei que quem está determinado o suficiente para entrar, não há dúvida sobre isso. Mas que medidas posso tomar para garantir que estou protegido contra coisas como cascas de raiz não autorizadas e ataques automáticos? Além disso, existe uma espécie de firewall / antivírus embutido em mais distros do Linux?

Sei que essa pergunta é bastante ampla, pois existem várias maneiras pelas quais alguém pode comprometer seu sistema, mas talvez você possa compartilhar o que fez para garantir sua segurança.

EDIT: Decidi não permitir o login root via ssh e alterar a porta é escuta algo aleatório. Espero que este seja um passo na direção certa. Atualmente olhando para iptables e desligando os serviços. Espero que esta pergunta tenha muitas respostas de qualidade (já tem 3) e ajude outros paranóicos :)

EDIT 2: Tenho alguns problemas no iptables, mas está provando ser uma boa ferramenta

EDIÇÃO 3: Até o momento, ninguém abordou a questão da criptografia do disco rígido. Isso vale a pena? Eu nunca o usei antes, então não conheço como tudo funciona. Quão fácil é isso?

Mais uma edição: em termos de serviços que deveriam estar em execução no sistema, quais deveriam ou deveriam estar em execução? Quais portas devem estar abertas na sua caixa? Claro que isso depende do que você usa, mas o que é aberto por padrão e o que é perigoso?

Você pode ficar muito complicado com iptables. Dê uma olhada no man pagee você verá o quão complexo é esse software. Além de não conectar à rede, como mencionado acima, isso provavelmente é o melhor que você pode fazer.

Se você estiver usando, sshcertifique-se de não usar senhas, mas use chaves públicas.

Instale apenas o software dos repositórios confiáveis ​​da distribuição. Existem várias medidas em vigor que ajudam a manter a integridade dos pacotes encontrados nos referidos repositórios.

Mantenha seu sistema atualizado.

Não execute como root - eleve privilégios apenas quando necessário.

Ao navegar na Web, use coisas como FlashBlock / AdBlock / NoScript.

Não entre em pânico.

Você ficará bem com uma instalação linux pronta para uso, desabilite todos os serviços que não usar. Se é um PC doméstico, você não precisa se preocupar com nada.

Estou executando o Ubuntu na minha área de trabalho há anos, com apenas alguns serviços desativados, como bluetooth e compartilhamento de pastas, e depois uso o sistema operacional. Você pode instalar um antivírus, se quiser, mas não é realmente necessário.

Depende muito do que você está usando e para quais portas estão abertas. Por exemplo, se você tem muitos serviços expostos à Internet e costumam ser mal utilizados, o fail2ban é incrível - eu o uso para bloquear explorações aleatórias do ssh, por exemplo.

Não usar sua conta root também é bom senso. A maneira ubuntu de não ter uma conta root realmente tem algum mérito, assim como seus ataques de força bruta comuns tentariam adivinhar nomes de usuário E senhas.

Por fim, como mencionado anteriormente, diminua a exposição a ameaças - encerre quaisquer serviços que não estejam em uso e portas que não sejam necessárias imediatamente.

Veja o guia da NSA para proteger o Red Hat Linux . É um bom guia para iniciantes para bloquear um sistema básico. Você pode não estar usando o Red Hat, mas fornece uma boa idéia do que olhar. Obviamente, se você fornecer algum serviço em seu sistema, precisará analisar os riscos desses serviços.

A criptografia do disco rígido é relativamente simples e direta de configurar. Algumas distribuições (principalmente o Ubuntu) oferecem criptografar seu diretório pessoal para você no momento da instalação.

Vale a pena ou não? Bem, ele não protegerá seus dados contra alguém da invasão da Internet - assim que o computador for inicializado e os sistemas de arquivos estiverem montados (criptografados ou não), o computador poderá ler os dados - e, portanto, o invasor poderá ler os dados.

O que ele protege é alguém invadir sua casa fisicamente e roubar seu computador. Isso impede que eles possam acessar seus dados. Não que muitos donos de casa desejem os dados; eles só querem vender o computador por um dinheirinho rápido, para que possam obter mais drogas.

É melhor criptografar individualmente seus arquivos confidenciais para que você possa acessá-los com uma chave / frase secreta. Isso impedirá que sejam lidos facilmente por um invasor.