דווקא יש לך ממה לחשוש. הפצות לינוקס לרוב מאובטחות יותר מ-Windows רק בגלל שלאנשים שכותבים וירוסים אין מוטיבציה לכתוב ללינוקס.
אבל בכל זאת - יש וירוסים ויש אנשים עם עניין בפריצה למחשבי לינוקס. הדרך הנכונה להתגונן זהה לזאת של מערכות הפעלה אחרות.
כמה דברים שיכולים לעזור:
- תריץ netstat ותבדוק מה מאזין על איזה port ובאיזה פרוטוקול: תבטל daemonים שמאזינים על פורטים שאתה לא רוצה שיהיו פתוחים. לדוגמה - אם 445 פתוח ואתה לא משתמש ב-Samba, תסגור את הפורט. פחות פורטים פתוחים - יותר טוב. קל יותר לעשות אדמיניסטרציה שוטפת ככה ולתוקפים יהיה קשה יותר לחדור למערכת שלך (לדוגמה - אם יש buffer overflow שמאפשר remote code execution ב-Apache ועכשיו העפת אותו, זאת פרצה אחת פחות).
- תקשיח הרשאות של דברים כמו CUPS - לדוגמה, אל תאפשר שימוש במדפסת שלך מרחוק מעל SMB.
- תתקין firewall טוב - באובונטו יש לך את UFW עם GUI פשוט בשם gufw. תריץ אותו ותסגור את כל הפורטים שאתה לא צריך. ספציפית אצלי, כל פורט TCP או UDP סגור פרט לפורטים שנחוצים ל-DHCP בתקשורת נכנסת, ותקשורת יוצאת מאופשרת תמיד.
- שים את המחשב מאחורי NAT, ככה יהיה קשה יותר להגיע אליו.
- תקנפג את ה-firewall ככה שהמחשב שלך לא יענה ל-ICMP echo request (מה שבעגה העממית נקרא "ping') ושלא יענה ב-ICMP_PORT_UNREACHABLE כאשר מתחברים לפורט UDP סגור או ב-RST כאשר מתחברים לפורט TCP סגור. ככה יהיה קשה יותר לסרוק את הרשת שלך. לדוגמה, אם להארק סופר דופר יש פרצת zero day ברמת הקרנל שרק דורשת שליחה של פאקטה אחת, הוא יצטרך למצוא קהל יעד פוטנציאלי בעזרת סריקה. אם הוא לא יכול לסרוק את המחשב שלך מרחוק, אתה לא קיים מבחינתו.
- תפעיל auditing רצחני בעזרת AppArmor ו-SELinux.
- תריץ auditd על קבצים קריטיים, כמו /etc/passwd.
- תבטל SSH!
- אם אתה עדיין רוצה גישה ב-SSH, תבטל root login מעל SSH.
- תבטל אפשרות להתחבר כ-root בטרמינלים וירטואליים כאלה ואחרים, דרך /etc/securetty.
- תעיף את sudo או שתקנפג אותו ככה שאף אחד לא יכול להריץ דברים כ-root בלי אותנטיקציה נורמלית בעזרתו.
- הרשאות, הרשאות, הרשאות. שים לב לתיקיות כמו /etc, /var ו-usr.
- תקשיח דברים כמו PolicyKit.
- תתקין סורק וירוסים כלשהו, ClamAV, AVG, Avast או F-Prot יספיקו. תמיד תסרוק תיקיות cache של שרתים (שרת web, מייל וכו').
- תריץ שרתים בתוך chroot