Ubuntu este unul din cele mai utilizate sisteme de operare open-source bazate pe Linux și este considerat suficient de sigur în varianta sa de bază. Totuși, există câteva puncte vulnerabile așa încât utilizatorii mai puțin pricepuți pot să cadă victime atacurilor online. Teoriile conspirației s-ar putea să nu își aibe locul aici întrucât aceste vulnerabilități se află la vârful unui munte de ignoranță privind problemele de securitate ale sistemelor de operare Linux, așa cum sunt descrise aici.
Acest ghid prezintă modul în care putem să corectăm câteva din vulnerabilitățile principale, ca o primă linie de apărare, care ar trebui să fie eficientă împotriva amenințărilor online, atâta timp cât nimeni altcineva nu are acces fizic la computer. Ghidul este conceput pentru Ubuntu Desktop, dar dacă rulați Ubuntu Server în mod sigur aveți abilitățile necesare pentru a face micile ajustări necesare. Desigur, puteți renunța la Ubuntu și opta pentru un sistem de operare conceput pentru o securitate sporită precum Qubes-Whonix. Dar dacă dorești să folosești Ubuntu, s-ar putea să te intereseze ghidul de mai jos.
Pași de urmat
2. Dezactivarea actualizărilor automate
3. Securizarea protocolului DNS
4. Configurarea actualizărilor prin https
1. Instalarea Ubuntu
Din motive de securitate recomand ca instalarea să se facă în modul offline, fără conexiune la internet.
La secțiunea Updates and other software selectați Minimal installation.
Nu optați pentru descărcarea update-urilor în timpul instalării.
La sectiunea Installation type selectați Erase disk and install Ubuntu > Advanced features > Use LVM. Selectați Encrypt the new Ubuntu installation.
La secțiunea Choose a security key, intoduceți o cheie de securitate de 100-105 caractere aleatorii (nu folosiți recovery key). Aveți nevoie și de un telefon sigur, nu doar de un computer sigur, așa că puteți salva această parolă în telefon. Citiți aici și ghidul de securitate pentru Android.
Finalizați instalarea și reporniti, fără a vă conecta încă la internet.
2. Dezactivarea actualizărilor automate
Mai întâi vom dezactiva actualizările automate ale sistemului de operare.
În aplicația Software & Updates, la secțiunea Updates, dezactivați descărcarea automată:
Subscribed to: Security and recommended updates
When there are security updates: Display immediately
When there are other updates: Display weekly
Acum vom dezactiva actualizările automate ale aplicațiilor Snap.
Deschideți o fereastră de Terminal și introduceți următoarea comandă:
snap refresh --holdUlterior, pentru a inițializa manual aceste actualizări, accesați Ubuntu Software > Updates.
Partea bună este că actualizarea aplicațiilor Snap se face prin https, ceea ce nu e însă valabil și pentru actualizările de sistem. Ne vom ocupa de acest lucru în continuare.
Puteți conecta computerul la internet.
3. Securizarea protocolului DNS
Pentru a evita amenințările legate de manipularea răspunsurilor DNS, care devin cu adevărat periculoase tocmai când actualizăm sistemul de operare, trebuie să realizăm securizarea protocolului DNS, folosind DNS over TLS (DoT).
Citiți aici un ghid de configurare a unui router OpenWrt cu DoT.
Dacă nu avem un router configurabil pentru a folosi DoT, putem configura computerul pentru a folosi acest protocol instalând local resolver-ul Stubby și setând ca server DNS local adresa la care ascultă Stubby, conform indicației din fișierul de configurare al aplicației Stubby.
4. Configurarea actualizărilor prin https
În configurația standard actualizările Ubuntu se fac prin protocolul http, invocându-se faptul că actualizările sunt semnate pentru verificare. Din experiența mea, această măsură de securitate nu este suficientă.
Pentru a activa actualizările prin protocolul securizat https, va trebui să mai întâi să instalăm pachetul apt-transport-https. Pentru a realiza aceast lucru avem două variante:
– varianta 1, cea mai simplă, dar mai puțin siguă, este să instalăm pachetul decărcându-l prin protocolul nesecurizat http:
sudo apt-get update
sudo apt-get install apt-transport-https– varianta 2, ce mai sigură, este să descărcăm pachetul prin https*, folosind comanda wget**, și să îl instalăm manual:
wget https://mirrors.mit.edu/ubuntu/pool/universe/a/apt/apt-transport-https_2.4.5_all.deb
sudo dpkg -i apt-transport-https_2.4.5_all.deb* în comanda wget puteți înlocui antetul linkului (https://mirrors.mit.edu/ubuntu/) cu adresa oricărui alt server din lista de servere Ubuntu mirrors care suportă https.
** în cazul în care comanda wget returnează eroarea 404: Not Found, este posibil ca o versiune mai nouă a pachetului să fi fost publicată între timp. În acest caz puteți folosi site-ul pkgs.org pentru a identifica ultima versiune a pachetului.
Acum că pachetul apt-transport-https a fost instalat, trebuie să edităm fișierul etc/apt/sources.list pentru a introduce în listă servere Ubuntu mirrors care suportă https, pentru că arhiva standard ubuntu.com nu suportă, din păcate, protocolul securizat https.
sudo nano etc/apt/sources.listAici putem introduce, de exemplu serverul MIT, sau orice alt server al cărui linkul, deschis într-un browser web, confirmă folosirea protocolului https:
deb https://mirrors.mit.edu/ubuntu/ jammy main universe
deb https://mirrors.mit.edu/ubuntu/ jammy-security main universe
deb https://mirrors.mit.edu/ubuntu/ jammy-updates main universeObservați că am utilizat doar sursele main și universe. La nevoie puteți adăuga temporar și celelalte surse (multiverse și restricted) dacă doriți să instalați anumite pachete în care aveți încredere și nu sunt găsite în sursele principale.
Îndepărtați toate intrările cu adrese http din fișierul sources.list, apoi salvați și închideți fișierul.
Verificați funcționalitatea serverului https nou introdus folosind comanda:
sudo apt-get updateÎn sfârșit, dacă totul este în regulă, putem face actualizările:
sudo apt-get upgradeAlternativ, puteți face actualizările din aplicația Software Updater.
Pentru un plus de securitate, înainte de orice actualizare este recomandat să editați din nou fișierul etc/apt/sources.list și să schimbați serverul https cu un alt server care suportă acest protocol.