Do parówki tylko ketchup. Jeśli bezpieczeństwo, to tylko Linux

Poradnik kierujemy do początkujących i niezaawansowanych użytkowników systemów Linux w wersji desktop, jak również dla osób chcących zacząć przygodę z Linuxem. Wyjaśnimy różnice pomiędzy poszczególnymi dystrybucjami, aspekty związane z zaporą sieciową, konfiguracją poszczególnych pakietów (aplikacji) pozwalających stworzyć z Linuxa bezpieczne narzędzie do pracy w domu lub firmie.

W artykule znajdziesz między innymi:

• Jaki bezpieczny Linux wybrać? Która dystrybucja uważana jest za najbezpieczniejszą.
• Czy Linux jest bezpieczny do użytku firmowego, na komputerze w małej firmie, jak biura rachunkowe, kancelaria, dział obsługi klienta, itp.
• Czy Linux jest bezpieczniejszy niż Windows? Czy Linux jest naprawdę bezpieczny?
• Czy Linux potrzebuje antywirusa?
• Bezpieczeństwo w Linuksie - fakty i mity. Jakie najczęściej mity powiela się w necie dotyczące bezpieczeństwa takich systemów jak Ubuntu i Mint. Dlaczego Linux jest uważany za bezpieczny?
• Jakie są największe zagrożenia dla użytkowników Linux? Na co muszą uważać, czego nie powinni robić. Czy są jakieś szczególnie szkodliwe aplikacje, co mogą zrobić, jak je weryfikować.
• Kilka wskazówek dla użytkowników Linux, aby wyeliminować ew. zagrożenia. Jeśli ktoś już decyduje się zainstalować, lub używa, co powinien zrobić? A może nic nie trzeba robić?
• Zapora sieciowa w Ubuntu lub Mint. Czy warto używać zapory? Co daje zapora i w jaki sposób chroni. 

Jaki bezpieczny Linux wybrać?

Jedne z najbardziej bezpiecznych dystrybucji to RedHat, CentOS, oraz systemy z rodziny FreeBSB. Są to środowiska przystosowane bardziej do pracy serwerowej, co nie oznacza, że Ubuntu lub Mint przy odpowiedniej konfiguracji nie można też zastosować w tej kategorii. W tym wypadku chodzi nam jednak przede wszystkim o użytkowników desktopowych.

Obecnie najbardziej popularne i przyjazne użytkownikowi do użytku domowego lub firmowego, są systemy Ubuntu oraz Mint. Cechuje je duża ilość aplikacji, dostępnych w czterech gałęziach:

• Stable – aplikacje przetestowane i gotowe do stabilnego użytkowania
• Unstable – aplikacje w których wykryto błędy (nie zalecam ich stosowania)
• Testing – aplikacje w fazie testowania
• Unofficial/Non-Free – aplikacje w większości do użytku komercyjnego

Drugie bardzo ważne kryterium to źródło - miejsce z którego pobieramy i instalujemy dodatkowe oprogramowanie. Najbezpieczniej jest instalować aplikacje z oficjalnych źródeł, jak np: zintegrowany w systemie "Menedżer oprogramowania", lub z wiarygodnych, oficjalnych i głównych PPA (Personal Package Archive).

Zintegrowany w systemie "Menedżer oprogramowania" oferuje tylko sprawdzone, zgodne z systemem i stabilne aplikacje

Wojciech Kiełt

refleksje

Systemy Ubuntu/Mint oferują w nowej czystej instalacji wiele niezbędnych aplikacji, ale często są to wersje nieco starsze od tych dostępnych przez oficjalne PPA twórców oprogramowania. Wydawcy systemu Ubuntu gwarantują tym bezpieczeństwo, zgodność i stabilność dostarczonych aplikacji. Podobnie w przypadku narzędzia Menedżer oprogramowania - są tam dostępne tylko sprawdzone i stabilne wersje aplikacji. Aplikacje dostępne przez PPA z reguły są w nowszej wersji i jeśli tylko mamy zaufanie do źródła oraz twórców, można instalować je ręcznie z PPA.

Gdy zaczynałem przygodę z Linuxem nie potrafiłem odróżnić oficjalne PPA (stworzone przez programistę) od nieoficjalne PPA (skopiowane i stworzone przez kogoś nieznanego). Takim przykładem może być PPA do bardzo znanego oprogramowania VeraCrypt.  Ten sam problem dotyczy oprogramowania dla Windows - nigdy nie wiadomo czy aplikacja, którą pobieramy jest w 100% bezpieczna, jeśli nie pobieramy jej z oficjalnego źródła/strony, lub ze sklepu Windows.

Przykładem instalowania z głównego repozytorium lub oficjalnego PPA niech będzie projekt NixNote - jedyny nieoficjalny klient do obsługi Evernote w Linux. Możemy zainstalować z głównego i oficjalnego repozytorium Debian i Ubuntu:
sudo apt install nixnote2

albo z aktualizowanego na bieżąco PPA twórcy:
sudo add-apt-repository ppa:nixnote/nixnote2-daily

Czy linux jest bezpieczny do użytku firmowego?

Systemy Ubuntu/Mint przy odpowiedniej konfiguracji pakietu IPTABLES (odpowiednik Windows Firewall) są praktycznie nie do złamania. Systemy desktopowe wymagają jednak więcej uwagi i konfiguracji zabezpieczeń. 

Stosując Linux w firmie wszystko zależy od aplikacji, które są wykorzystywane podczas pracy. Niestety Linux pomimo ogromnego postępu w emulacji kodu Windows przy np. Wine, często powoduje problemy związane ze stabilnością działania tych programów. Problem dotyczy przede wszystkim oprogramowania do wspomagania sprzedaży np. Insert Subiekt, Comarch Optima. Jeżeli jednak korzystamy głównie z aplikacji webowych, które umożliwiają nam obsługę głównie przez przeglądarkę, nie widzę lepszego wyboru niż Ubuntu lub Mint, głównie za stabilność działania. 

Na komputerach firmowych ważne są też kopie bezpieczeństwa i możliwość przywrócenia systemu w razie problemów. Systemy Ubuntu mają wbudowane dobre narzędzie do wykonywania kopii zapasowych - Timeshift. W przypadku awarii systemu lub dysku, można przywrócić system do wybranej daty. 

Czy Linux jest bezpieczniejszy od Windowsa? 

Tak. Musimy zwrócić uwagę, że większość złośliwego oprogramowania na świecie tworzona jest pod systemy Windows. Jeśli ktoś chce podwyższyć poziom bezpieczeństwa Windows, powinien zainstalować dodatkowe oprogramowanie typu Internet Security (antywirus + firewall). To powinno - choć nie na 100% – zabezpieczyć system przed wirusami, spyware, atakami hakerskimi. 

W przypadku Ubuntu czy Mint wdrażanie takiego oprogramowania nie jest konieczne. W swojej długiej karierze nie spotkałem się jeszcze z problemem złośliwego oprogramowania na desktopowym Linuxie. Sprawa wygląda nieco inaczej w przypadku instalacji serwerowych, ale takie maszyny z zasady skazane są na większe zagrożenia, z uwagi na rolę którą pełnią w sieci web.

Istnieją także opcje dla przezornych użytkowników, którzy nie ufają do końca architekturze OpenSource i chcą dodatkowego zabezpieczenia. Możemy zainstalować oprogramowanie antywirusowe np. najpopularniejszy i rozwijany od bardzo dawna darmowy Clam Antivirus - stabilny i skuteczny. 

ClamTk to graficzny interfejs dla Clam Antivirus w systemie Linux

Pomimo tego, iż sam Ubuntu i Mint są całkowicie darmowe, nie zamyka nam to drogi do skorzystania z płatnego oprogramowania antywirusowego np. Avast. Jednak w mojej opinii systemy te już po samej instalacji są wystarczająco bezpieczne i gotowe do użytku domowego.

Warto zwrócić uwagę, że w sieci pojawia wiele informacji o atakach na różne systemy oparte na dystrybucji Linuxa. Jednak wiele zależy nie od systemu, lecz oprogramowania, które zainstalowane i skonfigurowane w nieodpowiedni sposób, zachęca booty krążące w internecie do próby włamania się do danego systemu. Określiłbym to “pukaniem do drzwi”.

Bezpieczeństwo w Linuksie - fakty i mity

Mit - Linux jest podatny na ataki
Nie. Podam tutaj przykład bardzo popularnych w ostatnich latach ataków DDOS (ang. distributed denial of service). Jest to atak na konkretny adres IP - lub pulę adresów -  powodujący praktycznie całkowite wysycenie łącza internetowego, oraz zasobów sprzętowych maszyny. To prawda, że większość atakowanych routerów obsługiwanych jest przez systemy Linux, ale sam atak nie dotyczy systemu, tylko infrastruktury sieciowej (często nieodpowiednio zabezpieczonej) 

Fakt - Z linuxa korzystają największe koncerny na świecie
Tak. Zwróćcie uwagę na fakt, że takie systemy jak Android czy iOS instalowane na telefonach, tabletach, telewizorach i wielu innych urządzeniach to także Linux. Google przeprowadziło bardzo wiele testów pod kątem zabezpieczeń. Powstał nawet specjalny program Google Vulnerability Reward Programs (VRP), który działa nieprzerwanie od listopada 2010 roku. Ma on na celu badanie zabezpieczeń np. systemu Android  

Fakt - Linux jest bezpieczniejszy od Windows / Mac
Tak. Ponieważ większość złośliwego oprogramowania jest tworzona na wiodących (komercyjnych) producentów oprogramowania. 

Fakt - Linux jest bezpieczny zaraz po instalacji
Tak. Po instalacji systemu nie musimy martwić się o zabezpieczenia, bo wszystkie aplikacje dostarczone wraz z system pochodzą z gałęzi Stable (Przetestowanej) 

Jakie są największe zagrożenia dla użytkowników Linux?

Linux jest oparty na architekturze OpenSource, jego źródło jest otwarte i każda osoba na świecie ma dostęp do jego kodu. Teoretycznie umożliwia to “łatwiejsze” tworzenie złośliwego oprogramowania, ponieważ osoba mająca zamiar włamać się do systemu ma dokładny wgląd w strukturę systemu. To ułatwia tworzenie wirusów, spyware i innych tego typu rozwiązań. 

Kilka wskazówek dla początkujących użytkowników linux

Pomimo tego, że systemy Ubuntu i Mint są bezpieczne, gotowe do stabilnej pracy zaraz po instalacji, zalecam poszerzenie wiedzy z tematyki IPTABLES w systemie Linux. Podniesie to zdecydowanie bezpieczeństwo systemu, przez co poczujesz się bardziej komfortowo. 

Nie zalecam instalacji zbędnego oprogramowania, z którego nie będziemy korzystać. Musimy mieć świadomość, że w dobie cyber świata praktycznie każda aplikacja potrzebuje dostępu do internetu, co może wpłynąć na pojawienie tzw. backdoorów, czyli luk bezpieczeństwa.

Korzystaj w miarę możliwości z aplikacji dostępnych z poziomu przeglądarki np. Dokumenty, Arkusze Google. Nie chcę tutaj reklamować usług google, ale uważam to za bezpieczniejsze. W przypadku pakietu Office 365 także mamy możliwość wykorzystania sieci web.

Najszybciej jak to możliwe instaluj wszelkie nowe aktualizacje gdy tylko otrzymasz powiadomienie. Szczególnie gdy mają status aktualizacji bezpieczeństwa. Aktualizacje w systemach Ubuntu są szybkie i przyjazne, nie sprawiają tylu problemów co aktualizacje w Windows 10. Więcej na ten temat pisaliśmy już w artykule Windows 10 vs Linux. Co jest lepsze?

Podczas instalacji Ubuntu lub Minta warto wybrać opcję "Zaszyfruj mój katalog domowy". To gwarantuje, że dane nie będą widoczne nawet po podpięciu dysku do innego komputera. Natomiast silne hasło praktycznie uniemożliwi złamanie tych zabezpieczeń.

Zapora sieciowa w Ubuntu i Mint

Cały system sieciowy czyli Linux/FreeBsd/Windows oparty jest na tzw. Portach. Wynika to ze specyfiki modelu sieciowego TCP/IP. Mamy dostępnych dokładnie 65.535 portów przez które jesteśmy w stanie dostać się do systemu operacyjnego. W sieci istnieją skrypty, które “pukają” do poszczególnych portów sprawdzając czy są otwarte. Instalując np. Serwer WWW Apache/Nginx otwieramy port 80, jeżeli uruchomimy z kolei serwer SSH (konsola umożliwiająca pracę zdalną) poddajemy na niebezpieczeństwo port 22. Tak samo z protokołem telnet, serwerem baz danych mysql itd. 

Najpopularniejsze aplikacje wraz z otwartymi portami to: 

• HTTP port 80
• HTTPS port 443
• TELNET port 23
• FTP port 21
• SSH port 22
• MYSQL port 3306
• Do tego dochodzą serwery gier, vpn, ipsec. 

Dlatego jeżeli “zwykłe” korzystanie z komputera nam nie wystarczy i potrzebujemy dodatkowego oprogramowania z pomocą przychodzi nam pakiet IPTABLES. System Linux ma zintegrowaną zaporę sieciowa, a jej konfiguracja jest możliwa komendami z terminala lub w wersji uproszczonej przez interfejs graficzny Gufw Firewall.

Prosty i łatwy w obsłudze interfejs graficzny Gufw Firewall

Mam nadzieję, że moje wskazówki pomogą w podjęciu decyzji o wkroczeniu w świat wolnego oprogramowania, które niekiedy w wielu zastosowaniach nie ustępuje funkcjonalności Windowsa.